Mt s loi VPN Router (ví d Draytek V27xx, V29xx, V33xx hoc Cisco ASA 5510, 18xx, 28xx, 38xx...) mc dù đều
cho phép to User Profile ngay trên router nhưng có nhược đim là s lượng người dùng b gii hn (thường khong
30-100 người dùng) và nht là gây khó khăn trong vic s dùng bi người dùng phi nh nhiu loi mt khu (mt
khu đăng nhp vào VPN Server, mt khu đăng nhp vào AD...)
S dng xác thc RADIUS Server, người dùng có th s dng ngay mt khu AD để truy xut t xa ti và đăng nhp
vào VPN Server trên Router. Hơn na, sau khi xác thc vi RADIUS Server thành công, người dùng có th truy cp
được ngay vào các tài nguyên trên mng ni b như các thư mc chia s, máy in... mà không cn phi đăng nhp li.
Qun tr mng có th qun lý và kim tra vic s dng ca tng người dùng thông qua file log (text / MS SQL) trên
RADIUS Server.
Ngoài ra, RADIUS Server còn được s dng để cung cp dch v xác thc người dùng cho nhiu loi Network Access
Server (NAS) khác như Remote Desktop Gateway (xác thc người dùng khi truy cp máy tính t ra), DHCP Server
(cp phát IP da trên xác thc người dùng)...
Vì sao cn s dng RADIUS server để xác thc người dùng?
1. Trong môi trường domain, vì lý do tăng cường mc độ bo mt ta không mun join máy VPN server
hoc ISA server vào domain. Vy làm sao VPN/ISA server có th xác thc được người dùng (user ca
domain)?
2. Nếu ta s dng VPN server hoc firewall cng (không phi là máy tính cài Windows để join domain) thì
tương t như trên làm sao VPN/firewall có th xác thc được người dùng (user ca domain)?
Vy để xác thc người dùng ta cn mt server trung gian gia DC và VPN/ISA server (server này join
domain để có th truy cp được AD).Server này nhn yêu cu xác thc t VPN/ISA server và truy cp AD
để xác thc ri tr kết qu v cho VPN/ISA server. Server này gi là RADIUS server.
Bên ngoài Hosted RADIUS server
Nhi u t ch c có m t xác th c ng i dùng hi n hành ho c máy ch th m c mà h mu n s d ng đ ki m soát ườ ư
truy c p m ng LAN không dây. c lo i máy ch ph bi n bao g m LDAPActive. ế B t kỳ lo i máy ch c
th c v i m t giao di n RADIUS có th đ c tích h p v i m t m ng không dây Meraki. ượ MCC cho phép m t qu n
tr viên đ c u hình các máy ch RADIUS nhi u đ chuy n đ i d phòng.
Khi m t máy ch RADIUS bên ngoài t ch c đ c s d ng v i m t trong hai ki m soát truy c p d a trên MAC ượ
ho c WPA2 Enterprise v i xác th c 802.1x, AP Meraki ph i có kh năng đ ti p c n v i máy ch RADIUS. ế MCC
cung c p m t công c ki m tra cho phép m t qu n tr viên đ xác minh k t n i c a t t c các AP Meraki đ n máy ế ế
ch RADIUS, và đ ki m tra m t t p h p các thông tin ng i dùng ch ng l i các máy ch RADIUS. ườ c công c
ki m tra xu t hi n d i tab Configure trên trang Access Control. ướ
Khi m t máy ch RADIUS bên ngoài t ch c đ c s d ng v i đăng nh p trên trang splash, m t qu n tr viên có ượ
th c u hình Meraki m ng không dây đ s d ng m t máy ch RADIUS bên ngoài t ch c đ c th c ng i ườ
dùng. MCC ho t đ ng nh m t trung gian trong c u hình này đ cung c p (1) kinh nghi m ng i dùng m t k t ư ườ ế
thúc phù h p (ví d , ng i s d ng không dây không đ c trình bày v i các trang splash m t l n n a n u anh ta ườ ượ ế
l i c ng khác AP) và (2) tính năng k toán RADIUS. ế
N u trang đăng nh p splash đ c l u tr b i MCC, cu c trò chuy n là RADIUS m t trao đ i đ n gi n gi a cácế ượ ư ơ
MCC và RADIUS máy ch bên ngoài.
N u các d u hi u trên splash trang b n thân nó là bên ngoài t ch c, cu c trò chuy n liên quan đ n vi c trao đ iế ế
gi a các máy ch trang splash, MCC, và máy ch RADIUS. C th là:
1. Khách hàng liên k t không dây v i m ng không dây Meraki.ế
2. Ng i s d ng làm cho m t yêu c u ban đ u cho m t URL trong trình duy t web c a mình.ườ
3. AP Meraki chuy n h ng ng i dùng đ n m t URL trên máy ch trang splash. ướ ườ ế (Qu n tr viên c u hình
URLy trong MCC, d i tab Configure trên trang Trang Splash) Khi AP Meraki chuy n h ng ng i dùng đ nướ ướ ườ ế
máy ch trang splash, nó bao g m các thông s sau đây HTTP chuy n h ng HTTP: ướ
a. continue_url: URL mà ng i dùng yêu c u ban đ u.ườ Tham s này có th đ c gi i thích b i các ượ
máy ch trang splash đ quy t đ nh n i ng i s d ng nên đ c chuy n h ng n u ông xác th c thành công. ế ơ ườ ượ ướ ế
b. LOGIN_URL: URL MCC máy ch trang splash nên g i m t HTTP POST v i các thông tin thu
th p đ c t ng i s d ng (xem B c 4). ượ ườ ướ Tham s này là ch y thoát đ bao g m các continue_url nhúng bên
trong nó, và không nên đ c hi u b i các máy ch trang splash.ượ
c. ap_mac: đ a ch MAC c a AP Meraki mà ng i s d ng có liên quan. ườ
d. ap_name: Tên c a AP Meraki mà ng i dùng có liên quan (n u c u hình). ườ ế
e. ap_tags: Tags (n u c u hình) áp d ng cho AP Meraki mà ng i s d ng có liên quan.ế ườ
f. mauth: M t chu i m đ c s d ng b i MCC đ xác th c và an ninh. ượ
4. Splash trang ch bên ngoài hi n cho ng i dùng v i m t hình th c web n m b t các thông tin c a ng i ườ ườ
s d ng và gây ra ng i s d ng đ g i m t HTTP POST đ n MCC, b ng cách s d ng URL đ c ch đ nh trong ườ ế ượ
LOGIN_URL (xem B c 3).ướ HTTP POST này, máy ch bao g m các thông s sau:
a. username: tên ng i dùng mà ng i s d ng không dây cung c p cho các máy ch trang splash.ườ ườ
b. m t kh u: m t kh u mà ng i s d ng không dây cung c p cho các máy ch trang splash. ườ
c. success_url (tùy ch n): URL mà ng i dùng không dây đ c chuy n h ng n u ông đi qua xác ườ ượ ướ ế
th c.c máy ch trang splash có th s d ng tham s này đ ghi đè lên continue_url mà ng i s d ng yêu c u ườ
ban đ u.
5. MCC nh n đ c HTTP POST t y ch trang splash, và l n l t, s g i m t RADIUS Access-Request ượ ượ
t i máy ch RADIUS bên ngoài v i tên ng i dùng và m t kh u. ườ
6. Các máy ch RADIUS x RADIUS Access-Request t MCC, và đáp ng v i MCC v i m t RADIUS
Access-Ch p nh n ho c Access-Reject.ấậặ c máy ch RADIUS có th tùy ch n các thu c tính RADIUS v i MCC
đ th c thi trên ng i s d ng không dây. ườ
7. MCC x các ph n h i t y ch RADIUS và chuy n h ng ng i dùng không dây cho phù h p. ướ ườ
a. N u MCC nh n đ c m t thông báo Access-Accept t máy ch RADIUS, ng i s d ng đã xácế ượ ườ
th c thành công. MCC chuy n h ng ng i dùng đ n các URL ban đ u ông đã yêu c u (continue_url), ho c URL ướ ườ ế
đ c ch đ nh b i các máy ch trang splash trong success_url (tùy ch n) (xem B c 4).ượ ướ
b. N u MCC nh n c m t thông báo Access-Reject t máy ch RADIUS, ng i s d ngế đượ ườ
ã không xác th c và c chuy n h ng tr l i URL c a máy ch trang splash ( b c 3).đ đượ ướ ướ
B i vì MCC c n liên l c v i m t máy ch RADIUS bên ngoài, MCC
ph i có kh năng đ ti p c n v i máy ch RADIUS. ế Yêu c u này có th
c n ph i thay đ i t ng l a cho phép các k t n i g i đ n máy ch ườ ế ế
RADIUS. N u máy ch RADIUS tr nên t m th i không có, khách hàngế
không dây hi n có (đã đ c xác th c) duy trì k t n i, nh ng khách hàng ượ ế ư
không dây m i không th đ c th c đ truy c p vào m ng.
RADIUS server
Network Policy Server (NPS) có th đ c s d ng nh m t máy ch RADIUS đ th c hi n xác th c, y quy n, ượ ư
và k toán cho các khách hàng RADIUS.ế M t khách hàng RADIUS có th là m t máy ch truy c p m ng ho c m t
proxy RADIUS.Khi NPS đ c s d ng nh m t máy ch RADIUS, nó cung c p nh ng đi u sau đây:ượ ư
M t trung tâm xác th c và d ch v y quy n cho t t c các yêu c u truy c p đ c g i b i máy khách ượ
RADIUS.
NPS s d ng m t Microsoft ® Windows NT ® Server 4.0 domain, m t Active Directory ® mi n, ho c
Security Accounts Manager (SAM) tài kho n ng i dùng c s d li u đ c th c thông tin ng i dùng ườ ơ ườ
cho các c g ng k t n i. ế NPS s d ng dial-thu c tính c a tài kho n ng i dùng và chính sách m ng cho ư
phép m t k t n i. ế
K toán ghi trung tâm d ch v cho t t c các yêu c u k toán đ c g i b i máy khách RADIUS.ế ế ượ
Yêu c u k toán đ c l u tr trong m t t p tin log đ a ph ng ho c Microsoft ® SQL ™ c s d li u đ ế ượ ư ươ ơ
phân tích.
Hình minh h a sau đây cho th y NPS nh m t máy ch RADIUS cho m t lo t các khách hàng truy c p, và cũng ư
cho th y m t RADIUS proxy. NPS s d ng m t Directory domain ® đăng nh p đ xác th c thông tin ng i dùng ườ
c a RADIUS đ n tin nh n Access-Request. ế
Khi NPS đ c s d ng nh m t máy ch RADIUS, tin nh n RADIUS cung c p xác th c, u quy n, và k toánượ ư ế
cho các k t n i truy c p m ng theo cách sau:ế
1. y ch truy c p, ch ng h n nh dial-up máy ch truy c p m ng, máy ch VPN, và các đi m truy c p ư
không dây, nh n đ c yêu c u k t n i t c khách hàng truy c p. ượ ế
2. Các máy ch truy c p, c u hình đ s d ng RADIUS xác th c, y quy n, và giao th c k toán, t o ra ế
m t thông báo Access-Request và g i nó đ ny ch NPS. ế
3. Các máy ch NPS đánh giá đ c thông báo Access-Request. ượ
4. N u có yêu c u, máy ch NPS g i m t thông báo Access-Challenge đ n máy ch truy c p.ế ế Các máy ch
truy c p x các thách th c và g i m t yêu c u truy c p đ c c p nh t cho các máy ch NPS. ượ
5. Các thông tin ng i dùng đ c ki m tra và dial-in thu c tính c a tài kho n ng i dùng đ c thu đ cườ ượ ườ ượ ượ
b ng cách s d ng m t k t n i an toàn v i m t b đi u khi n mi n. ế
6. N l c k t n i đ c y quy n v i c dial-in thu c tính c a tài kho n ng i dùng và chính sách m ng. ế ượ ườ
7. N u n l c k t n i đ c c hai xác th c và y quy n, máy ch NPS g i m t thông báo Access-Acceptế ế ượ
đ n máy ch truy c p.ế
N u n l c k t n i ho c không xác nh n ho c không đ c u quy n, máy ch NPS g i m t thông báoế ế ượ
Access-Reject đ n máy ch truy c p.ế
8. Các máy ch truy c p hoàn t t quá trình k t n i v i các khách hàng truy c p và g i m t thông báo ế
Accounting-Request máy ch NPS, n i mà tin nh n đ c đăng nh p. ơ ượ
9. Các máy ch NPS s g i m t k toán đáp ng đ n máy ch truy c p. ế ế
Ghi
Các máy ch truy cp cũng s gi tin nhn Accounting-Request trong thi gian mà kết ni được thiết lp,
khi kết ni truy cp ca khách hàng được đóng li, và khi các máy ch truy cp được bt đu và dng li.
B n có th s d ng NPS nh m t máy ch RADIUS khi: ư
B n đang s d ng Windows NT Server 4.0 domain, m t mi n Active m c, ho c c s d li u SAM tài ơ
kho n ng i dùng đ a ph ng nh c s d li u tài kho n ng i dùng c a b n cho khách hàng truy c p. ườ ươ ư ơ ườ
B n đang s d ng đ nh tuy n và truy c p t xa trên nhi u dial-up máy ch , máy ch VPN, ho c các thi t ế ế
b đ nh tuy n demand-dial và b n mu n t p trung c hai c u hình các chính sách m ng và k t n i đăng ế ế
nh p k toán. ế
B n đang gia công ph n m m dial-up, VPN, ho c truy c p không dây cho m t nhà cung c p d ch v . Các
y ch truy c p s d ng RADIUS đ xác th c và y quy n cho các k t n i đ c th c hi n b i các thành ế ượ
viên c a t ch c c a b n.
B n mu n t p trung xác th c, y quy n, và k toán cho m t t p h p không đ ng nh t c a các máy ch ế
truy c p.
Ghi
Trong Internet Authentication Service (IAS) trong Windows Server ® 2003 h thng điu hành, chính sách
mng được gi là chính sách truy cp t xa.
T xa xác th c Dial-Ng i dùng d ch v (RADIUS ườ ) máy ch đ c ph bi n trong các m ng doanh ượ ế
nghi p đ cung c p t p trung xác th c, u quy n và k toán (AAA) đ ki m soát truy c p. ế Tuy
nhiên, các máy ch RADIUS cũng có th có ích trong các m ng v a và nh đ cho phép xác th c
802.1X và b o m t WPA2 (802.11i) cho m ng l i Wi-Fi. ướ
Chúng tôi đã th nghi m b n máy ch RADIUS mà các doanh nghi p nh h n có th xem xét: ơ
Elektron, ClearBox, Microsoft Network Policy Server t Windows Server 2008 R2, và FreeRADIUS.
Chúng tôi đo d dàng ch t l ng, l p đ t và c u hình c a tài li u h ng d n và kh năng tùy ch nh ư ướ
c u hình. T t c các nhà cung c p ghi bàn, v i ClearBox trên đ u trang và Elektron c n th hai,
FreeRADIUS và Windows Server NPS bu c th ba.
Elektron ($ 750) là m t entry-level và thân thi n v i ng i s d ng máy ch . ườ ClearBox (599 $) là
m t l a ch n tuy t v i cho các m ng nh , nh ng nó cũng có quy mô m ng l i l n h n.Microsoft ư ướ ơ
Windows Server 2008 R2 NPS có th đ c đ a ra cho các t ch c đã đ c ch y m t Windows ượ ư ượ
Server, mi n là h không c n t t c các tính năng tiên ti n và h tr c s d li u. ế ơ Và FreeRADIUS
( mã ngu n m ) là m t s l a ch n v ng ch c và kinh t đ qu n tr viên Unix / ế Linux cung c p
các tuỳ bi n và tính linh ho t.ế
D i đây là nh ng đánh giá cá nhân:ướ
Elektron
Các máy ch RADIUS Elektron t Periodik Labs là m t Windows giao di n d a trên máy ch đó là
m c tiêu h ng t i xác th c ướ không dây cho các m ng v a và nh , nh ng h tr các m c đích khác ư
AAA cũng. Nó đ c cung c p nh là m t 30-ngày dùng th mi n phí và sau đó chi phí $ 750 choượ ư
m t gi y phép máy ch duy nh t.
Elektron có th ch y tn Windows XP Pro, Vista, Windows 7 và Windows Server 2003 và
2008. Ngoài ra còn có m t phiên b n Mac OS X ch y trên 10,5 ho c sau này ho c v i b vi x
Intel Core Duo ho c b x lý t t h n. ơ C hai yêu c u ít nh t 512MB b nh và 20MB không gian
đĩa mi n phí.
Elektron h tr các ph ng pháp xác th c sau đây: PEAP, TTLS, EAP-FAST, EAP-TLS, LEAP, PAP, ươ
CHAP, MS-CHAP, MS-CHAPv2, EAP-MS-CHAPv2, EAP-MD5, EAP-GTC, và EAP- OTP. Nó cũng
h tr các c s d li u cho các d li u tài kho n ng i dùng sau đây: n i b c s d li u (c u ơ ườ ơ
hình thông qua giao di n đ c g iTài kho n Elektron), các tài kho n Windows, Mac OS X ượ
Directory Services, Active Directory và th m c LDAP khác, SQL và các ngu n ODBC d li u khácư
tuân th , t xa RADIUS máy ch và Script.
Chúng tôi đã th nghi m Elektron Phiên b n 2.2 trong Windows Server 2008 R2 trên m t máy o
VMware. Vi c cài đ t r t đ n gi n và ch m t kho ng m t phút. ơ Nó s d ng m t trình cài đ t
Windows đi n hình và không nh c chúng tôi cho b t kỳ cài đ t liên quan đ n máy ch . ế