Thi t l p nh n th c Wi-Fi trong Windows Server 2008 – Ph n 1ế
B n in Chia
s
Qu n tr m ng – T i sao doanh nghi p s d ng ch đ Enterprise c a mã hóa WPA/WPA2 v i nh n ế
th c 802.1X cho các m ng không dây c a h và thi t l p Windows Server 2008 làm vi c nh m t ế ư
máy ch RADIUS.
N u th c thi k t n i Wi-Fi trong m ng doanh nghi p c a mình, b n nên s d ng ch đ Enterpriseế ế ế
c a b o m t Wi-Fi Protected Access (WPA ho c WPA2) – t t nh t là WPA2 v i mã hóa AES.
Ch đ Enterprise này s d ng nh n th c 802.1X, đây là ki u nh n th c cung c p các khóa mã hóaế
duy nh t cho m i session ng i dùng. Còn ch đ Personal s d ng các khóa ti n chia s Pre-Shared ườ ế
Key (PSK), đây là các mã hóa tĩnh và không đ an toàn cho các doanh nghi p ho c các t ch c.
Ch đ Enterprise c a WPA/WPA2 có m t s u đi m quan tr ng:ế ư
Ng i dùng k t cu i có th đăng nh p b ng username và password c a tài kho n mi n c a hườ ế
n u b n s d ng Active Directory. Có th thay đ i các ch ng ch đăng nh p cũng nh thu h i quy nế ư
truy c p c a m t ng i dùng nào đó. N u s d ng ch đ Personal, m i ng i s đăng nh p v i ườ ế ế ườ
cùng m t khóa mã hóa tĩnh. Vì v y n u m t laptop nào đó b m t c p, b n c n ph i thay đ i khóa ế
mã hóa cho t t c các máy khách khác – v i ch đ Enterprise b n s không g p ph i đi u này. ế
Ch đ này cho phép b o m t khóa mã hóa t t h n. PSK c a ch đ Personal r t d đoán b iế ơ ế
các t n công brute-force dictionary.
Ng i dùng k t cu i s nh n m t cách an toàn các khóa mã hóa duy nh t cho m i session.ườ ế
Cho ví d , các nhân viên khác không th can thi p vào l u l ng không dây c a ng i khác gi ng ư ượ ườ
nh trong ch đ Personal.ư ế
Ch đ này h tr các m ng VLAN t t h n. B n có th c p m t wireless network (SSID) choế ơ
t t c ng i dùng, g m có các nhân viên và các khách hàng. Có th gán cho ng i dùng các VLAN ườ ư
khác nhau trong máy ch RADIUS và đ t h vào m t VLAN đ c gán khi h k t n i không dây. ượ ế
Ch có m t v n đ v i ch đ Enterprise là vi c thi t l p máy ch Remote Authentication Dial In ế ế
User Service (RADIUS) và vi c c u hình các máy khách. Công vi c này yêu c u khá nhi u th i gian
(và nhi u kinh phí h n n u b n ch a có máy ch Windows) trong thi t l p máy ch và c u hình các ơ ế ư ế
đi m truy c p không dây (AP). Thêm vào đó Windows cũng không cho phép d dàng k t n i v i các ế
ki u m ng này, do đó b n ph i nh thêm s tr giúp c a nh ng ng i có chuyên môn. ườ
Nh nh ng gì b n có th d đoán, máy ch Windows hi n có ch c năng RADIUS server cho phépư
th c hi n nh n th c 802.1X. Do đó mà các b n không c n ph i mua riêng m t máy ch RADIUS
ho c c n ph i tìm hi u v s n ph m máy ch mã ngu n m nh FreeRADIUS. Ch c năng RADIUS ư
c a Windows Server đã đ c đ c p tr c đây trong nhi u phiên b n Windows Server 2000 và 2003, ượ ướ
do đó trong bài này chúng tôi s gi i thi u vi c s d ng nó trong phiên b n Windows Server 2008.
B t đ u t Windows Vista và Windows Server 2008, Microsoft đã gi i thi u m t tính năng m i mang
tên Network Policy Server (NPS). Tính năng Network Policy Server (NPS) c a Microsoft cho phép b n
thi hành các chính sách s c kh e cho các máy khách theo các tính năng ho c thi t l p d i đây: ế ướ
Truy n thông Internet Protocol security (IPsec)
Các k t n i nh n th c 802.1Xế
K t n i VPNế
C u hình Dynamic Host Configuration Protocol (DHCP)
Các k t n i Terminal Services Gateway (TSế Gateway)
NPS cũng thay th và tích h p Internet Authenticate Service (IAS) có trong các phiên b n tr c c aế ướ
Windows Server. N u b n quan tâm t i toàn b các tính năng NPS c a Windows Server 2008, hãyế
tham kh o bài vi t b ng ti ng Anh ế ế t i đây.
Các l u ý và yêu c u tr c khi th c thiư ướ
Trong h ng d n này, chúng ta s ch thi t l p ch c năng RADIUS c a NPS. Chúng ta s s d ngướ ế
Extensible Authentication Protocol (EAP)—Protected EAP (PEAP) m t cách chi ti t. Đ th c thi nh n ế
th c 802.1X yêu c u b n c n có m t ch ng ch b o m t máy ch . Ng i dùng đăng nh p b ng ườ
username và password c a các tài kho n đ c đ nh nghĩa trong Active Directory trên Windows Server. ượ
C n l u ý r ng b n c n có m t b đi u khi n không dây ho c AP đ c c u hình b ng m t đ a ch IP ư ượ
tĩnh. Sau đó c n t o m t entry trong Windows Server cho m i AP v i đ a ch IP c a nó và bí m t chia
s .
C n b o đ m b n đã th c hi n c u hình ban đ u c a Windows Server 2008. Thi t l p th i gian vùng, ế
k t n i v i m ng b ng m t đ a ch IP tĩnh, đ t tên cho máy ch , kích ho t t đ ng nâng c p, cài đ tế
các nâng c p có s n.
B n cũng c n có m t Active Directory Domain setup. B o đ m r ng Active Directory Domain
Services role đ c kích ho t và b n đã c u hình nó v i ti n íchượ dcpromo.exe.
Cài đ t Certificate Services role
Đ s d ng giao th c PEAP, b n ph i cài đ t Certificate Services role. Role Certificate Services cho
phép b n t o m t Certificate Authority (CA) đ gán ch ng ch yêu c u t i máy ch . đây máy khách
có th h p l hóa máy ch tr c khi g i các ch ng ch đăng nh p c a nó. ướ
Trong c a s Initial Configuration Tasks, tìm đ n ph nế Add roles và kích nó. N u b n đã đóng ho cế
n c a s này, hãy kích Start > Server Manager, ch n Roles, kích Add Roles.
Ch n Active Directory Certificate Services (xem trong hình 1), kích Next.
Hình 1: Ch n cài đ t Active Directory Certificate Services role
Kích Next trên màn hình. Sau đó ch n role Certification AuthorityCertificate Authority Web
Enrollment.Khi g p nh c nh (xem trong hình 2), kích Add Required Role Services. Sau đó
kích Next đ ti p t c. ế
Hình 2: C u hình b ng cách thêm các d ch v role
Ch n ki u Enterprise (hình 3) và kích Next.
Hình 3: Ch n ki u Enterprise
V i ki u CA, ch n Root CA (xem hình 4), kích Next.
Hình 4: Ch n Root CA
V i tùy ch n Set Up Private Key, ch n Create a new private key (xem hình 5), kích Next.