CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service
Microsoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS (Remote Authentication Dial In User Service) server được dùng để xác thực Users kết nối đến ISA Server 2004 Firewall machine. Bạn có thể dùng IAS để xác thực các Web Proxy clients trên Internal Network hay VPN clients, VPN gateways đang tiến hành kết nối từ một External Network location (ví dụ như từ một văn Phòng chi nhánh của công ty). Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượng này kết nối đến các Web servers đã được published thông qua Web Publishing rules trên ISA Server 2004
Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SA Server 2004 Firewall computer không cần phải là thành viên của Active Directory Domain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đang nằm trong Active Directory database thuộc Internal Network. Nhiều Firewall administrators khuyến cáo rằng không nên để Firewall Computer là thành viên trong Domain User. Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và qua đó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vào Nội bộ Network .
Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 Firewall làm thành viên của Internal Network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client để cung cấp các xác thực hợp pháp cho ISA Server khi các Firewall Clients này truy cập đến tất cả các giao thức TCP và UDP. Chính vì lý do này, chúng ta sẽ tạo một ISA Server 2004 Firewall computer làm một thành viên của Internal Domain. Tuy nhiên nếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực các VPN và Web Proxy clients.
Các công việc tiếp theo sẽ là:
Cài đặt và cấu hình Microsoft Internet Authentication Service
Microsoft Internet Authentication Service server là một RADIUS server. Chúng ta sẽ sử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năng RADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức một RADIUS server xác thực PN clients như thế nào)
Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trên domain controller EXCHANGE2003BE thuộc Internal Network:
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, kéo xuống Components list và chọn Networking Services entry. Click Details.
4. Check vào Internet Authentication Service checkbox và click OK.
5. Click Next trên Windows Components page.
6. Click Finish trên Completing the Windows Components Wizard page.
7. Đóng Add or Remove Programs
Tiếp theo chúng ta sẽ cấu hình Internet Authentication Service
Cấu hình Microsoft Internet Authentication Service
Bạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004 Firewall computer. Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc với ISA Server 2004 Firewall. Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server.
Tiến hành các bước sau với Domain controller trên Internal Network để cấu hình IAS server:
1. Click Start, Administrative Tools. Click Internet Authentication Service.
2. Trong Internet Authentication Service console, mở rộng Internet Authentication
Service (Local) node. Right click trên RADIUS Clients node và click New RADIUS
Client.
3. Trên Name and Address page của New RADIUS Client wizard, điền vào Friendly-name của ISA Server 2004 Firewall computer trong Friendly name text box. Đơn giản là tên này được dùng để xác định RADIUS client và không được sử dụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004 Firewall computer trong Client address (IP or DNS) text box.
4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name của ISA Server 2004 Firewall computer sẽ xuất hiện trong Client text box. Click Resolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong IP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điều này lưu ý với Admin rằng: hostname của ISA Server 2004 Firewall chưa được tạo trong DNS server (chưa tạo record choISA Server). Nếu trường hợp này xảy ra, bạn có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface (10.0.0.1) của ISA Server 2004 Firewall trong Client address (IP and DNS) text box thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Client dialog box. Mục đích của các xác lập trong phần này là biến ISA Server 2004 Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộng tác.
5. Click Next trên Name and Address page của New RADIUS Client wizard.
6. Trên Additional Information page của wizard, dùng default Client-Vendor entry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box và xác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server và RADIUS Client- ISA Server 2004 Firewall biết), và dùng “tín hiệu” này để làm việc với nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt..). Check vào Request must contain the Message Authenticator attribute check box. Click Finish.
7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console
8. Đóng Internet Authentication Service console.
Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA Server 2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ Web và VPN client.
Kết luận:
Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc Internal Network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của Web/VPN Clients) truy cập vào Web/VPN server.
(Mời các bạn đón đọc Chương 4..)
Chương trước:
Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 2 Cài đặt Certificate Services
Ho Viet Ha - Owner
Network Information Security Vietnam, Inc.
http://nis.com.vn
Email: [email protected]