Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx Cisco ASA 5510, 18xx, 28xx, 38xx ) cho phép tạo User Profile router có nhược điểm số lượng người dùng bị giới hạn (thường khoảng 30-100 người dùng) gây khó khăn việc sử dùng người dùng phải nhớ nhiều loại mật (mật đăng nhập vào VPN Server, mật đăng nhập vào AD ) Sử dụng xác thực RADIUS Server, người dùng sử dụng mật AD để truy xuất từ xa tới đăng nhập vào VPN Server Router Hơn nữa, sau xác thực với RADIUS Server thành công, người dùng truy cập vào tài nguyên mạng nội thư mục chia sẻ, máy in mà không cần phải đăng nhập lại Quản trị mạng quản lý kiểm tra việc sử dụng người dùng thông qua file log (text / MS SQL) RADIUS Server Ngoài ra, RADIUS Server sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access Server (NAS) khác Remote Desktop Gateway (xác thực người dùng truy cập máy tính từ ra), DHCP Server (cấp phát IP dựa xác thực người dùng) Vì cần sử dụng RADIUS server để xác thực người dùng? Trong môi trường domain, lý tăng cường mức độ bảo mật ta không muốn join máy VPN server ISA server vào domain Vậy VPN/ISA server xác thực người dùng (user domain)? Nếu ta sử dụng VPN server firewall cứng (không phải máy tính cài Windows để join domain) tương tự VPN/firewall xác thực người dùng (user domain)? Vậy để xác thực người dùng ta cần server trung gian DC VPN/ISA server (server join domain để truy cập AD).Server nhận yêu cầu xác thực từ VPN/ISA server truy cập AD để xác thực trả kết cho VPN/ISA server Server gọi RADIUS server Bên Hosted RADIUS server Nhiều tổ chức có xác thực người dùng hành máy chủ thư mục mà họ muốn sử dụng để kiểm soát truy cập mạng LAN không dây Các loại máy chủ phổ biến bao gồm LDAP Active Bất kỳ loại máy chủ xác thực với giao diện RADIUS tích hợp với mạng không dây Meraki MCC cho phép quản trị viên để cấu hình máy chủ RADIUS nhiều để chuyển đổi dự phòng Khi máy chủ RADIUS bên tổ chức sử dụng với hai kiểm soát truy cập dựa MAC WPA2 Enterprise với xác thực 802.1x, AP Meraki phải có khả để tiếp cận với máy chủ RADIUS MCC cung cấp công cụ kiểm tra cho phép quản trị viên để xác minh kết nối tất AP Meraki đến máy chủ RADIUS, để kiểm tra tập hợp thông tin người dùng chống lại máy chủ RADIUS Các công cụ kiểm tra xuất tab Configure trang Access Control Khi máy chủ RADIUS bên tổ chức sử dụng với đăng nhập trang splash, quản trị viên cấu hình Meraki mạng không dây để sử dụng máy chủ RADIUS bên tổ chức để xác thực người a b c d e f a b c dùng MCC hoạt động trung gian cấu hình để cung cấp (1) kinh nghiệm người dùng kết thúc phù hợp (ví dụ, người sử dụng không dây không trình bày với trang splash lần lại cộng khác AP) (2) tính kế toán RADIUS Nếu trang đăng nhập splash lưu trữ MCC, trò chuyện RADIUS trao đổi đơn giản MCC RADIUS máy chủ bên Nếu dấu hiệu splash trang thân bên tổ chức, trò chuyện liên quan đến việc trao đổi máy chủ trang splash, MCC, máy chủ RADIUS Cụ thể là: Khách hàng liên kết không dây với mạng không dây Meraki Người sử dụng làm cho yêu cầu ban đầu cho URL trình duyệt web AP Meraki chuyển hướng người dùng đến URL máy chủ trang splash (Quản trị viên cấu hình URL MCC, tab Configure trang Trang Splash) Khi AP Meraki chuyển hướng người dùng đến máy chủ trang splash, bao gồm thông số sau HTTP chuyển hướng HTTP: continue_url: URL mà người dùng yêu cầu ban đầu Tham số giải thích máy chủ trang splash để định nơi người sử dụng nên chuyển hướng ông xác thực thành công LOGIN_URL: URL MCC máy chủ trang splash nên gửi HTTP POST với thông tin thu thập từ người sử dụng (xem Bước 4) Tham số chạy thoát để bao gồm continue_url nhúng bên nó, không nên hiểu máy chủ trang splash ap_mac: địa MAC AP Meraki mà người sử dụng có liên quan ap_name: Tên AP Meraki mà người dùng có liên quan (nếu cấu hình) ap_tags: Tags (nếu cấu hình) áp dụng cho AP Meraki mà người sử dụng có liên quan mauth: Một chuỗi mờ sử dụng MCC để xác thực an ninh Splash trang chủ bên cho người dùng với hình thức web nắm bắt thông tin người sử dụng gây người sử dụng để gửi HTTP POST đến MCC, cách sử dụng URL định LOGIN_URL (xem Bước 3) HTTP POST này, máy chủ bao gồm thông số sau: username: tên người dùng mà người sử dụng không dây cung cấp cho máy chủ trang splash mật khẩu: mật mà người sử dụng không dây cung cấp cho máy chủ trang splash success_url (tùy chọn): URL mà người dùng không dây chuyển hướng ông qua xác thực Các máy chủ trang splash sử dụng tham số để ghi đè lên continue_url mà người sử dụng yêu cầu ban đầu MCC nhận HTTP POST từ máy chủ trang splash, lần lượt, gửi RADIUS Access-Request tới máy chủ RADIUS bên với tên người dùng mật Các máy chủ RADIUS xử lý RADIUS Access-Request từ MCC, đáp ứng với MCC với RADIUS Access-Chấp nhận Access-Reject Các máy chủ RADIUS tùy chọn thuộc tính RADIUS với MCC để thực thi người sử dụng không dây MCC xử lý phản hồi từ máy chủ RADIUS chuyển hướng người dùng không dây cho phù hợp a Nếu MCC nhận thông báo Access-Accept từ máy chủ RADIUS, người sử dụng xác thực thành công MCC chuyển hướng người dùng đến URL ban đầu ông yêu cầu (continue_url), URL định máy chủ trang splash success_url (tùy chọn) (xem Bước 4) b Nếu MCC nhận thông báo Access-Reject từ máy chủ RADIUS, ng ười s dụng không xác thực chuyển hướng tr lại URL máy chủ trang splash ( b ước 3) Bởi MCC cần liên lạc với máy chủ RADIUS bên ngoài, MCC phải có khả để tiếp cận với máy chủ RADIUS Yêu cầu cần phải thay đổi tường lửa cho phép kết nối gửi đến máy chủ RADIUS Nếu máy chủ RADIUS trở nên tạm thời không có, khách hàng không dây có (đã xác thực) trì kết nối, khách hàng không dây để xác thực để truy cập vào mạng RADIUS server Network Policy Server (NPS) sử dụng máy chủ RADIUS để thực xác thực, ủy quyền, kế toán cho khách hàng RADIUS Một khách hàng RADIUS máy chủ truy cập mạng proxy RADIUS.Khi NPS sử dụng máy chủ RADIUS, cung cấp điều sau đây: • Một trung tâm xác thực dịch vụ ủy quyền cho tất yêu cầu truy cập gửi máy khách RADIUS NPS sử dụng Microsoft ® Windows NT ® Server 4.0 domain, Active Directory ® miền, Security Accounts Manager (SAM) tài khoản người dùng sở liệu để xác thực thông tin người dùng cho cố gắng kết nối NPS sử dụng dial-thuộc tính tài khoản người dùng sách mạng cho phép kết nối • Kế toán ghi trung tâm dịch vụ cho tất yêu cầu kế toán gửi máy khách RADIUS Yêu cầu kế toán lưu trữ tập tin log địa phương Microsoft ® SQL ™ sở liệu để phân tích Hình minh họa sau cho thấy NPS máy chủ RADIUS cho loạt khách hàng truy cập, cho thấy RADIUS proxy NPS sử dụng Directory domain ® đăng nhập để xác thực thông tin người dùng RADIUS đến tin nhắn Access-Request Khi NPS sử dụng máy chủ RADIUS, tin nhắn RADIUS cung cấp xác thực, uỷ quyền, kế toán cho kết nối truy cập mạng theo cách sau: Máy chủ truy cập, chẳng hạn dial-up máy chủ truy cập mạng, máy chủ VPN, điểm truy cập không dây, nhận yêu cầu kết nối từ khách hàng truy cập Các máy chủ truy cập, cấu hình để sử dụng RADIUS xác thực, ủy quyền, giao thức kế toán, tạo thông báo Access-Request gửi đến máy chủ NPS Các máy chủ NPS đánh giá thông báo Access-Request Nếu có yêu cầu, máy chủ NPS gửi thông báo Access-Challenge đến máy chủ truy cập Các máy chủ truy cập xử lý thách thức gửi yêu cầu truy cập cập nhật cho máy chủ NPS Các thông tin người dùng kiểm tra dial-in thuộc tính tài khoản người dùng thu cách sử dụng kết nối an toàn với điều khiển miền Nỗ lực kết nối ủy quyền với dial-in thuộc tính tài khoản người dùng sách mạng Nếu nỗ lực kết nối hai xác thực ủy quyền, máy chủ NPS gửi thông báo AccessAccept đến máy chủ truy cập Nếu nỗ lực kết nối không xác nhận không uỷ quyền, máy chủ NPS gửi thông báo Access-Reject đến máy chủ truy cập Các máy chủ truy cập hoàn tất trình kết nối với khách hàng truy cập gửi thông báo Accounting-Request máy chủ NPS, nơi mà tin nhắn đăng nhập Các máy chủ NPS gửi kế toán đáp ứng đến máy chủ truy cập Ghi Các máy chủ truy cập gửi tin nhắn Accounting-Request thời gian mà kết nối thiết lập, kết nối truy cập khách hàng đóng lại, máy chủ truy cập bắt đầu dừng lại Bạn sử dụng NPS máy chủ RADIUS khi: • Bạn sử dụng Windows NT Server 4.0 domain, miền Active mục, sở liệu SAM tài khoản người dùng địa phương sở liệu tài khoản người dùng bạn cho khách hàng truy cập • Bạn sử dụng định tuyến truy cập từ xa nhiều dial-up máy chủ, máy chủ VPN, thiết bị định tuyến demand-dial bạn muốn tập trung hai cấu hình sách mạng kết nối đăng nhập kế toán • Bạn gia công phần mềm dial-up, VPN, truy cập không dây cho nhà cung cấp dịch vụ Các máy chủ truy cập sử dụng RADIUS để xác thực ủy quyền cho kết nối thực thành viên tổ chức bạn • Bạn muốn tập trung xác thực, ủy quyền, kế toán cho tập hợp không đồng máy chủ truy cập Ghi Trong Internet Authentication Service (IAS) Windows Server ® 2003 hệ thống điều hành, sách mạng gọi sách truy cập từ xa Từ xa xác thực Dial-Người dùng dịch vụ (RADIUS) máy chủ phổ biến mạng doanh nghiệp để cung cấp tập trung xác thực, uỷ quyền kế toán (AAA) để kiểm soát truy cập Tuy nhiên, máy chủ RADIUS có ích mạng vừa nhỏ phép xác thực 802.1X bảo mật WPA2 (802.11i) cho mạng lưới Wi-Fi Chúng thử nghiệm bốn máy chủ RADIUS mà doanh nghiệp nhỏ xem xét: Elektron, ClearBox, Microsoft Network Policy Server từ Windows Server 2008 R2, FreeRADIUS Chúng đo dễ dàng chất lượng, lắp đặt cấu hình tài liệu hướng dẫn khả tùy chỉnh cấu hình Tất nhà cung cấp ghi bàn, với ClearBox đầu trang Elektron cận thứ hai, FreeRADIUS Windows Server NPS buộc thứ ba Elektron ($ 750) entry-level thân thiện với người sử dụng máy chủ ClearBox (599 $) lựa chọn tuyệt vời cho mạng nhỏ, có quy mô mạng lưới lớn hơn.Microsoft Windows Server 2008 R2 NPS đưa cho tổ chức chạy Windows Server, miễn họ không cần tất tính tiên tiến hỗ trợ sở liệu Và FreeRADIUS ( mã nguồn mở ) lựa chọn vững kinh tế để quản trị viên Unix / Linux cung cấp tuỳ biến tính linh hoạt Dưới đánh giá cá nhân: Elektron Các máy chủ RADIUS Elektron từ Periodik Labs Windows giao diện dựa máy chủ mục tiêu hướng tới xác thực không dây cho mạng vừa nhỏ, hỗ trợ mục đích khác AAA Nó cung cấp 30-ngày dùng thử miễn phí sau chi phí $ 750 cho giấy phép máy chủ Elektron chạy Windows XP Pro, Vista, Windows Windows Server 2003 2008 Ngoài có phiên Mac OS X chạy 10,5 sau với vi xử lý Intel Core Duo xử lý tốt Cả hai yêu cầu 512MB nhớ 20MB không gian đĩa miễn phí Elektron hỗ trợ phương pháp xác thực sau đây: PEAP, TTLS, EAP-FAST, EAP-TLS, LEAP, PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-MS-CHAPv2, EAP-MD5, EAP-GTC, EAP- OTP Nó hỗ trợ sở liệu cho liệu tài khoản người dùng sau đây: nội sở liệu (cấu hình thông qua giao diện gọi Tài khoản Elektron), tài khoản Windows, Mac OS X Directory Services, Active Directory thư mục LDAP khác, SQL nguồn ODBC liệu khác tuân thủ, từ xa RADIUS máy chủ Script Chúng thử nghiệm Elektron Phiên 2.2 Windows Server 2008 R2 máy ảo VMware Việc cài đặt đơn giản khoảng phút Nó sử dụng trình cài đặt Windows điển hình không nhắc cho cài đặt liên quan đến máy chủ Ngay sau cài đặt, tìm thấy Setup Wizard để cấu hình Elektron để xác thực không dây Nó nhắc nhở tạo mật (chia sẻ bí mật) cho điểm truy cập không dây (RADIUS client) giúp cấu hình / tạo chứng máy chủ Thuật sĩ hữu ích, cải thiện cách cho phép bạn nhập mật cho điểm truy cập cá nhân tạo nhận tất mục nhập cho điểm truy cập, mà phương pháp an toàn Sau dùng Setup Wizard, bị bỏ lại bóng tối bước Vì kinh nghiệm với trình RADIUS, biết phải cấu hình nhà cung cấp xác thực (chúng sử dụng sở liệu nội bộ) thông tin tài khoản người dùng đầu vào (chúng tạo người dùng trang Tài khoản Elektron).Tuy nhiên, người không quen thuộc với RADIUS bị nhầm lẫn thuật sĩ không bao gồm điều phần Getting Started tài liệu hướng dẫn bỏ qua tốt Tuy nhiên, sau cấu hình điểm truy cập không dây với WPA2-Enterprise, để xác thực thông qua Nghị định thư Protected Extensible Authentication (PEAP) ... hướng người dùng đến máy chủ trang splash, bao gồm thông số sau HTTP chuyển hướng HTTP: continue_url: URL mà người dùng yêu cầu ban đầu Tham số giải thích máy chủ trang splash để định nơi người sử... ủy quyền, kế toán cho khách hàng RADIUS Một khách hàng RADIUS máy chủ truy cập mạng proxy RADIUS.Khi NPS sử dụng máy chủ RADIUS, cung cấp điều sau đây: • Một trung tâm xác thực dịch vụ ủy quyền... nhiều dial-up máy chủ, máy chủ VPN, thiết bị định tuyến demand-dial bạn muốn tập trung hai cấu hình sách mạng kết nối đăng nhập kế toán • Bạn gia công phần mềm dial-up, VPN, truy cập không dây cho