Chương 2 Giao thức mạng riêng ảo tại tẩng 2
6.2. Triển khai mạng riêng ảo truy cập từ xa
6.2.1.3. Triển khai một cơ sở hạ tầng AAA
Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được
xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo truy cập từ xa bao gồm
- Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm - Cấu hình máy chủ xác thực Internet IAS chính
- Cấu hình IAS với các Client RADIUS
- Cấu hình chính sách mạng riêng ảo truy cập từ xa
Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm
Dịch vụ thư mục là trung tâm bảo mật của mạng riêng ảo
+ Phải đảm bảo rằng tất cả người dùng tạo kết nối truy cập từ xa có một tài khoản tương ứng
+ Thiết lập mức cho phép truy cập từ xa trên tài khoả để cho phép truy cập hay từ chối truy cập để quản lý truy câp từ xa theo người dùng hoặc theo nhóm thơng qua chính sách truy cập từ xa
+ Tổ chức những người dùng từ xa thành nhóm thích hợp để thuận tiện trong việc áp dụng chính sách truy cập từ xa theo nhóm
Cấu hình máy chủ IAS chính
Máy chủ IAS sẽ cho phép ta xử lý tất các các liên lạc liên quan tới xác thực và cấp quyền. Đây sẽ là nguồn tài nguyên máy chủ sống còn và việc mất các dịch vụ xác thực có thể làm dừng hoạt động của tồn mạng, Vì vậy cần thiết phải có IAS thứ 2 để dự phịng
Máy chủ IAS chính phải có khả năng truy cập các thuộc tính tài khoản trong các Domain thích hợp. Nếu IAS đang được cài trên một máy điều khiển miền, khơng u cầu phải cấu hình cho IAS truy cập các thuộc tính tài khoản trong Domain mà nó thuộc. Nếu IAS khơng được cài trên một máy điều khiển miền, ta phải cấu hình máy chủ IAS chính để nó có thể đọc các thuộc tính của tài khoản người dùng trong Domain
Nếu máy chủ IAS xác thực và cấp quyền cho các nổ lực kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác, kiểm tra lại xem các Domain khac có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên hay khơng.
Nếu các tài khoản trong các Domain khác nhau khơng có quan hệ tin cậy hai chiều với Domain mà IAS là thành viên, ta phải cấu hình một RADIUS uỷ quền giữa hai Domain khơng tin cậy nhau
Cấu hình IAS với Client RADIUS
Ta phải cấu hình máy chủ IAS chính với máy chủ mạng riêng ảo như Client RADIUS. Cấu hình này sẽ cho phép cả máy chủ IAS chính và phụ truy cập các dịch vụ RADIUS để xác thực người dùng.
Cấu hình chính sách truy cập từ xa
Chính sách truy cập từ xa sẽ cho phép đưa thêm các yêu cầu an toàn cho những người dùng truy cập đến mạng từ mạng bên ngồi. Nó sẽ định nghĩa những ai được phép truy cập hệ thống và cách họ được cho phép để truy cập nó. Chẳng hạn, nếu bạn muốn những người dùng từ xa truy cập máy chủ mạng riêng ảo chi nếu họ đang sử dụng L2TP/IPSec như một giao thức đường hầm hoặc chỉ nếu họ sử dụng EAP-TLS như một giao thức xác thực, chính sách truy cập từ xa định nghĩa các tham số mà chúng được cho phép sử dụng để kết nối