TRIỂN KHAI XÁC THỰC CHO ISA 2006 QUA RADIUS

SERVER

Trong mô hình mạng doanh nghiệp vừa và nhỏ việc xác thực User là rất cần (User có quyền truy
cập Web, mail hay VPN hay không).Nhưng trong bài toán triển khai ISA server thì không để
join ISA và DC để xác thực User, vì ISA được Public ra ngoài phải chịu sức tấn công rất lớn.
Mặc khác nếu Hacker chiếm được quyền của ISA thì có thể thông qua đó tấn công DC. Để khắc
phục bài toán này, mircosoft đã đưa ra giải pháp xác thực User thông qua RADIUS Server.

Trong phần này mình sẽ giới thiệu tới các bạn cách triển khai Radius Server để xác thực User
truy cập internet trong môi trường Domain có Firewall là ISA Server 2006.

Để triển khai bài Lab này bạn cần:

1. Một Server cài windows server 2003 nâng cấp lên Domain.
Địa chỉ IP: 172.16.1.1
Subnet Mash:255.255.255.0
DNS Server: 172.16.1.1
2. Một Server cài windows server 2003 cài đặt Raidus Server
Địa chỉ IP: 172.16.1.2
Subnet Mash:255.255.255.0
DNS Server: 172.16.1.1
3. Một Server cài windows server 2003 có hai card mạng(Một dùng để kết nối với Internal,
một kết nối với internet) cài ISA server 2006.
Card Internal:
Địa chỉ IP: 172.16.1.2
 Subnet Mash:255.255.255.0
DNS Server: 172.16.1.1
Card internet:Nếu dùng Vmware để giả lập thì bạn hãy để card này ở chế độ Bridged.
4. Một máy windows XP để test.
Địa chỉ IP: 172.16.1.10
Subnet Mash:255.255.255.0
DNS Server: 172.16.1.1

Các bước thực hiện chi tiết:

I. Cấu hình trên máy Radius Server.

Là bạn hãy Join máy Radius Server vào Domain Controller(saobacdau-acad.vn)-Vì
bước này là cơ bản lên mình sẽ không trình bày lại nữa.
Cài đặt Radius Server:
B1: Vào Start->Control Panel\ Add or Remove Programs\ Add remove windows
components.

B2: Bạn hãy kéo xuống dưới chọn Networking Services

B3:Chọn Details xong chọn Internet Authentication Service

B4: Chọn OK
B5: Vào Administrative Tolls\ chọn Internet Authentication Service
B6: Bạn vào Remote Access Policies chọn New Remote Access Policy
B7: Chọn Next

B8: Chọn Set up a custom policy sau đó hãy đặt tên cho Policy.
 B9: Chọn Add xong bạn lại chọn Windows-Groups xong bạn Domain Users

B10: Bạn chọn OK rồi chọn Next tiếp tới bạn chọn Grant Remote Access
Permission
 B11: Chọn Edit Profile

B12: Bạn vào Tab Authentication chọn Unencrypted authentication(PAP,

SPAP)
 B13: Vào Administrative Tolls\ chọn Internet Authentication Service để tạo
Radius Client.
B14: Chọn New RADIUS Client

B15: Bạn hãy điền thông tin vào ô Friendly name và địa chỉ IP của ISA server.
 B16: Chọn RADIUS Standard, trong ô Shared Secret bạn nhập vào mã mà bạn
muốn, ở đây mình nhập là abc123@.
Chọn Finish. Vậy là chúng ta đã xong quá trình cài đặt ở RADIUS server rồi.

II. Cấu hình trên máy ISA server 2006

Trước tiên bạn tạo một rule cho phép Internal trup cập Internet, rồi cấu hình thêm một
số thông số cần thiết để thiết lập quá trình xác thực bằng Radius server.
B1: Bạn vào Firewall Policy sau đó chọn New tiếp đó chọn Access Rule
B2: Đặt tên cho Rule(tùy ý) xong chọn Next

B3: Chọn Allow xong chọn Next.

B4: Chọn All outbound traffic xong chọn Next.

B5: Bạn hãy Add Access Rule Sources (chọn Internal vs Local Host)xong chọn
Next.
B6: Bạn Add Access Rule Destination là External.

B7: Chọn All User có quyền truy cập chọn Next rồi chọn Finish sau đó bạn nhớ hãy
chọn Apply nhé để có ISA server mới có thể apply được rule.
Tiếp theo ta điều chỉnh một số thông số:
B1: Bạn vào Network chọn Internal rồi Properties.

B2: Bạn vào tab Web Policy chọn Authentication

B3: Bỏ dấu tích ở ô Integrated, tích vào Require all user to authenticate. Tiếp đó
bạn chọn
B4: Bạn chọn RADIUS Server.

B5: Chọn Add

 B6: Trong Server name bạn hãy gõ IP của Radius server nhé, sau đó chọn Change
nhập Secret mà bạn đã cấu hình ở Radius server (abc123@).Tiếp đó chọn OK rồi
OK. Rồi bạn nhớ chọn Apply nhé!
III. Cấu hình trên máy Domain Controller
Ở bài này thì tại DC chỉ làm nhiệm vụ DNS, tạo các user để Radius xác thực quyền truy
cập Internet.Ở bài demo mình tạo một User: khoadv/abc123@.
IV. Đứng trên máy máy Client test
Nếu không có Radius server thì bất cứ máy client nào trong dải internal cũng có thể vào
được internet, nhưng khi đã có Radius thì phải yêu cầu nhập username và password mới
có thể access được internet.
Sauk hi bạn nhập Username và password thì khi nó mới truy cập được mạng. Việc tạo
Radius xác thực trên một số dịch vụ khác về việc cấu hình cũng tương tự.

Bài viết được thực hiện bởi: Dương Văn Khoa- Học viên Sao Bắc Đẩu.Nếu thấy hay
và ý nghĩa xin hãy Click Thanks để có động lực.