Giới thiệu bổ sung về Network Access Protection – P4

Trong phần này, chúng tôi sẽ hòan tất thủ tục cấu hình máy chủ. Bước đầu tiên trong việc thực hiện đó sẽ là tạo một chính sách mạng để có thể áp dụng cho bất cứ máy nào cần thẩm định thông qua máy chủ VPN.
Nội dung trích xuất từ tài liệu:
Giới thiệu bổ sung về Network Access Protection – P4Giới thiệu bổ sung về Network Access Protection – Phần 4Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạocác chính sách thẩm định cho cả các máy không đồng thuận và đồng thuận.Trong phần này, chúng tôi sẽ hòan tất thủ tục cấu hình máy chủ. Bước đầu tiêntrong việc thực hiện đó sẽ là tạo một chính sách mạng để có thể áp dụng cho bấtcứ máy nào cần thẩm định thông qua máy chủ VPN.Tạo một chính sách mạngBắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server vàđiều hướng trong cây giao diện đến NPS (Local) | Policies | Network Policies.Ở đây, panel chi tiết sẽ hiển thị các chính sách mạng đã tồn tại trước đó. Bạnhãy dành một chút để thẩm định xem các chính sách Compliant – Full Accessvà Noncompliant – Restricted có được kích hoạt hay không, và xem cả chínhsách Connections to Microsoft Routing và Remote Access Server có bị vôhiệu hóa hay không (chi tiết trong hình A bên dưới). Hình A: Bảo đảm rằng các chính sách Compliant – Full Access và Noncompliant – Restricted được kích hoạtĐây chính là lúc tạo một chính sách mạng. Để thực hiện điều này, bạn hãy kíchchuột phải vào mục Network Policies và chọn lệnh New. Khi đó, Windows sẽkhởi chạy New Network Policy Wizard.Thứ đầu tiên mà bạn phải thực hiện là nhập vào tên của một chính sách mới màchúng ta sẽ tạo. Với mục đích hướng dẫn trong bài, chúng ta hãy gọi chính sáchlà RRAS. Sau khi nhập RRAS vào trường Policy Name, bạn hãy chọn tùy chọnRemote Access Server (VPN-Dial up) từ mục chọn Type of Network AccessServer, xem thể hiện trong hình B. Hình B: Thiết lập kiểu cho Network Access Server là Remote Access Server (VPN-Dial up)Kích Next, khi đó wizard sẽ đưa bạn đến màn hình Specify Conditions. Wizardsẽ không cho phép bạn tiếp tục cho tới khi bạn chỉ định tối thiểu một điều kiệnnào đó cần phải có. Chúng tôi thích cấu hình chính sách để xem kiểu kết nối gửiđến. Theo cách đó, chúng tôi cần phải thiết lập chính sách để áp dụng cho bấtcứ kết nối VPN nào được thiết lập với máy chủ.Để thiết lập các điều kiện, hãy kích nút Add, sau đó chọn trong phần SelectConditions chọn Tunnel Type. Chọn tùy chọn này và kích Add. Lúc này bạn sẽthấy một màn hình yêu cầu bạn chỉ định các kiểu đường hầm yêu cầu đối vớimỗi một chính sách. Bạn có thể chọn bất cứ thứ gì muốn ở đây, tuy nhiên chúngtôi khuyên các bạn nên chọn các tùy chọn Layer Two Tunneling Protocol(L2TP) và Point to Point Tunneling Protocol (PPTP), xem thể hiện trong hìnhC. Hình C: Chọn các tùy chọn PPTP và L2TP, sau đó kích OK.Kích OK và sau đó kích Next. Wizard lúc này sẽ hiển thị màn hình SpecifyAccess Permission. Chọn nút “Access Granted”, sau đó tích vào hộp kiểm“Access is Determined by User Dial In Properties”, xem thể hiện trong hình D. Hình D: Chọn nút “Access Granted”, sau đó chọn “Access is Determined by User Dial In”Màn hình tiếp theo mà các bạn sẽ gặp sẽ hỏi bạn về kiểu EAP nào bạn muốn sửdụng cho việc thẩm định. Bạn có thể sử dụng bất cứ kiểu EAP nào muốn có, tuynhiên ở đây chúng tôi khuyên các bạn nên sử dụng Protected EAP và EAP-MSCHAP-V2. Để chỉ định kiểu cho EAP, hãy kích nút Add, sau đó chọn tùychọn Microsoft: Protected EAP (PEAP) và kích OK. Tiếp theo, kích nút Add lầnnữa, chọn tùy chọn Microsoft: Secured Password (EAP-MSCHAP-V2) và kíchOK. Khi wizard đưa bạn trở về màn hình Configure Authentication Methods,hãy hủy chọn hộp kiểm Microsoft Encrypted Authentication (MS-CHAP). Mànhình lúc này sẽ giống như những gì thể hiện trong hình E. Hình E: Màn hình Configure Authentication MethodsKích Next, khi đó wizard sẽ hiển thị màn hình Configure Constraints. Nhưnhững gì bạn thấy trong hình E, màn hình này cho phép bạn thiết lập những thứgiống như chu kỳ session timeout hoặc các giới hạn về thời gian mà bạn muốnáp đặt. Với sự phức tạp trong việc triển khai NAP như vậy, chúng tôi khuyên bạnkhông nên áp đặt bất cứ ràng buộc nào. Hình F: Chúng tôi khuyên bạn nên để áp đặt các ràng buộc sauKích Next, tiếp theo đó kích Finish để hoàn tát quá trình cấu hình.Chính sách cấu hình máy khách RADIUSTrong kiểu triển khai này, Network Policy Server đóng vai trò như một máy chủRADIUS. Đúng hơn là các máy khách đang thực hiện một sự thẩm định RADIUStrực tiếp đối với máy chủ chính sách mạng, còn máy chủ RRAS đang thực hiệnnhư một máy chủ VPN sẽ thực hiện nhiệm vụ như một máy khách RADIUS.Bước cuối cùng trong quá trình cấu hình máy chủ là việc cung cấp cho NetworkPolicy Server một danh sách các máy khách RADIUS đã được thẩm định. Dochỉ có máy khách RADIUS sẽ là máy chủ VPN nên bạn chỉ cần nhập vào địa chỉIP của máy chủ VPN. Cần lưu ý một điều rằng các dịch vụ RRAS đang chạy trêncùng một máy chủ vật lý với Network Policy Services, chính vì vậy bạn chỉ cầnchỉ định địa chỉ IP chỉ chính máy chủ.Để tạo chín ...