Chương 3: Cài đặt và cấu hình Microsoft Internet Authentication

Service

Microsoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS
(Remote Authentication Dial In User Service) server được dùng để xác thực Users kết
nối đến ISA Server 2004 firewall machine. Bạn có thể dùng IAS để xác thực các Web
Proxy clients trên Internal network hay VPN clients, VPN gateways đang tiến hành
kết nối từ một External network location (ví dụ như từ một văn Phòng chi nhánh của
công ty). Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượng
này kết nối đến các Web servers đã được published thông qua Web Publishing rules
trên ISA Server 2004
Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SA
Server 2004 firewall computer không cần phải là thành viên của Active Directory
Domain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đang
nằm trong Active Directory database thuộc Internal network. Nhiều Firewall
administrators khuyến cáo rằng không nên để Firewall Computer là thành viên trong
Domain User. Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và qua
đó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vào
Mạng nội bộ.
Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 firewall làm thành viên
của Internal network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client để
cung cấp các xác thực hợp pháp cho ISA server khi các Firewall Clients này truy cập
đến tất cả các giao thức TCP và UDP. Chính vì lý do này, chúng ta sẽ tạo một ISA
Server 2004 firewall computer làm một thành viên của Internal Domain. Tuy nhiên
nếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực các
VPN và Web Proxy clients.

Các công việc tiếp theo sẽ là:

Cài đặt và cấu hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Service server là một RADIUS server. Chúng ta sẽ

sử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năng
RADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức một
RADIUS server xác thực PN clients như thế nào)

Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trên
domain controller EXCHANGE2003BE thuộc Internal network:
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, kéo xuống Components list và chọn
Networking Services entry. Click Details.
4. Check vào Internet Authentication Service checkbox và click OK.
5. Click Next trên Windows Components page.
6. Click Finish trên Completing the Windows Components Wizard page.
7. Đóng Add or Remove Programs

Tiếp theo chúng ta sẽ cấu hình Internet Authentication Service

Cấu hình Microsoft Internet Authentication Service

Bạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004
firewall computer. Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc với
ISA Server 2004 firewall. Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server.
Tiến hành các bước sau với Domain controller trên Internal network để cấu hình IAS
server:
1. Click Start, Administrative Tools. Click Internet Authentication Service.
2. Trong Internet Authentication Service console, mở rộng Internet
Authentication Service (Local) node. Right click trên RADIUS Clients node và
click New RADIUS Client.
3. Trên Name and Address page của New RADIUS Client wizard, điền vào
Friendly-name của ISA Server 2004 firewall computer trong Friendly name text
box. Đơn giản là tên này được dùng để xác định RADIUS client và không được sử
dụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (là
EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004
firewall computer trong Client address (IP or DNS) text box.
4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name
của ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box. Click
Resolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong
IP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điều
này lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạo
trong DNS server (chưa tạo record cho ISA server). Nếu trường hợp này xảy ra, bạn
có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài
đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface
(10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) text
box thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Client
dialog box. Mục đích của các xác lập trong phần này là biến ISA SERVER 2004
Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client
mới có thể bắt tay cộng tác.

5. Click Next trên Name and Address page của New RADIUS Client wizard.
6. Trên Additional Information page của wizard, dùng default Client-Vendor
entry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box và
xác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server và
RADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việc
với nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự
đặc biệt..). Check vào Request must contain the Message Authenticator
attribute check box. Click Finish.
7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console

8. Đóng Internet Authentication Service console.

Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là
RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVER
2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ
Web và VPN client.

Kết luận:
Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication
Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc
Internal network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng
IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của
Web/VPN Clients) truy cập vào Web/VPN server.