TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC QUẢN TRỊ HỆ THỐNG WINDOW 3

ĐỀ TÀI : XÂY DỰNG HỆ THỐNG NETWORK POLICY

Nhóm : 1

1. Võ Duy Sinh
2. Nguyễn Hữu Nguyên
1 3. Trần Đình Phúc
4. Trần Quang Khải

GVHD: Cao Trần Thái Anh

I. TỔNG QUAN VỀ GIAO THỨC RADIUS
1. Những nét chính về giao thức Radius
 RADIUS là thực chất là một giao thức mạng được sử dụng để xác

thực và cho phép người dùng có thể truy cập vào một mạng từ xa.
Thuật ngữ RADIUS là từ viết tắt của cụm từ Remote
Authentication Dial-In User Service và được giới thiệu lần đầu
tiên vào năm 1991. Hiện nay, RADIUS vẫn là một công cụ quản
lý quyền truy cập của người dùng mạng rất mạnh mẽ.
2. Lịch sử phát triển và các RFC liên quan
 Theo John Vollbrecht, một người sáng lập Interlink Networks và

cũng là người đóng vai trò quan trọng trong sự hình thành của
RADIUS, câu chuyện về giao thức này thực sự bắt đầu vào năm
1987 khi Quỹ khoa học quốc gia (viết tắt là NSF) trao hợp đồng
mở rộng NSFnet cho Merit Network Inc.
 Merit Network Inc. là tập đoàn đã phát triển một giao thức xác

thực mạng độc quyền nhằm kết nối các trường đại học trên khắp
Michigan và hợp đồng của NSFnet được coi như một nỗ lực để
đưa Internet đến gần hơn với công chúng. 2
 Để làm được những điều này, mạng độc quyền của Merit, đã phải
chuyển đổi sang mạng NSFnet dựa trên IP. Tiếp đó, Merit
Networks Inc. Chấp nhận một đề xuất từ công ty Livingston
Enterprises về mô tả cho giao thức RADIUS và đến năm năm
1991 RADIUS chính thức được ra đời.
 Các ứng dụng công nghệ và mô hình triển khai Radius hiện nay
Radius được ứng dụng rộng rãi để quản lý và chứng thực người
dùng một cách tập chung cho kết nối VPN,WLAN… Với việc tổ
chức quảng lý người dùng theo các OU, group được phân quyền
và áp dụng các chính sách tích hợp để đáp ứng nhu cầu bảo mật
dữ liệu chuyền đi trên mạng. Radius còn có chức năng Accounting
3
nhằm kiểm soát người dùng một cách chặt chẽ theo dạng file log.
3. Ưu điểm và nhược điểm:
3.1 Ưu điểm:
 RADIUS có phần overhead ít hơn so với TACACS vì nó sử dụng UDP
 Trong phần overhead không có địa chỉ đích,port đích nên caschacker khó có thể tấn
công. Với cách thức phân phối soure code, RADIUS là một giao thức hoàn toàn mở
rộng, người dùng có thể thay đổi nó để làm việc với bất kì hệ thống bảo mật hiện
có.
 RADIUS có chức năng tính cước (accounting) mở rộng.
 RADIUS thường được dùng dể tính cước dựa trên thời gian đã sử dụng, ví dụ như
ISP sẽ tính cước cho người dùng về chi phí kết nối, ta có thể cài đặt RADIUS
accounting mà không cần sử dụng RADIUS dể xác thực và cấp quyền.
 Với chức năng accounting mở rộng, RADIUS cho phép các dữ liệu đucợ gửi từ các
thiết bị xuất phát cũng như là thiết bị đích, từ đó giúp ta theo dõi việc dử dụng tài
nguyên( thời gian, số lượng các gói tin, số lượng byte,…) trong suốt phiên làm việc. 4
3.2 Nhược điểm:
 Giao thức RADIUS được dùng để làm tăng khả năng kiểm soát và
bảo mật mạng, nhưng nó vẫn tồn tại một số điểm hạn chế như nó là
một giao thức kiểm tra tại chỗ nên yêu cầu cơ sở hạ tầng phải nhận
dạng tại chỗ để vận hành. Chính thiết lập này gây nên tốn kém nhiều
chi phí và khó khăn. Ngoài ra cơ sở hạ tầng quản lý danh tính tại chỗ
lại chủ yếu chỉ tập trung vào Microsoft Windows còn với với
Microsoft Active Directory thì identity provider vẫn đóng vai trò
chính.Trong môi trường đa nền tảng và hybrid-cloud thì RADIUS
vẫn còn khá nhiều hạn chế và đặc biệt là AD không cung cấp các
chức năng RADIUS phụ trợ của riêng mình. Tuy nhiên, trong thời
điểm công nghệ thông tin hiện đại, phát triển đa dạng thì rất nhiều cơ
5
quan dần chuyển khai AD tại chỗ để đảm bảo tính bảo mật cao nhất.
4.Nguyên lý hoạt động
 RADIUS xác định quyền truy cập của người dùng mạng thông qua mô
hình máy khách/máy chủ. Tuy nhiên, trong thực tế thì yêu cầu người
truy cập mạng thường được gửi từ máy khách cũng như hệ thống
người dùng hoặc điểm truy cập WiFi đến hệ thống máy chủ RADIUS
để xác thực.
 Các máy chủ RADIUS thường được kết hợp hệ thống tạo, duy trì và
quản lý thông tin nhận dạng, đồng thời cung cấp các dịch vụ xác thực
riêng biệt. Do đó, khi người dùng muốn truy cập vào một mạng được
bảo vệ bằng giao thức RADIUS từ xa thì họ phải cung cấp thông tin
xác thực trùng với dữ liệu trong cơ sở thư mục được liên kết.
 Sau khi được người dùng muốn truy cập cung cấp đầy đủ thông tin
đăng nhập thì dữ liệu sẽ được chuyển từ các máy khách đến máy chủ
RADIUS thông qua một supplicant. Nếu thông tin người dùng khớp
với những thông tin lưu trữ trong cơ sở dữ liệu đã được liên kết thì lúc
này thông báo xác thực hợp lệ sẽ được gửi lại cho máy khách
RADIUS để người dùng có thể tiến hành truy cập kết nối với mạng.
Ngược lại, nếu dữ liệu không khớp thì thông báo từ chối sẽ được đưa 6

ra.
5. Xác thực Ủy-quyền
 Người dùng hoặc máy tính gửi thông tin đăng nhập để truy cập vào tài
nguyên mạng đến Máy chủ truy cập mạng Thông tin đăng nhập được
chuyển đến thiết bị NAS thông qua giao thức linklayer.
 Sau đó, NAS gửi thông báo Yêu cầu truy cập đến máy chủ RADIUS,
yêu cầu ủy quyền cấp quyền truy cập thông qua giao thức RADIUS.
 Kết nối giữa NAS và máy chủ RADIUS được mã hóa bằng một chuỗi
bảo mật (shared secret) được định sẵn giữa 2 đầu.
 Yêu cầu này bao gồm thông tin đăng nhập, thường ở dạng tên người
dùng và mật khẩu hoặc chứng chỉ bảo mật (certificate) do người dùng
cung cấp. Ngoài ra, yêu cầu có thể chứa thông tin khác mà NAS biết về
người dùng, ví dụ địa chỉ IP, MAC hoặc số điện thoại và thông tin liên 7

quan đến vị trí vật lý của người dùng với NAS.

 Máy chủ RADIUS kiểm tra thông tin có chính xác không
bằng cách sử dụng các phương thức xác thực như PAP,
CHAP hoặc EAP. Thông tin nhận dạng của người dùng được
xác minh, có thể gồm các thông tin khác yêu cầu khác, chẳng
hạn như địa chỉ mạng hoặc số điện thoại, trạng thái tài khoản
và các quyền truy cập dịch vụ mạng cụ thể. Trước kia, các
máy chủ RADIUS đã kiểm tra thông tin của người dùng bằng
cơ sở dữ liệu cục bộ. Các máy chủ RADIUS hiện nay có thể
thực hiện việc này bằng cách truy vấn các nguồn khác như
các máy chủ  SQL, Kerberos, LDAP hoặc Active Directory
8
để xác minh thông tin đăng nhập của người dùng.
II. MÔ HÌNH THỰC NGHIỆM

9
 Các bước triển khai cài đặt :
 Cài đặt server radius
 Giả sử bạn đã thiết lập một hộp Windows cơ sở,  đã được kết
hợp với tên miền đích của bạn.
 Hãy vào hệ thống mục tiêu của bạn, thông qua RDP hoặc
Console hoặc bất cứ điều gì.
 Từ Bảng điều khiển Trình quản lý Máy chủ chính nhấp
vào Thêm vai trò và các tính năng.

10
11
Nhấp vào ‘Tiếp theo’ một loạt lần, 3 lần cho tôi, cho đến
khi bạn đến màn hình “Chọn máy chủ vai trò”.
Nhấp vào hộp kiểm “Chính sách Mạng và Truy cập Dịch
vụ“.

12
Trên cửa sổ bật lên, đảm bảo chọn hộp kiểm “Bao gồm công
cụ quản lý” và nhấp vào ‘Thêm tính năng‘.
Nhấp vào ‘Tiếp theo‘ cho đến khi bạn đến trang Xác nhận.
Nhấp vào ‘Cài đặt‘.

13
14
Cấu hình server radius

Thiết lập người dùng

Sau đó, chúng ta sẽ hạn chế quyền xác thực đối với thành viên nhóm.

1. Remote vào Domain Controller của bạn, hoặc hệ thống quản lý AD.

2. Khởi chạy ‘Người dùng và Máy tính Thư mục Cá nhân’.

3. Duyệt đến OU có chứa các nhóm của bạn.

4. Chọn ‘Hành động’ -> ‘Mới’ -> ‘Nhóm’.

5. Trong “Tên nhóm:” gõ ‘Người dùng VPN’. Nhấp vào ‘OK’.

6. Tìm “Người dùng VPN” trong danh sách, nhấp chuột phải và chọn
‘Thuộc tính’.

7. Thêm mô tả thích hợp.

15
8. Chọn tab ‘Thành viên’ và thêm người dùng như bình thường.
Cài đặt Khách hàng
 Để chấp nhận các kết nối RADIUS từ thiết bị đầu cuối, chúng
ta phải cấu hình nó trong máy chủ như là một ‘Client’.

1. Nhấp vào nút ‘Bắt ​đầu’.

2. Kiểu nps.msc

3. Trên thanh bên trái mở rộng ‘Máy khách và Máy chủ

RADIUS’.

4. Nhấp chuột phải vào ‘RADIUS Clients’ và chọn “New”.

5. Nhập Tên hiển thị và địa chỉ IP của thiết bị sẽ được xác thực
đối với máy chủ RADIUS của bạn.
16
6. Chọn bí mật chia sẻ.
Nhấp vào ‘OK‘.
Bây giờ chúng ta đã xác định máy khách của chúng ta bây giờ có thể thực sự nói
chuyện với RADIUS và thực hiện xác thực. Tuy nhiên, trước khi người dùng có
thể xác thực, chúng ta cũng phải tạo một chính sách liên kết với người dùng 17
Chính sách người dùng
1. Trên thanh bên trái mở rộng ‘Chính sách‘.

2. Nhấp chuột phải vào ‘Network Policies’ và chọn “New“.

3. Nhập tên cho chính sách kết nối này và nhấp vào ‘Tiếp
theo‘.

18
• Trong ‘Điều kiện’ nhấp vào ‘Thêm …’
• Chọn tùy chọn “Nhóm người dùng” và nhấp vào ‘Thêm …’. 19
•Trong nhóm quảng cáo ‘Nhóm người dùng’, nhấp vào ‘Thêm nhóm‘ và nhập nhóm
“Người dùng VPN” .
•Nhấp ‘OK‘, ‘Tiếp theo‘. Đảm bảo “Access granted” đã được chọn và nhấp vào
‘Next’.
•Các tùy chọn mặc định nên là tốt. Chọn “MS-CHAPv2″ và “MS-CHAP” và nhấp
vào ‘Tiếp theo’.

20
•Không có ràng buộc nào là cần thiết. Nhấp vào ‘Tiếp theo‘.
•Không có cài đặt chính sách cụ thể là cần thiết. Nhấp vào ‘Tiếp theo‘.
•Xem lại các lựa chọn cuối cùng và nhấp vào ‘Finish‘.
Tại thời điểm này bạn sẽ có thể chỉnh sửa thiết bị khách hàng của bạn và thêm 21
hệ thống Windows như một máy chủ RADIUS để xác thực.