Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 3 CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service MicrosoftInternetAuthentication Server (IAS)là một chuẩn thuộc loại RADIUS(Remote AuthenticationDialInUser Service) server được dùngđể xác thực Users kết nối đến ISA Server 2004Firewallmachine.Bạn cóthể dùng IAS để xác thực các WebProxy clientstrênInternalNetworkhay VPN clients, VPNgateways đang tiếnhành kết nối từ một External Networklocation (ví dụ như từ một văn Phòngchi nhánh của công ty). Ngoài ra,có thể dùng RADIUS xác thực remote users khi những đốitượng này kết nối đến các Web servers đã đượcpublished thông qua Web PublishingrulestrênISA Server2004 Ưu điểm chính của việc dùng RADIUS xác thực Webproxy và VPN connections làSA Server2004 Firewall computer không cần phải là thành viêncủa ActiveDirectory Domain mớicó thể xác thực đượccác Users,khi tàikhỏan của những Usrs này đang nằm trong Active Directory databasethuộc Internal Network.Nhiều Firewall administrators khuyến cáo rằng không nên để Firewall Computer là thành viên trong Domain User. Vìđiều này có thể ngăn chặn Attackers xâmnhập vào Firewall,và qua đó có được quyền DomainMember từ Firewall này, mở rộng hướng tấn công vào Nội bộ Network. Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004Firewalllàm thành viên củaInternal Networkdomainđó là chúng tasẽ không thể dùng ISA FirewallClientđể cungcấp các xác thực hợp phápcho ISA Serverkhicác Firewall Clients này truy cập đếntất cả các giao thức TCP vàUDP. Chínhvì lý donày,chúng ta sẽ tạo mộtISA Server2004 Firewall computer làm một thành viên củaInternal Domain.Tuy nhiên nếu bạn không gia nhậpFirewallvào Domain, vẫn có thể dùng IAS để xác thựccác VPN và Web Proxy clients. Các công việc tiếp theo sẽ là: Cài đặt và cấu hình Microsoft Internet Authentication Service MicrosoftInternetAuthentication Service server là mộtRADIUS server. Chúng tasẽ sử dụng RADIUS servernày trongcác phần sau của hướng dẫn (bật chức năng RADIUS authenticationphục vụ choWeb Publishing Rulesvàtìm hiểu cách thức một RADIUS serverxác thực PNclients như thế nào) Tiếnhành cácbước sauđể cài đặt MicrosoftInternetAuthenticationServer trên domain controller EXCHANGE2003BE thuộc Internal Network: 1. Click Start,Control Panel. Click Add or Remove Programs. 2. TrongAdd or Remove Programs, click Add/Remove Windows Components 3. TrênWindows Components page,kéo xuống Components listvà chọn Networking Services entry.Click Details. 4. Checkvào Internet Authentication Service checkbox và click OK. 5. Click Next trên Windows Components page. 6. Click Finish trên Completing the Windows Components Wizard page. 7. ĐóngAdd or Remove Programs Tiếp theochúngta sẽ cấu hìnhInternet AuthenticationService Cấu hình Microsoft Internet Authentication Service Bạn cần cấu hình IAS serverđúngcách để có thể làm việc với ISA Server 2004 Firewall computer. Tại thời điểm này, chúng ta sẽ cấu hìnhIAS Server để làm việc với ISA Server 2004Firewall.Sau đó sẽ cấuhình Firewall để giao tiếp với IAS server. Tiếnhành cácbước sauvới Domaincontroller trên InternalNetworkđể cấu hình IASserver: 1. Click Start,Administrative Tools. Click Internet Authentication Service. 2. TrongInternet Authentication Service console,mở rộngInternet Authentication Service (Local) node.Right click trên RADIUS Clients nodevà click New RADIUS Client. 3. TrênName and Address page của New RADIUS Client wizard,điền vào Friendly-namecủa ISA Server 2004 Firewall computer trongFriendly name text box. Đơn giản là tên này được dùng để xác định RADIUS client và khôngđược sử dụngcho những mục đích hoạt động.Đưađầy đủ FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , hoặcIP address của ISA Server 2004 Firewall computer trongClient address (IP or DNS)textbox. 4. Click Verify. Trong Verify Client dialogbox, FQDN-fully qualified domain namecủa ISA Server 2004Firewallcomputersẽ xuất hiện trong Client textbox. ClickResolve. NếuRADIUS server có thể giải quyết Tên thì IP addresssẽ xuất hiệntrong IP address frame. Nếu RADIUS server không thể giảiquyết tênra IP Address,điều này lưu ý với Adminrằng:hostnamecủa ISA Server 2004Firewallchưa được tạo trong DNS server(chưa tạo recordchoISA Server).Nếu trường hợp này xảy ra, bạn có thể đưa2 cáchgiải quyết: Tạo A Recordcho ISA Servertrên DNSserver được cài đặt trên Domaincontroller, hoặc bạn có thể dùngIP addresstrênInternalinterface (10.0.0.1) củaISA Server2004 Firewalltrong Client address (IP and DNS) text boxthuộcName or Address page (đã đề cập ở trên). Click OK vàoVerify Client dialog box. Mục đích của các xác lập trong phần này là biến ISA Server 2004Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộngtác. 5. Click Next trên Name and Address pagecủa New RADIUS Client wizard. 6. TrênAdditional Information page của wizard,dùng default Client- Vendor entry, chuẩn của RADIUS.Điền vào một password trong Shared secret text box vàxác nhận lại password này. Passwordbí mật được chia sẽ (chỉ có RADIUSservervà RADIUS Client-ISA Server 2004 Firewallbiết), vàdùng“tín hiệu”này để làm việc với nhau.Shared Secret chứa ítnhất8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt ).Checkvào Request must contain the Message Authenticator attribute checkbox. Click Finish. 7. Bây giờ các bạn đã thấy New RADIUS client entryxuất hiện trên console 8. ĐóngInternet Authentication Service console. Việc cấu hình tiếp theotrên ISA Server2004Firewallđể côngnhận đối tác của nólà RADIUS server,cấu hìnhsẽ đượctiến hànhthôngqua giaodiện quản trị ISA Server2004Firewallvà RADIUS servernày sẽ đảm nhiệm vai tròxác thựccác yêu cầu từ Webvà VPNclient. Kết luận: Trongchương này chúngta đã đề cập đến Microsoft Internet Authentication Server,cách thức cài đặt vàcấu hìnhmột IASserver trên Domain controller thuộcInternal Networkdomain.Trongcác phần kế tiếp của hướngdẫn, chúng ta sẽ dùngIAS server này để xác thực cácyêu cầu từ bênngoài (incoming requestst của Web/VPNClients) truy cập vào Web/VPNserver. . Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 3 CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service MicrosoftInternetAuthentication Server (IAS)là một chuẩn. console. Việc cấu hình tiếp theotrên ISA Server2 00 4Firewall ể côngnhận đối tác của nólà RADIUS server ,cấu hìnhsẽ đượctiến hànhthôngqua giaodiện quản trị ISA Server2 004Firewallvà RADIUS servernày. ta sẽ cấu hìnhIAS Server để làm việc với ISA Server 200 4Firewall. Sau đó sẽ cấuhình Firewall để giao tiếp với IAS server. Tiếnhành cácbước sauvới Domaincontroller trên InternalNetworkđể cấu hình