Trong bài viết này mình sẽ hướng dẫn cách tích hợp tính năng xác thực WPA Enterprise của AWC với RADIUS Server.
RADIUS (Remote Authentication Dial-In User Service) là một giao thức mạng cung cấp các dịch vụ xác thực, ủy quyền và ghi nhật ký (AAA - Authentication, Authorization, and Accounting) cho người dùng truy cập vào mạng. RADIUS được sử dụng rộng rãi trong các mạng doanh nghiệp, ISP, và các dịch vụ truy cập từ xa.
Các thành phần chính của RADIUS:
Có nhiều cách để cấu hình RADIUS Server, ví dụ như trên Linux/Windows Server, Router, Switch, Firewall... Trong bài viết này sẽ hướng dẫn cách cấu hình RADIUS Server trên Windows Server và sẽ sử dụng LDAP để lấy thông tin User Database.
Lưu ý: Window Server được sử dụng làm RADIUS Server cần đảm bảo đã cấu hình Active Directory (với domain), có Certificate Authorities và được cài đặt Network Policy Server.
Bước 1: Truy cập vào Server Manager, vào phần Manage > Add Roles and Features:
Bước 2: Chọn Next ở mục Before You Begin:
Bước 3: Chọn Role-based or feature-based installation ở mục Installation Type và chọn Next:
Bước 4: Tiếp tục chọn Next cho mục Server Selection:
Bước 5: Trong mục Server Roles, tích chọn vào Network Policy and Access Services > Add Features:
Bước 6: Tiếp tục chọn Next ở mục Features và Network Policy and Access Service. Ở mục Confirmation, chọn Restart the destination server automatically if required và chọn Install (việc cài đặt có thể khiến Window Server restart nên hãy lưu ý khi cấu hình):
Bước 7: Tiếp theo cần cấu hình Policy cho phép RADIUS Server có thể kết nối với AWC. Vào mục Tools > Network Policy Server:
Bước 8: Sổ phần RADIUS Clients and Servers, chuột phải vào RADIUS Clients và chọn New:
Bước 9: Tiến hành điền thông tin IP của AP mà AWC đang quản lý và tạo Shared Secret dùng cho việc xác thực (Hãy lưu lại Shared Secret này vì sẽ cần điền lại khi cấu hình trên AWC):
Lưu ý: Trường hợp trong hệ thống có nhiều AP thì có thể điền thông tin Address là dãy Subnet của AP, ví dụ 192.168.1.0/24
Bước 10: Tiếp theo sổ chọn phần Policies > Network Policies > New:
Bước 11: Đặt tên cho Policy và chọn Next:
Bước 12: Tiếp theo ở mục Conditions chọn Add > User Groups > Add:
Bước 13: Tiến hành điền thông tin Group Name của AD mà bạn muốn thêm vào và chọn OK, sau khi hoàn thành thêm các Group vào Conditions thì chọn Next:
Bước 14: Tiếp theo các bạn chọn action (cho phép / từ chối truy cập) cho Group User vừa được thêm và chọn Next:
Bước 15: Chọn phương thức xác thực là PEAP và Next:
Bước 16: Tiếp tục chọn Next ở các mục tiếp theo và chọn Finish để hoàn thành quá trình tạo Policy:
3. Cấu hình AWC xác thực bằng RADIUS Server
Bước 1: Truy cập vào VMEX, vào mục AWC Plug-in > Wireless Configuration > AP Profile và chọn Edit Profie (hoặc tạo mới 1 AP Profile khác bằng cách chọn Create):
Bước 2: Ở mục VAP (Multiple SSID) Configuration > Security chọn WPA Enterprise. Điền thông tin IP và Shared Secret của RADIUS Server:
Bước 3: Chọn Save cấu hình AP Profile và tiến hành Apply Profile xuống cho các AP trong hệ thống (ở phần AWC Plug-in > AP Settings):
Bước 4: Sau khi đã apply cấu hình hoàn tất trên các AP, kết nối vào SSID có cấu hình RADIUS Server:
1. RADIUS Server là gì?
RADIUS (Remote Authentication Dial-In User Service) là một giao thức mạng cung cấp các dịch vụ xác thực, ủy quyền và ghi nhật ký (AAA - Authentication, Authorization, and Accounting) cho người dùng truy cập vào mạng. RADIUS được sử dụng rộng rãi trong các mạng doanh nghiệp, ISP, và các dịch vụ truy cập từ xa.
Các thành phần chính của RADIUS:
- Client: Đây là thiết bị hoặc ứng dụng yêu cầu xác thực từ RADIUS server. Ví dụ: điểm truy cập Wi-Fi, VPN gateway, hoặc thiết bị mạng khác.
- Server: RADIUS server xử lý các yêu cầu xác thực từ client. Nó kiểm tra thông tin xác thực của người dùng và quyết định cho phép hoặc từ chối truy cập.
- User Database: Đây là nơi lưu trữ thông tin xác thực của người dùng, có thể là cơ sở dữ liệu nội bộ, LDAP, Active Directory, hoặc một hệ thống quản lý danh tính khác.
- Yêu cầu xác thực: Client gửi yêu cầu xác thực đến RADIUS server, bao gồm thông tin đăng nhập của người dùng (username và password).
- Xác minh thông tin: RADIUS server kiểm tra thông tin đăng nhập với cơ sở dữ liệu người dùng (User Database).
- Phản hồi xác thực: Nếu thông tin đăng nhập đúng, RADIUS server gửi phản hồi cho phép truy cập. Nếu sai, truy cập bị từ chối.
- Ghi nhật ký: RADIUS server ghi lại thông tin về phiên làm việc của người dùng cho mục đích quản lý và giám sát.
2. Cấu hình RADIUS Server
Có nhiều cách để cấu hình RADIUS Server, ví dụ như trên Linux/Windows Server, Router, Switch, Firewall... Trong bài viết này sẽ hướng dẫn cách cấu hình RADIUS Server trên Windows Server và sẽ sử dụng LDAP để lấy thông tin User Database.
Lưu ý: Window Server được sử dụng làm RADIUS Server cần đảm bảo đã cấu hình Active Directory (với domain), có Certificate Authorities và được cài đặt Network Policy Server.
Bước 1: Truy cập vào Server Manager, vào phần Manage > Add Roles and Features:
Bước 2: Chọn Next ở mục Before You Begin:
Bước 3: Chọn Role-based or feature-based installation ở mục Installation Type và chọn Next:
Bước 4: Tiếp tục chọn Next cho mục Server Selection:
Bước 5: Trong mục Server Roles, tích chọn vào Network Policy and Access Services > Add Features:
Bước 6: Tiếp tục chọn Next ở mục Features và Network Policy and Access Service. Ở mục Confirmation, chọn Restart the destination server automatically if required và chọn Install (việc cài đặt có thể khiến Window Server restart nên hãy lưu ý khi cấu hình):
Bước 7: Tiếp theo cần cấu hình Policy cho phép RADIUS Server có thể kết nối với AWC. Vào mục Tools > Network Policy Server:
Bước 8: Sổ phần RADIUS Clients and Servers, chuột phải vào RADIUS Clients và chọn New:
Bước 9: Tiến hành điền thông tin IP của AP mà AWC đang quản lý và tạo Shared Secret dùng cho việc xác thực (Hãy lưu lại Shared Secret này vì sẽ cần điền lại khi cấu hình trên AWC):
Lưu ý: Trường hợp trong hệ thống có nhiều AP thì có thể điền thông tin Address là dãy Subnet của AP, ví dụ 192.168.1.0/24
Bước 10: Tiếp theo sổ chọn phần Policies > Network Policies > New:
Bước 11: Đặt tên cho Policy và chọn Next:
Bước 12: Tiếp theo ở mục Conditions chọn Add > User Groups > Add:
Bước 13: Tiến hành điền thông tin Group Name của AD mà bạn muốn thêm vào và chọn OK, sau khi hoàn thành thêm các Group vào Conditions thì chọn Next:
Bước 14: Tiếp theo các bạn chọn action (cho phép / từ chối truy cập) cho Group User vừa được thêm và chọn Next:
Bước 15: Chọn phương thức xác thực là PEAP và Next:
Bước 16: Tiếp tục chọn Next ở các mục tiếp theo và chọn Finish để hoàn thành quá trình tạo Policy:
3. Cấu hình AWC xác thực bằng RADIUS Server
Bước 1: Truy cập vào VMEX, vào mục AWC Plug-in > Wireless Configuration > AP Profile và chọn Edit Profie (hoặc tạo mới 1 AP Profile khác bằng cách chọn Create):
Bước 2: Ở mục VAP (Multiple SSID) Configuration > Security chọn WPA Enterprise. Điền thông tin IP và Shared Secret của RADIUS Server:
Bước 3: Chọn Save cấu hình AP Profile và tiến hành Apply Profile xuống cho các AP trong hệ thống (ở phần AWC Plug-in > AP Settings):
Bước 4: Sau khi đã apply cấu hình hoàn tất trên các AP, kết nối vào SSID có cấu hình RADIUS Server:
Last edited: