Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 4 - Chuyên Đề Radius Authentication (802.1x) on Windows 1/4

Sơ đồ tổng quan mô hình

Trong Lab chuyên đề Radius Authentication chúng tôi chia ra làm 4 phần. Theo sơ đồ trên mỗi phần chúng tôi thực hiện một Zone với nội dung như sau:

• Lab 1: Chuẩn bị và cài đặt các thứ cần thiết để xây dựng một Radius Server trên Windows - Zone #1
• Lab 2: Cài đặt cấu hình Radius Server trên Windows - Zone #1
• Lab 3: Cài đặt cấu hình sao cho khi cắm thiết đầu cuối vào switch thì phải đăng nhập bằng user và password thông qua Radius server đã xây dựng ở Lab 1 - Zone #1 & Zone #2
• Lab 4: Cài đặt cấu hình sao cho khi các thiết bị không dây khi kết nối vào hệ thống phải đăng nhập trông qua Radius server đã xây dựng ở Lab 1 - Zone #1 & Zone #3

LAB 1
Yêu cầu:
1. Cài đặt domain controller trên Windows 2012 R2
2. Cài đặt Network Policy Server
3. Cài đăt Certification Authority
4. Cấu hình Root CA Enterprise

Thực hiện:
1. Cài đặt domain controller trên Windows 2012 R2

Cài đặt IP với các thông tin:

IPv4 Address. . . . . . . . . . . : 192.168.0.111
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 127.0.0.1

Cài Active Directory Domain Services
Server Roles -> Active Directory Domain Services -> Add Features -> Next -> Next -> Next -> Install

Cài đặt Domain Controller
Promote this server to domain controller -> Add a new forest -> nhập trên domain cần tạo (Lab này nhập: KHANHVC.com) -> Next -> để mặc định -> nhập password -> Next -> Next  -> Next  -> Next  -> Next  -> Install -> xong bước này server sẽ tự khởi động -> Xong

Vì đây là bài nói về chuyên Radius xây dựng để chuẩn bị phần Radius Authentication 802.1x nên chúng tôi lướt nhanh, chỉ hướng dẫn cho các bạn cách xây dựng một domain controller mới hoàn toàn.

Thiết lập chính sách password: 

Thực hiện như hình

Bước này cho phép chúng ta tạo user với password đơn giản, và chiều dài của password thấp nhất là 3 ký tự.

2. Cài đặt Network Policy Server
Server Roles -> Network Policies and Access Services -> Add Features -> Next -> Next -> Next -> Network Policy Server -> Next -> Install

3. Cài đăt Certification Authority 
Server Roles -> Active Directory Certificate Services -> Add Features -> Next -> Next -> Next -> Certification Authority -> Next -> Install

Kết quả cài đặt ở mục 1, 2 và 3

4. Cấu hình Root CA Enterprise
Server Roles -> Active Directory Certificate Services on the destination Server -> Next -> Certificate Authority -> Next

CA Enterprise -> Next -> Root CA -> Next

Create a new private key -> Next -> chọn RSA# Microsoft Software Key Storage Provider;  Key length 2048;  SHA1 -> Next

Next -> Next ->  Next -> configure

Request and Enroll Certificate các bước thực hiện như hình bên dưới:

Kết quả sau khi Enroll CA

Đến đây chúng đã hoàn thành xong các điều kiện cơ bản đủ để xây dựng Raidius Server trên Windows Server. Chúng ta còn tiếp tục với chuyên đề này trong các bài Lab 2, Lab 3, Lab 4.

Xong!

P/s: Trong bài lab này chúng tôi thực hiện cài đặt DC, Root CA và Network Policy Server trên 1 máy. Trong thực tế triển khai các bạn có thể làm trên nhiều server, mỗi server làm một nhiệm vụ khác nhau.

Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 4 - Chuyên Đề Radius Authentication (802.1x) on Windows 1/4

Sơ đồ tổng quan mô hình

Trong Lab chuyên đề Radius Authentication chúng tôi chia ra làm 4 phần. Theo sơ đồ trên mỗi phần chúng tôi thực hiện một Zone với nội dung như sau:

• Lab 1: Chuẩn bị và cài đặt các thứ cần thiết để xây dựng một Radius Server trên Windows - Zone #1
• Lab 2: Cài đặt cấu hình Radius Server trên Windows - Zone #1
• Lab 3: Cài đặt cấu hình sao cho khi cắm thiết đầu cuối vào switch thì phải đăng nhập bằng user và password thông qua Radius server đã xây dựng ở Lab 1 - Zone #1 & Zone #2
• Lab 4: Cài đặt cấu hình sao cho khi các thiết bị không dây khi kết nối vào hệ thống phải đăng nhập trông qua Radius server đã xây dựng ở Lab 1 - Zone #1 & Zone #3

LAB 1
Yêu cầu:
1. Cài đặt domain controller trên Windows 2012 R2
2. Cài đặt Network Policy Server
3. Cài đăt Certification Authority
4. Cấu hình Root CA Enterprise

Thực hiện:
1. Cài đặt domain controller trên Windows 2012 R2

Cài đặt IP với các thông tin:

IPv4 Address. . . . . . . . . . . : 192.168.0.111
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 127.0.0.1

Cài Active Directory Domain Services
Server Roles -> Active Directory Domain Services -> Add Features -> Next -> Next -> Next -> Install

Cài đặt Domain Controller
Promote this server to domain controller -> Add a new forest -> nhập trên domain cần tạo (Lab này nhập: KHANHVC.com) -> Next -> để mặc định -> nhập password -> Next -> Next  -> Next  -> Next  -> Next  -> Install -> xong bước này server sẽ tự khởi động -> Xong

Vì đây là bài nói về chuyên Radius xây dựng để chuẩn bị phần Radius Authentication 802.1x nên chúng tôi lướt nhanh, chỉ hướng dẫn cho các bạn cách xây dựng một domain controller mới hoàn toàn.

Thiết lập chính sách password: 

Thực hiện như hình

Bước này cho phép chúng ta tạo user với password đơn giản, và chiều dài của password thấp nhất là 3 ký tự.

2. Cài đặt Network Policy Server
Server Roles -> Network Policies and Access Services -> Add Features -> Next -> Next -> Next -> Network Policy Server -> Next -> Install

3. Cài đăt Certification Authority 
Server Roles -> Active Directory Certificate Services -> Add Features -> Next -> Next -> Next -> Certification Authority -> Next -> Install

Kết quả cài đặt ở mục 1, 2 và 3

4. Cấu hình Root CA Enterprise
Server Roles -> Active Directory Certificate Services on the destination Server -> Next -> Certificate Authority -> Next

CA Enterprise -> Next -> Root CA -> Next

Create a new private key -> Next -> chọn RSA# Microsoft Software Key Storage Provider;  Key length 2048;  SHA1 -> Next

Next -> Next ->  Next -> configure

Request and Enroll Certificate các bước thực hiện như hình bên dưới:

Kết quả sau khi Enroll CA

Đến đây chúng đã hoàn thành xong các điều kiện cơ bản đủ để xây dựng Raidius Server trên Windows Server. Chúng ta còn tiếp tục với chuyên đề này trong các bài Lab 2, Lab 3, Lab 4.

Xong!

P/s: Trong bài lab này chúng tôi thực hiện cài đặt DC, Root CA và Network Policy Server trên 1 máy. Trong thực tế triển khai các bạn có thể làm trên nhiều server, mỗi server làm một nhiệm vụ khác nhau.

Cisco, Cách Sao Lưu/Backup & Phục Hồi/Restore Cấu Hình Thiết Bị Cisco và TFTP Server

Yêu cầu:
1. Chuẩn bị mô hình:
2. Sao lưu/Backup cấu hình trên thiết bị cisco đến TFTP server
3. Phục hồi/Restore cấu hình có thiết bị với TFTP Server

Thực hiện:
1. Chuẩn bị mô hình:

1.1. Download TFTP Server và cài mặt định
1.2. Cài đặt thông tin cơ bản

Đảm bảo TFTP đã Start

Cài đặt port sẽ sử dụng khi truyền file (trong trường hợp này là port 69 và giao thức UDP); nơi lưu trữ logfile là C:\TFTPServer\Logs

Nơi lưu trữ file backup, trong trường hợp này là C:\TFTPServer\BackupStore

1.3. Chỉnh firewall trên Windows

Đảm máy tính cài TFTP Server đã được cho phép truy cập port 69 UDP theo chiều inbound, và từ thiết bị cisco (router hoặc switch) có thể ping thấy được server TFTP.

Thực hiện trên PowerShell:

netsh advfirewall firewall add rule name="Allow UDP 69 for TFTP" dir=in action=allow protocol=UDP localport=69

Cisco#ping 192.168.0.48

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.48, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms

2. Sao lưu/Backup cấu hình trên thiết bị cisco đến TFTP server
2.1 Trên thiết bị cisco:

Cisco#copy startup-config tftp:

Address or name of remote host []? 192.168.0.48 
Destination filename [cisco-confg]? cisco-config-bk.cfg 
!!
4898 bytes copied in 0.042 secs (116619 bytes/sec)

Giải thích: 192.168.0.48 là IP của TFTP server; cisco-config-bk.cfg tên của file backup cần lưu

P/S: Chúng ta cũng có thể copy running-config tftp:

HOẶC:

Như chúng ta đã biết mọi cấu hình sẽ được lưu trong flash:

Cisco#dir flash:

Directory of flash:/
    2  -rwx        2084   Mar 4 1993 05:54:43 +00:00  private-config.text
    3  -rwx        1936   Mar 1 1993 00:00:43 +00:00  vlan.dat
    5  -rwx        3096   Mar 1 1993 00:00:50 +00:00  multiple-fs
    6  -rwx        4898   Mar 4 1993 05:54:43 +00:00  config.text
    7  drwx         192   Mar 1 1993 00:47:57 +00:00  c2960-lanbasek9-mz.150-2.SE8
  592  drwx          64   Mar 1 1993 00:52:20 +00:00  dc_profile_dir
65544192 bytes total (49498112 bytes free)
Cisco#

Noted: dir flash: có dấu 2 chấm nhé!

File config.text chính là file cấu hình hiện tại cần phải sao lưu

Cisco#copy flash:config.text tftp:

Address or name of remote host []? 192.168.0.48
Destination filename [config.text]? config.text.cfg
!!
4898 bytes copied in 0.034 secs (144059 bytes/sec)
Cisco#

Giải thích: Copy file config.text từ flash đến TFTP và đổi tên thành config.text.cfg

Chú ý: Nếu thiết bị là switch, khi backup cấu hình chúng ta phải thực hiện backup cấu hình của vlan, file cấu hình này được lưu trữ trong flash với tên vlan.dat

Cisco#copy flash:vlan.dat tftp:

Address or name of remote host []? 192.168.0.48
Destination filename [vlan.dat]? vlan.dat.100.21.cfg
!!
1936 bytes copied in 0.017 secs (113882 bytes/sec)
Cisco#

Backup file vlan.dat từ flash của switch đến TFTP server và lưu với tên là vlan.dat.100.21.cfg

2.2 Quan sát trên TFTP Server

Giải thích:
     - 1: Tên file "cisco-config-bk.cfg" đã được tạo ra trong đường dẫn đã cài đặt ở phần chuẩn bị
     - 2: Từ thiết bị có IP là 192.168.100.21
     - 3. Đã upload thành công

3. Phục hồi/Restore cấu hình có thiết bị với TFTP Server

Cisco#copy tftp: flash:

Address or name of remote host []? 192.168.0.48
Source filename []? config.text.cfg
Destination filename [config.text.cfg]? config.text
%Warning:There is a file already existing with this name
Do you want to over write? [confirm] Y
Accessing tftp://192.168.0.48/config.text.cfg...
Loading config.text.cfg from 192.168.0.48 (via Vlan1): !
[OK - 4898 bytes]
4898 bytes copied in 8.104 secs (604 bytes/sec)
Cisco#

Thực hiện copy file config.text.cfg từ trên TFTP server có IP 192.168.0.48 vào flash: của thiết bị và đổi tên thành file config.text (khi thiết bị boot nó sẽ tìm đọc file config.text và load cấu hình file này vào startup-config, nếu muốn load file cấu hình đó thì chúng ta phải đặt tên là config.text). Vì file đã tồn tại nên có cảnh báo, chúng ta chọn Yes để xác nhận và thực hiện copy.

Nếu thiết bị là switch và đã cấu hình vlan chúng ta phải thực hiện thêm phần restore file vlan.dat nữa nhé.

Xong!

BGInfo Background & Deploy To Client Via GPO

Giới thiệu:

Do nhu cầu thực tế về việc quản lý nhiều server nên khi kết nối vào chúng ta không biết là đang đăng nhập vào server nào, hoặc hướng dẫn ai đó cung cấp cho chúng ta một vài thông tin để chúng ta hỗ trợ họ. Với BGinfo giúp chúng lấy thông tin như: tên máy tính, username, địa chỉ IP, thông tin phần cứng, ...  của máy tính hiện tại ghi lên màn hình nền của Desktop mỗi khi logon. 

Mục tiêu 

Lấy các thông tin hiển thị lên màn hình như hình dưới.

Yêu cầu:
1. Download Bginfo
2. Lấy các trường thông tin: Host name, Boot time, Logon server, Logon domain, User name, System type, Default Gateway, Memory, CPU, OS system, Volumes, Free Space được định nghĩa mặc định và in lên góc trên trái của màn hình.
3. Dùng WMI query để lấy thêm các trường thông tin: Domain Name, Model Name, Model Vendor, IP Address, DNS Server và MAC Address
4. Dùng VB Script để lấy địa chỉ IPv4 của máy tính.
5. Sắp xếp các trường cần hiển thị theo ý
6. Cài đặt Bginfo vào startup cho user.
7. Deploy từ Domain Controller xuống các máy con trong môi trường domain thông qua GPO.

Thực hiện:
1. Download Bginfo tại đây

2. Lấy các trường thông tin: Host name, Boot time, Logon server, Logon domain, User name, System type, Default Gateway, Memory, CPU, OS system, Volumes, Free Space được định nghĩa mặc định và in lên góc trên trái của màn hình.

Cài đặt nơi lưu ảnh sau khi ghi thông tin; vị trí hiển thị của trường thông tin là góc trên trái, và chỉ ghi trong phạm vi là  4,2 inch như hình dưới:

Chọn các trường đã được định nghĩa sẵn trong vùng Fields -> Add -> Apply -> OK để xem kết quả, cài đặt như hình dưới:

3. Dùng WMI query để lấy thêm các trường thông tin: Domain Name, Model Name, Model Vendor, IP Address, DNS Server và MAC Address

Chọn Custom... -> New... -> WMI query -> Browse trong WMI Class chọn Win32_ComputerSystem và Class Property chọn Domain -> OK -> đặt trên chổ Identifier là Domain Name (hay WMI Domain Name cho dể phân biệt) -> OK -> OK. Có thể tham khảo cài đặt như hình dưới:

Hoặc chúng ta có thể gõ trực tiếp câu query vào phần path như dưới và đặt tên chổ phần Identifier

Domain Name query:

SELECT Domain FROM Win32_ComputerSystem

Tương tự cho Model Name, Model Vendor, IP Address, DNS Server và MAC Address

Model Name:

SELECT Name FROM Win32_ComputerSystemProduct

Model Vendor:

SELECT Vendor FROM Win32_ComputerSystemProduct

IP Address:

SELECT IPAddress FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled=True

DNS Server:

SELECT DNSServerSearchOrder FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled=True

MAC Address:

SELECT MACAddress FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled=True

Noted: Với các trường IP address, DNS Server, MAC Address chúng ta phải thêm "WHERE IPEnabled=True" ở cuối câu query nếu không có một số trường hợp chúng ta nhận được kết quả có thêm chữ NULL như hình bên dưới

Kết quả cuối cùng của các trường query bằng WMI

Nhận xét: Với cách lấy IP Address bằng WMI query như hiện tại nó sẽ lấy cả IPv6 nếu IPv6 có enable trên máy tính. Để chỉ lấy IPv4 thì chúng ta có thể dùng VB Script với các query kèm thêm các điều kiện. Tham khảo mục VB Script ở mục 4.

4. Dùng VB Script để lấy địa chỉ IPv4 của máy tính.

Tạo file Bginfo.vbs với nội dung:

' Special BGInfo Script
' Only IPv4 Address v1.7
' Programmed by WindowsStar - Copyright (c) 2009-2011
' --------------------------------------------------------
strComputer = "."
On Error Resume Next
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colSettings = objWMIService.ExecQuery ("SELECT * FROM Win32_NetworkAdapterConfiguration where IPEnabled = 'True'")
For Each objIP in colSettings
   For i=LBound(objIP.IPAddress) to UBound(objIP.IPAddress)
      If InStr(objIP.IPAddress(i),":") = 0 Then Echo objIP.IPAddress(i)
   Next
Next

Cài đặt thực hiện query thông qua VBS, chúng ta trỏ đến file Bginfo.vbs vừa tạo ở trên. Tham khảo cài đặt như hình dưới:

Chọn IPv4 vừa định nghĩa trong vùng Fields -> Add để thêm vào nội dung cần hiển thị -> Apply -> OK xem kết quả.

Kết quả cho chúng ta thấy chỉ lấy duy nhất IPv4 cho dù IPv6 đang enable. 

5. Sắp xếp các trường cần hiển thị theo ý
Các bạn có thể sắp xếp theo yêu cầu của các bạn, cách làm của chúng tôi chỉ nhằm mục đích tham khảo:

Sau khi xem kết quả nếu ok chúng ta lưu lại (file -> save as) với tên Bginfo.bgi cùng thư mục với file Bginfo.exe cho dễ.

Chúng tôi lưu vào C:\Windows\Bginfo, và hiện tại có 3 file (bginfo.exe là file chương trình, bginfo.vbs được tạo ra ở mục 4, bginfo.bgi được tạo ra ở mục 5 lưu cấu hình).

6. Cài đặt Bginfo vào startup cho user.

• Tạo file Bginfo.reg với nội dụng sau và chạy file này với quyền administrator:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Sysinternals\BGInfo]
"EulaAccepted"=dword:00000001

 Kết quả sau khi chạy file Bginfo.reg

• Tạo file Bginfo.bat với nội dung:

@echo off
cd
CALL "C:\BGinfo\Bginfo.exe" "C:\BGinfo\Bginfo.bgi" /timer:0 /nolicprompt

Ý nghĩa:  timer:0 : thời gian chờ là 0;  nolicprompt: không cần cần hiển thị form xác nhận thông tin

• Tạo shortcut để chạy file Bginfo.bat mỗi khi đăng nhập vào máy

7. Deploy từ Domain Controller xuống các máy con trong môi trường domain thông qua GPO.

• Share folder Bginfo trên file server và cho phép các client truy cập vào folder này

Kết quả truy cập đến folder Bginfo trên file server thành công.

• Tạo GPO thực hiện copy tất cả các file Bginfo.* từ file server đến máy client

• Tạo regedit key mặc đinh cho phép (EulaAccepted) khi chạy lần đầu tiên

• Tạo shortcut để thực thi file Bginfo.bgi trên Startup

• Thực hiện deploy từ domain xuống các client

Với các máy client các bạn thực hiện lệnh gpupdate /force và log off lại máy để xem kết quả.

Chúng tôi hy vọng sẽ ít nhiều giúp được các bạn khi cần.
Các file đã thực hiện của bài lab

Xong!

Các link tham khảo
1. Cài đặt cơ bản từ microsoft.com
2. Remove the (none) IP Address
3. VBScript for displaying only IPv4 Addresses