Announcement

**nguyenducan** · 20-08-2011, 02:23 PM

Mô hình WLAN kèm RADIUS SERVER này chỉ dành cho môi trường DOMAIN hay có thể cả WORKGROUP???? ý mình là cái laptop ở ngoài sau khi chứng thực, tức là nó đã join vào DOMAIN đúng ko ạ???

Xin trả lời là tùy mình thích thì triển khai trên Domain hay trên Workgroup đều được.
Giả sử, ta đang triển khai trên Domain, laptop ở ngoài sau khi chứng thực, nó sẽ kết nối vào mạng wireless của ta thôi. Nếu Mạng wireless có kết nối với hệ thống mạng LAN của mình thì laptop có khả năng giao tiếp với mạng LAN của mình (tùy có triển khai access list hay VLAN gì không v...v...) -> không hề có khái niệm là kết nối wireless +chứng thực bằng RADIUS SERVER, xong rồi thì laptop sẽ join vào domain -> không có nha. Nếu kết nối wirelss xong, muốn join domain thì phải làm thêm các thao tác khác.

-Mình cho RADIUS SERVER chạy cùng trên máy DC luôn có được ko? Mình xem các mô hình, thấy hơi lạ là nếu để cái DC có cơ sở dữ liệu USER riêng ra thì công việc của thằng RADIUS SERVER là gì?? chả nhẽ chỉ là chuyển USER| PASS sang DC để kiểm tra???

Bạn đã tự hỏi và tự trả lời. Nếu mình lấy cái DC làm Radius Server, thì lúc người dùng muốn chứng thực, phải lấy tài khoản được tạo trên DC mà chứng thực.
NGười dùng sẽ đi qua 2 trạm: Access Point + Radius Server (là cái DC luôn).
Còn mình muốn tạo Radius Server riêng, thì trên con RS, mình phải tạo danh sách user + pass riêng. Lúc này, người dùng chỉ phải đi qua ACCESS POINT + RS (không phải DC) và cũng không cần đi qua DC.

Cuối cùng, người ta thường tích hợp cả RS vào trong DC luôn (có sẵn user + pass, rồi dễ quản lý v...v...). Lúc này, trên DC, ta sẽ tạo CA Server, để cấp chứng chỉ cho người dùng (không phải DC cấp chứng chỉ cho DC). Laptop muốn kết nối, phải được cài đặt chứng chỉ trước.

Bạn có thể tham khảo tài liệu cấu hình NPS trên Windows Server 2008 để triển khai Radius Server cho mạng wireless.

**lovelee** · 20-08-2011, 04:36 PM

Originally posted by nguyenducan View Post

Xin trả lời là tùy mình thích thì triển khai trên Domain hay trên Workgroup đều được.
Giả sử, ta đang triển khai trên Domain, laptop ở ngoài sau khi chứng thực, nó sẽ kết nối vào mạng wireless của ta thôi. Nếu Mạng wireless có kết nối với hệ thống mạng LAN của mình thì laptop có khả năng giao tiếp với mạng LAN của mình (tùy có triển khai access list hay VLAN gì không v...v...) -> không hề có khái niệm là kết nối wireless +chứng thực bằng RADIUS SERVER, xong rồi thì laptop sẽ join vào domain -> không có nha. Nếu kết nối wirelss xong, muốn join domain thì phải làm thêm các thao tác khác.

Bạn đã tự hỏi và tự trả lời. Nếu mình lấy cái DC làm Radius Server, thì lúc người dùng muốn chứng thực, phải lấy tài khoản được tạo trên DC mà chứng thực.
NGười dùng sẽ đi qua 2 trạm: Access Point + Radius Server (là cái DC luôn).
Còn mình muốn tạo Radius Server riêng, thì trên con RS, mình phải tạo danh sách user + pass riêng. Lúc này, người dùng chỉ phải đi qua ACCESS POINT + RS (không phải DC) và cũng không cần đi qua DC.

Cuối cùng, người ta thường tích hợp cả RS vào trong DC luôn (có sẵn user + pass, rồi dễ quản lý v...v...). Lúc này, trên DC, ta sẽ tạo CA Server, để cấp chứng chỉ cho người dùng (không phải DC cấp chứng chỉ cho DC). Laptop muốn kết nối, phải được cài đặt chứng chỉ trước.

Bạn có thể tham khảo tài liệu cấu hình NPS trên Windows Server 2008 để triển khai Radius Server cho mạng wireless.

Em xin cảm ơn ạ. Cho em hỏi thêm 1 chút là:

_Vậy tức là , nếu em chỉ triển khai kiểu WORKGROUP, thì thực tế ko cần đến 1 DC phải ko ạ,chỉ cần 1 máy cài WIN SERVER chạy dịch vu RADIUS SERVER . Còn nếu em triển khai kiểu DOMAIN , đã có 1 mạng LAN có dây rồi, sau đó em mang 1 con LAPTOP xa lạ tới, chứng thực xong, vẫn phải joint domain như các máy trạm ban đầu khác phải ko ạ? ( vào computer name -> abc xyz... 8-x )

_ Bác có thể giải thích cho em thêm 1 chút về cái CA cấp chứng chỉ ko ạ?? Vì phần này em chưa học tới và đọc qua thấy rất mơ hồ :@) . Bác có thể nói cụ thể trong cái vấn đề về RADIUS SERVER này thì là ai cấp chứng chỉ cho ai được ko ạ ??

Tại vì em có tham khảo sách, thấy có đoạn ghi là : " RADIUS SERVER trước tiên cần phải xác thực chính nó với RADIUS CLIENT ,và tiếp theo R CLIENT sẽ gửi USER +PASS đã được mã hóa đến RSERVER . Quá trình xác thực 2 chiều này cần đến chứng chỉ .."

-> 8-x em không hiểu lắm . hic.

-> THANKS bác ạ.

**nguyenducan** · 22-08-2011, 01:13 PM

Vậy tức là , nếu em chỉ triển khai kiểu WORKGROUP, thì thực tế ko cần đến 1 DC phải ko ạ,chỉ cần 1 máy cài WIN SERVER chạy dịch vu RADIUS SERVER . Còn nếu em triển khai kiểu DOMAIN , đã có 1 mạng LAN có dây rồi, sau đó em mang 1 con LAPTOP xa lạ tới, chứng thực xong, vẫn phải joint domain như các máy trạm ban đầu khác phải ko ạ?

Ùa, nếu muốn cái laptop đó được quản lý bỏi DC :)

Còn vè CA, bạn tham khảo bài viết sau đây:

http://www.kythuatvien.com/forum/Network/70-291/Part_35_-_Cerificate_Authority.html

**lovelee** · 22-08-2011, 04:56 PM

Originally posted by nguyenducan View Post

Ùa, nếu muốn cái laptop đó được quản lý bỏi DC :)

Còn vè CA, bạn tham khảo bài viết sau đây:
http://www.kythuatvien.com/forum/Net...Authority.html

Em cảm ơn ạ.

Vậy nếu RADIUS SERVER của em có cài luôn dịch vụ CA thì nó ko cần công đoạn xin cái chứng chỉ chứng tỏ nó chính là RADIUS SERVER nữa đúng ko ạ?

Ở bài trên bác có nói là CA cấp chứng chỉ cho USERS nhưng em tham khảo 1 số tài liệu thì ko thấy nhắc đến đoạn này. hic.

**thanhnam0707** · 07-09-2011, 02:40 PM

Còn nếu em triển khai kiểu DOMAIN , đã có 1 mạng LAN có dây rồi, sau đó em mang 1 con LAPTOP xa lạ tới, chứng thực xong, vẫn phải joint domain như các máy trạm ban đầu khác phải ko ạ? --> làm gì có chuyện này,chưa join domain,chưa request CA cho client,rồi lấy user ở đâu cho cái laptop chứng thực ta,

**nguyenducan** · 07-09-2011, 07:39 PM

@thanhnam: bạn triển khai domain -> bạn phải triển khai luôn DC. Trên DC này tạo 1 user + pass dành cho chứng thực (tạo mới hoặc lấy user có sẵn cũng được).
Laptop request CA xong, cài xong. Muốn gia nhập vào mạng wireless -> dùng cái user + pass ở trên mà chứng thực.
Sau đó, muốn join domain thì join như bình thường, quan trọng là có user + pass để join không (nếu user + pass chứng thực wireless không được cấp quyền join domain).

**lovelee** · 13-09-2011, 12:43 PM

Originally posted by nguyenducan View Post

@thanhnam: bạn triển khai domain -> bạn phải triển khai luôn DC. Trên DC này tạo 1 user + pass dành cho chứng thực (tạo mới hoặc lấy user có sẵn cũng được).
Laptop request CA xong, cài xong. Muốn gia nhập vào mạng wireless -> dùng cái user + pass ở trên mà chứng thực.
Sau đó, muốn join domain thì join như bình thường, quan trọng là có user + pass để join không (nếu user + pass chứng thực wireless không được cấp quyền join domain).

_ Em có tham khảo 1 số tài bài hướng dẫn trên mạng, thì đều thấy có đoạn ghi là : Máy CLIENT ( đã JOIN DOMAIN từ trước) -> hic, thế nên em mới thấy lạ. Chưa thấy ai đề cập lab trên môi trường WORKGROUP. mà theo như mấy bài lab đó thì cái lap toàn phải "JOIN DOMAIN " từ trước thế thì còn nói làm gì. Thậm chí có bài lab còn phải add cả tên của COMPUTER đó ( đã join domain) vào group cho phép xác thực, bật ALLOW ACCESS nữa. :-S

_Về CA: em thấy trong các bài lab đó, đều cài dịch vụ CA trên chính máy DC, sau đó request 1 chứng chỉ, rồi copy tên của máy chủ CA vào TRUSTED ROOT

-> đây có phải bước LAPTOP REQUEST CA như thầy nói ko ạ. Hay là LAPTOP phải xin hẳn 1 cái chứng chỉ chứng nhận bản thân nó với RADIUS SERVER.

Thanks thầy rất nhiều, mong thầy giải đáp giúp.

Announcement

Các tiền bối cho mình hỏi chút về RADIUS SERVER và CA

Các tiền bối cho mình hỏi chút về RADIUS SERVER và CA

Comment

Comment

Comment

Comment

Comment

Comment

Comment