Bài viết này hướng dẫn cách cấu hình Captive Portal, đây là tính năng cung cấp khả năng xác thực người dùng trong mạng nội bộ khi họ thực hiện truy cập internet bằng tài khoản và tài khoản này sẽ được đồng bộ từ AD trong hệ thống
Sơ đồ mạng
Chi tiết sơ đồ mạng:
Đường truyền internet sẽ được kết nối tại Port 2 của thiết bị Sophos Firewall với IP 192.168.2.103.
Phía trong là lớp mạng LAN được cấu hình tại Port 1 của thiết bị với IP 10.145.41.1/24 và đã được cấu hình DHCP.
Trong lớp LAN còn có 1 AD Server có IP 10.145.41.10/24, trên server này đã tạo 1 OU IT, trong OU IT có group Support, trong group Support có các user là user1, user2, user3.
Máy tính Laptop 1 được kết nối vào mạng LAN và nhận DHCP với IP 10.145.41.50/24.
Tình huống cấu hình
Thegioifirewal sẽ thực hiện cấu hình Captive Portal trên thiết bị Sophos Firewall để khi các thiết bị trong vùng mạng LAN truy cập và sử dụng internet sẽ phải thực hiện xác thực bằng tài khoản đã đồng bộ từ AD Server.
Các bước cấu hình
- Đồng bộ AD
- Import user và group
- Tạo policy
- Kiểm tra kết quả
Hướng dẫn cấu hình
B1. Đồng bộ AD
Bước đầu tiên chúng ta cần phải đồng bộ AD với Sophos Firewall.
Để đồng bộ chúng ta vào CONFIGURE > Authentication > Server > nhấn Add.
Cấu hình với các thông số sau:
- Server type: chọn Active Directory
- Server name*: LearningIT
- Server IP/domain: 10.145.41.11
- Connection security: chọn Plaintext
- Port*: 389
- NetBIOS domain: LEARNINGIT
- ADS user name*: administrator
- Password*: nhập mật khẩu của tài khoản administrator
- Display name attribute: để trống
- Email address attribute: mail
- Domain name*: learningit.xyz
- Search quries*: nhấn Add nhập dc=learningit, dc=xyz và nhấn OK.
- Nhấn Test connection để kiểm tra kết nối đến AD server.
- Nhấn Save để lưu.
B2. Import OU và Group
Sau khi đồng bộ AD thành công chúng ta cần thực hiện import OU và Group từ AD. Nhấn vào biểu tượng như trong hình để thực hiện import.
Lúc này cửa sổ Import group wizard help hiện ra nhấn Start.
Tại mục Step 1: Provide base DN for group, chọn dc=learningit,dc=xyz từ menu thả xuống.
Ở Step 2: Select AD groups to import sẽ show ra các OU và group mà AD hiện có, ở đây chúng ta sẽ tích chọn group Support nằm trong OU IT như hình.
Nhấn nút “>” để tiếp tục.
Nhấn nút “>” để tiếp tục.
Nhấn nút “>” và OK để tiếp tục.
Nhấn Close để đóng cửa sổ.
Sau khi import, chúng ta có thể vào CONFIGURE > Authentication > Group để kiểm tra xem group đã được import hay chưa.
Kết quả là group Support đã được import.
Tiếp theo để thiết bị tường lửa có thể xác thực được user từ AD chúng ta cần vào CONFIGURE > Authentication > Service.
Ở phần Firewall authentication methods chúng ta thấy rằng hiện tại chỉ thực hiện xác thực cho các tài khoản local trên firewall.
Chúng ta tích chọn LearningIT đây là server chúng ta vừa đồng bộ và phía bên phải chúng nhấn giữ chuột vào LearningIT và kéo nó lên trên so với Local.
Nhấn Apply để lưu.
B3. Tạo Policy
Bước tiếp theo chúng ta cần bật tính năng Captive Portal trong policy cho phép mạng LAN truy cập internet.
Nếu chúng ta chưa có policy thì có thể tạo theo hình dưới đây, nếu đã có policy này thì chỉ cần cấu hình phần tô đỏ như hình dưới đây.
Chúng ta chọn tích chọn Match Know User và Use web authentication for unknown users.
Ở bảng Users or Groups chúng ta chọn group Support vừa import.
B4. Kiểm tra kết quả
Để kiểm tra kết quả chúng ta sẽ truy cập vào Laptop 1, mở trình duyệt và truy cập vào google.com.
Khi đó trang xác thực sẽ hiện lên chúng ta cần nhập tài khoản và mật khẩu để xác thực.
Chúng ta sẽ nhập tài khoản user1 đây là tài khoản được đồng bộ từ AD và nhấn Sign in.
Thông báo đăng nhập thành công hiện ra.
Bây giờ chúng ta đã có thể truy cập internet.
Lưu ý chúng ta không được tắt tab xác thực này nếu tắt sẽ phải xác thực lại.
Mở 1 tab khác và thử truy cập lại vào google, lúc này đã có thể truy cập internet.
