การใช้งานไมโครติก ร่วมกับ วิโดวส์โดเมน (ADDs) ของไมโครซอฟท์

สวัสดีครับ เช้านี้ขอเรื่องเบาๆ ไม่พูดมาก “เจ็บคอ”

ว่าด้วยเรื่องวิโดวส์เอดี หรือ เราภาษาชาวแอ็ดมินเรียกกันสั้นๆ ว่า “โดเมน” นั่นเอง

หลายๆ หน่วยงาน โดยเฉพาะอย่างยิ่งที่เน้นเรื่องความปลอดภัย ต้องมีการกำหนดสิทธิ์ในการเข้าใช้ระบบเน็ตเวิร์ค ระบบคอมพิวเตอร์ และ ระบบการแชร์ไฟล์ต่างๆ

แน่นอนว่า หากต้องการใช้งานระบบความปลอดภัยแบบนี้ มี หลักๆ 2 ทางเลือก คือ 1. ใช้ License พวกค่าไมโครซอฟท์ เรียกว่าการเปิดใช้ Active Directory Domain Service (ADDs) นั่นเอง และ 2. ใช้พวกฟรีต่างๆ ของค่าย Linux เช่น LDAP ซึ่งก็ต้องใช้ความรู้ด้าน Linux ในระดับกลางขึ้นไป

ระบบพวกนี้ที่กล่าวมาจะมีการกำหนดบัญชีผู้ใช้ สิทธิ์การเข้าใช้งานต่างๆ ได้ ยิ่งค่ายวินโดวส์ด้วยแล้ว จะมีคุณสมบัติพิเศษต่างๆ ที่ทำงานร่วมกับระบบตระกูลเดียวกัน สามารถกำหนดรายละเอียดสิทธิ์ได้ (Group Policy) ลงละเอียดลึกๆ ได้ ด้วย ทำให้ระบบมีความปลอดภัย และที่สำคัญ สามารถตรวจสอบประวัติการเข้าใช้งานต่างๆ ได้ ตรงนี้แหละตรงใจกับพวกบริษัทที่ต้องการระบบที่มีการตรวจสอบ การเข้าใช้งาน ใครเข้าใช้งานช่วงเวลาใด มีใครพยายามเดารหัสผ่าน เข้ามาในระบบบ้าง อะไรพวกนี้ เป็นลำต้น..

เอาล่ะ ด้านบนที่เกริ่นนำมา ท่านอาจจะเข้าใจบ้างแล้วว่า เราใช้พวก “โดเมน” เพื่อการอันใด

ต่อมาเข้าเรื่องของเราต่อ จากด้านบน เราพูดถึงเรื่องการยืนยันตัวตนเพื่อเข้าใช้งานระบบคอมพิวเตอร์ เพื่อการเข้าถึงสิทธิ์ต่างๆ ในระบบ ไม่ว่าจะเป็นสิทธิ์การใช้งาน Windows สิทธิ์การเข้าถึงแชร์ไฟล์ต่างๆ อันไหนเข้าได้ บ้าง ไฟล์ไหนแก้ไขได้ หรือลบได้ อะไรพวกนี้

การใช้บัญชีผู้ใช้เดียวกัน เพื่อเข้าใช้งานระบบอินเตอร์เน็ตด้วย “โดเมน”

มาเริ่มติดตั้งบริการ NPS (Network Policy Services)

เข้าสู่ Windows ที่ทำหน้าที่เป็น Active Directory Services (ADDs) กันเลย

เข้าสู่ระบบเลยครับ สั่งเกตุผมเข้าด้วย OTIKLAB\Administrator คือ บัญชีผู้ใช้บน โดเมน ครับ

จากนั้นคลิกที่ Server Manager ด้านล่าง (ดูตรงรูปเม้าส์ชี้ครับ)

จากนั้นที่หน้า Welcome to Server Manager ให้คลิกที่ Dashboard แล้วเลือก Add roles and features ในส่วนของ Configure this local server

แสดงหน้าต่าง Add Roles and Features Wizard ขึ้นมา อ่านๆ แล้วก็คลิก Next > ไปต่อเลยครับ

ในส่วนของ Select installation type : ให้เลือกเป็น Role-based or feature-base installation จานั้นคลิกที่ Next > ดำเนินการต่อไป

Select Destination Server เลือกปลายทางเซิร์ฟเวอร์ที่เราต้องการติดตั้ง ให้เลือก Select a server from the server pool จากนั้นคลิก Next > ต่อไป

เลือก Network Policy and Access Service (ทำเครื่องหมายถูกข้างหน้า)

จะมีหน้าต่างป๊อบอับขึ้นมา ว่าจะมีการเพิ่มบางฟีเจอร์เพิ่มลงไป (ต้องใช้คู่กันกับ NPS) ไม่ต้องคิดอะไรมากครับ ให้คลิก Add Features ครับ จากนั้นให้คลิก Next > ต่อไปเลย

คลิก Next > ต่อไปครับ

จะอธิบายการทำงานของ Network Policy and Access Services ให้เราทราบ อ่านๆ แล้วคลิก Next >

ระบบจะทำการเลือก (ทำเครื่องหมายถูก) ที่ด้านหน้า Network Policy Server คลิก Next > ต่อไปครับ

คลิกที่ Install เริ่มติดตั้งครับ รอสัก สาม ถึง ห้า นาที ก็น่าจะเสร็จน่ะ ฮ่าๆๆ

เมื่อติดตั้งเสร็จเรียบร้อยแล้ว คลิกที่ Close เป็นอันเสร็จสิ้นการติดตั้ง NPS ครับ

ต่อมาเริ่มคอนฟิก NPS (RADIUS) กันต่อ

เข้าไปที่ Server Manager จากนั้น เลือกที่ Tools แล้วเลือก Network Policy Server

ทำการลงทะเบียน ให้ NPS รู้จักกับ Active Directory (ตรงนี้สำคัญมากๆ) พอดีตัวอย่างภาพผม ได้ทำการลงทะเบียนไปแล้ว เลยคลิกไม่ได้ ของท่านเพิ่งทำใหม่ จะสามารถคลิกได้ ครับ

ทำการเพิ่ม NAS Client (คืออุปกรณ์เร้าท์เตอร์ที่จะเชื่อมต่อมาใช้งาน ร่วมกับ NPS) ซ้ายมือ ไปที่ RADIUS Clients and Server

คลิกขวาที่ RADIUS Clients เลือก New เพื่อทำการไมโครติก เข้าไปในระบบ เป็น NAS Client ตัวหนึ่ง

ทำการกรอกข้อมูล NAS Client ลงไป ตัวอย่าง ผมมีไมโครติก ใช้ไอพี 172.19.10.2 ให้กรอกดังต่อไปนี้

Name and Address = MikroTik (ชื่ออะไรก็ได้ ตั้งให้สื่อกับอุปกรณ์ที่เราเชื่อมเข้ามา)
Address IP or DNS = 172.19.10.2 ให้คลิกที่ Verify.. ด้วย
Shared secret = otiknetwork (กำหนดของท่านเอง ตัวอย่างผมกำหนดเป็น otiknetwork) ค่านี้เราจะเอาไปกรอกใน Radius ในไมโครติก ต้องใส่ให้ตรงกัน)
Confirm shared secret = กำหนดให้เหมือนกับด้านบน

เสร็จเรียบร้อยแล้ว คลิกที่ OK ครับ เสร็จสิ้นการกำหนด NAS Client

กำหนดนโยบายการเข้าใช้งานกัน (Network Policy)

คลิกขวาที่ Network Policies ในส่วนของ Policies จากนั้นเลือก New เพื่อสร้างนโยบายการเข้าใช้งานใหม่ (เทียบไปแล้วเปรียบเสมือน User Profile ของ hotspot ไมโครติกครับ)

ตรงช่อง Policy Name : hotspot ตั้งชื่อตามต้องการครับ เช่นกลุ่ม Sale , Support อะไรพวกนี้แหละ ตัวอย่างผมกำหนดเป็นชื่อ hotpost จากนั้นก็คลิก Next >

ทำการเลือกเงื่อนไข การเข้าใช้งาน ตัวอย่าง เราจะอนุญาติให้บัญชีผู้ใช้ในโดเมนเราทุกคนสามารถเข้าใช้งานได้ (เราสามารถแยก หรือเลือกเฉพาะกลุ่มได้ โดยการเพิ่ม OU ใน โดเมน แต่ตัวอย่างนี้ผมเอาง่ายๆ ก่อนนะครับ) คลิกที่ Add

ผมเลือกเงื่อนไข เป็น User Groups จากนั้นคลิก Next >

คลิกที่ Add Groups

จากนั้นำการเพิ่ม Domain Users เข้าไป พิมพ์แล้วคลิกที่ Check Names ดูครับ ว่าเราพิมพ์ถูกไหม เป็นการระบุว่า ใครบ้างเข้า login hotspot ผ่าน โดเมนนี้ได้บ้าง ผมเลือก Domain Users นั่นหมายถึง ทุกๆ คนที่เป็น Users Account ในโดเมนนี้ครับ จากนั้นคลิกที่ OK

สังเกตุตรงช่อง Specify the group membership .. จะแสดง Groups ที่เรากำหนดไว้แล้ว จากนั้นคลิกที่ OK อีกครั้ง

จากนั้นคลิกที่ Next > ดำเนินการต่อไปเลยครับ

แสดงหน้าต่าง Specify Access Permission ให้เลือก Access granted คือ เราจะอนุญาตให้เข้าใช้งานนั่นเอง

จากนั้นตรงหน้าต่าง Configure Authentication Methods ให้คุณเลือกตามภาพด้านล่างเลยครับ แนะนำให้เลือก Unencrypte authentication (PAP, SPAP) เพราะเราจะใช้ความปลอดภัยประเภทนี้ในการยืนยันตัวตน แล้วคลิกที่ Next >

แสดงหน้าต่าง Connection Request Policy ให้คลิกที่ No

จากนั้น หน้าต่าง Configure Constraints คุณสามารถกำหนดค่าต่างๆ เป็นเงื่อนไขเพิ่มเติมได้ ถ้าเปรียบเทียบว่าเป็น FreeRADIUS ตรงส่วนนี้จะเป็นการกำหนดเงื่อนไขในการ Reply เมื่อทำการยืนยันตัวตนผ่าน แล้ว ตัวอย่างนะครับ

เปิดใช้งาน Idle Timeout คือการกำหนดว่า หากไม่มีการใช้งานใดๆ เลย จำนวนกี่นาที ให้ทำการตัดการเชื่อมต่อ Hotspot ของเรา ตัวอย่าง ผมกำหนดไว้ที่ 10 นาที

ต่อมา เราสามารถกำหนดได้ว่า ทุกๆ ครั้งที่เข้าใช้งาน Hotspot ให้ใช้งานได้จำนวนกี่นาที ตัวอย่าง ผมกำหนด 60 นาที ดังนั้น ทุกๆ 1 ชั่วโมง อินเตอร์เน็ตจะถูกตัดครับ ทั้งสองรายการด้านบน หากต้องการ ใช้งานก็ทำเครื่องหมายถูกด้านหน้าก่อน ตรง Disconnect.. ตามตัวอย่าง จริงๆ สามาถกำหนดได้ในส่วนของ Called Station ID ได้ด้วย คือ เป็นการกำหนดว่า ผู้ใช้งานเข้ามาใช้งานระบบอินเตอร์เน็ตนั้น ต้องมาจากเร้าท์เตอร์ที่เรากำหนดเท่านั้น ลองดูนะครับ ไม่ยาก ผมขอผ่านตรงนี้ไปก่อน จากนั้น Next > ครับ

ต่อมาในหน้า Configure Settings หน้านี้สำคัญมากๆ ครับ เกริ่นคร่าวๆ ก่อน นิดหน่อย พอเป็นน้ำจิ้ม แล้วกัน ตรงนี้ คือ การใส่ Attribute สำคัญๆ ต่างๆ ของไมโครติก จริงๆ ใส่ได้เกือบทุกยีห้อครับ โดยการกำหนดที่ Vendor Specific ครับ เช่น เราต้องการใส่ Attribute MikroTik-Rate-Limit ซึ่งเป็นการบีบแบนวิดของผู้ใช้ แต่ละคน ก็สามารถทำได้ ณ ตรงนี้ครับ หรือจะใส่พวก MikroTik-Address-List ก็สามารถใส่ตรงนี้ได้เช่นกัน แต่ตอนนี้ Next > ไปก่อนนะเธอ..

จากนั้นหน้าต่างๆ Completing New Network Policy แสดง สรุปค่าคอนฟิกที่เราได้กำหนดไว้ คลิกที่ Finish ครับ เป็นอันเสร็จสิ้นการทำงาน

มาเริ่มคอนฟิก ไมโครติก เพื่อใช้งาน Hotspot ร่วมกับ ADDs กันเลย

comming soon

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *