บทความต่างๆ

หัวข้อ
อินเตอร์เน็ตเร็วๆช้าๆ กับ Traffic ต่างประเทศ
กว่าจะเป็น L3 Managed Switch
การเชื่อมต่ออินเตอร์เน็ต แบบ IP transit
Mikrotik authen AD radius windows server 2012 ได้มั้ย

Mikrotik authen AD radius windows server 2012 ได้มั้ย

ก่อนอื่นไม่อยากให้ถามคำถามในลักษณะนี้เท่าไหร่นะครับ อยากให้มองเป็น standard กลางมากกว่าครับ เหมือนคุณกำลังตั้ง web server ไม่ว่าจะเป็น IIS, apache หรือ XAMPP หรืออื่นๆ สิ่งที่คุณกำลังตั้งคือ web server นะครับ เพียงแต่อาจมีบอกเล็กน้อยเช่น เป็น web version ไหนว่ากันไป เพราะฉะนั้นพอบอกว่าตั้ง web server เราจะไม่ค่อยถามกันมากว่าใช้บน chrome ได้ไหม ใช้บน IE ได้ไหมหรืออะไรอย่างนี้นะครับ ยกเว้นว่าจะมีการใช้เทคโนโลยีที่เฉพาะกับยี่ห้อนั้นๆครับ

ขอเข้าเรื่องดีกว่า เรื่องนี้คือการทำการยืนยันตัวตนตามมาตรฐาน IEEE802.1x ครับ พอบอกอย่างนี้ก็แปลว่าถ้าอุปกรณ์ไหนก็ตามบอกว่าเป็นการทำงานตามมาตรฐาน IEEE802.1x ก็แปลว่ามันสามารถทำงานด้วยกันได้หมดนะ
การยืนยันตัวตนตามมาตรฐาน IEEE802.1x จะมีองค์ประกอบ 3 ส่วน คือ
1. Supplicant คืออุปกรณ์ที่จะเข้ามายืนยันตัวตน
2. Authenticator คืออุปกรณ์ที่ทำหน้าที่ทำการยืนยันสิทธิ์ และทำการอนุญาตไม่อนุญาตตามคำสั่งของ authentication server
3. Authentication Server คืออุปกรณ์ที่ทำหน้าที่ในการตรวจสอบสิทธิ์ของอุปกรณ์ที่มายืนยันตัวตน

อธิบายให้เข้าใจง่ายขึ้น Supplicant ก็เป็นคนที่กำลังจะเข้ามาในระบบของเรา เรายังไม่ให้เค้าเข้ามานะต้องขอตรวจสอบสิทธิ์ก่อน supplicant จะคุยกับ authenticator เพื่อที่จะขอเข้าระบบ คิดว่าคล้ายๆกับ authenticator เป็น คุณ รปภ. ที่โรงเรียน คุณ รปภ. ไม่รู้หรอกครับว่าใครเป็นใครและสามารถทำอะไรหรือไปไหนได้บ้าง คุณ รปภ. ก็เลยต้องโทรประสานงานไปที่ ฝ่ายบุคคล/ฝ่ายทะเบียน ในที่นี้เหมือนเป็น authentication server ฝ่ายบุคคล/ทะเบียน ต้องทำการตรวจสอบว่าคนที่ คุณ รปภ. กำลังคุยด้วยอยู่คือใคร มีสิทธิ์อะไรบ้าง เช่น คนที่ติดต่อด้วยอยู่คือคุณ ก มีสิทธิ์ในการเข้าไปที่ห้อง 1 ตึก 2 นอกนั้นไม่ให้เข้าเป็นต้น พอ authentication server ทำการยืนยันตัวตนเสร็จ ก็จะบอกกลับไปที่ authenticator ว่าให้ทำอย่างไรต่อ เช่น อนุญาตให้เข้ามาใน broadcast domain ไหน ทำอะไรได้บ้างเป็นต้น authenticator จะต้องทำตามคำสั่งของ authentication server ที่แจ้งมา เหมือน พอ คุณ รปภ. ได้รับแจ้งจากทางฝ่ายบุคคล/ทะเบียนแล้วว่า นาย ก มีสิทธิ์เข้า ห้องนั้นห้องนี้ ก็อนุญาตให้เค้าเข้าห้องตามที่บอก (ตามไปคุมนั่นแหละ)

คราวนี้ ก็ authentication server ซึ่งก็คือ radius server เราอาจมีข้อมูล user และสิทธิ์ต่างๆอยู่เลยก็ได้ไม่มีปัญหาสำหรับระบบเล็กๆ แต่ถ้าระบบใหญ่ๆขึ้นจะเริ่มมีการแยกระหว่าง authentication server กับ directory service ขึ้นครับ อันนี้อยากให้มองเห็นเป็นภาพใน standard ว่ามันคือ authentication server นะเพียงแต่ authentication อาจมีการใช้ข้อมูลจากที่อื่น (directory service) ต้องอธิบายเพิ่มอีกแล้ว จากเดิมคนจะเข้ามาในโรงเรียนเราต้องผ่าน คุณรปภ. ต้องประสานงานกันตามที่ได้อธิบายไปข้างบน ลองคิดสภาพดูนะครับ งานบุคคล/ทะเบียน จริงๆแล้วน่าจะทำอะไร น่าจะเป็นการยุ่งกับข้อมูลของผู้คนและสิทธิ์การจะทำอะไรของแต่ละคนมากกว่า ถ้าต้องมาดูข้อมูลที่ส่งมาจาก รปภ. ตลอดและยืนยันว่าบุคคลนี้เป็นคนนั้น มีสิทธิ์นั้นสิทธิ์นี้ตลอด ภาระงานจะเยอะมากครับ คราวนี้ เลยมีการแยกส่วนของการทำการยืนยันตัวตน กับเรื่องการจัดการข้อมูลออกจากกัน ส่วนการยืนยันตัวตน หรือ authentication server ทำหน้าที่ในการยืนยันตัวตนอย่างเดียว เหมือนดูข้อมูลที่ส่งมาจาก authenticator แล้วบอกว่าคือใคร โดยใช้ข้อมูลจาก directory service ครับ เพราะฉะนั้นเลยเกิดการแยกภาระการยืนยันตัวตน ออกจากการประมวลข้อมูลเรื่อง account และสิทธิ์ครับ
คราวนี้สังเกตไหนครับ ผมใช้คำว่า directory service ผมไม่ใช้คำว่า active directory (AD) เพราะอยากให้มองเห็นภาพว่ามันคือระบบจัดการเรื่อง account และ สิทธิ์ต่างๆของแต่ละ user ซึ่งมันสามารถเป็น directory service ตัวไหนก็ได้ เช่น Active Directory (AD), Lightweight Directory Access Protocal เป็นต้น

PS1 อธิบายคร่าวๆและไม่ได้ถูกต้อง 100%นะครับ แต่เป็นการอธิบายแบบให้เข้าใจได้ง่าย สามารถศึกษาเพิ่มเติมได้หัวข้อคือ IEEE802.1x
PS2 เรื่องนี้เป็นเรื่องแทรกใน MTCNA (full class), MTCWE และ MTCUME แต่อธิบายมาเกือบหมดเรียบร้อย