CIO, IT Director, IT Manager มีหน้าที่อะไร

CIO, IT Director, IT Manager มีหน้าที่อะไร

โพสต์โดย maxbasic เมื่อ Feb 7, '10 11:08 PM สำหรับ ทุกคน

คำถามยอดนิยมเวลาสัมภาษณ์งานสำหรับตำแหน่งผู้นำของแผนก IT ก็คือ คุณคิดว่า CIO , IT manager, IT director เขามีหน้าที่อะไร

นี่ เป็นคำถามที่ง่าย แต่คนตอบเหนื่อยเพราะต้องอธิบายกันยืดยาวและใช้เวลาตอบนานมาก ใช้เป็นคำถามวัดกึ๋นของผู้สมัครได้เลยว่าทำงานในตำแหน่งบริหารแผนก IT มานานแค่ไหน รู้บทบาทของงานนี้จริงๆหรือไม่

ในมุมมองของผม ตำแหน่งระดับ CIO, IT director พวกนี้ข้ามผ่านงานระดับ operation มาแล้ว เขาผ่านงานITระดับต้น ถึงระดับกลางมาอย่างโชกโชน อย่างน้อยก็กว่า 15 ปีล่ะ ตอนนี้ก็จะเริ่มๆไต่ขึ้นระดับสูงแล้ว แต่ก็ไม่ใช่ว่าทุกคนจะไต่ขึ้นระดับสูงกันได้หมด จะขึ้นระดับสูงได้อย่างน้อยต้องมีคุณสมบัติดังนี้

- คิดเป็น แน่นอนว่าตำแหน่งนี้ต้องคิดมาก และคิดเป็น คิดลงลึกและคิดในแนวกว้าง ต้องคิดดักหน้าคนอื่นไป 2-3 ก้าว

- เป็นผู้นำคนได้ ตำแหน่ง CIO, IT director ต้องนำคนจำนวนมากอยู่แล้ว ทักษะในการเป็นผู้นำเป็นสิ่งสำคัญ การเป็นผู้นำไม่ได้หมายความว่าคุณจะต้องเป็นคนสั่งการทุกอย่างเสมอไป นั่นมัน ผจก รุ่นโบราณแล้ว ผจก รุ่้นใหม่นี่จะทำหน้าที่เป็นผู้ชี้นำ นำทางให้คนอื่นเดินตาม ต้ิองให้ผู้ตามมีส่วนร่วมแสดงความเห็นในการกำหนดทิศทางของแผนก และคอยอธิบายให้เขาฟังเมื่อเห็นว่าแนวคิดบางอย่างของเขายังไม่ถูกต้อง ถ้าทำอย่างนี้ไปบ่อยๆ นานๆเข้าลูกน้องคุณจะเก่งขึ้นมาเอง ส่วนจะเก่งมากหรือน้อยก็แล้วแต่ความสามารถของแต่ละคน

- คัดคนเป็น หัวหน้าที่ดีต้องรู้จักวิธีสัมภาษณ์คน อ่านคนให้ออก และเลือกคนที่มีศักยภาพจริงๆออกมาให้ได้ ข้อนี้พูดง่าย แต่ทำยากครับ เพราะการที่จะสัมภาษณ์คนได้เก่งๆ มองคนให้ิิออกจากการคุยกันแค่ 20-30 นาทีนี่คนสัมภาษณ์ต้องชำนาญและสัมภาษณ์คนมาเยอะ ตัวผมเองก็สัมภาษณ์คนมาเป็นหลักหลายร้อยคน กว่าจะจับทางออกว่าทำอย่างไรเราถึงจะคัดคนที่น่าสนใจออกมาจากการสัมภาษณ์ได้ นี่ก็ต้องลองผิดลองถูกมาเยอะ

- ฝึกลูกน้องให้เก่ง อันนี้สำคัญสำหรับองค์กรสมัยใหม่ที่เน้นการสร้างคน และเน้นการทำงานเป็นทีม การทำงานสมัยนี้หมดยุคข้ามาคนเดียว เก่งคนเดียวไปนานแล้ว องค์กรสมัยใหม่เน้นให้มีขนาดเล็ก มีคนน้อย แต่ทำงานมาก คนแต่ละคนทำงานหลายอย่าง แถมทำงานทดแทนกันได้ในยามจำเป็นด้วย หน้าที่หลักของหัวหน้าคือสร้างคนให้เก่งขึ้นมาช่วยแบ่งเบาภาระของตน และสร้างคนเก่งๆให้องค์กร บริษัทใหญ่ๆเขาจะเน้นมากเรื่องต้องสร้างลูกน้องที่จะทำหน้าที่ผู้สืบทอดจาก ตัวหัวหน้าให้ได้ ซึ่งเป็นเรื่องที่ดี แต่ก็ไม่ใช่ว่าจะทำได้เสมอไป ในหลายองค์กรเราพบว่าบรรดาลูกน้องจำนวนมากในแผนกยังมือไม่ถึง และห่างชั้นจากตัวหัวหน้าอยู่หลายขุม เมื่อถึงคราที่หัวหน้าลาออกไป หรือโยกย้ายไปอยู่ที่อื่น ลูกน้องเดิมก็ไม่สามารถทดแทนได้ สุดท้ายก็ต้องรับคนนอกเข้ามาแทน

- สื่อสารกับคนรอบตัวทั้งระดับเดียวกัน ระดับสูงกว่าและระดับที่ต่ำกว่าได้ดี มีทักษะในการพูด

- อ่านใจนายออก ข้อนี้สำคัญ คุณทำงานมาถึงระดับนี้แล้ว คงไม่ต้องให้นายมาคอยบอกไปทุกเรื่องว่าต้องการอะไร จะต้องทำอย่างไร คุณต้องมองให้ออกว่าเราควรจะต้องทำอะไรแล้วนำเรื่องไปปรึกษากับเจ้านาย ถ้าได้รับไฟเขียวก็ลุยได้เลย อย่าลืมว่าเราต้อง proactive ไม่ใช่ reactive

- ผ่านประสบการณ์ IT มาทั้ง hardware, software, network ถึงแม้ว่าในระดับนี้คุณไม่ต้องลงมือทำงานระดับ operation เองแล้ว แต่คุณต้องผ่านงานเหล่านี้มา เพื่อจะสามารถแนะแนวทางการทำงานให้ลูกน้องได้ และรู้ด้วยว่าลูกน้องของคุณกำลังมั่วอยู่หรือเปล่า

- วางงบและควบคุมงบประมาณแผนก IT ได้อย่างเชี่ยวชาญ หลังจากที่ผมทำงานคุมงบมาหลายปี ผ่านมาทุกรูปแบบ จนตอนนี้มองภาพออกแล้วว่า IT director หรือ CIO นั้นต้องอ่านงบ IT ได้อย่างชำนาญ มองออกเลยว่าปัญหามันอยู่ตรงไหน และจะหั่นงบตรงไหนดี งานหลักอย่างหนึ่งของตำแหน่งนี้คือหั่นงบส่วนเกินทิ้ง ในขณะเดียวกันก็ต้องดูให้แน่ใจว่ามีงบอย่างเพียงพอที่จะทำงานที่สำคัญให้ ลุล่วง

- เจรจาต่อรองเก่ง ในตำแหน่งนี้คุณต้องเจรจาต่อรองกับคนจำนวนมาก ทั้งในหน่วยงาน IT ด้วยกัน นอกหน่วยงาน IT หรือคนจากบริษัทอื่น เจรจาอย่างไรคุณจึงจะได้ในสิ่งที่เราต้องการ และคู่เจรจาก็ยังรู้สึกดีและยินดีทำตามสิ่งที่ตกลงกัน เรื่องนี้เป็นสิ่งที่พูดง่าย แต่ทำยากครับ บางครั้งมันก็ไม่สำเร็จอย่างสวยงามเสมอไป

- ปรับตัวรับความเปลี่ยนแปลงได้เร็ว โลกสมัยใหม่นี่ธุรกิจปรับตัวเร็ว ชาว IT ยิ่งต้องปรับตัวได้เร็วกว่า ความสามารถในการเปลี่ยนแปลงรับมือกับสถานการณ์ฺต่างๆได้อย่างเหมาะสมเป็น สิ่งสำคัญที่ตำแหน่งนี้ต้องมี

- บริหารจัดการ vendor ได้ดี อันนี้สามารถทำประโยชน์ให้กับบริษัทได้อย่างมหาศาล ทั้งได้ราคาพิเศษ ได้รับรู้เทคโนโลยีใหม่เป็นคนแรก ได้เงื่อนไขพิเศษจากการต่อรองกับ vendor

- มองการณ์ไกล ต้องมองไปข้างหน้าให้ได้ 3-5 ปี ไม่ต้องนานขนาด 10ปีหรอก โลกสมัยนี้มันก้าวไปเร็ว และเปลี่ยนเร็วมาก มองไปข้างหน้าได้ 3 ปีผมว่าก็เก่งแล้ว

- หลักการคิดดี รู้จักคิด และรู้จักตั้งคำถามเพื่อให้ได้คำตอบที่ต้องการ คนที่อยู่ระดับนี้ไม่จำเป็นต้องรู้ละเอียดหรือรู้ลึกในทุกๆเรื่อง โดยทั่วไปเขาจะรู้หลักการกว้างๆ รู้ business process ของหน่วยงานต่างๆในบริษัทดี เมื่ออยากได้ข้อมูลเพิ่มเติมในเชิงลึกก็เข้าไปถามคนที่เกี่ยวข้อง

- นำเสนอแนวคิดและหลักการได้ดี ขายแนวคิดให้คนอื่นยอมรับและนำไปปฏิบัติได้

- เป็นนักฝัน...... คนระดับนี้ต้องฝันให้ไกลและไปให้ถึง เขาต้องมองภาพงานของแผนก IT ในอนาคตได้ว่าจะเป็นอย่างไร จากนั้นจึงกำหนดแผนยุทธวิธีที่จะไปให้ถึงเป้าหมายที่วางไว้ จากแผนยุทธวิธีก็เอามากำหนดเป็นแผนปฏิบัติงานในแต่ละปีเพื่อบรรลุเป้าหมาย ระยะยาว

- ตามทันโลก, CIO, IT director ที่ดีต้องตามทันโลกว่าเขาไปถึงไหนกันแล้ว คู่แข่งเขาใช้ IT อย่างไรให้เกิดความได้เปรียบทางธุรกิจ คนที่จะทำงานตรงนี้ต้องเป็นนักอ่านตัวยง อ่านทั้งจากเว็บ จากนิตยสาร จากหนังสื่อพิมพฺ์ต่างๆ

- รู้จักธุรกิจที่ตัวเองกำลังทำอยู่ดี นี่เป็นกฏสำคัญข้อแรกเลยก็ว่าได้ ถ้า CIO ไม่รู้จักธุรกิจของบริษัทตัวเองเป็นอย่างดี ไม่เข้าใจ business process โดยรวมของทั้งองค์กรแล้ว เขาจะไม่สามารถกำหนดแผนงาน IT ให้สอดคล้องกับเป้าหมายขององค์กรได้ ผมเคยอ่านเจอว่าเมื่อ Starbuck รับ CIO คนใหม่เข้ามาทำงาน งานแรกของเขาคือไปเป็นพนักงานขายกาแฟอยู่หน้าร้านก่อน 10-15 วัน เพื่อให้เข้าใจธุรกิจ ก่อนที่จะเข้ามาทำหน้าที่ CIO ซึ่งผมเห็นด้วยกับแนวคิดนี้เป็นอย่างมาก ถ้า CIO คนไหนเอาแต่นั่งฝันหรือควบคุมงานทั้งหมดจากสำนักงานใหญ่ โดยไม่ไปคลุกคลีพบปะกับลูกค้าเลย ผมว่า CIO คนนั้นยากที่จะกำหนดทิศทางของแผนก IT ให้สอดคล้ิองกับเป้าหมายของธุรกิจ และใช้ IT เป็นเครื่องมือสร้างความได้เปรียบทางธุรกิจ

- รู้จักการเมืองในที่ทำงาน เข้าใจว่าการเมืองเป็นอย่างไร อ่านเกมส์ออก แต่ไม่จำเป็นต้องเข้าไปเล่นการเมืองในที่ทำงานกับเขาด้วยล่ะ ที่ต้องรู้ก็เพื่อจะสามารถเอาตัวรอดได้ในที่ทำงาน และสามารถผลักดันงานของแผนก IT ให้บรรลุเป้าหมายได้ โดยใช้การเมืองเข้ามาเสริม คุณต้องรู้ว่าต้องพูดเรื่องไหนกับใคร และใครจะช่วยคุณผลักดันเรื่องต่างๆได้ ถ้าจะให้ดีคุณต้องสามารถสลายขั้วทางการเมืองในออฟฟิศให้ได้ด้วย ซึ่งไม่ใช่เรื่องที่ทำได้ง่ายๆเลย

คู่มือการติดตั้ง CentOS-5.3_Authen_Log_Server

คู่มือการติดตั้ง CentOS-5.3_Authen_Log_Server ^Featured

• Written by  Administrator 
• font size   
• พิมพ์ 
• E-mail

คู่มือการติดตั้ง CentOS-5.3_Authen_Log_Server

คู่มือการติดตั้ง CentOS-5.3_Authen_Log_Server

คู่มือนี้พัฒนาเพิ่มเติมจาก  Gigazaa_V1  ครับ  แต่ปรับปรุงให้มีครอบคลุมยิ่งขึ้น  โปรแกรมที่มีในการติดตั้งทั้งหมด  คือ

- Set Mirror Update  เป็นของ  ม.เกษตรฯ
- Setup Mirror  rpmforge
- Setup Mirror silfreednet
- Setup and Install Apache  web server By yum
- Setup and Install MySQL Database Server By yum
- Setup and Install PHP5  By yum
- Setup and Install Freeradius By yum
- Setup And Install Chillispot
- BUU-Management
- ezradius
- Setup and Install phpmyadmin By yum
- Setup phpsysinfo report
- Setup radiusContex report
- Setup and Install sarg report
- Setup lightsqiud report
- Setup and Install Samba file server By yum
- script backup radact and access.log to samba
- script clear user ใน radius เมื่่อ reboot Server

*****************************************

Update :  28-05-2011

ตอนนี้สามารถติดตั้งกับ  CentOS-5.6-x86-64 บิต  ได้แล้วครับ

ส่วนเพิ่มเติม

- ตั้งเวลา  Clearsquid  ทุกคืนตอนตี 4
- ตั้งเวลาให้เครื่อง  restart  ทุกวันที่  1  ของเดือน
- แจกไอพี เป็น   192.168.2.0/23  (ได้  500  กว่า  ไอพี)
- แก้ไขบั๊กหน้าสมัครสมาชิก   register.php

---------------------------------------------------------------------------------------------------------
ดาวน์โหลดคู่มือ    http://203.113.117.68/downloads/authen/CentOS_Authen.rar

ไฟล์สำหรับติดตั้ง  CentOS-5x  เวอร์ชั่น 32  ฺบิต   http://203.113.117.68/downloads/authen/Hotspot32.tar.gz

ขั้นตอนติดตั้ง

คัดลอกไฟล์  Hotspot32.tar.gz  ไปไว้ในเซิร์บเวอร์ใน  /home  แล้วสั่ง

# tar -zxvf Hotspot32.tar.gz

# cd Hotspot

# ./install
ระบบจะทำการติดตั้งโปแกรมและคอนฟิกค่าต่าง ๆ  ที่เกี่ยวข้อง  เสร็จแล้วจะ  รีสตาร์ท  1  ครั้ง.....

-----------------------------------------------------------------------------------------------------------------------------------
ไฟล์สำหรับติดตั้ง  CentOS-5x  เวอร์ชั่น 64  ฺบิต   http://203.113.117.68/downloads/authen/Hotspot64.tar.gz

ขั้นตอนติดตั้ง
คัดลอกไฟล์  Hotspot64.tar.gz  ไปไว้ในเซิร์บเวอร์ใน  /home  แล้วสั่ง

# tar -zxvf Hotspot64.tar.gz

# cd Hotspot

# ./install

ระบบจะทำการติดตั้งโปแกรมและคอนฟิกค่าต่าง ๆ  ที่เกี่ยวข้อง  เสร็จแล้วจะ  รีสตาร์ท  1  ครั้ง.....

ที่มา

http://itlampang.com/%E0%B8%9A%E0%B8%97%E0%B9%80%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%99%E0%B8%A5%E0%B8%B4%E0%B8%99%E0%B8%B8%E0%B8%81%E0%B8%8B%E0%B9%8C/%E0%B8%84%E0%B8%B9%E0%B9%88%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87-CentOS-5.3_Authen_Log_Server.html

แก้ปัญหา user ต้อง Login 2 ครั้งจึงจะเข้าสู่ระบบได้ (CentOS Hotspot)

แก้ปัญหา user ต้อง Login 2 ครั้งจึงจะเข้าสู่ระบบได้ (CentOS Hotspot)

แก้ปัญหา user ต้อง Login 2 ครั้งจึงจะเข้าสู่ระบบได้

พบคำตอบแล้วครับ ปัญหา user ต้อง Login 2 ครั้งจึงเข้าสู่ระบบได้ เป็นที่ไฟล์ radiusd.conf ศึกษาวิธีแก้ปัญหาจากบทความนี้

# nano /etc/raddb/radiusd.conf

กดปุ่ม Ctrl + w แล้วพิมพ์ cleanup_delay = 5 กดปุ่ม Enter

โปรแกรมจะวิ่งไปที่บรรทัด cleanup_deay = 5 ให้แก้ไขใหม่เป็น cleanup_deay = 0

บันทึกไฟล์ กดปุ่ม Ctrl + o ตามด้วยปุ่ม Enter ออกจากการแก้ไข กดปุ่ม Ctrl + x

สั่งให้ radiusd ทำงานใหม่ด้วยคำสั่ง

# /etc/init.d/radiusd restart
หรือ
# service radiusd restart

ที่มา http://itlampang.com/%E0%B8%9A%E0%B8%97%E0%B9%80%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%99%E0%B8%A5%E0%B8%B4%E0%B8%99%E0%B8%B8%E0%B8%81%E0%B8%8B%E0%B9%8C/%E0%B9%81%E0%B8%81%E0%B9%89%E0%B8%9B%E0%B8%B1%E0%B8%8D%E0%B8%AB%E0%B8%B2-user-%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87-Login-2-%E0%B8%84%E0%B8%A3%E0%B8%B1%E0%B9%89%E0%B8%87%E0%B8%88%E0%B8%B6%E0%B8%87%E0%B8%88%E0%B8%B0%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%AA%E0%B8%B9%E0%B9%88%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A%E0%B9%84%E0%B8%94%E0%B9%89-CentOS-Hotspot.html

วิธีติดตั้ง Freeradius 1.1.7+ coolva chiil spot

วิธีติดตั้ง Freeradius 1.1.7  ไม่ต้องใช้ yum เพราะ freeradius จะเป็นเวอร์ชั่น 1.1.3

cd /usr/local/src/
tar zxvf freeradius-1.1.7.tar.tgz
yum -y install gcc gcc-c++ autoconf automake
yum -y install mysql-devel
./configure --prefix=/usr --with-logdir=/var/log/radius --with-radacctdir=/var/log/radius/radacct --with-raddbdir=/etc/raddb
cp libltdl/ltdl.h src/include/
make
make install
cp redhat/rc.radiusd-redhat /etc/init.d/radiusd
chmod 755 /etc/init.d/radiusd
chkconfig radiusd on

วิธีติดตั้ง Coova
ติดตั้ง Coova
   # vi /etc/sysctl.conf
แก้ไข  net.ipv4.ip_forward = 1   
แล้วสั่ง     # sysctl -p
แก้ไข การ์ดแลน            
# vi /etc/sysconfig/network-scripts/ifcfg-eth1 ให้มีค่าแค่นี้

       DEVICE=eth1
       BOOTPROTO=none
       HWADDR=xx.xx.xx.xx.xx.xx
แล้วติดตั้ง Coova
# tar zxvf coova-chilli-1.0.14.tar.gz
# ./configure --sysconfdir=/etc \
--sbindir=/usr/bin \
--datarootdir=/usr/share \
--libdir=/usr/lib \
--docdir=/usr/share/doc/coova-chilli \
--mandir=/usr/share/man
#make
#make install
# cp /etc/chilli/defaults /etc/chilli/config   
แล้วแก้ไขคอนฟิก Coova
# vi /etc/chilli/config
   

# vi /etc/chilli/up.sh
   เพิ่มบรรทัดนี้ต่อท้ายไฟล์
   iptables -I POSTROUTING -t nat -o $HS_WANIF -j MASQUERADE

มารู้จักกับ RADIUS กัน

RADIUS เป็นคำย่อของ Remote Authentication Dial-In User Service (RADIUS) คือ client/server security protocol ซึ่งเป็นผลงานของLucent InterNetworking Systems ที่ได้ทำการคิดค้นขึ้นมา เพื่อรวบรวม account ของ users ให้อยู่แต่เพียงที่เดียว เพื่อง่ายต่อการบริหาร ไม่ต้องทำหลายจุดหลายเซิฟเวอร์ เวลามี users ที่เซิฟเวอร์อื่นๆ ต้องการใช้งาน ก็จะส่งข้อมูลมาตรวจเช็คที่ RADIUS Server นี้
ทำไมถึงต้องใช้ RADIUS
หาก ในระบบของท่านมีผู้ใช้งานอินเตอร์เน็ตจำนวนมาก ซึ่งยากต่อการควบคุมการใช้งาน โดยเฉพาะ ในสถานศึกษาที่มีผู้ใช้งานมากๆ RADIUS Server จึงมีความสำคัญเป็นอย่างมาก

ข้อดีของ RADIUS Server

- ควบคุมการใช้อินเตอร์เน็ตของ User ได้อย่างมีประสิทธิภาพ
- สามารถเก็บ Log File เพื่อตรวจสอบหลังได้ ตามกฎหมายใหม่กำหนดdesktop
- ตรวจสอบ User ที่กำลังใช้งานได้ แบบ Real time
- กำหนดระยะเวลาการใช้งานของ User ได้ เช่น 1 ชั่วโมง, 2 วัน, 3 เดือน หรือ 10 นาที เป็นต้น
- สามารถ Clear User ที่ไม่ต้องการให้ใช้งานในขณะ On line ได้

RADIUS Server เหมาะสำหรับที่ไหน?
- อพาร์ทเม้น ที่ให้บริการ อินเตอร์เน็ต ทั้งแบบฟรี และเก็บค่าบริการ
- โรงแรม ที่ให้บริการ อินเตอร์เน็ต ทั้งแบบฟรี และเก็บค่าบริการ
- โรงเรียน, สถานศึกษา ที่มีบริการอินเตอร์เน็ต หรือ เพื่อการเรียนการสอน เพื่อป้องการแอบใช้อินเตอร์เน็ต ขณะรับการสอน
- ผู้ให้บริการ Wireless Internet (WiFi HotSpot)

ที่มา : http://www.star-internet.com/web/content/view/35/1/

มารู้จักกับ RADIUS กัน

คือ วิธีการมาตรฐานของการแลกเปลี่ยนข้อมูลระหว่างอุปกรณ์ที่ควบคุมการใช้งานเน็ตเวิร์ค  (Network Access Server)    กับผู้ใช้งาน  (Access Clients)   และอุปกรณ์ที่ทำหน้าที่ตรวจสอบสิทธิ์การใช้งาน (Radius Server)

องค์ประกอบพื้นฐานของ RADIUS Server

1. Access Clients
คือ เครื่องคอมพิวเตอร์หรืออุปกรณ์ที่ผู้ใช้งานสั่งให้ติดต่อระบบเพื่อใช้งาน เช่น เครื่องคอมพิวเตอร์ที่ลูกค้า Individual ใช้งาน โดยใช้ โปรแกรม Dial-Up Net working สั่งงาน Modem ให้ Connect เพื่อใช้งานอินเทอร์เน็ต

2. Network Access Servers (NAS )
คือ อุปกรณ์ที่ทำหน้าที่เชื่อมต่อและจัดการการติดต่อระหว่าง Access Clients และ RADIUS Server ซึ่ง NAS จะทำหน้าที่เป็น Client เชื่อมต่อกับ RADIUS Server ส่งผ่านและจัดการข้อมูลที่ใช้ในการตรวจสอบสิทธิ์ กำหนดสิทธิ์ ของ Access Clients เมื่อ Access Clients ร้องขอการต่อเชื่อมซึ่งจะต้องต่อเชื่อมมายัง NAS ผ่านโพรโตคอลที่ใช้ในการต่อเชื่อมต่าง ๆ เช่น PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Extensible Protocol อื่น ๆ เป็นต้น
ซึ่งจำเป็นต้องมีการส่งผ่าน Username และ Password จาก Access Clients มายัง NAS  หลังจากนั้น NAS จะส่งข้อมูลที่จำเป็นต่าง ๆ เช่น Username, Password, NAS IP Address, NAS Port Number และข้อมูลอื่น ๆ ไปที่ RADIUS Server เพื่อขอตรวจสอบสิทธิ์ (Request Authentication)

3. RADIUS Server
ทำการตรวจสอบสิทธิ์โดยใช้ข้อมูลที่ NAS ส่งมา (Access-Request) กับข้อมูลที่จัดเก็บไว้ใน RADIUS Server เอง หรือจากฐานข้อมูลภายนอก อื่น ๆ เช่น MS SQL Server, Oracle Database, LDAP Database หรือ RADIUS Server อื่น (ซึ่งเรียกการส่งผ่านการตรวจสอบสิทธิ์แบบนี้ว่า Proxy)
ในกรณีที่ข้อมูลทั้งหมดถูกต้อง RADIUS Server จะส่งผลยินยอมการเชื่อมต่อ (Access-Accept) หรือ ไม่ยินยอม (Access-Reject) ในกรณีที่ข้อมูลไม่ถูกต้อง แก่ NAS หลังจากนั้น NAS จะเชื่อมต่อหรือยกเลิกการการต่อเชื่อมตามผลที่ได้รับจาก RADIUS Server ซึ่งตามปรกติแล้ว NAS จะขอบันทึกข้อมูลต่าง ๆ เช่น วันที่ เวลา Username และข้อมูลอื่น ๆ ไปที่ RADIUS Server (Accounting Request) เพื่อให้ RADIUS Sever จัดเก็บข้อมูลหรือส่งต่อไปที่ RADIUS Server อื่น จัดเก็บเพื่อใช้ในการประมวลผลอื่น ๆ ต่อไป

RADIUS Package

คือ ข้อมูลที่ถูกส่งหรือรับระหว่าง RADIUS Server และ RADIUS Client  (หมายถึง NAS) มีรูปแบบที่ถูกกำหนดไว้ตามมาตรฐานของ RFC 2685 Remote Authentication Dial In User Service (RADIUS) และ 2866 RADIUS Accounting.

มีคุณสมบัติดังนี้

• เป็นข้อมูลที่ส่งหรือรับกันระหว่าง RADIUS Server และ RADIUS Client
• อยู่ในรูปแบบของการร้องขอและตอบกลับ (Request /Response) คือ RADIUS Client ส่งการร้องขอไปยัง RADIUS Server และ RADIUS Server ตอบกลับการร้องขอของ RADIUS Client
• แต่ละ Package จะต้องระบุจุดประสงค์ของการติดต่อ คือ Authentication หรือ Accounting
• แต่ละ Package จะบรรจุข้อมูลที่เรียกว่า Attributes ซึ่งใช้ในการตรวจสอบสิทธิ์กำหนดสิทธิ์ และเก็บบันทึกการใช้งาน

การกำหนดค่าเบื้องต้น

สำหรับ RADIUS Server และ Client
RADIUS Server 
กำหนดเพื่อให้ RADIUS Server สามารถติดต่อกับ RADIUS Client แต่ละตัวได้ ซึ่งมีข้อมูลที่ต้องกำหนดให้ RADIUS Server ดังนี้

• IP Address ของ NAS
• RADIUS shared secret
• ยี่ห้อ และ รุ่นของ NAS  ที่ใช้ในกรณีที่ไม่มีหรือไม่ทราบให้เลือกเป็น – Standard Radius -.

** RADIUS Server จำเป็นต้องระบุ UDP Port เพื่อใช้สำหรับรับและส่ง Authentication และ Accounting Package ระหว่าง RADIUS Server และ RADIUS Client

RADIUS Client
ต้องกำหนดค่าต่าง ๆ บน NAS  เพื่อให้สามารถติดต่อกับ RADIUS Server   ซึ่งต้องกำหนดค่าต่าง ๆ เหล่านี้บน NAS ทุกตัวที่ติดต่อกับ RADIUS Server

• IP Address ของ RADIUS Server
• RADIUS shared secret
• UDP Port  เพื่อใช้สำหรับส่งและรับ  Authentication และ Accounting Package

** สำหรับ RADIUS shared secret และ UDP Port จะต้องกำหนดให้ตรงกับที่ระบุไว้ที่ RADIUS Server

RADIUS Shared Secret

ใช้สำหรับตรวจสอบความถูกต้องของการติดต่อระหว่าง RADIUS Server กับ RADIUS Client ซึ่ง Shared Secret จะเป็นตัวหนังสือ (ตัวเล็กและตัวใหญ่มีความแตกต่างกัน) หรือตัวเลขที่ต้องกำหนดให้ตรงกันทั้ง RADIUS Server และ RADIUS Client  แต่ RADIUS Client แต่ละตัวไม่จำเป็นต้องกำหนด Shared Secretให้เหมือนกัน

RADIUS Shared Secret จะกำหนดได้ 2 ตัว ดังนี้

• Authentication Shared Secret
• Accounting Shared Secret

ในขณะที่มีการขอตรวจสอบสิทธิ์ (Authentication) การจัดส่ง Package Access-Request ระหว่าง NAS และ RADIUS Server เนื่องจากการส่ง Password จะต้องมีความปลอดภัยดังนั้นจึงมีการกำหนดโพรโตคอลเพื่อใช้ในการส่งและรับข้อมูล โพรโตคอลที่นิยมใช้คือ PAP, SHAP, MS-SHAP, MS-SHAP V2 และ EAP ซึ่งเป็นโพรโตคอลที่เกิดขึ้นใหม่ยังไม่แพร่หลายในขณะนี้

อ้างถึง

ตัวอย่าง ในโพรโตคอล  PAP NAS จะต้องเข้ารหัส (Encrypt) Password ก่อนโดยใช้ Shared Secret และส่ง Package Access-Request นั้นออกไป เมื่อ RADIUS Server รับ Package Access-Request แล้วจะทำการถอดรหัส (Decrypt) Password ที่ถูกเข้ารหัสไว้โดยใช้ Shared Secret แล้วนำไปตรวจสอบ

สำหรับในการส่งข้อมูล Accounting จะไม่มีการ Encrypt ข้อมูลแต่ RADIUS Server จะใช้ Shared Secret ในการตรวจสอบความถูกต้องของ NAS ที่จะติดต่อด้วย

RADIUS Port

RADIUS Server   จำเป็นต้องระบุ UDP Port   เพื่อใช้สำหรับรับและส่ง Authentication  และ  Accounting Package   ระหว่าง RADIUS Server  และ RADIUS Client   ซึ่งเริ่มต้นที่ RADIUS   ได้ถูกพัฒนาขึ้นผู้พัฒนาได้ใช้ Port 1645   สำหรับการส่งและรับ Package Authentication  และ 1646  สำหรับการส่งและรับ Package Accounting   แต่เนื่องจากมาตรฐานนั้นได้มีการกำหนด Port   ดังกล่าวสำหรับ   “datametrics”

ดังนั้น Port ที่เป็นมาตรฐานในปัจจุบันนี้ คือ

- 1812  สำหรับการส่งและรับ  Package Authentication
- 1813  สำหรับการส่งและรับ  Package Accounting

Password Protocols

เนื่องจากการส่ง Access-Request  ในขณะที่มีการขอ Authentication มีการส่ง Password จาก NAS ไปยัง RADIUS Server จึงจำเป็นต้องคำนึงถึงความปลอดภัยของ Password ดังกล่าว ดังนั้นจึงมีการสร้างโพรโตคอลสำหรับใช้งานในส่วนนี้ขึ้นซึ่งได้แก่

PAP  (Password Authentication Protocol)
ในขณะที่มีการขอเชื่อมต่อ(User Negotiates) จาก Access Clients มายัง NASการส่ง Password ในขั้นตอนนี้จะยังไม่มีการเข้ารหัส (encrypt) ใด ๆ Password จะจัดส่งในรูปแบบ “Clear Text”

เมื่อ NAS รวบรวมข้อมูลที่เพียงพอสำหรับสร้าง Access-Request แล้ว NAS จะ Encrypt Password โดยใช้ Authentication Shared Secret ที่ถูกกำหนดไว้ แล้วส่ง Access-Request ดังกล่าวไปยัง RADIUS Server

เมื่อ RADIUS Server ได้รับ Access-Request จาก NAS แล้วจะทำการ Decrypt Password ที่ได้รับโดยใช้ Authentication Shared Secret ที่จัดเก็บไว้สำหรับ NAS ตัวดังกล่าว

** โพรโตคอล PAP สามารถใช้ได้กับ RADIUS Server ทุกตัว

CHAP  (Challenge Handshake Authentication Protocol)
สำหรับ CHAP ได้ถูกสร้างขึ้นเพื่อหลีกเลี่ยงการส่ง Password แบบ “Clear Text” ในขณะที่ User Negotiates เมื่อ NAS รับทราบแล้ว NAS จะสร้าง Challenge โดยสุ่มตัวอักษร แล้วส่งกลับไปยัง Access Client

เมื่อ Access Client ได้รับ Challenge จะทำการสร้าง Digest คือ นำ Challenge ที่ได้รับมาต่อท้าย Password แล้วทำการ Encrypt แบบ one-way Encryption (MD5 Algorithm) แล้วส่ง Digest นั้นแทน Password ไปยัง NAS

NAS สร้าง Access-Request สำหรับการ Authentication และส่งไปยัง RADIUS Server

เนื่องจาก Digest ถูกสร้างแบบ one-way Encryption ไม่สามารถ Decrypt ได้

RADIUS Server จึงจำเป็นต้องใช้ Attribute ที่เกี่ยวกับ CHAP Protocol ที่ถูกจัดส่งมาใน Access-Request Package ที่ได้รับจาก NAS ซึ่งมี 2 Attributes ที่เกี่ยวข้องดังนี้

CHAP-Password             :  Attribute สำหรับ Digest (Password ที่ต่อท้ายด้วย Challenge แล้ว Encrypt ด้วย MD5 Algorithm)

CHAP-Challenge             :  Attribute สำหรับ Challenge ที่ถูกสุ่มขึ้นโดย NAS

RADIUS Server ใช้ Challenge จาก CHAP-Challenge ต่อท้าย Password ที่จัดเก็บไว้นำมา Encrypt ด้วยวิธี MD5 แล้วเปรียบเทียบกับ CHAP-Password ที่ได้รับ

MS-CHAP และ MS-CHAP-V2
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
ทั้ง 2 เวอร์ชั่น  ของ MS-CHAP ใช้วิธีการของโพรโตคอล CHAP แต่มีส่วนเพิ่มเติมขึ้นโดย Microsoft ข้อมูลเพิ่มเติมให้ดูที่ RFC 2433 2548 และ 2759.

สรุปขั้นตอนการ Authentication

วิธีและการกำหนดลำดับการ Authenticate (Authentication Method)

Native User Authentication คือการตรวจสอบ Username Password หรือ ข้อมูลอื่น ๆ  จากข้อมูลที่ RADIUS Server จัดเก็บไว้ที่ตัวเอง ซึ่งเราเรียกสั้น ๆ ว่า Native User

Pass-Through Authentication   คือการส่งผ่านการ Authenticate ไปยังระบบการตรวจสอบอื่น ๆ เช่น Windows NT Database , Active Directory ใน Windows 2000 , ACE/Server (SecurID) หรือ TACACS+ Server

Proxy RADIUS Authentication คือการส่งผ่านการ Authenticate ไปยัง RADIUS Server ตัวอื่นเพื่อทำหน้าที่ตรวจสอบแทน และส่ง Access-Accept หรือ Access-Reject กลับมาที่ RADIUS Server ตัวเดิม เพื่อจัดส่งให้กับ NAS ต่อไป

External Authentication คือการตรวจสอบที่เป็นการทำงานร่วมกันระหว่าง RADIUS Server กับฐานข้อมูลต่าง ๆ เช่น Microsoft SQL, Oracle Database หรือ LDAP Server Database RADIUS Server จะขอข้อมูลที่ต้องการ เช่น Username, Password จากฐานข้อมูล

แล้วนำมาเปรียบเทียบกับ Access-Request

Authenticate-Only Request เราสามารถกำหนดให้ RADIUS Server แจ้งเฉพาะผลการ Authenticate เท่านั้นใน Access-Accept หรือ Access-Reject โดยการกำหนดค่า Service-Type ที่ NAS เป็น AuthenticateOnly (

นอกจาก RADIUS Sever สามารถ Authenticate ได้หลายวิธีตามที่กล่าวข้างต้นแล้ว เรายังสามารถกำหนดลำดับ Authentication Method ดังกล่าวให้ทำงานร่วมกันได้ด้วย เช่น กำหนดให้ RADIUS Server Authenticate ตามลำดับขั้นดังนี้

Native User
External 1 (SQL Database)
External 2 (Oracle Database)

การ Authenticate จะมีขั้นตอนดังนี้

RADIUS Server จะตรวจสอบที่ Native User ก่อนในกรณีที่ไม่พบหรือไม่ถูกต้องจะเลื่อนไปตรวจสอบที่ SQL Database และ Oracle Database ตามลำดับ ซึ่ง RADIUS Server จะยังไม่ส่ง Access-Reject จนกว่าจะทำจนครบทุก Method ที่กำหนดไว้

แต่ในกรณีที่ถูกต้องตามเงื่อนไขที่กำหนด RADIUS Server จะส่ง Access-Accept ไปที่ NAS ทันทีโดยไม่ต้องตรวจสอบจนครบทุก Method
Directed Authentication คือ การกำหนดให้ RADIUS Server ข้าม Authenticate Method ที่ได้ถูกกำหนดไว้ที่ Authenticate Method List ไปยัง Authenticate Method ที่ระบุเลย โดยไม่ต้องตรวจสอบตามลำดับที่กำหนดไว้ เราสามารถใช้งาน Directed Authentication โดยการกำหนด Realm ขึ้นเพื่อใช้ตรวจสอบ

ที่มา http://free.oilupload.com/radius-server-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3/