ProHoster > بلوق > إدارة > تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)
دعونا نفكر عمليًا في استخدام Windows Active Directory + NPS (خادمان للتسامح مع الأخطاء) + معيار 2x للتحكم في الوصول والمصادقة على المستخدمين - أجهزة كمبيوتر المجال - الأجهزة. يمكنك التعرف على النظرية وفقًا للمعيار في ويكيبيديا ، على الرابط: إيي 802.1X

نظرًا لأن "مختبري" محدود في الموارد ، فإن أدوار NPS ووحدة التحكم بالمجال متوافقة ، لكني أوصي بفصل هذه الخدمات الهامة.

لا أعرف الطرق القياسية لمزامنة تكوينات (سياسات) Windows NPS ، لذلك سنستخدم برامج PowerShell النصية التي أطلقها برنامج جدولة المهام (المؤلف هو زميلي السابق). لمصادقة أجهزة كمبيوتر المجال والأجهزة التي لا تعرف كيفية القيام بذلك 802.1x (الهواتف والطابعات وما إلى ذلك) ، سيتم تكوين سياسة المجموعة وسيتم إنشاء مجموعات الأمان.

في نهاية المقالة سأتحدث عن بعض تعقيدات العمل مع 802.1x - كيف يمكنك استخدام مفاتيح غير مُدارة ، وقوائم ACL ديناميكية ، وما إلى ذلك ، وسأشارك المعلومات حول "مواطن الخلل" التي تم اكتشافها ...

لنبدأ بتثبيت وتكوين NPS لتجاوز الفشل على Windows Server 2012R2 (في 2016 كل شيء هو نفسه): من خلال Server Manager -> Add Roles and Features Wizard ، حدد Network Policy Server فقط.

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

أو باستخدام PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

توضيح صغير - كما EAP المحمي (PEAP) ستحتاج بالتأكيد إلى شهادة تؤكد أصالة الخادم (مع الحقوق المناسبة للاستخدام) ، والتي سيتم الوثوق بها على أجهزة الكمبيوتر العميلة ، ثم ستحتاج على الأرجح أيضًا إلى تثبيت الدور هيئة إصدار الشهادات. لكننا سنفترض ذلك CA لقد قمت بالفعل بتثبيت ...

لنفعل الشيء نفسه على الخادم الثاني. لنقم بإنشاء مجلد للنص C: Scripts على الخادمين ومجلد الشبكة على الخادم الثاني SRV2NPS-config $

لنقم بإنشاء برنامج نصي PowerShell على الخادم الأول ج: ScriptsExport-NPS-config.ps1 بالمحتوى التالي:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

بعد ذلك ، قم بإعداد المهمة في برنامج جدولة المهام: "تصدير- NpsConfiguration"

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

تشغيل لجميع المستخدمين - تشغيل بأعلى الامتيازات
يوميًا - كرر المهمة كل 10 دقائق. في غضون 8 ساعات

في NPS الاحتياطية ، قم بتكوين استيراد التكوين (السياسة):
إنشاء برنامج نصي PowerShell:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

ومهمة تنفيذها كل 10 دقائق:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

تشغيل لجميع المستخدمين - تشغيل بأعلى الامتيازات
يوميًا - كرر المهمة كل 10 دقائق. في غضون 8 ساعات

الآن ، من أجل التحقق ، دعنا نضيف إلى NPS على أحد الخوادم (!) زوجان من المفاتيح في عملاء RADIUS (IP و Shared Secret) ، سياستان لطلب الاتصال: توصيل سلكي (الحالة: "نوع منفذ NAS هو Ethernet") و واي فاي المؤسسة (الحالة: "نوع منفذ NAS هو IEEE 802.11") وسياسة الشبكة الوصول إلى أجهزة شبكة سيسكو (مسؤولو الشبكة):

Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

على جانب التبديل ، الإعدادات التالية:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

بعد الإعداد ، بعد 10 دقائق ، يجب أن تظهر جميع إعدادات السياسة على NPS الاحتياطية ويمكننا تسجيل الدخول إلى المحولات باستخدام حساب ActiveDirectory ، وهو عضو في مجموعة domainsg-network-admins (التي أنشأناها مسبقًا).

دعنا ننتقل إلى تكوين Active Directory - إنشاء سياسة مجموعة وكلمة مرور ، وإنشاء المجموعات الضرورية.

سياسة المجموعة أجهزة الكمبيوتر 8021x- إعدادات:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies


إن بي إس-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

قم بإنشاء مجموعة أمان sg-computer-8021x-vl100.apk، حيث سنضيف أجهزة الكمبيوتر التي نريد توزيعها على شبكة محلية ظاهرية 100 وإعداد التصفية لسياسة المجموعة التي تم إنشاؤها مسبقًا لهذه المجموعة:

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

يمكنك التأكد من نجاح السياسة من خلال فتح "مركز الشبكة والمشاركة (إعدادات الشبكة والإنترنت) - تغيير إعدادات المحول (تكوين إعدادات المحول) - خصائص المحول" ، حيث يمكننا رؤية علامة التبويب "المصادقة":

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

عندما تكون مقتنعًا بتطبيق السياسة بنجاح ، يمكنك المتابعة لتكوين سياسة الشبكة على NPS ومنافذ تبديل مستوى الوصول.

لنقم بإنشاء سياسة الشبكة نيجاج-كمبيوتر -8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

الإعدادات النموذجية لمنفذ التبديل (يرجى ملاحظة أنه يتم استخدام نوع المصادقة "متعدد المجالات" - البيانات والصوت ، وهناك أيضًا إمكانية المصادقة بواسطة عنوان mac. خلال "فترة الانتقال" ، من المنطقي استخدامها في المعلمات:


authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

معرف vlan ليس "quarantine" ، ولكنه نفس الشيء الذي يجب أن يحصل عليه كمبيوتر المستخدم بعد تسجيل الدخول بنجاح - حتى نتأكد من أن كل شيء يعمل كما ينبغي. يمكن استخدام نفس المعلمات في سيناريوهات أخرى ، على سبيل المثال ، عند توصيل مفتاح غير مُدار بهذا المنفذ وتريد أن تقع جميع الأجهزة المتصلة به وغير المصادق عليها في شبكة محلية ظاهرية معينة ("عزل").

تبديل إعدادات المنفذ في وضع متعدد المجالات في وضع المضيف 802.1x

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

يمكنك التأكد من أن هاتف الكمبيوتر قد اجتاز المصادقة بنجاح باستخدام الأمر:

sh authentication sessions int Gi1/0/39 det

لنقم الآن بإنشاء مجموعة (على سبيل المثال ، سان جرمان-فجب-ماب ) في Active Directory للهواتف وأضف جهاز اختبار واحدًا إليه (في حالتي ، هذا هو جراند ستريم جي اكس بي 2160 مع عنوان ماس 000b.82ba.a7b1 و acc. حساب المجال 00b82baa7b1).

بالنسبة للمجموعة التي تم إنشاؤها ، قم بخفض متطلبات سياسة كلمة المرور (باستخدام سياسات كلمات المرور الدقيقة عبر مركز Active Directory الإداري -> المجال -> النظام -> حاوية إعدادات كلمة المرور) مع هذه المعلمات إعدادات كلمة المرور لـ MAB:

تكوين 802.1X على محولات Cisco باستخدام تجاوز الفشل NPS (Windows RADIUS مع AD)

سيسمح لنا هذا باستخدام عنوان mas للأجهزة ككلمات مرور. بعد ذلك يمكننا إنشاء سياسة شبكة لمصادقة Mab بطريقة 802.1x ، دعنا نسميها neag-devices-8021x-voice. المعلمات هي كما يلي:

  • نوع منفذ NAS - إيثرنت
  • مجموعات Windows - sg-fgpp-mab
  • أنواع EAP: مصادقة غير مشفرة (PAP ، SPAP)
  • سمات RADIUS - خاص بالبائع: Cisco - Cisco-AV-Pair - قيمة السمة: فئة حركة المرور للجهاز = صوت

بعد المصادقة الناجحة (لا تنس تكوين منفذ التبديل) ، دعنا نرى المعلومات من المنفذ:

مصادقة sh حد ذاتها int Gi1 / 0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

الآن ، كما وعدت ، ضع في اعتبارك بعض المواقف غير الواضحة تمامًا. على سبيل المثال ، نحتاج إلى توصيل أجهزة الكمبيوتر والأجهزة الخاصة بالمستخدمين من خلال مفتاح غير مُدار (مفتاح). في هذه الحالة ، ستبدو إعدادات المنفذ الخاصة به كما يلي:

تبديل إعدادات المنفذ في وضع المصادقة المتعددة في وضع المضيف 802.1x

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

ملاحظة: لوحظ خلل غريب جدًا - إذا كان الجهاز متصلاً من خلال هذا المفتاح ، ثم تم توصيله بمفتاح مُدار ، فلن يعمل حتى نعيد تشغيل المفتاح (!). لم أجد طرقًا أخرى لحلها هذه المشكلة.

نقطة أخرى تتعلق بـ DHCP (في حالة استخدام التطفل على IP dhcp) - بدون هذه الخيارات:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

لسبب ما ، لا يمكنني الحصول على عنوان IP الصحيح ... على الرغم من أن هذا قد يكون ميزة لخادم DHCP الخاص بنا

أيضًا ، يحاول Mac OS و Linux (حيث يكون دعم 802.1x أصليًا) مصادقة المستخدم ، حتى إذا تم تكوين المصادقة بواسطة عنوان mac.

في الجزء التالي من المقالة ، سننظر في استخدام 802.1x للشبكة اللاسلكية (اعتمادًا على المجموعة التي ينتمي إليها حساب المستخدم ، سنقوم "برميها" في الشبكة المناسبة (vlan) ، على الرغم من أنها ستتصل بـ نفس SSID).

المصدر: www.habr.com

إضافة تعليق