Нека разгледаме на практика използването на Windows Active Directory + NPS (2 сървъра за устойчивост на грешки) + 802.1x стандарт за контрол на достъпа и удостоверяване на потребители - домейн компютри - устройства. Можете да се запознаете с теорията по стандарта в Wikipedia, на линка:
Тъй като моята „лаборатория“ е с ограничени ресурси, ролите на NPS и домейн контролера са съвместими, но ви препоръчвам да разделите такива критични услуги.
Не знам стандартните начини за синхронизиране на конфигурации (политики) на Windows NPS, така че ще използваме PowerShell скриптове, стартирани от планировчика на задачи (авторът е мой бивш колега). За удостоверяване на домейн компютри и за устройства, които не знаят как 802.1x (телефони, принтери и т.н.), ще бъдат конфигурирани групови правила и ще бъдат създадени групи за сигурност.
В края на статията ще говоря за някои от тънкостите на работата с 802.1x - как можете да използвате неуправляеми превключватели, динамични ACL и т.н. Ще споделя информация за уловените „бъгове“ ...
Нека започнем с инсталирането и конфигурирането на NPS при отказ на Windows Server 2012R2 (в 2016 всичко е същото): чрез Server Manager -> Add Roles and Features Wizard изберете само Network Policy Server.
или с PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsМалко уточнение - като за Защитен EAP (PEAP) определено ще ви трябва сертификат, потвърждаващ автентичността на сървъра (със съответните права за използване), който ще бъде надежден на клиентските компютри, тогава най-вероятно ще трябва да инсталирате и ролята сертифициращ орган. Но ще приемем, че CA вече сте инсталирали...
Нека направим същото на втория сървър. Нека създадем папка за скрипта C:Scripts на двата сървъра и мрежова папка на втория сървър SRV2NPS-config$
Нека създадем PowerShell скрипт на първия сървър C:ScriptsExport-NPS-config.ps1 със следното съдържание:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"След това настройте задачата в Task Scheduler: “Експортиране-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Изпълнение за всички потребители - Изпълнение с най-високи привилегии
Ежедневно - Повтаряйте задачата на всеки 10 минути. в рамките на 8 часа
На резервния NPS конфигурирайте импортирането на конфигурация (правила):
създайте скрипт на PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1и задача за изпълнение на всеки 10 минути:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Изпълнение за всички потребители - Изпълнение с най-високи привилегии
Ежедневно - Повтаряйте задачата на всеки 10 минути. в рамките на 8 часа
Сега, за проверка, нека добавим към NPS на един от сървърите (!) Няколко превключвателя в RADIUS клиенти (IP и споделена тайна), две политики за заявка за връзка: WIRED Connect (Условие: „Типът на NAS порт е Ethernet“) и WiFi-Enterprise (Условие: „Типът на NAS порт е IEEE 802.11“) и мрежовата политика Достъп до мрежовите устройства на Cisco (Мрежови администратори):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15От страната на превключвателя, следните настройки:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99След настройка, след 10 минути, всички настройки на правилата трябва да се появят на резервния NPS и можем да влезем в превключвателите, използвайки акаунта в ActiveDirectory, член на групата domainsg-network-admins (която създадохме предварително).
Нека да преминем към конфигуриране на Active Directory - създайте политика за група и парола, създайте необходимите групи.
Групова политика Компютри-8021x-Настройки:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Създайте група за сигурност sg-компютри-8021x-vl100, където ще добавим компютри, които искаме да разпределим към vlan 100 и ще настроим филтриране за предварително създадената групова политика за тази група:
Можете да се уверите, че политиката работи успешно, като отворите „Център за мрежи и споделяне (Настройки за мрежа и интернет) - Промяна на настройките на адаптера (Конфигуриране на настройките на адаптера) - Свойства на адаптера“, където можем да видим раздела „Удостоверяване“:
Когато сте убедени, че политиката е приложена успешно, можете да продължите да конфигурирате мрежовата политика на NPS и портовете за превключване на ниво на достъп.
Нека създадем мрежова политика negag-компютри-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Типични настройки за превключвателния порт (моля, имайте предвид, че се използва типът удостоверяване „мултидомейн“ - данни и глас, а също така има възможност за удостоверяване чрез mac адрес. По време на „преходния период“ има смисъл да се използва в параметрите:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id не е „карантина“, а същият, в който компютърът на потребителя трябва да влезе след успешно влизане - докато не се уверим, че всичко работи както трябва. Същите параметри могат да се използват в други сценарии, например, когато неуправляван превключвател е включен в този порт и искате всички устройства, свързани към него и неудостоверени, да попаднат в определен vlan („карантина“).
превключете настройките на порта в 802.1x режим на хост в многодомейнен режим
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitМожете да се уверите, че телефонът на компютъра е преминал успешно удостоверяване с командата:
sh authentication sessions int Gi1/0/39 detСега нека създадем група (напр. sg-fgpp-mab ) в Active Directory за телефони и добавете едно тестово устройство към него (в моя случай това е Grandstream GXP2160 с мас адрес 000b.82ba.a7b1 и съгл. сметка домейн 00b82baa7b1).
За създадената група намалете изискванията на правилата за пароли (използвайки чрез административен център на Active Directory -> домейн -> Система -> Контейнер за настройки на парола) с тези параметри Настройки на парола за MAB:
това ще ни позволи да използваме мас-адресите на устройствата като пароли. След това можем да създадем мрежова политика за 802.1x метод mab удостоверяване, нека го наречем neag-devices-8021x-voice. Параметрите са както следва:
- Тип NAS порт - Ethernet
- Групи на Windows - sg-fgpp-mab
- Типове EAP: Нешифровано удостоверяване (PAP, SPAP)
- RADIUS атрибути - Специфични за доставчика: Cisco - Cisco-AV-Pair - Стойност на атрибута: device-traffic-class=voice
след успешно удостоверяване (не забравяйте да конфигурирате порта на комутатора), нека видим информацията от порта:
sh удостоверяване se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessСега, както обещахме, помислете за няколко не съвсем очевидни ситуации. Например, трябва да свържем компютрите и устройствата на потребителите чрез неуправляем превключвател (превключвател). В този случай настройките на порта за него ще изглеждат така:
превключете настройките на порта в 802.1x режим на много удостоверяване в режим на хост
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Беше забелязан много странен проблем - ако устройството е било свързано през такъв превключвател и след това е било включено в управляван превключвател, то НЯМА да работи, докато не рестартираме (!) Превключвателя. Не намерих други начини за разрешаване този проблем.
Друга точка, свързана с DHCP (ако се използва ip dhcp snooping) - без тези опции:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionпо някаква причина не мога да получа правилния ip адрес ... въпреки че това може да е функция на нашия DHCP сървър
Освен това Mac OS и Linux (в които поддръжката на 802.1x е естествена) се опитват да удостоверят потребителя, дори ако е конфигурирано удостоверяване чрез mac адрес.
В следващата част на статията ще разгледаме използването на 802.1x за безжична връзка (в зависимост от групата, към която принадлежи потребителският акаунт, ще го „хвърлим“ в подходящата мрежа (vlan), въпреки че те ще се свържат с същият SSID).
Източник: www.habr.com