Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)
Рассмотрим Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ использованиС Windows Active Directory + NPS (2 сСрвСра для обСспСчСния отказоустойчивости) + стандарт 802.1x для контроля доступа ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ – Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠ² – устройств. ΠžΠ·Π½Π°ΠΊΠΎΠΌΠΈΡ‚ΡŒΡΡ с Ρ‚Π΅ΠΎΡ€ΠΈΠ΅ΠΉ ΠΏΠΎ стандарту ΠΌΠΎΠΆΠ½ΠΎ Π² Wikipedia, ΠΏΠΎ ссылкС: IEEE 802.1X

Π’Π°ΠΊ ΠΊΠ°ΠΊ β€œΠ»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€ΠΈΡβ€ Ρƒ мСня ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π° ΠΏΠΎ рСсурсам, совмСстим Ρ€ΠΎΠ»ΠΈ NPS ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π° Π΄ΠΎΠΌΠ΅Π½Π°, Π½ΠΎ Π²Π°ΠΌ я Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΡŽ Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΡ€ΠΈΡ‚ΠΈΡ‡Π½Ρ‹Π΅ сСрвисы всС ΠΆΠ΅ Ρ€Π°Π·Π΄Π΅Π»ΡΡ‚ΡŒ.

Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚Π½Ρ‹Ρ… способов синхронизации ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΉ (ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ) Windows NPS я Π½Π΅ знаю, поэтому Π±ΡƒΠ΄Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ скрипты PowerShell, запускаСмыС ΠΏΠ»Π°Π½ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠΎΠΌ Π·Π°Π΄Π°Π½ΠΈΠΉ (Π°Π²Ρ‚ΠΎΡ€ ΠΌΠΎΠΉ Π±Ρ‹Π²ΡˆΠΈΠΉ ΠΊΠΎΠ»Π»Π΅Π³Π°). Для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠ² Π΄ΠΎΠΌΠ΅Π½Π° ΠΈ для устройств, Π½Π΅ ΡƒΠΌΠ΅ΡŽΡ‰ΠΈΡ… Π² 802.1x (Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Ρ‹, ΠΏΡ€ΠΈΠ½Ρ‚Π΅Ρ€Ρ‹ ΠΈ ΠΏΡ€), Π±ΡƒΠ΄Π΅Ρ‚ настроСна групповая ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΠΈ созданы Π³Ρ€ΡƒΠΏΠΏΡ‹ бСзопасности.

Π’ ΠΊΠΎΠ½Ρ†Π΅ ΡΡ‚Π°Ρ‚ΡŒΠΈ расскаТу ΠΎ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… тонкостях Ρ€Π°Π±ΠΎΡ‚Ρ‹ с 802.1x – ΠΊΠ°ΠΊ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ нСуправляСмыС ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Ρ‹, dynamic ACL ΠΈ ΠΏΡ€. ПодСлюсь ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΎΠ± ΠΎΡ‚Π»ΠΎΠ²Π»Π΅Π½Π½Ρ‹Ρ… β€œΠ³Π»ΡŽΠΊΠ°Ρ…β€β€¦

НачнСм с установки ΠΈ настройки failover NPS on Windows Server 2012R2 (Π½Π° 2016-ΠΌ всС Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ): Ρ‡Π΅Ρ€Π΅Π· Server Manager -> Add Roles and Features Wizard Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ лишь Network Policy Server.

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

ΠΈΠ»ΠΈ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

НСбольшоС ΡƒΡ‚ΠΎΡ‡Π½Π΅Π½ΠΈΠ΅ – Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ для Protected EAP (PEAP) Π²Π°ΠΌ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ потрСбуСтся сСртификат, ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡ‚ΡŒ сСрвСра (с ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌΠΈ ΠΏΡ€Π°Π²Π°ΠΌΠΈ Π½Π° использованиС), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ Π² Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… Π½Π° клиСнтских ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ…, Ρ‚ΠΎ Π²Π°ΠΌ скорСС всСго потрСбуСтся ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π΅Ρ‰Π΅ ΠΈ Ρ€ΠΎΠ»ΡŒ Certification Authority. Но Π±ΡƒΠ΄Π΅ΠΌ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ CA Ρƒ вас ΡƒΠΆΠ΅ установлСн…

Π‘Π΄Π΅Π»Π°Π΅ΠΌ Ρ‚ΠΎΠΆΠ΅ самоС ΠΈ Π½Π° Π²Ρ‚ΠΎΡ€ΠΎΠΌ сСрвСрС. Π‘ΠΎΠ·Π΄Π°Π΄ΠΈΠΌ ΠΏΠ°ΠΏΠΊΡƒ для скрипта C:Scripts Π½Π° ΠΎΠ±ΠΎΠΈΡ… сСрвСрах ΠΈ ΡΠ΅Ρ‚Π΅Π²ΡƒΡŽ ΠΏΠ°ΠΏΠΊΡƒ Π½Π° Π²Ρ‚ΠΎΡ€ΠΎΠΌ сСрвСрС SRV2NPS-config$

На ΠΏΠ΅Ρ€Π²ΠΎΠΌ сСрвСрС создадим PowerShell скрипт C:ScriptsExport-NPS-config.ps1 со ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ содСрТаниСм:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

ПослС этого настроим Π·Π°Π΄Π°Π½ΠΈΠ΅ Π² Task Sheduler: β€œExport-NpsConfiguration”

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

Π’Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ для всСх ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ β€” Π’Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ с Π½Π°ΠΈΠ²Ρ‹ΡΡˆΠΈΠΌΠΈ ΠΏΡ€Π°Π²Π°ΠΌΠΈ
Π•ΠΆΠ΅Π΄Π½Π΅Π²Π½ΠΎ β€” ΠŸΠΎΠ²Ρ‚ΠΎΡ€ΡΡ‚ΡŒ Π·Π°Π΄Π°Ρ‡Ρƒ ΠΊΠ°ΠΆΠ΄Ρ‹Π΅ 10 ΠΌΠΈΠ½. Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠΈ 8 Ρ‡.

На Ρ€Π΅Π·Π΅Ρ€Π²Π½ΠΎΠΌ NPS настроим ΠΈΠΌΠΏΠΎΡ€Ρ‚ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ (ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ):
создадим скрипт PowerShell:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

ΠΈ Π·Π°Π΄Π°Ρ‡Ρƒ Π½Π° Π΅Π³ΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΊΠ°ΠΆΠ΄Ρ‹Π΅ 10 ΠΌΠΈΠ½ΡƒΡ‚:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

Π’Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ для всСх ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ β€” Π’Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ с Π½Π°ΠΈΠ²Ρ‹ΡΡˆΠΈΠΌΠΈ ΠΏΡ€Π°Π²Π°ΠΌΠΈ
Π•ΠΆΠ΅Π΄Π½Π΅Π²Π½ΠΎ β€” ΠŸΠΎΠ²Ρ‚ΠΎΡ€ΡΡ‚ΡŒ Π·Π°Π΄Π°Ρ‡Ρƒ ΠΊΠ°ΠΆΠ΄Ρ‹Π΅ 10 ΠΌΠΈΠ½. Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠΈ 8 Ρ‡.

Π’Π΅ΠΏΠ΅Ρ€ΡŒ, для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ, Π΄ΠΎΠ±Π°Π²ΠΈΠΌ Π² NPS Π½Π° ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· сСрвСров(!) ΠΏΠ°Ρ€Ρƒ ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€ΠΎΠ² Π² RADIUS-ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ (IP ΠΈ Shared Secret), Π΄Π²Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ запросов Π½Π° ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅: WIRED-Connect (УсловиС: β€œΠ’ΠΈΠΏ ΠΏΠΎΡ€Ρ‚Π° NAS – Ethernet”) ΠΈ WiFi-Enterprise (УсловиС: β€œΠ’ΠΈΠΏ ΠΏΠΎΡ€Ρ‚Π° NAS – IEEE 802.11”), Π° Ρ‚Π°ΠΊΠΆΠ΅ ΡΠ΅Ρ‚Π΅Π²ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Access Cisco Network Devices (Network Admins):

Условия:
Π“Ρ€ΡƒΠΏΠΏΡ‹ Windows - domainsg-network-admins
ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΡ:
ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ подлинности - ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ тСкстом (PAP, SPAP)
ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹:
Атрибуты RADIUS: Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚ - Service-Type - Login
ЗависящиС ΠΎΡ‚ поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

Π‘ΠΎ стороны ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€ΠΎΠ² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ настройки:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

ПослС настройки, спустя 10 ΠΌΠΈΠ½ΡƒΡ‚, всС ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΏΠΎΡΠ²ΠΈΡ‚ΡŒΡΡ ΠΈ Π½Π° Ρ€Π΅Π·Π΅Ρ€Π²Π½ΠΎΠΌ NPS ΠΈ ΠΌΡ‹ смоТСм Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи ActiveDirectory, Ρ‡Π»Π΅Π½Π° Π³Ρ€ΡƒΠΏΠΏΡ‹ domainsg-network-admins (ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΡ‹ создали Π·Π°Ρ€Π°Π½Π΅Π΅).

ΠŸΠ΅Ρ€Π΅ΠΉΠ΄Π΅ΠΌ ΠΊ настройкС Active Directory – создадим Π³Ρ€ΡƒΠΏΠΏΠΎΠ²ΡƒΡŽ ΠΈ ΠΏΠ°Ρ€ΠΎΠ»ΡŒΠ½ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ, создадим Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π³Ρ€ΡƒΠΏΠΏΡ‹.

Групповая ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Computers-8021x-Settings:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies


NPS-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Π‘ΠΎΠ·Π΄Π°Π΄ΠΈΠΌ Π³Ρ€ΡƒΠΏΠΏΡƒ бСзопасности sg-computers-8021x-vl100, ΠΊΡƒΠ΄Π° ΠΌΡ‹ Π±ΡƒΠ΄Π΅ΠΌ Π΄ΠΎΠ±Π°Π²Π»ΡΡ‚ΡŒ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΡ‹ Ρ…ΠΎΡ‚ΠΈΠΌ Ρ€Π°ΡΠΏΡ€Π΅Π΄Π΅Π»ΡΡ‚ΡŒ Π² Π²Π»Π°Π½ 100 ΠΈ настроим Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡŽ для созданной Ρ€Π°Π½Π΅Π΅ Π³Ρ€ΡƒΠΏΠΏΠΎΠ²ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π½Π° эту Π³Ρ€ΡƒΠΏΠΏΡƒ:

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ ΠΎΡ‚Ρ€Π°Π±ΠΎΡ‚Π°Π»Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Π² β€œΠ¦Π΅Π½Ρ‚Ρ€ управлСния сСтями ΠΈ ΠΎΠ±Ρ‰ΠΈΠΌ доступом (ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ сСти ΠΈ Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚) – ИзмСнСниС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² Π°Π΄Π°ΠΏΡ‚Π΅Ρ€Π° (Настройка ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² Π°Π΄Π°ΠΏΡ‚Π΅Ρ€Π°) – Бвойства адаптСра”, Π³Π΄Π΅ ΠΌΡ‹ смоТСм ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ β€œΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° подлинности”:

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Когда ΡƒΠ±Π΅Π΄ΠΈΠ»ΠΈΡΡŒ, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ примСняСтся – ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΊ настройкС сСтСвой ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π½Π° NPS ΠΈ ΠΏΠΎΡ€Ρ‚ΠΎΠ² ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π° уровня доступа.

Π‘ΠΎΠ·Π΄Π°Π΄ΠΈΠΌ ΡΠ΅Ρ‚Π΅Π²ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ neag-computers-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Π’ΠΈΠΏΠΎΠ²Ρ‹Π΅ настройки для ΠΏΠΎΡ€Ρ‚Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π° (ΠΎΠ±Ρ€Π°Ρ‰Π°ΡŽ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅, Ρ‡Ρ‚ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Ρ‚ΠΈΠΏ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ β€œΠΌΡƒΠ»ΡŒΡ‚ΠΈΠ΄ΠΎΠΌΠ΅Π½β€ – Data & Voice, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΅ΡΡ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎ mac адрСсу. Π½Π° врСмя β€œΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π½ΠΎΠ³ΠΎ пСриода” Π΅ΡΡ‚ΡŒ смысл ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π² ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°Ρ…:


authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

Π²Π»Π°Π½ id Π½Π΅ β€œΠΊΠ°Ρ€Π°Π½Ρ‚ΠΈΠ½Π½ΠΎΠ³ΠΎβ€, Π° Ρ‚ΠΎΠ³ΠΎ ΠΆΠ΅, ΠΊΡƒΠ΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠΉ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΏΠΎΠΏΠ°ΡΡ‚ΡŒ, ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π²ΡˆΠΈΡΡŒ – ΠΏΠΎΠΊΠ° Π½Π΅ убСдимся, Ρ‡Ρ‚ΠΎ всС Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΊΠ°ΠΊ слСдуСт. Π­Ρ‚ΠΈ ΠΆΠ΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ ΠΈ Π² Π΄Ρ€ΡƒΠ³ΠΈΡ… сцСнариях, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΊΠΎΠ³Π΄Π° Π² этот ΠΏΠΎΡ€Ρ‚ Π²ΠΎΡ‚ΠΊΠ½ΡƒΡ‚ нСуправляСмый ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€ ΠΈ Π²Ρ‹ Ρ…ΠΎΡ‚ΠΈΡ‚Π΅, Ρ‡Ρ‚ΠΎΠ±Ρ‹ всС устройства, ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½Π½Ρ‹Π΅ Π² Π½Π΅Π³ΠΎ ΠΈ Π½Π΅ ΠΏΡ€ΠΎΡˆΠ΅Π΄ΡˆΠΈΠ΅ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ, ΠΏΠΎΠΏΠ°Π΄Π°Π»ΠΈ Π² ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ Π²Π»Π°Π½ (β€œΠΊΠ°Ρ€Π°Π½Ρ‚ΠΈΠ½Π½Ρ‹ΠΉβ€).

настройки ΠΏΠΎΡ€Ρ‚Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π° Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ 802.1x host-mode multi-domain

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ ΠΏΡ€ΠΎΡˆΠ»ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ:

sh authentication sessions int Gi1/0/39 det

Π’Π΅ΠΏΠ΅Ρ€ΡŒ создадим Π³Ρ€ΡƒΠΏΠΏΡƒ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, sg-fgpp-mab ) Π² Active Directory для Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½ΠΎΠ² ΠΈ Π΄ΠΎΠ±Π°Π²ΠΈΠΌ Π² Π½Π΅Π΅ ΠΎΠ΄ΠΈΠ½ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚ для тСстов (Π² ΠΌΠΎΠ΅ΠΌ случаС это Grandstream GXP2160 с мас-адрСсом 000b.82ba.a7b1 ΠΈ соотв. ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью domain 00b82baa7b1).

Для созданной Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΏΠΎΠ½ΠΈΠ·ΠΈΠΌ трСбования ΠΏΠ°Ρ€ΠΎΠ»ΡŒΠ½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ (ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Fine-Grained Password Policies Ρ‡Π΅Ρ€Π΅Π· Active Directory Administrative Center -> domain -> System -> Password Settings Container) с Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ Password-Settings-for-MAB:

Настройка 802.1X Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°Ρ… Cisco с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ отказоустойчивого NPS (Windows RADIUS with AD)

Ρ‚Π΅ΠΌ самым Ρ€Π°Π·Ρ€Π΅ΡˆΠΈΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ мас-адрСс устройств Π² качСствС ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ. ПослС этого ΠΌΡ‹ смоТСм ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ ΡΠ΅Ρ‚Π΅Π²ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ 802.1x method mab, Π½Π°Π·ΠΎΠ²Π΅ΠΌ Π΅Π΅ neag-devices-8021x-voice. ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅:

  • NAS Port Type – Ethernet
  • Windows Groups – sg-fgpp-mab
  • EAP Types: Unencrypted authentication (PAP, SPAP)
  • RADIUS Attributes – Vendor Specific: Cisco – Cisco-AV-Pair – Attribute value: device-traffic-class=voice

послС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ (Π½Π΅ Π·Π°Π±Ρ‹Π²Π°Π΅ΠΌ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ ΠΏΠΎΡ€Ρ‚ ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°), посмотрим ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ с ΠΏΠΎΡ€Ρ‚Π°:

sh authentication se int Gi1/0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

Π’Π΅ΠΏΠ΅Ρ€ΡŒ, ΠΊΠ°ΠΊ ΠΈ ΠΎΠ±Π΅Ρ‰Π°Π» рассмотрим ΠΏΠ°Ρ€Ρƒ Π½Π΅ совсСм ΠΎΡ‡Π΅Π²ΠΈΠ΄Π½Ρ‹Ρ… ситуаций. НапримСр, Π½Π°ΠΌ трСбуСтся ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹ΡƒΡΡ‚Ρ€ΠΎΠΉΡΡ‚Π²Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Ρ‡Π΅Ρ€Π΅Π· нСуправляСмый ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€ (свитч). Π’ этом случаС настройки ΠΏΠΎΡ€Ρ‚Π° для Π½Π΅Π³ΠΎ Π±ΡƒΠ΄ΡƒΡ‚ Π²Ρ‹Π³Π»ΡΠ΄Π΅Ρ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ:

настройки ΠΏΠΎΡ€Ρ‚Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π° Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ 802.1x host-mode multi-auth

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ допустимых мас-адрСсов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – Ρ€Π΅ΠΆΠΈΠΌ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

P.S. Π·Π°ΠΌΠ΅Ρ‡Π΅Π½ ΠΎΡ‡Π΅Π½ΡŒ странный глюк – Ссли устройство Π±Ρ‹Π»ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ Ρ‡Π΅Ρ€Π΅Π· Ρ‚Π°ΠΊΠΎΠΉ свитч, Π° ΠΏΠΎΡ‚ΠΎΠΌ Π΅Π³ΠΎ Π²ΠΎΡ‚ΠΊΠ½ΡƒΠ»ΠΈ Π² управляСмый ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€, Ρ‚ΠΎ ΠΎΠ½ΠΎ НЕ Π·Π°Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚, ΠΏΠΎΠΊΠ° ΠΌΡ‹ Π½Π΅ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΈΠΌ(!) свитч Пока Π΄Ρ€ΡƒΠ³ΠΈΡ… способов Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ этой ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π½Π΅ нашСл.

Π•Ρ‰Π΅ ΠΎΠ΄ΠΈΠ½ ΠΌΠΎΠΌΠ΅Π½Ρ‚, связанный с DHCP (Ссли ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ip dhcp snooping) – Π±Π΅Π· Ρ‚Π°ΠΊΠΈΡ… Π²ΠΎΡ‚ ΠΎΠΏΡ†ΠΈΠΉ:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

ΠΏΠΎΡ‡Π΅ΠΌΡƒ-Ρ‚ΠΎ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎ ip адрСс Π½Π΅ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒβ€¦Ρ…ΠΎΡ‚Ρ ΠΌΠΎΠΆΠ΅Ρ‚ это ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ нашСго DHCP сСрвСра

А Π΅Ρ‰Π΅ Mac OS & Linux (Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° 802.1x нативная) ΠΏΡ‹Ρ‚Π°ΡŽΡ‚ΡΡ ΠΏΡ€ΠΎΠΉΡ‚ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ, Π΄Π°ΠΆΠ΅ Ссли настроСна аутСнтификация ΠΏΠΎ мас-адрСсу.

Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ части ΡΡ‚Π°Ρ‚ΡŒΠΈ рассмотрим ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ 802.1x для Wireless (Π² зависимости ΠΎΡ‚ Π³Ρ€ΡƒΠΏΠΏΡ‹, Π² ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ Π²Ρ…ΠΎΠ΄ΠΈΡ‚ учСтная запись ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, Π΅Π³ΠΎ Π±ΡƒΠ΄Π΅ΠΌ β€œΠ·Π°ΠΊΠΈΠ΄Ρ‹Π²Π°Ρ‚ΡŒβ€ Π² ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ (Π²Π»Π°Π½), хотя ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒΡΡ ΠΎΠ½ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ ΠΊ ΠΎΠ΄Π½ΠΎΠΌΡƒ SSID).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com