Razmotrimo u praksi upotrebu Windows Active Directory + NPS (2 servera za toleranciju grešaka) + 802.1x standard za kontrolu pristupa i autentifikaciju korisnika - računari domena - uređaji. Sa teorijom po standardu možete se upoznati na Wikipediji, na linku:
Pošto je moja „laboratorija“ ograničena u resursima, uloge NPS-a i kontrolora domena su kompatibilne, ali preporučujem da odvojite takve kritične usluge.
Ne poznajem standardne načine sinkronizacije konfiguracija (politika) Windows NPS-a, pa ćemo koristiti PowerShell skripte koje pokreće planer zadataka (autor je moj bivši kolega). Za autentifikaciju domenskih računara i za uređaje koji ne znaju kako 802.1x (telefoni, štampači, itd.), grupna politika će biti konfigurisana i sigurnosne grupe će biti kreirane.
Na kraju članka govorit ću o nekim od zamršenosti rada sa 802.1x - kako možete koristiti neupravljane prekidače, dinamičke ACL-ove, itd. Podijelit ću informacije o uhvaćenim "kvarovima" ...
Počnimo sa instalacijom i konfigurisanjem NPS-a za prelazak preko greške na Windows Server 2012R2 (u 2016. sve je isto): kroz Server Manager -> Add Roles and Features Wizard, izaberite samo Network Policy Server.
ili sa PowerShell-om:
Install-WindowsFeature NPAS -IncludeManagementToolsMalo pojašnjenje - što se tiče Zaštićeni EAP (PEAP) definitivno će vam trebati certifikat koji potvrđuje autentičnost servera (sa odgovarajućim pravima za korištenje), koji će biti pouzdan na klijentskim računarima, tada ćete najvjerovatnije također morati instalirati ulogu Autoritet za sertifikaciju. Ali to ćemo pretpostaviti CA već ste instalirali...
Uradimo isto na drugom serveru. Kreirajmo folder za C:Scripts skriptu na oba servera i mrežni folder na drugom serveru SRV2NPS-config$
Kreirajmo PowerShell skriptu na prvom serveru C:ScriptsExport-NPS-config.ps1 sa sljedećim sadržajem:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Nakon toga, postavite zadatak u Task Scheduler: “Izvoz-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Pokreni za sve korisnike - Pokreni sa najvišim privilegijama
Dnevno - Ponavljajte zadatak svakih 10 minuta. u roku od 8 sati
Na sigurnosnoj kopiji NPS-a konfigurirajte uvoz konfiguracije (politike):
kreirajte PowerShell skriptu:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1i zadatak da ga izvrši svakih 10 minuta:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Pokreni za sve korisnike - Pokreni sa najvišim privilegijama
Dnevno - Ponavljajte zadatak svakih 10 minuta. u roku od 8 sati
Sada, radi verifikacije, dodajmo NPS-u na jednom od servera (!) Par prekidača u RADIUS klijentima (IP i Shared Secret), dvije politike zahtjeva za povezivanje: WIRED Connect (Uslov: “Tip NAS porta je Ethernet”) i WiFi-Enterprise (Uslov: “Tip NAS porta je IEEE 802.11”) i mrežna politika Pristupite Cisco mrežnim uređajima (mrežni administratori):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Na strani prekidača, sljedeće postavke:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Nakon podešavanja, nakon 10 minuta, sve postavke politike trebale bi se pojaviti na sigurnosnom NPS-u i možemo se prijaviti na prekidače koristeći ActiveDirectory nalog, član domainsg-network-admins grupe (koju smo unaprijed kreirali).
Prijeđimo na konfiguriranje Active Directory-a - kreirajte politiku grupe i lozinke, kreirajte potrebne grupe.
Group Policy Computers-8021x-Settings:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Kreirajte sigurnosnu grupu sg-computers-8021x-vl100, gdje ćemo dodati računare koje želimo distribuirati na vlan 100 i postaviti filtriranje za prethodno kreiranu grupnu politiku za ovu grupu:
Možete se uvjeriti da je politika uspješno funkcionisala tako što ćete otvoriti “Centar za mrežu i dijeljenje (mrežne i internetske postavke) - Promijenite postavke adaptera (Konfiguriranje postavki adaptera) - Svojstva adaptera”, gdje možemo vidjeti karticu “Autentifikacija”:
Kada se uvjerite da je politika uspješno primijenjena, možete nastaviti s konfiguracijom mrežne politike na portovima NPS-a i prekidača nivoa pristupa.
Kreirajmo mrežnu politiku negag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tipične postavke za port switch (imajte na umu da se koristi "multi-domain" tip autentifikacije - Data & Voice, a postoji i mogućnost autentifikacije putem mac adrese. Tokom "prijelaznog perioda" ima smisla koristiti u parametri:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id nije “karantin”, već isti onaj na koji računar korisnika mora doći nakon uspješnog prijavljivanja – dok se ne uvjerimo da sve radi kako treba. Isti parametri se mogu koristiti u drugim scenarijima, na primjer, kada je neupravljani prekidač priključen na ovaj port i želite da svi uređaji povezani na njega, a ne autentificirani, padnu u određeni vlan („karantin“).
prebacite postavke porta u 802.1x host-mode multi-domain modu
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitMožete se uvjeriti da je telefon računara uspješno prošao autentifikaciju pomoću naredbe:
sh authentication sessions int Gi1/0/39 detSada kreirajmo grupu (npr. sg-fgpp-mab ) u Active Directory za telefone i dodajte mu jedan testni uređaj (u mom slučaju, ovo je Grandstream GXP2160 sa mas adresom 000b.82ba.a7b1 i acc. račun domena 00b82baa7b1).
Za kreiranu grupu, smanjite zahtjeve politike lozinki (koristeći preko Active Directory Administrativnog centra -> domena -> Sistem -> Kontejner postavki lozinke) sa ovim parametrima Password-Settings-for-MAB:
ovo će nam omogućiti da koristimo masovne adrese uređaja kao lozinke. Nakon toga možemo kreirati mrežnu politiku za 802.1x metod mab autentifikaciju, nazovimo ga neag-devices-8021x-voice. Parametri su sljedeći:
- Vrsta NAS porta - Ethernet
- Windows grupe - sg-fgpp-mab
- EAP vrste: nekriptirana autentifikacija (PAP, SPAP)
- RADIUS Atributi - Specifični za dobavljača: Cisco - Cisco-AV-Pair - Vrijednost atributa: device-traffic-class=voice
nakon uspješne autentifikacije (ne zaboravite konfigurirati port switch), pogledajmo informacije s porta:
sh autentikacija se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessSada, kao što je obećano, razmotrite nekoliko ne sasvim očiglednih situacija. Na primjer, trebamo povezati korisničke računare i uređaje preko neupravljanog prekidača (prekidača). U ovom slučaju, postavke porta za njega će izgledati ovako:
prebacite postavke porta u 802.1x način rada s više auta
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Primijećen je vrlo čudan kvar - ako je uređaj povezan preko takvog prekidača, a zatim je priključen na upravljani prekidač, onda NEĆE raditi dok ne restartujemo (!) prekidač. Nisam našao druge načine za rješavanje ovaj problem.
Još jedna stvar vezana za DHCP (ako se koristi ip dhcp snooping) - bez ovih opcija:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optioniz nekog razloga, ne mogu dobiti ispravnu IP adresu ... iako je to možda karakteristika našeg DHCP servera
Takođe, Mac OS i Linux (u kojima je podrška 802.1x izvorna) pokušavaju da autentifikuju korisnika, čak i ako je konfigurisana autentifikacija putem mac adrese.
U sljedećem dijelu članka ćemo razmotriti korištenje 802.1x za Wireless (u zavisnosti od grupe kojoj korisnički račun pripada, „bacit ćemo“ ga u odgovarajuću mrežu (vlan), iako će se oni povezati na isti SSID).
izvor: www.habr.com