Uvažujme v praxi použití Windows Active Directory + NPS (2 servery pro odolnost proti chybám) + standard 802.1x pro řízení přístupu a autentizaci uživatelů - doménových počítačů - zařízení. S teorií podle standardu se můžete seznámit na Wikipedii, na odkazu:
Vzhledem k tomu, že moje „laboratoř“ má omezené zdroje, jsou role NPS a řadiče domény kompatibilní, ale doporučuji tyto kritické služby oddělit.
Neznám standardní způsoby synchronizace konfigurací (zásad) Windows NPS, takže použijeme skripty PowerShell spouštěné plánovačem úloh (autorem je můj bývalý kolega). Pro autentizaci doménových počítačů a pro zařízení, která to neumí 802.1x (telefony, tiskárny atd.), budou nakonfigurovány zásady skupiny a vytvořeny skupiny zabezpečení.
Na konci článku budu mluvit o některých složitostech práce s 802.1x - jak můžete používat nespravované přepínače, dynamické ACL atd. Podělím se o informace o zachycených „závadách“ ...
Začněme instalací a konfigurací failover NPS na Windows Server 2012R2 (v roce 2016 je vše stejné): prostřednictvím Správce serveru -> Průvodce přidáním rolí a funkcí vyberte pouze Server síťových zásad.
nebo pomocí PowerShellu:
Install-WindowsFeature NPAS -IncludeManagementTools
Malé upřesnění - pokud jde o Chráněný EAP (PEAP) určitě budete potřebovat certifikát potvrzující autenticitu serveru (s příslušnými právy k použití), který bude důvěryhodný na klientských počítačích, pak budete pravděpodobně muset nainstalovat roli Certifikační autorita. Ale to budeme předpokládat CA už máš nainstalovaný...
Udělejme to samé na druhém serveru. Vytvořme složku pro skript C:Scripts na obou serverech a síťovou složku na druhém serveru SRV2NPS-config$
Vytvořme skript PowerShell na prvním serveru C:ScriptsExport-NPS-config.ps1 s následujícím obsahem:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Poté nastavte úlohu v Plánovači úloh: “Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Spustit pro všechny uživatele – Spustit s nejvyššími oprávněními
Denně – Úkol opakujte každých 10 minut. do 8 hodin
Na záložním serveru NPS nakonfigurujte import konfigurace (zásad):
vytvořte skript PowerShellu:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
a úkol provést každých 10 minut:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Spustit pro všechny uživatele – Spustit s nejvyššími oprávněními
Denně – Úkol opakujte každých 10 minut. do 8 hodin
Nyní pro ověření přidáme do NPS na jednom ze serverů (!) několik přepínačů v klientech RADIUS (IP a Shared Secret), dvě zásady požadavků na připojení: Kabelové připojení (Podmínka: „typ portu NAS je Ethernet“) a WiFi-Enterprise (Podmínka: „typ portu NAS je IEEE 802.11“) a zásady sítě Přístup k síťovým zařízením Cisco (Správci sítě):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Na straně přepínače jsou následující nastavení:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Po nastavení by se po 10 minutách měla všechna nastavení zásad objevit na záložním NPS a můžeme se přihlásit k přepínačům pomocí účtu ActiveDirectory, člena skupiny domainsg-network-admins (kterou jsme si předem vytvořili).
Přejděme ke konfiguraci Active Directory – vytvořte zásady skupin a hesel, vytvořte potřebné skupiny.
Skupinová politika Počítače-8021x-Nastavení:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Vytvořte skupinu zabezpečení sg-computers-8021x-vl100, kde přidáme počítače, které chceme distribuovat do vlan 100 a nastavíme filtrování pro dříve vytvořené zásady skupiny pro tuto skupinu:
Chcete-li se ujistit, že politika úspěšně fungovala, otevřete „Centrum sítí a sdílení (Nastavení sítě a Internetu) - Změnit nastavení adaptéru (Konfigurace nastavení adaptéru) - Vlastnosti adaptéru“, kde můžeme vidět kartu „Ověření“:
Když jste přesvědčeni, že zásada byla úspěšně použita, můžete pokračovat v konfiguraci zásad sítě na portech NPS a přepínači úrovně přístupu.
Vytvořme síťovou politiku negag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typické nastavení pro port přepínače (upozorňujeme, že je použit typ autentizace „multi-domain“ – Data & Voice a je zde také možnost autentizace pomocí mac adresy. V „přechodovém období“ má smysl používat v parametry:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id není „karanténa“, ale stejná, kam se musí počítač uživatele dostat po úspěšném přihlášení – dokud se nepřesvědčíme, že vše funguje, jak má. Stejné parametry lze použít v jiných scénářích, například když je do tohoto portu zapojen nespravovaný přepínač a chcete, aby všechna zařízení k němu připojená a neověřená spadala do určité vlan („karantény“).
přepnout nastavení portu v režimu hostitele 802.1x v režimu více domén
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Můžete se ujistit, že počítačový telefon úspěšně prošel ověřením pomocí příkazu:
sh authentication sessions int Gi1/0/39 det
Nyní vytvoříme skupinu (např. sg-fgpp-mab ) v Active Directory pro telefony a přidejte do něj jedno testovací zařízení (v mém případě to je Grandstream GXP2160 s adresou mas 000b.82ba.a7b1 a přísl. účet doména 00b82baa7b1).
U vytvořené skupiny snižte požadavky na politiku hesel (pomocí
to nám umožní používat masovou adresu zařízení jako hesla. Poté můžeme vytvořit síťovou politiku pro autentizaci metodou mab 802.1x, nazvěme ji neag-devices-8021x-voice. Parametry jsou následující:
- Typ portu NAS – Ethernet
- Skupiny Windows - sg-fgpp-mab
- Typy EAP: Nešifrované ověřování (PAP, SPAP)
- Atributy RADIUS – specifické pro dodavatele: Cisco – Cisco-AV-Pair – Hodnota atributu: device-traffic-class=voice
po úspěšné autentizaci (nezapomeňte nakonfigurovat port přepínače), podívejme se na informace z portu:
autentizace sh je int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Nyní, jak jsem slíbil, zvažte několik ne zcela zjevných situací. Potřebujeme například propojit počítače a zařízení uživatelů prostřednictvím nespravovaného přepínače (přepínače). V tomto případě bude nastavení portu pro něj vypadat takto:
přepněte nastavení portu v režimu 802.1x host-mode multi-auth
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS Byla zaznamenána velmi podivná závada - pokud bylo zařízení připojeno přes takový přepínač a poté bylo zapojeno do spravovaného přepínače, NEBUDE fungovat, dokud nerestartujeme (!) Přepínač. Nenašel jsem jiné způsoby, jak vyřešit tento problém.
Další bod související s DHCP (pokud se používá ip dhcp snooping) - bez těchto možností:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
z nějakého důvodu nemohu získat správnou IP adresu ... i když to může být funkce našeho serveru DHCP
Také Mac OS a Linux (ve kterém je nativní podpora 802.1x) se pokoušejí ověřit uživatele, i když je nakonfigurováno ověřování pomocí mac adresy.
V další části článku se budeme zabývat použitím 802.1x pro Wireless (v závislosti na skupině, do které uživatelský účet patří, jej „hodíme“ do příslušné sítě (vlan), ačkoli se budou připojovat k stejné SSID).
Zdroj: www.habr.com