Lad os i praksis overveje brugen af Windows Active Directory + NPS (2 servere til fejltolerance) + 802.1x standard til adgangskontrol og autentificering af brugere - domænecomputere - enheder. Du kan stifte bekendtskab med teorien efter standarden i Wikipedia, på linket:
Da mit "laboratorium" er begrænset i ressourcer, er NPS- og domænecontrollerrollerne kompatible, men jeg anbefaler, at du adskiller sådanne kritiske tjenester.
Jeg kender ikke standardmåderne til at synkronisere konfigurationer (politikker) af Windows NPS, så vi vil bruge PowerShell-scripts lanceret af opgaveplanlæggeren (forfatteren er min tidligere kollega). Til godkendelse af domænecomputere og til enheder, der ikke ved hvordan 802.1x (telefoner, printere osv.), vil gruppepolitik blive konfigureret, og sikkerhedsgrupper vil blive oprettet.
I slutningen af artiklen vil jeg tale om nogle af forviklingerne ved at arbejde med 802.1x - hvordan du kan bruge uadministrerede switches, dynamiske ACL'er osv. Jeg vil dele information om de fangede "fejl" ...
Lad os starte med at installere og konfigurere failover NPS på Windows Server 2012R2 (i 2016 er alt det samme): via Server Manager -> Tilføj roller og funktioner, vælg kun Network Policy Server.
eller med PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEn lille præcisering - vedr Beskyttet EAP (PEAP) du skal helt sikkert have et certifikat, der bekræfter serverens ægthed (med de relevante rettigheder til at bruge), som vil være tillid til på klientcomputere, så skal du højst sandsynligt installere rollen Certificeringsmyndighed. Men det vil vi antage CA du har allerede installeret...
Lad os gøre det samme på den anden server. Lad os oprette en mappe til C:Scripts-scriptet på begge servere og en netværksmappe på den anden server SRV2NPS-config$
Lad os oprette et PowerShell-script på den første server C:ScriptsExport-NPS-config.ps1 med følgende indhold:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Derefter skal du konfigurere opgaven i opgaveplanlægningen: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Kør for alle brugere - Kør med højeste privilegier
Dagligt - Gentag opgaven hvert 10. minut. inden for 8 timer
På backup-NPS'en skal du konfigurere konfigurations-(politik)importen:
opret et PowerShell-script:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1og en opgave til at udføre den hvert 10. minut:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Kør for alle brugere - Kør med højeste privilegier
Dagligt - Gentag opgaven hvert 10. minut. inden for 8 timer
Lad os nu til verificering tilføje til NPS på en af serverne (!) Et par switche i RADIUS-klienter (IP og Shared Secret), to forbindelsesanmodningspolitikker: KABLET Tilslut (Betingelse: "NAS-porttype er Ethernet") og WiFi-virksomhed (Betingelse: "NAS-porttypen er IEEE 802.11") og netværkspolitikken Få adgang til Cisco-netværksenheder (Netværksadministratorer):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15På kontaktsiden er følgende indstillinger:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Efter indstilling, efter 10 minutter, skulle alle politikindstillinger vises på backup-NPS'en, og vi kan logge ind på switchene ved hjælp af ActiveDirectory-kontoen, et medlem af domainsg-network-admins-gruppen (som vi oprettede på forhånd).
Lad os gå videre til at konfigurere Active Directory - opret en gruppe- og adgangskodepolitik, opret de nødvendige grupper.
Gruppepolitik Computere-8021x-indstillinger:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Opret en sikkerhedsgruppe sg-computere-8021x-vl100, hvor vi tilføjer computere, som vi ønsker at distribuere til vlan 100 og opsætter filtrering for den tidligere oprettede gruppepolitik for denne gruppe:
Du kan sikre dig, at politikken har fungeret korrekt ved at åbne "Netværks- og delingscenter (netværks- og internetindstillinger) - Skift adapterindstillinger (Konfiguration af adapterindstillinger) - Adapteregenskaber", hvor vi kan se fanen "Godkendelse":
Når du er overbevist om, at politikken er anvendt med succes, kan du fortsætte med at konfigurere netværkspolitikken på NPS- og adgangsniveauomskifterportene.
Lad os oprette en netværkspolitik neag-computere-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typiske indstillinger for switch-porten (bemærk venligst, at "multi-domæne" autentificeringstypen bruges - Data & Voice, og der er også mulighed for autentificering ved mac-adresse. I "overgangsperioden" giver det mening at bruge i parametrene:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id er ikke "karantæne", men det samme, som brugerens computer skal komme efter at have logget ind - indtil vi sikrer os, at alt fungerer som det skal. De samme parametre kan bruges i andre scenarier, for eksempel når en ikke-administreret switch er sat i denne port, og du ønsker, at alle enheder, der er tilsluttet den og ikke er godkendt, skal falde ind i en bestemt vlan ("karantæne").
skifte portindstillinger i 802.1x værtstilstand multidomænetilstand
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitDu kan sikre dig, at computertelefonen har bestået godkendelse med kommandoen:
sh authentication sessions int Gi1/0/39 detLad os nu oprette en gruppe (f.eks. sg-fgpp-mab ) i Active Directory til telefoner og tilføje en testenhed til den (i mit tilfælde er dette Grandstream GXP2160 med mas adresse 000b.82ba.a7b1 og iflg. konto domæne 00b82baa7b1).
For den oprettede gruppe skal du sænke adgangskodepolitikkravene (vha via Active Directory Administrative Center -> domæne -> System -> Password Settings Container) med disse parametre Adgangskode-indstillinger-til-MAB:
dette vil give os mulighed for at bruge mas-adressen på enheder som adgangskoder. Derefter kan vi oprette en netværkspolitik for 802.1x metode mab-godkendelse, lad os kalde det neag-devices-8021x-voice. Parametrene er som følger:
- NAS-porttype - Ethernet
- Windows-grupper - sg-fgpp-mab
- EAP-typer: Ukrypteret godkendelse (PAP, SPAP)
- RADIUS-attributter - Leverandørspecifikke: Cisco - Cisco-AV-Pair - Attributværdi: device-traffic-class=voice
efter vellykket godkendelse (glem ikke at konfigurere switch-porten), lad os se oplysningerne fra porten:
sh-godkendelsesindstilling Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessOvervej nu, som lovet, et par ikke helt indlysende situationer. For eksempel skal vi forbinde brugernes computere og enheder gennem en ikke-administreret switch (switch). I dette tilfælde vil portindstillingerne for det se sådan ud:
skifte portindstillinger i 802.1x-værtstilstand multi-auth-tilstand
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS En meget mærkelig fejl blev bemærket - hvis enheden var tilsluttet gennem sådan en switch, og så blev den sat i en managed switch, så vil den IKKE virke før vi genstarter (!) Switchen. Jeg har ikke fundet andre måder at løse dette problem.
Et andet punkt relateret til DHCP (hvis ip dhcp snooping bruges) - uden disse muligheder:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionaf en eller anden grund kan jeg ikke få den korrekte ip-adresse ... selvom dette kan være en funktion på vores DHCP-server
Mac OS og Linux (hvor 802.1x-understøttelse er indbygget) forsøger også at godkende brugeren, selvom godkendelse med mac-adresse er konfigureret.
I den næste del af artiklen vil vi overveje brugen af 802.1x til trådløs (afhængigt af den gruppe, som brugerkontoen tilhører, vil vi "smide" den ind i det relevante netværk (vlan), selvom de vil oprette forbindelse til samme SSID).
Kilde: www.habr.com