Ni konsideru praktike la uzon de Windows Active Directory + NPS (2 serviloj por faŭltoleremo) + 802.1x normo por alirkontrolo kaj aŭtentigo de uzantoj - domajnaj komputiloj - aparatoj. Vi povas konatiĝi kun la teorio laŭ la normo en Vikipedio, ĉe la ligilo:
Ĉar mia "laboratorio" estas limigita en rimedoj, la roloj de NPS kaj domajna regilo estas kongruaj, sed mi rekomendas, ke vi apartigu tiajn kritikajn servojn.
Mi ne konas la normajn manierojn sinkronigi agordojn (politikojn) de Windows NPS, do ni uzos PowerShell-skriptojn lanĉitajn de la taskoplanisto (la aŭtoro estas mia iama kolego). Por aŭtentigo de domajnaj komputiloj kaj por aparatoj kiuj ne scias kiel 802.1x (telefonoj, presiloj, ktp.), gruppolitiko estos agordita kaj sekurecaj grupoj estos kreitaj.
Fine de la artikolo mi parolos pri iuj el la komplikaĵoj de labori kun 802.1x - kiel vi povas uzi neadministratajn ŝaltilojn, dinamikajn ACL-ojn, ktp. Mi dividos informojn pri la kaptitaj "problemoj" ...
Ni komencu instali kaj agordi malsukcesigan NPS en Windows Server 2012R2 (en 2016 ĉio estas la sama): per Servilo-Manaĝero -> Aldoni Roloj kaj Trajtoj Sorĉisto, elektu nur Retan Politikan Servilon.
aŭ kun PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEta klarigo - kiel por Protektita EAP (PEAP) vi certe bezonos atestilon konfirmantan la aŭtentikecon de la servilo (kun la taŭgaj uzrajtoj), kiu estos fidinda sur klientaj komputiloj, tiam vi plej verŝajne bezonos instali la rolon. Atestado-Aŭtoritato. Sed ni supozos tion CA vi jam instalis...
Ni faru la samon sur la dua servilo. Ni kreu dosierujon por la skripto C:Scripts sur ambaŭ serviloj kaj retan dosierujon sur la dua servilo SRV2NPS-agordo$
Ni kreu PowerShell-skripton sur la unua servilo C:ScriptsExport-NPS-config.ps1 kun la jena enhavo:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Post tio, agordu la taskon en la Taskplanilo: "Eksporto-NpsAgordo"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Kuru por ĉiuj uzantoj - Kuru kun plej altaj privilegioj
Ĉiutage - Ripetu la taskon ĉiujn 10 minutojn. ene de 8 horoj
Sur la rezerva NPS, agordu la agordan (politikon) importon:
krei PowerShell-skripton:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1kaj tasko por plenumi ĝin ĉiujn 10 minutojn:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Kuru por ĉiuj uzantoj - Kuru kun plej altaj privilegioj
Ĉiutage - Ripetu la taskon ĉiujn 10 minutojn. ene de 8 horoj
Nun, por kontroli, ni aldonu al NPS sur unu el la serviloj (!) Paron da ŝaltiloj en RADIUS-klientoj (IP kaj Shared Secret), du politikojn pri konekto-peto: WRED Konekti (Kondiĉo: "NAS-porda tipo estas Ethernet") kaj WiFi-Entrepreno (Kondiĉo: "NAS-porda tipo estas IEEE 802.11") kaj la reta politiko Aliru Cisco-Retajn Aparatojn (Retaj Administrantoj):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Ĉe la ŝanĝflanko, la sekvaj agordoj:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Post fiksado, post 10 minutoj, ĉiuj politikaj agordoj devus aperi sur la rezerva NPS kaj ni povas ensaluti al la ŝaltiloj uzante la konton ActiveDirectory, membro de la grupo domainsg-network-admins (kiun ni kreis antaŭe).
Ni pluiru al agordo de Aktiva Dosierujo - kreu grupon kaj pasvortpolitikon, kreu la necesajn grupojn.
Gruppolitiko Komputiloj-8021x-Agordoj:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Kreu sekurecan grupon sg-komputiloj-8021x-vl100, kie ni aldonos komputilojn, kiujn ni volas distribui al vlan 100 kaj starigos filtradon por la antaŭe kreita gruppolitiko por ĉi tiu grupo:
Vi povas certigi, ke la politiko sukcese funkciis, malfermante "Reto kaj Kundivido-Centro (Reto kaj Interreto-agordoj) - Ŝanĝi adaptilajn agordojn (Agordo de adaptilo) - Adaptilo-propraĵojn", kie ni povas vidi la langeton "Aŭtentikigo":
Kiam vi estas konvinkita, ke la politiko estas sukcese aplikata, vi povas agordi la retan politikon sur la NPS kaj alirnivelaj ŝaltiloj.
Ni kreu retan politikon negag-komputiloj-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tipaj agordoj por la ŝaltilhaveno (bonvolu noti, ke la "multdomajna" aŭtentigtipo estas uzata - Datumoj kaj Voĉo, kaj ankaŭ ekzistas la ebleco de aŭtentigo per mac-adreso. Dum la "transira periodo", estas senco uzi en la parametroj:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan-id ne estas "kvaranteno", sed la sama, kie la uzantkomputilo devas ricevi post sukcese ensaluto - ĝis ni certigos, ke ĉio funkcias kiel ĝi devus. La samaj parametroj povas esti uzataj en aliaj scenaroj, ekzemple, kiam neadministrita ŝaltilo estas konektita al ĉi tiu haveno kaj vi volas, ke ĉiuj aparatoj konektitaj al ĝi kaj ne aŭtentikigitaj falu en certan vlan ("kvaranteno").
ŝanĝi havenajn agordojn en 802.1x gastiganta reĝimo plurdomajna reĝimo
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitVi povas certigi, ke la komputila telefono sukcese trapasis aŭtentikigon per la komando:
sh authentication sessions int Gi1/0/39 detNun ni kreu grupon (ekzemple, sg-fgpp-mab ) en la Aktiva Dosierujo por telefonoj kaj aldonu unu testan aparaton al ĝi (en mia kazo, ĉi tio estas Grandstream GXP2160 kun mas adreso 000b.82ba.a7b1 kaj acc. konto domajno 00b82baa7b1).
Por la kreita grupo, malaltigu la pasvortpolitikajn postulojn (uzante per Aktiva Dosierujo Administra Centro -> domajno -> Sistemo -> Pasvortaj Agordoj Ujo) kun ĉi tiuj parametroj Pasvorto-Agordoj-por-MAB:
ĉi tio permesos al ni uzi la mas-adreson de aparatoj kiel pasvortojn. Post tio ni povas krei retan politikon por 802.1x-metoda mab-aŭtentikigo, ni nomu ĝin neag-devices-8021x-voice. La parametroj estas kiel sekvas:
- NAS Haveno-Tipo - Eterreto
- Vindozaj Grupoj - sg-fgpp-mab
- EAP-Tipoj: Neĉifrita aŭtentigo (PAP, SPAP)
- RADIUS-Atributoj - Specifaj al Vendisto: Cisco - Cisco-AV-Pair - Atributa valoro: device-traffic-class=voĉo
post sukcesa aŭtentigo (ne forgesu agordi la ŝaltilpordon), ni vidu la informojn de la haveno:
sh aŭtentigo se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessNun, kiel promesite, konsideru kelkajn ne tute evidentajn situaciojn. Ekzemple, ni devas konekti la komputilojn kaj aparatojn de uzantoj per neadministrata ŝaltilo (ŝaltilo). En ĉi tiu kazo, la havenaj agordoj por ĝi aspektos jene:
ŝanĝu havenajn agordojn en 802.1x gastiganta reĝimo multaŭtiga reĝimo
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Tre stranga eraro estis rimarkita - se la aparato estis konektita per tia ŝaltilo, kaj tiam ĝi estis ŝtopita en administrita ŝaltilo, tiam ĝi NE funkcios ĝis ni rekomencos (!) La ŝaltilon. Mi ne trovis aliajn manierojn solvi ĉi tiu problemo.
Alia punkto rilata al DHCP (se ip dhcp snooping estas uzata) - sen ĉi tiuj opcioj:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionial mi ne povas ricevi la ĝustan ip-adreson ... kvankam ĉi tio povas esti trajto de nia DHCP-servilo
Ankaŭ, Mac OS kaj Linukso (en kiu 802.1x-subteno estas indiĝena) provas aŭtentikigi la uzanton, eĉ se aŭtentigo per mac-adreso estas agordita.
En la sekva parto de la artikolo, ni konsideros la uzon de 802.1x por Sendrata (depende de la grupo al kiu apartenas la uzantkonto, ni "ĵetos" ĝin en la taŭgan reton (vlan), kvankam ili konektos al la sama SSID).
fonto: www.habr.com