Tarkastellaan käytännössä Windows Active Directory + NPS (2 palvelinta vikasietoisuuteen) + 802.1x standardin käyttöä käyttäjien - verkkoalueen tietokoneiden - laitteiden kulunvalvontaan ja todennukseen. Voit tutustua Wikipedian standardin mukaiseen teoriaan linkistä:
Koska "laboratorioni" resurssit ovat rajalliset, NPS- ja toimialueen ohjainroolit ovat yhteensopivia, mutta suosittelen, että erotat tällaiset tärkeät palvelut.
En tiedä tavallisia tapoja synkronoida Windows NPS:n kokoonpanot (käytännöt), joten käytämme PowerShell-komentosarjoja, jotka on käynnistetty tehtävän ajastimella (kirjoittaja on entinen kollegani). Toimialueen tietokoneiden ja laitteiden todentamiseen, jotka eivät osaa 802.1x (puhelimet, tulostimet jne.), ryhmäkäytäntö konfiguroidaan ja suojausryhmiä luodaan.
Artikkelin lopussa puhun joistakin 802.1x:n kanssa työskentelyn monimutkaisuuksista - kuinka voit käyttää hallitsemattomia kytkimiä, dynaamisia ACL-luetteloita jne. Jaan tietoja kiinni jääneistä "häiriöistä" ...
Aloitetaan asentamalla ja määrittämällä vikasieto-NPS Windows Server 2012R2:ssa (vuonna 2016 kaikki on ennallaan): valitse Palvelimenhallinta -> Ohjattu roolien ja ominaisuuksien lisääminen -toiminnolla vain Network Policy Server.
tai PowerShellillä:
Install-WindowsFeature NPAS -IncludeManagementTools
Pieni selvennys - mitä tulee Suojattu EAP (PEAP) tarvitset ehdottomasti varmenteen, joka vahvistaa palvelimen aitouden (oikeilla käyttöoikeuksilla), johon asiakastietokoneet luotetaan, jolloin sinun on todennäköisesti asennettava rooli Varmentaja. Mutta oletamme sen CA olet jo asentanut...
Tehdään sama toisella palvelimella. Luodaan kansio C:Scripts-skriptille molemmille palvelimille ja verkkokansio toiselle palvelimelle SRV2NPS-konfiguraatio$
Luodaan PowerShell-skripti ensimmäiselle palvelimelle C:ScriptsExport-NPS-config.ps1 jolla on seuraava sisältö:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Määritä sen jälkeen tehtävä Task Schedulerissa: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Suorita kaikille käyttäjille - Suorita korkeimmilla oikeuksilla
Päivittäin - Toista tehtävä 10 minuutin välein. 8 tunnin sisällä
Määritä varmuuskopion NPS:ssä määritysten (käytännön) tuonti:
luo PowerShell-skripti:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
ja tehtävä suorittaa se 10 minuutin välein:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Suorita kaikille käyttäjille - Suorita korkeimmilla oikeuksilla
Päivittäin - Toista tehtävä 10 minuutin välein. 8 tunnin sisällä
Lisätään nyt varmuuden vuoksi yhden palvelimen NPS:ään (!) Pari kytkintä RADIUS-asiakkaissa (IP ja Shared Secret), kaksi yhteyspyyntökäytäntöä: LANGALLINEN Yhdistä (Ehto: "NAS-portin tyyppi on Ethernet") ja WiFi-yritys (Ehto: "NAS-portin tyyppi on IEEE 802.11") ja verkkokäytäntö Käytä Cisco-verkkolaitteita (Verkon järjestelmänvalvojat):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Kytkimen puolella seuraavat asetukset:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Asetuksen jälkeen 10 minuutin kuluttua kaikkien käytäntöasetusten pitäisi näkyä vara-NPS:ssä ja voimme kirjautua kytkimiin ActiveDirectory-tilillä, joka on domainsg-network-admins-ryhmän jäsen (jonka loimme etukäteen).
Siirrytään Active Directoryn konfigurointiin - luo ryhmä- ja salasanakäytäntö, luo tarvittavat ryhmät.
Ryhmäkäytäntö Tietokoneet-8021x-Asetukset:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Luo suojausryhmä sg-computers-8021x-vl100, johon lisäämme tietokoneet, jotka haluamme jakaa vlan 100:een, ja määritämme suodatuksen tälle ryhmälle aiemmin luodulle ryhmäkäytännölle:
Voit varmistaa, että käytäntö on toiminut onnistuneesti avaamalla "Verkko- ja jakamiskeskus (Verkko- ja Internet-asetukset) - Muuta sovittimen asetuksia (Sovittimen asetusten määrittäminen) - Sovittimen ominaisuudet", jossa näemme "Todennus"-välilehden:
Kun olet varma, että käytäntö on otettu käyttöön onnistuneesti, voit jatkaa verkkokäytännön määrittämistä NPS- ja käyttöoikeustason kytkimen porteissa.
Luodaan verkkopolitiikka negag-tietokoneet-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tyypilliset kytkinportin asetukset (huomaa, että käytössä on "multi-domain" -todennustyyppi - Data & Voice, ja myös mac-osoitteen todennus on mahdollista. "Siirtymäjakson aikana" on järkevää käyttää parametrit:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id ei ole "karanteeni", vaan sama, johon käyttäjän tietokoneen on päästävä onnistuneen sisäänkirjautumisen jälkeen - kunnes varmistamme, että kaikki toimii niin kuin pitää. Samoja parametreja voidaan käyttää muissakin skenaarioissa, esimerkiksi silloin, kun tähän porttiin on kytketty hallitsematon kytkin ja haluat kaikkien siihen liitettyjen ja todentamattomien laitteiden joutuvan tiettyyn vlaniin ("karanteeniin").
vaihtaa porttiasetuksia 802.1x-isäntätilan monitoimialuetilassa
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Voit varmistaa, että tietokonepuhelin on läpäissyt todennuksen onnistuneesti komennolla:
sh authentication sessions int Gi1/0/39 det
Luodaan nyt ryhmä (esim. sg-fgpp-mab ) Active Directory puhelimille ja lisää siihen yksi testilaite (minun tapauksessani tämä on Grandstream GXP2160 mas-osoitteella 000b.82ba.a7b1 ja acc. tili verkkotunnus 00b82baa7b1).
Alenna luodun ryhmän salasanakäytäntövaatimuksia (käyttäen
Tämä antaa meille mahdollisuuden käyttää laitteiden mas-osoitteita salasanoina. Sen jälkeen voimme luoda verkkokäytännön 802.1x-menetelmän mab-todennusta varten, kutsutaan sitä nimellä neag-devices-8021x-voice. Parametrit ovat seuraavat:
- NAS-portin tyyppi - Ethernet
- Windows-ryhmät - sg-fgpp-mab
- EAP-tyypit: Salaamaton todennus (PAP, SPAP)
- RADIUS-attribuutit - Toimittajakohtainen: Cisco - Cisco-AV-Pair - Attribuutin arvo: device-traffic-class=voice
onnistuneen todennuksen jälkeen (älä unohda määrittää kytkinporttia), katsotaan tiedot portista:
sh-todennus se in Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Nyt, kuten luvattiin, harkitse paria ei täysin ilmeistä tilannetta. Meidän on esimerkiksi yhdistettävä käyttäjien tietokoneet ja laitteet hallitsemattoman kytkimen (kytkimen) kautta. Tässä tapauksessa sen porttiasetukset näyttävät tältä:
vaihtaa porttiasetuksia 802.1x isäntätilan monitodennustilassa
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS Havaittiin erittäin outo häiriö - jos laite liitettiin tällaisen kytkimen kautta ja sitten se liitettiin hallittavaan kytkimeen, niin se EI toimi ennen kuin käynnistämme uudelleen (!) Kytkin. En ole löytänyt muita ratkaisuja Tämä ongelma.
Toinen DHCP:hen liittyvä kohta (jos käytetään ip dhcp-snoopingia) - ilman näitä vaihtoehtoja:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
jostain syystä en saa oikeaa IP-osoitetta... vaikka tämä saattaa olla DHCP-palvelimemme ominaisuus
Lisäksi Mac OS ja Linux (joissa 802.1x-tuki on natiivi) yrittävät todentaa käyttäjän, vaikka Mac-osoitteen todennus olisi määritetty.
Artikkelin seuraavassa osassa tarkastelemme 802.1x:n käyttöä langattomassa verkossa (riippuen ryhmästä, johon käyttäjätili kuuluu, "heitämme" sen sopivaan verkkoon (vlan), vaikka ne muodostavat yhteyden sama SSID).
Lähde: will.com