Litte wy yn 'e praktyk it gebrûk fan Windows Active Directory + NPS (2 servers foar fouttolerânsje) + 802.1x standert beskôgje foar tagongskontrôle en autentikaasje fan brûkers - domeinkompjûters - apparaten. Jo kinne yn 'e kunde komme mei de teory neffens de standert yn Wikipedia, op de keppeling:
Sûnt myn "laboratorium" is beheind yn boarnen, binne de rollen fan NPS en domeincontroller kompatibel, mar ik advisearje dat jo sokke krityske tsjinsten skiede.
Ik wit net de standert manieren om konfiguraasjes (belied) fan Windows NPS te syngronisearjen, dus wy sille PowerShell-skripts brûke lansearre troch de taakplanner (de skriuwer is myn eardere kollega). Foar autentikaasje fan domeinkompjûters en foar apparaten dy't net witte hoe 802.1x (tillefoans, printers, ensfh.), sil groepsbelied konfigureare wurde en befeiligingsgroepen wurde oanmakke.
Oan 'e ein fan it artikel sil ik prate oer guon fan' e intricacies fan wurkjen mei 802.1x - hoe't jo kinne brûke unmanaged switches, dynamyske ACL's, ensfh Ik sil diele ynformaasje oer de fongen "glitches" ...
Litte wy begjinne mei it ynstallearjen en konfigurearjen fan failover NPS op Windows Server 2012R2 (yn 2016 is alles itselde): fia Server Manager -> Add Rolls and Features Wizard, selektearje allinich Network Policy Server.
of mei PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
In lytse opheldering - as foar Beskerme EAP (PEAP) jo sille perfoarst in sertifikaat nedich wêze dat de autentisiteit fan 'e tsjinner befêstiget (mei de passende rjochten om te brûken), dat sil wurde fertroud op kliïntkompjûters, dan sille jo wierskynlik de rol moatte ynstallearje Sertifikaasjeautoriteit. Mar dat sille wy oannimme CA do hast al ynstallearre...
Litte wy itselde dwaan op 'e twadde tsjinner. Litte wy in map meitsje foar it C:Scripts-skript op beide servers en in netwurkmap op 'e twadde server SRV2NPS-config$
Litte wy in PowerShell-skript oanmeitsje op 'e earste tsjinner C:ScriptsExport-NPS-config.ps1 mei de folgjende ynhâld:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Stel dan de taak yn 'e Task Scheduler yn: "Eksportearje-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Run foar alle brûkers - Run mei heechste privileezjes
Deistich - Werhelje de taak elke 10 minuten. binnen 8 oeren
Op de reservekopy NPS, konfigurearje de konfiguraasje (belied) ymport:
meitsje in PowerShell-skript:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
en in taak om it elke 10 minuten út te fieren:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Run foar alle brûkers - Run mei heechste privileezjes
Deistich - Werhelje de taak elke 10 minuten. binnen 8 oeren
No, foar ferifikaasje, litte wy tafoegje oan NPS op ien fan 'e servers (!) In pear skeakels yn RADIUS-kliïnten (IP en Shared Secret), twa belied foar ferbiningsfersyk: WIRED Ferbine (Betingst: "NAS-poarte type is Ethernet") en WiFi-bedriuw (Betingst: "NAS-poartetype is IEEE 802.11") en it netwurkbelied Tagong Cisco Network Apparaten (Netwurkbehearders):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Oan 'e skeakelkant binne de folgjende ynstellings:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Nei it ynstellen, nei 10 minuten, moatte alle beliedsynstellingen ferskine op 'e reservekopy NPS en kinne wy oanmelde by de skeakels mei it ActiveDirectory-akkount, in lid fan' e domainsg-network-admins-groep (dy't wy fan tefoaren makke hawwe).
Litte wy trochgean mei it konfigurearjen fan Active Directory - meitsje in groep- en wachtwurdbelied, meitsje de nedige groepen.
Groep Belied Kompjûters-8021x-Ynstellings:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Meitsje in feiligens groep sg-komputers-8021x-vl100, wêr't wy kompjûters tafoegje dy't wy wolle fersprieden oan vlan 100 en filterje ynstelle foar it earder oanmakke groepsbelied foar dizze groep:
Jo kinne derfoar soargje dat it belied mei súkses wurke hat troch it iepenjen fan "Netwurk- en dielensintrum (Netwurk- en ynternetynstellingen) - Adapterynstellingen feroarje (Adapterynstellingen konfigurearje) - Adaptereigenskippen", wêr't wy it ljepblêd "Autentikaasje" kinne sjen:
As jo oertsjûge binne dat it belied mei súkses tapast wurdt, kinne jo trochgean mei it konfigurearjen fan it netwurkbelied op 'e NPS en tagongsnivo-skeakelpoarten.
Litte wy in netwurkbelied meitsje negag-komputers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typyske ynstellings foar de switch haven (tink asjebleaft dat de "multi-domein" autentikaasje type wurdt brûkt - Data & Voice, en der is ek de mooglikheid fan autentikaasje troch mac adres. de parameters:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id is net "quarantaine", mar deselde wêr't de brûker komputer moat krije nei súksesfol oanmelde - oant wy der wis fan dat alles wurket sa't it moat. Deselde parameters kinne brûkt wurde yn oare senario's, bygelyks as in net beheare switch wurdt ynstútsenComment yn dizze haven en jo wolle dat alle apparaten ferbûn oan it en net authentisearre te fallen yn in bepaalde vlan ("kwarantine").
switch haven ynstellings yn 802.1x host-modus multi-domein modus
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Jo kinne der wis fan dat de kompjûter telefoan hat mei súkses trochjûn autentikaasje mei it kommando:
sh authentication sessions int Gi1/0/39 det
Litte wy no in groep meitsje (bygelyks, sg-fgpp-mab ) yn 'e Active Directory foar tillefoans en foegje ien testapparaat ta (yn myn gefal is dit Grandstream GXP2160 mei mas adres 000b.82ba.a7b1 en acc. rekken domein 00b82baa7b1).
Foar de oanmakke groep, ferleegje de easken foar wachtwurdbelied (brûkende
Sa, wy sille tastean it brûken fan apparaat mas adressen as wachtwurden. Nei dit, kinne wy meitsje in netwurk belied foar 802.1x autentikaasje metoade mab, lit ús neame it neag-devices-8021x-voice. De parameters binne as folget:
- NAS Port Type - Ethernet
- Windows-groepen - sg-fgpp-mab
- EAP-soarten: Unfersifere ferifikaasje (PAP, SPAP)
- RADIUS Attributen - Ferkeaper spesifyk: Cisco - Cisco-AV-Pair - Attribuutwearde: device-traffic-class = stim
nei suksesfolle autentikaasje (ferjit net de skeakelpoarte te konfigurearjen), litte wy de ynformaasje fan 'e poarte sjen:
sh autentikaasje se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
No, lykas tasein, litte wy nei in pear net folslein foar de hân lizzende situaasjes sjen. Wy moatte bygelyks brûkerskompjûters en apparaten ferbine fia in net beheare switch (switch). Yn dit gefal sille de poarte-ynstellingen dêrfoar der sa útsjen:
switch haven ynstellings yn 802.1x host-modus multi-auth modus
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS In heul nuvere glitch waard opmurken - as it apparaat ferbûn wie fia sa'n switch, en dan waard it ynstutsen yn in behearde switch, dan sil it NET wurkje oant wy opnij starte (!) De switch. Ik haw gjin oare manieren fûn om op te lossen dit probleem.
In oar punt yn ferbân mei DHCP (as ip dhcp snooping wurdt brûkt) - sûnder dizze opsjes:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
om ien of oare reden kin ik it juste ip-adres net krije ... hoewol dit in eigenskip kin wêze fan ús DHCP-tsjinner
Ek, Mac OS & Linux (wêrby't 802.1x-stipe native is) besykje de brûker te ferifiearjen, sels as autentikaasje troch mac-adres is ynsteld.
Yn it folgjende diel fan it artikel sille wy it gebrûk fan 802.1x foar Wireless beskôgje (ôfhinklik fan 'e groep dêr't it brûkersaccount ta heart, sille wy it "goaie" yn it passende netwurk (vlan), hoewol se sille ferbine mei de deselde SSID).
Boarne: www.habr.com