Déanaimis machnamh go praiticiúil ar úsáid Windows Active Directory + NPS (2 fhreastalaí le haghaidh lamháltais locht) + 802.1x caighdeánach le haghaidh rialú rochtana agus fíordheimhniú úsáideoirí - ríomhairí fearainn - feistí. Is féidir leat eolas a chur ar an teoiric de réir an chaighdeáin i Vicipéid, ag an nasc:
Ós rud é go bhfuil mo “shaotharlann” teoranta ó thaobh acmhainní de, tá róil an NPS agus an rialtóir fearainn comhoiriúnach, ach molaim duit seirbhísí ríthábhachtacha den sórt sin a scaradh.
Níl a fhios agam na bealaí caighdeánacha chun cumraíochtaí (polasaithe) Windows NPS a shioncronú, mar sin úsáidfimid scripteanna PowerShell a sheol an sceidealóir tasc (is é an t-údar mo iar-chomhghleacaí). Le haghaidh fíordheimhniú ríomhairí fearainn agus le haghaidh feistí nach bhfuil a fhios conas a 802.1x (fóin, printéirí, etc.), déanfar polasaí grúpa a chumrú agus cruthófar grúpaí slándála.
Ag deireadh an ailt labhróidh mé faoi chuid de na castaí a bhaineann le bheith ag obair le 802.1x - conas is féidir leat lasca neamhbhainistithe, ACLanna dinimiciúla, srl a úsáid. Roinnfidh mé faisnéis faoi na “glitches” gafa ...
Let tús le suiteáil agus chumrú failover NPS ar Windows Server 2012R2 (i 2016 tá gach rud mar an gcéanna): trí Bainisteoir Freastalaí -> Cuir Róil agus Treoraí Gnéithe, roghnaigh ach Freastalaí Polasaí Líonra.
nó le PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsTá soiléiriú beag - mar do EAP cosanta (PEAP) beidh ort cinnte teastas ag deimhniú barántúlacht an fhreastalaí (leis na cearta cuí a úsáid), a bheidh iontaofa ar ríomhairí cliaint, ansin beidh ort is dócha freisin a shuiteáil ar an ról Údarás Deimhniúcháin. Ach glacfaimid leis sin CA tá tú suiteáilte cheana féin...
Déanaimis an rud céanna ar an dara freastalaí. Cruthaímid fillteán don script C:Scripts ar an dá fhreastalaí agus fillteán líonra ar an dara freastalaí SRV2NPS-config$
Cruthaímid script PowerShell ar an gcéad fhreastalaí C:ScriptsExport-NPS-config.ps1 leis an ábhar seo a leanas:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Tar éis sin, socraigh an tasc sa Sceidealóir Tasc: “Easpórtáil-NpsCumraíocht"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Rith do gach úsáideoir - Rith leis na pribhléidí is airde
Laethúil - Déan an tasc arís gach 10 nóiméad. laistigh de 8 uair an chloig
Ar an NPS cúltaca, cumraigh an t-iompórtáil cumraíochta (polasaí):
cruthaigh script PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1agus tasc é a chur i gcrích gach 10 nóiméad:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Rith do gach úsáideoir - Rith leis na pribhléidí is airde
Laethúil - Déan an tasc arís gach 10 nóiméad. laistigh de 8 uair an chloig
Anois, le haghaidh fíorú, cuirimis le NPS ar cheann de na freastalaithe (!) Cúpla lasca i gcliant RADIUS (IP agus Rún Comhroinnte), dhá bheartas um iarratais nasc: WIRED Ceangail (Coinníoll: “Is é Ethernet cineál calafoirt NAS”) agus Wifi-Fiontar (Coinníoll: “Is é an cineál calafoirt NAS ná IEEE 802.11”) agus an beartas líonra Faigh rochtain ar Gléasanna Líonra Cisco (Riarthóirí Líonra):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Ar thaobh an lasc, tá na socruithe seo a leanas:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Tar éis a shocrú, tar éis 10 nóiméad, ba cheart go mbeadh gach socrú beartais le feiceáil ar an NPS cúltaca agus is féidir linn logáil isteach ar na lasca ag baint úsáide as an gcuntas ActiveDirectory, ball den ghrúpa domainsg-network-admins (a chruthaigh muid roimh ré).
Bogaimis ar aghaidh go dtí an Eolaire Gníomhach a chumrú - cruthaigh polasaí grúpa agus pasfhocal, cruthaigh na grúpaí riachtanacha.
Beartas Grúpa Ríomhairí-8021x-Socruithe:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Cruthaigh grúpa slándála sg-ríomhairí-8021x-vl100, áit a gcuirfimid ríomhairí a theastaíonn uainn a dháileadh ar vlan 100 agus an scagadh a shocrú don bheartas grúpa a cruthaíodh roimhe seo don ghrúpa seo:
Is féidir leat a chinntiú gur éirigh go maith leis an mbeartas trí “Lárionad Líonra agus Roinnte (Socruithe Líonra agus Idirlín) a oscailt - Socruithe cuibheora a athrú (Socruithe cuibheora a chumrú) - Airíonna an oiriúntóra", áit ar féidir linn an táb “Fíordheimhniú” a fheiceáil:
Nuair a bhíonn tú cinnte go gcuirtear an polasaí i bhfeidhm go rathúil, is féidir leat dul ar aghaidh chun an beartas líonra a chumrú ar an NPS agus ar na calafoirt lasc leibhéal rochtana.
A ligean ar a chruthú polasaí líonra neag-ríomhairí-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Socruithe tipiciúla don lasc-phort (tabhair faoi deara go n-úsáidtear an cineál fíordheimhnithe “ilfhearann” - Data & Voice, agus tá an fhéidearthacht ann freisin fíordheimhniú le seoladh Mac. Le linn na “hidirthréimhse”, tá ciall le húsáid i na paraiméadair:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
ní “coraintín” é vlan id, ach an ceann céanna a gcaithfidh an ríomhaire úsáideora a fháil tar éis logáil isteach go rathúil - go dtí go gcinntímid go n-oibríonn gach rud mar ba chóir. Is féidir na paraiméadair chéanna a úsáid i gcásanna eile, mar shampla, nuair a chuirtear lasc neamhbhainistithe isteach sa phort seo agus gur mhaith leat go dtitfidh gach feiste atá nasctha leis agus nach bhfuil fíordheimhnithe isteach i vlan áirithe (“coraintín”).
athraigh socruithe calafoirt i mód il-fearainn 802.1x óstaigh
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitIs féidir leat a chinntiú go bhfuil an fón ríomhaire tar éis fíordheimhniú a rith leis an ordú:
sh authentication sessions int Gi1/0/39 detAnois cruthaimis grúpa (mar shampla, sg-fgpp-mab ) san Eolaire Gníomhach le haghaidh fóin agus cuir gléas tástála amháin leis (i mo chás, is é seo Sruth Mór GXP2160 le seoladh mais 000b.82ba.a7b1 agus acc. cuntas fearann 00b82baa7b1).
Don ghrúpa cruthaithe, laghdaigh na ceanglais maidir le beartas pasfhocail (ag baint úsáide as via Ionad Riaracháin Eolaire Gníomhach -> fearann -> Córas -> Coimeádán Socruithe Pasfhocal) leis na paraiméadair seo Pasfhocail-Socruithe-do-MAB:
ligfidh sé seo dúinn seoladh mais na ngléasanna a úsáid mar phasfhocail. Ina dhiaidh sin is féidir linn beartas líonra a chruthú le haghaidh fíordheimhnithe modh 802.1x mab, a ligean ar a ghlaoch air neag-devices-8021x-voice. Is iad seo a leanas na paraiméadair:
- Cineál Port NAS - Ethernet
- Grúpaí Windows - sg-fgpp-mab
- Cineálacha EAP: Fíordheimhniú gan chriptiú (PAP, SPAP)
- Tréithe RADIUS - Sonrach don Díoltóir: Cisco - Cisco-AV-Pair - Luach tréithe: device-traffic-class=voice
tar éis fíordheimhniú rathúil (ná déan dearmad an calafort lasc a chumrú), féachaimis an fhaisnéis ón gcalafort:
sh fíordheimhniú int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessAnois, mar a gealladh, smaoinigh ar chúpla cás nach léir go hiomlán. Mar shampla, ní mór dúinn ríomhairí agus gléasanna úsáideoirí a nascadh trí lasc neamhbhainistithe (lasc). Sa chás seo, beidh na socruithe calafoirt dó cuma mar seo:
athraigh socruithe calafoirt i mód il-mhód óstach 802.1x
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Tugadh faoi deara glitch an-aisteach - más rud é go raibh an gléas ceangailte trí lasc den sórt sin, agus ansin bhí sé plugáilte isteach i lasc bainistithe, ansin ní bheidh sé ag obair go dtí go Atosaigh muid (!) an lasc.Ní bhfuair mé bealaí eile a réiteach. an fhadhb seo.
Pointe eile a bhaineann le DHCP (má úsáidtear ip dhcp snooping) - gan na roghanna seo:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionar chúis éigin, ní féidir liom an seoladh ip ceart a fháil ... cé go bhféadfadh sé seo a bheith ina ghné dár bhfreastalaí DHCP
Chomh maith leis sin, déanann Mac OS & Linux (ina bhfuil tacaíocht 802.1x dúchais) iarracht an t-úsáideoir a fhíordheimhniú, fiú má tá fíordheimhniú le seoladh mac cumraithe.
Sa chéad chuid eile den alt, déanfaimid machnamh ar úsáid 802.1x le haghaidh Gan Sreang (ag brath ar an ngrúpa lena mbaineann an cuntas úsáideora, "caithfimid" é isteach sa líonra cuí (vlan), cé go nascfaidh siad leis an SSID céanna).
Foinse: will.com