Consideremos na práctica o uso de Windows Active Directory + NPS (2 servidores para garantir a tolerancia a fallos) + estándar 802.1x para control de acceso e autenticación de usuarios - ordenadores de dominio - dispositivos. Podes familiarizarte coa teoría segundo o estándar da Wikipedia, na ligazón:
Dado que o meu "laboratorio" ten recursos limitados, os roles de NPS e controlador de dominio son compatibles, pero recomendo que aínda separes estes servizos críticos.
Non coñezo formas estándar de sincronizar as configuracións (políticas) de Windows NPS, polo que usaremos scripts de PowerShell iniciados polo programador de tarefas (o autor é o meu antigo colega). Para a autenticación de ordenadores de dominio e para dispositivos que non poden 802.1x (teléfonos, impresoras, etc.), configurarase a política de grupo e crearanse grupos de seguridade.
Ao final do artigo, falarei sobre algunhas das complejidades de traballar con 802.1x: como usar interruptores non xestionados, ACL dinámicas, etc. Compartirei información sobre os "fallos" que se detectaron. .
Comecemos coa instalación e configuración de NPS de conmutación por fallo en Windows Server 2012R2 (todo é o mesmo en 2016): a través do Xestor do servidor -> Asistente para engadir roles e funcións, seleccione só Servidor de políticas de rede.
ou usando PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsUnha pequena aclaración - xa que para EAP protexido (PEAP) Definitivamente necesitarás un certificado que confirme a autenticidade do servidor (cos dereitos de uso adecuados), que será de confianza nos ordenadores cliente, entón probablemente necesites instalar o rol Autoridade de certificación. Pero iso imos asumir CA xa o tes instalado...
Fagamos o mesmo no segundo servidor. Imos crear un cartafol para o script C:Scripts en ambos os servidores e un cartafol de rede no segundo servidor SRV2NPS-config$
Imos crear un script de PowerShell no primeiro servidor C:ScriptsExport-NPS-config.ps1 co seguinte contido:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Despois diso, configuremos a tarefa no Programador de tarefas: "Exportar-Configuración Nps"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Executar para todos os usuarios - Executar cos dereitos máis altos
Diariamente - Repita a tarefa cada 10 minutos. dentro de 8 horas
No NPS de copia de seguridade, configure a importación da configuración (políticas):
Imos crear un script de PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1e unha tarefa para executalo cada 10 minutos:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Executar para todos os usuarios - Executar cos dereitos máis altos
Diariamente - Repita a tarefa cada 10 minutos. dentro de 8 horas
Agora, para comprobar, engadimos a NPS nun dos servidores (!) un par de interruptores en clientes RADIUS (IP e segredo compartido), dúas políticas de solicitude de conexión: Conexión por cable (Condición: "O tipo de porto NAS é Ethernet") e WiFi-Empresa (Condición: "O tipo de porto NAS é IEEE 802.11"), así como a política de rede Acceda aos dispositivos de rede de Cisco (Administradores de rede):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15No lado do interruptor, a seguinte configuración:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Despois da configuración, despois de 10 minutos, todos os parámetros de política de clientes deberían aparecer no NPS de copia de seguridade e poderemos iniciar sesión nos conmutadores mediante unha conta de ActiveDirectory, membro do grupo domainsg-network-admins (que creamos previamente).
Pasemos á configuración do Active Directory: cree políticas de grupos e contrasinais, cree os grupos necesarios.
Política de grupo Ordenadores-8021x-Configuración:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Imos crear un grupo de seguridade sg-computadoras-8021x-vl100, onde engadiremos os equipos que queremos distribuír ao vlan 100 e configuraremos o filtrado para a política de grupo creada previamente para este grupo:
Podes verificar que a política funcionou correctamente abrindo "Centro de redes e uso compartido (Configuración de rede e Internet) - Cambiando a configuración do adaptador (Configuración da configuración do adaptador) - Propiedades do adaptador", onde podemos ver a pestana "Autenticación":
Cando estea convencido de que a política se aplica con éxito, pode proceder a configurar a política de rede nos portos de conmutador de nivel de acceso e NPS.
Imos crear unha política de rede Neag-computadoras-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Configuración típica para o porto de conmutación (teña en conta que se usa o tipo de autenticación "multidominio" - Datos e voz, e tamén existe a posibilidade de autenticación por enderezo de Mac. Durante o "período de transición" ten sentido usalo no parámetros:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
O vlan ID non é un de "corentena", senón o mesmo onde debería ir o ordenador do usuario despois de iniciar sesión con éxito, ata que esteamos seguros de que todo funciona como debería. Estes mesmos parámetros pódense usar noutros escenarios, por exemplo, cando se conecta un switch non xestionado a este porto e quere que todos os dispositivos conectados a el que non pasaron a autenticación caian nun determinado vlan ("corentena").
cambiar a configuración do porto no modo multidominio en modo host 802.1x
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitPodes asegurarte de que o teu ordenador e teléfono pasaron correctamente a autenticación co comando:
sh authentication sessions int Gi1/0/39 detAgora imos crear un grupo (por exemplo, sg-fgpp-mab ) en Active Directory para teléfonos e engadirlle un dispositivo para probalo (no meu caso é Grandstream GXP2160 con enderezo mas 000b.82ba.a7b1 e resp. conta dominio 00b82baa7b1).
Para o grupo creado, baixaremos os requisitos da política de contrasinais (usando a través do Centro administrativo de Active Directory -> dominio -> Sistema -> Contedor de configuración de contrasinal) cos seguintes parámetros Configuración de contrasinal para MAB:
Así, permitiremos o uso de enderezos mas de dispositivos como contrasinais. Despois diso, podemos crear unha política de rede para o método de autenticación 802.1x mab, chamémoslle neag-devices-8021x-voice. Os parámetros son os seguintes:
- Tipo de porto NAS: Ethernet
- Grupos de Windows: sg-fgpp-mab
- Tipos de EAP: autenticación sen cifrar (PAP, SPAP)
- Atributos de RADIUS – Proveedor específico: Cisco – Cisco-AV-Pair – Valor do atributo: device-traffic-class=voice
Despois dunha autenticación exitosa (non esqueza configurar o porto do switch), vexamos a información do porto:
sh autenticación se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessAgora, como prometeu, vexamos un par de situacións non totalmente obvias. Por exemplo, necesitamos conectar os ordenadores e dispositivos dos usuarios a través dun interruptor (switch) non xestionado. Neste caso, a configuración do porto será así:
cambiar a configuración do porto no modo de autenticación múltiple en modo host 802.1x
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPD notamos un fallo moi estraño: se o dispositivo estaba conectado a través dun interruptor deste tipo, e despois conectouse a un interruptor xestionado, NON funcionará ata que reiniciemos (!) o interruptor. Non atopei ningún outro xeito. para resolver este problema aínda.
Outro punto relacionado con DHCP (se se usa ip dhcp snooping) - sen tales opcións:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionPor algún motivo non podo obter o enderezo IP correctamente... aínda que esta pode ser unha característica do noso servidor DHCP
E Mac OS e Linux (que teñen soporte nativo 802.1x) tentan autenticar o usuario, aínda que se configure a autenticación por enderezo de Mac.
Na seguinte parte do artigo analizaremos o uso de 802.1x para Wireless (dependendo do grupo ao que pertenza a conta de usuario, "botarémolo" na rede correspondente (vlan), aínda que se conectarán a o mesmo SSID).
Fonte: www.habr.com