Razmotrimo u praksi korištenje Windows Active Directory + NPS (2 poslužitelja za osiguranje tolerancije na pogreške) + 802.1x standard za kontrolu pristupa i autentifikaciju korisnika - domenskih računala - uređaja. S teorijom prema standardu možete se upoznati na Wikipediji, na poveznici:
Budući da je moj "laboratorij" ograničen u resursima, uloge NPS-a i kontrolera domene su kompatibilne, ali preporučujem da ipak odvojite takve kritične usluge.
Ne znam standardne načine za sinkronizaciju Windows NPS konfiguracija (policies), pa ćemo koristiti PowerShell skripte koje pokreće task scheduler (autor je moj bivši kolega). Za autentifikaciju domenskih računala i za uređaje koji to ne mogu 802.1x (telefoni, pisači itd.), grupna pravila će se konfigurirati i sigurnosne grupe će se kreirati.
Na kraju članka, ispričat ću vam o nekim zamršenostima rada s 802.1x - kako možete koristiti neupravljane prekidače, dinamičke ACL-ove itd. Podijelit ću informacije o "propustima" koji su uhvaćeni.. .
Započnimo s instaliranjem i konfiguriranjem failover NPS-a na Windows Server 2012R2 (sve je isto u 2016): kroz Server Manager -> Add Roles and Features Wizard odaberite samo Network Policy Server.
ili koristeći PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsMalo pojašnjenje - jer za Zaštićeni EAP (PEAP) svakako ćete trebati certifikat koji potvrđuje autentičnost poslužitelja (s odgovarajućim pravima za korištenje), koji će biti pouzdan na klijentskim računalima, tada ćete najvjerojatnije morati instalirati ulogu Tijelo za izdavanje certifikata. Ali to ćemo pretpostaviti CA već ga imaš instaliran...
Učinimo isto na drugom poslužitelju. Kreirajmo mapu za skriptu C:Scripts na oba poslužitelja i mrežnu mapu na drugom poslužitelju SRV2NPS-config$
Kreirajmo PowerShell skriptu na prvom poslužitelju C:ScriptsExport-NPS-config.ps1 sa sljedećim sadržajem:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Nakon ovoga, konfigurirajmo zadatak u Planeru zadataka: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Pokretanje za sve korisnike - Pokretanje s najvišim pravima
Svakodnevno - Ponovite zadatak svakih 10 minuta. unutar 8 sati
Na sigurnosnom NPS-u konfigurirajte uvoz konfiguracije (pravila):
Kreirajmo PowerShell skriptu:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1i zadatak koji treba izvršiti svakih 10 minuta:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Pokretanje za sve korisnike - Pokretanje s najvišim pravima
Svakodnevno - Ponovite zadatak svakih 10 minuta. unutar 8 sati
Sada, da provjerimo, dodajmo NPS-u na jednom od poslužitelja (!) nekoliko prekidača u RADIUS klijentima (IP i Shared Secret), dva pravila zahtjeva za povezivanje: ŽIČNO povezivanje (Uvjet: “Vrsta NAS priključka je Ethernet”) i WiFi-Enterprise (Uvjet: “NAS port tip je IEEE 802.11”), kao i mrežna politika Pristupite Cisco mrežnim uređajima (Mrežni administratori):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Na strani prekidača, sljedeće postavke:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Nakon konfiguracije, nakon 10 minuta, svi parametri clientspolicy trebali bi se pojaviti na rezervnom NPS-u i moći ćemo se prijaviti na preklopnike pomoću računa ActiveDirectory, člana grupe domainsg-network-admins (koju smo kreirali unaprijed).
Prijeđimo na postavljanje Active Directoryja - stvorite pravila za grupe i lozinke, stvorite potrebne grupe.
Pravila grupe Računala-8021x-Postavke:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Kreirajmo sigurnosnu grupu sg-računala-8021x-vl100, gdje ćemo dodati računala koja želimo distribuirati na vlan 100 i konfigurirati filtriranje za prethodno kreiranu grupnu politiku za ovu grupu:
Možete provjeriti je li pravilo uspješno funkcioniralo otvaranjem “Centar za mrežu i dijeljenje (Postavke mreže i interneta) – Promjena postavki adaptera (Konfiguriranje postavki adaptera) – Svojstva adaptera”, gdje možemo vidjeti karticu “Autentikacija”:
Kada ste uvjereni da je politika uspješno primijenjena, možete nastaviti s postavljanjem mrežne politike na NPS-u i portovima prekidača razine pristupa.
Kreirajmo mrežnu politiku neag-računala-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tipične postavke za switch port (imajte na umu da se koristi "multi-domain" vrsta autentifikacije – Data & Voice, a postoji i mogućnost autentifikacije putem mac adrese. Tijekom "prijelaznog razdoblja" ima smisla koristiti u parametri:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan ID nije "karantenski", već isti onaj gdje bi korisnikovo računalo trebalo ići nakon uspješne prijave - dok ne budemo sigurni da sve radi kako treba. Isti ti parametri mogu se koristiti u drugim scenarijima, na primjer, kada je neupravljani preklopnik priključen na ovaj priključak i želite da svi uređaji povezani na njega koji nisu prošli autentifikaciju padnu u određeni vlan ("karantena").
prebacite postavke porta u 802.1x host-mode multi-domain modu
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitMožete provjeriti jesu li vaše računalo i telefon uspješno prošli autentifikaciju pomoću naredbe:
sh authentication sessions int Gi1/0/39 detKreirajmo sada grupu (npr. sg-fgpp-mab ) u Active Directory za telefone i dodajte mu jedan uređaj za testiranje (u mom slučaju to je Grandstream GXP2160 s mas adresom 000b.82ba.a7b1 i odn. račun domena 00b82baa7b1).
Za stvorenu grupu smanjit ćemo zahtjeve politike zaporki (koristeći putem Administrativnog centra Active Directory -> domena -> Sustav -> Spremnik postavki zaporke) sa sljedećim parametrima Postavke lozinke za MAB:
Stoga ćemo dopustiti korištenje mas adresa uređaja kao lozinki. Nakon ovoga možemo stvoriti mrežnu politiku za 802.1x metodu mab provjere autentičnosti, nazovimo je neag-devices-8021x-voice. Parametri su sljedeći:
- Vrsta NAS priključka – Ethernet
- Windows grupe – sg-fgpp-mab
- Vrste EAP-a: Nešifrirana autentifikacija (PAP, SPAP)
- RADIUS atributi – Specifično za dobavljača: Cisco – Cisco-AV-Pair – Vrijednost atributa: device-traffic-class=voice
Nakon uspješne provjere autentičnosti (ne zaboravite konfigurirati port preklopnika), pogledajmo informacije iz porta:
sh provjera autentičnosti se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessSada, kao što smo obećali, pogledajmo nekoliko ne sasvim očitih situacija. Na primjer, trebamo povezati korisnička računala i uređaje preko neupravljanog preklopnika (switch). U ovom će slučaju postavke porta za njega izgledati ovako:
prebacite postavke porta u 802.1x način višestruke autentifikacije u glavnom načinu rada
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS primijetili smo vrlo čudnu pogrešku - ako je uređaj spojen preko takvog prekidača, a zatim je priključen na upravljani prekidač, tada NEĆE raditi dok ponovno ne pokrenemo (!) prekidač. Nisam pronašao druge načine riješiti ovaj problem još.
Još jedna točka vezana uz DHCP (ako se koristi ip dhcp snooping) - bez takvih opcija:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionIz nekog razloga ne mogu dobiti ispravnu IP adresu... iako je to možda značajka našeg DHCP poslužitelja
A Mac OS i Linux (koji imaju izvornu podršku za 802.1x) pokušavaju autentificirati korisnika, čak i ako je konfigurirana autentifikacija prema Mac adresi.
U sljedećem dijelu članka osvrnut ćemo se na korištenje 802.1x za Wireless (ovisno o skupini kojoj korisnički račun pripada, "bacit" ćemo ga u odgovarajuću mrežu (vlan), iako će se spajati na isti SSID).
Izvor: www.habr.com