Ann konsidere nan pratik itilizasyon Windows Active Directory + NPS (2 sèvè pou asire tolerans fay) + 802.1x estanda pou kontwòl aksè ak otantifikasyon itilizatè - òdinatè domèn - aparèy. Ou ka fè konesans ak teyori a dapre estanda a sou Wikipedya, nan lyen an:
Piske "laboratwa" mwen an limite nan resous, wòl NPS ak kontwolè domèn yo konpatib, men mwen rekòmande pou w toujou separe sèvis enpòtan sa yo.
Mwen pa konnen fason estanda yo senkronize konfigirasyon Windows NPS (politik), kidonk nou pral itilize scripts PowerShell te lanse pa orè travay la (otè a se ansyen kòlèg mwen). Pou otantifikasyon nan òdinatè domèn ak pou aparèy ki pa kapab 802.1x (telefòn, enprimant, elatriye), politik gwoup yo pral configuré ak gwoup sekirite yo pral kreye.
Nan fen atik la, mwen pral di w sou kèk nan konplike nan travay ak 802.1x - ki jan ou ka itilize switch ki pa jere, ACL dinamik, elatriye. Mwen pral pataje enfòmasyon sou "pepen" yo te kenbe. .
Ann kòmanse ak enstale ak konfigirasyon NPS failover sou Windows Server 2012R2 (tout se menm bagay la tou nan 2016): atravè Manadjè Sèvè -> Add Wòl ak Karakteristik Sòsye, chwazi sèlman Network Policy Server.
oswa itilize PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsYon ti klarifikasyon - depi pou Pwoteje EAP (PEAP) ou pral definitivman bezwen yon sètifika ki konfime otantisite nan sèvè a (ak dwa apwopriye pou itilize), ki pral fè konfyans sou òdinatè kliyan, Lè sa a, ou pral gen plis chans bezwen enstale wòl la. Sètifikasyon Otorite. Men, nou pral asime sa CA ou deja enstale li...
Ann fè menm bagay la sou dezyèm sèvè a. Ann kreye yon katab pou script C:Scripts sou tou de serveurs ak yon katab rezo sou dezyèm sèvè a SRV2NPS-config$
Ann kreye yon script PowerShell sou premye sèvè a C:ScriptsExport-NPS-config.ps1 ak kontni sa a:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Apre sa, ann konfigirasyon travay la nan Task Scheduler: "Ekspòtasyon-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Kouri pou tout itilizatè - Kouri ak pi wo dwa
Chak jou - Repete travay la chak 10 minit. nan lespas 8 èdtan
Sou NPS backup la, konfigirasyon enpòte konfigirasyon (politik):
Ann kreye yon script PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1ak yon travay pou egzekite li chak 10 minit:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Kouri pou tout itilizatè - Kouri ak pi wo dwa
Chak jou - Repete travay la chak 10 minit. nan lespas 8 èdtan
Koulye a, pou tcheke, ann ajoute nan NPS sou youn nan sèvè yo (!) Yon koup la switch nan kliyan RADIUS (IP ak pataje sekrè), de règleman demann koneksyon: WIRED-Konekte (Kondisyon: "kalite pò NAS se Ethernet") ak WiFi-Entreprise (Kondisyon: "kalite pò NAS se IEEE 802.11"), osi byen ke politik rezo Aksè Cisco Rezo Aparèy (Admin rezo):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Sou bò switch la, paramèt sa yo:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Apre konfigirasyon, apre 10 minit, tout paramèt politik kliyan yo ta dwe parèt sou NPS backup la epi nou pral kapab konekte nan switch yo lè l sèvi avèk yon kont ActiveDirectory, yon manm nan gwoup domainsg-network-admins (ki nou te kreye davans).
Ann ale nan mete kanpe Active Directory - kreye gwoup ak modpas politik, kreye gwoup ki nesesè yo.
Règleman Gwoup Odinatè-8021x-Anviwònman:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Ann kreye yon gwoup sekirite sg-ordinateurs-8021x-vl100, kote nou pral ajoute òdinatè ke nou vle distribye nan vlan 100 ak konfigirasyon filtraj pou politik gwoup la te kreye deja pou gwoup sa a:
Ou ka verifye ke politik la te travay avèk siksè lè w louvri "Rezo ak Sant Pataje (Rezo ak Anviwònman Entènèt) - Chanje anviwònman adaptè (Konfigirasyon anviwònman adaptè) - Pwopriyete adaptè", kote nou ka wè tab la "Otantifikasyon":
Lè ou konvenki ke politik la aplike avèk siksè, ou ka kontinye nan mete kanpe politik rezo sou NPS yo ak pò switch nivo aksè.
Ann kreye yon politik rezo neag-ordinateurs-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Anviwònman tipik pou pò switch la (tanpri sonje ke yo itilize kalite otantifikasyon "milti-domèn" - Done & Vwa, epi gen tou posiblite pou otantifikasyon pa adrès Mac. Pandan "peryòd tranzisyon an" li fè sans pou itilize nan la. paramèt:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Id vlan a se pa yon "karantèn", men se menm yon sèl kote òdinatè itilizatè a ta dwe ale apre yo fin konekte avèk siksè - jiskaske nou sèten ke tout bagay ap travay jan li ta dwe. Menm paramèt sa yo ka itilize nan lòt senaryo, pou egzanp, lè yon switch ki pa jere konekte nan pò sa a epi ou vle tout aparèy ki konekte ak li ki pa te pase otantifikasyon tonbe nan yon sèten vlan ("karantèn").
chanje anviwònman pò yo nan 802.1x mòd lame milti-domèn
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitOu ka asire w ke òdinatè w lan ak telefòn ou te byen pase otantifikasyon ak lòd la:
sh authentication sessions int Gi1/0/39 detKoulye a, ann kreye yon gwoup (pa egzanp, sg-fgpp-mab ) nan Active Directory pou telefòn epi ajoute yon aparèy sou li pou fè tès (nan ka mwen an se Grandstream GXP2160 ak adrès mas 000b.82ba.a7b1 ak resp. kont domèn 00b82baa7b1).
Pou gwoup la kreye, nou pral diminye kondisyon politik modpas yo (itilize atravè Active Directory Administrative Center -> domèn -> Sistèm -> Modpas Anviwònman Container) ak paramèt sa yo Modpas-Paramèt-pou-MAB:
Kidonk, nou pral pèmèt itilize adrès mas aparèy kòm modpas. Apre sa nou ka kreye yon politik rezo pou metòd 802.1x mab otantifikasyon an, ann rele li neag-devices-8021x-voice. Paramèt yo jan sa a:
- Kalite pò NAS - Ethernet
- Gwoup Windows - sg-fgpp-mab
- Kalite EAP: Otantifikasyon Unencrypted (PAP, SPAP)
- Atribi RADIUS – Vandè Espesifik: Cisco – Cisco-AV-Pè – Valè atribi: aparèy-trafik-klas = vwa
Apre otantifikasyon siksè (pa bliye konfigirasyon pò switch la), ann gade enfòmasyon ki soti nan pò a:
sh otantifikasyon se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessKoulye a, jan yo te pwomèt la, ann gade nan yon koup nan sitiyasyon ki pa totalman evidan. Pou egzanp, nou bezwen konekte òdinatè itilizatè yo ak aparèy atravè yon switch san jere (switch). Nan ka sa a, paramèt pò yo ap gade jan sa a:
chanje anviwònman pò yo nan 802.1x mòd lame milti-otorizasyon
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS nou remake yon pwoblèm trè etranj - si aparèy la te konekte atravè yon switch konsa, epi Lè sa a, li te ploge nan yon switch jere, Lè sa a, li PA pral travay jiskaske nou rdemare(!) switch la. Mwen pa jwenn okenn lòt fason. pou rezoud pwoblèm sa a ankò.
Yon lòt pwen ki gen rapò ak DHCP (si ip dhcp snooping yo itilize) - san opsyon sa yo:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionPou kèk rezon mwen pa ka jwenn adrès IP la kòrèkteman... byenke sa a ka yon karakteristik nan sèvè DHCP nou an
Ak Mac OS & Linux (ki gen sipò natif natal 802.1x) eseye otantifye itilizatè a, menm si otantifikasyon pa adrès Mac configuré.
Nan pwochen pati nan atik la, nou pral gade nan itilizasyon 802.1x pou Wireless (selon gwoup la ki kont itilizatè a fè pati, nou pral "jete" li nan rezo ki koresponn lan (vlan), byenke yo pral konekte ak. menm SSID la).
Sous: www.habr.com