Tekintsük a gyakorlatban a Windows Active Directory + NPS (2 szerver a hibatűrés érdekében) + 802.1x szabvány használatát a felhasználók - tartományi számítógépek - eszközök hozzáférés-vezérlésére és hitelesítésére. A szabvány szerinti elmélettel megismerkedhetsz a Wikipédián, a linken:
Mivel a „laboratóriumom” erőforrásai korlátozottak, az NPS és a tartományvezérlő szerepe kompatibilis, de azt javaslom, hogy az ilyen kritikus szolgáltatásokat továbbra is különítse el.
Nem ismerem a Windows NPS konfigurációk (házirendek) szinkronizálásának szabványos módjait, ezért a feladatütemező által elindított PowerShell-szkripteket fogjuk használni (a szerző egykori kollégám). Tartományi számítógépek és olyan eszközök hitelesítésére, amelyek erre nem képesek 802.1x (telefonok, nyomtatók stb.), a csoportházirend konfigurálva lesz, és biztonsági csoportok jönnek létre.
A cikk végén elmesélem a 802.1x-szel való munka néhány bonyolultságát – hogyan használhatod a nem menedzselt kapcsolókat, dinamikus ACL-eket stb. Megosztok majd információkat az észlelt „hibákról”. .
Kezdjük a feladatátvételi hálózati házirend telepítésével és konfigurálásával a Windows Server 2012R2 rendszeren (2016-ban minden ugyanaz): a Kiszolgálókezelő -> Szerepkörök és szolgáltatások hozzáadása varázslóban válassza csak a Hálózati házirend-kiszolgálót.
vagy PowerShell használatával:
Install-WindowsFeature NPAS -IncludeManagementToolsEgy kis pontosítás - hiszen azért Védett EAP (PEAP) feltétlenül szüksége lesz a szerver hitelességét igazoló tanúsítványra (megfelelő használati jogokkal), ami megbízható lesz a kliens számítógépeken, akkor nagy valószínűséggel telepítenie kell a szerepkört hitelesítésszolgáltató. De ezt feltételezzük CA már telepítve van...
Tegyük ugyanezt a második szerveren is. Hozzon létre egy mappát a C:Scripts szkript számára mindkét szerveren, és egy hálózati mappát a második szerveren SRV2NPS-config$
Hozzon létre egy PowerShell-szkriptet az első kiszolgálón C:ScriptsExport-NPS-config.ps1 a következő tartalommal:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Ezután állítsuk be a feladatot a Feladatütemezőben: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Futtassa az összes felhasználót – Futtassa a legmagasabb jogokkal
Naponta – Ismételje meg a feladatot 10 percenként. 8 órán belül
A biztonsági mentési hálózati házirend-kiszolgálón konfigurálja a konfiguráció importálását (házirendek):
Hozzunk létre egy PowerShell-szkriptet:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1és egy feladat 10 percenként:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Futtassa az összes felhasználót – Futtassa a legmagasabb jogokkal
Naponta – Ismételje meg a feladatot 10 percenként. 8 órán belül
Most, hogy ellenőrizze, adjunk hozzá az NPS-hez az egyik szerveren (!) néhány kapcsolót a RADIUS-kliensekben (IP és Shared Secret), valamint két kapcsolatkérési szabályzatot: VEZETÉKES csatlakozás (Feltétel: „NAS port típusa Ethernet”) és WiFi-Enterprise (Feltétel: „NAS port típusa IEEE 802.11”), valamint a hálózati házirend Hozzáférés a Cisco hálózati eszközökhöz (Hálózati rendszergazdák):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15A kapcsoló oldalán a következő beállítások:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99A konfigurálás után 10 perc elteltével minden ügyfélpolitikai paraméternek meg kell jelennie a tartalék NPS-en, és egy ActiveDirectory fiókkal, a domainsg-network-admins csoport tagjával (amelyet előzetesen létrehoztunk) tudunk bejelentkezni a switch-ekbe.
Térjünk át az Active Directory beállítására – hozzon létre csoport- és jelszóházirendeket, hozza létre a szükséges csoportokat.
Csoportházirend Számítógépek-8021x-Beállítások:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Hozzunk létre egy biztonsági csoportot sg-computers-8021x-vl100, ahol hozzáadjuk a terjeszteni kívánt számítógépeket a vlan 100-hoz, és beállítjuk a szűrést a korábban létrehozott csoportházirendhez ehhez a csoporthoz:
A házirend sikeres működését ellenőrizheti a „Hálózati és megosztási központ (Hálózati és internetbeállítások) – Adapterbeállítások módosítása (Adapterbeállítások konfigurálása) – Adapter tulajdonságai” megnyitásával, ahol láthatjuk a „Hitelesítés” lapot:
Ha meggyőződött arról, hogy a házirendet sikeresen alkalmazta, folytathatja a hálózati házirend beállítását az NPS és a hozzáférési szint kapcsoló portjain.
Hozzunk létre egy hálózati házirendet neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
A switch port tipikus beállításai (kérjük, vegye figyelembe, hogy a „multi-domain” hitelesítési típust használják – Data & Voice, és van lehetőség mac-cím alapján történő hitelesítésre is. Az „átmeneti időszakban” érdemes a paraméterek:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
A vlan azonosító nem „karantén”, hanem ugyanaz, ahová a felhasználó számítógépének kell mennie a sikeres bejelentkezés után - amíg meg nem győződünk arról, hogy minden úgy működik, ahogy kell. Ugyanezek a paraméterek más forgatókönyvekben is használhatók, például amikor egy nem felügyelt kapcsoló csatlakozik ehhez a porthoz, és azt szeretné, hogy minden csatlakoztatott eszköz, amely nem ment át a hitelesítésen, egy bizonyos VLAN-ba („karanténba”) kerüljön.
portbeállítások váltása 802.1x gazdagép módú többtartományos módban
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitA következő paranccsal ellenőrizheti, hogy számítógépe és telefonja sikeresen átment a hitelesítésen:
sh authentication sessions int Gi1/0/39 detMost hozzunk létre egy csoportot (pl. sg-fgpp-mab ) az Active Directory telefonokhoz, és adjunk hozzá egy eszközt teszteléshez (esetemben ez Grandstream GXP2160 mas címmel 000b.82ba.a7b1 és ill. fiókot domain 00b82baa7b1).
A létrehozott csoportnál csökkentjük a jelszóházirend követelményeit (a az Active Directory felügyeleti központon keresztül -> tartomány -> Rendszer -> Jelszóbeállítások tárolója) a következő paraméterekkel Jelszó-beállítások-MAB-hoz:
Így engedélyezni fogjuk az eszközök mas címeinek használatát jelszóként. Ezek után létrehozhatunk egy hálózati házirendet a 802.1x metódusú mab hitelesítéshez, nevezzük neag-devices-8021x-voice-nak. A paraméterek a következők:
- NAS port típusa – Ethernet
- Windows-csoportok – sg-fgpp-mab
- EAP típusok: Titkosítatlan hitelesítés (PAP, SPAP)
- RADIUS attribútumok – Szállítóspecifikus: Cisco – Cisco-AV-Pair – Attribútum értéke: device-traffic-class=voice
Sikeres hitelesítés után (ne felejtse el beállítani a kapcsolóportot) nézzük meg a portról érkező információkat:
sh hitelesítés se in Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessMost, ahogy ígértük, nézzünk meg néhány nem teljesen nyilvánvaló helyzetet. Például egy nem felügyelt kapcsolón (kapcsolón) keresztül kell csatlakoztatnunk a felhasználói számítógépeket és eszközöket. Ebben az esetben a portbeállítások így néznek ki:
portbeállítások váltása 802.1x gazdagép módú többszörös hitelesítési módban
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS egy nagyon furcsa hibát vettünk észre - ha egy ilyen kapcsolón keresztül kötötték a készüléket, majd egy menedzselt switch-re lett bedugva, akkor NEM fog működni, amíg újra nem indítjuk(!) a switchet. Más módot nem találtam. még megoldani ezt a problémát.
Egy másik pont a DHCP-vel kapcsolatban (ha ip dhcp snoopingot használnak) - ilyen opciók nélkül:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionValamiért nem tudom helyesen megkapni az IP-címet... bár ez lehet a DHCP-szerverünk sajátossága
A Mac OS és Linux (amelyek natív 802.1x támogatással rendelkeznek) pedig megpróbálják hitelesíteni a felhasználót, még akkor is, ha be van állítva a Mac-cím szerinti hitelesítés.
A cikk következő részében a 802.1x Wireless-hez való használatát nézzük meg (attól függően, hogy melyik csoporthoz tartozik a felhasználói fiók, „bedobjuk” a megfelelő hálózatba (vlan), bár csatlakozni fognak ugyanaz az SSID).
Forrás: will.com