Եկեք գործնականում դիտարկենք Windows Active Directory + NPS (2 սերվեր՝ անսարքության հանդուրժողականություն ապահովելու համար) + 802.1x ստանդարտի օգտագործումը օգտատերերի՝ տիրույթի համակարգիչներ - սարքերի մուտքի վերահսկման և նույնականացման համար: Տեսությանը ըստ ստանդարտի կարող եք ծանոթանալ Վիքիպեդիայում՝ հղումով՝
Քանի որ իմ «լաբորատորիան» սահմանափակ է ռեսուրսներով, NPS-ի և տիրույթի վերահսկիչի դերերը համատեղելի են, բայց ես խորհուրդ եմ տալիս, որ դուք դեռ առանձնացնեք նման կարևոր ծառայությունները:
Ես չգիտեմ Windows NPS կոնֆիգուրացիաները (քաղաքականությունը) համաժամեցնելու ստանդարտ եղանակներ, այնպես որ մենք կօգտագործենք PowerShell սկրիպտները, որոնք գործարկվել են առաջադրանքների ժամանակացույցի կողմից (հեղինակը իմ նախկին գործընկերն է): Դոմեյն համակարգիչների և սարքերի նույնականացման համար, որոնք չեն կարող 802.1x (հեռախոսներ, տպիչներ և այլն), խմբային քաղաքականությունը կկարգավորվի և կստեղծվեն անվտանգության խմբեր:
Հոդվածի վերջում ես ձեզ կպատմեմ 802.1x-ի հետ աշխատելու որոշ բարդությունների մասին. ինչպես կարող եք օգտագործել չկառավարվող անջատիչներ, դինամիկ ACL-ներ և այլն: .
Սկսենք Windows Server 2012R2-ում failover NPS-ի տեղադրմամբ և կազմաձևմամբ (2016-ին ամեն ինչ նույնն է).
կամ օգտագործելով PowerShell.
Install-WindowsFeature NPAS -IncludeManagementToolsՄի փոքր պարզաբանում - քանի որ համար Պաշտպանված EAP (PEAP) Ձեզ անպայման պետք է սերվերի իսկությունը հաստատող վկայագիր (օգտագործման համապատասխան իրավունքներով), որը վստահված կլինի հաճախորդի համակարգիչներին, ապա, ամենայն հավանականությամբ, ձեզ անհրաժեշտ կլինի տեղադրել դերը Սերտիֆիկացման մարմինը. Բայց մենք դա կենթադրենք CA դուք արդեն տեղադրել եք այն...
Եկեք նույնն անենք երկրորդ սերվերի վրա: Եկեք ստեղծենք թղթապանակ C:Scripts սցենարի համար երկու սերվերների վրա և ցանցային թղթապանակ երկրորդ սերվերի վրա: SRV2NPS-config$
Եկեք ստեղծենք PowerShell սցենար առաջին սերվերի վրա C:ScriptsExport-NPS-config.ps1 հետևյալ բովանդակությամբ.
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Դրանից հետո եկեք կարգավորենք առաջադրանքը Task Sheduler-ում.Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Գործարկել բոլոր օգտատերերի համար - Գործարկել ամենաբարձր իրավունքները
Ամենօրյա - Կրկնեք առաջադրանքը յուրաքանչյուր 10 րոպեն մեկ: 8 ժամվա ընթացքում
Պահուստային NPS-ում կարգավորեք կազմաձևի ներմուծումը (քաղաքականությունը).
Եկեք ստեղծենք PowerShell սցենար.
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1և յուրաքանչյուր 10 րոպեն մեկ կատարել առաջադրանք.
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Գործարկել բոլոր օգտատերերի համար - Գործարկել ամենաբարձր իրավունքները
Ամենօրյա - Կրկնեք առաջադրանքը յուրաքանչյուր 10 րոպեն մեկ: 8 ժամվա ընթացքում
Այժմ, ստուգելու համար, եկեք սերվերներից մեկի վրա (!) NPS-ին ավելացնենք մի քանի փոխարկիչ RADIUS հաճախորդների (IP և Shared Secret), երկու կապի հարցումների քաղաքականություն. WIRED-Միացեք (Պայմանը՝ «NAS port type is Ethernet») և WiFi-Ձեռնարկություն (Պայմանը՝ «NAS port type is IEEE 802.11»), ինչպես նաև ցանցային քաղաքականություն Մուտք գործեք Cisco ցանցային սարքեր (Ցանցի ադմինիստրատորներ):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Անջատիչի կողմում հետևյալ պարամետրերը.
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Կազմաձևելուց հետո, 10 րոպե հետո, բոլոր clientspolicyparameters-ները պետք է հայտնվեն պահուստային NPS-ում, և մենք կկարողանանք մուտք գործել անջատիչներ՝ օգտագործելով ActiveDirectory հաշիվը՝ domainsg-network-admins խմբի անդամ (որը մենք նախապես ստեղծել ենք):
Եկեք անցնենք Active Directory-ի ստեղծմանը` ստեղծել խմբերի և գաղտնաբառերի քաղաքականություն, ստեղծել անհրաժեշտ խմբեր:
Խմբային քաղաքականություն Համակարգիչներ-8021x-Կարգավորումներ:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Եկեք ստեղծենք անվտանգության խումբ sg-computers-8021x-vl100, որտեղ մենք կավելացնենք համակարգիչներ, որոնք ցանկանում ենք բաշխել vlan 100-ին և կարգավորել զտումը այս խմբի համար նախկինում ստեղծված խմբի քաղաքականության համար.
Դուք կարող եք ստուգել, որ քաղաքականությունը հաջողությամբ աշխատել է՝ բացելով «Ցանցի և համօգտագործման կենտրոնը (Ցանց և ինտերնետի կարգավորումներ) – Փոխելով ադապտերների կարգավորումները (ադապտերների կարգավորումներ) – Ադապտերի հատկությունները», որտեղ մենք կարող ենք տեսնել «Նույնականացում» ներդիրը.
Երբ համոզված լինեք, որ քաղաքականությունը հաջողությամբ կիրառվել է, կարող եք անցնել ցանցային քաղաքականության կարգավորումը NPS-ի և մուտքի մակարդակի անջատիչ պորտերի վրա:
Եկեք ստեղծենք ցանցային քաղաքականություն neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Անջատիչի պորտի բնորոշ կարգավորումները (նկատի ունեցեք, որ օգտագործվում է «բազմադոմեն» նույնականացման տեսակը՝ Տվյալներ և ձայն, ինչպես նաև կա նույնականացման հնարավորություն mac հասցեով: «Անցումային շրջանում» իմաստ ունի օգտագործել պարամետրեր:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan ID-ն «կարանտին» չէ, այլ այն նույնը, որտեղ օգտագործողի համակարգիչը հաջողությամբ մուտք գործելուց հետո պետք է գնա, քանի դեռ մենք համոզված չենք, որ ամեն ինչ աշխատում է այնպես, ինչպես պետք է: Այս նույն պարամետրերը կարող են օգտագործվել այլ սցենարներում, օրինակ, երբ չկառավարվող անջատիչը միացված է այս պորտին, և դուք ցանկանում եք, որ դրան միացված բոլոր սարքերը, որոնք վավերացում չեն անցել, ընկնեն որոշակի vlan («կարանտին»):
միացնել պորտի կարգավորումները 802.1x հոսթ-ռեժիմի բազմադոմեյն ռեժիմում
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitԿարող եք համոզվել, որ ձեր համակարգիչը և հեռախոսը հաջողությամբ անցել են նույնականացումը՝ հրամանի միջոցով.
sh authentication sessions int Gi1/0/39 detՀիմա եկեք ստեղծենք խումբ (օրինակ. sg-fgpp-mab ) Active Directory-ում հեռախոսների համար և ավելացրեք մեկ սարք՝ փորձարկման համար (իմ դեպքում դա այդպես է Grandstream GXP2160 մաս հասցեով 000b.82ba.a7b1 և ընդ. հաշիվ տիրույթ 00b82baa7b1).
Ստեղծված խմբի համար մենք կիջեցնենք գաղտնաբառի քաղաքականության պահանջները (օգտագործելով Active Directory Administrative Center-ի միջոցով -> տիրույթ -> Համակարգ -> Գաղտնաբառի կարգավորումների կոնտեյներ) հետևյալ պարամետրերով Գաղտնաբառ-Կարգավորումներ-MAB-ի համար:
Այսպիսով, մենք թույլ կտանք սարքի mas հասցեների օգտագործումը որպես գաղտնաբառ: Դրանից հետո մենք կարող ենք ստեղծել ցանցային քաղաքականություն 802.1x մեթոդով mab վավերացման համար, եկեք այն անվանենք neag-devices-8021x-voice: Պարամետրերը հետևյալն են.
- NAS Port Type – Ethernet
- Windows Խմբեր – sg-fgpp-mab
- EAP տեսակները՝ չգաղտնագրված նույնականացում (PAP, SPAP)
- RADIUS ատրիբուտներ – Մատակարարի հատուկ. Cisco – Cisco-AV-Pair – Հատկանիշի արժեքը՝ սարքի տրաֆիկ դասակարգ=ձայն
Հաջող նույնականացումից հետո (մի մոռացեք կարգավորել անջատիչի պորտը), եկեք նայենք պորտից ստացված տեղեկատվությանը.
sh authentication se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessԱյժմ, ինչպես խոստացել էինք, եկեք նայենք մի քանի ոչ բոլորովին ակնհայտ իրավիճակների: Օրինակ, մենք պետք է միացնենք օգտվողի համակարգիչները և սարքերը չկառավարվող անջատիչի (անջատիչի) միջոցով: Այս դեպքում դրա համար պորտի կարգավորումները կունենան հետևյալ տեսքը.
միացնել պորտի կարգավորումները 802.1x հոսթ-ռեժիմի բազմահաստատման ռեժիմում
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuՀ.Գ. Մենք նկատեցինք շատ տարօրինակ անսարքություն. եթե սարքը միացված էր նման անջատիչի միջոցով, այնուհետև այն միացված էր կառավարվող անջատիչին, ապա այն ՉԻ աշխատի մինչև չվերագործարկենք (!) անջատիչը: Ես այլ ուղիներ չեմ գտել: այս խնդիրը դեռ լուծելու համար։
DHCP-ի հետ կապված ևս մեկ կետ (եթե օգտագործվում է ip dhcp snooping) - առանց այդպիսի ընտրանքների.
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionԻնչ-ինչ պատճառներով ես չեմ կարող ճիշտ ստանալ IP հասցեն... չնայած դա կարող է լինել մեր DHCP սերվերի առանձնահատկությունը
Եվ Mac OS-ը և Linux-ը (որոնք ունեն բնիկ 802.1x աջակցություն) փորձում են նույնականացնել օգտատիրոջը, նույնիսկ եթե նույնականացումը Mac հասցեով կազմաձևված է:
Հոդվածի հաջորդ մասում մենք կանդրադառնանք 802.1x-ի օգտագործմանը Wireless-ի համար (կախված այն խմբից, որին պատկանում է օգտատիրոջ հաշիվը, մենք այն «կգցենք» համապատասխան ցանց (vlan), թեև դրանք կմիանան նույն SSID):
Source: www.habr.com