Mari pertimbangkan dalam praktiknya penggunaan Windows Active Directory + NPS (2 server untuk toleransi kesalahan) + standar 802.1x untuk kontrol akses dan otentikasi pengguna - komputer domain - perangkat. Anda dapat berkenalan dengan teori sesuai standar di Wikipedia, di tautan:
Karena "laboratorium" saya terbatas dalam sumber daya, peran NPS dan pengontrol domain kompatibel, tetapi saya menyarankan Anda untuk memisahkan layanan penting tersebut.
Saya tidak tahu cara standar untuk menyinkronkan konfigurasi (kebijakan) Windows NPS, jadi kami akan menggunakan skrip PowerShell yang diluncurkan oleh penjadwal tugas (penulisnya adalah mantan kolega saya). Untuk otentikasi komputer domain dan untuk perangkat yang tidak tahu caranya 802.1x (ponsel, printer, dll.), kebijakan grup akan dikonfigurasi dan grup keamanan akan dibuat.
Di akhir artikel saya akan berbicara tentang beberapa seluk-beluk bekerja dengan 802.1x - bagaimana Anda dapat menggunakan sakelar yang tidak dikelola, ACL dinamis, dll. Saya akan berbagi informasi tentang "gangguan" yang tertangkap ...
Mari kita mulai dengan menginstal dan mengkonfigurasi failover NPS di Windows Server 2012R2 (pada 2016 semuanya sama): melalui Server Manager -> Add Roles and Features Wizard, pilih hanya Network Policy Server.
atau dengan PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsKlarifikasi kecil - untuk EAP Terlindungi (PEAP) Anda pasti memerlukan sertifikat yang mengonfirmasi keaslian server (dengan hak penggunaan yang sesuai), yang akan dipercaya pada komputer klien, kemungkinan besar Anda juga perlu menginstal peran tersebut Otoritas Sertifikasi. Tapi kami akan menganggap itu CA anda sudah menginstal...
Mari lakukan hal yang sama di server kedua. Mari buat folder untuk skrip C:Scripts di kedua server dan folder jaringan di server kedua SRV2NPS-config$
Mari buat skrip PowerShell di server pertama C: ScriptsExport-NPS-config.ps1 dengan konten berikut:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Setelah itu, atur tugas di Penjadwal Tugas: βKonfigurasi Ekspor-Nps"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Jalankan untuk semua pengguna - Jalankan dengan hak istimewa tertinggi
Harian - Ulangi tugas setiap 10 menit. dalam waktu 8 jam
Pada NPS cadangan, konfigurasikan impor konfigurasi (kebijakan):
buat skrip PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1dan tugas untuk menjalankannya setiap 10 menit:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Jalankan untuk semua pengguna - Jalankan dengan hak istimewa tertinggi
Harian - Ulangi tugas setiap 10 menit. dalam waktu 8 jam
Sekarang, untuk verifikasi, mari tambahkan ke NPS di salah satu server (!) Beberapa sakelar di klien RADIUS (IP dan Shared Secret), dua kebijakan permintaan koneksi: Koneksi KABEL (Kondisi: βJenis port NAS adalah Ethernetβ) dan WiFi-Perusahaan (Kondisi: βJenis port NAS adalah IEEE 802.11β) dan kebijakan jaringan Akses Perangkat Jaringan Cisco (Admin Jaringan):
Π£ΡΠ»ΠΎΠ²ΠΈΡ:
ΠΡΡΠΏΠΏΡ Windows - domainsg-network-admins
ΠΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ:
ΠΠ΅ΡΠΎΠ΄Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡΠΈ - ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΠΎΡΠΊΡΡΡΡΠΌ ΡΠ΅ΠΊΡΡΠΎΠΌ (PAP, SPAP)
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ:
ΠΡΡΠΈΠ±ΡΡΡ RADIUS: Π‘ΡΠ°Π½Π΄Π°ΡΡ - Service-Type - Login
ΠΠ°Π²ΠΈΡΡΡΠΈΠ΅ ΠΎΡ ΠΏΠΎΡΡΠ°Π²ΡΠΈΠΊΠ° - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Di sisi sakelar, pengaturan berikut:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Setelah pengaturan, setelah 10 menit, semua pengaturan kebijakan akan muncul di NPS cadangan dan kami dapat masuk ke sakelar menggunakan akun ActiveDirectory, anggota grup domainsg-network-admins (yang kami buat sebelumnya).
Mari beralih ke konfigurasi Active Directory - buat grup dan kebijakan kata sandi, buat grup yang diperlukan.
Kebijakan grup Komputer-8021x-Pengaturan:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Buat grup keamanan sg-komputer-8021x-vl100, di mana kami akan menambahkan komputer yang ingin kami distribusikan ke vlan 100 dan menyiapkan pemfilteran untuk kebijakan grup yang dibuat sebelumnya untuk grup ini:
Anda dapat memastikan bahwa kebijakan berhasil dengan membuka "Jaringan dan Pusat Berbagi (Pengaturan Jaringan dan Internet) - Ubah pengaturan adaptor (Mengonfigurasi pengaturan adaptor) - Properti adaptor", di mana kita dapat melihat tab "Otentikasi":
Saat Anda yakin bahwa kebijakan berhasil diterapkan, Anda dapat melanjutkan untuk mengonfigurasi kebijakan jaringan pada NPS dan port sakelar tingkat akses.
Mari buat kebijakan jaringan negag-komputer-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Pengaturan umum untuk port sakelar (harap dicatat bahwa jenis otentikasi "multi-domain" digunakan - Data & Suara, dan ada juga kemungkinan otentikasi dengan alamat mac. Selama "masa transisi", masuk akal untuk digunakan di parameter:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id bukan "karantina", tetapi yang sama di mana komputer pengguna harus mendapatkan setelah berhasil masuk - sampai kami memastikan bahwa semuanya berfungsi sebagaimana mestinya. Parameter yang sama dapat digunakan dalam skenario lain, misalnya, ketika sakelar yang tidak dikelola dicolokkan ke port ini dan Anda ingin semua perangkat yang terhubung dengannya dan tidak diautentikasi jatuh ke dalam vlan ("karantina" tertentu).
alihkan pengaturan port dalam mode multi-domain mode host 802.1x
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitAnda dapat memastikan bahwa ponsel komputer telah berhasil melewati autentikasi dengan perintah:
sh authentication sessions int Gi1/0/39 detSekarang mari buat grup (misalnya, sg-fgpp-mab ) di Direktori Aktif untuk ponsel dan menambahkan satu perangkat uji ke dalamnya (dalam kasus saya, ini adalah Grandstream GXP2160 dengan alamat mas 000b.82ba.a7b1 dan mnrt. akun domain 00b82baa7b1).
Untuk grup yang dibuat, turunkan persyaratan kebijakan kata sandi (menggunakan melalui Pusat Administratif Direktori Aktif -> domain -> Sistem -> Wadah Pengaturan Kata Sandi) dengan parameter ini Pengaturan Kata Sandi untuk MAB:
sehingga memungkinkan kita untuk menggunakan alamat-mas perangkat sebagai kata sandi. Setelah itu kita bisa membuat network policy untuk otentikasi mab metode 802.1x, sebut saja neag-devices-8021x-voice. Parameternya adalah sebagai berikut:
- Jenis Port NAS - Ethernet
- Grup Windows - sg-fgpp-mab
- Jenis EAP: Otentikasi tidak terenkripsi (PAP, SPAP)
- Atribut RADIUS - Khusus Vendor: Cisco - Cisco-AV-Pair - Nilai atribut: device-traffic-class=voice
setelah otentikasi berhasil (jangan lupa untuk mengkonfigurasi port switch), mari kita lihat informasi dari port tersebut:
autentikasi sh terlihat di Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessSekarang, seperti yang dijanjikan, pertimbangkan beberapa situasi yang tidak terlalu jelas. Misalnya, kita perlu menghubungkan komputer dan perangkat pengguna melalui sakelar (sakelar) yang tidak dikelola. Dalam hal ini, pengaturan port untuknya akan terlihat seperti ini:
alihkan pengaturan port dalam mode multi-auth mode host 802.1x
interface GigabitEthernet1/0/1
description *SW β 802.1x β 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ΡΠ²Π΅Π»ΠΈΡΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ Π΄ΠΎΠΏΡΡΡΠΈΠΌΡΡ
ΠΌΠ°Ρ-Π°Π΄ΡΠ΅ΡΠΎΠ²
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! β ΡΠ΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Kesalahan yang sangat aneh terlihat - jika perangkat dihubungkan melalui sakelar seperti itu, dan kemudian dicolokkan ke sakelar yang dikelola, maka TIDAK akan berfungsi sampai kita mem-boot ulang (!) Sakelar. Saya belum menemukan cara lain untuk menyelesaikannya masalah ini.
Poin lain yang terkait dengan DHCP (jika ip dhcp snooping digunakan) - tanpa opsi ini:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionuntuk beberapa alasan, saya tidak bisa mendapatkan alamat ip yang benar ... meskipun ini mungkin merupakan fitur dari server DHCP kami
Juga, Mac OS & Linux (di mana dukungan 802.1x asli) mencoba mengautentikasi pengguna, bahkan jika otentikasi dengan alamat mac dikonfigurasi.
Di bagian artikel selanjutnya, kami akan mempertimbangkan penggunaan 802.1x untuk Nirkabel (bergantung pada grup tempat akun pengguna berada, kami akan "membuangnya" ke jaringan yang sesuai (vlan), meskipun mereka akan terhubung ke SSID yang sama).
Sumber: www.habr.com