Við skulum íhuga í reynd notkun Windows Active Directory + NPS (2 netþjónar til að tryggja bilanaþol) + 802.1x staðal fyrir aðgangsstýringu og auðkenningu notenda - lénstölva - tækja. Hægt er að kynna sér kenninguna samkvæmt staðlinum á Wikipedia, á hlekknum:
Þar sem „rannsóknarstofan“ mín er takmörkuð að tilföngum eru hlutverk NPS og lénsstýringar samhæfð, en ég mæli með að þú aðskiljir slíka mikilvæga þjónustu samt.
Ég þekki ekki staðlaðar leiðir til að samstilla Windows NPS stillingar (reglur), svo við munum nota PowerShell forskriftir sem settar eru af stað af verkefnaáætluninni (höfundurinn er fyrrverandi samstarfsmaður minn). Til auðkenningar á lénstölvum og fyrir tæki sem geta það ekki 802.1x (símar, prentarar o.s.frv.), hópstefna verður stillt og öryggishópar búnir til.
Í lok greinarinnar mun ég segja þér frá nokkrum af flækjum þess að vinna með 802.1x - hvernig þú getur notað óstýrða rofa, kraftmikla ACL o.s.frv. .
Byrjum á því að setja upp og stilla failover NPS á Windows Server 2012R2 (allt er eins árið 2016): í gegnum Server Manager -> Add Rolles and Features Wizard, veldu aðeins Network Policy Server.
eða með PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
Smá skýring - þar sem fyrir Varið EAP (PEAP) þú þarft örugglega vottorð sem staðfestir áreiðanleika þjónsins (með viðeigandi notkunarréttindum), sem verður treyst á tölvum viðskiptavinarins, þá þarftu líklegast að setja upp hlutverkið Vottunarstofa. En við munum gera ráð fyrir því CA þú ert nú þegar með það uppsett...
Gerum það sama á seinni þjóninum. Búum til möppu fyrir C:Scripts handritið á báðum netþjónum og netmöppu á seinni netþjóninum SRV2NPS-config$
Við skulum búa til PowerShell skriftu á fyrsta netþjóninum C:ScriptsExport-NPS-config.ps1 með eftirfarandi innihaldi:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Eftir þetta skulum við stilla verkefnið í Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Keyra fyrir alla notendur - Keyra með hæstu réttindi
Daglega - Endurtaktu verkefnið á 10 mínútna fresti. innan 8 klst
Á NPS öryggisafritinu skaltu stilla innflutning á stillingum (reglur):
Við skulum búa til PowerShell handrit:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
og verkefni til að framkvæma það á 10 mínútna fresti:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Keyra fyrir alla notendur - Keyra með hæstu réttindi
Daglega - Endurtaktu verkefnið á 10 mínútna fresti. innan 8 klst
Nú, til að athuga, skulum við bæta við NPS á einum af netþjónunum(!) nokkrum rofum í RADIUS viðskiptavinum (IP og Shared Secret), tveimur reglum um tengingarbeiðni: WIRED-Tengdu (Ástand: „NAS-tengi er Ethernet“) og WiFi-fyrirtæki (Ástand: „NAS-gáttartegund er IEEE 802.11“), sem og netstefna Fáðu aðgang að Cisco nettækjum (Netkerfisstjórar):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Á rofahliðinni eru eftirfarandi stillingar:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Eftir uppsetningu, eftir 10 mínútur, ættu allar stefnubreytur viðskiptavina að birtast á öryggisafritinu NPS og við munum geta skráð okkur inn á rofana með ActiveDirectory reikningi, meðlimur í domainsg-network-admins hópnum (sem við bjuggum til fyrirfram).
Við skulum halda áfram að setja upp Active Directory - búa til hópa og lykilorðsstefnur, búa til nauðsynlega hópa.
Hópstefna Tölvur-8021x-Stillingar:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Stofnum öryggishóp sg-tölvur-8021x-vl100, þar sem við munum bæta við tölvum sem við viljum dreifa í vlan 100 og stilla síun fyrir áður stofnaða hópstefnu fyrir þennan hóp:
Þú getur staðfest að stefnan hafi virkað með góðum árangri með því að opna „Net- og samnýtingarmiðstöð (net- og internetstillingar) – Breyta millistykkisstillingum (stillingar millistykkisstillingar) – Eiginleikar millistykkis“, þar sem við getum séð flipann „Auðkenning“:
Þegar þú ert sannfærður um að reglunni hafi verið beitt með góðum árangri geturðu haldið áfram að setja upp netstefnu á NPS og aðgangsstigsskiptatengi.
Við skulum búa til netstefnu neag-tölvur-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Dæmigerðar stillingar fyrir skiptatengi (vinsamlegast athugið að auðkenningartegundin „margir léna“ er notuð – Data & Voice, og það er líka möguleiki á auðkenningu með mac vistfangi. Á „aðlögunartímabilinu“ er skynsamlegt að nota í færibreytur:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan auðkennið er ekki „sóttkví“, heldur það sama þar sem tölva notandans ætti að fara eftir að hafa skráð sig inn - þar til við erum viss um að allt virki eins og það á að gera. Þessar sömu færibreytur er hægt að nota í öðrum tilfellum, til dæmis þegar óstýrður rofi er tengdur við þessa höfn og þú vilt að öll tæki sem tengd eru við hana sem hafa ekki staðist auðkenningu falli í ákveðið vlan ("sóttkví").
skipta um tengistillingar í 802.1x hýsingarstillingu fjöllénaham
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Þú getur gengið úr skugga um að tölvan þín og síminn hafi staðist auðkenningu með skipuninni:
sh authentication sessions int Gi1/0/39 det
Nú skulum við búa til hóp (td. sg-fgpp-mab ) í Active Directory fyrir síma og bættu einu tæki við það til að prófa (í mínu tilfelli er það Grandstream GXP2160 með mas heimilisfang 000b.82ba.a7b1 og viðskrh. reikning lén 00b82baa7b1).
Fyrir stofnaða hópinn munum við lækka kröfur um lykilorðastefnu (með því að nota
Þannig munum við leyfa notkun á mas heimilisföngum tækisins sem lykilorð. Eftir þetta getum við búið til netstefnu fyrir 802.1x auðkenningaraðferð mab, við skulum kalla það neag-devices-8021x-voice. Færibreyturnar eru sem hér segir:
- Tegund NAS tengi - Ethernet
- Windows hópar – sg-fgpp-mab
- EAP gerðir: Ódulkóðuð auðkenning (PAP, SPAP)
- RADIUS-eiginleikar – sérstakur söluaðili: Cisco – Cisco-AV-Pair – Eiginleikagildi: device-traffic-class=voice
Eftir árangursríka auðkenningu (ekki gleyma að stilla skiptigáttina), skulum við skoða upplýsingarnar frá höfninni:
sh auðkenningarsett Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Nú, eins og lofað var, skulum við líta á nokkrar ekki alveg augljósar aðstæður. Til dæmis þurfum við að tengja notendatölvur og tæki í gegnum óstýrðan rofa (rofa). Í þessu tilviki munu portstillingar fyrir það líta svona út:
skipta um tengistillingar í 802.1x hýsilstillingu fjölauðkenningarham
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS við tókum eftir mjög undarlegum bilun - ef tækið var tengt í gegnum svona rofa, og þá var það tengt við stýrðan rofa, þá virkar hann EKKI fyrr en við endurræsum(!) rofann. Ég hef ekki fundið neinar aðrar leiðir að leysa þetta vandamál enn.
Annar punktur sem tengist DHCP (ef ip dhcp snooping er notað) - án slíkra valkosta:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Af einhverjum ástæðum get ég ekki fengið IP töluna rétt... þó að þetta gæti verið eiginleiki DHCP netþjónsins okkar
Og Mac OS og Linux (sem hafa innfæddan 802.1x stuðning) reyna að auðkenna notandann, jafnvel þótt auðkenning með Mac vistfangi sé stillt.
Í næsta hluta greinarinnar munum við skoða notkun 802.1x fyrir þráðlaust (fer eftir hópnum sem notendareikningurinn tilheyrir, við munum „henda“ honum inn á samsvarandi net (vlan), þó að þeir muni tengjast við sama SSID).
Heimild: www.habr.com