🥇フォールトトレラント NPS (AD を使用した Windows RADIUS) を使用した Cisco スイッチでの 802.1X の構成

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)
ユーザー、ドメインコンピューター、デバイスのアクセス制御と認証に、Windows Active Directory + NPS (耐障害性を確保するための 2 台のサーバー) + 802.1x 標準の使用を実際に考えてみましょう。以下のリンクから、Wikipedia の標準に従った理論を知ることができます。 IEEE 802.1X

私の「研究室」はリソースが限られているため、NPS とドメインコントローラーの役割には互換性がありますが、それでもこのような重要なサービスを分離することをお勧めします。

Windows NPS 構成 (ポリシー) を同期する標準的な方法がわからないため、タスクスケジューラによって起動される PowerShell スクリプトを使用します (著者は私の元同僚です)。ドメインコンピュータの認証および認証できないデバイス用 802.1x (電話、プリンターなど)、グループポリシーが構成され、セキュリティグループが作成されます。

この記事の最後では、アンマネージドスイッチやダイナミック ACL などの使用方法など、802.1x の操作の複雑さについて説明します。捕らえられた「不具合」に関する情報も共有します。。

まず、Windows Server 2012R2 にフェールオーバー NPS をインストールして構成します (2016 ではすべて同じです)。サーバーマネージャー -> 役割と機能の追加ウィザードで、ネットワークポリシーサーバーのみを選択します。

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

または PowerShell を使用して:

Install-WindowsFeature NPAS -IncludeManagementTools

ちょっとした説明 - 以来 保護された EAP (PEAP) サーバーの信頼性を確認する証明書 (適切な使用権限を持つ) が必ず必要になります。この証明書はクライアントコンピューターで信頼されます。その場合、おそらく役割をインストールする必要があります。 認証局。しかし、次のように仮定します。 CA すでにインストールされています...

XNUMX 番目のサーバーでも同じことを行います。両方のサーバーに C:Scripts スクリプト用のフォルダーを作成し、XNUMX 番目のサーバーにネットワークフォルダーを作成しましょう。 SRV2NPS-config$

最初のサーバーで PowerShell スクリプトを作成しましょう C:ScriptsExport-NPS-config.ps1 次の内容で:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

この後、タスクシェデュラーでタスクを構成しましょう。エクスポート-NpsConfiguration　

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

すべてのユーザーに対して実行 - 最高の権限で実行
毎日 - タスクを 10 分ごとに繰り返します。 8時間以内

バックアップ NPS で、構成 (ポリシー) のインポートを構成します。
PowerShell スクリプトを作成しましょう。

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

そしてそれを 10 分ごとに実行するタスク:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

すべてのユーザーに対して実行 - 最高の権限で実行
毎日 - タスクを 10 分ごとに繰り返します。 8時間以内

ここで、確認するために、サーバー (!) の XNUMX つの NPS に、RADIUS クライアントのいくつかのスイッチ (IP と共有シークレット)、XNUMX つの接続要求ポリシーを追加しましょう。 有線接続 （条件：「NASポートタイプがEthernet」）かつ WiFi-エンタープライズ (条件:「NAS ポートのタイプが IEEE 802.11」)、およびネットワークポリシー Ciscoネットワークデバイスへのアクセス (ネットワーク管理者):

Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

スイッチ側では以下の設定を行います。

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

構成後 10 分後に、すべての clientpolicy パラメータがバックアップ NPS に表示され、domainsg-network-admins グループ (事前に作成した) のメンバーである ActiveDirectory アカウントを使用してスイッチにログインできるようになります。

Active Directory の設定に進みましょう。グループとパスワードのポリシーを作成し、必要なグループを作成します。

グループポリシー コンピュータ-8021x-設定:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies

NPS-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

セキュリティグループを作成しましょう sg-コンピューター-8021x-vl100ここで、VLAN 100 に配布するコンピューターを追加し、このグループに対して以前に作成したグループポリシーのフィルターを構成します。

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

「ネットワークと共有センター (ネットワークとインターネットの設定) – アダプター設定の変更 (アダプター設定の構成) – アダプターのプロパティ」を開くと、ポリシーが正常に機能していることを確認できます。ここで「認証」タブが表示されます。

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

ポリシーが正常に適用されたことを確認したら、NPS およびアクセスレベルスイッチポートでのネットワークポリシーの設定に進むことができます。

ネットワークポリシーを作成しましょう neag-コンピュータ-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

スイッチポートの一般的な設定 (データと音声の「マルチドメイン」認証タイプが使用されており、MAC アドレスによる認証の可能性もあります。「移行期間」中は、パラメーター：


authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

VLAN ID は「隔離」ID ではなく、正常にログインした後、すべてが正常に動作していることを確認するまで、ユーザーのコンピュータが移動する場所と同じ ID です。これらの同じパラメータは、他のシナリオでも使用できます。たとえば、管理対象外のスイッチがこのポートに接続されており、それに接続されている認証に合格していないすべてのデバイスを特定の VLAN (「隔離」) に分類する場合などです。

802.1x ホストモードマルチドメインモードのスイッチポート設定

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

次のコマンドを使用して、コンピュータと電話が認証に成功したことを確認できます。

sh authentication sessions int Gi1/0/39 det

次に、グループを作成しましょう (たとえば、 sg-fgpp-mab ) 電話用の Active Directory にアクセスし、テスト用にデバイスを XNUMX 台追加します (私の場合は グランドストリームGXP2160 マスアドレス付き 000b.82ba.a7b1 そしてそれぞれ。アカウント ドメイン 00b82baa7b1).

作成されたグループについては、パスワードポリシーの要件を下げます (次を使用します)。きめ細かいパスワードポリシー Active Directory 管理センター -> ドメイン -> システム -> パスワード設定コンテナ経由) を次のパラメータで実行します。 MAB のパスワード設定:

フェールオーバー NPS を使用した Cisco スイッチでの 802.1X の構成 (AD を使用した Windows RADIUS)

したがって、デバイスマスアドレスをパスワードとして使用できるようにします。この後、802.1x 認証方式 mab のネットワークポリシーを作成できます。これを neag-devices-8021x-voice と呼びます。パラメータは次のとおりです。

NAS ポートのタイプ – イーサネット
Windows グループ – sg-fgpp-mab
EAP タイプ: 非暗号化認証 (PAP、SPAP)
RADIUS 属性 – ベンダー固有: Cisco – Cisco-AV-Pair – 属性値: device-traffic-class=voice

認証が成功したら (スイッチポートの設定を忘れないでください)、ポートからの情報を見てみましょう。

sh 認証設定 Gi1/0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

さて、お約束どおり、完全には明らかではない状況をいくつか見てみましょう。たとえば、ユーザーのコンピューターとデバイスをアンマネージドスイッチ (スイッチ) 経由で接続する必要があります。この場合、ポート設定は次のようになります。

802.1x ホストモードマルチ認証モードのスイッチポート設定

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

PS: 非常に奇妙な不具合に気づきました - デバイスがそのようなスイッチを介して接続され、その後管理対象スイッチに接続された場合、スイッチを再起動 (!) するまで動作しません。他の方法は見つかりませんでした。この問題はまだ解決できません。

DHCP に関連するもう XNUMX つの点 (ip dhcp スヌーピングが使用されている場合) - そのようなオプションなし:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

何らかの理由で IP アドレスを正しく取得できません...これは DHCP サーバーの機能である可能性がありますが、

また、Mac OS および Linux (ネイティブ 802.1x サポートがある) は、Mac アドレスによる認証が設定されている場合でも、ユーザーの認証を試みます。

この記事の次の部分では、ワイヤレスでの 802.1x の使用について見ていきます (ユーザーアカウントが属するグループに応じて、対応するネットワーク (VLAN) に接続しますが、そのアカウントを対応するネットワーク (VLAN) に「投入」します。同じSSIDです）。

出所： habr.com