Іс жүзінде Windows Active Directory + NPS (ақауларға төзімділікті қамтамасыз ету үшін 2 сервер) + 802.1x стандартын қолданушылардың – домендік компьютерлердің – құрылғылардың қол жеткізуді басқару және аутентификациясын қолдануды қарастырайық. Теориямен стандарт бойынша Wikipedia сайтында мына сілтеме бойынша таныса аласыз:
Менің «зертханам» ресурстарда шектеулі болғандықтан, NPS және домен контроллерінің рөлдері үйлесімді, бірақ мен әлі де осындай маңызды қызметтерді бөлуді ұсынамын.
Мен Windows NPS конфигурацияларын (саясаттарын) үндестірудің стандартты жолдарын білмеймін, сондықтан біз тапсырмаларды жоспарлаушы (автор менің бұрынғы әріптесім) іске қосқан PowerShell сценарийлерін қолданамыз. Домендік компьютерлердің аутентификациясы үшін және мүмкін емес құрылғылар үшін 802.1x (телефондар, принтерлер және т.б.), топтық саясат конфигурацияланады және қауіпсіздік топтары жасалады.
Мақаланың соңында мен 802.1x-пен жұмыс істеудің кейбір қыр-сырлары туралы айтып беремін - басқарылмайтын қосқыштарды, динамикалық ACL-лерді және т.б. қалай пайдалануға болады. Мен ұсталған «ақаулар» туралы ақпаратпен бөлісемін. .
Windows Server 2012R2 жүйесінде ауыстырмалы NPS орнату және теңшеуден бастайық (2016 жылы бәрі бірдей): Сервер реттеушісі -> Рөлдер мен мүмкіндіктерді қосу шебері арқылы тек желі саясаты серверін таңдаңыз.
немесе PowerShell көмегімен:
Install-WindowsFeature NPAS -IncludeManagementToolsШағын түсініктеме - бері Қорғалған EAP (PEAP) Сізге міндетті түрде сервердің түпнұсқалығын растайтын сертификат қажет болады (тиісті пайдалану құқығы бар), ол клиенттік компьютерлерде сенімді болады, содан кейін сізге рөлді орнату қажет болуы мүмкін. Сертификаттау орталығы. Бірақ біз мұны болжаймыз CA Сіз оны әлдеқашан орнатқансыз...
Екінші серверде де солай істейік. Екі серверде де C:Scripts сценарийі үшін қалтаны және екінші серверде желілік қалтаны жасайық SRV2NPS-конфигурация$
Бірінші серверде PowerShell сценарийін жасайық C:ScriptsExport-NPS-config.ps1 келесі мазмұндағы:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Осыдан кейін тапсырманы Тапсырмаларды реттеушіде конфигурациялайық: «Экспорт-NpsConfiguration«
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Барлық пайдаланушылар үшін іске қосу - Ең жоғары құқықтармен іске қосыңыз
Күнделікті - Тапсырманы әр 10 минут сайын қайталаңыз. 8 сағат ішінде
NPS сақтық көшірмесінде конфигурацияның (саясаттардың) импортын конфигурациялаңыз:
PowerShell сценарийін жасайық:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1және оны әр 10 минут сайын орындау тапсырмасы:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Барлық пайдаланушылар үшін іске қосу - Ең жоғары құқықтармен іске қосыңыз
Күнделікті - Тапсырманы әр 10 минут сайын қайталаңыз. 8 сағат ішінде
Енді тексеру үшін NPS-ке серверлердің бірінде(!) RADIUS клиенттеріндегі бірнеше қосқыштарды (IP және ортақ құпия), қосылым сұрауының екі саясатын қосамыз: СЫМДЫ-Қосылу (Жағдай: «NAS порт түрі - Ethernet») және WiFi-Кәсіпорын (Жағдайы: «NAS порт түрі - IEEE 802.11»), сондай-ақ желі саясаты Cisco желілік құрылғыларына кіру (Желі әкімшілері):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Коммутатор жағында келесі параметрлер:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Конфигурациядан кейін, 10 минуттан кейін, барлық клиенттер саясаты параметрлері сақтық көшірме NPS жүйесінде пайда болуы керек және біз қосқыштарға domainsg-network-admins тобының мүшесі (біз алдын ала жасаған) ActiveDirectory тіркелгісі арқылы кіре аламыз.
Active Directory орнатуға көшейік - топтық және құпия сөз саясаттарын құру, қажетті топтарды құру.
Топтық саясат Компьютерлер-8021x-Параметрлер:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Қауіпсіздік тобын құрайық sg-компьютерлері-8021x-vl100, мұнда біз vlan 100 жүйесіне таратқымыз келетін компьютерлерді қосамыз және осы топ үшін бұрын жасалған топ саясаты үшін сүзуді теңшейтін боламыз:
Саясаттың сәтті жұмыс істегенін «Желі және ортақ пайдалану орталығы (Желі және Интернет параметрлері) – Адаптер параметрлерін өзгерту (адаптер параметрлерін конфигурациялау) – Адаптер сипаттары» ашу арқылы тексеруге болады, мұнда «Аутентификация» қойындысын көруге болады:
Саясаттың сәтті қолданылғанына көз жеткізген кезде, NPS және кіру деңгейінің қосқыш порттарында желі саясатын орнатуға кірісуге болады.
Желі саясатын жасайық neag-компьютерлері-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Коммутатор портының әдеттегі параметрлері («көп домендік» аутентификация түрі қолданылатынын ескеріңіз – Деректер және дауыс, сонымен қатар Mac мекенжайы бойынша аутентификация мүмкіндігі бар. «Өтпелі кезең» кезінде оны пайдалану мағынасы бар. параметрлер:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan идентификаторы «карантиндік» емес, ол сәтті жүйеге кіргеннен кейін пайдаланушы компьютері баруы керек - бәрі дұрыс жұмыс істейтініне сенімді болғанша. Дәл осы параметрлерді басқа сценарийлерде қолдануға болады, мысалы, басқарылмайтын қосқыш осы портқа қосылғанда және аутентификациядан өтпеген оған қосылған барлық құрылғылардың белгілі бір vlan («карантин») ішіне түсуін қаласаңыз.
802.1x хост режиміндегі көп домен режимінде порт параметрлерін ауыстырыңыз
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitКомпьютер мен телефонның аутентификациядан сәтті өткеніне мына пәрмен арқылы көз жеткізуге болады:
sh authentication sessions int Gi1/0/39 detЕнді топ құрайық (мысалы, sg-fgpp-mab ) телефондарға арналған Active Directory ішінде және тестілеу үшін оған бір құрылғы қосыңыз (менің жағдайда бұл Grandstream GXP2160 мекен-жайы бар 000b.82ba.a7b1 және жауап. есептік жазба домен 00b82baa7b1).
Құрылған топ үшін құпия сөз саясатының талаптарын төмендетеміз (пайдалану Active Directory әкімшілік орталығы арқылы -> домен -> Жүйе -> Құпия сөз параметрлері контейнері) келесі параметрлермен MAB үшін құпиясөз-параметрлер:
Осылайша, біз құрылғының мекенжайларын құпия сөз ретінде пайдалануға рұқсат етеміз. Осыдан кейін біз 802.1x әдісі mab аутентификациясы үшін желі саясатын жасай аламыз, оны neag-devices-8021x-voice деп атаймыз. Параметрлер келесідей:
- NAS портының түрі – Ethernet
- Windows топтары – sg-fgpp-mab
- EAP түрлері: шифрланбаған аутентификация (PAP, SPAP)
- RADIUS төлсипаттары – Жеткізушіге тән: Cisco – Cisco-AV-Pair – төлсипат мәні: құрылғы-трафик-класс=дауыс
Сәтті аутентификациядан кейін (коммутатор портын конфигурациялауды ұмытпаңыз), порттағы ақпаратты қарастырайық:
sh аутентификация se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessЕнді, уәде етілгендей, анық емес бірнеше жағдайды қарастырайық. Мысалы, пайдаланушы компьютерлері мен құрылғыларын басқарылмайтын қосқыш (қосқыш) арқылы қосуымыз керек. Бұл жағдайда порт параметрлері келесідей болады:
802.1x хост режимінің көп аутентификация режимінде порт параметрлерін ауыстырыңыз
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS біз өте оғаш ақаулықты байқадық – егер құрылғы осындай қосқыш арқылы қосылған болса, содан кейін ол басқарылатын коммутаторға қосылған болса, біз ауыстырып-қосқышты қайта жүктегенше(!) ЖҰМЫС ЕМЕС.Мен басқа жолдарды таппадым. бұл мәселені әлі шешу үшін.
DHCP-ге қатысты тағы бір нүкте (егер ip dhcp snooping пайдаланылса) - мұндай опцияларсыз:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionҚандай да бір себептермен мен IP мекенжайын дұрыс ала алмаймын... дегенмен, бұл DHCP серверінің мүмкіндігі болуы мүмкін
Ал Mac OS & Linux (олардың 802.1x нұсқасын қолдауы бар) Mac мекенжайы бойынша аутентификация конфигурацияланған болса да, пайдаланушыны аутентификациялауға тырысады.
Мақаланың келесі бөлігінде біз сымсыз байланыс үшін 802.1x пайдалануды қарастырамыз (пайдаланушы тіркелгісі қай топқа жататынына байланысты, біз оны сәйкес желіге (vlan) «лақтырамыз», бірақ олар қосылатын болады). бірдей SSID).
Ақпарат көзі: www.habr.com