Ka em di pratîkê de karanîna Windows Active Directory + NPS (2 pêşkêşker ji bo dabînkirina tolerasyona xeletiyê) + standard 802.1x ji bo kontrolkirina gihîştinê û rastkirina bikarhêneran - komputerên domain - cîhazan bifikirin. Hûn dikarin bi teoriya li gorî standarda Wîkîpediya, li ser lînkê nas bikin:
Ji ber ku "laboratora" min di çavkaniyan de tixûbdar e, rolên NPS û kontrolkerê domainê lihevhatî ne, lê ez pêşniyar dikim ku hûn hîn jî karûbarên weha krîtîk ji hev veqetînin.
Ez awayên standard ên hevdengkirina mîhengên NPS-ê yên Windows-ê (polîtîkayan) nizanim, ji ber vê yekê em ê nivîsarên PowerShell-ê yên ku ji hêla plansazkerê peywirê ve hatî destpêkirin bikar bînin (nivîskar hevkarê min ê berê ye). Ji bo rastkirina komputerên domainê û ji bo cîhazên ku nikarin 802.1x (telefon, çaper, hwd.), Siyaseta komê dê were mîheng kirin û komên ewlehiyê dê bêne afirandin.
Di dawiya gotarê de, ez ê ji we re li ser hin tevliheviyên xebata bi 802.1x re vebêjim - hûn çawa dikarin guheztinên nerêveber, ACL-yên dînamîkî, hwd bikar bînin. .
Werin em bi sazkirin û mîhengkirina failover NPS-ê li ser Windows Server 2012R2 dest pê bikin (di sala 2016-an de her tişt yek e): bi Rêvebirê Pêşkêşkar -> Rol û Taybetmendiyan Zêde bikin, tenê Pêşkêşkara Siyaseta Torgilokê hilbijêrin.
an jî PowerShell bikar bînin:
Install-WindowsFeature NPAS -IncludeManagementToolsZelaliyek piçûk - ji ber ku ji bo EAP parastî (PEAP) hûn ê bê guman hewceyê sertîfîkayek ku rastiya serverê piştrast dike (bi mafên karanîna guncan re), ku dê li ser komputerên xerîdar were pêbawer kirin, wê hingê hûn ê bi îhtîmalek mezin hewce bikin ku hûn rola saz bikin Desteya Sertîfîkayê. Lê em ê wisa texmîn bikin CA te ew jixwe saz kiriye...
Werin em heman tiştî li ser servera duyemîn bikin. Ka em peldankek ji bo skrîpta C: Scripts li ser her du pêşkêşkeran û peldankek torê li ser servera duyemîn biafirînin. SRV2NPS-config$
Werin em li ser servera yekem skrîptek PowerShell biafirînin C:ScriptsExport-NPS-config.ps1 bi naveroka jêrîn:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Piştî vê yekê, werin em peywirê di Task Sheduler de mîheng bikin: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Ji bo hemî bikarhêneran bixebitin - Bi mafên herî bilind bixebitin
Rojane - Karê her 10 hûrdem dubare bikin. di nav 8 saetan de
Li ser NPS-ya hilanînê, importa veavakirinê (polîtîkayan) mîheng bikin:
Ka em skrîptek PowerShell biafirînin:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1û peywirek ku wê her 10 hûrdeman pêk bîne:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Ji bo hemî bikarhêneran bixebitin - Bi mafên herî bilind bixebitin
Rojane - Karê her 10 hûrdem dubare bikin. di nav 8 saetan de
Naha, ji bo kontrolkirinê, em li NPS-ê li ser yek ji serveran (!) li xerîdarên RADIUS (IP û Veşartî ya Hevbeş), du guheztinan zêde bikin, du polîtîkayên daxwaza girêdanê: WIRED-Girêdan (Şert: "Cûreya porta NAS Ethernet e") û WiFi-Enterprise (Şert: "Cûreya porta NAS IEEE 802.11 e"), û her weha polîtîkaya torê Gihîştina Amûrên Tora Cisco (Rêvebirên Torê):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Li aliyê veguherînê, mîhengên jêrîn:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Piştî veavakirinê, piştî 10 hûrdeman, divê hemî parametreyên muwekîlêspolîcy li ser NPS-ya hilanînê xuya bibin û em ê karibin bi karanîna hesabek ActiveDirectory, endamek koma domainsg-tora-rêvebiran (ya ku me pêş de çêkiriye) têkevin guhêzbaran.
Ka em biçin sazkirina Active Directory - Polîtîkayên kom û şîfreyê biafirînin, komên pêwîst biafirînin.
Polîtîkaya Koma Computer-8021x-Settings:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Werin em komek ewlehiyê ava bikin sg-computers-8021x-vl100, li ku derê em ê komputerên ku em dixwazin li vlan 100 belav bikin lê zêde bikin û fîlterkirinê ji bo polîtîkaya koma berê hatî afirandin ji bo vê komê mîheng bikin:
Hûn dikarin bi vekirina "Navenda Torê û Parvekirinê (Mîhengên Torê û Înternetê) - Guhertina mîhengên adapterê (Mîhengkirina mîhengên adapterê) - Taybetmendiyên adapterê verast bikin ku polîtîka bi serfirazî xebitiye, li wir em dikarin tabloya "Rastkirin" bibînin:
Gava ku hûn pê bawer bin ku polîtîka bi serfirazî tê sepandin, hûn dikarin li ser portên guheztina asta gihîştinê û NPS-ê sîyaseta torê saz bikin.
Ka em polîtîkayek torê ava bikin neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Mîhengên tîpîk ên ji bo porta veguheztinê (ji kerema xwe bala xwe bidin ku celebê rastkirina "pir-domain" tê bikar anîn - Dane û Deng, û di heman demê de îhtîmala piştrastkirina bi navnîşana mac jî heye. Di dema "serdema veguheztinê" de wateya karanîna di parametre:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Nasnameya vlan ne "karantînek" e, lê heman yek e ku komputera bikarhêner piştî têketina serketî biçe - heya ku em pê ewle bin ku her tişt wekî ku divê dixebite. Van heman pîvanan dikarin di senaryoyên din de werin bikar anîn, mînakî, gava ku guhezek nebirêvebir di vê portê de tê girêdan û hûn dixwazin ku hemî cîhazên pê ve girêdayî yên ku ji erêkirinê derbaz nebûne bikevin nav hin vlan ("karantîn").
mîhengên portê biguherînin di moda pir-domainê ya 802.1x de
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitHûn dikarin bi fermanê piştrast bikin ku komputer û têlefona we bi serfirazî verastkirinê derbas kiriye:
sh authentication sessions int Gi1/0/39 detNaha em grûbek çêbikin (mînak, sg-fgpp-mab ) di Active Directory de ji bo têlefonan û amûrek ji bo ceribandinê lê zêde bikin (di doza min de ew e Grandstream GXP2160 bi navnîşana mas 000b.82ba.a7b1 û resp. konto domain 00b82baa7b1).
Ji bo koma hatî afirandin, em ê daxwazên polîtîkaya şîfreyê kêm bikin (bikaranîna bi rêya Navenda Rêveberiyê ya Active Directory -> domain -> Pergal -> Konteynirê Mîhengên Şîfreyê) bi pîvanên jêrîn Şîfre-Settings-bo-MAB:
Bi vî rengî, em ê destûrê bidin ku navnîşanên mas ên cîhazê wekî şîfre bikar bînin. Piştî vê yekê em dikarin ji bo 802.1x-rêbaza erêkirina mab polîtîkaya torê biafirînin, em jê re bibêjin neag-devices-8021x-voice. Parametre wiha ne:
- NAS Port Type - Ethernet
- Komên Windows - sg-fgpp-mab
- Cureyên EAP: Nasnameya neşîfrekirî (PAP, SPAP)
- Taybetmendiyên RADIUS - Taybetmendiya Firoşkar: Cisco - Cisco-AV-Pair - Nirxa taybetmendiyê: amûr-trafîk-class = deng
Piştî pejirandina serketî (ji bîr nekin ku porta veguherînê mîheng bikin), em li agahdariya ji portê binêrin:
sh authentication int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessNaha, wekî ku soz daye, em li çend rewşên ne bi tevahî ne diyar binêrin. Mînakî, pêdivî ye ku em komputer û cîhazên bikarhêner bi navgînek (veguhezek) nerêveber ve girêbidin. Di vê rewşê de, mîhengên portê ji bo wê dê bi vî rengî xuya bikin:
mîhengên portê biguhezînin di moda pir-desthilatdar a 802.1x-moda mêvandar de
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS me xeletiyek pir ecêb dît - heke cîhaz bi veguhezek wusa ve hatibe girêdan, û dûv re ew bi guhezek rêvekirî ve were girêdan, wê hingê ew ê nexebite heya ku em ji nû ve (!) veguhezînin. Min rêyên din nedît ji bo çareserkirina vê pirsgirêkê hê.
Xalek din a ku bi DHCP-ê ve girêdayî ye (heke şopandina ip dhcp were bikar anîn) - bêyî vebijarkên weha:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionJi ber hin sedeman ez nikarim navnîşana IP-ya rast bistînim... her çend ev dibe ku taybetmendiyek servera meya DHCP be
Û Mac OS & Linux (yên ku xwedan piştgiriya 802.1x ya xwemalî ne) hewl didin ku bikarhêner rast bikin, hetta ku rastkirina ji hêla navnîşana Mac-ê ve hatî mîheng kirin.
Di beşa paşîn a gotarê de, em ê li karanîna 802.1x-ê ji bo Wireless-ê binihêrin (li gorî koma ku hesabê bikarhêner tê de ye, em ê wê "avêjin" nav tora têkildar (vlan), her çend ew ê bi heman SSID).
Source: www.habr.com