Келгиле, Windows Active Directory + NPS (кемчиликке чыдамдуулукту камсыз кылуу үчүн 2 сервер) + 802.1x стандартын колдонууну жана колдонуучулардын - домендик компьютерлердин - түзүлүштөрдүн аутентификациясын карап көрөлү. Теория менен стандарт боюнча Wikipediaдан тааныша аласыз, шилтеме:
Менин "лабораториям" ресурстарда чектелгендиктен, NPS менен домен контроллеринин ролдору бири-бирине шайкеш келет, бирок мен дагы эле ушундай маанилүү кызматтарды бөлүп алууну сунуштайм.
Мен Windows NPS конфигурацияларын (саясаттарын) синхрондоштуруунун стандарттуу жолдорун билбейм, ошондуктан биз тапшырма пландоочу тарабынан ишке киргизилген PowerShell скрипттерин колдонобуз (автору менин мурунку кесиптешим). Домендик компьютерлердин аутентификациясы үчүн жана мүмкүн эмес түзмөктөр үчүн 802.1x (телефондор, принтерлер ж.б.), топ саясаты конфигурацияланат жана коопсуздук топтору түзүлөт.
Макаланын аягында мен сизге 802.1x менен иштөөнүн кээ бир татаалдыктары жөнүндө айтып берем - сиз башкарылбаган которгучтарды, динамикалык ACLлерди, ж.б. кантип колдонсоңуз болот. .
Келгиле, Windows Server 2012R2де иштебей калган NPSди орнотуудан жана конфигурациялоодон баштайлы (2016-жылы баары бирдей): Server Manager -> Ролдорду жана Функцияларды кошуу устасы аркылуу Тармак саясатынын серверин гана тандаңыз.
же PowerShell аркылуу:
Install-WindowsFeature NPAS -IncludeManagementToolsКичинекей тактоо - бери Корголгон EAP (PEAP) сизге сөзсүз түрдө сервердин аныктыгын тастыктоочу сертификат керек болот (тиешелүү колдонуу укугу менен), ал кардар компьютерлеринде ишенимдүү болот, андан кийин ролду орнотуу керек болот. Тастыктоо борбору. Бирок биз муну болжолдойбуз CA сиз аны мурунтан эле орнотуп алгансыз ...
Экинчи серверде да ушундай кылалы. Эки серверде тең C:Scripts скрипти үчүн папканы жана экинчи серверде тармактык папканы түзөлү SRV2NPS-конфигурация $
Биринчи серверде PowerShell скриптин түзөлү C:ScriptsExport-NPS-config.ps1 төмөнкү мазмун менен:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Андан кийин, келгиле, Тапшырмаларды жөнгө салгычта тапшырманы конфигурациялайлы: "Экспорт-NpsConfiguration«
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Бардык колдонуучулар үчүн иштетүү - Эң жогорку укуктар менен иштетүү
Күн сайын - тапшырманы ар бир 10 мүнөт сайын кайталаңыз. 8 сааттын ичинде
Камдык NPSде конфигурациянын импортун конфигурациялаңыз (саясат):
Келгиле, PowerShell скриптин түзөлү:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1жана аны ар бир 10 мүнөттө аткаруу тапшырмасы:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Бардык колдонуучулар үчүн иштетүү - Эң жогорку укуктар менен иштетүү
Күн сайын - тапшырманы ар бир 10 мүнөт сайын кайталаңыз. 8 сааттын ичинде
Эми текшерүү үчүн, келгиле, серверлердин бирине NPSке (!) RADIUS кардарларындагы бир нече которгучтарды (IP жана Бөлүшүлгөн сыр), туташуу өтүнүчүнүн эки саясатын кошолу: WIRED-Туташуу (Абал: "NAS портунун түрү - Ethernet") жана WiFi-Enterprise (Абал: "NAS портунун түрү IEEE 802.11"), ошондой эле тармак саясаты Cisco Network түзмөктөрүнө кирүү (Тармак администраторлору):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Которуу тарабында, төмөнкү орнотуулар:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Конфигурациялангандан кийин, 10 мүнөттөн кийин, бардык кардарлар саясатынын параметрлери резервдик NPSде пайда болушу керек жана биз домендер-тармак-администраторлор тобунун мүчөсү (биз алдын ала түзүлгөн) ActiveDirectory аккаунту аркылуу которгучтарга кире алабыз.
Active Directory орнотууга өтөлү - топ жана сырсөз саясаттарын түзүү, керектүү топторду түзүү.
Топтук саясат Компьютерлер-8021x-Орнотуулар:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Келгиле, коопсуздук тобун түзөлү sg-computers-8021x-vl100, мында биз vlan 100гө жайылгыбыз келген компьютерлерди кошобуз жана бул топ үчүн мурда түзүлгөн топ саясаты үчүн чыпкалоону конфигурациялайбыз:
"Тармак жана бөлүшүү борбору (Тармак жана Интернет жөндөөлөрү) - Адаптердин жөндөөлөрүн өзгөртүү (Адаптердин орнотууларын конфигурациялоо) - Адаптердин касиеттери" ачылып, саясат ийгиликтүү иштегенин текшере аласыз, анда биз "Аутентификация" өтмөгүн көрө алабыз:
Саясат ийгиликтүү колдонулганына ынанганыңыздан кийин, NPS жана кирүү деңгээлин которуштуруу портторунда тармак саясатын орнотууну уланта аласыз.
Тармак саясатын түзөлү neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Коммутатор портунун типтүү орнотуулары (аныктыгын текшерүүнүн “көп домендик” түрү колдонулаарын эске алыңыз – Data & Voice, ошондой эле Mac дареги боюнча аутентификация мүмкүнчүлүгү бар. “Өткөөл мезгилде” аны колдонуунун мааниси бар. параметрлер:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan идентификатору "карантиндик" эмес, бирок колдонуучунун компьютери ийгиликтүү киргенден кийин барышы керек болгон нерсе - биз бардыгы талаптагыдай иштеп жатканына ынанмайынча. Ушул эле параметрлерди башка сценарийлерде колдонсо болот, мисалы, башкарылбаган которгуч бул портко туташтырылганда жана сиз аутентификациядан өтпөгөн ага туташкан бардык түзмөктөрдүн белгилүү бир vlanга (“карантин”) түшүп калышын кааласаңыз.
802.1x хост режиминде көп домен режиминде порт орнотууларын которуштуруу
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitКомпүтериңиз жана телефонуңуз аутентификациядан ийгиликтүү өткөнүн буйрук менен текшере аласыз:
sh authentication sessions int Gi1/0/39 detЭми топ түзөлү (мисалы, sg-fgpp-mab ) телефондор үчүн Active Directoryде жана тестирлөө үчүн ага бир түзмөк кошуңуз (менин учурда бул Grandstream GXP2160 дареги менен 000b.82ba.a7b1 жана респ. эсеп домен 00b82baa7b1).
Түзүлгөн топ үчүн биз сырсөз саясатынын талаптарын төмөндөтөбүз (колдонуу Active Directory административдик борбору аркылуу -> домен -> Систем -> Сырсөз орнотуулары контейнери) төмөнкү параметрлер менен MAB үчүн сырсөз орнотуулары:
Ошентип, биз аппараттын даректерин сырсөз катары колдонууга уруксат беребиз. Андан кийин, биз 802.1x аутентификация ыкмасы mab үчүн тармак саясатын түзө алабыз, аны neag-devices-8021x-voice деп атайлы. Параметрлер төмөнкүдөй:
- NAS портунун түрү - Ethernet
- Windows топтору – sg-fgpp-mab
- EAP түрлөрү: Шифрленбеген аутентификация (PAP, SPAP)
- RADIUS атрибуттары – Сатуучуга тиешелүү: Cisco – Cisco-AV-Pair – Атрибут мааниси: түзмөк-трафик-класс = үн
Ийгиликтүү аутентификациядан кийин (которуу портун конфигурациялоону унутпаңыз), порттун маалыматын карап көрөлү:
sh аутентификация se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessЭми, убада кылынгандай, келгиле, бир нече так эмес жагдайларды карап көрөлү. Мисалы, биз башкарылбаган коммутатор (которуу) аркылуу колдонуучунун компьютерлерин жана түзүлүштөрүн туташтырышыбыз керек. Бул учурда, порт орнотуулары төмөнкүдөй болот:
802.1x хост-режиминин көп аутентификациялуу режиминде порт орнотууларын которуштуруу
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Биз абдан кызыктай мүчүлүштүктү байкадык – эгер аппарат ушундай которгуч аркылуу туташтырылган болсо, анан ал башкарылуучу которгучка туташтырылган болсо, анда биз которгучту кайра жүктөгөнгө чейин(!) ИШТЕБЕЙТ. Башка жолдорун тапкан жокмун. дагы эле бул маселени чечүү үчүн.
DHCP менен байланышкан дагы бир жагдай (эгерде ip dhcp snooping колдонулса) - мындай опцияларсыз:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionЭмнегедир мен IP даректи туура ала албай жатам... бирок бул биздин DHCP серверибиздин өзгөчөлүгү болушу мүмкүн
Ал эми Mac OS & Linux (802.1x колдоосуна ээ) Mac дареги боюнча аутентификация конфигурацияланган болсо да, колдонуучунун аныктыгын текшерүүгө аракет кылат.
Макаланын кийинки бөлүгүндө биз Wireless үчүн 802.1x колдонулушун карап чыгабыз (колдонуучунун аккаунту кайсы топко таандык болгонуна жараша, биз аны тиешелүү тармакка (vlan) "таштайбыз”, бирок алар туташат. ошол эле SSID).
Source: www.habr.com