Loosst eis an der Praxis d'Benotzung vu Windows Active Directory + NPS (2 Server fir Feelertoleranz ze garantéieren) + 802.1x Standard fir Zougangskontroll an Authentifikatioun vu Benotzer - Domaincomputer - Apparater betruechten. Dir kënnt d'Theorie no der Norm op Wikipedia kennen léieren, um Link:
Well mäi "Laboratoire" a Ressourcen limitéiert ass, sinn d'Rollen vum NPS an Domain Controller kompatibel, awer ech recommandéieren datt Dir nach ëmmer sou kritesch Servicer trennt.
Ech weess keng Standard Weeër fir Windows NPS Konfiguratiounen (Politik) ze synchroniséieren, sou datt mir PowerShell Scripte benotzen, déi vum Task Scheduler gestart ginn (den Auteur ass mäi fréiere Kolleg). Fir Authentifikatioun vun Domain Computeren a fir Apparater déi net kënnen 802.1x (Telefonen, Dréckeren, etc.), Gruppepolitik gëtt konfiguréiert a Sécherheetsgruppen erstallt.
Um Enn vum Artikel soen ech Iech iwwer e puer vun de Schwieregkeete fir mat 802.1x ze schaffen - wéi Dir onmanéiert Schalter, dynamesch ACLs, etc. .
Loosst eis mat der Installatioun an der Konfiguratioun vun der Failover NPS op Windows Server 2012R2 ufänken (alles ass d'selwecht an 2016): duerch Server Manager -> Add Rolls and Features Wizard, wielt nëmmen Network Policy Server.
oder benotzt PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEng kleng Erklärung - zënter fir Protected EAP (PEAP) Dir braucht definitiv e Certificat deen d'Authentizitéit vum Server bestätegt (mat passenden Gebrauchsrechter), deen op Clientcomputer vertraut gëtt, da musst Dir héchstwahrscheinlech d'Roll installéieren Zertifizéierungs Autoritéit. Mä mir wäerten dat dovun ausgoen CA du hues se schon installéiert...
Loosst eis datselwecht maachen um zweete Server. Loosst eis en Dossier erstellen fir den C: Scripts Skript op béide Serveren an en Netzwierk Dossier um zweeten Server SRV2NPS-config$
Loosst eis e PowerShell Skript op den éischte Server erstellen C:ScriptsExport-NPS-config.ps1 mat folgendem Inhalt:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Duerno, loosst eis d'Aufgab am Task Sheduler konfiguréieren: "Export-NpsConfiguratioun"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Run fir all Benotzer - Run mat héchste Rechter
All Dag - Widderhuelen d'Aufgab all 10 Minutten. bannent 8 Stonnen
Op der Backupsatellit NPS, konfiguréieren den Import vun der Konfiguratioun (Politik):
Loosst eis e PowerShell Skript erstellen:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1an eng Aufgab fir se all 10 Minutten auszeféieren:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Run fir all Benotzer - Run mat héchste Rechter
All Dag - Widderhuelen d'Aufgab all 10 Minutten. bannent 8 Stonnen
Elo, fir z'iwwerpréiwen, loosst eis op NPS op engem vun de Serveren (!) e puer Schalter an RADIUS Clienten (IP a Shared Secret), zwee Verbindungsanforderungspolitike addéieren: WIRED-Connect (Conditioun: "NAS Port Typ ass Ethernet") an WiFi-Entreprise (Conditioun: "NAS port Typ ass IEEE 802.11"), souwéi Reseau Politik Zougang Cisco Network Apparater (Netzwierk Admins):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Op der Schalter Säit, déi folgend Astellungen:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99No der Konfiguratioun, no 10 Minutten, sollten all Clientspolicyparameter op der Backup NPS erschéngen a mir kënnen op d'Schalter aloggen mat engem ActiveDirectory Kont, e Member vun der Domainsg-Network-admins Grupp (déi mir am Viraus erstallt hunn).
Loosst eis weidergoen fir Active Directory opzestellen - Gruppe- a Passwuertpolitik erstellen, déi néideg Gruppen erstellen.
Gruppepolitik Computeren-8021x-Astellungen:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x Fotoen
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Loosst eis e Sécherheetsgrupp erstellen sg-computers-8021x-vl100, wou mir Computeren addéieren déi mir op vlan 100 verdeelen wëllen a Filteren fir déi virdru erstallt Gruppepolitik fir dës Grupp konfiguréieren:
Dir kënnt verifizéieren datt d'Politik erfollegräich geschafft huet andeems Dir "Network and Sharing Center (Network and Internet Settings) opmaacht - Adapter Astellunge änneren (Adapter Astellunge konfiguréieren) - Adapter Properties", wou mir de Tab "Authentifizéierung" gesinn:
Wann Dir iwwerzeegt sidd datt d'Politik erfollegräich applizéiert gëtt, kënnt Dir weidergoen fir d'Netzpolitik op der NPS opzemaachen an Zougangsniveauschalter Ports.
Loosst eis eng Netzwierkpolitik erstellen neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typesch Astellunge fir de Switch Hafen (kuckt w.e.g. datt d'Authentifikatiounstyp "Multi-Domain" benotzt gëtt - Data & Voice, an et gëtt och d'Méiglechkeet vun der Authentifikatioun duerch Mac Adress. Während der "Iwwergangsperiod" mécht et Sënn fir an der Parameteren:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
D'vlan ID ass net eng "Quarantän", awer déiselwecht wou de Benotzer säi Computer sollt goen nodeems hien erfollegräich ageloggt ass - bis mir sécher sinn datt alles funktionnéiert wéi et soll. Déi selwecht Parameter kënnen an anere Szenarie benotzt ginn, zum Beispill, wann en net verwaltete Schalter an dësem Hafen ugeschloss ass an Dir wëllt datt all Apparater, déi domat verbonne sinn, déi net d'Authentifikatioun passéiert hunn, an e bestëmmte Vlan falen ("Quarantän").
schalt port Astellungen am 802.1x Host-Modus Multi-Domain Modus
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitDir kënnt sécher sinn datt Äre Computer an Telefon d'Authentifikatioun erfollegräich mat dem Kommando passéiert hunn:
sh authentication sessions int Gi1/0/39 detLoosst eis elo e Grupp erstellen (z.B. sg-fgpp-mab ) am Active Directory fir Telefonen a füügt een Apparat derbäi fir ze testen (a mengem Fall ass et Grandstream GXP2160 mat mas Adress 000b.82ba.a7b1 an bzw. Kont Domain 00b82baa7b1).
Fir déi erstallt Grupp senke mir d'Passwuertpolitik Ufuerderunge (mat iwwer Active Directory Administrative Center -> Domain -> System -> Passwuert Astellunge Container) mat de folgende Parameteren Passwuert-Astellunge-fir-MAB:
Sou wäerte mir d'Benotzung vun Apparat Mas Adressen als Passwierder erlaben. Duerno kënne mir eng Reseau Politik fir d'802.1x Method mab Authentifikatioun schafen, loosse mer et Neag-Devices-8021x-Stëmm nennen. D'Parameteren sinn wéi follegt:
- NAS Port Typ - Ethernet
- Windows Groups - sg-fgpp-mab
- EAP Typen: Onverschlësselte Authentifikatioun (PAP, SPAP)
- RADIUS Attributer - Vendor Spezifesch: Cisco - Cisco-AV-Pair - Attributwäert: device-traffic-class=voice
No der erfollegräicher Authentifikatioun (vergiesst net de Switchport ze konfiguréieren), kucke mer d'Informatioun vum Hafen:
sh Authentifikatioun se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessElo, wéi versprach, kucke mer e puer net ganz offensichtlech Situatiounen. Zum Beispill musse mir Benotzercomputer an Apparater duerch en net verwaltete Schalter (Schalter) verbannen. An dësem Fall wäerten d'Port-Astellungen dofir ausgesinn:
schalt port Astellungen am 802.1x Host-Modus Multi-Auth Modus
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS mir hunn e ganz komeschen Glitch gemierkt - wann den Apparat duerch sou e Schalter ugeschloss war, an dann an e verwalteten Schalter ugeschloss ass, da funktionnéiert et NET bis mir de Schalter nei starten(!) Ech hunn keng aner Weeër fonnt. dëse Problem nach ze léisen.
En anere Punkt am Zesummenhang mat DHCP (wann ip dhcp snooping benotzt gëtt) - ouni sou Optiounen:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionAus e puer Grënn kann ech d'IP Adress net korrekt kréien ... obwuel dëst e Feature vun eisem DHCP Server kann sinn
A Mac OS & Linux (déi gebierteg 802.1x Ënnerstëtzung hunn) probéieren de Benotzer ze authentifizéieren, och wann d'Authentifikatioun vun der Mac Adress konfiguréiert ass.
Am nächsten Deel vum Artikel wäerte mir d'Benotzung vun 802.1x fir Wireless kucken (ofhängeg vun der Grupp, zu där de Benotzerkont gehéiert, wäerte mir et an dat entspriechend Netz (Vlan) "werfen", obwuel se matenee verbannen déi selwecht SSID).
Source: will.com