Конфигурирање на 802.1X на Cisco прекинувачи со помош на Failover NPS (Windows RADIUS со AD)

Да ја разгледаме во пракса употребата на Windows Active Directory + NPS (2 сервери за да се обезбеди толеранција на грешки) + 802.1x стандард за контрола на пристап и автентикација на корисници - компјутери на домени - уреди. Можете да се запознаете со теоријата според стандардот на Википедија, на линкот: IEEE 802.1X

Бидејќи мојата „лабораторија“ е ограничена во ресурси, улогите на NPS и контролорот на доменот се компатибилни, но препорачувам сепак да ги одделите таквите критични услуги.

Не знам стандардни начини за синхронизирање на конфигурациите на Windows NPS (политики), така што ќе користиме скрипти PowerShell што ги лансира распоредувачот на задачи (авторот е мојот поранешен колега). За автентикација на компјутери со домени и за уреди кои не можат 802.1x (телефони, печатачи итн.), ќе се конфигурира групната политика и ќе се креираат безбедносни групи.

На крајот од статијата, ќе ви кажам за некои од сложеноста на работата со 802.1x - како можете да користите неуправувани прекинувачи, динамични ACL итн. Ќе споделам информации за „баговите“ што беа фатени. .

Да започнеме со инсталирање и конфигурирање на неуспешни NPS на Windows Server 2012R2 (сè е исто во 2016 година): преку Управувачот со сервери -> Волшебникот за додавање улоги и карактеристики, изберете само Сервер за мрежна политика.

или користејќи PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

Мало појаснување - бидејќи за Заштитен EAP (PEAP) дефинитивно ќе ви треба сертификат кој ја потврдува автентичноста на серверот (со соодветни права на користење), на кој ќе му се верува на клиентските компјутери, тогаш најверојатно ќе треба да ја инсталирате улогата Орган за сертификација. Но, ние ќе го претпоставиме тоа CA веќе го имаш инсталирано...

Ајде да го сториме истото на вториот сервер. Ајде да создадеме папка за скриптата C:Scripts на двата сервери и мрежна папка на вториот сервер SRV2NPS-config$

Ајде да создадеме скрипта PowerShell на првиот сервер C:ScriptsExport-NPS-config.ps1 со следнава содржина:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

После ова, ајде да ја конфигурираме задачата во Распоредувачот на задачи:Export-NpsConfiguration"

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

Стартувај за сите корисници - Стартувај со највисоки права
Дневно - Повторувајте ја задачата на секои 10 минути. во рок од 8 часа

На резервната NPS, конфигурирајте увоз на конфигурација (политики):
Ајде да создадеме скрипта PowerShell:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

и задача да се изврши на секои 10 минути:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

Стартувај за сите корисници - Стартувај со највисоки права
Дневно - Повторувајте ја задачата на секои 10 минути. во рок од 8 часа

Сега, за да провериме, да додадеме на NPS на еден од серверите(!) неколку прекинувачи во клиентите RADIUS (IP и Shared Secret), две политики за барање за поврзување: WIRED-Поврзи се (Услов: „Типот на порта NAS е етернет“) и WiFi-Enterprise (Услов: „Тип на порта NAS е IEEE 802.11“), како и мрежна политика Пристапете до мрежните уреди на Cisco (Мрежни администратори):

Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

На страната на прекинувачот, следните поставки:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

По конфигурацијата, по 10 минути, сите параметри на клиентска политика треба да се појават на резервната NPS и ќе можеме да се најавиме на прекинувачите користејќи сметка на ActiveDirectory, член на групата домени-мрежа-администратори (која ја создадовме однапред).

Ајде да продолжиме со поставување на Active Directory - креирајте политики за групи и лозинка, креирајте ги потребните групи.

Групна политика Компјутери-8021x-Поставки:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies

NPS-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

Ајде да создадеме група за безбедност sg-компјутери-8021x-vl100, каде што ќе додадеме компјутери што сакаме да ги дистрибуираме до vlan 100 и ќе го конфигурираме филтрирањето за претходно креираната групна политика за оваа група:

Можете да потврдите дека политиката функционирала успешно со отворање на „Центар за мрежи и споделување (мрежни и интернет поставки) – Промена на поставките на адаптерот (Конфигурирање на поставките на адаптерот) – Својства на адаптерот“, каде што можеме да го видиме табот „Автентикација“:

Кога сте убедени дека политиката е успешно применета, можете да продолжите со поставувањето мрежна политика на портите на NPS и прекинувачот за ниво на пристап.

Ајде да создадеме мрежна политика neag-computers-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

Типични поставки за прекинувачот порт (ве молиме имајте предвид дека се користи типот на автентикација „повеќе домен“ – Data & Voice, а исто така постои можност за автентикација преку Mac адреса. За време на „преодниот период“ има смисла да се користи во параметри:

authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

ИД-то на vlan не е „карантин“, туку истиот каде што компјутерот на корисникот треба да оди по успешното најавување - додека не бидеме сигурни дека сè работи како што треба. Истите овие параметри може да се користат во други сценарија, на пример, кога неуправуван прекинувач е приклучен на оваа порта и сакате сите уреди поврзани со него што не поминале автентикација да паднат во одреден vlan („карантин“).

префрлете ги поставките на портата во 802.1x режим на домаќин со повеќе домени

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

Можете да бидете сигурни дека вашиот компјутер и телефон успешно ја поминале автентикацијата со командата:

sh authentication sessions int Gi1/0/39 det

Сега ајде да создадеме група (на пример, sg-fgpp-mab ) во Active Directory за телефони и додадете еден уред на него за тестирање (во мојот случај тоа е Грандстрим GXP2160 со масовна адреса 000b.82ba.a7b1 и одговор. сметка домен 00b82baa7b1).

За креираната група, ќе ги намалиме барањата за политика за лозинка (користејќи Фино-гранулирани политики за лозинка преку Active Directory Administrative Center -> домен -> System -> Password Settings Container) со следните параметри Лозинка-Поставки-за-MAB:

Така, ќе дозволиме користење на масовни адреси на уреди како лозинки. После ова, можеме да создадеме мрежна политика за 802.1x метод за автентикација mab, ајде да го наречеме neag-devices-8021x-voice. Параметрите се како што следува:

• Тип на порта NAS - етернет
• Виндоус групи – sg-fgpp-mab
• Типови EAP: Нешифрирана автентикација (PAP, SPAP)
• RADIUS атрибути – специфични за добавувачот: Cisco – Cisco-AV-Pair – Вредност на атрибутот: уред-сообраќај-класа=глас

По успешната автентикација (не заборавајте да го конфигурирате приклучокот за прекинувач), ајде да ги погледнеме информациите од портата:

sh автентикација се вметнува Gi1/0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

Сега, како што ветивме, да погледнеме неколку не сосема очигледни ситуации. На пример, треба да ги поврземе корисничките компјутери и уреди преку неуправуван прекинувач (прекинувач). Во овој случај, поставките за портата за него ќе изгледаат вака:

префрлете ги поставките на портата во 802.1x режим на домаќин со повеќе авторитети

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

П.С. забележавме многу чудна грешка - ако уредот бил поврзан преку таков прекинувач, а потоа бил вклучен во управуван прекинувач, тогаш НЕМА да работи додека не го рестартираме(!) прекинувачот.Не најдов други начини за да се реши овој проблем уште.

Друга точка поврзана со DHCP (ако се користи ip dhcp snooping) - без такви опции:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

Поради некоја причина не можам правилно да ја добијам IP адресата... иако ова може да е карактеристика на нашиот DHCP сервер

И Mac OS и Linux (кои имаат мајчин поддршка 802.1x) се обидуваат да го автентицираат корисникот, дури и ако е конфигурирана автентикацијата со Mac адреса.

Во следниот дел од статијата, ќе ја разгледаме употребата на 802.1x за Wireless (во зависност од групата на која припаѓа корисничката сметка, ќе ја „фрлиме“ во соодветната мрежа (vlan), иако тие ќе се поврзат со истиот SSID).

Извор: www.habr.com