Windows Active Directory + NPS (алдааг тэсвэрлэхийн тулд 2 сервер) + 802.1x стандартын хандалтыг хянах, хэрэглэгчид - домэйн компьютерууд - төхөөрөмжүүдийг баталгаажуулахыг практик дээр авч үзье. Та Википедиа дээрх стандартын дагуу онолтой танилцаж болно, холбоос:
Миний "лаборатори" нөөцийн хувьд хязгаарлагдмал тул NPS болон домэйн хянагч нарын үүрэг нийцэж байгаа ч ийм чухал үйлчилгээнүүдийг салгахыг би танд зөвлөж байна.
Би Windows NPS тохиргоог (бодлогуудыг) синхрончлох стандарт аргуудыг мэдэхгүй байгаа тул бид даалгавар төлөвлөгчийн эхлүүлсэн PowerShell скриптүүдийг ашиглах болно (зохиогч нь миний хуучин хамтран зүтгэгч). Домэйн компьютерийн баталгаажуулалт болон боломжгүй төхөөрөмжүүдийн хувьд 802.1x (утас, принтер гэх мэт), бүлгийн бодлогыг тохируулж, хамгаалалтын бүлгүүдийг үүсгэнэ.
Өгүүллийн төгсгөлд би 802.1x-тэй ажиллах зарим нарийн ширийн зүйлсийн талаар танд хэлэх болно - удирдагдаагүй унтраалга, динамик ACL гэх мэтийг хэрхэн ашиглах талаар. Би баригдсан "гажиг" -ын талаарх мэдээллийг хуваалцах болно. .
Windows Server 2012R2 (2016 онд бүх зүйл ижил байна) дээр бүтэлгүйтлийн NPS суулгаж, тохируулж эхэлцгээе: Серверийн Менежер -> Үүрэг, функц нэмэх шидтэнээр дамжуулан зөвхөн Сүлжээний бодлогын серверийг сонгоно уу.
эсвэл PowerShell ашиглан:
Install-WindowsFeature NPAS -IncludeManagementToolsЖижигхэн тодруулга - оноос хойш Хамгаалагдсан EAP (PEAP) Танд серверийн жинхэнэ эсэхийг баталгаажуулсан гэрчилгээ (ашиглах зохих эрхтэй) хэрэгтэй бөгөөд энэ нь үйлчлүүлэгчийн компьютерт найдвартай байх болно, тэгвэл та дүрийг суулгах шаардлагатай болно. Гэрчилгээжүүлэх газар. Гэхдээ бид үүнийг таамаглах болно CA Та үүнийг аль хэдийн суулгасан байна ...
Хоёрдахь сервер дээр ижил зүйлийг хийцгээе. Хоёр сервер дээр C:Scripts скриптэд зориулсан хавтас, хоёр дахь сервер дээр сүлжээний хавтас үүсгэцгээе SRV2NPS-тохиргоо $
Эхний сервер дээр PowerShell скрипт үүсгэцгээе C:ScriptsExport-NPS-config.ps1 дараах агуулгатай байна:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Үүний дараа Даалгаврын хуваарьт даалгаврыг тохируулцгаая: "Экспорт-Nps тохиргоо"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Бүх хэрэглэгчдэд зориулж ажиллуулах - Хамгийн дээд эрхээр ажиллуул
Өдөр бүр - Даалгаврыг 10 минут тутамд давтана. 8 цагийн дотор
Нөөц NPS дээр тохиргооны (бодлогын) импортыг тохируулна уу:
PowerShell скрипт үүсгэцгээе:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1мөн үүнийг 10 минут тутамд гүйцэтгэх даалгавар:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Бүх хэрэглэгчдэд зориулж ажиллуулах - Хамгийн дээд эрхээр ажиллуул
Өдөр бүр - Даалгаврыг 10 минут тутамд давтана. 8 цагийн дотор
Одоо шалгахын тулд NPS-д серверүүдийн аль нэгэнд(!) RADIUS үйлчлүүлэгчид (IP болон Хуваалцсан нууц) хэд хэдэн свич, холболтын хүсэлтийн хоёр бодлогыг нэмж оруулъя: WIRED-холбох (Нөхцөл байдал: "NAS портын төрөл нь Ethernet") ба WiFi-Enterprise (Нөхцөл байдал: "NAS портын төрөл нь IEEE 802.11"), мөн сүлжээний бодлого Cisco сүлжээний төхөөрөмжүүдэд хандах (Сүлжээний админууд):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Шилжүүлэгч талд дараах тохиргоонууд байна.
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Тохируулга хийсний дараа 10 минутын дараа бүх клиент бодлогын параметрүүд нөөц NPS дээр гарч ирэх ба бид domainsg-network-admins бүлгийн гишүүн (бидний урьдчилан үүсгэсэн) ActiveDirectory бүртгэлийг ашиглан шилжүүлэгч рүү нэвтрэх боломжтой болно.
Active Directory-г тохируулах руу шилжье - бүлэг болон нууц үгийн бодлогыг бий болгох, шаардлагатай бүлгүүдийг бий болгох.
Бүлгийн бодлого Компьютер-8021x-Тохиргоо:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Хамгаалалтын бүлгийг үүсгэцгээе sg-computers-8021x-vl100, бид vlan 100-д түгээхийг хүссэн компьютеруудаа нэмж, энэ бүлгийн өмнө үүсгэсэн бүлгийн удирдамжийн шүүлтүүрийг тохируулах болно:
Та "Сүлжээ ба Хуваалцах Төв (Сүлжээ ба Интернетийн Тохиргоо) - Адаптерийн тохиргоог өөрчлөх (Адаптерийн тохиргоог тохируулах) - Адаптерийн шинж чанарууд" хэсгийг нээснээр бодлого амжилттай ажиллаж байгаа эсэхийг шалгах боломжтой бөгөөд энд "Баталгаажуулалт" табыг харж болно.
Бодлого амжилттай хэрэгжсэн гэдэгт итгэлтэй байвал NPS болон хандалтын түвшний шилжүүлэгч портууд дээр сүлжээний бодлогыг тохируулах ажлыг үргэлжлүүлж болно.
Сүлжээний бодлогыг бий болгоё neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Свич портын ердийн тохиргоо ("олон домайн" баталгаажуулалтын төрлийг ашигладаг - Data & Voice, мөн mac хаягаар баталгаажуулах боломжтой гэдгийг анхаарна уу. "Шилжилтийн үе"-ийн үед үүнийг ашиглах нь утга учиртай болно. параметрүүд:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan id нь "хорио цээрийн" биш, харин амжилттай нэвтэрсний дараа хэрэглэгчийн компьютер явах ёстой газар - бүх зүйл хэвийн ажиллаж байгаа гэдэгт итгэлтэй байх хүртэл. Эдгээр ижил параметрүүдийг бусад хувилбаруудад ашиглаж болно, жишээлбэл, удирдлагагүй шилжүүлэгчийг энэ порт руу залгасан үед та үүнтэй холбогдсон бүх төхөөрөмжийг баталгаажуулалтад хамрагдаагүй байгаа төхөөрөмжийг тодорхой vlan-д ("хорио цээр") оруулахыг хүсч байна.
802.1x хост горимын олон домэйн горимд портын тохиргоог солих
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitТа дараах тушаалыг ашиглан таны компьютер болон утас баталгаажуулалтыг амжилттай давсан эсэхийг шалгах боломжтой.
sh authentication sessions int Gi1/0/39 detОдоо бүлэг үүсгэцгээе (жишээлбэл, sg-fgpp-mab ) утсанд зориулсан Active Directory-д нэг төхөөрөмж нэмээд туршилт хийх боломжтой (миний хувьд энэ нь Grandstream GXP2160 хаягтай 000b.82ba.a7b1 болон хариулах. данс домэйн 00b82baa7b1).
Үүсгэсэн бүлгийн хувьд бид нууц үгийн бодлогын шаардлагыг бууруулна ( Active Directory Захиргааны төв -> домэйн -> Систем -> Нууц үгийн тохиргооны сав) -аар дараах параметрүүдийг ашиглана. MAB-д зориулсан нууц үгийн тохиргоо:
Тиймээс бид төхөөрөмжийн хаягийг нууц үг болгон ашиглахыг зөвшөөрөх болно. Үүний дараа бид 802.1x аргын mab баталгаажуулалтын сүлжээний бодлогыг үүсгэж болно, үүнийг neag-devices-8021x-voice гэж нэрлэе. Параметрүүд нь дараах байдалтай байна.
- NAS портын төрөл - Ethernet
- Windows бүлгүүд - sg-fgpp-mab
- EAP төрөл: Шифрлэгдээгүй нэвтрэлт танилт (PAP, SPAP)
- RADIUS шинж чанарууд – Үйлдвэрлэгчийн онцлог: Cisco – Cisco-AV-Pair – Атрибутын утга: төхөөрөмж-траффик-анги=дуу хоолой
Амжилттай баталгаажуулсны дараа (шилжүүлэх портыг тохируулахаа бүү мартаарай) портын мэдээллийг харцгаая:
sh authentication se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessОдоо амласан ёсоороо тодорхой бус хэд хэдэн нөхцөл байдлыг харцгаая. Жишээлбэл, бид хэрэглэгчийн компьютер болон төхөөрөмжүүдийг удирдлагагүй унтраалга (унтраах) ашиглан холбох хэрэгтэй. Энэ тохиолдолд портын тохиргоо дараах байдлаар харагдах болно.
802.1x хост горимын олон баталгаажуулалтын горимд портын тохиргоог солих
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuЖич: Бид маш хачирхалтай алдааг анзаарсан - хэрэв төхөөрөмжийг ийм унтраалгаар холбож, дараа нь удирддаг унтраалга руу залгасан бол шилжүүлэгчийг дахин асаах хүртэл(!) АЖИЛЛАХГҮЙ. Би өөр арга олсонгүй. энэ асуудлыг шийдэхийн тулд.
DHCP-тэй холбоотой өөр нэг цэг (хэрэв ip dhcp snooping ашиглаж байгаа бол) - ийм сонголтгүйгээр:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionЗарим шалтгааны улмаас би IP хаягаа зөв авч чадахгүй байна... гэхдээ энэ нь манай DHCP серверийн онцлог байж болох юм
Мөн Mac OS & Linux (уугуул 802.1x дэмжлэгтэй) Mac хаягаар баталгаажуулалтыг тохируулсан байсан ч хэрэглэгчийг баталгаажуулахыг оролддог.
Өгүүллийн дараагийн хэсэгт бид 802.1x-ийн утасгүй холболтын хэрэглээг авч үзэх болно (хэрэглэгчийн бүртгэл харьяалагдах бүлгээс хамааран бид үүнийг холбогдох сүлжээнд (vlan) "шидэх" болно), гэхдээ тэдгээр нь холбогдох болно. ижил SSID).
Эх сурвалж: www.habr.com