Mari kita pertimbangkan dalam amalan penggunaan Windows Active Directory + NPS (2 pelayan untuk memastikan toleransi kesalahan) + standard 802.1x untuk kawalan akses dan pengesahan pengguna - komputer domain - peranti. Anda boleh berkenalan dengan teori mengikut piawaian di Wikipedia, di pautan:
Memandangkan "makmal" saya terhad dalam sumber, peranan NPS dan pengawal domain adalah serasi, tetapi saya mengesyorkan agar anda tetap memisahkan perkhidmatan kritikal tersebut.
Saya tidak tahu cara standard untuk menyegerakkan konfigurasi Windows NPS (dasar), jadi kami akan menggunakan skrip PowerShell yang dilancarkan oleh penjadual tugas (pengarang ialah bekas rakan sekerja saya). Untuk pengesahan komputer domain dan untuk peranti yang tidak boleh 802.1x (telefon, pencetak, dsb.), dasar kumpulan akan dikonfigurasikan dan kumpulan keselamatan akan dibuat.
Pada penghujung artikel, saya akan memberitahu anda tentang beberapa kerumitan bekerja dengan 802.1x - cara anda boleh menggunakan suis tidak terurus, ACL dinamik, dll. Saya akan berkongsi maklumat tentang "gangguan" yang ditangkap.. .
Mari mulakan dengan memasang dan mengkonfigurasi failover NPS pada Windows Server 2012R2 (semuanya sama pada 2016): melalui Pengurus Pelayan -> Tambah Peranan dan Wizard Ciri, pilih hanya Pelayan Dasar Rangkaian.
atau menggunakan PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
Penjelasan kecil - kerana untuk EAP Dilindungi (PEAP) anda pasti memerlukan sijil yang mengesahkan ketulenan pelayan (dengan hak yang sesuai untuk digunakan), yang akan dipercayai pada komputer pelanggan, maka kemungkinan besar anda perlu memasang peranan Lembaga Perakuan. Tetapi kita akan menganggap itu CA anda sudah memasangnya...
Mari kita lakukan perkara yang sama pada pelayan kedua. Mari buat folder untuk skrip C:Scripts pada kedua-dua pelayan dan folder rangkaian pada pelayan kedua SRV2NPS-config$
Mari buat skrip PowerShell pada pelayan pertama C:ScriptsExport-NPS-config.ps1 dengan kandungan berikut:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Selepas ini, mari kita konfigurasikan tugasan dalam Penyusun Tugas: βEksport-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Jalankan untuk semua pengguna - Jalankan dengan hak tertinggi
Harian - Ulang tugas setiap 10 minit. dalam masa 8 jam
Pada NPS sandaran, konfigurasikan import konfigurasi (dasar):
Mari buat skrip PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
dan tugas untuk melaksanakannya setiap 10 minit:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Jalankan untuk semua pengguna - Jalankan dengan hak tertinggi
Harian - Ulang tugas setiap 10 minit. dalam masa 8 jam
Sekarang, untuk menyemak, mari tambahkan pada NPS pada salah satu pelayan(!) beberapa suis dalam klien RADIUS (IP dan Rahsia Dikongsi), dua dasar permintaan sambungan: WIRED-Sambung (Keadaan: βJenis port NAS ialah Ethernetβ) dan WiFi-Enterprise (Syarat: "Jenis port NAS ialah IEEE 802.11"), serta dasar rangkaian Akses Peranti Rangkaian Cisco (Pentadbir Rangkaian):
Π£ΡΠ»ΠΎΠ²ΠΈΡ:
ΠΡΡΠΏΠΏΡ Windows - domainsg-network-admins
ΠΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ:
ΠΠ΅ΡΠΎΠ΄Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡΠΈ - ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΠΎΡΠΊΡΡΡΡΠΌ ΡΠ΅ΠΊΡΡΠΎΠΌ (PAP, SPAP)
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ:
ΠΡΡΠΈΠ±ΡΡΡ RADIUS: Π‘ΡΠ°Π½Π΄Π°ΡΡ - Service-Type - Login
ΠΠ°Π²ΠΈΡΡΡΠΈΠ΅ ΠΎΡ ΠΏΠΎΡΡΠ°Π²ΡΠΈΠΊΠ° - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Di bahagian suis, tetapan berikut:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Selepas konfigurasi, selepas 10 minit, semua clientspolicyparameters akan muncul pada NPS sandaran dan kami akan dapat log masuk ke suis menggunakan akaun ActiveDirectory, ahli kumpulan domainsg-network-admins (yang kami buat lebih awal).
Mari kita teruskan untuk menyediakan Active Directory - buat dasar kumpulan dan kata laluan, buat kumpulan yang diperlukan.
Dasar Kumpulan Komputer-8021x-Tetapan:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Mari buat kumpulan keselamatan sg-computers-8021x-vl100, di mana kami akan menambah komputer yang ingin kami edarkan ke vlan 100 dan mengkonfigurasi penapisan untuk dasar kumpulan yang dibuat sebelum ini untuk kumpulan ini:
Anda boleh mengesahkan bahawa dasar telah berjaya berfungsi dengan membuka βPusat Rangkaian dan Perkongsian (Rangkaian dan Tetapan Internet) β Menukar tetapan penyesuai (Mengkonfigurasi tetapan penyesuai) β Sifat Penyesuaiβ, di mana kita boleh melihat tab βPengesahanβ:
Apabila anda yakin bahawa dasar itu berjaya digunakan, anda boleh meneruskan untuk menyediakan dasar rangkaian pada NPS dan port suis tahap akses.
Mari buat dasar rangkaian neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tetapan biasa untuk port suis (sila ambil perhatian bahawa jenis pengesahan "berbilang domain" digunakan - Data & Suara, dan terdapat juga kemungkinan pengesahan melalui alamat mac. Semasa "tempoh peralihan" adalah wajar untuk digunakan dalam parameter:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Id vlan bukanlah id "kuarantin", tetapi id yang sama di mana komputer pengguna harus pergi selepas berjaya melog masuk - sehingga kami yakin semuanya berfungsi sebagaimana mestinya. Parameter yang sama ini boleh digunakan dalam senario lain, contohnya, apabila suis tidak terurus dipalamkan ke port ini dan anda mahu semua peranti disambungkan kepadanya yang belum lulus pengesahan jatuh ke dalam vlan tertentu ("kuarantin").
tukar tetapan port dalam mod berbilang domain mod hos 802.1x
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Anda boleh memastikan bahawa komputer dan telefon anda telah berjaya melepasi pengesahan dengan arahan:
sh authentication sessions int Gi1/0/39 det
Sekarang mari kita buat kumpulan (contohnya, sg-fgpp-mab ) dalam Active Directory untuk telefon dan tambahkan satu peranti padanya untuk ujian (dalam kes saya, ia adalah Grandstream GXP2160 dengan alamat mas 000b.82ba.a7b1 dan resp. akaun domain 00b82baa7b1).
Untuk kumpulan yang dibuat, kami akan menurunkan keperluan dasar kata laluan (menggunakan
Oleh itu, kami akan membenarkan penggunaan alamat mas peranti sebagai kata laluan. Selepas ini kita boleh membuat dasar rangkaian untuk pengesahan mab kaedah 802.1x, mari kita panggil ia neag-devices-8021x-voice. Parameternya adalah seperti berikut:
- Jenis Port NAS β Ethernet
- Kumpulan Windows β sg-fgpp-mab
- Jenis EAP: Pengesahan tidak disulitkan (PAP, SPAP)
- Atribut RADIUS β Khusus Vendor: Cisco β Cisco-AV-Pair β Nilai atribut: device-traffic-class=suara
Selepas pengesahan berjaya (jangan lupa untuk mengkonfigurasi port suis), mari lihat maklumat dari port:
sh pengesahan se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Sekarang, seperti yang dijanjikan, mari kita lihat beberapa situasi yang tidak begitu jelas. Sebagai contoh, kita perlu menyambungkan komputer dan peranti pengguna melalui suis (suis) yang tidak terurus. Dalam kes ini, tetapan port untuknya akan kelihatan seperti ini:
tukar tetapan port dalam mod berbilang auth mod hos 802.1x
interface GigabitEthernet1/0/1
description *SW β 802.1x β 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ΡΠ²Π΅Π»ΠΈΡΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ Π΄ΠΎΠΏΡΡΡΠΈΠΌΡΡ
ΠΌΠ°Ρ-Π°Π΄ΡΠ΅ΡΠΎΠ²
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! β ΡΠ΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS kami melihat gangguan yang sangat pelik - jika peranti disambungkan melalui suis sedemikian, dan kemudian ia dipalamkan ke suis terurus, maka ia TIDAK akan berfungsi sehingga kami but semula(!) suis. Saya tidak menemui sebarang cara lain untuk menyelesaikan masalah ini lagi.
Satu lagi perkara yang berkaitan dengan DHCP (jika pengintipan ip dhcp digunakan) - tanpa pilihan sedemikian:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Atas sebab tertentu saya tidak boleh mendapatkan alamat IP dengan betul... walaupun ini mungkin ciri pelayan DHCP kami
Dan Mac OS & Linux (yang mempunyai sokongan 802.1x asli) cuba untuk mengesahkan pengguna, walaupun jika pengesahan oleh alamat Mac dikonfigurasikan.
Di bahagian seterusnya artikel, kita akan melihat penggunaan 802.1x untuk Wayarles (bergantung pada kumpulan yang mana akaun pengguna itu dimiliki, kami akan "membuang"nya ke dalam rangkaian yang sepadan (vlan), walaupun mereka akan menyambung ke SSID yang sama).
Sumber: www.habr.com