Laten we in de praktijk eens kijken naar het gebruik van Windows Active Directory + NPS (2 servers om fouttolerantie te garanderen) + 802.1x-standaard voor toegangscontrole en authenticatie van gebruikers - domeincomputers - apparaten. Je kunt kennismaken met de theorie volgens de standaard op Wikipedia, via de link:
Omdat mijn “laboratorium” beperkt is qua middelen, zijn de rollen van NPS en domeincontroller compatibel, maar ik raad aan dat u dergelijke kritieke services toch gescheiden houdt.
Ik ken geen standaardmanieren om Windows NPS-configuraties (beleid) te synchroniseren, dus we zullen PowerShell-scripts gebruiken die zijn gelanceerd door de taakplanner (de auteur is mijn voormalige collega). Voor authenticatie van domeincomputers en voor apparaten die dat niet kunnen 802.1x (telefoons, printers, enz.), wordt het groepsbeleid geconfigureerd en worden er beveiligingsgroepen gemaakt.
Aan het einde van het artikel zal ik je vertellen over enkele van de fijne kneepjes van het werken met 802.1x - hoe je onbeheerde switches, dynamische ACL's, enz. kunt gebruiken. Ik zal informatie delen over de "glitches" die zijn opgemerkt. .
Laten we beginnen met het installeren en configureren van failover NPS op Windows Server 2012R2 (alles is hetzelfde in 2016): via Serverbeheer -> Wizard Rollen en functies toevoegen, selecteer alleen Network Policy Server.
of gebruik PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEen kleine verduidelijking - sinds voor Beveiligde EAP (PEAP) je hebt zeker een certificaat nodig dat de authenticiteit van de server bevestigt (met de juiste gebruiksrechten), dat wordt vertrouwd op clientcomputers, en dan zul je hoogstwaarschijnlijk de rol moeten installeren Certificeringsinstantie. Maar dat zullen we maar aannemen CA je hebt het al geïnstalleerd...
Laten we hetzelfde doen op de tweede server. Laten we een map maken voor het C:Scripts-script op beide servers en een netwerkmap op de tweede server SRV2NPS-config$
Laten we een PowerShell-script maken op de eerste server C:ScriptsExport-NPS-config.ps1 met de volgende inhoud:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Laten we hierna de taak configureren in de Taakplanner: “Export-NpsConfiguratie"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Uitvoeren voor alle gebruikers - Uitvoeren met de hoogste rechten
Dagelijks - Herhaal de taak elke 10 minuten. binnen 8 uur
Configureer het importeren van configuratie (beleid) op de back-up-NPS:
Laten we een PowerShell-script maken:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1en een taak om deze elke 10 minuten uit te voeren:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Uitvoeren voor alle gebruikers - Uitvoeren met de hoogste rechten
Dagelijks - Herhaal de taak elke 10 minuten. binnen 8 uur
Laten we nu, om dit te controleren, aan NPS op een van de servers(!) een paar schakelaars in RADIUS-clients (IP en Shared Secret) toevoegen, twee beleidsregels voor verbindingsverzoeken: BEDRAAD-Verbinden (Voorwaarde: “NAS-poorttype is Ethernet”) en WiFi-onderneming (Voorwaarde: “NAS-poorttype is IEEE 802.11”), evenals netwerkbeleid Toegang tot Cisco-netwerkapparaten (Netwerkbeheerders):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Aan de schakelaarzijde de volgende instellingen:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Na configuratie zouden na 10 minuten alle clientspolicyparameters op de back-up NPS moeten verschijnen en kunnen we inloggen op de switches met een ActiveDirectory-account, lid van de groep domainsg-network-admins (die we vooraf hebben aangemaakt).
Laten we verder gaan met het instellen van Active Directory - maak groeps- en wachtwoordbeleid, maak de benodigde groepen.
Groepsbeleid Computers-8021x-Instellingen:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Laten we een beveiligingsgroep maken sg-computers-8021x-vl100, waar we computers die we willen distribueren naar vlan 100 zullen toevoegen en de filtering zullen configureren voor het eerder gemaakte groepsbeleid voor deze groep:
U kunt verifiëren dat het beleid succesvol heeft gewerkt door “Netwerk- en deelcentrum (netwerk- en internetinstellingen) – Adapterinstellingen wijzigen (Adapterinstellingen configureren) – Adaptereigenschappen” te openen, waar we het tabblad “Authenticatie” kunnen zien:
Wanneer u ervan overtuigd bent dat het beleid met succes is toegepast, kunt u doorgaan met het instellen van netwerkbeleid op de NPS- en toegangsniveauschakelaarpoorten.
Laten we een netwerkbeleid opstellen neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typische instellingen voor de switchpoort (houd er rekening mee dat het authenticatietype “multi-domein” wordt gebruikt – Data & Voice, en er is ook de mogelijkheid van authenticatie via mac-adres. Tijdens de “overgangsperiode” is het zinvol om in de parameters:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
De vlan-id is geen “quarantaine”-id, maar dezelfde waar de computer van de gebruiker naartoe moet gaan nadat hij succesvol heeft ingelogd - totdat we er zeker van zijn dat alles naar behoren werkt. Dezelfde parameters kunnen in andere scenario's worden gebruikt, bijvoorbeeld wanneer een onbeheerde switch op deze poort is aangesloten en u wilt dat alle daarop aangesloten apparaten die de authenticatie niet hebben doorstaan, in een bepaald vlan ("quarantaine") vallen.
schakel poortinstellingen in 802.1x host-modus multi-domeinmodus
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitU kunt ervoor zorgen dat uw computer en telefoon de authenticatie met succes hebben doorstaan met de opdracht:
sh authentication sessions int Gi1/0/39 detLaten we nu een groep maken (bijvoorbeeld sg-fgpp-mab ) in Active Directory voor telefoons en voeg er één apparaat aan toe om te testen (in mijn geval is dat het geval). Grandstream GXP2160 met mas-adres 000b.82ba.a7b1 en resp. rekening domein 00b82baa7b1).
Voor de aangemaakte groep verlagen we de vereisten voor het wachtwoordbeleid (met behulp van via Active Directory Administratief Centrum -> domein -> Systeem -> Wachtwoordinstellingencontainer) met de volgende parameters Wachtwoordinstellingen voor MAB:
We zullen dus het gebruik van apparaatmas-adressen als wachtwoorden toestaan. Hierna kunnen we een netwerkbeleid maken voor de 802.1x-methode mab-authenticatie, laten we het neag-devices-8021x-voice noemen. De parameters zijn als volgt:
- NAS-poorttype – Ethernet
- Windows-groepen – sg-fgpp-mab
- EAP-typen: niet-gecodeerde authenticatie (PAP, SPAP)
- RADIUS-attributen – leverancierspecifiek: Cisco – Cisco-AV-Pair – attribuutwaarde: device-traffic-class=voice
Laten we na succesvolle authenticatie (vergeet niet de switchpoort te configureren) eens kijken naar de informatie van de poort:
sh-authenticatie ingesteld op Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessLaten we nu, zoals beloofd, eens kijken naar een aantal niet geheel voor de hand liggende situaties. We moeten bijvoorbeeld gebruikerscomputers en apparaten verbinden via een onbeheerde switch (switch). In dit geval zien de poortinstellingen ervoor er als volgt uit:
schakel poortinstellingen in 802.1x host-modus multi-auth-modus
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS we hebben een heel vreemd probleem opgemerkt: als het apparaat via zo'n switch was aangesloten en vervolgens op een beheerde switch was aangesloten, dan zal het NIET werken totdat we de switch opnieuw opstarten (!) Ik heb geen andere manieren gevonden om dit probleem nog op te lossen.
Een ander punt heeft betrekking op DHCP (als IP DHCP-snooping wordt gebruikt) - zonder dergelijke opties:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionOm de een of andere reden kan ik het IP-adres niet correct verkrijgen... hoewel dit een functie van onze DHCP-server kan zijn
En Mac OS en Linux (die native 802.1x-ondersteuning hebben) proberen de gebruiker te authenticeren, zelfs als authenticatie via een Mac-adres is geconfigureerd.
In het volgende deel van het artikel zullen we kijken naar het gebruik van 802.1x voor draadloos (afhankelijk van de groep waartoe het gebruikersaccount behoort, zullen we het in het overeenkomstige netwerk (vlan) “gooien”, hoewel ze verbinding zullen maken met dezelfde SSID).
Bron: www.habr.com