La oss i praksis vurdere bruken av Windows Active Directory + NPS (2 servere for å sikre feiltoleranse) + 802.1x standard for tilgangskontroll og autentisering av brukere - domenedatamaskiner - enheter. Du kan sette deg inn i teorien etter standarden på Wikipedia, på lenken:
Siden mitt "laboratorium" er begrenset i ressurser, er rollene til NPS og domenekontroller kompatible, men jeg anbefaler at du fortsatt skiller slike kritiske tjenester.
Jeg vet ikke standardmåter for å synkronisere Windows NPS-konfigurasjoner (policyer), så vi vil bruke PowerShell-skript lansert av oppgaveplanleggeren (forfatteren er min tidligere kollega). For autentisering av domenedatamaskiner og for enheter som ikke kan 802.1x (telefoner, skrivere osv.), vil gruppepolicy konfigureres og sikkerhetsgrupper opprettes.
På slutten av artikkelen vil jeg fortelle deg om noen av vanskelighetene ved å jobbe med 802.1x - hvordan du kan bruke uadministrerte brytere, dynamiske ACL-er osv. Jeg vil dele informasjon om "feilene" som ble fanget. .
La oss starte med å installere og konfigurere failover NPS på Windows Server 2012R2 (alt er det samme i 2016): gjennom Server Manager -> Add Rolls and Features Wizard, velg bare Network Policy Server.
eller bruke PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEn liten avklaring - siden for Beskyttet EAP (PEAP) du vil definitivt trenge et sertifikat som bekrefter autentisiteten til serveren (med passende rettigheter til bruk), som vil være klarert på klientdatamaskiner, da vil du mest sannsynlig trenge å installere rollen Sertifiseringsinstans. Men vi vil anta det CA du har det allerede installert...
La oss gjøre det samme på den andre serveren. La oss lage en mappe for C:Scripts-skriptet på begge serverne og en nettverksmappe på den andre serveren SRV2NPS-config$
La oss lage et PowerShell-skript på den første serveren C:ScriptsExport-NPS-config.ps1 med følgende innhold:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Etter dette, la oss konfigurere oppgaven i Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Kjør for alle brukere - Kjør med høyeste rettigheter
Daglig - Gjenta oppgaven hvert 10. minutt. innen 8 timer
På NPS-sikkerhetskopien, konfigurer import av konfigurasjon (policyer):
La oss lage et PowerShell-skript:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1og en oppgave for å utføre den hvert 10. minutt:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Kjør for alle brukere - Kjør med høyeste rettigheter
Daglig - Gjenta oppgaven hvert 10. minutt. innen 8 timer
Nå, for å sjekke, la oss legge til NPS på en av serverne(!) et par brytere i RADIUS-klienter (IP og Shared Secret), to retningslinjer for tilkoblingsforespørsel: KABLET-Koble til (Tilstand: "NAS-porttype er Ethernet") og WiFi-bedrift (Tilstand: "NAS-porttype er IEEE 802.11"), samt nettverkspolicy Få tilgang til Cisco Network Devices (Nettverksadministratorer):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15På brytersiden, følgende innstillinger:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Etter konfigurasjon, etter 10 minutter, skal alle clientspolicyparametere vises på backup-NPS, og vi vil kunne logge inn på svitsjene ved å bruke en ActiveDirectory-konto, et medlem av domainsg-network-admins-gruppen (som vi opprettet på forhånd).
La oss gå videre til å sette opp Active Directory – lag gruppe- og passordpolicyer, lag de nødvendige gruppene.
Gruppepolicy Datamaskiner-8021x-innstillinger:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
La oss opprette en sikkerhetsgruppe sg-computers-8021x-vl100, hvor vi vil legge til datamaskiner som vi ønsker å distribuere til vlan 100 og konfigurere filtrering for den tidligere opprettede gruppepolicyen for denne gruppen:
Du kan bekrefte at policyen har fungert vellykket ved å åpne "Nettverks- og delingssenter (nettverks- og internettinnstillinger) - Endre adapterinnstillinger (konfigurere adapterinnstillinger) - Adapteregenskaper", der vi kan se fanen "Autentisering":
Når du er overbevist om at policyen er vellykket brukt, kan du fortsette med å sette opp nettverkspolicy på NPS- og tilgangsnivåbryterportene.
La oss lage en nettverkspolicy neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typiske innstillinger for svitsjporten (vær oppmerksom på at autentiseringstypen "multi-domene" brukes - Data & Voice, og det er også mulighet for autentisering med mac-adresse. Under "overgangsperioden" er det fornuftig å bruke i parametere:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan-ID-en er ikke en "karantene", men den samme som brukerens datamaskin skal gå etter å ha logget på - til vi er sikre på at alt fungerer som det skal. De samme parametrene kan brukes i andre scenarier, for eksempel når en uadministrert svitsj er koblet til denne porten og du vil at alle enheter som er koblet til den som ikke har bestått autentisering, skal falle inn i et bestemt vlan ("karantene").
bytte portinnstillinger i 802.1x vertsmodus multidomenemodus
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitDu kan sørge for at datamaskinen og telefonen har bestått autentiseringen med kommandoen:
sh authentication sessions int Gi1/0/39 detLa oss nå opprette en gruppe (f.eks. sg-fgpp-mab ) i Active Directory for telefoner og legg til én enhet for testing (i mitt tilfelle er det Grandstream GXP2160 med mas adresse 000b.82ba.a7b1 og hhv. regnskap domene 00b82baa7b1).
For den opprettede gruppen vil vi senke kravene til passordpolicy (ved å bruke via Active Directory Administrative Center -> domene -> System -> Password Settings Container) med følgende parametere Passord-innstillinger-for-MAB:
Derfor vil vi tillate bruk av enhets mas-adresser som passord. Etter dette kan vi lage en nettverkspolicy for 802.1x-metoden mab-autentisering, la oss kalle det neag-devices-8021x-voice. Parametrene er som følger:
- NAS-porttype – Ethernet
- Windows-grupper – sg-fgpp-mab
- EAP-typer: Ukryptert autentisering (PAP, SPAP)
- RADIUS-attributter – Leverandørspesifikk: Cisco – Cisco-AV-Pair – Attributtverdi: device-traffic-class=voice
Etter vellykket autentisering (ikke glem å konfigurere bryterporten), la oss se på informasjonen fra porten:
sh-autentiseringsinnstilling Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessNå, som lovet, la oss se på et par ikke helt åpenbare situasjoner. For eksempel må vi koble brukerdatamaskiner og enheter gjennom en uadministrert bryter (svitsj). I dette tilfellet vil portinnstillingene for den se slik ut:
bytte portinnstillinger i 802.1x vertsmodus multi-auth-modus
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS vi la merke til en veldig merkelig feil - hvis enheten ble koblet til gjennom en slik bryter, og så ble den koblet til en administrert bryter, så vil den IKKE fungere før vi restarter(!) bryteren. Jeg har ikke funnet noen andre måter for å løse dette problemet ennå.
Et annet punkt relatert til DHCP (hvis ip dhcp snooping brukes) - uten slike alternativer:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionAv en eller annen grunn kan jeg ikke få IP-adressen riktig ... selv om dette kan være en funksjon på DHCP-serveren vår
Og Mac OS og Linux (som har innebygd 802.1x-støtte) prøver å autentisere brukeren, selv om autentisering med Mac-adresse er konfigurert.
I neste del av artikkelen vil vi se på bruken av 802.1x for Wireless (avhengig av gruppen som brukerkontoen tilhører, vil vi "kaste" den inn i det tilsvarende nettverket (vlan), selv om de vil koble til samme SSID).
Kilde: www.habr.com