راځئ چې په عمل کې د وینډوز فعال لارښود + NPS (د غلطۍ زغم ډاډ ترلاسه کولو لپاره 2 سرورونه) + 802.1x معیاري کارولو ته د لاسرسي کنټرول او د کاروونکو تصدیق کولو لپاره په پام کې ونیسو - ډومین کمپیوټرونه - وسیلې. تاسو کولی شئ د ویکیپیډیا د معیار سره سم د تیوري سره آشنا شئ، په لینک کې:
څرنګه چې زما "لابراتوار" په سرچینو کې محدود دی، د NPS او ډومین کنټرولر رولونه مطابقت لري، مګر زه وړاندیز کوم چې تاسو لاهم دا ډول مهم خدمتونه جلا کړئ.
زه د وینډوز NPS تشکیلاتو (پالیسیو) ترکیب کولو معیاري لارې نه پوهیږم ، نو موږ به د ټاسک شیډولر لخوا پیل شوي پاور شیل سکریپټونه وکاروو (لیکوال زما پخوانی همکار دی). د ډومین کمپیوټرونو تصدیق کولو او د وسیلو لپاره چې نشي کولی 802.1x (تلیفونونه، پرنټرونه، او نور)، د ګروپ پالیسي به ترتیب شي او امنیتي ګروپونه به جوړ شي.
د مقالې په پای کې ، زه به تاسو ته د 802.1x سره د کار کولو ځینې پیچلتیاو په اړه ووایم - تاسو څنګه کولی شئ غیر منظم سویچونه ، متحرک ACLs او نور وکاروئ. زه به د هغه "غلطیو" په اړه معلومات شریک کړم چې نیول شوي. .
راځئ چې په وینډوز سرور 2012R2 کې د ناکامیو NPS نصب او تنظیم کولو سره پیل وکړو (هر څه په 2016 کې ورته دي): د سرور مدیر له لارې -> رولونه او ځانګړتیاوې وزرډ اضافه کړئ ، یوازې د شبکې پالیسي سرور غوره کړئ.
یا PowerShell کارول:
Install-WindowsFeature NPAS -IncludeManagementToolsیو کوچنی وضاحت - د دې لپاره خوندي شوی EAP (PEAP) تاسو به خامخا یو سند ته اړتیا ولرئ چې د سرور صداقت تصدیق کړي (د کارولو مناسبو حقونو سره) ، کوم چې به د پیرودونکي کمپیوټرونو باندې باور ولري ، نو تاسو به ډیر احتمال د رول نصبولو ته اړتیا ولرئ. د سند مقام. مګر موږ به دا فرض کړو CA تاسو لا دمخه نصب کړی دی ...
راځئ چې په دویم سرور کې ورته کار وکړو. راځئ چې په دواړو سرورونو کې د C: سکریپټ سکریپټ لپاره فولډر جوړ کړو او په دویم سرور کې د شبکې فولډر SRV2NPS-config$
راځئ چې په لومړي سرور کې د پاور شیل سکریپټ جوړ کړو C:ScriptsExport-NPS-config.ps1 د لاندې منځپانګې سره:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"له دې وروسته ، راځئ چې د ټاسک شیډولر کې دنده تنظیم کړو: "صادرات-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
د ټولو کاروونکو لپاره چلول - د لوړ حقونو سره چلول
هره ورځ - دا کار په هرو 10 دقیقو کې تکرار کړئ. په 8 ساعتونو کې
په بیک اپ NPS کې، د ترتیب واردولو ترتیب (پالیسیو):
راځئ چې یو PowerShell سکریپټ جوړ کړو:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1او په هرو 10 دقیقو کې د اجرا کولو دنده:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
د ټولو کاروونکو لپاره چلول - د لوړ حقونو سره چلول
هره ورځ - دا کار په هرو 10 دقیقو کې تکرار کړئ. په 8 ساعتونو کې
اوس ، د چک کولو لپاره ، راځئ چې په یو سرور کې NPS ته اضافه کړو (!) د RADIUS پیرودونکو (IP او شریک راز) کې یو څو سویچونه ، د اړیکې غوښتنې دوه پالیسۍ: WIRED- نښلول (شرط: "د NAS پورټ ډول ایترنیټ دی") او وائی فای شرکت (شرط: "د NAS پورټ ډول IEEE 802.11 دی")، او همدارنګه د شبکې پالیسي د سیسکو شبکې وسیلو ته لاسرسی (د شبکې مدیران):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15په سویچ اړخ کې، لاندې ترتیبات:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99د ترتیب کولو وروسته، د 10 دقیقو وروسته، ټول پیرودونکي پالیسي پیرامیټونه باید په بیک اپ NPS کې ښکاره شي او موږ به وکولی شو د ActiveDirectory حساب په کارولو سره سویچ ته ننوځئ، د domainsg-network-admins ګروپ غړی (کوم چې موږ مخکې جوړ کړی وو).
راځئ چې د فعال لارښود تنظیم کولو ته لاړ شو - د ګروپ او پاسورډ پالیسي رامینځته کړئ، اړین ګروپونه جوړ کړئ.
د ګروپ پالیسي کمپیوټر - 8021x - ترتیبات:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
راځئ چې یوه امنیتي ډله جوړه کړو sg-computers-8021x-vl100، چیرې چې موږ به هغه کمپیوټرونه اضافه کړو چې موږ یې په vlan 100 کې توزیع کول غواړو او د دې ګروپ لپاره دمخه رامینځته شوي ګروپ پالیسي لپاره فلټر کول تنظیم کړو:
تاسو کولی شئ تصدیق کړئ چې پالیسي د "شبکې او شریکولو مرکز (شبکې او انټرنیټ تنظیمات) په خلاصولو سره په بریالیتوب سره کار کړی - د اډاپټر ترتیبات بدلول (د اډاپټر ترتیبات تنظیم کول) - د اډاپټر ملکیتونه" ، چیرې چې موږ کولی شو د "تصدیق" ټب وګورو:
کله چې تاسو ډاډه یاست چې پالیسي په بریالیتوب سره پلي کیږي، تاسو کولی شئ د NPS او لاسرسي کچې سویچ بندرونو کې د شبکې پالیسي ترتیبولو ته لاړ شئ.
راځئ چې د شبکې پالیسي جوړه کړو neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
د سویچ پورټ لپاره عادي ترتیبات (مهرباني وکړئ په یاد ولرئ چې د "ملټي ډومین" تصدیق ډول کارول کیږي - ډیټا او غږ، او د ماک پتې لخوا د تصدیق کولو امکان هم شتون لري. د "انتقال دورې" په جریان کې دا د کارولو لپاره معنی لري. پارامترونه:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
د vlan ID "قرنطین" ندی ، مګر ورته ورته دی چیرې چې د کارونکي کمپیوټر باید په بریالیتوب سره د ننوتلو وروسته لاړ شي - تر هغه چې موږ ډاډه یو چې هرڅه لکه څنګه چې باید کار وکړي. دا ورته پیرامیټونه په نورو سناریوګانو کې کارول کیدی شي ، د مثال په توګه ، کله چې یو غیر منظم سویچ پدې بندر کې پلګ شوی وي او تاسو غواړئ ټول هغه وسیلې چې له دې سره وصل شوي وي چې تصدیق یې نه وي کړی په یو ځانګړي ویلان ("قرنطین") کې راښکته شي.
د 802.1x کوربه موډ ملټي ډومین حالت کې د بندر ترتیبات بدل کړئ
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitتاسو کولی شئ ډاډ ترلاسه کړئ چې ستاسو کمپیوټر او تلیفون په بریالیتوب سره د کمانډ سره تصدیق شوی دی:
sh authentication sessions int Gi1/0/39 detاوس راځئ چې یوه ډله جوړه کړو (د مثال په توګه، sg-fgpp-mab ) د تلیفونونو لپاره په فعال لارښود کې او د ازموینې لپاره دې ته یو وسیله اضافه کړئ (زما په قضیه کې دا دی ګرانډ سټریم GXP2160 د لوی ادرس سره 000b.82ba.a7b1 او ځواب حساب ډومین 00b82baa7b1).
د جوړ شوي ګروپ لپاره، موږ به د پاسورډ پالیسي اړتیاوې کمې کړو (په کارولو سره د فعال لارښود اداري مرکز له لارې -> ډومین -> سیسټم -> د پټنوم ترتیباتو کانټینر) د لاندې پیرامیټونو سره پاسورډ-ترتیبات-د MAB لپاره:
په دې توګه، موږ به د پاسورډ په توګه د وسیلې ماس پتې کارولو ته اجازه ورکړو. له دې وروسته موږ کولی شو د 802.1x میتود میب تصدیق لپاره د شبکې پالیسي رامینځته کړو ، راځئ چې ورته neag-devices-8021x-voice ووایو. پیرامیټونه په لاندې ډول دي:
- د NAS پورټ ډول - ایترنیټ
- د وینډوز ګروپونه - sg-fgpp-mab
- د EAP ډولونه: نه کوډ شوی تصدیق (PAP، SPAP)
- د RADIUS ځانګړتیاوې - د پلورونکي ځانګړي: سیسکو - سیسکو-AV-پیر - د خاصیت ارزښت: وسیله-ټریفیک-کلاس = غږ
د بریالي تصدیق کولو وروسته (د سویچ بندر تنظیم کول مه هیروئ) ، راځئ چې د بندر څخه معلومات وګورو:
په Gi1/0/34 کې د sh تصدیق کول
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Successاوس ، لکه څنګه چې ژمنه شوې ، راځئ چې یو څو په بشپړ ډول څرګند حالتونه وګورو. د مثال په توګه، موږ اړتیا لرو چې د کاروونکي کمپیوټرونه او وسایل د یو غیر منظم سویچ (سوئچ) له لارې وصل کړو. په دې حالت کې، د دې لپاره د بندر ترتیبات به داسې ښکاري:
د پورټ ترتیبات په 802.1x کوربه موډ ملټي اثار حالت کې بدل کړئ
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS موږ یو ډیر عجیب خرابی ولید - که چیرې وسیله د ورته سویچ له لارې وصل شوې وي ، او بیا دا په منظم سویچ کې پلګ شوې وي ، نو دا به کار ونکړي تر هغه چې موږ سویچ ریبوټ کړو (!) ما بله لاره ونه موندله تر اوسه دا ستونزه حل کړي.
د DHCP پورې اړوند بل ټکی (که چیرې د ip dhcp سنوپینګ کارول کیږي) - پرته له دې اختیارونو:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionد ځینو دلیلونو لپاره زه نشم کولی IP پته په سمه توګه ترلاسه کړم ... که څه هم دا ممکن زموږ د DHCP سرور ځانګړتیا وي
او ماک OS او لینکس (کوم چې اصلي 802.1x ملاتړ لري) هڅه کوي د کارونکي تصدیق کړي ، حتی که د ماک پتې لخوا تصدیق تنظیم شوی وي.
د مقالې په راتلونکې برخه کې، موږ به د بېسیم لپاره د 802.1x کارول وګورو (په هغه ګروپ پورې اړه لري چې د کارونکي حساب پورې اړه لري، موږ به یې ورته شبکې (vlan) ته "غورځوو"، که څه هم دوی به ورسره وصل شي. ورته SSID).
سرچینه: www.habr.com