اچو ته عملي طور تي Windows Active Directory + NPS جي استعمال تي غور ڪريون (2 سرورن کي يقيني بڻائڻ لاءِ غلطي برداشت ڪرڻ) + 802.1x معياري رسائي ڪنٽرول ۽ صارفين جي تصديق لاءِ - ڊومين ڪمپيوٽرن - ڊوائيسز. توھان وڪيپيڊيا تي معيار جي مطابق نظريي سان واقف ٿي سگھو ٿا، لنڪ تي:
جيئن ته منهنجي "ليبارٽري" وسيلن ۾ محدود آهي، NPS ۽ ڊومين ڪنٽرولر جا ڪردار مطابقت آهن، پر مان سفارش ڪريان ٿو ته توهان اڃا تائين اهڙي نازڪ خدمتن کي الڳ ڪريو.
مون کي Windows NPS ترتيبن (پاليسيون) کي هم وقت سازي ڪرڻ جا معياري طريقا معلوم نه آهن، تنهنڪري اسان ٽاسڪ شيڊيولر پاران شروع ڪيل پاور شيل اسڪرپٽ استعمال ڪنداسين (ليکڪ منهنجو اڳوڻو ساٿي آهي). ڊومين ڪمپيوٽرن جي تصديق ۽ ڊوائيسز لاء جيڪي نٿا ڪري سگهن 802.1x (فون، پرنٽر، وغيره)، گروپ پاليسي ترتيب ڏني ويندي ۽ سيڪيورٽي گروپ ٺاهيا ويندا.
آرٽيڪل جي آخر ۾، مان توهان کي 802.1x سان ڪم ڪرڻ جي ڪجهه پيچيدگين بابت ٻڌايان ٿو - توهان ڪيئن غير منظم ٿيل سوئچز، متحرڪ ACL وغيره استعمال ڪري سگهو ٿا. مان انهن "غلطين" بابت معلومات شيئر ڪندس جيڪي پڪڙيا ويا.. .
اچو ته ونڊوز سرور 2012R2 تي اين پي ايس جي ناڪامي کي انسٽال ڪرڻ ۽ ترتيب ڏيڻ سان شروع ڪريون (2016 ۾ سڀ ڪجهه ساڳيو آهي): سرور مئنيجر جي ذريعي -> ڪردار ۽ خاصيتون شامل ڪريو مددگار، چونڊيو صرف نيٽورڪ پاليسي سرور.
يا PowerShell استعمال ڪندي:
Install-WindowsFeature NPAS -IncludeManagementToolsهڪ ننڍڙي وضاحت - کان وٺي محفوظ ٿيل EAP (PEAP) توهان کي يقيني طور تي سرور جي صداقت جي تصديق ڪندڙ سرٽيفڪيٽ جي ضرورت پوندي (استعمال ڪرڻ جي مناسب حقن سان)، جيڪو ڪلائنٽ ڪمپيوٽرن تي ڀروسو ڪيو ويندو، پوء توهان کي گهڻو ڪري رول کي انسٽال ڪرڻ جي ضرورت پوندي. تصديق ڪندڙ اٿارٽي. پر اسان اهو فرض ڪنداسين CA توهان پهريان ئي انسٽال ڪيو آهي...
اچو ته ٻئي سرور تي ساڳيو ڪم ڪريو. اچو ته C:Scripts اسڪرپٽ لاءِ هڪ فولڊر ٺاهيون ٻنهي سرورن تي ۽ هڪ نيٽ ورڪ فولڊر ٻئي سرور تي SRV2NPS-config$
اچو ته پهرين سرور تي هڪ PowerShell اسڪرپٽ ٺاهيو ج: اسڪرپٽ ايڪسپورٽ-NPS-config.ps1 هيٺين مواد سان:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"ان کان پوء، اچو ته ٽاسڪ شيڊولر ۾ ڪم کي ترتيب ڏيو: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
سڀني استعمال ڪندڙن لاءِ ھلايو - ھلايو اعليٰ حقن سان
روزانه - هر 10 منٽ ڪم کي ورجايو. 8 ڪلاڪن اندر
بيڪ اپ NPS تي، ترتيب جي درآمد کي ترتيب ڏيو (پاليسيون):
اچو ته هڪ PowerShell اسڪرپٽ ٺاهيو:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1۽ هر 10 منٽن تي عمل ڪرڻ لاء هڪ ڪم:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
سڀني استعمال ڪندڙن لاءِ ھلايو - ھلايو اعليٰ حقن سان
روزانه - هر 10 منٽ ڪم کي ورجايو. 8 ڪلاڪن اندر
ھاڻي، چيڪ ڪرڻ لاءِ، اچو ته NPS ۾ شامل ڪريون ھڪڙي سرور تي (!) ڪجھ سوئچز ۾ RADIUS ڪلائنٽ (IP ۽ شيئر ٿيل راز)، ڪنيڪشن جي درخواست جون ٻه پاليسيون: وائرڊ- ڳنڍڻ (حالت: "NAS پورٽ جو قسم Ethernet آهي") ۽ وائي فائي-انٽرپرائز (حالت: "NAS پورٽ جو قسم IEEE 802.11 آهي")، انهي سان گڏ نيٽ ورڪ پاليسي سسڪو نيٽ ورڪ ڊوائيسز تائين رسائي (نيٽ ورڪ منتظمين):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15سوئچ سائڊ تي، ھيٺيون سيٽنگون:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99ترتيب ڏيڻ کان پوءِ، 10 منٽن کان پوءِ، سڀئي ڪلائنٽ پاليسي پيراميٽر بيڪ اپ NPS تي ظاهر ٿيڻ گهرجن ۽ اسان هڪ ActiveDirectory اڪائونٽ استعمال ڪندي سوئچز ۾ لاگ ان ٿي سگهنداسين، ڊومينس-نيٽورڪ-ايڊمنس گروپ جو ميمبر (جيڪو اسان اڳ ۾ ٺاهيو هو).
اچو ته اڳتي وڌون فعال ڊاريڪٽري قائم ڪرڻ لاءِ - ٺاهيو گروپ ۽ پاسورڊ پاليسيون، ٺاھيو ضروري گروپ.
گروپ پاليسي ڪمپيوٽر-8021x-سيٽنگون:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
اچو ته هڪ سيڪيورٽي گروپ ٺاهيو sg-computers-8021x-vl100، جتي اسان ڪمپيوٽر شامل ڪنداسين جيڪي اسان vlan 100 ۾ ورهائڻ چاهيون ٿا ۽ هن گروپ لاءِ اڳ ۾ ٺاهيل گروپ پاليسي لاءِ فلٽرنگ ترتيب ڏيو:
توھان تصديق ڪري سگھوٿا ته پاليسي ڪاميابيءَ سان ڪم ڪيو آھي کولڻ سان ”نيٽورڪ ۽ شيئرنگ سينٽر (نيٽ ورڪ ۽ انٽرنيٽ سيٽنگون) – اڊاپٽر سيٽنگون تبديل ڪرڻ (ايڊاپٽر سيٽنگون ترتيب ڏيڻ) – اڊاپٽر پراپرٽيز“، جتي اسان ڏسي سگھون ٿا ”تصديق“ ٽيب:
جڏهن توهان کي يقين آهي ته پاليسي ڪاميابيءَ سان لاڳو ٿي چڪي آهي، توهان اڳتي ڪري سگهو ٿا نيٽ ورڪ پاليسي قائم ڪرڻ لاءِ NPS ۽ رسائي ليول سوئچ بندرگاهن تي.
اچو ته هڪ نيٽ ورڪ پاليسي ٺاهي neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
سوئچ پورٽ لاءِ عام سيٽنگون (مهرباني ڪري نوٽ ڪريو ته "ملٽي ڊومين" جي تصديق جو قسم استعمال ڪيو ويو آهي - ڊيٽا ۽ وائيس، ۽ ميڪ ايڊريس ذريعي تصديق ڪرڻ جو امڪان پڻ آهي. "منتقلي دور" دوران اهو استعمال ڪرڻ جو مطلب آهي. پيرا ميٽر
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id اها ”قرنطين“ نه آهي، پر اها ساڳي آهي جتي صارف جي ڪمپيوٽر کي ڪاميابيءَ سان لاگ ان ٿيڻ کان پوءِ وڃڻ گهرجي- جيستائين اسان کي يقين نه ٿي وڃي ته سڀ ڪجهه ائين ئي ڪم ڪري رهيو آهي جيئن ٿيڻ گهرجي. اهي ساڳيا پيٽرولر ٻين منظرنامي ۾ استعمال ڪري سگھجن ٿا، مثال طور، جڏهن هڪ غير منظم ٿيل سوئچ هن بندرگاهه ۾ پلگ ان ٿيل آهي ۽ توهان چاهيو ٿا ته ان سان ڳنڍيل سڀئي ڊوائيس جيڪي تصديق نه ڪيا آهن انهن کي ڪنهن خاص ويلان ("قرنطين") ۾ گرڻ لاءِ.
802.1x ميزبان موڊ ملٽي ڊومين موڊ ۾ پورٽ سيٽنگون تبديل ڪريو
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitتوهان پڪ ڪري سگهو ٿا ته توهان جي ڪمپيوٽر ۽ فون ڪاميابي سان تصديق ڪئي آهي حڪم سان:
sh authentication sessions int Gi1/0/39 detهاڻي اچو ته هڪ گروپ ٺاهيو (مثال طور، sg-fgpp-mab ) ۾ فعال ڊاريڪٽري لاءِ فونز ۽ ان ۾ هڪ ڊيوائس شامل ڪريو ٽيسٽ لاءِ (منهنجي صورت ۾ اهو آهي گرانڊ اسٽريم GXP2160 ماس ايڊريس سان 000b.82ba.a7b1 ۽ resp. اڪائونٽ ڊومين 00b82baa7b1).
ٺاهيل گروپ لاء، اسان پاسورڊ پاليسي جي ضرورتن کي گھٽ ڪنداسين (استعمال ڪندي فعال ڊاريڪٽري انتظامي مرڪز ذريعي -> ڊومين -> سسٽم -> پاسورڊ سيٽنگون ڪنٽينر) ھيٺ ڏنل پيٽرولن سان پاسورڊ-سيٽنگون-لاء-MAB:
ان ڪري، اسان اجازت ڏينداسين ڊوائيس ماس پتي کي پاسورڊ طور استعمال ڪرڻ. ان کان پوء اسان 802.1x ميڊ جي تصديق لاء نيٽ ورڪ پاليسي ٺاهي سگهون ٿا، اچو ته ان کي سڏين ٿا neag-devices-8021x-voice. پيرا ميٽر هن ريت آهن:
- NAS پورٽ جو قسم - Ethernet
- ونڊوز گروپس - sg-fgpp-mab
- EAP قسمون: اڻ ڳڻي تصديق ٿيل (PAP، SPAP)
- RADIUS خاصيتون - وينڊر مخصوص: سسڪو - سسڪو-اي وي-جوڙو - خاصيت جو قدر: ڊوائيس-ٽريفڪ-ڪلاس = آواز
ڪامياب تصديق کان پوء (سوئچ پورٽ کي ترتيب ڏيڻ نه وساريو)، اچو ته ڏسو بندرگاهه کان معلومات:
sh جي تصديق int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Successهاڻي، جيئن واعدو ڪيو ويو آهي، اچو ته ڏسون ڪجهه مڪمل طور تي واضح نه حالتن تي. مثال طور، اسان کي صارف جي ڪمپيوٽرن ۽ ڊوائيسز کي غير منظم ٿيل سوئچ (سوئچ) ذريعي ڳنڍڻ جي ضرورت آهي. انهي حالت ۾، ان لاء پورٽ سيٽنگون هن طرح نظر اينديون:
802.1x ميزبان موڊ ملٽي آٿ موڊ ۾ پورٽ سيٽنگون تبديل ڪريو
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS اسان هڪ تمام عجيب خرابي محسوس ڪئي - جيڪڏهن ڊوائيس اهڙي سوئچ ذريعي ڳنڍيل هئي، ۽ پوء ان کي هڪ منظم سوئچ ۾ لڳايو ويو، پوء اهو ڪم نه ڪندو جيستائين اسان سوئچ (!) کي ريبوٽ نه ڪنداسين. مون کي ٻيو ڪو طريقو نه مليو آهي. اڃا تائين هن مسئلي کي حل ڪرڻ لاء.
DHCP سان لاڳاپيل هڪ ٻيو نقطو (جيڪڏهن ip dhcp snooping استعمال ڪيو وڃي) - اهڙن اختيارن کان سواءِ:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionڪجھ سببن لاءِ مان IP پتي صحيح طرح حاصل نه ڪري سگھيس... جيتوڻيڪ اھو ٿي سگھي ٿو اسان جي DHCP سرور جي خصوصيت
۽ Mac OS ۽ Linux (جنهن کي 802.1x جي اصلي سپورٽ آهي) صارف جي تصديق ڪرڻ جي ڪوشش ڪريو، جيتوڻيڪ Mac پتي جي تصديق ترتيب ڏنل آهي.
مضمون جي ايندڙ حصي ۾، اسين وائرليس لاءِ 802.1x جي استعمال کي ڏسنداسين (ان گروپ تي منحصر ڪري ٿو جنهن سان صارف جو اڪائونٽ تعلق رکي ٿو، اسان ان کي لاڳاپيل نيٽ ورڪ (vlan) ۾ "اُڇليو" ڪنداسين، جيتوڻيڪ اهي ڳنڍيل هوندا. ساڳيو SSID).
جو ذريعو: www.habr.com