Uvažujme v praxi o použití Windows Active Directory + NPS (2 servery na zabezpečenie odolnosti voči chybám) + 802.1x štandard pre riadenie prístupu a autentifikáciu užívateľov - doménových počítačov - zariadení. S teóriou podľa štandardu sa môžete zoznámiť na Wikipédii, na odkaze:
Keďže moje „laboratórium“ má obmedzené zdroje, roly NPS a radiča domény sú kompatibilné, ale odporúčam, aby ste aj tak oddelili takéto kritické služby.
Nepoznám štandardné spôsoby synchronizácie konfigurácií (zásad) Windows NPS, takže použijeme skripty PowerShell spustené plánovačom úloh (autorom je môj bývalý kolega). Na autentizáciu doménových počítačov a zariadení, ktoré to nedokážu 802.1x (telefóny, tlačiarne atď.), nakonfiguruje sa skupinová politika a vytvoria sa bezpečnostné skupiny.
Na konci článku vám poviem o niektorých zložitostiach práce s 802.1x – ako môžete použiť nespravované prepínače, dynamické ACL atď. Podelím sa o informácie o „chybách“, ktoré boli zachytené. .
Začnime inštaláciou a konfiguráciou failover NPS na Windows Server 2012R2 (v roku 2016 je všetko rovnaké): cez Server Manager -> Add Roles and Features Wizard vyberte iba Network Policy Server.
alebo pomocou PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
Malé upresnenie - keďže za Chránený EAP (PEAP) určite budete potrebovať certifikát potvrdzujúci autenticitu servera (s príslušnými právami na používanie), ktorý bude dôveryhodný na klientskych počítačoch, potom budete s najväčšou pravdepodobnosťou musieť nainštalovať rolu certifikačná autorita. Ale to budeme predpokladať CA už to máš nainštalované...
Urobme to isté na druhom serveri. Vytvorme priečinok pre skript C:Scripts na oboch serveroch a sieťový priečinok na druhom serveri SRV2NPS-config$
Vytvorme skript PowerShell na prvom serveri C:ScriptsExport-NPS-config.ps1 s nasledujúcim obsahom:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Potom nakonfigurujme úlohu v plánovači úloh: “Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Spustiť pre všetkých používateľov - Spustiť s najvyššími právami
Denne – úlohu opakujte každých 10 minút. do 8 hodín
Na záložnom NPS nakonfigurujte import konfigurácie (politiky):
Poďme vytvoriť skript PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
a úlohu vykonať každých 10 minút:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Spustiť pre všetkých používateľov - Spustiť s najvyššími právami
Denne – úlohu opakujte každých 10 minút. do 8 hodín
Teraz, aby sme to skontrolovali, pridajte do NPS na jednom zo serverov (!) niekoľko prepínačov v klientoch RADIUS (IP a Shared Secret), dve zásady požiadaviek na pripojenie: WIRED-Connect (Podmienka: „typ portu NAS je Ethernet“) a WiFi-Enterprise (Podmienka: „typ portu NAS je IEEE 802.11“), ako aj zásady siete Prístup k sieťovým zariadeniam Cisco (Správcovia siete):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Na strane prepínača sú nasledujúce nastavenia:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Po konfigurácii by sa po 10 minútach mali na záložnom NPS objaviť všetky clientpolicyparameters a budeme sa môcť prihlásiť do prepínačov pomocou ActiveDirectory účtu, člena skupiny domainsg-network-admins (ktorú sme si vopred vytvorili).
Prejdime k nastaveniu Active Directory – vytvorte skupinovú politiku a politiku hesiel, vytvorte potrebné skupiny.
Skupinové pravidlá Počítače-8021x-Nastavenia:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Vytvorme bezpečnostnú skupinu sg-počítače-8021x-vl100, kde pridáme počítače, ktoré chceme distribuovať do vlan 100 a nakonfigurujeme filtrovanie pre predtým vytvorenú skupinovú politiku pre túto skupinu:
Úspešné fungovanie politiky si môžete overiť otvorením „Centrum sietí a zdieľania (Nastavenia siete a internetu) – Zmena nastavení adaptéra (Konfigurácia nastavení adaptéra) – Vlastnosti adaptéra“, kde môžeme vidieť kartu „Autentifikácia“:
Keď ste presvedčení, že politika bola úspešne aplikovaná, môžete pristúpiť k nastaveniu sieťovej politiky na NPS a portoch prepínača úrovne prístupu.
Vytvorme sieťovú politiku neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typické nastavenia pre port prepínača (upozorňujeme, že sa používa typ autentifikácie „multi-domain“ – Data & Voice a je tu aj možnosť autentifikácie podľa mac adresy. Počas „prechodného obdobia“ má zmysel používať v parametre:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan id nie je „karanténne“, ale to isté, kam by sa mal počítač používateľa dostať po úspešnom prihlásení – kým si nie sme istí, že všetko funguje ako má. Rovnaké parametre možno použiť v iných scenároch, napríklad keď je do tohto portu zapojený nespravovaný prepínač a chcete, aby všetky zariadenia k nemu pripojené, ktoré neprešli autentifikáciou, spadali do určitej vlan („karantény“).
prepnite nastavenia portu v režime hostiteľa 802.1x v režime viacerých domén
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Môžete sa uistiť, že váš počítač a telefón úspešne prešli overením pomocou príkazu:
sh authentication sessions int Gi1/0/39 det
Teraz vytvoríme skupinu (napr. sg-fgpp-mab ) v Active Directory pre telefóny a pridajte doň jedno zariadenie na testovanie (v mojom prípade je to Grandstream GXP2160 s adresou mas 000b.82ba.a7b1 a resp. účtu doména 00b82baa7b1).
Pre vytvorenú skupinu znížime požiadavky na politiku hesiel (pomocou
Povolíme teda použitie masových adries zariadení ako hesiel. Potom môžeme vytvoriť sieťovú politiku pre autentifikáciu mab metódou 802.1x, nazvime ju neag-devices-8021x-voice. Parametre sú nasledovné:
- Typ portu NAS – Ethernet
- Skupiny Windows – sg-fgpp-mab
- Typy EAP: Nešifrovaná autentifikácia (PAP, SPAP)
- Atribúty RADIUS – špecifické pre dodávateľa: Cisco – Cisco-AV-Pair – Hodnota atribútu: device-traffic-class=voice
Po úspešnej autentifikácii (nezabudnite nakonfigurovať port prepínača) sa pozrime na informácie z portu:
autentifikácia sh je int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Teraz, ako sme sľúbili, sa pozrime na niekoľko nie celkom zrejmých situácií. Potrebujeme napríklad prepojiť používateľské počítače a zariadenia cez nespravovaný prepínač (switch). V tomto prípade budú nastavenia portu vyzerať takto:
prepnite nastavenia portu v režime s viacerými autorizáciami v hostiteľskom režime 802.1x
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS: všimli sme si veľmi zvláštnu chybu - ak bolo zariadenie pripojené cez takýto prepínač a potom bolo zapojené do riadeného prepínača, potom NEBUDE fungovať, kým nereštartujeme (!) prepínač. Nenašiel som žiadne iné spôsoby tento problém ešte vyriešiť.
Ďalší bod týkajúci sa DHCP (ak sa používa ip dhcp snooping) - bez týchto možností:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Z nejakého dôvodu nemôžem správne získať IP adresu... aj keď to môže byť funkcia nášho DHCP servera
A Mac OS a Linux (ktoré majú natívnu podporu 802.1x) sa pokúšajú overiť používateľa, aj keď je nakonfigurované overovanie podľa adresy Mac.
V ďalšej časti článku sa pozrieme na využitie 802.1x pre Wireless (v závislosti od skupiny, do ktorej používateľský účet patrí, ho „hodíme“ do príslušnej siete (vlan), hoci sa budú pripájať k rovnaké SSID).
Zdroj: hab.com