Le të shqyrtojmë në praktikë përdorimin e Windows Active Directory + NPS (2 serverë për të siguruar tolerancën e gabimeve) + standardin 802.1x për kontrollin e aksesit dhe vërtetimin e përdoruesve - kompjuterëve të domenit - pajisjeve. Mund të njiheni me teorinë sipas standardit në Wikipedia, në linkun:
Meqenëse "laboratori" im është i kufizuar në burime, rolet e NPS dhe kontrolluesit të domenit janë të pajtueshme, por unë rekomandoj që të ndani ende shërbime të tilla kritike.
Nuk di mënyra standarde për të sinkronizuar konfigurimet (politikat) e Windows NPS, kështu që ne do të përdorim skriptet PowerShell të lançuara nga planifikuesi i detyrave (autori është ish-kolegu im). Për vërtetimin e kompjuterëve të domenit dhe për pajisjet që nuk munden 802.1x (telefonat, printerët, etj.), do të konfigurohet politika e grupit dhe do të krijohen grupe sigurie.
Në fund të artikullit, unë do t'ju tregoj për disa nga ndërlikimet e punës me 802.1x - si mund të përdorni çelsat e pamenaxhuar, ACL dinamike, etj. Unë do të ndaj informacione për "defektet" që u kapën. .
Le të fillojmë me instalimin dhe konfigurimin e dështimit të NPS në Windows Server 2012R2 (gjithçka është e njëjtë në 2016): përmes Menaxherit të Serverit -> Magjistari i Shto roleve dhe veçorive, zgjidhni vetëm Serverin e Politikave të Rrjetit.
ose duke përdorur PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsNjë sqarim i vogël - që nga për EAP i mbrojtur (PEAP) do t'ju duhet patjetër një certifikatë që konfirmon origjinalitetin e serverit (me të drejtat e duhura për t'u përdorur), e cila do të besohet në kompjuterët e klientit, atëherë ka shumë të ngjarë që do t'ju duhet të instaloni rolin Autoriteti i Certifikimit. Por ne do të supozojmë se CA ju tashmë e keni të instaluar ...
Le të bëjmë të njëjtën gjë në serverin e dytë. Le të krijojmë një dosje për skriptin C: Scripts në të dy serverët dhe një dosje rrjeti në serverin e dytë SRV2NPS-konfigurim$
Le të krijojmë një skript PowerShell në serverin e parë C:ScriptsExport-NPS-config.ps1 me përmbajtjen e mëposhtme:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Pas kësaj, le të konfigurojmë detyrën në Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Ekzekuto për të gjithë përdoruesit - Ekzekuto me të drejtat më të larta
Çdo ditë - Përsëriteni detyrën çdo 10 minuta. brenda 8 orëve
Në NPS-në rezervë, konfiguroni importin e konfigurimit (politikat):
Le të krijojmë një skript PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1dhe një detyrë për ta ekzekutuar atë çdo 10 minuta:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Ekzekuto për të gjithë përdoruesit - Ekzekuto me të drejtat më të larta
Çdo ditë - Përsëriteni detyrën çdo 10 minuta. brenda 8 orëve
Tani, për të kontrolluar, le t'i shtojmë NPS-së në një nga serverët(!) disa ndërprerës në klientët RADIUS (IP dhe Shared Secret), dy politika të kërkesave për lidhje: WIRED-Lidhu (Kushti: "Lloji i portit NAS është Ethernet") dhe WiFi-Ndërmarrje (Kushti: "Lloji i portit NAS është IEEE 802.11"), si dhe politika e rrjetit Hyni në pajisjet e rrjetit Cisco (Administrat e rrjetit):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Në anën e çelësit, cilësimet e mëposhtme:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Pas konfigurimit, pas 10 minutash, të gjithë parametrat e politikave të klientit duhet të shfaqen në NPS-në rezervë dhe ne do të jemi në gjendje të identifikohemi në çelësat duke përdorur një llogari ActiveDirectory, një anëtar i grupit të domainsg-network-admins (të cilin e kemi krijuar paraprakisht).
Le të kalojmë në konfigurimin e Active Directory - krijoni politika grupi dhe fjalëkalimi, krijoni grupet e nevojshme.
Politika e Grupit Kompjuterët-8021x-Cilësimet:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Le të krijojmë një grup sigurie sg-computers-8021x-vl100, ku do të shtojmë kompjuterët që duam t'i shpërndajmë në vlan 100 dhe do të konfigurojmë filtrimin për politikën e grupit të krijuar më parë për këtë grup:
Mund të verifikoni që politika ka funksionuar me sukses duke hapur “Qendrën e Rrjetit dhe Ndarjes (Cilësimet e Rrjetit dhe Internetit) – Ndryshimi i cilësimeve të përshtatësit (Konfigurimi i cilësimeve të përshtatësit) – Karakteristikat e përshtatësit”, ku mund të shohim skedën “Vërtetimi”:
Kur të jeni të bindur se politika është zbatuar me sukses, mund të vazhdoni me konfigurimin e politikës së rrjetit në portat e ndërprerësit NPS dhe të nivelit të aksesit.
Le të krijojmë një politikë rrjeti neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Cilësimet tipike për portin switch (ju lutemi vini re se përdoret lloji i vërtetimit "multi-domain" - Data & Voice, dhe ekziston gjithashtu mundësia e vërtetimit nga adresa mac. Gjatë "periudhës së tranzicionit" ka kuptim të përdoret në parametrat:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
ID-ja vlan nuk është një "karantinë", por e njëjta ku kompjuteri i përdoruesit duhet të shkojë pas hyrjes me sukses - derisa të jemi të sigurt se gjithçka po funksionon ashtu siç duhet. Të njëjtat parametra mund të përdoren në skenarë të tjerë, për shembull, kur një ndërprerës i pamenaxhuar është futur në këtë portë dhe dëshironi që të gjitha pajisjet e lidhura me të që nuk kanë kaluar vërtetimin të bien në një vlan të caktuar ("karantinë").
ndërroni cilësimet e portit në modalitetin 802.1x të modalitetit pritës me shumë domene
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitMund të siguroheni që kompjuteri dhe telefoni juaj të kenë kaluar me sukses vërtetimin me komandën:
sh authentication sessions int Gi1/0/39 detTani le të krijojmë një grup (për shembull, sg-fgpp-mab ) në Active Directory për telefona dhe shtoni një pajisje në të për testim (në rastin tim është Grandstream GXP2160 me adresë mas 000b.82ba.a7b1 dhe respekt. llogari domeni 00b82baa7b1).
Për grupin e krijuar, ne do të ulim kërkesat e politikës së fjalëkalimit (duke përdorur nëpërmjet Qendrës Administrative të Active Directory -> domain -> Sistemi -> Kontejneri i cilësimeve të fjalëkalimit) me parametrat e mëposhtëm Fjalëkalimi-Cilësimet-për-MAB:
Kështu, ne do të lejojmë përdorimin e adresave mas të pajisjes si fjalëkalime. Pas kësaj, ne mund të krijojmë një politikë rrjeti për vërtetimin mab të metodës 802.1x, le ta quajmë atë neag-devices-8021x-voice. Parametrat janë si më poshtë:
- Lloji i portit NAS - Ethernet
- Grupet e Windows – sg-fgpp-mab
- Llojet EAP: Vërtetim i pakriptuar (PAP, SPAP)
- Atributet RADIUS – Specifike për shitësin: Cisco – Cisco-AV-Pair – Vlera e atributit: pajisje-trafiku-klasa=zë
Pas vërtetimit të suksesshëm (mos harroni të konfiguroni portën e kalimit), le të shohim informacionin nga porti:
sh autentifikimi se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessTani, siç u premtua, le të shohim disa situata jo plotësisht të dukshme. Për shembull, ne duhet të lidhim kompjuterët dhe pajisjet e përdoruesve përmes një ndërprerësi (switch) të pamenaxhuar. Në këtë rast, cilësimet e portit për të do të duken kështu:
ndërroni cilësimet e portit në modalitetin 802.1x të modalitetit pritës me shumë autorizim
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS vumë re një defekt shumë të çuditshëm - nëse pajisja ishte e lidhur përmes një ndërprerës të tillë, dhe më pas ishte futur në një ndërprerës të menaxhuar, atëherë NUK do të funksionojë derisa të rindizim(!) çelësin. Unë nuk kam gjetur asnjë mënyrë tjetër për të zgjidhur ende këtë problem.
Një pikë tjetër që lidhet me DHCP (nëse përdoret snooping ip dhcp) - pa opsione të tilla:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionPër disa arsye nuk mund ta marr saktë adresën IP... edhe pse kjo mund të jetë një veçori e serverit tonë DHCP
Dhe Mac OS & Linux (të cilat kanë mbështetje origjinale 802.1x) përpiqen të vërtetojnë përdoruesin, edhe nëse vërtetimi nga adresa Mac është konfiguruar.
Në pjesën tjetër të artikullit, do të shikojmë përdorimin e 802.1x për Wireless (në varësi të grupit të cilit i përket llogaria e përdoruesit, ne do ta "hedhim" atë në rrjetin përkatës (vlan), megjithëse ata do të lidhen me e njëjta SSID).
Burimi: www.habr.com