Размотримо у пракси коришћење Виндовс Ацтиве Дирецтори + НПС (2 сервера за обезбеђивање толеранције грешака) + 802.1к стандард за контролу приступа и аутентификацију корисника – рачунари домена – уређаји. Са теоријом по стандарду можете се упознати на Википедији, на линку:
Пошто је моја „лабораторија“ ограничена у ресурсима, улоге НПС-а и контролора домена су компатибилне, али препоручујем да ипак одвојите такве критичне услуге.
Не знам стандардне начине за синхронизацију Виндовс НПС конфигурација (смерница), па ћемо користити ПоверСхелл скрипте које покреће планер задатака (аутор је мој бивши колега). За аутентификацију рачунара домена и за уређаје који то не могу 802.1x (телефони, штампачи, итд.), групна политика ће бити конфигурисана и безбедносне групе ће бити креиране.
На крају чланка, рећи ћу вам о неким замршеностима рада са 802.1к - како можете да користите неуправљане прекидаче, динамичке АЦЛ-ове, итд. Поделићу информације о „кваровима“ који су ухваћени. .
Почнимо са инсталирањем и конфигурисањем НПС-а за превазилажење грешке на Виндовс Сервер 2012Р2 (све је исто у 2016.): преко Сервер Манагер -> Адд Ролес анд Феатурес Визард, изаберите само Нетворк Полици Сервер.
или користећи ПоверСхелл:
Install-WindowsFeature NPAS -IncludeManagementTools
Мало појашњење – пошто за Заштићени ЕАП (ПЕАП) дефинитивно ће вам требати сертификат који потврђује аутентичност сервера (са одговарајућим правима за коришћење), који ће бити поуздан на клијентским рачунарима, тада ћете највероватније морати да инсталирате улогу Орган за сертификацију. Али то ћемо претпоставити CA већ сте га инсталирали...
Урадимо исто на другом серверу. Хајде да направимо фасциклу за Ц:Сцриптс скрипту на оба сервера и мрежну фасциклу на другом серверу СРВ2НПС-цонфиг$
Хајде да направимо ПоверСхелл скрипту на првом серверу Ц:СцриптсЕкпорт-НПС-цонфиг.пс1 са следећим садржајем:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
После овога, хајде да конфигуришемо задатак у распореду задатака: „Екпорт-НпсЦонфигуратион"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Покрени за све кориснике - Покрени са највишим правима
Дневно - Понављајте задатак сваких 10 минута. у року од 8 сати
На резервном НПС-у, конфигуришите увоз конфигурације (смернице):
Хајде да направимо ПоверСхелл скрипту:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
и задатак да га изврши сваких 10 минута:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Покрени за све кориснике - Покрени са највишим правима
Дневно - Понављајте задатак сваких 10 минута. у року од 8 сати
Сада, да проверимо, додајмо НПС-у на једном од сервера(!) неколико прекидача у РАДИУС клијентима (ИП и Схаред Сецрет), две политике захтева за повезивање: ВИРЕД-Цоннецт (Услов: „Тип НАС порта је Етхернет“) и ВиФи-Ентерприсе (Услов: „Тип НАС порта је ИЕЕЕ 802.11“), као и мрежна политика Приступите Цисцо мрежним уређајима (Администратори мреже):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
На страни прекидача следећа подешавања:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Након конфигурације, након 10 минута, сви параметри клијентске политике би требало да се појаве на резервном НПС-у и моћи ћемо да се пријавимо на прекидаче користећи АцтивеДирецтори налог, члан групе домена-нетворк-админс (коју смо унапред креирали).
Пређимо на подешавање Ацтиве Дирецтори - креирајте политике група и лозинки, креирајте потребне групе.
Гроуп Полици Цомпутерс-8021к-Сеттингс:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
НПС-802-1к
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Хајде да направимо безбедносну групу сг-цомпутерс-8021к-вл100, где ћемо додати рачунаре које желимо да дистрибуирамо у влан 100 и конфигурисати филтрирање за претходно креирану групну политику за ову групу:
Можете да проверите да ли је политика успешно функционисала тако што ћете отворити „Центар за мрежу и дељење (Подешавања мреже и Интернета) – Промена подешавања адаптера (Конфигурисање подешавања адаптера) – Својства адаптера“, где можемо да видимо картицу „Аутентификација“:
Када се уверите да је политика успешно примењена, можете наставити са подешавањем мрежне политике на портовима НПС-а и комутатора нивоа приступа.
Хајде да креирамо мрежну политику неаг-цомпутерс-8021к-вл100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Типична подешавања за порт свича (имајте на уму да се користи тип аутентификације „више домена“ – Дата & Воице, а постоји и могућност аутентификације преко мац адресе. Током „прелазног периода“ има смисла користити у параметри:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Влан ИД није „карантин“, већ исти онај где би рачунар корисника требало да иде након успешног пријављивања – док не будемо сигурни да све ради како треба. Ови исти параметри се могу користити у другим сценаријима, на пример, када је неуправљани прекидач прикључен на овај порт и желите да сви уређаји повезани на њега који нису прошли аутентификацију падну у одређени влан („карантин“).
промените подешавања порта у 802.1к режиму више домена у режиму домаћина
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Можете да се уверите да су ваш рачунар и телефон успешно прошли аутентификацију помоћу команде:
sh authentication sessions int Gi1/0/39 det
Сада направимо групу (нпр. сг-фгпп-маб ) у Ацтиве Дирецтори за телефоне и додајте му један уређај за тестирање (у мом случају је Грандстреам ГКСП2160 са мас адресом 000б.82ба.а7б1 и одн. рачун домен 00б82баа7б1).
За креирану групу смањићемо захтеве политике лозинки (користећи
Стога ћемо дозволити употребу масовних адреса уређаја као лозинки. Након овога можемо креирати мрежну политику за маб аутентификацију 802.1к методе, назовимо је неаг-девицес-8021к-воице. Параметри су следећи:
- Тип НАС порта – Етхернет
- Виндовс групе – сг-фгпп-маб
- ЕАП типови: нешифрована аутентификација (ПАП, СПАП)
- РАДИУС атрибути – Специфични за добављача: Цисцо – Цисцо-АВ-Паир – Вредност атрибута: девице-траффиц-цласс=воице
Након успешне аутентификације (не заборавите да конфигуришете порт комутатора), погледајмо информације са порта:
сх аутентикација се инт Ги1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Сада, као што смо обећали, погледајмо неколико не сасвим очигледних ситуација. На пример, потребно је да повежемо корисничке рачунаре и уређаје преко неуправљаног прекидача (прекидача). У овом случају, подешавања порта за њега ће изгледати овако:
промените подешавања порта у 802.1к режиму више ауторизације
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
ПС приметили смо веома чудан квар - ако је уређај био повезан преко таквог прекидача, а затим је био прикључен на управљани прекидач, онда неће радити док не рестартујемо(!) прекидач. Нисам нашао друге начине да још решимо овај проблем.
Још једна тачка која се односи на ДХЦП (ако се користи ип дхцп сноопинг) - без таквих опција:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Из неког разлога не могу тачно да добијем ИП адресу... иако је ово можда карактеристика нашег ДХЦП сервера
А Мац ОС и Линук (који имају изворну подршку 802.1к) покушавају да аутентификују корисника, чак и ако је конфигурисана аутентификација преко Мац адресе.
У следећем делу чланка ћемо се осврнути на коришћење 802.1к за бежичну везу (у зависности од групе којој припада кориснички налог, „бацићемо“ га у одговарајућу мрежу (влан), иако ће се они повезати на исти ССИД).
Извор: ввв.хабр.цом