Hayu urang nganggap dina prakna pamakéan Windows Active Directory + NPS (2 server pikeun kasabaran sesar) + 802.1x standar pikeun kontrol aksés jeung auténtikasi pamaké - domain computers - devices. Anjeun tiasa ngenalkeun téori numutkeun standar di Wikipedia, dina tautan:
Kusabab "laboratorium" kuring dugi ka sumber daya, NPS sareng peran controller domain cocog, tapi kuring nyarankeun yén anjeun misahkeun jasa kritis sapertos kitu.
Kuring henteu terang cara standar pikeun nyingkronkeun konfigurasi (kabijakan) Windows NPS, ku kituna kami bakal nganggo skrip PowerShell anu diluncurkeun ku penjadwal tugas (panulis nyaéta urut batur sapagawean kuring). Pikeun auténtikasi komputer domain jeung alat nu teu nyaho kumaha carana 802.1x (telepon, printer, jsb), kawijakan grup bakal ngonpigurasi sarta grup kaamanan bakal dijieun.
Dina ahir tulisan kuring bakal ngobrol ngeunaan sababaraha intricacies gawé bareng 802.1x - kumaha anjeun tiasa nganggo saklar unmanaged, ACL dinamis, jsb Kuring baris babagi informasi ngeunaan bray "glitches" ...
Hayu urang mimitian ku masang jeung ngonpigurasikeun failover NPS on Windows Server 2012R2 (dina 2016 sagalana sarua): ngaliwatan Server Manager -> Tambahkeun Kalungguhan sarta Fitur Wizard, pilih ukur Server Sarat jeung Kaayaan Network.
atanapi nganggo PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsA klarifikasi leutik - sakumaha keur EAP Dilindungan (PEAP) Anjeun pasti peryogi sertipikat anu mastikeun kaaslian server (kalayan hak anu pas pikeun dianggo), anu bakal dipercanten dina komputer klien, maka anjeun kamungkinan ogé kedah masang peranna. Otoritas Sertifikasi. Tapi urang bakal nganggap éta CA anjeun parantos dipasang ...
Hayu urang lakonan hal nu sarua dina server kadua. Hayu urang nyieun folder pikeun C: Aksara Aksara dina duanana server na folder jaringan dina server kadua SRV2NPS-config $
Hayu urang nyieun skrip PowerShell dina server munggaran C:ScriptsExport-NPS-config.ps1 kalawan eusi handap:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Saatos éta, setel tugas dina Penjadwal Tugas: "Ékspor-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Jalankeun pikeun sadaya pangguna - Jalankeun kalayan hak istimewa anu paling luhur
Poéan - Malikan tugas unggal 10 menit. dina 8 jam
Dina cadangan NPS, konpigurasikeun konfigurasi (kawijakan) impor:
jieun skrip PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1sareng tugas pikeun ngalaksanakeunana unggal 10 menit:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Jalankeun pikeun sadaya pangguna - Jalankeun kalayan hak istimewa anu paling luhur
Poéan - Malikan tugas unggal 10 menit. dina 8 jam
Ayeuna, pikeun verifikasi, hayu urang tambahkeun ka NPS dina salah sahiji server (!) Sababaraha saklar dina klien RADIUS (IP sareng Rahasia Dibagi), dua kawijakan pamundut sambungan: WIRED Nyambung (Kaayaan: "Tipe port NAS nyaeta Ethernet") jeung WiFi-Perusahaan (Kaayaan: "Tipe port NAS nyaéta IEEE 802.11") sareng kawijakan jaringan Aksés Cisco Network Alat (Admin Jaringan):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Di sisi switch, setélan di handap ieu:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Saatos netepkeun, saatos 10 menit, sadaya setélan kawijakan kedah muncul dina cadangan NPS sareng urang tiasa log in kana saklar nganggo akun ActiveDirectory, anggota grup domainsg-network-admins (anu kami jieun sateuacanna).
Hayu urang ngaléngkah ka ngonpigurasikeun Active Directory - nyieun grup jeung kawijakan sandi, nyieun grup perlu.
Kawijakan Grup Komputer-8021x-Setélan:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Jieun grup kaamanan sg-komputer-8021x-vl100, dimana urang bakal nambahkeun komputer nu urang hoyong ngadistribusikaeun ka vlan 100 tur nyetel nyaring pikeun kawijakan grup saméméhna dijieun pikeun grup ieu:
Anjeun tiasa mastikeun yén kawijakan éta parantos suksés kalayan muka "Puseur Jaringan sareng Babagi (Setélan Jaringan sareng Internét) - Robah setélan adaptor (Konfigurasi setélan adaptor) - Sipat adaptor", dimana urang tiasa ningali tab "Authentication":
Nalika anjeun yakin yén kawijakan éta suksés diterapkeun, anjeun tiasa neruskeun ngonpigurasikeun kawijakan jaringan dina NPS sareng palabuhan switch tingkat aksés.
Hayu urang nyieun kawijakan jaringan negag-komputer-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Setélan has pikeun port switch (punten dicatet yén "multi-domain" tipe auténtikasi dipaké - Data & Sora, sarta aya ogé kamungkinan auténtikasi ku alamat mac. Salila "periode transisi", ngajadikeun rasa ngagunakeun dina parameter:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id sanes "karantina", tapi anu sami dimana komputer pangguna kedah nampi saatos suksés login - dugi ka urang mastikeun yén sadayana jalan sakumaha anu sakuduna. Parameter anu sami tiasa dianggo dina skenario anu sanés, contona, nalika saklar anu teu diurus dipasang kana port ieu sareng anjeun hoyong sadaya alat disambungkeun kana éta sareng henteu dioténtikasi pikeun digolongkeun kana vlan anu tangtu ("karantina").
pindah setélan port dina 802.1x host-mode multi-domain mode
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitAnjeun tiasa mastikeun yén telepon komputer parantos suksés ngalangkungan auténtikasi kalayan paréntah:
sh authentication sessions int Gi1/0/39 detAyeuna hayu urang jieun grup (contona, sg-fgpp-mab ) dina Active Directory pikeun telepon sareng tambahkeun hiji alat uji ka dinya (bisi kuring, ieu Grandstream GXP2160 kalayan alamat mas 000b.82ba.a7b1 jeung acc. akun domain 00b82baa7b1).
Pikeun grup anu diciptakeun, handapkeun syarat kawijakan sandi (nganggo via Active Directory Administrative Center -> domain -> System -> Sandi Settings Container) kalayan parameter ieu Sandi-Setélan-pikeun-MAB:
ieu bakal ngidinan urang ngagunakeun mas-alamat alat salaku kecap akses. Sanggeus éta urang bisa nyieun kawijakan jaringan pikeun 802.1x metoda mab auténtikasi, hayu urang sebut wae neag-alat-8021x-sora. Parameterna nyaéta kieu:
- Tipe Port NAS - Ethernet
- Grup Windows - sg-fgpp-mab
- Jenis EAP: Auténtikasi teu énkripsi (PAP, SPAP)
- Atribut RADIUS - Spésifik Vendor: Cisco - Cisco-AV-Pair - Nilai atribut: alat-lalulintas-kelas=sora
sanggeus auténtikasi suksés (ulah poho pikeun ngonpigurasikeun port switch), hayu urang tingali informasi ti port nu:
sh auténtikasi se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessAyeuna, sakumaha jangji, mertimbangkeun sababaraha kaayaan teu sagemblengna atra. Contona, urang kudu nyambungkeun komputer jeung alat pamaké ngaliwatan switch unmanaged (switch). Dina hal ieu, setélan port pikeun éta bakal sapertos kieu:
pindah setélan port dina 802.1x host-mode multi-auth mode
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS A glitch pisan aneh ieu noticed - lamun alat disambungkeun ngaliwatan switch kitu, lajeng ieu plugged kana switch junun, mangka NOT bakal dianggo dugi kami reboot (!) switch. Kuring geus teu kapanggih cara séjén pikeun ngajawab. masalah ieu.
titik sejen patali DHCP (lamun ip dhcp snooping dipaké) - tanpa pilihan ieu:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionpikeun sababaraha alesan, abdi teu bisa meunangkeun alamat ip bener ... sanajan ieu bisa jadi ciri tina server DHCP urang
Ogé, Mac OS & Linux Ubuntu (nu rojongan 802.1x asli) coba pikeun nga-asténtikasi pamaké, sanajan auténtikasi ku alamat mac geus ngonpigurasi.
Dina bagian saterusna artikel, urang bakal mertimbangkeun pamakéan 802.1x pikeun Wireless (gumantung kana grup nu akun pamaké milik, urang bakal "ngalungkeun" kana jaringan luyu (vlan), sanajan maranéhna bakal nyambung ka SSID sarua).
sumber: www.habr.com