Låt oss i praktiken överväga användningen av Windows Active Directory + NPS (2 servrar för att säkerställa feltolerans) + 802.1x-standard för åtkomstkontroll och autentisering av användare - domändatorer - enheter. Du kan bekanta dig med teorin enligt standarden på Wikipedia, på länken:
Eftersom mitt "laboratorium" är begränsat i resurser är rollerna för NPS och domänkontrollant kompatibla, men jag rekommenderar att du fortfarande separerar sådana kritiska tjänster.
Jag känner inte till standardsätt för att synkronisera Windows NPS-konfigurationer (policyer), så vi kommer att använda PowerShell-skript som lanseras av uppgiftsschemaläggaren (författaren är min tidigare kollega). För autentisering av domändatorer och för enheter som inte kan 802.1x (telefoner, skrivare, etc.), kommer grupppolicy att konfigureras och säkerhetsgrupper skapas.
I slutet av artikeln kommer jag att berätta om några av krångligheterna med att arbeta med 802.1x - hur du kan använda ohanterade switchar, dynamiska ACL, etc. Jag kommer att dela information om de "glitches" som fångades. .
Låt oss börja med att installera och konfigurera failover-NPS på Windows Server 2012R2 (allt är sig likt 2016): via Serverhanteraren -> Guiden Lägg till roller och funktioner, välj endast Network Policy Server.
eller använda PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsEtt litet förtydligande - eftersom för Protected EAP (PEAP) du kommer definitivt att behöva ett certifikat som bekräftar serverns äkthet (med lämpliga rättigheter att använda), som kommer att litas på på klientdatorer, då kommer du troligen att behöva installera rollen Certifieringsmyndighet. Men vi kommer att anta det CA du har redan installerat det...
Låt oss göra samma sak på den andra servern. Låt oss skapa en mapp för C:Scripts-skriptet på båda servrarna och en nätverksmapp på den andra servern SRV2NPS-config$
Låt oss skapa ett PowerShell-skript på den första servern C:ScriptsExport-NPS-config.ps1 med följande innehåll:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Efter detta, låt oss konfigurera uppgiften i Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Kör för alla användare - Kör med högsta rättigheter
Dagligen - Upprepa uppgiften var 10:e minut. inom 8 timmar
På backup-NPS, konfigurera import av konfiguration (policyer):
Låt oss skapa ett PowerShell-skript:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1och en uppgift att utföra den var tionde minut:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Kör för alla användare - Kör med högsta rättigheter
Dagligen - Upprepa uppgiften var 10:e minut. inom 8 timmar
Nu, för att kontrollera, låt oss lägga till NPS på en av servrarna(!) ett par switchar i RADIUS-klienter (IP och Shared Secret), två policyer för anslutningsbegäran: WIRED-Anslut (Villkor: "NAS-porttyp är Ethernet") och WiFi-företag (Villkor: "NAS-porttyp är IEEE 802.11"), samt nätverkspolicy Få åtkomst till Cisco Network Devices (Nätverksadministratörer):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15På switchsidan, följande inställningar:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Efter konfiguration, efter 10 minuter, bör alla clientspolicyparametrar visas på backup-NPS och vi kommer att kunna logga in på switcharna med ett ActiveDirectory-konto, en medlem av gruppen domainsg-network-admins (som vi skapade i förväg).
Låt oss gå vidare till att ställa in Active Directory - skapa grupp- och lösenordspolicyer, skapa de nödvändiga grupperna.
Gruppolicy Datorer-8021x-inställningar:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Låt oss skapa en säkerhetsgrupp sg-datorer-8021x-vl100, där vi lägger till datorer som vi vill distribuera till vlan 100 och konfigurerar filtrering för den tidigare skapade grupppolicyn för denna grupp:
Du kan verifiera att policyn har fungerat framgångsrikt genom att öppna "Nätverks- och delningscenter (nätverks- och internetinställningar) - Ändra adapterinställningar (Konfigurera adapterinställningar) - Adapteregenskaper", där vi kan se fliken "Autentisering":
När du är övertygad om att policyn har tillämpats framgångsrikt kan du fortsätta med att ställa in nätverkspolicyn på NPS- och åtkomstnivåväxlingsportarna.
Låt oss skapa en nätverkspolicy neag-datorer-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Typiska inställningar för switchporten (observera att autentiseringstypen "multi-domän" används - Data & Voice, och det finns även möjlighet till autentisering med mac-adress. Under "övergångsperioden" är det vettigt att använda i parametrar:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan-id:t är inte en "karantän", utan samma som användarens dator ska gå efter att ha lyckats logga in - tills vi är säkra på att allt fungerar som det ska. Samma parametrar kan användas i andra scenarier, till exempel när en ohanterad switch är ansluten till den här porten och du vill att alla enheter som är anslutna till den som inte har passerat autentisering ska hamna i ett visst vlan ("karantän").
byta portinställningar i 802.1x värdläge för flera domäner
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitDu kan se till att din dator och telefon har klarat autentiseringen med kommandot:
sh authentication sessions int Gi1/0/39 detLåt oss nu skapa en grupp (t.ex. sg-fgpp-mab ) i Active Directory för telefoner och lägg till en enhet till den för testning (i mitt fall är det Grandstream GXP2160 med mas adress 000b.82ba.a7b1 och resp. konto domän 00b82baa7b1).
För den skapade gruppen kommer vi att sänka lösenordspolicykraven (med via Active Directory Administrative Center -> domän -> System -> Lösenordsinställningar Container) med följande parametrar Lösenord-inställningar-för-MAB:
Därför kommer vi att tillåta användningen av enhetens mas-adresser som lösenord. Efter detta kan vi skapa en nätverkspolicy för 802.1x-metoden mab-autentisering, låt oss kalla det neag-devices-8021x-voice. Parametrarna är följande:
- NAS-porttyp – Ethernet
- Windows-grupper – sg-fgpp-mab
- EAP-typer: Okrypterad autentisering (PAP, SPAP)
- RADIUS-attribut – leverantörsspecifika: Cisco – Cisco-AV-Pair – Attributvärde: device-traffic-class=voice
Efter framgångsrik autentisering (glöm inte att konfigurera switchporten), låt oss titta på informationen från porten:
sh autentiseringsinställning Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessLåt oss nu, som utlovat, titta på ett par inte helt uppenbara situationer. Till exempel behöver vi ansluta användardatorer och enheter via en ohanterad switch (switch). I det här fallet kommer portinställningarna för den att se ut så här:
byta portinställningar i 802.1x-värdläge multiauth-läge
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS vi märkte ett mycket konstigt fel - om enheten var ansluten via en sådan switch, och sedan ansluts till en hanterad switch, så kommer den INTE att fungera förrän vi startar om(!) switchen. Jag har inte hittat några andra sätt att lösa detta problem ännu.
En annan punkt relaterad till DHCP (om ip dhcp snooping används) - utan sådana alternativ:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionAv någon anledning kan jag inte få IP-adressen korrekt... även om detta kan vara en funktion på vår DHCP-server
Och Mac OS och Linux (som har inbyggt 802.1x-stöd) försöker autentisera användaren, även om autentisering med Mac-adress är konfigurerad.
I nästa del av artikeln kommer vi att titta på användningen av 802.1x för trådlöst (beroende på gruppen som användarkontot tillhör kommer vi att "kasta" det i motsvarande nätverk (vlan), även om de kommer att ansluta till samma SSID).
Källa: will.com