Биёед дар амал истифодаи Windows Active Directory + NPS (2 сервер барои таҳаммулпазирии хато) + стандарти 802.1x барои назорати дастрасӣ ва аутентификатсияи корбарон - компютерҳои доменӣ - дастгоҳҳоро баррасӣ кунем. Шумо метавонед бо назария мувофиқи стандарт дар Википедиа дар истиноди зерин шинос шавед:
Азбаски "лабораторияи" ман дар захираҳо маҳдуд аст, нақшҳои NPS ва контролери домен мувофиқанд, аммо ман тавсия медиҳам, ки шумо ҳоло ҳам чунин хидматҳои муҳимро ҷудо кунед.
Ман роҳҳои стандартии ҳамоҳангсозии конфигуратсияҳои (сиёсатҳои) Windows NPS-ро намедонам, аз ин рӯ мо скриптҳои PowerShell-ро истифода хоҳем кард, ки аз ҷониби нақшаи вазифа оғоз шудааст (муаллиф ҳамкори пешини ман аст). Барои аутентификатсияи компютерҳои доменӣ ва барои дастгоҳҳое, ки наметавонанд 802.1x (телефонҳо, принтерҳо ва ғайра), сиёсати гурӯҳӣ танзим карда мешавад ва гурӯҳҳои амниятӣ таъсис дода мешаванд.
Дар охири мақола, ман ба шумо дар бораи баъзе нозукиҳои кор бо 802.1x нақл мекунам - чӣ гуна шумо метавонед коммутаторҳои идоранашаванда, ACL-ҳои динамикӣ ва ғайраҳоро истифода баред. Ман маълумотро дар бораи "хатоҳо" -и дастгиршуда мубодила мекунам. .
Биёед бо насб ва танзими нокомии NPS дар Windows Server 2012R2 оғоз кунем (ҳамааш дар соли 2016 якхела аст): тавассути менеҷери сервер -> Ёвари илова кардани нақшҳо ва хусусиятҳо, танҳо сервери сиёсати шабакаро интихоб кунед.
ё бо истифода аз PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsЯк тавзеҳи хурд - зеро барои EAP муҳофизатшуда (PEAP) ба шумо бешубҳа шаҳодатномаи тасдиқкунандаи ҳаққонияти сервер (бо ҳуқуқи мувофиқи истифода) лозим мешавад, ки ба компютерҳои муштарӣ бовар карда мешавад, пас эҳтимоли зиёд ба шумо лозим меояд, ки нақшро насб кунед. Мақомоти сертификатсия. Аммо мо чунин мешуморем CA шумо онро аллакай насб кардаед ...
Биёед дар сервери дуюм низ ҳамин тавр кунем. Биёед папкаеро барои скрипти C:Scripts дар ҳарду сервер ва ҷузвдони шабакавӣ дар сервери дуюм эҷод кунем SRV2NPS-конфигуратсия $
Биёед дар сервери аввал скрипти PowerShell эҷод кунем C:ScriptsExport-NPS-config.ps1 бо мундариҷаи зерин:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Пас аз ин, биёед вазифаро дар Sheduler Вазифа танзим кунем: "Содирот-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Барои ҳама корбарон иҷро кунед - Бо ҳуқуқҳои баландтарин иҷро кунед
Ҳар рӯз - Вазифаро ҳар 10 дақиқа такрор кунед. дар давоми 8 соат
Дар NPS-и эҳтиётӣ воридоти конфигуратсияро (сиёсатҳоро) танзим кунед:
Биёед скрипти PowerShell эҷод кунем:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1ва супориш барои ҳар 10 дақиқа иҷро кардани он:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Барои ҳама корбарон иҷро кунед - Бо ҳуқуқҳои баландтарин иҷро кунед
Ҳар рӯз - Вазифаро ҳар 10 дақиқа такрор кунед. дар давоми 8 соат
Акнун, барои тафтиш, биёед ба NPS дар яке аз серверҳо (!) якчанд коммутаторҳоро дар муштариёни RADIUS (IP ва Сирри муштарак), ду сиёсати дархости пайвастшавӣ илова кунем: СИМОЛ - Пайваст кунед (Вазъият: "Намуди порти NAS Ethernet аст") ва WiFi - Enterprise (Вазъият: "Намуди порти NAS IEEE 802.11 аст"), инчунин сиёсати шабака Дастрасӣ ба дастгоҳҳои шабакавии Cisco (Маъмурони шабака):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Дар тарафи гузариш, танзимоти зерин:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Пас аз конфигуратсия, пас аз 10 дақиқа, ҳамаи параметрҳои сиёсати муштариён бояд дар NPS-и эҳтиётӣ пайдо шаванд ва мо метавонем бо истифода аз ҳисоби ActiveDirectory, узви гурӯҳи domainsg-network-admins (ки мо онро пешакӣ сохтаем) ба коммутаторҳо ворид шавем.
Биёед ба танзими Directory Active - сиёсати гурӯҳӣ ва парол эҷод кунем, гурӯҳҳои заруриро эҷод кунем.
Сиёсати гурӯҳӣ Компютерҳо-8021x-Танзимотҳо:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Биёед як гурӯҳи амниятӣ эҷод кунем sg-computers-8021x-vl100, ки дар он мо компютерҳоеро илова хоҳем кард, ки мо мехоҳем ба vlan 100 паҳн кунем ва филтрро барои сиёсати гурӯҳи қаблан барои ин гурӯҳ танзим кунем:
Шумо метавонед бомуваффақият кор кардани сиёсатро тавассути кушодани "Маркази шабака ва мубодила (Танзимоти шабака ва интернет) - Тағир додани танзимоти адаптер (Танзими танзимоти адаптер) - Хусусиятҳои адаптер", ки дар он ҷо мо ҷадвали "Authentication" -ро мебинем, тафтиш карда метавонед:
Вақте ки шумо боварӣ доред, ки сиёсат бомуваффақият татбиқ карда мешавад, шумо метавонед ба танзими сиёсати шабака дар NPS ва портҳои гузариш сатҳи дастрасӣ идома диҳед.
Биёед сиёсати шабакаро эҷод кунем neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Танзимоти маъмулӣ барои порти коммутатсионӣ (лутфан қайд кунед, ки навъи аутентификатсияи "мултидоменӣ" истифода мешавад - Data & Voice ва инчунин имкони аутентификатсия бо суроғаи Mac вуҷуд дорад. Дар "давраи гузариш" истифода бурдани он маъно дорад дар параметрҳо:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Идентификатсияи vlan "карантин" нест, балки ҳамонест, ки компютери корбар пас аз бомуваффақият ворид шудан ба он ҷо равад - то он даме, ки мо итминон ҳосил кунем, ки ҳама чиз ба таври лозима кор мекунад. Ин параметрҳоро дар дигар сенарияҳо истифода бурдан мумкин аст, масалан, вақте ки гузаргоҳи идоранашаванда ба ин порт васл карда мешавад ва шумо мехоҳед, ки ҳамаи дастгоҳҳои ба он пайвастшуда, ки аз аутентификатсия нагузаштаанд, ба vlan муайян (“карантин”) дохил шаванд.
гузариши танзимоти порт дар 802.1x реҷаи мизбони бисёр-домен
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitШумо метавонед боварӣ ҳосил кунед, ки компютер ва телефони шумо бо фармони зерин аз аутентификатсия бомуваффақият гузаштаанд:
sh authentication sessions int Gi1/0/39 detАкнун биёед як гурӯҳ эҷод кунем (масалан, sg-fgpp-mab ) дар Active Directory барои телефонҳо ва барои санҷиш ба он як дастгоҳ илова кунед (дар ҳолати ман ин аст Grandstream GXP2160 бо адреси мас 000b.82ba.a7b1 ва респ. ҳисоб домени 00b82baa7b1).
Барои гурӯҳи сохташуда, мо талаботи сиёсати паролро паст мекунем (бо истифода аз тавассути Маркази маъмурии Active Directory -> домен -> Система -> Контейнери танзимоти парол) бо параметрҳои зерин Парол-Танзимот-барои-MAB:
Ҳамин тариқ, мо иҷозат медиҳем, ки суроғаҳои дастгоҳро ҳамчун парол истифода барем. Пас аз ин мо метавонем сиёсати шабакаро барои аутентификатсияи усули 802.1x mab эҷод кунем, биёед онро neag-devices-8021x-voice меномем. Параметрҳо чунинанд:
- Навъи порти NAS - Ethernet
- Гурӯҳҳои Windows - sg-fgpp-mab
- Намудҳои EAP: Аутентификатсияи рамзнашуда (PAP, SPAP)
- Аттрибутҳои RADIUS – Ба фурӯшанда хос: Cisco – Cisco-AV-Pair – Арзиши атрибутӣ: дастгоҳ-трафик-класс=овоз
Пас аз тасдиқи бомуваффақият (танзим кардани порти коммутаторро фаромӯш накунед), биёед ба маълумот аз порт назар андозем:
sh аутентификатсия se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessАкнун, чунон ки ваъда дода шудааст, биёед ба якчанд ҳолатҳои тамоман равшан назар андозем. Масалан, мо бояд компютерҳо ва дастгоҳҳои корбарро тавассути коммутатори идоранашаванда пайваст кунем. Дар ин ҳолат, танзимоти порт барои он чунин хоҳад буд:
гузариши танзимоти порт дар 802.1x реҷаи мизбон-режими бисёрҷониба-auth
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS мо як хатогии хеле аҷибро мушоҳида кардем - агар дастгоҳ тавассути чунин коммутатор пайваст шуда бошад ва он гоҳ он ба коммутатори идорашаванда пайваст шуда бошад, он гоҳ то он даме ки мо коммутаторро аз нав оғоз кунем(!) КОР НАМЕШАВАД. Ман ягон роҳи дигарро наёфтам ки ин масъаларо хануз хал кунад.
Нуқтаи дигари марбут ба DHCP (агар snooping ip dhcp истифода шавад) - бе чунин имконот:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionБо баъзе сабабҳо ман суроғаи IP-ро дуруст гирифта наметавонам... гарчанде ки ин метавонад хусусияти сервери DHCP-и мо бошад
Ва Mac OS & Linux (ки 802.1x-ро дастгирӣ мекунанд) кӯшиш мекунанд, ки корбарро тасдиқ кунанд, ҳатто агар аутентификатсия аз рӯи суроғаи Mac танзим шуда бошад.
Дар қисми навбатии мақола мо истифодаи 802.1x барои бесимро дида мебароем (вобаста ба гурӯҳе, ки ҳисоби корбар ба он тааллуқ дорад, мо онро ба шабакаи мувофиқ (vlan) мепартоем, гарчанде ки онҳо ба ҳамон SSID).
Манбаъ: will.com