ProHoster > Blog > Pangangasiwa > Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)
Isaalang-alang natin sa pagsasanay ang paggamit ng Windows Active Directory + NPS (2 server upang matiyak ang fault tolerance) + 802.1x na pamantayan para sa kontrol sa pag-access at pagpapatunay ng mga user - mga computer ng domain - mga device. Maaari kang maging pamilyar sa teorya ayon sa pamantayan sa Wikipedia, sa link: IEEE 802.1X

Dahil ang aking "laboratoryo" ay limitado sa mga mapagkukunan, ang mga tungkulin ng NPS at domain controller ay magkatugma, ngunit inirerekomenda ko na paghiwalayin mo pa rin ang mga naturang kritikal na serbisyo.

Hindi ko alam ang mga karaniwang paraan upang i-synchronize ang mga configuration ng Windows NPS (mga patakaran), kaya gagamitin namin ang mga PowerShell script na inilunsad ng task scheduler (ang may-akda ay ang aking dating kasamahan). Para sa pagpapatunay ng mga domain computer at para sa mga device na hindi 802.1x (mga telepono, printer, atbp.), iko-configure ang patakaran ng grupo at gagawin ang mga pangkat ng seguridad.

Sa dulo ng artikulo, sasabihin ko sa iyo ang tungkol sa ilan sa mga intricacies ng pagtatrabaho sa 802.1x - kung paano mo magagamit ang mga hindi pinamamahalaang switch, dynamic na ACL, atbp. Magbabahagi ako ng impormasyon tungkol sa mga "glitches" na nahuli.. .

Magsimula tayo sa pag-install at pag-configure ng failover NPS sa Windows Server 2012R2 (lahat ay pareho sa 2016): sa pamamagitan ng Server Manager -> Add Roles and Features Wizard, piliin lamang ang Network Policy Server.

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

o gamit ang PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

Isang maliit na paglilinaw - dahil para sa Protektadong EAP (PEAP) tiyak na kakailanganin mo ng isang sertipiko na nagpapatunay sa pagiging tunay ng server (na may naaangkop na mga karapatang gamitin), na mapagkakatiwalaan sa mga computer ng kliyente, pagkatapos ay malamang na kailangan mong i-install ang papel Awtoridad ng Sertipikasyon. Ngunit ipagpalagay natin iyon CA na-install mo na ito...

Gawin natin ang parehong sa pangalawang server. Gumawa tayo ng folder para sa C: Scripts script sa parehong mga server at isang network folder sa pangalawang server SRV2NPS-config$

Gumawa tayo ng PowerShell script sa unang server C:ScriptsExport-NPS-config.ps1 gamit ang sumusunod na nilalaman:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

Pagkatapos nito, i-configure natin ang gawain sa Task Sheduler: "Export-NpsConfiguration"

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

Patakbuhin para sa lahat ng user - Patakbuhin nang may pinakamataas na karapatan
Araw-araw - Ulitin ang gawain tuwing 10 minuto. sa loob ng 8 oras

Sa backup na NPS, i-configure ang pag-import ng configuration (mga patakaran):
Gumawa tayo ng PowerShell script:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

at isang gawain upang maisagawa ito tuwing 10 minuto:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

Patakbuhin para sa lahat ng user - Patakbuhin nang may pinakamataas na karapatan
Araw-araw - Ulitin ang gawain tuwing 10 minuto. sa loob ng 8 oras

Ngayon, upang suriin, magdagdag tayo sa NPS sa isa sa mga server(!) ng ilang switch sa mga kliyente ng RADIUS (IP at Shared Secret), dalawang patakaran sa paghiling ng koneksyon: WIRED-Kumonekta (Kondisyon: "Ang uri ng NAS port ay Ethernet") at WiFi-Enterprise (Kondisyon: "Ang uri ng NAS port ay IEEE 802.11"), pati na rin ang patakaran sa network I-access ang Mga Cisco Network Device (Mga Admin ng Network):

Условия:
Π“Ρ€ΡƒΠΏΠΏΡ‹ Windows - domainsg-network-admins
ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΡ:
ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ подлинности - ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ тСкстом (PAP, SPAP)
ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹:
Атрибуты RADIUS: Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚ - Service-Type - Login
ЗависящиС ΠΎΡ‚ поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

Sa gilid ng switch, ang mga sumusunod na setting:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

Pagkatapos ng configuration, pagkatapos ng 10 minuto, dapat na lumabas ang lahat ng clientspolicyparameters sa backup na NPS at makakapag-log in kami sa mga switch gamit ang isang ActiveDirectory account, isang miyembro ng domainsg-network-admins group (na ginawa namin nang maaga).

Magpatuloy tayo sa pag-set up ng Active Directory - gumawa ng mga patakaran ng grupo at password, gumawa ng mga kinakailangang grupo.

Patakaran ng pangkat Mga Computer-8021x-Mga Setting:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies


NPS-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Gumawa tayo ng pangkat ng seguridad sg-computers-8021x-vl100, kung saan magdaragdag kami ng mga computer na gusto naming ipamahagi sa vlan 100 at i-configure ang pag-filter para sa dati nang ginawang patakaran ng grupo para sa pangkat na ito:

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Maaari mong i-verify na matagumpay na gumana ang patakaran sa pamamagitan ng pagbubukas ng β€œNetwork and Sharing Center (Network and Internet Settings) – Pagpapalit ng mga setting ng adapter (Pag-configure ng mga setting ng adapter) – Adapter Properties”, kung saan makikita natin ang tab na β€œAuthentication”:

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Kapag kumbinsido kang matagumpay na nailapat ang patakaran, maaari kang magpatuloy sa pagse-set up ng patakaran sa network sa NPS at mga switch sa antas ng access port.

Gumawa tayo ng patakaran sa network neag-computers-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Mga karaniwang setting para sa switch port (pakitandaan na ang uri ng pagpapatotoo na "multi-domain" ay ginagamit – Data at Boses, at mayroon ding posibilidad ng pagpapatotoo sa pamamagitan ng mac address. Sa panahon ng "panahon ng paglipat" makatuwirang gamitin sa mga parameter:


authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

Ang vlan id ay hindi isang "quarantine", ngunit ang parehong kung saan dapat mapunta ang computer ng user pagkatapos matagumpay na mag-log in - hanggang sa matiyak namin na gumagana ang lahat ayon sa nararapat. Ang parehong mga parameter na ito ay maaaring gamitin sa iba pang mga sitwasyon, halimbawa, kapag ang isang hindi pinamamahalaang switch ay nakasaksak sa port na ito at gusto mong lahat ng device na nakakonekta dito na hindi nakapasa sa pagpapatotoo ay mahulog sa isang partikular na vlan ("quarantine").

lumipat ng mga setting ng port sa 802.1x host-mode multi-domain mode

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

Maaari mong tiyakin na matagumpay na naipasa ng iyong computer at telepono ang pagpapatunay gamit ang utos:

sh authentication sessions int Gi1/0/39 det

Ngayon, gumawa tayo ng grupo (halimbawa, sg-fgpp-mab ) sa Active Directory para sa mga telepono at magdagdag ng isang device dito para sa pagsubok (sa aking kaso ito ay Grandstream GXP2160 may address si mas 000b.82ba.a7b1 at resp. account domain 00b82baa7b1).

Para sa ginawang pangkat, ibababa namin ang mga kinakailangan sa patakaran sa password (gamit ang Mga Pinong Patakaran sa Password sa pamamagitan ng Active Directory Administrative Center -> domain -> System -> Password Settings Container) na may mga sumusunod na parameter Mga Setting ng Password para sa MAB:

Pag-configure ng 802.1X sa Cisco Switches Gamit ang Failover NPS (Windows RADIUS na may AD)

Kaya, papayagan namin ang paggamit ng mga mas address ng device bilang mga password. Pagkatapos nito ay makakagawa tayo ng patakaran sa network para sa 802.1x method na mab authentication, tawagin natin itong neag-devices-8021x-voice. Ang mga parameter ay ang mga sumusunod:

  • Uri ng NAS Port – Ethernet
  • Windows Groups – sg-fgpp-mab
  • Mga Uri ng EAP: Hindi naka-encrypt na pagpapatotoo (PAP, SPAP)
  • Mga Katangian ng RADIUS – Partikular sa Vendor: Cisco – Cisco-AV-Pair – Halaga ng katangian: device-traffic-class=voice

Pagkatapos ng matagumpay na pagpapatunay (huwag kalimutang i-configure ang switch port), tingnan natin ang impormasyon mula sa port:

sh authentication se int Gi1/0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

Ngayon, gaya ng ipinangako, tingnan natin ang ilang hindi lubos na halatang sitwasyon. Halimbawa, kailangan nating ikonekta ang mga computer at device ng user sa pamamagitan ng hindi pinamamahalaang switch (switch). Sa kasong ito, ang mga setting ng port para dito ay magiging ganito:

lumipat ng mga setting ng port sa 802.1x host-mode multi-auth mode

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ допустимых мас-адрСсов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – Ρ€Π΅ΠΆΠΈΠΌ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

PS napansin namin ang isang kakaibang glitch - kung nakakonekta ang device sa pamamagitan ng naturang switch, at pagkatapos ay nakasaksak ito sa isang pinamamahalaang switch, HINDI ito gagana hanggang sa i-reboot(!) namin ang switch. Wala akong nakitang iba pang paraan upang malutas ang problemang ito pa.

Ang isa pang punto na nauugnay sa DHCP (kung ang ip dhcp snooping ay ginagamit) - nang walang ganoong mga pagpipilian:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

Sa ilang kadahilanan, hindi ko makuha nang tama ang IP address... bagaman ito ay maaaring isang tampok ng aming DHCP server

At ang Mac OS at Linux (na mayroong katutubong 802.1x na suporta) ay subukang i-authenticate ang user, kahit na ang authentication sa pamamagitan ng Mac address ay na-configure.

Sa susunod na bahagi ng artikulo, titingnan natin ang paggamit ng 802.1x para sa Wireless (depende sa pangkat kung saan nabibilang ang user account, "itatapon" natin ito sa kaukulang network (vlan), bagama't kumonekta sila sa ang parehong SSID).

Pinagmulan: www.habr.com

Magdagdag ng komento