Isaalang-alang natin sa pagsasanay ang paggamit ng Windows Active Directory + NPS (2 server upang matiyak ang fault tolerance) + 802.1x na pamantayan para sa kontrol sa pag-access at pagpapatunay ng mga user - mga computer ng domain - mga device. Maaari kang maging pamilyar sa teorya ayon sa pamantayan sa Wikipedia, sa link:
Dahil ang aking "laboratoryo" ay limitado sa mga mapagkukunan, ang mga tungkulin ng NPS at domain controller ay magkatugma, ngunit inirerekomenda ko na paghiwalayin mo pa rin ang mga naturang kritikal na serbisyo.
Hindi ko alam ang mga karaniwang paraan upang i-synchronize ang mga configuration ng Windows NPS (mga patakaran), kaya gagamitin namin ang mga PowerShell script na inilunsad ng task scheduler (ang may-akda ay ang aking dating kasamahan). Para sa pagpapatunay ng mga domain computer at para sa mga device na hindi 802.1x (mga telepono, printer, atbp.), iko-configure ang patakaran ng grupo at gagawin ang mga pangkat ng seguridad.
Sa dulo ng artikulo, sasabihin ko sa iyo ang tungkol sa ilan sa mga intricacies ng pagtatrabaho sa 802.1x - kung paano mo magagamit ang mga hindi pinamamahalaang switch, dynamic na ACL, atbp. Magbabahagi ako ng impormasyon tungkol sa mga "glitches" na nahuli.. .
Magsimula tayo sa pag-install at pag-configure ng failover NPS sa Windows Server 2012R2 (lahat ay pareho sa 2016): sa pamamagitan ng Server Manager -> Add Roles and Features Wizard, piliin lamang ang Network Policy Server.
o gamit ang PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
Isang maliit na paglilinaw - dahil para sa Protektadong EAP (PEAP) tiyak na kakailanganin mo ng isang sertipiko na nagpapatunay sa pagiging tunay ng server (na may naaangkop na mga karapatang gamitin), na mapagkakatiwalaan sa mga computer ng kliyente, pagkatapos ay malamang na kailangan mong i-install ang papel Awtoridad ng Sertipikasyon. Ngunit ipagpalagay natin iyon CA na-install mo na ito...
Gawin natin ang parehong sa pangalawang server. Gumawa tayo ng folder para sa C: Scripts script sa parehong mga server at isang network folder sa pangalawang server SRV2NPS-config$
Gumawa tayo ng PowerShell script sa unang server C:ScriptsExport-NPS-config.ps1 gamit ang sumusunod na nilalaman:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Pagkatapos nito, i-configure natin ang gawain sa Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Patakbuhin para sa lahat ng user - Patakbuhin nang may pinakamataas na karapatan
Araw-araw - Ulitin ang gawain tuwing 10 minuto. sa loob ng 8 oras
Sa backup na NPS, i-configure ang pag-import ng configuration (mga patakaran):
Gumawa tayo ng PowerShell script:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
at isang gawain upang maisagawa ito tuwing 10 minuto:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Patakbuhin para sa lahat ng user - Patakbuhin nang may pinakamataas na karapatan
Araw-araw - Ulitin ang gawain tuwing 10 minuto. sa loob ng 8 oras
Ngayon, upang suriin, magdagdag tayo sa NPS sa isa sa mga server(!) ng ilang switch sa mga kliyente ng RADIUS (IP at Shared Secret), dalawang patakaran sa paghiling ng koneksyon: WIRED-Kumonekta (Kondisyon: "Ang uri ng NAS port ay Ethernet") at WiFi-Enterprise (Kondisyon: "Ang uri ng NAS port ay IEEE 802.11"), pati na rin ang patakaran sa network I-access ang Mga Cisco Network Device (Mga Admin ng Network):
Π£ΡΠ»ΠΎΠ²ΠΈΡ:
ΠΡΡΠΏΠΏΡ Windows - domainsg-network-admins
ΠΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ:
ΠΠ΅ΡΠΎΠ΄Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡΠΈ - ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΠΎΡΠΊΡΡΡΡΠΌ ΡΠ΅ΠΊΡΡΠΎΠΌ (PAP, SPAP)
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ:
ΠΡΡΠΈΠ±ΡΡΡ RADIUS: Π‘ΡΠ°Π½Π΄Π°ΡΡ - Service-Type - Login
ΠΠ°Π²ΠΈΡΡΡΠΈΠ΅ ΠΎΡ ΠΏΠΎΡΡΠ°Π²ΡΠΈΠΊΠ° - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Sa gilid ng switch, ang mga sumusunod na setting:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Pagkatapos ng configuration, pagkatapos ng 10 minuto, dapat na lumabas ang lahat ng clientspolicyparameters sa backup na NPS at makakapag-log in kami sa mga switch gamit ang isang ActiveDirectory account, isang miyembro ng domainsg-network-admins group (na ginawa namin nang maaga).
Magpatuloy tayo sa pag-set up ng Active Directory - gumawa ng mga patakaran ng grupo at password, gumawa ng mga kinakailangang grupo.
Patakaran ng pangkat Mga Computer-8021x-Mga Setting:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Gumawa tayo ng pangkat ng seguridad sg-computers-8021x-vl100, kung saan magdaragdag kami ng mga computer na gusto naming ipamahagi sa vlan 100 at i-configure ang pag-filter para sa dati nang ginawang patakaran ng grupo para sa pangkat na ito:
Maaari mong i-verify na matagumpay na gumana ang patakaran sa pamamagitan ng pagbubukas ng βNetwork and Sharing Center (Network and Internet Settings) β Pagpapalit ng mga setting ng adapter (Pag-configure ng mga setting ng adapter) β Adapter Propertiesβ, kung saan makikita natin ang tab na βAuthenticationβ:
Kapag kumbinsido kang matagumpay na nailapat ang patakaran, maaari kang magpatuloy sa pagse-set up ng patakaran sa network sa NPS at mga switch sa antas ng access port.
Gumawa tayo ng patakaran sa network neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Mga karaniwang setting para sa switch port (pakitandaan na ang uri ng pagpapatotoo na "multi-domain" ay ginagamit β Data at Boses, at mayroon ding posibilidad ng pagpapatotoo sa pamamagitan ng mac address. Sa panahon ng "panahon ng paglipat" makatuwirang gamitin sa mga parameter:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Ang vlan id ay hindi isang "quarantine", ngunit ang parehong kung saan dapat mapunta ang computer ng user pagkatapos matagumpay na mag-log in - hanggang sa matiyak namin na gumagana ang lahat ayon sa nararapat. Ang parehong mga parameter na ito ay maaaring gamitin sa iba pang mga sitwasyon, halimbawa, kapag ang isang hindi pinamamahalaang switch ay nakasaksak sa port na ito at gusto mong lahat ng device na nakakonekta dito na hindi nakapasa sa pagpapatotoo ay mahulog sa isang partikular na vlan ("quarantine").
lumipat ng mga setting ng port sa 802.1x host-mode multi-domain mode
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Maaari mong tiyakin na matagumpay na naipasa ng iyong computer at telepono ang pagpapatunay gamit ang utos:
sh authentication sessions int Gi1/0/39 det
Ngayon, gumawa tayo ng grupo (halimbawa, sg-fgpp-mab ) sa Active Directory para sa mga telepono at magdagdag ng isang device dito para sa pagsubok (sa aking kaso ito ay Grandstream GXP2160 may address si mas 000b.82ba.a7b1 at resp. account domain 00b82baa7b1).
Para sa ginawang pangkat, ibababa namin ang mga kinakailangan sa patakaran sa password (gamit ang
Kaya, papayagan namin ang paggamit ng mga mas address ng device bilang mga password. Pagkatapos nito ay makakagawa tayo ng patakaran sa network para sa 802.1x method na mab authentication, tawagin natin itong neag-devices-8021x-voice. Ang mga parameter ay ang mga sumusunod:
- Uri ng NAS Port β Ethernet
- Windows Groups β sg-fgpp-mab
- Mga Uri ng EAP: Hindi naka-encrypt na pagpapatotoo (PAP, SPAP)
- Mga Katangian ng RADIUS β Partikular sa Vendor: Cisco β Cisco-AV-Pair β Halaga ng katangian: device-traffic-class=voice
Pagkatapos ng matagumpay na pagpapatunay (huwag kalimutang i-configure ang switch port), tingnan natin ang impormasyon mula sa port:
sh authentication se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Ngayon, gaya ng ipinangako, tingnan natin ang ilang hindi lubos na halatang sitwasyon. Halimbawa, kailangan nating ikonekta ang mga computer at device ng user sa pamamagitan ng hindi pinamamahalaang switch (switch). Sa kasong ito, ang mga setting ng port para dito ay magiging ganito:
lumipat ng mga setting ng port sa 802.1x host-mode multi-auth mode
interface GigabitEthernet1/0/1
description *SW β 802.1x β 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ΡΠ²Π΅Π»ΠΈΡΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ Π΄ΠΎΠΏΡΡΡΠΈΠΌΡΡ
ΠΌΠ°Ρ-Π°Π΄ΡΠ΅ΡΠΎΠ²
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! β ΡΠ΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS napansin namin ang isang kakaibang glitch - kung nakakonekta ang device sa pamamagitan ng naturang switch, at pagkatapos ay nakasaksak ito sa isang pinamamahalaang switch, HINDI ito gagana hanggang sa i-reboot(!) namin ang switch. Wala akong nakitang iba pang paraan upang malutas ang problemang ito pa.
Ang isa pang punto na nauugnay sa DHCP (kung ang ip dhcp snooping ay ginagamit) - nang walang ganoong mga pagpipilian:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Sa ilang kadahilanan, hindi ko makuha nang tama ang IP address... bagaman ito ay maaaring isang tampok ng aming DHCP server
At ang Mac OS at Linux (na mayroong katutubong 802.1x na suporta) ay subukang i-authenticate ang user, kahit na ang authentication sa pamamagitan ng Mac address ay na-configure.
Sa susunod na bahagi ng artikulo, titingnan natin ang paggamit ng 802.1x para sa Wireless (depende sa pangkat kung saan nabibilang ang user account, "itatapon" natin ito sa kaukulang network (vlan), bagama't kumonekta sila sa ang parehong SSID).
Pinagmulan: www.habr.com