Kullanıcıların - etki alanı bilgisayarlarının - cihazların erişim kontrolü ve kimlik doğrulaması için Windows Active Directory + NPS (hata toleransını sağlamak için 2 sunucu) + 802.1x standardının kullanımını pratikte ele alalım. Wikipedia'daki standarda göre teoriyi aşağıdaki bağlantıdan tanıyabilirsiniz:
“Laboratuvarımın” kaynakları sınırlı olduğundan, NPS ve etki alanı denetleyicisinin rolleri uyumludur, ancak yine de bu tür kritik hizmetleri ayırmanızı öneririm.
Windows NPS yapılandırmalarını (politikalarını) senkronize etmenin standart yollarını bilmiyorum, bu nedenle görev zamanlayıcı tarafından başlatılan PowerShell komut dosyalarını kullanacağız (yazar eski meslektaşımdır). Etki alanı bilgisayarlarının ve aygıtların kimlik doğrulaması için 802.1x (telefonlar, yazıcılar vb.), grup politikası yapılandırılacak ve güvenlik grupları oluşturulacaktır.
Makalenin sonunda size 802.1x ile çalışmanın bazı inceliklerini - yönetilmeyen anahtarları, dinamik ACL'leri vb. nasıl kullanabileceğinizi - anlatacağım. Yakalanan "aksaklıklar" hakkında bilgi paylaşacağım. .
Windows Server 2012R2'de yük devretme NPS'sini kurmaya ve yapılandırmaya başlayalım (2016'da her şey aynı): Sunucu Yöneticisi -> Rol ve Özellik Ekleme Sihirbazı aracılığıyla yalnızca Ağ İlkesi Sunucusu'nu seçin.
veya PowerShell kullanarak:
Install-WindowsFeature NPAS -IncludeManagementToolsKüçük bir açıklama - çünkü Korumalı EAP (PEAP) istemci bilgisayarlarda güvenilecek sunucunun orijinalliğini onaylayan (uygun kullanım haklarına sahip) bir sertifikaya kesinlikle ihtiyacınız olacak, o zaman büyük olasılıkla rolü yüklemeniz gerekecek Sertifika Yetkilisi. Ama şunu varsayacağız CA zaten yüklemişsin...
Aynı işlemi ikinci sunucuda da yapalım. Her iki sunucuda da C:Scripts betiği için bir klasör, ikinci sunucuda ise bir ağ klasörü oluşturalım. SRV2NPS-yapılandırma$
İlk sunucuda PowerShell betiği oluşturalım C:ScriptsExport-NPS-config.ps1 aşağıdaki içerikle:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Bundan sonra Görev Zamanlayıcı’da görevi yapılandıralım: “Dışa Aktarma-NpsConfigurationbaşlıklı bir kılavuz yayınladı
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Tüm kullanıcılar için çalıştırın - En yüksek haklarla çalıştırın
Günlük - Görevi her 10 dakikada bir tekrarlayın. 8 saat içinde
Yedek NPS'de yapılandırmanın (politikalar) içe aktarılmasını yapılandırın:
Bir PowerShell betiği oluşturalım:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1ve her 10 dakikada bir gerçekleştirilecek bir görev:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Tüm kullanıcılar için çalıştırın - En yüksek haklarla çalıştırın
Günlük - Görevi her 10 dakikada bir tekrarlayın. 8 saat içinde
Şimdi kontrol etmek için, sunuculardan birindeki(!) NPS'ye RADIUS istemcilerindeki birkaç anahtar (IP ve Paylaşılan Gizli), iki bağlantı isteği politikası ekleyelim: KABLOLU-Bağlan (Durum: “NAS bağlantı noktası türü Ethernet'tir”) ve WiFi-Kurumsal (Durum: “NAS bağlantı noktası türü IEEE 802.11'dir”) ve ağ politikası Cisco Ağ Cihazlarına Erişim (Ağ Yöneticileri):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Anahtar tarafında aşağıdaki ayarlar:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Yapılandırmadan sonra, 10 dakika sonra, tüm clientpolicyparameters yedek NPS'de görünmelidir ve domainsg-network-admins grubunun (önceden oluşturduğumuz) bir üyesi olan ActiveDirectory hesabını kullanarak anahtarlarda oturum açabileceğiz.
Active Directory kurulumuna geçelim - grup ve şifre politikaları oluşturun, gerekli grupları oluşturun.
Grup ilkesi Bilgisayarlar-8021x-Ayarlar:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Bir güvenlik grubu oluşturalım sg-bilgisayarlar-8021x-vl100vlan 100'e dağıtmak istediğimiz bilgisayarları ekleyeceğimiz ve bu grup için önceden oluşturulan grup ilkesi için filtrelemeyi yapılandıracağımız yer:
“Kimlik Doğrulama” sekmesini görebildiğimiz “Ağ ve Paylaşım Merkezi (Ağ ve İnternet Ayarları) – Bağdaştırıcı ayarlarını değiştirme (Bağdaştırıcı ayarlarını yapılandırma) – Bağdaştırıcı Özellikleri”ni açarak politikanın başarıyla çalıştığını doğrulayabilirsiniz:
İlkenin başarılı bir şekilde uygulandığına ikna olduğunuzda NPS ve erişim düzeyi anahtar bağlantı noktalarında ağ ilkesini ayarlamaya devam edebilirsiniz.
Bir ağ politikası oluşturalım yeni bilgisayarlar-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Anahtar bağlantı noktası için tipik ayarlar (lütfen "çok alanlı" kimlik doğrulama türünün kullanıldığını unutmayın - Veri ve Ses ve ayrıca mac adresiyle kimlik doğrulama olasılığı da vardır. "Geçiş dönemi" sırasında bunu kullanmak mantıklıdır. parametreler:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Vlan kimliği bir "karantina" kimliği değildir, ancak her şeyin olması gerektiği gibi çalıştığından emin olana kadar kullanıcının bilgisayarının başarılı bir şekilde oturum açtıktan sonra gitmesi gereken yerle aynıdır. Aynı parametreler başka senaryolarda da kullanılabilir; örneğin, bu bağlantı noktasına yönetilmeyen bir anahtar takıldığında ve buna bağlı olan ve kimlik doğrulamasını geçmemiş tüm cihazların belirli bir vlan'a ("karantina") düşmesini istediğinizde.
802.1x ana makine modu çoklu etki alanı modunda bağlantı noktası ayarlarını değiştirme
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitAşağıdaki komutla bilgisayarınızın ve telefonunuzun kimlik doğrulamayı başarıyla geçtiğinden emin olabilirsiniz:
sh authentication sessions int Gi1/0/39 detŞimdi bir grup oluşturalım (örneğin, sg-fgpp-mab ) telefonlar için Active Directory'de ve test için ona bir cihaz ekleyin (benim durumumda Büyük Akış GXP2160 mas adresiyle 000b.82ba.a7b1 ve sırasıyla hesap alan adı 00b82baa7b1).
Oluşturulan grup için şifre politikası gereksinimlerini azaltacağız (kullanarak Active Directory Yönetim Merkezi -> etki alanı -> Sistem -> Şifre Ayarları Kabı aracılığıyla) aşağıdaki parametrelerle MAB için Şifre Ayarları:
Böylece cihaz mas adreslerinin şifre olarak kullanılmasına izin vereceğiz. Bundan sonra 802.1x yöntemi mab kimlik doğrulaması için bir ağ politikası oluşturabiliriz, buna neag-devices-8021x-voice adını verelim. Parametreler aşağıdaki gibidir:
- NAS Bağlantı Noktası Türü – Ethernet
- Windows Grupları – sg-fgpp-mab
- EAP Türleri: Şifrelenmemiş kimlik doğrulama (PAP, SPAP)
- RADIUS Nitelikleri – Satıcıya Özel: Cisco – Cisco-AV-Pair – Özellik değeri: Device-traffic-class=voice
Başarılı kimlik doğrulamanın ardından (switch portunu yapılandırmayı unutmayın) porttan gelen bilgilere bakalım:
sh kimlik doğrulaması se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessŞimdi, söz verdiğimiz gibi, pek bariz olmayan birkaç duruma bakalım. Örneğin kullanıcı bilgisayarlarını ve cihazlarını yönetilmeyen bir switch (switch) üzerinden bağlamamız gerekiyor. Bu durumda, bağlantı noktası ayarları şöyle görünecektir:
802.1x ana bilgisayar modu çoklu kimlik doğrulama modunda bağlantı noktası ayarlarını değiştirin
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS, çok garip bir aksaklık fark ettik - eğer cihaz böyle bir anahtar aracılığıyla bağlandıysa ve daha sonra yönetilen bir anahtara takıldıysa, biz anahtarı yeniden başlatana(!) kadar ÇALIŞMAZ.Başka bir yol bulamadım. henüz bu sorunu çözmek için.
DHCP ile ilgili başka bir nokta (ip dhcp gözetleme kullanılıyorsa) - bu tür seçenekler olmadan:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionBazı nedenlerden dolayı IP adresini doğru şekilde alamıyorum... ancak bu, DHCP sunucumuzun bir özelliği olabilir
Ve Mac OS ve Linux (yerel 802.1x desteğine sahip), Mac adresine göre kimlik doğrulama yapılandırılmış olsa bile kullanıcının kimliğini doğrulamaya çalışır.
Makalenin bir sonraki bölümünde Kablosuz için 802.1x kullanımına bakacağız (kullanıcı hesabının ait olduğu gruba bağlı olarak, onu ilgili ağa (vlan) "atacağız", ancak ağa bağlanacaklar aynı SSID).
Kaynak: habr.com