Hãy xem xét trong thực tế việc sử dụng Windows Active Directory + NPS (2 máy chủ đảm bảo khả năng chịu lỗi) + chuẩn 802.1x để kiểm soát truy cập và xác thực người dùng - máy tính miền - thiết bị. Các bạn có thể làm quen với lý thuyết theo chuẩn trên Wikipedia, tại link:
Vì “phòng thí nghiệm” của tôi bị giới hạn về tài nguyên nên vai trò của NPS và bộ điều khiển miền tương thích với nhau, nhưng tôi khuyên bạn vẫn nên tách riêng các dịch vụ quan trọng đó.
Tôi không biết các cách tiêu chuẩn để đồng bộ hóa cấu hình (chính sách) Windows NPS, vì vậy chúng tôi sẽ sử dụng các tập lệnh PowerShell do bộ lập lịch tác vụ khởi chạy (tác giả là đồng nghiệp cũ của tôi). Để xác thực máy tính miền và cho các thiết bị không thể 802.1x (điện thoại, máy in, v.v.), chính sách nhóm sẽ được cấu hình và các nhóm bảo mật sẽ được tạo.
Ở cuối bài viết, tôi sẽ cho bạn biết một số điểm phức tạp khi làm việc với 802.1x - cách bạn có thể sử dụng các bộ chuyển mạch không được quản lý, ACL động, v.v. Tôi sẽ chia sẻ thông tin về những “trục trặc” đã gặp phải.. .
Hãy bắt đầu với việc cài đặt và cấu hình NPS chuyển đổi dự phòng trên Windows Server 2012R2 (mọi thứ vẫn giống như năm 2016): thông qua Server Manager -> Add Roles and Features Wizard, chỉ chọn Network Policy Server.
hoặc sử dụng PowerShell:
Install-WindowsFeature NPAS -IncludeManagementTools
Một sự làm rõ nhỏ - vì đối với EAP được bảo vệ (PEAP) bạn chắc chắn sẽ cần một chứng chỉ xác nhận tính xác thực của máy chủ (với quyền sử dụng phù hợp), chứng chỉ này sẽ được tin cậy trên các máy khách, khi đó rất có thể bạn sẽ cần phải cài đặt vai trò Chứng nhận thẩm quyền. Nhưng chúng ta sẽ cho rằng CA bạn đã cài đặt nó rồi...
Hãy làm tương tự trên máy chủ thứ hai. Hãy tạo một thư mục cho tập lệnh C:Scripts trên cả hai máy chủ và thư mục mạng trên máy chủ thứ hai SRV2NPS-config$
Hãy tạo tập lệnh PowerShell trên máy chủ đầu tiên C:ScriptsExport-NPS-config.ps1 với nội dung như sau:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Sau đó, hãy định cấu hình tác vụ trong Trình tạo tác vụ: “Xuất-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Chạy cho tất cả người dùng - Chạy với quyền cao nhất
Hàng ngày - Lặp lại nhiệm vụ cứ sau 10 phút. trong vòng 8 giờ
Trên NPS dự phòng, định cấu hình nhập cấu hình (chính sách):
Hãy tạo tập lệnh PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
và một nhiệm vụ để thực hiện nó cứ sau 10 phút:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Chạy cho tất cả người dùng - Chạy với quyền cao nhất
Hàng ngày - Lặp lại nhiệm vụ cứ sau 10 phút. trong vòng 8 giờ
Bây giờ, để kiểm tra, hãy thêm vào NPS trên một trong các máy chủ (!) một vài công tắc trong máy khách RADIUS (IP và Bí mật chung), hai chính sách yêu cầu kết nối: Kết nối CÓ DÂY (Điều kiện: “Loại cổng NAS là Ethernet”) và WiFi-Doanh nghiệp (Điều kiện: “Loại cổng NAS là IEEE 802.11”), cũng như chính sách mạng Truy cập các thiết bị mạng của Cisco (Quản trị viên mạng):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Về phía switch, các cài đặt sau:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Sau khi định cấu hình, sau 10 phút, tất cả các thông số chính sách máy khách sẽ xuất hiện trên NPS dự phòng và chúng tôi sẽ có thể đăng nhập vào bộ chuyển mạch bằng tài khoản ActiveDirectory, một thành viên của nhóm quản trị viên mạng-tên miền (mà chúng tôi đã tạo trước).
Hãy chuyển sang thiết lập Active Directory - tạo chính sách nhóm và mật khẩu, tạo các nhóm cần thiết.
Chính sách Nhóm Máy tính-8021x-Cài đặt:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Hãy tạo một nhóm bảo mật sg-máy tính-8021x-vl100, nơi chúng tôi sẽ thêm các máy tính mà chúng tôi muốn phân phối cho vlan 100 và định cấu hình lọc cho chính sách nhóm đã tạo trước đó cho nhóm này:
Bạn có thể xác minh rằng chính sách đã hoạt động thành công bằng cách mở “Trung tâm mạng và chia sẻ (Cài đặt mạng và Internet) – Thay đổi cài đặt bộ điều hợp (Định cấu hình cài đặt bộ điều hợp) – Thuộc tính bộ điều hợp”, nơi chúng ta có thể thấy tab “Xác thực”:
Khi bạn tin chắc rằng chính sách đã được áp dụng thành công, bạn có thể tiến hành thiết lập chính sách mạng trên NPS và các cổng chuyển đổi cấp độ truy cập.
Hãy tạo một chính sách mạng neag-máy tính-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Cài đặt điển hình cho cổng chuyển đổi (xin lưu ý rằng loại xác thực “đa miền” được sử dụng – Dữ liệu & Thoại, đồng thời cũng có khả năng xác thực bằng địa chỉ mac. Trong “giai đoạn chuyển đổi”, việc sử dụng trong “giai đoạn chuyển đổi” là hợp lý thông số:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
Id vlan không phải là id "cách ly", mà là id nơi máy tính của người dùng sẽ đến sau khi đăng nhập thành công - cho đến khi chúng tôi chắc chắn rằng mọi thứ đều hoạt động như bình thường. Những tham số tương tự này có thể được sử dụng trong các trường hợp khác, chẳng hạn như khi một công tắc không được quản lý được cắm vào cổng này và bạn muốn tất cả các thiết bị kết nối với nó chưa vượt qua xác thực sẽ rơi vào một vlan nhất định (“cách ly”).
chuyển đổi cài đặt cổng ở chế độ đa miền ở chế độ máy chủ 802.1x
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Bạn có thể đảm bảo rằng máy tính và điện thoại của mình đã vượt qua xác thực thành công bằng lệnh:
sh authentication sessions int Gi1/0/39 det
Bây giờ hãy tạo một nhóm (ví dụ: sg-fgpp-mab ) trong Active Directory dành cho điện thoại và thêm một thiết bị vào đó để thử nghiệm (trong trường hợp của tôi là Grandstream GXP2160 với địa chỉ mas 000b.82ba.a7b1 và tôn trọng. tài khoản tên miền 00b82baa7b1).
Đối với nhóm đã tạo, chúng tôi sẽ hạ thấp yêu cầu chính sách mật khẩu (sử dụng
Vì vậy, chúng tôi sẽ cho phép sử dụng địa chỉ mas của thiết bị làm mật khẩu. Sau này, chúng ta có thể tạo chính sách mạng cho xác thực mab phương thức 802.1x, hãy gọi nó là neag-devices-8021x-voice. Các thông số như sau:
- Loại cổng NAS – Ethernet
- Nhóm Windows – sg-fgpp-mab
- Các loại EAP: Xác thực không được mã hóa (PAP, SPAP)
- Thuộc tính RADIUS – Cụ thể của nhà cung cấp: Cisco – Cisco-AV-Pair – Giá trị thuộc tính: device-traffic-class=voice
Sau khi xác thực thành công (đừng quên cấu hình cổng switch), chúng ta hãy xem thông tin từ cổng:
xác thực sh se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Bây giờ, như đã hứa, chúng ta hãy xem xét một số tình huống không hoàn toàn rõ ràng. Ví dụ: chúng ta cần kết nối máy tính và thiết bị của người dùng thông qua một switch (chuyển mạch) không được quản lý. Trong trường hợp này, cài đặt cổng cho nó sẽ trông như thế này:
chuyển đổi cài đặt cổng ở chế độ đa xác thực ở chế độ máy chủ 802.1x
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
Tái bút: Chúng tôi nhận thấy một trục trặc rất lạ - nếu thiết bị được kết nối thông qua một công tắc như vậy và sau đó được cắm vào một công tắc được quản lý thì thiết bị sẽ KHÔNG hoạt động cho đến khi chúng tôi khởi động lại (!) công tắc. Tôi chưa tìm thấy cách nào khác để giải quyết vấn đề này chưa.
Một điểm khác liên quan đến DHCP (nếu sử dụng ip dhcp snooping) - không có các tùy chọn như vậy:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
Vì lý do nào đó, tôi không thể lấy địa chỉ IP chính xác... mặc dù đây có thể là một tính năng của máy chủ DHCP của chúng tôi
Và Mac OS & Linux (có hỗ trợ 802.1x gốc) cố gắng xác thực người dùng, ngay cả khi xác thực bằng địa chỉ Mac được định cấu hình.
Trong phần tiếp theo của bài viết, chúng ta sẽ xem xét việc sử dụng 802.1x cho Wireless (tùy thuộc vào nhóm mà tài khoản người dùng thuộc về, chúng ta sẽ “ném” nó vào mạng tương ứng (vlan), mặc dù chúng sẽ kết nối với cùng SSID).
Nguồn: www.habr.com