Мрежови комутатор Zyxel [XGS/GS2xxx] - Конфигуриране на MAC Authentification с Active Directory на комутатори Zyxel

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

[Zyxel Switch / XGS / GS серия 2xxx и по-високи] - Удостоверяване на MAC с Active Directory

Това ръководство е съсредоточено върху прилагането на MAC удостоверяване с Active Directory, специално пригодено за основни настройки на Active Directory с помощта на Windows Server 2019 с проста структура:

BaseDN: DC=ad,DC=local

Първоначална стъпка: Създаване и добавяне на потребител За да започнете процеса, е необходимо да създадете и добавите потребител, който ще служи като клиент. Като илюстрация, разгледайте устройство с MAC адрес "b827eb2550df" (например Raspberry Pi). Този потребител ще играе ключова роля в процеса на удостоверяване, описан в следващите стъпки.

Настройка на превключвателя

Трябва да добавим комутатор Zyxel като RADIUS клиенти на сървъра NPS

1) Отворете Active Directory Users and Computers: Старт > Всички програми > Административни инструменти > Active Directory Users and Computers.

2) Създайте нов потребителски акаунт. потребителското име и паролата трябва да са MAC адресът на свързващото устройство. Забележка: Моля, проверете какви опции в комутатора се поддържат и конфигурирайте това имаме следните опции на базата на X/GS2xxx или по-високи:

Конфигурирайте превключвателя, като преминете към 

SECURITY > Port Authentication > MAC Authentication

След това активирайте MAC Authentication (Удостоверяване на MAC), изберете тип парола, базирана на MAC-адрес с малки букви, и активирайте MAC Authentication (Удостоверяване на MAC) на портовете, които желаете. Променете тирето на комутатора на none.

Настройки, които са възможни:

Префикс на името Въведете префикса, който се добавя към всички MAC адреси, изпращани към RADIUS сървъра за удостоверяване. Можете да въведете до 32 печатаеми ASCII символа.Ако оставите това поле празно, към RADIUS сървъра ще се изпраща само MAC адресът на клиента.
Разделител Изберете разделителя, който RADIUS сървърът използва за разделяне на двойките в MAC адресите, използвани като потребителско име (и парола) на акаунта. Можете да изберете тире (-), двоеточие (:) или Няма, за да не използвате никакви разделители в MAC адреса.
Случай Изберете малкия или големия регистър (Upper или Lower), който RADIUS сървърът изисква за буквите в MAC адресите, използвани като потребителско име (и парола) на акаунта.
Тип парола Изберете Static (Статичен), за да може комутаторът да изпрати паролата, която сте посочили по-долу, или MAC-Address (MAC-адрес), за да се използва MAC адресът на клиента като парола.
Парола Въведете паролата, която комутаторът изпраща заедно с MAC адреса на клиента за удостоверяване с RADIUS сървъра. Можете да въведете до 32 печатаеми ASCII символа, с изключение на [ ? ], [ | ], [ ' ], [ " ] или [ , ].
Време за прекъсване Задайте времето, след което комутаторът ще позволи на клиентски MAC адрес, който не е успял да се удостовери, да се опита да се удостовери отново. Максималното време е 3000 секунди. когато клиентът не успее да удостовери MAC адрес, неговият MAC адрес се научава от таблицата с MAC адреси със статус "отказан". Периодът на изчакване, който задавате тук, е времето, през което записът за MAC адрес остава в таблицата за MAC адреси, докато не бъде изтрит. Ако зададете 0 за стойността на таймаута, комутаторът използва времето за стареене, конфигурирано в екрана Switch Setup (Настройка на комутатора).
Забележка: Ако времето за стареене в екрана Switch Setup е зададено на по-ниска стойност, то тя замества тази настройка.

Тук в този пример MAC и потребителското име на клиента са "b827eb2550df" The, PI ще изпрати MAC и паролата като същите, което означава, че User и PWD са: "b827eb2550df". Уверете се, че Mac адресът е добавен като потребител и парола без двоеточия.mceclip1.png

  • Когато използвате mac адрес като парола, може да се наложи да редактирате изискванията за сложност на паролата на сървъра, за да премахнете всички наложени изисквания за минимална дължина на паролата.
    Отидете в Server Manager (Мениджър на сървъра), Tools (Инструменти) в горния десен ъгъл, Local Security Policy (Местна политика за сигурност), Account Policy (Политика за акаунти), Password Policy (Политика за пароли) и променете Minimum Password Policy Length (Минимална дължина на паролата) на none (Няма). Забележка: Уверете се, че сте активирали тази опция, след като сте добавили всички потребителски акаунти с Mac адрес

  • За да може потребителят да бъде удостоверяван от AD, се нуждаем от Groupe за него:

mceclip2.png

И така, User и Groupe са създадени и сега трябва да конфигурираме NPS.

Настройки на NPS

Всички комутатори, които трябва да удостоверяват клиент, трябва да бъдат добавени към NPS като Radius Client.

  • Отворете конзолата на сървъра на NPS, като отидете на Старт > Програми > Административни инструменти > Сървър за мрежова политика
  • В левия панел разширете опцията RADIUS Clients and Servers (Клиенти и сървъри на RADIUS).
  • Щракнете с десния бутон върху опцията RADIUS Clients (Клиенти на RADIUS) и изберете New (Нов).
  • Въведете име за Zyxel-Switch.
  • Въведете IP адреса на вашия Zyxel Switch.
  • Създайте и въведете RADIUS споделена тайна.
  • Натиснете OK, когато приключите.
  • Повторете тези стъпки за всички комутатори, които ще се използват за MAC-Auth.

mceclip3.png

Сега се нуждаем от политика за заявка за връзка с NPS.

mceclip4.png

С настройките за Windows Groupe и NAS Port Type:

mceclip5.png

С Метод на автентификация в настройките:

mceclip6.png

Сега можем да продължим с конфигурацията на превключвателя.

Трябва да добавим Първо AAA сървъра, като преминете към: 

SECURITY > AAA > RADIUS Server Setup

  • Обърнете се към № 6 Настройката на NPS е Shared Secret (Споделена тайна) => Set IP (Задай IP) и въведете RADIUS Shared Secret (Споделена тайна).

Сега трябва да активираме порта, на който да се използва MAC-Auth:
(В този пример PI е свързан към порт 6):

Запазете конфигурацията, за да не я загубите след рестартиране:

Проверка:

Направих проверка с Wireshark и тя работи:

mceclip9.png

  • Можете също така да използвате Domain-Log, ще видите същото:

mceclip10.png

Забележка: След конфигуриране на комутатора винаги трябва да запазвате новата конфигурация на комутатора.
В противен случай комутаторът ще загуби промените след рестартиране
Конфигурацията на комутатора се губи след прекъсване на захранването или захранващ цикъл

Помощ при конфигуриране, you´re looking for assisted configuration by our Professional Services Team? Моля, проверете тук: Zyxel ConfigService Switch

Статии в този раздел

Беше ли полезна тази статия?
1 от 1 считат материала за полезен
Споделяне

Коментари

0 коментара

Статията е затворена за коментари.