[Zyxel Switch / XGS / GS 2xxx серия и по-нови] - MAC удостоверяване с Active Directory
Този урок е съсредоточен върху внедряването на MAC удостоверяване с Active Directory, специално адаптирано към основните настройки на Active Directory, използвайки Windows Server 2019 с проста структура:
BaseDN: DC=ad,DC=local
Начална стъпка: Създаване и добавяне на потребител За да започнете процеса, е необходимо да създадете и добавите потребител, който ще служи като клиент. Като пример, разгледайте устройство с MAC адрес "b827eb2550df" (например Raspberry Pi). Този потребител ще играе ключова роля в процеса на удостоверяване, описан в следващите стъпки.
Настройка на суича
Трябва да добавим Zyxel суич като RADIUS клиент в NPS сървъра
1) Отворете Active Directory Users and Computers: Start > All Programs > Administrative Tools > Active Directory Users and Computers.
2) Създайте нов потребителски акаунт. Потребителското име и парола трябва да са MAC адресът на свързващото се устройство. Забележка: Моля, проверете кои опции в суича се поддържат и ги конфигурирайте. Имаме следните опции базирани на X/GS2xxx или по-нови:
Конфигурирайте суича, като навигирате до
SECURITY > Port Authentication > MAC AuthenticationСлед това активирайте MAC удостоверяването, изберете тип парола на база MAC адрес с малки букви и активирайте MAC удостоверяването на портовете, които желаете. Променете разделителя в суича на "none" (без разделител).
Възможни настройки:
| Префикс на името | Въведете префикса, който се добавя към всички MAC адреси, изпращани към RADIUS сървъра за удостоверяване. Можете да въведете до 32 печатни ASCII знака. Ако оставите това поле празно, само MAC адресът на клиента ще бъде препратен към RADIUS сървъра. | ||
| Разделител | Изберете разделителя, който RADIUS сървърът използва за разделяне на двойките в MAC адресите, използвани като потребителско име (и парола) на акаунта. Можете да изберете Dash (–), Colon (:) или None за без разделители в MAC адреса. | ||
| Големина на буквите | Изберете дали RADIUS сървърът изисква главни или малки букви в MAC адресите, използвани като потребителско име (и парола) на акаунта. | ||
| Тип парола | Изберете Static, за да изпрати суичът зададената по-долу парола, или MAC-Address, за да използва MAC адреса на клиента като парола. | ||
| Парола | Въведете паролата, която суичът изпраща заедно с MAC адреса на клиента за удостоверяване към RADIUS сървъра. Можете да въведете до 32 печатни ASCII знака, с изключение на [ ? ], [ | ], [ ' ], [ " ] или [ , ]. | ||
| Таймаут |
Определете времето, преди суичът да позволи на MAC адрес на клиент, който е неуспешно удостоверен, да опита отново. Максималното време е 3000 секунди. Когато клиентът не успее при MAC удостоверяване, неговият MAC адрес се запаметява в таблицата с MAC адреси със статус "отказан". Периодът на таймаут, който зададете тук, е времето, през което записът в таблицата с MAC адреси остава, преди да бъде изчистен. Ако зададете 0 за стойността на таймаута, суичът използва времето за изтичане (Aging Time), конфигурирано в екрана за настройка на суича.
|
В този пример MAC адресът и потребителското име на клиента са “b827eb2550df”. PI ще изпрати MAC адреса и паролата еднакви, което означава, че Потребителят и ПАРОЛАТА са: “b827eb2550df”. Уверете се, че MAC адресът е добавен като потребител и парола без никакви двоеточия.
-
При използване на MAC адрес като парола, може да се наложи да промените изискванията за сложност на паролата на сървъра, за да премахнете наложените минимални изисквания за парола.
Отидете на Server Manager, Tools в горния десен ъгъл, Local Security Policy, Account Policy, Password Policy и променете Минималната дължина на паролата на none. Забележка: Уверете се, че активирате тази опция след добавяне на всички потребителски акаунти с MAC адреси
- За да може потребителят да бъде удостоверен от AD, ни е необходима група за това:
Така, потребителят и групата са създадени, и сега трябва да конфигурираме NPS.
Настройки на NPS
Всички суичове, които трябва да удостоверяват клиент, трябва да бъдат добавени в NPS като RADIUS клиенти.
- Отворете конзолата на NPS сървъра, като отидете на Start > Programs > Administrative Tools > Network Policy Server
- В лявата част разширете опцията RADIUS Clients and Servers.
- Кликнете с десен бутон върху RADIUS Clients и изберете New.
- Въведете име за Zyxel суича.
- Въведете IP адреса на вашия Zyxel суич.
- Създайте и въведете споделен RADIUS секрет.
- Натиснете OK след като приключите.
- Повторете тези стъпки за всички суичове, които ще се използват за MAC удостоверяване.
Сега ни трябва NPS политика за заявка за връзка (Connection Request Policy).
С настройки за Windows група и NAS тип порт:
С метод за удостоверяване в настройките:
Сега можем да продължим с конфигурацията на суича.
Първо трябва да добавим AAA сървър, като навигираме до:
SECURITY > AAA > RADIUS Server Setup- Вижте точка 6 от настройките на NPS – Shared Secret => задайте IP и въведете споделен RADIUS секрет.
Сега трябва да активираме порта, на който ще се използва MAC удостоверяване:
(В този пример PI е свързан към порт 6):
Запазете конфигурацията, за да не загубите настройките след рестартиране:
Проверка:
Проверих с Wireshark и работи:
- Можете също да използвате Domain-Log, ще видите същото:
Забележка: След конфигуриране на суича винаги трябва да запазвате новата конфигурация на суича.
В противен случай суичът ще загуби промените след рестартиране
Проблем с изгубена конфигурация на суича след прекъсване на захранването или рестартиране
Коментари
0 коментараСтатията е затворена за коментари.