Síťový přepínač - konfigurace ověřování MAC pomocí služby Active Directory

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Přepínače [Zyxel Switch / XGS / GS řady 2xxx a vyšší] Ověřování MAC pomocí služby Active Directory. Tento návod vychází ze základního nastavení služby Active Directory se serverem Windows2019 a jednoduchou strukturou:

Základní číslo DNS: DC=ad,DC=local

Nejprve musíme vytvořit / přidat uživatele, tento uživatel je klient, v příkladu zařízení s adresou MAC "b827eb2550df" (Raspberry PI).

Nastavení přepínače

Nastavení NPS

Ověření

Nastavení přepínače

Potřebujeme přidat přepínač Zyxel jako klienty RADIUS na serveru NPS.

1) Otevřete službu Active Directory Users and Computers: Start > Všechny programy > Nástroje pro správu > Uživatelé a počítače služby Active Directory.

2) Vytvořte nový uživatelský účet. uživatelské jméno a heslo by měly být adresy MAC připojujícího se zařízení. Poznámka: Zkontrolujte, jaké možnosti v přepínači jsou podporovány, a nakonfigurujte to máme následující možnosti založené na X/GS2xxx nebo vyšší:

Konfigurace přepínače: přejděte na stránku

dyn_repppp_0

Poté aktivujte ověřování MAC, vyberte typ hesla založený na malých písmenech adresy MAC a aktivujte ověřování MAC na požadovaných portech.

Informace k Nastavení, která jsou možná:

Název Předpona

Zadejte prefix, který se připojí ke všem adresám MAC odesílaným na server RADIUS pro ověření. Můžete zadat až 32 tisknutelných znaků ASCII.

Pokud toto pole ponecháte prázdné, bude serveru RADIUS předávána pouze MAC adresa klienta.

Oddělovač

Vyberte oddělovač, který server RADIUS použije k oddělení dvojic v adresách MAC použitých jako uživatelské jméno (a heslo) účtu. Můžete vybrat pomlčku (-), dvojtečku (:) nebo možnost Žádný, pokud nechcete v adrese MAC používat žádné oddělovače.

Případ

Vyberte velikost písmen (Velká nebo Malá), kterou server RADIUS vyžaduje pro písmena v adresách MAC používaných jako uživatelské jméno (a heslo) účtu.

Typ hesla

Vyberte možnost Static (Statické), pokud má přepínač odesílat heslo zadané níže, nebo MAC-Address (Adresa MAC), pokud má být jako heslo použita adresa MAC klienta.

Heslo

Zadejte heslo, které přepínač odešle spolu s MAC adresou klienta pro ověření na serveru RADIUS. Můžete zadat až 32 tisknutelných znaků ASCII kromě [ ? ], [ | ], [ ' ], [ " ] nebo [ , ].

Časový limit

Zadejte dobu, po kterou přepínač povolí klientovi s adresou MAC, který neuspěl při ověřování, aby se pokusil znovu ověřit. Maximální doba je 3000 sekund.

Když klient neuspěje při ověřování MAC, jeho MAC adresa se naučí z tabulky MAC adres se stavem odepřeno. Doba časového limitu, kterou zde zadáte, je doba, po kterou zůstane záznam adresy MAC v tabulce adres MAC, dokud nebude vymazán. Pokud pro hodnotu timeoutu zadáte 0, přepínač použije dobu stárnutí nakonfigurovanou na obrazovce Nastavení přepínače.

Poznámka:

Pokud je na obrazovce Nastavení přepínače nastavena nižší hodnota Aging Time, nahrazuje toto nastavení.

Zde k tomuto příkladu Client MAC a Username je "b827eb2550df" PI, tento PI pošle MAC & Password jako stejný, to znamená, že User a PWD je: "b827eb2550df".

mceclip1.png

Aby mohl být uživatel ověřen pomocí AD, potřebujeme k tomu Groupe:

mceclip2.png

Nyní musíme nakonfigurovat NPS.

Nastavení NPS:

Všechny přepínače, které potřebují ověřit klienta, je třeba přidat do NPS jako klienta Radius.

1) Otevřete konzolu serveru NPS tak, že přejdete na Start > Programy > Nástroje pro správu > Server síťových zásad.
2) V levém podokně rozbalte možnost Klienti a servery RADIUS.
3) Klikněte pravým tlačítkem myši na možnost Klienti RADIUS a vyberte možnost Nový.
4) Zadejte název přepínače Zyxel-Switch.
5) Zadejte IP adresu přepínače Zyxel.
6) Vytvořte a zadejte sdílené tajemství RADIUS.
7) Po dokončení stiskněte tlačítko OK.
8) Tyto kroky opakujte pro všechny přepínače, které budou použity pro MAC-Auth.

mceclip3.png

Nyní potřebujeme zásady pro vyžádání připojení NPS.

mceclip4.png

S nastavením na Windows Groupe a NAS Port Type:

mceclip5.png

S metodou Auth v nastavení:

mceclip6.png

Nyní můžeme pokračovat v konfiguraci přepínače.

Nejprve musíme přidat server AAA, a to tak, že přejdeme na: 

SECURITY > AAA > RADIUS Server Setup

  • Viz č. 6 Nastavení NPS je Sdílené tajemství => Nastavit IP a zadejte sdílené tajemství RADIUS.

Nyní musíme povolit Port, na kterém se má používat MAC-Auth:
(V tomto příkladu je PI připojen k portu 6):

Uložte konfiguraci, abyste o ni po restartu nepřišli:

Ověření:

Provádím ověření pomocí programu Wireshark a funguje:

mceclip9.png

Můžete také použít Domain-Log, uvidíte totéž:

mceclip10.png

Hotovo.

Po konfiguraci přepínače byste měli novou konfiguraci vždy uložit do přepínače.
Jinak přepínač po restartu ztratí provedené změny .
Problém se ztrátou konfigurace přepínače po výpadku napájení nebo napájecím cyklu

Setup Assistance, you´re looking for assisted configuration by our Professional Services Team? Podívejte se prosím sem: Zyxel ConfigService Switch

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 1 z 1
Sdílet

Komentáře

0 komentářů

K článku není možné přidávat komentáře.