Zyxel Network Switch XGS/GS2xxx - Konfigurace MAC autentizace s Active Directory na Zyxel přepínačích

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

[Zyxel Switch / XGS / GS 2xxx série a vyšší] - MAC autentizace s Active Directory

Tento návod se zaměřuje na implementaci MAC autentizace s Active Directory, konkrétně přizpůsobenou základním nastavením Active Directory za použití Windows Server 2019 se jednoduchou strukturou:

BaseDN: DC=ad,DC=local

Počáteční krok: Vytvoření uživatele a jeho přidání Pro zahájení procesu je nezbytné vytvořit a přidat uživatele, který bude sloužit jako klient. Jako příklad uvažujte zařízení s MAC adresou "b827eb2550df" (například Raspberry Pi). Tento uživatel bude hrát klíčovou roli v autentizačním procesu popsaném v následujících krocích.

Nastavení přepínače

Je potřeba přidat Zyxel Switch jako RADIUS klienta na NPS serveru

1) Otevřete Active Directory Users and Computers: Start > Všechny programy > Nástroje pro správu > Active Directory Users and Computers.

2) Vytvořte nový uživatelský účet. Uživatelské jméno a heslo by měly být MAC adresa připojujícího se zařízení. Poznámka: Zkontrolujte, jaké možnosti přepínač podporuje a podle toho je nakonfigurujte. Máme následující možnosti na základě X/GS2xxx nebo vyšší:

Konfigurujte přepínač přes:

SECURITY > Port Authentication > MAC Authentication

Poté aktivujte MAC autentizaci, zvolte typ hesla založený na MAC adrese v malých písmenech a aktivujte MAC autentizaci na portech, kde ji chcete použít. Změňte oddělovač na přepínači na žádný.
 

MAC authentication settings pageMožná nastavení:

Předpona jména Zadejte předponu, která se připojí ke všem MAC adresám odeslaným na RADIUS server pro autentizaci. Můžete zadat až 32 tisknutelných ASCII znaků. Pokud toto pole necháte prázdné, bude na RADIUS server odeslána pouze MAC adresa klienta.
Oddělovač Vyberte oddělovač, který RADIUS server používá k oddělení dvojic v MAC adresách použitých jako uživatelské jméno (a heslo) účtu. Můžete zvolit pomlčku (–), dvojtečku (:) nebo žádný oddělovač.
Velikost písmen Vyberte velikost písmen (velká nebo malá), kterou RADIUS server vyžaduje pro písmena v MAC adresách použitých jako uživatelské jméno (a heslo) účtu.
Typ hesla Vyberte Statické pro odesílání hesla, které zadáte níže, nebo MAC-Adresa pro použití MAC adresy klienta jako hesla.
Heslo Zadejte heslo, které přepínač odešle spolu s MAC adresou klienta pro autentizaci na RADIUS serveru. Můžete zadat až 32 tisknutelných ASCII znaků kromě [ ? ], [ | ], [ ' ], [ " ] nebo [ , ].
Časový limit

Určete dobu, po kterou přepínač neumožní klientovi s MAC adresou, která neprošla autentizací, znovu se autentizovat. Maximální doba je 3000 sekund. Když klient selže v MAC autentizaci, jeho MAC adresa je zaznamenána v tabulce MAC adres se stavem odmítnuto. Časový limit, který zde nastavíte, určuje dobu, po kterou záznam zůstane v tabulce MAC adres, než bude vymazán. Pokud zadáte 0, přepínač použije hodnotu Aging Time nastavenou v obrazovce nastavení přepínače.

Poznámka: Pokud je Aging Time v obrazovce Switch Setup nastaven na nižší hodnotu, má přednost před tímto nastavením.

V tomto příkladu jsou MAC adresa a uživatelské jméno klienta “b827eb2550df”. PI odešle MAC a heslo stejné, což znamená, že uživatel a heslo jsou: “b827eb2550df”. Ujistěte se, že MAC adresa je přidána jako uživatel a heslo bez jakýchkoli dvojteček.Active Directory user account settings

  • Při použití MAC adresy jako hesla možná budete muset upravit požadavky na složitost hesla na serveru a odstranit jakékoli minimální požadavky na heslo.
    Přejděte do Server Manager, Nástroje v pravém horním rohu, Místní zásady zabezpečení, Zásady účtu, Zásady hesel a změňte Minimální délku hesla na žádnou. Poznámka: Ujistěte se, že tuto možnost povolíte až po přidání všech uživatelských účtů s MAC adresami

Local security policy settings

  • Aby mohl být uživatel autentizován pomocí AD, potřebujeme pro něj skupinu:

Active Directory group configuration

Uživatel a skupina jsou tedy vytvořeny, nyní musíme nakonfigurovat NPS.

Nastavení NPS

Všechny přepínače, které potřebují autentizovat klienta, musí být přidány do NPS jako RADIUS klienti.

  • Otevřete konzoli NPS serveru přes Start > Programy > Nástroje pro správu > Network Policy Server
  • V levém panelu rozbalte možnost RADIUS Clients and Servers.
  • Klikněte pravým tlačítkem na RADIUS Clients a vyberte Nový.
  • Zadejte název pro Zyxel Switch.
  • Zadejte IP adresu vašeho Zyxel Switch.
  • Vytvořte a zadejte sdílený tajný klíč RADIUS.
  • Po dokončení stiskněte OK.
  • Tyto kroky opakujte pro všechny přepínače, které budou použity pro MAC autentizaci.

NPS RADIUS client settings

Nyní potřebujeme nastavit politiku požadavků připojení NPS.

Network policy settings page

S nastavením na Windows skupinu a NAS port typ:

NAS port type configuration window

S nastavenou autentizační metodou:

Authentication methods settings

Nyní můžeme pokračovat s konfigurací přepínače.

Nejprve musíme přidat AAA server přes:

SECURITY > AAA > RADIUS Server Setup

RADIUS server setup page

  • Odkaz na bod 6 nastavení NPS: sdílený tajný klíč => nastavte IP a zadejte sdílený tajný klíč RADIUS.

Nyní musíme povolit port, na kterém má být použita MAC autentizace:
(Zde je příklad, že PI je připojeno na port 6):

Switch MAC authentication settings

Uložte konfiguraci, abyste nepřišli o nastavení po restartu:

Ověření:

Ověřoval jsem pomocí Wiresharku a funguje to:

Wireshark authentication log screen

  • Můžete také použít Domain-Log, uvidíte totéž:

Domain-Log

Poznámka: Po konfiguraci přepínače byste měli vždy uložit novou konfiguraci na přepínači.
Jinak přepínač po restartu ztratí změny
Problém se ztrátou konfigurace přepínače po výpadku napájení nebo restartu

 

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 1 z 1
Sdílet

Komentáře

0 komentářů

K článku není možné přidávat komentáře.