[Zyxel Switch / XGS / GS 2xxx-serien og nyere] - MAC-autentifikation med Active Directory
Denne vejledning fokuserer på implementering af MAC-autentifikation med Active Directory, specifikt tilpasset grundlæggende Active Directory-indstillinger ved brug af Windows Server 2019 med en enkel struktur:
BaseDN: DC=ad,DC=local
Første trin: Oprettelse og tilføjelse af bruger For at påbegynde processen er det afgørende at oprette og tilføje en bruger, som vil fungere som klient. Som eksempel kan man tage en enhed med MAC-adressen "b827eb2550df" (f.eks. en Raspberry Pi). Denne bruger vil spille en central rolle i autentifikationsprocessen, der beskrives i de følgende trin.
Switch-indstilling
Vi skal tilføje en Zyxel Switch som RADIUS-klienter på NPS-serveren
1) Åbn Active Directory Brugere og Computere: Start > Alle programmer > Administrative værktøjer > Active Directory Brugere og Computere.
2) Opret en ny brugerkonto. Brugernavnet og adgangskoden skal være MAC-adressen på den tilsluttede enhed. Bemærk: Tjek venligst hvilke muligheder switchen understøtter, og konfigurer dette. Vi har følgende muligheder baseret på X/GS2xxx eller nyere:
Konfigurer switchen ved at navigere til
SECURITY > Port Authentication > MAC AuthenticationAktivér derefter MAC Authentication, vælg en MAC-adressebaseret adgangskodetype i små bogstaver, og aktivér MAC Authentication på de porte, du ønsker. Skift bindestregen på switchen til ingen.
Mulige indstillinger:
| Navnepræfiks | Indtast det præfiks, der føjes til alle MAC-adresser, der sendes til RADIUS-serveren til autentifikation. Du kan indtaste op til 32 udskrivbare ASCII-tegn. Hvis du lader dette felt være tomt, sendes kun klientens MAC-adresse til RADIUS-serveren. | ||
| Afgrænser | Vælg den afgrænser, som RADIUS-serveren bruger til at adskille parrene i MAC-adresser, der anvendes som kontobrugernavn (og adgangskode). Du kan vælge Bindestreg (–), Kolon (:) eller Ingen for slet ikke at bruge afgrænsere i MAC-adressen. | ||
| Bogstavtype | Vælg den bogstavtype (store eller små bogstaver), som RADIUS-serveren kræver for bogstaver i MAC-adresser, der bruges som kontobrugernavn (og adgangskode). | ||
| Adgangskodetype | Vælg Statisk for at lade switchen sende den adgangskode, du angiver nedenfor, eller MAC-adresse for at bruge klientens MAC-adresse som adgangskode. | ||
| Adgangskode | Indtast den adgangskode, som switchen sender sammen med MAC-adressen på en klient til autentifikation med RADIUS-serveren. Du kan indtaste op til 32 udskrivbare ASCII-tegn undtagen [ ? ], [ | ], [ ' ], [ " ] eller [ , ]. | ||
| Timeout |
Angiv den tid, før switchen tillader, at en klient MAC-adresse, der fejler autentifikation, prøver at autentificere igen. Maksimal tid er 3000 sekunder. Når en klient fejler MAC-autentifikation, læres dens MAC-adresse af MAC-adressetabellen med status "afvist". Den timeout-periode, du angiver her, er den tid, MAC-adresseposten forbliver i MAC-adressetabellen, indtil den slettes. Hvis du angiver 0 for timeout-værdien, bruger switchen den "Aging Time", der er konfigureret i Switch Setup-skærmen.
|
Her i dette eksempel er klientens MAC og brugernavn “b827eb2550df”. PI'en vil sende MAC og adgangskode som det samme, hvilket betyder, at brugernavn og adgangskode er: “b827eb2550df”. Sørg for, at MAC-adressen er tilføjet som bruger og adgangskode uden nogen kolon.
-
Når du bruger en MAC-adresse som adgangskode, kan det være nødvendigt at redigere serverens adgangskodekompleksitetskrav for at fjerne eventuelle påkrævede minimumskrav til adgangskode.
Gå til Server Manager, Værktøjer øverst til højre, Lokale sikkerhedspolitikker, Kontopolitik, Adgangskodepolitik og ændr Minimum Password Policy Length til ingen. Bemærk: Sørg for at aktivere denne mulighed efter at have tilføjet alle MAC-adressebrugerkonti
- For at brugeren kan autentificeres af AD, har vi brug for en gruppe til det:
Så er bruger og gruppe oprettet, og nu skal vi konfigurere NPS.
NPS-indstillinger
Alle switches, der skal autentificere en klient, skal tilføjes til NPS som RADIUS-klient.
- Åbn NPS Server Console ved at gå til Start > Programmer > Administrative værktøjer > Network Policy Server
- Udvid i venstre rude valgmuligheden RADIUS Clients and Servers.
- Højreklik på RADIUS Clients og vælg Ny.
- Indtast et navn for Zyxel-switch.
- Indtast IP-adressen på din Zyxel-switch.
- Opret og indtast en RADIUS Shared Secret.
- Tryk OK, når du er færdig.
- Gentag disse trin for alle switches, der skal bruges til MAC-autentifikation.
Nu har vi brug for en NPS Connection Request Policy.
Med indstillinger til Windows-gruppe og NAS Port Type:
Med autentifikationsmetode i indstillingerne:
Nu kan vi fortsætte med switch-konfigurationen.
Vi skal først tilføje AAA-serveren ved at navigere til:
SECURITY > AAA > RADIUS Server Setup- Se punkt 6 NPS-indstilling er Shared Secret => Indstil IP og indtast en RADIUS Shared Secret.
Nu skal vi aktivere den port, hvor MAC-autentifikation skal bruges:
(Her eksempelvis er PI'en tilsluttet Port 6):
Gem din konfiguration for ikke at miste den efter genstart:
Verifikation:
Jeg har verificeret med Wireshark, og det fungerer:
- Du kan også bruge Domain-Log, hvor du vil se det samme:
Bemærk: Efter konfiguration af switchen bør du altid gemme din nye konfiguration på switchen.
Ellers mister switchen ændringerne efter genstart
Switch-konfiguration går tabt efter strømafbrydelse eller strømcyklusproblem
Kommentarer
0 kommentarerArtiklen er lukket for kommentarer.