Vigtig meddelelse: |
[Zyxel Switch / XGS / GS 2xxx Series and higher] - MAC-godkendelse med Active Directory
Denne vejledning er centreret om implementering af MAC-godkendelse med Active Directory, specifikt skræddersyet til grundlæggende Active Directory-indstillinger ved hjælp af Windows Server 2019 med en ligetil struktur:
BaseDN: DC=ad,DC=local
Indledende trin: Brugeroprettelse og -tilføjelse For at starte processen er det vigtigt at oprette og tilføje en bruger, som skal fungere som klient. Som en illustration kan vi forestille os en enhed med MAC-adressen "b827eb2550df" (f.eks. en Raspberry Pi). Denne bruger kommer til at spille en central rolle i autentificeringsprocessen, som beskrives i de efterfølgende trin.
Indstilling af switch
Vi skal tilføje en Zyxel-switch som RADIUS-klient på NPS-serveren.
1) Åbn Active Directory-brugere og -computere: Start > Alle programmer > Administrative værktøjer > Active Directory-brugere og -computere.
2) Opret en ny brugerkonto. Brugernavnet og adgangskoden skal være MAC-adressen på den tilsluttede enhed. Bemærk: Kontrollér, hvilke indstillinger i switchen der understøttes, og konfigurer disse Vi har følgende indstillinger baseret på X/GS2xxx eller højere:
Konfigurer switchen ved at navigere til
dyn_repppp_0Aktivér derefter MAC Authentication, vælg en MAC-adressebaseret adgangskode med små bogstaver, og aktivér MAC Authentication på de porte, du ønsker. Skift bindestregen på switchen til ingen.
Indstillinger, der er mulige:
| Præfiks for navn | Skriv det præfiks, der tilføjes til alle MAC-adresser, der sendes til RADIUS-serveren for godkendelse. Du kan indtaste op til 32 ASCII-tegn, der kan udskrives. Hvis du lader dette felt stå tomt, er det kun klientens MAC-adresse, der sendes til RADIUS-serveren. | ||
| Afgrænser | Vælg den skilletegn, RADIUS-serveren bruger til at adskille parrene i MAC-adresser, der bruges som kontobrugernavn (og adgangskode). Du kan vælge bindestreg (-), kolon (:) eller ingen for slet ikke at bruge nogen afgrænsere i MAC-adressen. | ||
| Store og små bogstaver | Vælg den store eller lille bogstavtype (Upper eller Lower), som RADIUS-serveren kræver for bogstaver i MAC-adresser, der bruges som kontobrugernavn (og adgangskode). | ||
| Type adgangskode | Vælg Static (Statisk) for at få switchen til at sende den adgangskode, du angiver nedenfor, eller MAC-Address (MAC-adresse) for at bruge klientens MAC-adresse som adgangskode. | ||
| Adgangskode | Skriv den adgangskode, som switchen sender sammen med en klients MAC-adresse til autentificering med RADIUS-serveren. Du kan indtaste op til 32 ASCII-tegn, der kan udskrives, undtagen [ ? ], [ | ], [ ' ], [ " ] eller [ , ]. | ||
| Timeout |
Angiv, hvor lang tid der skal gå, før switchen tillader en klient-MAC-adresse, der ikke godkendes, at forsøge at godkende igen. Maksimal tid er 3000 sekunder. Når en klient fejler MAC-godkendelse, læres dens MAC-adresse af MAC-adressetabellen med en status som nægtet. Den timeout-periode, du angiver her, er den tid, MAC-adresseposten forbliver i MAC-adressetabellen, indtil den slettes. Hvis du angiver 0 for timeout-værdien, bruger switchen den aldringstid, der er konfigureret på skærmen Switch Setup.
|
Her i dette eksempel er klientens MAC og brugernavn "b827eb2550df" PI sender MAC og adgangskode som det samme, hvilket betyder, at bruger og PWD er: "b827eb2550df". Sørg for, at Mac-adressen tilføjes som bruger og adgangskode uden kolon.
- Når du bruger en mac-adresse som adgangskode, skal du muligvis redigere serverens krav til adgangskodekompleksitet for at fjerne eventuelle håndhævede minimumskrav til adgangskoden.
Gå til Server Manager, Tools i øverste højre hjørne, Local Security Policy, Account Policy, Password Policy og skift Minimum Password Policy Length til none. Bemærk: Sørg for at aktivere denne indstilling, når du har tilføjet alle Mac Address-brugerkonti.
- For at brugeren kan autentificeres af AD, skal vi bruge en Groupe til det:
Så User og Groupe er oprettet, og nu skal vi konfigurere NPS.
NPS-indstillinger
Alle switche, der skal godkende en klient, skal føjes til NPS som Radius-klient.
- Åbn NPS-serverkonsollen ved at gå til Start > Programmer > Administrative værktøjer > Network Policy Server
- Udvid indstillingen RADIUS-klienter og -servere i venstre rude.
- Højreklik på indstillingen RADIUS-klienter, og vælg Ny.
- Indtast et navn til Zyxel-Switch.
- Indtast IP-adressen på din Zyxel-switch.
- Opret og indtast en RADIUS Shared Secret.
- Tryk på OK, når du er færdig.
- Gentag disse trin for alle switche, der skal bruges til MAC-Auth.
Nu skal vi bruge en NPS Connection Request Policy.
Med indstillingerne Windows Groupe og NAS Port Type:
Med Auth Method i indstillingerne:
Nu kan vi gå videre med Switch Config.
Vi skal først tilføje AAA-serveren ved at navigere til:
SECURITY > AAA > RADIUS Server Setup- Se nr. 6 NPS-indstillingen er Shared Secret => Set IP, og indtast en RADIUS Shared Secret.
Nu skal vi aktivere den port, som MAC-Auth skal bruges på:
(I dette eksempel er PI'en forbundet til port 6):
Gem din konfiguration for ikke at miste den efter genstart:
Bekræftelse:
Jeg har verificeret med Wireshark, og det virker:
- Du kan også bruge Domain-Log, så vil du se det samme:
Bemærk: Når du har konfigureret switchen, skal du altid gemme din nye konfiguration på switchen.
Ellers misterswitchenændringerne efter en genstart
Switch Configuration Lost After Power Outfall or Power Cycle Problem
Hjælp til opsætning, du leder efter hjælp til konfiguration fra vores Professional Services Team? Tjek venligst her: Zyxel ConfigService Switch
Kommentarer
0 kommentarerArtiklen er lukket for kommentarer.