Zyxel Network Switch XGS/GS2xxx – MAC-Authentifizierung mit Active Directory auf Zyxel Switches konfigurieren

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

[Zyxel Switch / XGS / GS 2xxx Serie und höher] – MAC-Authentifizierung mit Active Directory

Dieses Tutorial konzentriert sich auf die Implementierung der MAC-Authentifizierung mit Active Directory, speziell angepasst an grundlegende Active Directory-Einstellungen unter Verwendung von Windows Server 2019 mit einer einfachen Struktur:

BaseDN: DC=ad,DC=local

Erster Schritt: Benutzererstellung und -hinzufügung Um den Prozess zu starten, ist es unerlässlich, einen Benutzer zu erstellen und hinzuzufügen, der als Client dient. Als Beispiel betrachten wir ein Gerät mit der MAC-Adresse „b827eb2550df“ (z. B. ein Raspberry Pi). Dieser Benutzer spielt eine Schlüsselrolle im Authentifizierungsprozess, der in den folgenden Schritten beschrieben wird.

Switch-Einstellungen

Wir müssen einen Zyxel Switch als RADIUS-Client auf dem NPS-Server hinzufügen.

1) Öffnen Sie Active Directory-Benutzer und -Computer: Start > Alle Programme > Verwaltungstools > Active Directory-Benutzer und -Computer.

2) Erstellen Sie ein neues Benutzerkonto. Der Benutzername und das Passwort sollten die MAC-Adresse des verbindenden Geräts sein. Hinweis: Bitte prüfen Sie, welche Optionen im Switch unterstützt werden, und konfigurieren Sie diese. Wir haben folgende Optionen basierend auf X/GS2xxx oder höher:

Konfigurieren Sie den Switch, indem Sie zu folgendem Menü navigieren:

SECURITY > Port Authentication > MAC Authentication

Aktivieren Sie dann die MAC-Authentifizierung, wählen Sie einen passwortbasierten Typ mit Kleinbuchstaben für die MAC-Adresse und aktivieren Sie die MAC-Authentifizierung an den Ports, die Sie wünschen. Ändern Sie den Bindestrich auf dem Switch auf „keinen“.
 

MAC authentication settings pageMögliche Einstellungen:

Namenspräfix Geben Sie das Präfix ein, das allen zur Authentifizierung an den RADIUS-Server gesendeten MAC-Adressen vorangestellt wird. Sie können bis zu 32 druckbare ASCII-Zeichen eingeben. Wenn Sie dieses Feld leer lassen, wird nur die MAC-Adresse des Clients an den RADIUS-Server weitergeleitet.
Trennzeichen Wählen Sie das Trennzeichen, das der RADIUS-Server verwendet, um die Paare in MAC-Adressen zu trennen, die als Benutzername (und Passwort) verwendet werden. Sie können Bindestrich (–), Doppelpunkt (:) oder Kein wählen, um keine Trennzeichen in der MAC-Adresse zu verwenden.
Groß-/Kleinschreibung Wählen Sie die Groß- oder Kleinschreibung aus, die der RADIUS-Server für Buchstaben in MAC-Adressen verlangt, die als Benutzername (und Passwort) verwendet werden.
Passworttyp Wählen Sie „Statisch“, damit der Switch das unten angegebene Passwort sendet, oder „MAC-Adresse“, um die Client-MAC-Adresse als Passwort zu verwenden.
Passwort Geben Sie das Passwort ein, das der Switch zusammen mit der MAC-Adresse eines Clients zur Authentifizierung beim RADIUS-Server sendet. Sie können bis zu 32 druckbare ASCII-Zeichen eingeben, außer [ ? ], [ | ], [ ' ], [ " ] oder [ , ].
Timeout

Geben Sie die Zeitspanne an, bevor der Switch einem Client mit fehlgeschlagener Authentifizierung der MAC-Adresse eine erneute Authentifizierung erlaubt. Die maximale Zeit beträgt 3000 Sekunden. Wenn ein Client die MAC-Authentifizierung nicht besteht, wird seine MAC-Adresse mit dem Status „verweigert“ in der MAC-Adresstabelle gespeichert. Die hier angegebene Timeout-Dauer ist die Zeit, die der MAC-Adresseintrag in der Tabelle bleibt, bis er gelöscht wird. Wenn Sie 0 eingeben, verwendet der Switch die in der Switch-Setup-Seite konfigurierte Aging Time.

Hinweis: Wenn die Aging Time im Switch Setup-Bildschirm auf einen niedrigeren Wert eingestellt ist, hat diese Vorrang vor dieser Einstellung.

In diesem Beispiel sind die MAC-Adresse und der Benutzername des Clients „b827eb2550df“. Der Pi sendet MAC und Passwort identisch, was bedeutet, dass Benutzername und Passwort „b827eb2550df“ sind. Stellen Sie sicher, dass die MAC-Adresse als Benutzername und Passwort ohne Doppelpunkte hinzugefügt wird.Active Directory user account settings

  • Wenn Sie eine MAC-Adresse als Passwort verwenden, müssen Sie möglicherweise die Passwortkomplexitätsanforderungen des Servers anpassen, um alle erzwungenen Mindestpasswortanforderungen zu entfernen.
    Gehen Sie zum Server-Manager, Tools oben rechts, Lokale Sicherheitsrichtlinie, Kontorichtlinie, Kennwortrichtlinie und ändern Sie die Mindestlänge der Kennwortrichtlinie auf „Keine“. Hinweis: Stellen Sie sicher, dass Sie diese Option erst nach dem Hinzufügen aller MAC-Adress-Benutzerkonten aktivieren.

Local security policy settings

  • Damit der Benutzer durch AD authentifiziert werden kann, benötigen wir eine Gruppe dafür:

Active Directory group configuration

Benutzer und Gruppe sind also erstellt, und jetzt müssen wir NPS konfigurieren.

NPS-Einstellungen

Alle Switches, die einen Client authentifizieren müssen, müssen im NPS als RADIUS-Client hinzugefügt werden.

  • Öffnen Sie die NPS-Serverkonsole, indem Sie zu Start > Programme > Verwaltungstools > Netzwerkrichtlinien-Server gehen.
  • Erweitern Sie im linken Bereich die Option „RADIUS-Clients und -Server“.
  • Klicken Sie mit der rechten Maustaste auf „RADIUS-Clients“ und wählen Sie „Neu“.
  • Geben Sie einen Namen für den Zyxel-Switch ein.
  • Geben Sie die IP-Adresse Ihres Zyxel Switches ein.
  • Erstellen und geben Sie ein RADIUS Shared Secret ein.
  • Klicken Sie auf OK, wenn Sie fertig sind.
  • Wiederholen Sie diese Schritte für alle Switches, die für MAC-Auth verwendet werden sollen.

NPS RADIUS client settings

Nun benötigen wir eine NPS-Verbindungsanforderungsrichtlinie.

Network policy settings page

Mit den Einstellungen für Windows-Gruppe und NAS-Porttyp:

NAS port type configuration window

Mit der Authentifizierungsmethode in den Einstellungen:

Authentication methods settings

Jetzt können wir mit der Switch-Konfiguration fortfahren.

Zuerst müssen wir den AAA-Server hinzufügen, indem wir zu folgendem Menü navigieren:

SECURITY > AAA > RADIUS Server Setup

RADIUS server setup page

  • Beziehen Sie sich auf Nr. 6 NPS-Einstellung: Shared Secret => IP einstellen und ein RADIUS Shared Secret eingeben.

Jetzt müssen wir den Port aktivieren, auf dem MAC-Auth verwendet werden soll:
(Hier im Beispiel ist der Pi mit Port 6 verbunden):

Switch MAC authentication settings

Speichern Sie Ihre Konfiguration, um die Einstellungen nach einem Neustart nicht zu verlieren:

Überprüfung:

Ich habe die Überprüfung mit Wireshark durchgeführt, und es funktioniert:

Wireshark authentication log screen

  • Sie können auch das Domain-Log verwenden, dort sehen Sie dasselbe:

Domain-Log

Hinweis: Nach der Konfiguration des Switches sollten Sie Ihre neue Konfiguration immer auf dem Switch speichern.
Andernfalls gehen die Änderungen nach einem Neustart verloren.
Switch-Konfiguration nach Stromausfall oder Neustart verloren

 

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
1 von 1 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.