Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

MAC-Authentifizierung mit Active Directory Sicherheit / Filterung icon

Avatar
  • Aktualisiert
Zurück nach oben

[Zyxel Switch / XGS / GS 2xxx Serie und höher] MAC-Authentifizierung mit Active Directory. Dieses Tutorial basiert auf grundlegenden Active Directory-Einstellungen mit Windows2019 Server und einfacher Struktur:

BaseDN: DC=Werbung,DC=Lokal

Zuerst müssen wir einen Benutzer erstellen / hinzufügen, dieser Benutzer ist der Client, im Beispiel ein Gerät mit der MAC-Adresse „b827eb2550df“ (ein Raspberry PI)

 

Switch Einstellung

NPS-Einstellung

Überprüfung

 

Switch Einstellung:

Wir müssen einen Zyxel Switch als RADIUS-Clients auf dem NPS-Server hinzufügen

1) Öffnen Sie Active Directory-Benutzer und -Computer: Start > Alle Programme > Verwaltung > Active Directory-Benutzer und -Computer.

2) Erstellen Sie ein neues Benutzerkonto. Benutzername und Passwort sollten die MAC-Adresse des Verbindungsgeräts sein. Hinweis: Bitte überprüfen Sie, welche Optionen in Switch unterstützt werden und konfigurieren Sie dies. Wir haben die folgenden Optionen basierend auf X/GS2xxx oder höher:

mceclip0.png

Info zu möglichen Einstellungen:

Namenspräfix

Geben Sie das Präfix ein, das an alle MAC-Adressen angehängt wird, die zur Authentifizierung an den RADIUS-Server gesendet werden. Sie können bis zu 32 druckbare ASCII-Zeichen eingeben.

Wenn Sie dieses Feld leer lassen, wird nur die MAC-Adresse des Clients an den RADIUS-Server weitergeleitet.

Trennzeichen

Wählen Sie das Trennzeichen aus, das der RADIUS-Server verwendet, um die Paare in MAC-Adressen zu trennen, die als Benutzername (und Kennwort) für das Konto verwendet werden. Sie können Bindestrich (–), Doppelpunkt (:) oder Keine auswählen, um überhaupt keine Trennzeichen in der MAC-Adresse zu verwenden.

Fall

Wählen Sie die Groß-/Kleinschreibung (Groß- oder Kleinschreibung) aus, die der RADIUS-Server für Buchstaben in MAC-Adressen benötigt, die als Kontobenutzername (und Kennwort) verwendet werden.

Passworttyp

Wählen Sie Statisch, damit der Switch das unten angegebene Passwort sendet, oder MAC-Adresse, um die Client-MAC-Adresse als Passwort zu verwenden.

Passwort

Geben Sie das Passwort ein, das Switch zusammen mit der MAC-Adresse eines Clients zur Authentifizierung beim RADIUS-Server sendet. Sie können bis zu 32 druckbare ASCII-Zeichen außer [ ? ], [ | ], [ ' ], [ " ] oder [ , ].

Auszeit

Geben Sie die Zeitspanne an, nach der Switch einer Client-MAC-Adresse, die die Authentifizierung fehlschlägt, einen erneuten Authentifizierungsversuch zulässt. Die maximale Zeit beträgt 3000 Sekunden.

Wenn ein Client die MAC-Authentifizierung fehlschlägt, wird seine MAC-Adresse von der MAC-Adresstabelle mit dem Status verweigert gelernt. Die hier angegebene Timeout-Periode ist die Zeit, in der der MAC-Adresseintrag in der MAC-Adresstabelle verbleibt, bis er gelöscht wird. Wenn Sie 0 für den Zeitüberschreitungswert angeben, verwendet Switch die im Switch Setup-Bildschirm konfigurierte Aging Time.

Notiz:

Wenn die Aging Time im Switch Setup- Bildschirm auf einen niedrigeren Wert eingestellt ist, wird diese Einstellung ersetzt.

 

Hier in diesem Beispiel ist Client-MAC und Benutzername "b827eb2550df", der PI, dieser PI sendet MAC und Passwort gleich, das bedeutet, Benutzer und PWD sind: "b827eb2550df".

mceclip1.png

 

Damit der Benutzer von AD authentifiziert werden kann, benötigen wir eine Groupe dafür:

mceclip2.png

 

Also, User und Groupe werden erstellt, jetzt müssen wir NPS konfigurieren.

 

NPS-Einstellungen:

Alle Switches, die einen Client authentifizieren müssen, müssen als Radius-Client zu NPS hinzugefügt werden.

1) Öffnen Sie die NPS-Serverkonsole, indem Sie auf Start > Programme > Verwaltung > Netzwerkrichtlinienserver gehen.
2) Erweitern Sie im linken Bereich die Option RADIUS-Clients und -Server.
3) Klicken Sie mit der rechten Maustaste auf die Option RADIUS-Clients und wählen Sie Neu.
4) Geben Sie einen Namen für Zyxel-Switch ein.
5) Geben Sie die IP-Adresse Ihres Zyxel Switch ein.
6) Erstellen Sie ein RADIUS Shared Secret und geben Sie es ein.
7) Drücken Sie OK, wenn Sie fertig sind.
8) Wiederholen Sie diese Schritte für alle Switches, die für MAC-Auth verwendet werden.

mceclip3.png

 

Jetzt brauchen wir eine NPS-Verbindungsanforderungsrichtlinie.

mceclip4.png

Mit den Einstellungen zu Windows Groupe und NAS Port Typ:

mceclip5.png

Mit der Auth-Methode in den Einstellungen:

mceclip6.png

Jetzt können wir mit Switch Config fortfahren.

 

Wir müssen zuerst den AAA-Server hinzufügen:

mceclip7.png

  • Siehe Nr. 6 NPS-Einstellung ist Shared Secret => Set IP und geben Sie ein RADIUS Shared Secret ein.

 

Jetzt müssen wir Port aktivieren, auf dem MAC-Auth verwendet werden soll:
(Hier als Beispiel ist der PI mit Port 16 verbunden)

mceclip8.png

 

Überprüfung:

Ich verifizierung mit Wireshark und es funktioniert:

mceclip9.png

 

Sie können auch Domain-Log verwenden, Sie sehen dasselbe:

mceclip10.png

Fertig.

 

Vergessen Sie nicht, die Einstellung auf Switch zu speichern!

 

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Contact Us
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.