Zyxel Network Switch [XGS/GS2xxx] - Konfigurieren der MAC-Authentifizierung mit Active Directory auf Zyxel Switches

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Wenn Sie Fragen oder Unstimmigkeiten bezüglich der Genauigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

[Zyxel Switch / XGS / GS 2xxx Serie und höher] - MAC-Authentifizierung mit Active Directory

In diesem Tutorial geht es um die Implementierung der MAC-Authentifizierung mit Active Directory, speziell zugeschnitten auf grundlegende Active Directory-Einstellungen unter Windows Server 2019 mit einer einfachen Struktur:

BaseDN: DC=ad,DC=local

Erster Schritt: Erstellen und Hinzufügen von Benutzern Um den Prozess zu beginnen, ist es zwingend erforderlich, einen Benutzer zu erstellen und hinzuzufügen, der als Client dienen wird. Nehmen wir zur Veranschaulichung ein Gerät mit der MAC-Adresse "b827eb2550df" (z. B. ein Raspberry Pi). Dieser Benutzer wird eine Schlüsselrolle im Authentifizierungsprozess spielen, der in den folgenden Schritten beschrieben wird.

Einstellung des Schalters

Wir müssen einen Zyxel Switch als RADIUS-Client auf dem NPS-Server hinzufügen

1) Öffnen Sie Active Directory-Benutzer und -Computer: Start > Alle Programme > Verwaltung > Active Directory-Benutzer und -Computer.

2) Erstellen Sie ein neues Benutzerkonto. Der Benutzername und das Kennwort sollten die MAC-Adresse des verbindenden Geräts sein. Hinweis: Bitte prüfen Sie, welche Optionen im Switch unterstützt werden und konfigurieren Sie diese. Wir haben die folgenden Optionen basierend auf X/GS2xxx oder höher:

Konfigurieren Sie den Switch durch Navigieren zu 

SECURITY > Port Authentication > MAC Authentication

Aktivieren Sie dann die MAC-Authentifizierung, wählen Sie einen auf MAC-Adressen basierenden Kleinbuchstaben-Passworttyp und aktivieren Sie die MAC-Authentifizierung an den gewünschten Ports. Ändern Sie den Bindestrich auf dem Switch in none.

Folgende Einstellungen sind möglich:

Namenspräfix Geben Sie das Präfix ein, das an alle MAC-Adressen angehängt wird, die zur Authentifizierung an den RADIUS-Server gesendet werden. Sie können bis zu 32 druckbare ASCII-Zeichen eingeben. Wenn Sie dieses Feld leer lassen, wird nur die MAC-Adresse des Clients an den RADIUS-Server weitergeleitet.
Begrenzungszeichen Wählen Sie das Trennzeichen aus, das der RADIUS-Server verwendet, um die Paare in den MAC-Adressen zu trennen, die als Kontobenutzername (und Kennwort) verwendet werden. Sie können Bindestrich (-), Doppelpunkt (:) oder Keines auswählen, um überhaupt keine Trennzeichen in der MAC-Adresse zu verwenden.
Groß-/Kleinschreibung Wählen Sie die Groß- oder Kleinschreibung aus, die der RADIUS-Server für Buchstaben in MAC-Adressen, die als Kontobenutzername (und Kennwort) verwendet werden, verlangt.
Kennworttyp Wählen Sie Statisch, damit der Switch das unten angegebene Passwort sendet, oder MAC-Adresse, um die MAC-Adresse des Clients als Passwort zu verwenden.
Kennwort Geben Sie das Kennwort ein, das der Switch zusammen mit der MAC-Adresse eines Clients zur Authentifizierung beim RADIUS-Server sendet. Sie können bis zu 32 druckbare ASCII-Zeichen außer [ ? ], [ | ], [ ' ], [ " ] oder [ , ] eingeben.
Zeitüberschreitung Geben Sie die Zeitspanne an, nach der der Switch einer Client-MAC-Adresse, deren Authentifizierung fehlgeschlagen ist, erlaubt, sich erneut zu authentifizieren. Wenn die MAC-Authentifizierung eines Clients fehlschlägt, wird seine MAC-Adresse in der MAC-Adresstabelle mit dem Status "verweigert" gespeichert. Die Zeitspanne, die Sie hier angeben, ist die Zeit, die der MAC-Adresseintrag in der MAC-Adresstabelle verbleibt, bis er gelöscht wird. Wenn Sie 0 für den Timeout-Wert angeben, verwendet der Switch die im Bildschirm Switch-Setup konfigurierte Alterungszeit.
Hinweis: Wenn die Alterungszeit im Bildschirm "Switch Setup" auf einen niedrigeren Wert eingestellt ist, hat sie Vorrang vor dieser Einstellung.

In diesem Beispiel sind die MAC und der Benutzername des Clients "b827eb2550df". PI sendet die MAC und das Kennwort als dasselbe, was bedeutet, dass der Benutzer und das PWD sind: "b827eb2550df". Stellen Sie sicher, dass die Mac-Adresse als Benutzer und Passwort ohne Doppelpunkte eingegeben wird.mceclip1.png

  • Wenn Sie eine Mac-Adresse als Kennwort verwenden, müssen Sie möglicherweise die Anforderungen an die Komplexität des Serverkennworts bearbeiten, um alle erzwungenen Mindestanforderungen an das Kennwort zu entfernen.
    Gehen Sie zu Server-Manager, Extras in der oberen rechten Ecke, Lokale Sicherheitsrichtlinie, Kontorichtlinie, Kennwortrichtlinie und ändern Sie die Mindestlänge der Kennwortrichtlinie auf keine. Hinweis: Stellen Sie sicher, dass Sie diese Option aktivieren, nachdem Sie alle Mac-Adress-Benutzerkonten hinzugefügt haben.

  • Damit der Benutzer über AD authentifiziert werden kann, benötigen wir eine Gruppe für ihn:

mceclip2.png

Benutzer und Gruppe sind also erstellt, und nun müssen wir NPS konfigurieren.

NPS-Einstellungen

Alle Switches, die einen Client authentifizieren müssen, müssen dem NPS als Radius-Client hinzugefügt werden.

  • Öffnen Sie die NPS-Serverkonsole, indem Sie Start > Programme > Verwaltung > Netzwerkrichtlinienserver
  • Erweitern Sie im linken Fensterbereich die Option RADIUS-Clients und -Server.
  • Klicken Sie mit der rechten Maustaste auf die Option RADIUS-Clients und wählen Sie Neu.
  • Geben Sie einen Namen für den Zyxel-Switch ein.
  • Geben Sie die IP-Adresse Ihres Zyxel-Switches ein.
  • Erstellen und geben Sie ein RADIUS Shared Secret ein.
  • Drücken Sie abschließend OK.
  • Wiederholen Sie diese Schritte für alle Switches, die für MAC-Auth verwendet werden sollen.

mceclip3.png

Jetzt brauchen wir eine NPS-Verbindungsanforderungsrichtlinie.

mceclip4.png

Mit den Einstellungen zu Windows-Gruppe und NAS-Port-Typ:

mceclip5.png

Mit der Auth-Methode in den Einstellungen:

mceclip6.png

Jetzt können wir mit der Switch-Konfiguration fortfahren.

Wir müssen zuerst den AAA Server hinzufügen, indem wir zu: 

SECURITY > AAA > RADIUS Server Setup

  • Siehe Nr. 6 NPS Einstellung ist Shared Secret => Set IP und geben Sie ein RADIUS Shared Secret ein.

Nun müssen wir den Port, auf dem MAC-Auth verwendet werden soll, aktivieren:
(In diesem Beispiel ist der PI mit Port 6 verbunden):

Speichern Sie Ihre Konfiguration, um sie nach einem Neustart nicht zu verlieren:

Verifizierung:

Ich habe eine Überprüfung mit Wireshark durchgeführt, und es funktioniert:

mceclip9.png

  • Sie können auch Domain-Log verwenden, Sie werden das gleiche sehen:

mceclip10.png

Hinweis: Nach der Konfiguration des Switches sollten Sie die neue Konfiguration immer auf dem Switch speichern.
Andernfalls verliert der Switch die Änderungen nach einem Neustart
Switch-Konfiguration nach Stromausfall oder Stromausfall verloren

Sie suchen Unterstützung bei der Konfiguration durch unser Professional Services Team? Bitte schauen Sie hier nach: Zyxel ConfigService Switch

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen