[Serie Zyxel Switch / XGS / GS 2xxx y superiores] - Autenticación MAC con Active Directory
Este tutorial se centra en implementar la autenticación MAC con Active Directory, específicamente adaptado a configuraciones básicas de Active Directory usando Windows Server 2019 con una estructura sencilla:
BaseDN: DC=ad,DC=local
Paso Inicial: Creación y Adición de Usuario Para comenzar el proceso, es imprescindible crear y agregar un usuario, que servirá como cliente. Por ejemplo, considere un dispositivo con la dirección MAC "b827eb2550df" (como una Raspberry Pi). Este usuario jugará un papel clave en el proceso de autenticación descrito en los pasos siguientes.
Configuración del Conmutador
Necesitamos agregar un conmutador Zyxel como cliente RADIUS en el servidor NPS
1) Abra Usuarios y Equipos de Active Directory: Inicio > Todos los Programas > Herramientas Administrativas > Usuarios y Equipos de Active Directory.
2) Cree una nueva cuenta de usuario. El nombre de usuario y la contraseña deben ser la dirección MAC del dispositivo que se conecta. Nota: Por favor, verifique qué opciones soporta el conmutador y configure esto. Tenemos las siguientes opciones basadas en X/GS2xxx o superior:
Configure el conmutador navegando a
SEGURIDAD > Autenticación de Puerto > Autenticación MACLuego active la Autenticación MAC, elija un tipo de contraseña basada en la dirección MAC en minúsculas y active la Autenticación MAC en los puertos que desee. Cambie el guion en el conmutador a ninguno.
Configuraciones posibles:
| Prefijo de Nombre | Escriba el prefijo que se añadirá a todas las direcciones MAC enviadas al servidor RADIUS para autenticación. Puede ingresar hasta 32 caracteres ASCII imprimibles. Si deja este campo en blanco, solo se enviará la dirección MAC del cliente al servidor RADIUS. | ||
| Delimitador | Seleccione el delimitador que el servidor RADIUS usa para separar los pares en las direcciones MAC usadas como nombre de usuario (y contraseña) de la cuenta. Puede seleccionar Guion (–), Dos puntos (:) o Ninguno para no usar delimitadores en la dirección MAC. | ||
| Mayúsculas o Minúsculas | Seleccione el tipo de letra (mayúsculas o minúsculas) que el servidor RADIUS requiere para las letras en las direcciones MAC usadas como nombre de usuario (y contraseña) de la cuenta. | ||
| Tipo de Contraseña | Seleccione Estática para que el conmutador envíe la contraseña que especifique a continuación o Dirección MAC para usar la dirección MAC del cliente como contraseña. | ||
| Contraseña | Escriba la contraseña que el conmutador enviará junto con la dirección MAC de un cliente para autenticación con el servidor RADIUS. Puede ingresar hasta 32 caracteres ASCII imprimibles excepto [ ? ], [ | ], [ ' ], [ " ] o [ , ]. | ||
| Tiempo de Espera |
Especifique el tiempo que el conmutador esperará antes de permitir que una dirección MAC de cliente que falló la autenticación intente autenticarse nuevamente. El tiempo máximo es de 3000 segundos. Cuando un cliente falla la autenticación MAC, su dirección MAC se aprende en la tabla de direcciones MAC con un estado de denegado. El período de espera que especifique aquí es el tiempo que la entrada de la dirección MAC permanece en la tabla hasta que se borra. Si especifica 0 para el tiempo de espera, el conmutador usará el Tiempo de Envejecimiento configurado en la pantalla de Configuración del Conmutador.
|
En este ejemplo, la MAC y el nombre de usuario del cliente son “b827eb2550df”. La PI enviará la MAC y la contraseña igual, lo que significa que el Usuario y la Contraseña son: “b827eb2550df”. Asegúrese de que la dirección MAC se agregue como usuario y contraseña sin dos puntos.
-
Al usar una dirección MAC como contraseña, es posible que necesite editar los requisitos de complejidad de contraseña del servidor para eliminar cualquier requisito mínimo obligatorio de contraseña.
Vaya a Administrador del Servidor, Herramientas en la esquina superior derecha, Política de Seguridad Local, Política de Cuenta, Política de Contraseña y cambie la Longitud Mínima de Contraseña a ninguna. Nota: Asegúrese de habilitar esta opción después de agregar todas las cuentas de usuario con direcciones MAC
- Para que el usuario pueda ser autenticado por AD, necesitamos un Grupo para ello:
Entonces, el usuario y el grupo están creados, y ahora debemos configurar NPS.
Configuración de NPS
Todos los conmutadores que necesiten autenticar un cliente deben ser agregados a NPS como Cliente RADIUS.
- Abra la Consola del Servidor NPS yendo a Inicio > Programas > Herramientas Administrativas > Servidor de Políticas de Red
- En el panel izquierdo, expanda la opción Clientes y Servidores RADIUS.
- Haga clic derecho en la opción Clientes RADIUS y seleccione Nuevo.
- Ingrese un Nombre para el conmutador Zyxel.
- Ingrese la dirección IP de su conmutador Zyxel.
- Cree e ingrese un Secreto Compartido RADIUS.
- Presione OK cuando termine.
- Repita estos pasos para todos los conmutadores que usarán MAC-Auth.
Ahora necesitamos una Política de Solicitud de Conexión NPS.
Con las configuraciones para Grupo de Windows y Tipo de Puerto NAS:
Con el método de autenticación en las configuraciones:
Ahora podemos continuar con la configuración del conmutador.
Primero debemos agregar el Servidor AAA navegando a:
SEGURIDAD > AAA > Configuración del Servidor RADIUS- Consulte el punto 6 Configuración de NPS para el Secreto Compartido => Configure la IP e ingrese un Secreto Compartido RADIUS.
Ahora debemos habilitar el puerto en el que se debe usar MAC-Auth:
(Aquí en el ejemplo, la PI está conectada al Puerto 6):
Guarde su configuración para no perderla después de un reinicio:
Verificación:
Realicé la verificación con Wireshark y está funcionando:
- También puede usar el registro de dominio, verá lo mismo:
Nota: Después de configurar el conmutador, siempre debe guardar su nueva configuración en el conmutador.
De lo contrario, el conmutador perderá los cambios después de un reinicio
Problema de Pérdida de Configuración del Conmutador Después de Corte de Energía o Ciclo de Energía
Comentarios
0 comentariosEl artículo está cerrado para comentarios.