Conmutador de red - Configurar la autenticación MAC con Active Directory

Creación 23 de diciembre de 2021 08:21 - Actualización 25 de agosto de 2023 07:31

Serhii Boiarynov

¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

[Zyxel Switch / XGS / GS 2xxx Series y superior] Autenticación MAC con Active Directory. Este tutorial se basa en la configuración básica de Active Directory con Windows2019 Server y estructura simple:

BaseDN: DC=ad,DC=local

Primero debemos crear / añadir un Usuario, este usuario es el Cliente, en Ejemplo un dispositivo con MAC-Address "b827eb2550df" (una Raspberry PI)

Configuración del Switch

Configuración NPS

Verificación

Ajuste del interruptor

Necesitamos añadir un Switch Zyxel como cliente RADIUS en el Servidor NPS

1) Abra Usuarios y equipos de Active Directory: Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory.

2) Cree una nueva cuenta de usuario. El nombre de usuario y la contraseña deben ser la dirección MAC del dispositivo de conexión. Nota: Por favor, compruebe lo que la opción en el interruptor son compatibles y configurar este tenemos las siguientes opciones basadas en X/GS2xxx o superior:

Configure el switch navegando a

SECURITY > Port Authentication > MAC Authentication

A continuación, active la autenticación MAC, elija un tipo de contraseña en minúsculas basada en la dirección MAC y active la autenticación MAC en los puertos que desee.

Info a Ajustes que son posibles:

Nombre Prefijo

Escriba el prefijo que se añade a todas las direcciones MAC enviadas al servidor RADIUS para la autenticación. Puede introducir hasta 32 caracteres ASCII imprimibles.

Si deja este campo en blanco, sólo se enviará al servidor RADIUS la dirección MAC del cliente.

Delimitador

Seleccione el delimitador que utiliza el servidor RADIUS para separar los pares en las direcciones MAC utilizadas como nombre de usuario (y contraseña) de la cuenta. Puede seleccionar Guión (-), Dos puntos (:) o Ninguno para no utilizar ningún delimitador en la dirección MAC.

Mayúsculas y minúsculas

Seleccione las mayúsculas o minúsculas que el servidor RADIUS requiere para las letras de las direcciones MAC utilizadas como nombre de usuario (y contraseña) de la cuenta.

Tipo de contraseña

Seleccione Estática para que el switch envíe la contraseña que especifique a continuación o Dirección MAC para utilizar la dirección MAC del cliente como contraseña.

Contraseña

Escriba la contraseña que el switch envía junto con la dirección MAC de un cliente para la autenticación con el servidor RADIUS. Puede introducir hasta 32 caracteres ASCII imprimibles excepto [ ? ], [ | ], [ ' ], [ " ] o [ , ].

Tiempo de espera

Especifique la cantidad de tiempo antes de que el switch permita que una dirección MAC de cliente que falla la autenticación intente autenticarse de nuevo. El tiempo máximo es de 3000 segundos.

Cuando un cliente falla la autenticación MAC, su dirección MAC es aprendida por la tabla de direcciones MAC con un estado de denegado. El periodo de tiempo de espera que especifique aquí es el tiempo que la entrada de dirección MAC permanece en la tabla de direcciones MAC hasta que se borra. Si especifica 0 para el valor de tiempo de espera, el switch utiliza el Tiempo de Envejecimiento configurado en la pantalla Configuración del Switch.

Nota:

Si el Tiempo de Envejecimiento en la pantalla Configuración del Conmutador está configurado en un valor inferior, éste sustituye a esta configuración.

En este ejemplo el MAC y Nombre de Usuario del Cliente es "b827eb2550df" el PI, este PI enviará el MAC y Contraseña igual, esto significa que el Usuario y PWD es: "b827eb2550df".

Para que el usuario pueda ser autenticado por AD necesitamos un Grupo para ello:

Por lo tanto, el usuario y Groupe se crean, ahora debemos configurar NPS.

Configuración de NPS:

Todos los switches que necesiten autenticar un cliente necesitan añadirse a NPS como Cliente Radius.

1) Abra la Consola del Servidor NPS yendo a Inicio > Programas > Herramientas Administrativas > Servidor de Políticas de Red.
2) En el panel izquierdo, expanda la opción Clientes y servidores RADIUS.
3) Haga clic con el botón derecho en la opción Clientes RADIUS y seleccione Nuevo.
4) Introduzca un Nombre para el Zyxel-Switch.
5) Introduzca la Dirección IP de su Zyxel Switch.
6) Cree e introduzca un Secreto Compartido RADIUS.
7) Pulse OK cuando haya terminado.
8) Repita estos pasos para todos los switches que se utilizarán para MAC-Auth.

Ahora necesitamos una Política de Solicitud de Conexión NPS.

Con los ajustes a Windows Groupe y NAS Port Type:

Con el Método Auth en ajustes:

Ahora podemos seguir con Switch Config.

Debemos agregar Primero el Servidor AAA navegando a:

SECURITY > AAA > RADIUS Server Setup

Referirse a Nr 6 NPS setting is Shared Secret => Set IP e introducir un Shared Secret RADIUS.

Ahora debemos habilitar el Puerto en el que se utilizará MAC-Auth:
(En este ejemplo la IP está conectada al Puerto 6):

Guarde su configuración para no perder la configuración después de reiniciar:

Verificación:

Hago la verificación con Wireshark, y funciona:

También puedes usar Domain-Log, verás lo mismo:

Hecho.

Después de configurar el conmutador siempre debe guardar su nueva configuración en el conmutador.
De lo contrario, el conmutador perderá los cambios después de un reinicio.
Pérdida de la configuración del conmutador tras un apagón o un problema de ciclo de alimentación

Asistencia en la configuración, ¿está buscando asistencia en la configuración por parte de nuestro Equipo de Servicios Profesionales? Por favor, consulte aquí: ZyxelConfigService Switch

Artículos en esta sección

Comentarios

0 comentarios

El artículo está cerrado para comentarios.