[Zyxel Switch / XGS / GS 2xxx -sarja ja uudemmat] - MAC-todennus Active Directoryn kanssa
Tämä opas keskittyy MAC-todennuksen käyttöönottoon Active Directoryn kanssa, erityisesti perustason Active Directory -asetuksiin Windows Server 2019:llä yksinkertaisella rakenteella:
BaseDN: DC=ad,DC=local
Alkuvaihe: Käyttäjän luominen ja lisääminen Aloittaaksesi prosessin on välttämätöntä luoda ja lisätä käyttäjä, joka toimii asiakkaana. Esimerkiksi laite, jonka MAC-osoite on "b827eb2550df" (kuten Raspberry Pi). Tämä käyttäjä on keskeisessä roolissa todennusprosessissa, joka on kuvattu seuraavissa vaiheissa.
Kytkimen asetukset
Meidän täytyy lisätä Zyxel-kytkin RADIUS-asiakkaaksi NPS-palvelimelle.
1) Avaa Active Directory Users and Computers: Käynnistä > Kaikki ohjelmat > Hallintatyökalut > Active Directory Users and Computers.
2) Luo uusi käyttäjätili. Käyttäjätunnuksen ja salasanan tulee olla yhdistävän laitteen MAC-osoite. Huom: Tarkista, mitä vaihtoehtoja kytkimessä tuetaan ja määritä tämä. Meillä on seuraavat vaihtoehdot X/GS2xxx-sarjasta tai uudemmasta:
Määritä kytkin siirtymällä kohtaan
SECURITY > Port Authentication > MAC AuthenticationAktivoi MAC-todennus, valitse MAC-osoitteeseen perustuva pienaakkoinen salasanatyyppi ja ota MAC-todennus käyttöön halutuissa porteissa. Vaihda kytkimen viiva (dash) ei-mikään (none) -asetukseksi.
Mahdolliset asetukset:
| Nimen etuliite | Kirjoita etuliite, joka liitetään kaikkiin RADIUS-palvelimelle todennusta varten lähetettyihin MAC-osoitteisiin. Voit syöttää enintään 32 tulostettavaa ASCII-merkkiä. Jos jätät tämän kentän tyhjäksi, vain asiakkaan MAC-osoite välitetään RADIUS-palvelimelle. | ||
| Erotinmerkki | Valitse erotinmerkki, jota RADIUS-palvelin käyttää MAC-osoitteiden parien erottamiseen, kun niitä käytetään tilin käyttäjätunnuksena (ja salasanana). Voit valita Viivan (–), Kaksipisteen (:) tai Ei mitään, jolloin MAC-osoitteessa ei käytetä erotinmerkkejä lainkaan. | ||
| Kirjainkoko | Valitse kirjainkoko (ISO tai pieniä kirjaimia), jota RADIUS-palvelin vaatii MAC-osoitteissa käytettäville kirjaimille tilin käyttäjätunnuksena (ja salasanana). | ||
| Salasanatyyppi | Valitse Staattinen, jos haluat, että kytkin lähettää alla määrittämäsi salasanan, tai MAC-osoite, jos haluat käyttää asiakkaan MAC-osoitetta salasanana. | ||
| Salasana | Kirjoita salasana, jonka kytkin lähettää yhdessä asiakkaan MAC-osoitteen kanssa todennusta varten RADIUS-palvelimelle. Voit käyttää enintään 32 tulostettavaa ASCII-merkkiä paitsi [ ? ], [ | ], [ ' ], [ " ] tai [ , ]. | ||
| Aikakatkaisu |
Määritä aika, jonka jälkeen kytkin sallii asiakkaan MAC-osoitteen, joka epäonnistui todennuksessa, yrittää todennusta uudelleen. Maksimiaika on 3000 sekuntia. Kun asiakas epäonnistuu MAC-todennuksessa, sen MAC-osoite opitaan MAC-osoitetaulukkoon tilalla "kielletty". Tässä määrittämäsi aikakatkaisu on aika, jonka MAC-osoite pysyy taulukossa ennen kuin se poistetaan. Jos asetat aikakatkaisuarvoksi 0, kytkin käyttää Switch Setup -näytössä määritettyä vanhenemisaikaa.
|
Tässä esimerkissä asiakkaan MAC ja käyttäjätunnus ovat “b827eb2550df”. PI lähettää MAC-osoitteen ja salasanan samana, mikä tarkoittaa, että käyttäjätunnus ja salasana ovat: “b827eb2550df”. Varmista, että MAC-osoite on lisätty käyttäjäksi ja salasanaksi ilman kaksoispisteitä.
-
Kun käytät MAC-osoitetta salasanana, saatat joutua muokkaamaan palvelimen salasanan monimutkaisuusvaatimuksia poistaaksesi pakolliset vähimmäisvaatimukset.
Siirry Server Manageriin, työkalut oikeassa yläkulmassa, Local Security Policy, Account Policy, Password Policy ja muuta Minimum Password Policy Length arvoksi none. Huom: Varmista, että otat tämän asetuksen käyttöön vasta kaikkien MAC-osoitekayttäjien lisäämisen jälkeen
- Jotta käyttäjä voidaan todennuttaa AD:n kautta, tarvitsemme ryhmän sitä varten:
Käyttäjä ja ryhmä on siis luotu, ja nyt meidän täytyy määrittää NPS.
NPS-asetukset
Kaikki kytkimet, jotka tarvitsevat asiakkaan todennuksen, on lisättävä NPS:ään Radius-asiakkaana.
- Avaa NPS-palvelimen konsoli siirtymällä kohtaan Käynnistä > Ohjelmat > Hallintatyökalut > Network Policy Server
- Laajenna vasemmalla puolella RADIUS Clients and Servers -valikko.
- Napsauta RADIUS Clients -kohtaa hiiren oikealla ja valitse Uusi (New).
- Anna Zyxel-kytkimelle nimi.
- Syötä Zyxel-kytkimesi IP-osoite.
- Luo ja syötä RADIUS Shared Secret.
- Paina OK, kun olet valmis.
- Toista nämä vaiheet kaikille kytkimille, joita käytetään MAC-todennukseen.
Nyt tarvitsemme NPS-yhteyspyyntöpolitiikan (Connection Request Policy).
Asetukset Windows-ryhmälle ja NAS-porttityypille:
Todennusmenetelmäasetukset:
Nyt voimme jatkaa kytkimen konfigurointia.
Ensiksi meidän täytyy lisätä AAA-palvelin siirtymällä:
SECURITY > AAA > RADIUS Server Setup- Viittaa kohtaan nro 6 NPS-asetuksissa: Shared Secret => Määritä IP ja syötä RADIUS Shared Secret.
Nyt meidän täytyy ottaa käyttöön portti, jossa MAC-todennusta käytetään:
(Tässä esimerkissä PI on kytketty porttiin 6):
Tallenna konfiguraatiosi, jotta et menetä asetuksia uudelleenkäynnistyksen jälkeen:
Varmistus:
Tein varmennuksen Wiresharkilla, ja se toimii:
- Voit myös käyttää Domain-lokeja, joissa näet saman:
Huomautus: Kun olet konfiguroinut kytkimen, sinun tulee aina tallentaa uusi konfiguraatio kytkimelle.
Muuten kytkin menettää muutokset uudelleenkäynnistyksen jälkeen.
Kytkimen konfiguraation menetys sähkökatkon tai virrankatkaisun jälkeen
Kommentit
0 kommenttiaKommentointi on poistettu käytöstä.