Tärkeä huomautus: |
[Zyxel-kytkin / XGS / GS 2xxx-sarja ja uudemmat] - MAC-tunnistus Active Directory -palvelun kanssa
Tämä opetusohjelma keskittyy MAC-todennuksen toteuttamiseen Active Directoryn kanssa, ja se on räätälöity erityisesti Active Directory -perusasetuksiin, joissa käytetään Windows Server 2019:ää suoraviivaisella rakenteella:
BaseDN: DC=ad,DC=local.
Ensimmäinen vaihe: Käyttäjän luominen ja lisääminen Prosessin aloittamiseksi on välttämätöntä luoda ja lisätä käyttäjä, joka toimii asiakkaana. Esimerkkinä mainittakoon laite, jonka MAC-osoite on "b827eb2550df" (kuten Raspberry Pi). Tämä käyttäjä on avainasemassa seuraavissa vaiheissa kuvatussa todennusprosessissa.
Kytkimen asetus
Meidän on lisättävä Zyxel-kytkin RADIUS-asiakkaaksi NPS-palvelimelle.
1) Avaa Active Directory Users and Computers: Käynnistä > Kaikki ohjelmat > Hallinnolliset työkalut > Active Directory Users and Computers.
2) Luo uusi käyttäjätili. käyttäjätunnuksen ja salasanan tulee olla yhteyslaitteen MAC-osoite. Huomautus: Tarkista, mitä vaihtoehtoja kytkimessä tuetaan ja määritä tämä meillä on seuraavat vaihtoehdot X/GS2xxx- tai uudempien perusteella:
Määritä kytkin siirtymällä osoitteeseen
dyn_repppppppp_0Aktivoi sitten MAC-todennus, valitse MAC-osoitteeseen perustuva pienaakkosellinen salasanatyyppi ja aktivoi MAC-todennus haluamissasi porteissa. Vaihda kytkimen katkoviiva muotoon none.
Mahdolliset asetukset:
| Nimi Etuliite | Kirjoita etuliite, joka liitetään kaikkiin RADIUS-palvelimelle todennusta varten lähetettyihin MAC-osoitteisiin. Voit syöttää enintään 32 tulostettavaa ASCII-merkkiä.Jos jätät tämän kentän tyhjäksi, RADIUS-palvelimelle välitetään vain asiakkaan MAC-osoite. | ||
| Delimiter | Valitse rajausmerkki, jota RADIUS-palvelin käyttää erottamaan käyttäjätilin käyttäjänimenä (ja salasanana) käytettävien MAC-osoitteiden parit toisistaan. Voit valita katkoviivan (-), kaksoispisteen (:) tai Ei mitään, jos et halua käyttää MAC-osoitteessa lainkaan erottimia. | ||
| Case | Valitse, millaista isoa tai pientä kirjainta RADIUS-palvelin vaatii kirjaimille MAC-osoitteissa, joita käytetään tilin käyttäjänimenä (ja salasanana). | ||
| Salasanatyyppi | Valitse Static (Staattinen), jotta kytkin lähettää alla määritetyn salasanan, tai MAC-Address (MAC-osoite), jotta salasanana käytetään asiakkaan MAC-osoitetta. | ||
| Salasana | Kirjoita salasana, jonka kytkin lähettää yhdessä asiakkaan MAC-osoitteen kanssa RADIUS-palvelimen todennusta varten. Voit syöttää enintään 32 tulostettavaa ASCII-merkkiä lukuun ottamatta [ ? ], [ | ], [ ' ], [ " ] tai [ , ]. | ||
| Aikakatkaisu |
Määritä aika, jonka kuluessa kytkin antaa asiakkaan MAC-osoitteen, jonka todennus epäonnistuu, yrittää todennusta uudelleen. Enimmäisaika on 3000 sekuntia.Kun asiakas epäonnistuu MAC-todennuksessa, sen MAC-osoite opitaan MAC-osoitetaulukkoon tilalla denied. Tässä määritettävä aikakatkaisuaika on aika, jonka MAC-osoitemerkintä pysyy MAC-osoitetaulukossa, kunnes se poistetaan.Josmäärität aikakatkaisuarvoksi 0, kytkin käyttää Switch Setup -näytössä määritettyä vanhenemisaikaa.
|
Tässä esimerkissä asiakkaan MAC ja käyttäjänimi ovat "b827eb2550df" PI lähettää MAC:n ja salasanan samoina, mikä tarkoittaa, että User ja PWD ovat: "b827eb2550df". Varmista, että Mac-osoite lisätään käyttäjäksi ja salasanaksi ilman kaksoispisteitä.
- Kun käytät salasanana mac-osoitetta, sinun on ehkä muokattava palvelimen salasanan monimutkaisuusvaatimuksia mahdollisten pakollisten salasanan vähimmäisvaatimusten poistamiseksi.
Siirry Server Manageriin, Tools (Työkalut) oikeassa yläkulmassa, Local Security Policy (Paikallinen turvallisuuskäytäntö), Account Policy (Tilikäytäntö), Password Policy (Salasanakäytäntö) ja muuta Minimum Password Policy Length (Salasanakäytännön vähimmäispituus) -asetuksen arvoksi none (Ei mitään). Huomautus: Varmista, että otat tämän vaihtoehdon käyttöön sen jälkeen, kun olet lisännyt kaikki Mac Address -käyttäjätilit.
- Jotta käyttäjä voidaan todentaa AD:llä, tarvitsemme sille ryhmän:
Käyttäjä ja Groupe on siis luotu, ja nyt meidän on määritettävä NPS.
NPS-asetukset
Kaikki kytkimet, joiden on todennettava asiakas, on lisättävä NPS:ään Radius-asiakkaaksi.
- Avaa NPS-palvelinkonsoli valitsemalla Käynnistä > Ohjelmat > Hallinnolliset työkalut > Verkkokäytäntöpalvelin.
- Laajenna vasemmanpuoleisessa ruudussa RADIUS Clients and Servers (RADIUS-asiakkaat ja -palvelimet) -vaihtoehto.
- Napsauta hiiren kakkospainikkeella RADIUS-asiakkaat-vaihtoehtoa ja valitse Uusi.
- Anna Zyxel-kytkimelle nimi.
- Anna Zyxel-kytkimen IP-osoite.
- Luo ja syötä RADIUS-jakosalaisuus.
- Paina OK, kun olet valmis.
- Toista nämä vaiheet kaikille kytkimille, joita käytetään MAC-Authiin.
Nyt tarvitsemme NPS Connection Request Policy -käytännön.
Asetukset ovat Windows Groupe ja NAS Port Type:
Asetuksissa on Auth-menetelmä:
Nyt voimme jatkaa Switch Configin kanssa.
Meidän on ensin lisättävä AAA-palvelin navigoimalla osoitteeseen:
dyn_repppppppp_1- Katso nro 6 NPS-asetus on Shared Secret => Set IP ja syötä RADIUS Shared Secret.
Nyt meidän on otettava käyttöön portti, jossa MAC-Authia käytetään:
(Tässä esimerkissä PI on liitetty porttiin 6):
Tallenna asetukset, jotta ne eivät katoa uudelleenkäynnistyksen jälkeen:
Tarkastus:
Wiresharkilla, ja se toimii:
- Voit myös käyttää Domain-Logia, näet saman:
Huomautus: Kun olet määrittänyt kytkimen, sinun on aina tallennettava uusi kokoonpano kytkimeen.
Muuten kytkin menettää muutokset uudelleenkäynnistyksen jälkeen.
Kytkimen konfiguraatio häviää virran katkeamisen tai virranvaihdon jälkeen Ongelma.
Setup Assistance, etsit Professional Services -tiimimme avustamaa konfigurointia? Tarkista tästä: Zyxel ConfigService -kytkin
Kommentit
0 kommenttiaKommentointi on poistettu käytöstä.