Avis important : |
[Zyxel Switch / XGS / GS 2xxx Series et supérieur] MAC Authentification avec Active Directory. Ce tutoriel est basé sur les paramètres de base d'Active Directory avec le serveur Windows2019 et une structure simple :
BaseDN : DC=ad,DC=local
Tout d'abord, nous devons créer / ajouter un utilisateur, cet utilisateur est le client, dans l'exemple un appareil avec l'adresse MAC "b827eb2550df" (un Raspberry PI).
Réglage du commutateur
Nous devons ajouter un commutateur Zyxel en tant que client RADIUS sur le serveur NPS.
1) Ouvrez Active Directory Users and Computers : Démarrer > Tous les programmes > Outils administratifs > Utilisateurs et ordinateurs Active Directory.
2) Créez un nouveau compte utilisateur. Le nom d'utilisateur et le mot de passe doivent correspondre à l'adresse MAC du dispositif de connexion. Note : Veuillez vérifier quelles sont les options supportées par le commutateur et configurez-les. Nous avons les options suivantes basées sur X/GS2xxx ou plus :
Configurez le commutateur en naviguant vers
dyn_repppp_0Activez ensuite l'authentification MAC, choisissez un type de mot de passe minuscule basé sur l'adresse MAC et activez l'authentification MAC sur les ports que vous souhaitez.
Info sur les paramètres possibles :
|
Préfixe de nom |
Saisissez le préfixe ajouté à toutes les adresses MAC envoyées au serveur RADIUS pour l'authentification. Vous pouvez saisir jusqu'à 32 caractères ASCII imprimables. Si vous laissez ce champ vide, seule l'adresse MAC du client est transmise au serveur RADIUS. |
||
|
Délimiteur |
Sélectionnez le délimiteur utilisé par le serveur RADIUS pour séparer les paires d'adresses MAC utilisées comme nom d'utilisateur (et mot de passe) du compte. Vous pouvez sélectionner Tiret (-), Colon ( :) ou Aucun pour n'utiliser aucun délimiteur dans l'adresse MAC. |
||
|
Cas |
Sélectionnez la casse (majuscule ou minuscule) requise par le serveur RADIUS pour les lettres des adresses MAC utilisées comme nom d'utilisateur (et mot de passe) du compte. |
||
|
Type de mot de passe |
Sélectionnez Statique pour que le commutateur envoie le mot de passe que vous spécifiez ci-dessous ou Adresse MAC pour utiliser l'adresse MAC du client comme mot de passe. |
||
|
Mot de passe |
Saisissez le mot de passe que le commutateur envoie avec l'adresse MAC d'un client pour l'authentification avec le serveur RADIUS. Vous pouvez saisir jusqu'à 32 caractères ASCII imprimables, à l'exception de [ ? ], [ | ], [ ' ], [ " ] ou [ , ]. |
||
|
Délai d'attente |
Spécifiez le délai pendant lequel le commutateur autorise une adresse MAC client dont l'authentification a échoué à réessayer de s'authentifier. Le délai maximum est de 3 000 secondes. Lorsqu'un client échoue à l'authentification MAC, son adresse MAC est apprise par la table d'adresses MAC avec un statut refusé. Le délai d'attente que vous spécifiez ici correspond à la durée pendant laquelle l'entrée de l'adresse MAC reste dans la table d'adresses MAC jusqu'à ce qu'elle soit supprimée. Si vous spécifiez 0 pour la valeur du délai, le commutateur utilise le délai de vieillissement configuré dans l'écran Configuration du commutateur.
|
Dans cet exemple, le MAC et le nom d'utilisateur du client est "b827eb2550df", le PI enverra le MAC et le mot de passe de la même manière, ce qui signifie que l'utilisateur et le mot de passe sont "b827eb2550df" : "b827eb2550df".
Pour que l'utilisateur puisse être authentifié par AD, nous avons besoin d'un groupe :
L'utilisateur et le groupe sont donc créés, nous devons maintenant configurer NPS.
Paramètres NPS :
Tous les commutateurs qui ont besoin d'authentifier un client doivent être ajoutés à NPS en tant que client Radius.
1) Ouvrez la console du serveur NPS en allant dans Démarrer > Programmes > Outils d'administration > Network Policy Server.
2) Dans le panneau de gauche, développez l'option Clients et Serveurs RADIUS.
3) Cliquez avec le bouton droit de la souris sur l'option Clients RADIUS et sélectionnez Nouveau.
4) Saisissez un nom pour le commutateur Zyxel.
5) Entrez l'adresse IP de votre commutateur Zyxel.
6) Créez et entrez un secret partagé RADIUS.
7) Appuyez sur OK lorsque vous avez terminé.
8) Répétez ces étapes pour tous les commutateurs qui seront utilisés pour MAC-Auth.
Nous avons maintenant besoin d'une politique de demande de connexion NPS.
Avec les paramètres Windows Groupe et NAS Port Type :
Avec la méthode d'authentification dans les paramètres :
Nous pouvons maintenant passer à la configuration du commutateur.
Nous devons d'abord ajouter le serveur AAA en naviguant vers :
SECURITY > AAA > RADIUS Server Setup
- Se référer au point 6 NPS setting is Shared Secret => Set IP et entrer un secret partagé RADIUS.
Nous devons maintenant activer le port sur lequel MAC-Auth doit être utilisé :
(dans cet exemple, le PI est connecté au port 6) :
Sauvegardez votre configuration pour ne pas la perdre après un redémarrage :
Vérification :
Je vérifie avec Wireshark, et cela fonctionne :
Vous pouvez aussi utiliser Domain-Log, vous verrez la même chose :
Terminé.
Après avoir configuré le commutateur, vous devez toujours enregistrer votre nouvelle configuration sur le commutateur.
Sinon, le commutateur perdra les modifications après un redémarrage .
Perte de la configuration du commutateur après une panne de courant ou un problème de cycle d'alimentation
Assistance à la configuration, vous recherchez une assistance à la configuration de la part de notre équipe de services professionnels ? Veuillez vérifier ici : ZyxelConfigService Switch
Commentaires
0 commentaireCet article n'accepte pas de commentaires.