Commutateur réseau Zyxel XGS/GS2xxx - Configurer l'authentification MAC avec Active Directory sur les commutateurs Zyxel

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

[Commutateur Zyxel / Série XGS / GS 2xxx et supérieure] - Authentification MAC avec Active Directory

Ce tutoriel est centré sur la mise en œuvre de l'authentification MAC avec Active Directory, spécifiquement adaptée aux paramètres basiques d'Active Directory utilisant Windows Server 2019 avec une structure simple :

BaseDN : DC=ad,DC=local

Étape initiale : Création et ajout d'un utilisateur Pour commencer le processus, il est impératif de créer et d'ajouter un utilisateur, qui servira de client. À titre d'exemple, considérez un appareil avec l'adresse MAC « b827eb2550df » (comme un Raspberry Pi). Cet utilisateur jouera un rôle clé dans le processus d'authentification décrit dans les étapes suivantes.

Paramétrage du commutateur

Nous devons ajouter un commutateur Zyxel en tant que clients RADIUS sur le serveur NPS

1) Ouvrez Utilisateurs et ordinateurs Active Directory : Démarrer > Tous les programmes > Outils d'administration > Utilisateurs et ordinateurs Active Directory.

2) Créez un nouveau compte utilisateur. Le nom d'utilisateur et le mot de passe doivent être l'adresse MAC de l'appareil se connectant. Remarque : Veuillez vérifier quelles options sont prises en charge sur le commutateur et configurez-le. Nous avons les options suivantes basées sur X/GS2xxx ou supérieur :

Configurez le commutateur en naviguant vers

SECURITY > Port Authentication > MAC Authentication

Puis activez l'authentification MAC, choisissez un type de mot de passe basé sur l'adresse MAC en minuscules, et activez l'authentification MAC sur les ports souhaités. Changez le tiret sur le commutateur par aucun.
 

MAC authentication settings pageParamètres possibles :

Préfixe de nom Tapez le préfixe qui est ajouté à toutes les adresses MAC envoyées au serveur RADIUS pour l'authentification. Vous pouvez entrer jusqu'à 32 caractères ASCII imprimables. Si vous laissez ce champ vide, seule l'adresse MAC du client est transmise au serveur RADIUS.
Délimiteur Sélectionnez le délimiteur que le serveur RADIUS utilise pour séparer les paires dans les adresses MAC utilisées comme nom d'utilisateur (et mot de passe) du compte. Vous pouvez choisir Tiret (–), Deux-points (:) ou Aucun pour ne pas utiliser de délimiteur dans l'adresse MAC.
Casse Sélectionnez la casse (Majuscule ou Minuscule) requise par le serveur RADIUS pour les lettres dans les adresses MAC utilisées comme nom d'utilisateur (et mot de passe) du compte.
Type de mot de passe Sélectionnez Statique pour que le commutateur envoie le mot de passe que vous spécifiez ci-dessous ou Adresse-MAC pour utiliser l'adresse MAC du client comme mot de passe.
Mot de passe Tapez le mot de passe que le commutateur envoie avec l'adresse MAC d'un client pour l'authentification auprès du serveur RADIUS. Vous pouvez entrer jusqu'à 32 caractères ASCII imprimables, excepté [ ? ], [ | ], [ ' ], [ " ] ou [ , ].
Délai d'attente

Spécifiez la durée avant que le commutateur autorise une adresse MAC client ayant échoué à l'authentification à tenter de s'authentifier à nouveau. Le temps maximum est de 3000 secondes. Lorsqu'un client échoue à l'authentification MAC, son adresse MAC est enregistrée dans la table d'adresses MAC avec un statut refusé. La période de délai d'attente que vous spécifiez ici est la durée pendant laquelle l'entrée d'adresse MAC reste dans la table d'adresses MAC avant d'être effacée. Si vous spécifiez 0 pour la valeur de délai d'attente, le commutateur utilise le temps de vieillissement configuré dans l'écran de configuration du commutateur.

Remarque : Si le Temps de vieillissement dans l'écran Configuration du commutateur est réglé sur une valeur inférieure, alors il prévaut sur ce paramètre.

Ici, dans cet exemple, l'adresse MAC et le nom d'utilisateur du client sont « b827eb2550df ». Le PI enverra la MAC et le mot de passe identiques, ce qui signifie que l'utilisateur et le mot de passe sont : « b827eb2550df ». Assurez-vous que l'adresse MAC est ajoutée comme utilisateur et mot de passe sans aucun deux-points.Active Directory user account settings

  • Lorsqu'on utilise une adresse MAC comme mot de passe, il peut être nécessaire de modifier les exigences de complexité du mot de passe sur le serveur pour supprimer toute exigence minimale imposée.
    Allez dans Gestionnaire de serveur, Outils en haut à droite, Stratégie de sécurité locale, Stratégie de compte, Stratégie de mot de passe et changez la longueur minimale du mot de passe à aucune. Remarque : Assurez-vous d'activer cette option après avoir ajouté tous les comptes utilisateur d'adresses MAC

Local security policy settings

  • Pour que l'utilisateur puisse être authentifié par AD, nous avons besoin d'un groupe pour cela :

Active Directory group configuration

Ainsi, l'utilisateur et le groupe sont créés, et maintenant nous devons configurer NPS.

Paramètres NPS

Tous les commutateurs qui doivent authentifier un client doivent être ajoutés à NPS en tant que client Radius.

  • Ouvrez la console du serveur NPS en allant sur Démarrer > Programmes > Outils d'administration > Serveur de stratégie réseau
  • Dans le volet gauche, développez l'option Clients et serveurs RADIUS.
  • Cliquez droit sur l'option Clients RADIUS et sélectionnez Nouveau.
  • Entrez un nom pour le commutateur Zyxel.
  • Entrez l'adresse IP de votre commutateur Zyxel.
  • Créez et entrez un secret partagé RADIUS.
  • Appuyez sur OK une fois terminé.
  • Répétez ces étapes pour tous les commutateurs qui seront utilisés pour l'authentification MAC.

NPS RADIUS client settings

Nous avons maintenant besoin d'une politique de requête de connexion NPS.

Network policy settings page

Avec les paramètres pour le groupe Windows et le type de port NAS :

NAS port type configuration window

Avec la méthode d'authentification dans les paramètres :

Authentication methods settings

Nous pouvons maintenant poursuivre avec la configuration du commutateur.

Nous devons d'abord ajouter le serveur AAA en naviguant vers :

SECURITY > AAA > RADIUS Server Setup

RADIUS server setup page

  • Référez-vous au point 6 Paramètre NPS pour le Secret partagé => Configurez l'IP et entrez un secret partagé RADIUS.

Nous devons maintenant activer le port sur lequel l'authentification MAC doit être utilisée :
(Ici, par exemple, le PI est connecté au port 6) :

Switch MAC authentication settings

Sauvegardez votre configuration pour ne pas perdre la configuration après un redémarrage :

Vérification :

J'ai effectué une vérification avec Wireshark, et cela fonctionne :

Wireshark authentication log screen

  • Vous pouvez également utiliser le journal de domaine, vous verrez la même chose :

Domain-Log

Remarque : Après avoir configuré le commutateur, vous devez toujours sauvegarder votre nouvelle configuration sur le commutateur.
Sinon, le commutateur perdra les modifications après un redémarrage
Problème de perte de configuration du commutateur après coupure de courant ou cycle d'alimentation

 

Articles dans cette section

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 1 sur 1
Partager

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.