Fontos értesítés: |
[Zyxel Switch / XGS / GS 2xxx sorozat és újabb] - MAC-hitelesítés Active Directoryval
Ez a bemutató a MAC-hitelesítés Active Directoryval történő megvalósítására összpontosít, kifejezetten az Active Directory alapbeállításaira szabva, Windows Server 2019-et használva, egyszerű felépítéssel:
BaseDN: DC=ad,DC=local
Kezdeti lépés: A folyamat megkezdéséhez elengedhetetlen egy felhasználó létrehozása és hozzáadása, amely az ügyfélként fog szolgálni. Példaként tekintsünk egy "b827eb2550df" MAC-címmel rendelkező eszközt (például egy Raspberry Pi-t). Ez a felhasználó kulcsszerepet fog játszani a következő lépésekben ismertetett hitelesítési folyamatban.
Kapcsoló beállítása
Hozzá kell adnunk egy Zyxel Switch-et RADIUS-ügyfélként az NPS-kiszolgálóhoz.
1) Nyissuk meg az Active Directory felhasználók és számítógépek eszköztárát: Start > Minden program > Felügyeleti eszközök > Active Directory - felhasználók és számítógépek.
2) Hozzon létre egy új felhasználói fiókot. a felhasználónévnek és a jelszónak a csatlakozó eszköz MAC-címének kell lennie. Megjegyzés: Kérjük, ellenőrizze, hogy a kapcsoló milyen opciókat támogat, és konfigurálja ezt a következő lehetőségek vannak X/GS2xxx vagy magasabb verzió alapján:
A kapcsoló konfigurálása a következő navigációval
dyn_repppppppp_0Ezután aktiválja a MAC-hitelesítést, válasszon egy MAC-cím alapú kisbetűs jelszó típust, és aktiválja a MAC-hitelesítést a kívánt portokon. A kapcsolón a kötőjelet változtassa át nullára.
A lehetséges beállítások:
| Név-előtag | Írja be azt az előtagot, amely a RADIUS-kiszolgálónak hitelesítés céljából küldött összes MAC-címhez hozzá lesz csatolva. Legfeljebb 32 nyomtatható ASCII karaktert adhat meg.Ha ezt a mezőt üresen hagyja, akkor csak az ügyfél MAC-címe kerül továbbításra a RADIUS-kiszolgálónak. | ||
| Elhatárolójel | Válassza ki azt az elválasztójelet, amelyet a RADIUS-kiszolgáló a fiók felhasználóneveként (és jelszavaként) használt MAC-címek párjainak elválasztására használ. Kiválaszthatja a kötőjelet (-), a kettőspontot (:), vagy a Nincs választást, ha egyáltalán nem szeretne elválasztójelet használni a MAC-címben. | ||
| Nagybetű | Kiválaszthatja, hogy a RADIUS-kiszolgáló milyen nagy- vagy kisbetűket (felső vagy alsó) használjon a fiókfelhasználónévként (és jelszóként) használt MAC-címekben szereplő betűkhöz. | ||
| Jelszó típusa | Válassza a Static (Statikus) lehetőséget, ha a kapcsoló az alább megadott jelszót szeretné elküldeni, vagy a MAC-Address (MAC-cím) lehetőséget, ha az ügyfél MAC-címét szeretné jelszóként használni. | ||
| Jelszó | Adja meg azt a jelszót, amelyet a Switch az ügyfél MAC-címével együtt küld a RADIUS-kiszolgálón történő hitelesítéshez. Legfeljebb 32 nyomtatható ASCII karaktert adhat meg, kivéve [ ? ], [ | ], [ ' ], [ " ] vagy [ , ]. | ||
| Timeout |
Megadja azt az időtartamot, amíg a kapcsoló engedélyezi, hogy a sikertelen hitelesítésű ügyfél MAC-címe újra megpróbálja a hitelesítést. A maximális idő 3000 másodperc.Ha egy ügyfél MAC-hitelesítés sikertelen, a MAC-címe a MAC-címtáblából megtagadott státusszal kerül megtanulásra. Az itt megadott időkorlát az az időtartam, amíg a MAC-cím bejegyzés a MAC-címtáblában marad, amíg törlődik.Ha azidőkorlát értékének 0-t ad meg, a kapcsoló a kapcsoló beállítása képernyőn konfigurált öregedési időt használja.
|
Ebben a példában az ügyfél MAC-je és felhasználóneve "b827eb2550df" A PI a MAC-ot és a jelszót ugyanúgy fogja elküldeni, ami azt jelenti, hogy a User és a PWD: "b827eb2550df". Győződjön meg róla, hogy a Mac-cím a felhasználó és a jelszó kettőspontok nélkül kerül hozzáadásra.
- Ha mac-címet használ jelszóként, akkor szükség lehet a kiszolgáló jelszó összetettségi követelményeinek szerkesztésére, hogy eltávolítson minden kikényszerített minimális jelszókövetelményt.
Menjen a Kiszolgálókezelő, Eszközök a jobb felső sarokban, Helyi biztonsági házirend, Fiók házirend, Jelszó házirend, és módosítsa a Minimális jelszóhosszúság házirendet nullára. Megjegyzés: Győződjön meg róla, hogy ezt a beállítást az összes Mac cím felhasználói fiók hozzáadása után engedélyezte.
- Ahhoz, hogy a felhasználó az AD által hitelesíthető legyen, szükségünk van egy csoportra:
Tehát a Felhasználó és a Groupe létrejön, és most az NPS-t kell beállítanunk.
NPS beállítások
Minden kapcsolót, amelynek hitelesítenie kell egy ügyfelet, hozzá kell adni az NPS-hez Radius kliensként.
- Nyissa meg az NPS-kiszolgáló konzolját a Start > Programok > Felügyeleti eszközök > Hálózati házirend-kiszolgáló menüpontra kattintva.
- A bal oldali ablaktáblában bontsa ki a RADIUS-ügyfelek és -kiszolgálók lehetőséget.
- Kattintson a jobb gombbal a RADIUS-ügyfelek lehetőségre, és válassza az Új lehetőséget.
- Adjon meg egy nevet a Zyxel-kapcsolónak.
- Adja meg a Zyxel-kapcsoló IP-címét.
- Hozzon létre és adjon meg egy RADIUS megosztott titkot.
- Nyomja meg az OK gombot, ha végzett.
- Ismételje meg ezeket a lépéseket az összes MAC-Auth-hoz használt kapcsoló esetében.
Most szükségünk van egy NPS-kapcsolatigénylési házirendre.
A Windows csoport és a NAS port típusa beállításokkal:
Az Auth módszer beállításoknál:
Most már folytathatjuk a Switch Configgal.
Először hozzá kell adnunk az AAA-kiszolgálót a következő navigációval:
dyn_repppppppp_1- Lásd a Nr 6 NPS beállítása Shared Secret => Set IP és adjunk meg egy RADIUS Shared Secretet.
Most engedélyeznünk kell a portot, amelyen a MAC-Auth-ot használni kell:
(Itt például a PI a 6-os porthoz van csatlakoztatva):
Mentse a konfigurációt, hogy ne veszítse el a konfigurációt újraindítás után:
Ellenőrzés:
Wiresharkkal ellenőriztem, és működik:
- A Domain-Log-ot is használhatja, ugyanezt fogja látni:
Megjegyzés: Akapcsoló konfigurálása után mindig mentse el az új konfigurációt a kapcsolón.
Ellenkező esetben a kapcsoló újraindítás után elveszíti a módosításokat.
A kapcsoló konfigurációja elveszett áramkimaradás vagy áramciklus után probléma.
Beállítási segítség, a professzionális szolgáltatási csapatunk által segített konfigurációt keres? Kérjük, nézze meg itt: Zyxel ConfigService Switch
Hozzászólások
0 hozzászólásA cikkhez nem írhatók újabb hozzászólások.