[Zyxel Switch / XGS / GS 2xxx sorozat és újabb] - MAC hitelesítés Active Directory-val
Ez az útmutató a MAC hitelesítés Active Directory-val történő megvalósítására fókuszál, különösen az alapvető Active Directory beállításokra a Windows Server 2019 egyszerű struktúrájával:
BaseDN: DC=ad,DC=local
Első lépés: Felhasználó létrehozása és hozzáadása A folyamat megkezdéséhez elengedhetetlen egy felhasználó létrehozása és hozzáadása, amely kliensként fog működni. Példaként vegyünk egy eszközt a "b827eb2550df" MAC címmel (például egy Raspberry Pi). Ez a felhasználó kulcsszerepet játszik a következő lépésekben ismertetett hitelesítési folyamatban.
Switch beállítás
Hozzá kell adnunk egy Zyxel switch-et RADIUS kliensként az NPS szerveren
1) Nyissa meg az Active Directory Users and Computers alkalmazást: Start > Minden program > Adminisztratív eszközök > Active Directory Users and Computers.
2) Hozzon létre egy új felhasználói fiókot. A felhasználónévnek és jelszónak a csatlakozó eszköz MAC címének kell lennie. Megjegyzés: Ellenőrizze, hogy a switch mely opciókat támogatja és konfigurálja ennek megfelelően. Az X/GS2xxx vagy újabb modellek esetén a következő lehetőségek állnak rendelkezésre:
A switch konfigurálásához navigáljon ide:
SECURITY > Port Authentication > MAC AuthenticationEzután aktiválja a MAC hitelesítést, válassza a MAC-cím alapú kisbetűs jelszótípust, és aktiválja a MAC hitelesítést azokon a portokon, amelyeken szeretné. A switch-en a kötőjelet állítsa "none"-ra.
Lehetséges beállítások:
| Név előtag | Adja meg azt az előtagot, amely minden MAC-címhez hozzáfűződik, és amelyet a RADIUS szervernek hitelesítés céljából küldünk. Legfeljebb 32 nyomtatható ASCII karakter adható meg. Ha ezt a mezőt üresen hagyja, akkor csak a kliens MAC címe kerül továbbításra a RADIUS szerverhez. | ||
| Elválasztó | Válassza ki azt az elválasztót, amelyet a RADIUS szerver használ a MAC címekben szereplő párok elválasztására, amelyeket fiók felhasználónévként (és jelszóként) használnak. Választhat kötőjelet (–), kettőspontot (:) vagy semmit (None), ha nem szeretne elválasztót használni a MAC címben. | ||
| Nagybetű/kisbetű | Válassza ki azt az írásmódot (nagybetű vagy kisbetű), amelyet a RADIUS szerver megkövetel a MAC címekben szereplő betűk esetén, amelyeket fiók felhasználónévként (és jelszóként) használnak. | ||
| Jelszó típusa | Válassza a "Static" opciót, ha a switch által alább megadott jelszót szeretné küldeni, vagy a "MAC-Address" opciót, ha a kliens MAC címét szeretné jelszóként használni. | ||
| Jelszó | Adja meg azt a jelszót, amelyet a switch a kliens MAC címével együtt küld a RADIUS szervernek hitelesítés céljából. Legfeljebb 32 nyomtatható ASCII karakter adható meg, kivéve a következő karaktereket: [ ? ], [ | ], [ ' ], [ " ] vagy [ , ]. | ||
| Időtúllépés |
Adja meg azt az időtartamot másodpercben, amely után a switch lehetővé teszi, hogy egy sikertelenül hitelesített kliens MAC cím újra próbálkozzon a hitelesítéssel. A maximális idő 3000 másodperc. Ha egy kliens sikertelenül próbál MAC hitelesítést, a MAC címe megtanulásra kerül a MAC cím táblában "denied" státusszal. Az itt megadott időtartam az az idő, ameddig a MAC cím bejegyzés a táblában marad, mielőtt törlésre kerülne. Ha 0-t ad meg, akkor a switch a Switch Setup képernyőn beállított Aging Time értéket használja.
|
Ebben a példában a kliens MAC címe és felhasználóneve “b827eb2550df”. A PI ugyanazt a MAC címet és jelszót küldi, vagyis a felhasználónév és jelszó: “b827eb2550df”. Győződjön meg róla, hogy a MAC cím felhasználóként és jelszóként is hozzáadásra került, kötőjelek nélkül.
-
MAC cím jelszóként való használatakor előfordulhat, hogy módosítani kell a szerver jelszó összetettségi követelményeit, hogy eltávolítsa az esetleges minimális jelszókövetelményeket.
Nyissa meg a Server Manager-t, a jobb felső sarokban a Tools menüt, majd a Local Security Policy-t, azon belül az Account Policy-t, Password Policy-t, és állítsa a Minimum Password Policy Length értékét "none"-ra. Megjegyzés: Győződjön meg róla, hogy ezt az opciót csak az összes MAC cím felhasználói fiók hozzáadása után engedélyezi.
- Ahhoz, hogy a felhasználó hitelesíthető legyen AD által, szükségünk van egy csoport létrehozására:
Tehát a felhasználó és a csoport létrejött, most konfigurálnunk kell az NPS-t.
NPS beállítások
Minden olyan switch-et, amely kliens hitelesítésére szolgál, hozzá kell adni az NPS-hez Radius kliensként.
- Nyissa meg az NPS szerver konzolt: Start > Programok > Adminisztratív eszközök > Network Policy Server
- A bal oldali panelen bontsa ki a RADIUS Clients and Servers opciót.
- Kattintson jobb gombbal a RADIUS Clients opcióra, majd válassza az Új (New) lehetőséget.
- Adjon meg egy nevet a Zyxel switch-nek.
- Adja meg a Zyxel switch IP-címét.
- Hozzon létre és adjon meg egy RADIUS megosztott titkot (Shared Secret).
- Kattintson az OK gombra a befejezéshez.
- Ismételje meg ezeket a lépéseket az összes olyan switch esetén, amely MAC hitelesítésre lesz használva.
Most szükségünk van egy NPS Connection Request Policy-re.
Beállítások Windows csoport és NAS Port típus szerint:
Hitelesítési módszer beállítása:
Most folytathatjuk a switch konfigurációját.
Először hozzá kell adnunk az AAA szervert az alábbi útvonalon:
SECURITY > AAA > RADIUS Server Setup- Hivatkozzon a 6. pontra az NPS beállításoknál: Shared Secret => állítsa be az IP-t és adja meg a RADIUS megosztott titkot.
Most engedélyeznünk kell azt a portot, amelyen a MAC hitelesítés használatos:
(Ebben a példában a PI a 6-os portra van csatlakoztatva):
Mentse el a konfigurációt, hogy ne vesszen el újraindítás után:
Ellenőrzés:
Wireshark segítségével ellenőriztem, és működik:
- Használhatja a Domain-Logot is, ott ugyanazt fogja látni:
Megjegyzés: A switch konfigurálása után mindig mentse el az új beállításokat a switch-en.
Máskülönben a switch újraindítás után elveszíti a változtatásokat.
Switch konfiguráció elvesztése áramszünet vagy áramkimaradás után
Hozzászólások
0 hozzászólásA cikkhez nem írhatók újabb hozzászólások.