Zyxel hálózati switch XGS/GS2xxx - MAC hitelesítés konfigurálása Active Directory-val Zyxel switcheken

További kérdései vannak? Kérelem beküldése

[Zyxel Switch / XGS / GS 2xxx sorozat és újabb] - MAC hitelesítés Active Directory-val

Ez az útmutató a MAC hitelesítés Active Directory-val történő megvalósítására fókuszál, különösen az alapvető Active Directory beállításokra a Windows Server 2019 egyszerű struktúrájával:

BaseDN: DC=ad,DC=local

Első lépés: Felhasználó létrehozása és hozzáadása A folyamat megkezdéséhez elengedhetetlen egy felhasználó létrehozása és hozzáadása, amely kliensként fog működni. Példaként vegyünk egy eszközt a "b827eb2550df" MAC címmel (például egy Raspberry Pi). Ez a felhasználó kulcsszerepet játszik a következő lépésekben ismertetett hitelesítési folyamatban.

Switch beállítás

Hozzá kell adnunk egy Zyxel switch-et RADIUS kliensként az NPS szerveren

1) Nyissa meg az Active Directory Users and Computers alkalmazást: Start > Minden program > Adminisztratív eszközök > Active Directory Users and Computers.

2) Hozzon létre egy új felhasználói fiókot. A felhasználónévnek és jelszónak a csatlakozó eszköz MAC címének kell lennie. Megjegyzés: Ellenőrizze, hogy a switch mely opciókat támogatja és konfigurálja ennek megfelelően. Az X/GS2xxx vagy újabb modellek esetén a következő lehetőségek állnak rendelkezésre:

A switch konfigurálásához navigáljon ide:

SECURITY > Port Authentication > MAC Authentication

Ezután aktiválja a MAC hitelesítést, válassza a MAC-cím alapú kisbetűs jelszótípust, és aktiválja a MAC hitelesítést azokon a portokon, amelyeken szeretné. A switch-en a kötőjelet állítsa "none"-ra.
 

MAC authentication settings pageLehetséges beállítások:

Név előtag Adja meg azt az előtagot, amely minden MAC-címhez hozzáfűződik, és amelyet a RADIUS szervernek hitelesítés céljából küldünk. Legfeljebb 32 nyomtatható ASCII karakter adható meg. Ha ezt a mezőt üresen hagyja, akkor csak a kliens MAC címe kerül továbbításra a RADIUS szerverhez.
Elválasztó Válassza ki azt az elválasztót, amelyet a RADIUS szerver használ a MAC címekben szereplő párok elválasztására, amelyeket fiók felhasználónévként (és jelszóként) használnak. Választhat kötőjelet (–), kettőspontot (:) vagy semmit (None), ha nem szeretne elválasztót használni a MAC címben.
Nagybetű/kisbetű Válassza ki azt az írásmódot (nagybetű vagy kisbetű), amelyet a RADIUS szerver megkövetel a MAC címekben szereplő betűk esetén, amelyeket fiók felhasználónévként (és jelszóként) használnak.
Jelszó típusa Válassza a "Static" opciót, ha a switch által alább megadott jelszót szeretné küldeni, vagy a "MAC-Address" opciót, ha a kliens MAC címét szeretné jelszóként használni.
Jelszó Adja meg azt a jelszót, amelyet a switch a kliens MAC címével együtt küld a RADIUS szervernek hitelesítés céljából. Legfeljebb 32 nyomtatható ASCII karakter adható meg, kivéve a következő karaktereket: [ ? ], [ | ], [ ' ], [ " ] vagy [ , ].
Időtúllépés

Adja meg azt az időtartamot másodpercben, amely után a switch lehetővé teszi, hogy egy sikertelenül hitelesített kliens MAC cím újra próbálkozzon a hitelesítéssel. A maximális idő 3000 másodperc. Ha egy kliens sikertelenül próbál MAC hitelesítést, a MAC címe megtanulásra kerül a MAC cím táblában "denied" státusszal. Az itt megadott időtartam az az idő, ameddig a MAC cím bejegyzés a táblában marad, mielőtt törlésre kerülne. Ha 0-t ad meg, akkor a switch a Switch Setup képernyőn beállított Aging Time értéket használja.

Megjegyzés: Ha a Aging Time a Switch Setup képernyőn alacsonyabb értékre van állítva, akkor az felülírja ezt a beállítást.

Ebben a példában a kliens MAC címe és felhasználóneve “b827eb2550df”. A PI ugyanazt a MAC címet és jelszót küldi, vagyis a felhasználónév és jelszó: “b827eb2550df”. Győződjön meg róla, hogy a MAC cím felhasználóként és jelszóként is hozzáadásra került, kötőjelek nélkül.Active Directory user account settings

  • MAC cím jelszóként való használatakor előfordulhat, hogy módosítani kell a szerver jelszó összetettségi követelményeit, hogy eltávolítsa az esetleges minimális jelszókövetelményeket.
    Nyissa meg a Server Manager-t, a jobb felső sarokban a Tools menüt, majd a Local Security Policy-t, azon belül az Account Policy-t, Password Policy-t, és állítsa a Minimum Password Policy Length értékét "none"-ra. Megjegyzés: Győződjön meg róla, hogy ezt az opciót csak az összes MAC cím felhasználói fiók hozzáadása után engedélyezi.

Local security policy settings

  • Ahhoz, hogy a felhasználó hitelesíthető legyen AD által, szükségünk van egy csoport létrehozására:

Active Directory group configuration

Tehát a felhasználó és a csoport létrejött, most konfigurálnunk kell az NPS-t.

NPS beállítások

Minden olyan switch-et, amely kliens hitelesítésére szolgál, hozzá kell adni az NPS-hez Radius kliensként.

  • Nyissa meg az NPS szerver konzolt: Start > Programok > Adminisztratív eszközök > Network Policy Server
  • A bal oldali panelen bontsa ki a RADIUS Clients and Servers opciót.
  • Kattintson jobb gombbal a RADIUS Clients opcióra, majd válassza az Új (New) lehetőséget.
  • Adjon meg egy nevet a Zyxel switch-nek.
  • Adja meg a Zyxel switch IP-címét.
  • Hozzon létre és adjon meg egy RADIUS megosztott titkot (Shared Secret).
  • Kattintson az OK gombra a befejezéshez.
  • Ismételje meg ezeket a lépéseket az összes olyan switch esetén, amely MAC hitelesítésre lesz használva.

NPS RADIUS client settings

Most szükségünk van egy NPS Connection Request Policy-re.

Network policy settings page

Beállítások Windows csoport és NAS Port típus szerint:

NAS port type configuration window

Hitelesítési módszer beállítása:

Authentication methods settings

Most folytathatjuk a switch konfigurációját.

Először hozzá kell adnunk az AAA szervert az alábbi útvonalon:

SECURITY > AAA > RADIUS Server Setup

RADIUS server setup page

  • Hivatkozzon a 6. pontra az NPS beállításoknál: Shared Secret => állítsa be az IP-t és adja meg a RADIUS megosztott titkot.

Most engedélyeznünk kell azt a portot, amelyen a MAC hitelesítés használatos:
(Ebben a példában a PI a 6-os portra van csatlakoztatva):

Switch MAC authentication settings

Mentse el a konfigurációt, hogy ne vesszen el újraindítás után:

Ellenőrzés:

Wireshark segítségével ellenőriztem, és működik:

Wireshark authentication log screen

  • Használhatja a Domain-Logot is, ott ugyanazt fogja látni:

 Domain-Log

Megjegyzés: A switch konfigurálása után mindig mentse el az új beállításokat a switch-en.
Máskülönben a switch újraindítás után elveszíti a változtatásokat.
Switch konfiguráció elvesztése áramszünet vagy áramkimaradás után

 

A szakasz cikkei

Hasznos volt ez a cikk?
1/1 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

A cikkhez nem írhatók újabb hozzászólások.