Switch di rete - Configurazione dell'autenticazione MAC con Active Directory

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

[Switch Zyxel / XGS / GS serie 2xxx e successive] - Autenticazione MAC con Active Directory

Questa esercitazione è incentrata sull'implementazione dell'autenticazione MAC con Active Directory, specificamente adattata alle impostazioni di base di Active Directory utilizzando Windows Server 2019 con una struttura semplice:

BaseDN: DC=ad,DC=local

Fase iniziale: Creazione e aggiunta di un utente Per iniziare il processo, è necessario creare e aggiungere un utente che fungerà da client. A titolo di esempio, si consideri un dispositivo con indirizzo MAC "b827eb2550df" (ad esempio un Raspberry Pi). Questo utente avrà un ruolo fondamentale nel processo di autenticazione descritto nei passi successivi.

Impostazione dell'interruttore

È necessario aggiungere uno switch Zyxel come client RADIUS sul server NPS.

1) Aprire Active Directory Utenti e computer: Start > Tutti i programmi > Strumenti di amministrazione > Utenti e computer di Active Directory.

2) Creare un nuovo account utente. il nome utente e la password devono essere l'indirizzo MAC del dispositivo di connessione. Nota: verificare quali opzioni dello switch sono supportate e configurare le seguenti opzioni basate su X/GS2xxx o superiore:

Configurare lo switch navigando in 

SECURITY > Port Authentication > MAC Authentication

Quindi attivare l'Autenticazione MAC, scegliere un tipo di password minuscola basata sull'indirizzo MAC e attivare l'Autenticazione MAC sulle porte desiderate. Cambiare il trattino sullo switch in nessuno.

Impostazioni possibili:

Prefisso del nome Digitare il prefisso che viene aggiunto a tutti gli indirizzi MAC inviati al server RADIUS per l'autenticazione. È possibile inserire fino a 32 caratteri ASCII stampabili. Se si lascia questo campo vuoto, solo l'indirizzo MAC del client viene inviato al server RADIUS.
Delimitatore Selezionare il delimitatore che il server RADIUS utilizza per separare le coppie di indirizzi MAC utilizzate come nome utente (e password) dell'account. È possibile selezionare Trattino (-), Colon (:) o Nessuno per non utilizzare alcun delimitatore nell'indirizzo MAC.
Caso Selezionare il caso (maiuscolo o minuscolo) richiesto dal server RADIUS per le lettere degli indirizzi MAC utilizzati come nome utente (e password) dell'account.
Tipo di password Selezionare Statica per fare in modo che lo switch invii la password specificata di seguito o Indirizzo MAC per utilizzare l'indirizzo MAC del client come password.
Password Digitare la password che lo Switch invia insieme all'indirizzo MAC di un client per l'autenticazione con il server RADIUS. È possibile inserire fino a 32 caratteri ASCII stampabili, tranne [ ? ], [ | ], [ ' ], [ " ] o [ , ].
Timeout Specificare l'intervallo di tempo prima che lo switch consenta a un indirizzo MAC client che non riesce ad autenticarsi di riprovare ad autenticarsi. Il tempo massimo è di 3000 secondi. Quando un client non riesce a eseguire l'autenticazione MAC, il suo indirizzo MAC viene appreso dalla tabella degli indirizzi MAC con lo stato di negato. Il periodo di timeout specificato qui è il tempo in cui la voce dell'indirizzo MAC rimane nella tabella degli indirizzi MAC finché non viene cancellata. Se si specifica 0 per il valore di timeout, lo switch utilizza il tempo di invecchiamento configurato nella schermata Switch Setup.
Nota: Se il tempo di invecchiamento nella schermata Switch Setup è impostato su un valore inferiore, esso sostituisce questa impostazione.

In questo esempio, il MAC e il nome utente del cliente sono "b827eb2550df" Il PI invierà il MAC e la password allo stesso modo, il che significa che l'utente e la password sono: "b827eb2550df". Assicurarsi che l'indirizzo Mac sia aggiunto come utente e password senza i due punti.mceclip1.png

  • Quando si usa un indirizzo Mac come password, potrebbe essere necessario modificare i requisiti di complessità della password del server per rimuovere qualsiasi requisito minimo di password imposto.
    Accedere a Server Manager, Strumenti nell'angolo in alto a destra, Criteri di sicurezza locale, Criteri dell'account, Criteri della password e modificare la Lunghezza minima del criterio della password in Nessuna. Nota: Assicurarsi di attivare questa opzione dopo aver aggiunto tutti gli account utente dell'indirizzo Mac.

  • Affinché l'utente possa essere autenticato da AD, è necessario creare un gruppo:

mceclip2.png

Quindi, Utente e Gruppo sono stati creati e ora dobbiamo configurare NPS.

Impostazioni NPS

Tutti gli switch che devono autenticare un client devono essere aggiunti a NPS come client Radius.

  • Aprire la console del server NPS andando su Start > Programmi > Strumenti di amministrazione > Network Policy Server.
  • Nel riquadro di sinistra, espandere l'opzione Client e server RADIUS.
  • Fare clic con il pulsante destro del mouse sull'opzione Client RADIUS e selezionare Nuovo.
  • Inserire un nome per lo Zyxel-Switch.
  • Inserire l'indirizzo IP dello switch Zyxel.
  • Creare e inserire un segreto condiviso RADIUS.
  • Premere OK al termine.
  • Ripetere questi passaggi per tutti gli switch che verranno utilizzati per MAC-Auth.

mceclip3.png

Ora abbiamo bisogno di un criterio di richiesta di connessione NPS.

mceclip4.png

Con le impostazioni su Gruppo Windows e Tipo di porta NAS:

mceclip5.png

Con il metodo di autorizzazione nelle impostazioni:

mceclip6.png

Ora possiamo procedere con la configurazione dello switch.

Dobbiamo aggiungere prima il server AAA navigando in: 

SECURITY > AAA > RADIUS Server Setup

  • Fare riferimento a N. 6 L'impostazione NPS è Segreto condiviso => Imposta IP e inserire un Segreto condiviso RADIUS.

Ora dobbiamo abilitare la porta su cui deve essere usato il MAC-Auth:
(in questo esempio il PI è collegato alla porta 6):

Salvare la configurazione per non perderla dopo il riavvio:

Verifica:

Ho effettuato una verifica con Wireshark e funziona:

mceclip9.png

  • Si può anche usare Domain-Log, si vedrà lo stesso:

mceclip10.png

Nota: Dopo aver configurato lo switch, è necessario salvare sempre la nuova configurazione sullo switch.
Altrimenti, lo switch perderà le modifiche dopo un riavvio
Configurazione dello switch persa dopo un'interruzione di corrente o un ciclo di alimentazione Problema

Assistenza per la configurazione, state cercando una configurazione assistita dal nostro team di servizi professionali? Consultate qui: Zyxel ConfigService Switch

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 1 su 1
Condividi

Commenti

0 commenti

Questo articolo è chiuso ai commenti.