[Serie Zyxel Switch / XGS / GS 2xxx e superiori] - Autenticazione MAC con Active Directory
Questo tutorial si concentra sull'implementazione dell'autenticazione MAC con Active Directory, specificamente adattata alle impostazioni base di Active Directory utilizzando Windows Server 2019 con una struttura semplice:
BaseDN: DC=ad,DC=local
Passo iniziale: Creazione e aggiunta utente Per iniziare il processo, è fondamentale creare e aggiungere un utente, che fungerà da client. Come esempio, consideriamo un dispositivo con l'indirizzo MAC "b827eb2550df" (ad esempio un Raspberry Pi). Questo utente avrà un ruolo chiave nel processo di autenticazione descritto nei passaggi successivi.
Configurazione dello Switch
Dobbiamo aggiungere uno Zyxel Switch come client RADIUS sul server NPS
1) Aprire Active Directory Users and Computers: Start > Tutti i programmi > Strumenti di amministrazione > Active Directory Users and Computers.
2) Creare un nuovo account utente. Il nome utente e la password devono essere l'indirizzo MAC del dispositivo che si connette. Nota: Verificare quali opzioni sono supportate nello switch e configurare di conseguenza. Abbiamo le seguenti opzioni basate su X/GS2xxx o versioni superiori:
Configurare lo switch navigando su
SECURITY > Port Authentication > MAC AuthenticationQuindi attivare l'autenticazione MAC, scegliere un tipo di password basata sull'indirizzo MAC in minuscolo e attivare l'autenticazione MAC sulle porte desiderate. Cambiare il trattino sullo switch in nessuno.
Impostazioni possibili:
| Prefisso Nome | Digitare il prefisso che viene aggiunto a tutti gli indirizzi MAC inviati al server RADIUS per l'autenticazione. È possibile inserire fino a 32 caratteri ASCII stampabili. Se si lascia questo campo vuoto, verrà inoltrato al server RADIUS solo l'indirizzo MAC del client. | ||
| Delimitatore | Selezionare il delimitatore che il server RADIUS usa per separare le coppie negli indirizzi MAC utilizzati come nome utente (e password) dell'account. È possibile scegliere Trattino (–), Due punti (:) o Nessuno per non usare alcun delimitatore nell'indirizzo MAC. | ||
| Maiuscole/Minuscole | Selezionare il formato (Maiuscole o Minuscole) richiesto dal server RADIUS per le lettere negli indirizzi MAC usati come nome utente (e password) dell'account. | ||
| Tipo di Password | Selezionare Statico per far sì che lo Switch invii la password specificata qui sotto oppure Indirizzo MAC per usare l'indirizzo MAC del client come password. | ||
| Password | Digitare la password che lo Switch invia insieme all'indirizzo MAC del client per l'autenticazione con il server RADIUS. È possibile inserire fino a 32 caratteri ASCII stampabili, eccetto [ ? ], [ | ], [ ' ], [ " ] o [ , ]. | ||
| Timeout |
Specificare il tempo prima che lo Switch permetta a un indirizzo MAC client che ha fallito l'autenticazione di tentare nuovamente. Il tempo massimo è di 3000 secondi. Quando un client fallisce l'autenticazione MAC, il suo indirizzo MAC viene memorizzato nella tabella degli indirizzi MAC con stato negato. Il periodo di timeout specificato qui è il tempo in cui la voce dell'indirizzo MAC rimane nella tabella finché non viene cancellata. Se si specifica 0 come valore di timeout, lo Switch utilizza il Tempo di Invecchiamento configurato nella schermata di configurazione dello Switch.
|
In questo esempio, l'indirizzo MAC e il nome utente del client sono “b827eb2550df”. Il PI invierà MAC e password uguali, il che significa che utente e password sono: “b827eb2550df”. Assicurarsi che l'indirizzo MAC sia aggiunto come utente e password senza due punti.
-
Quando si usa un indirizzo MAC come password, potrebbe essere necessario modificare i requisiti di complessità della password del server per rimuovere eventuali requisiti minimi obbligatori.
Andare su Server Manager, Strumenti in alto a destra, Criteri di sicurezza locali, Criteri account, Criteri password e modificare la Lunghezza minima della password a nessuna. Nota: Assicurarsi di abilitare questa opzione solo dopo aver aggiunto tutti gli account utente con indirizzo MAC
- Perché l'utente possa essere autenticato da AD, è necessario un gruppo dedicato:
Quindi, utente e gruppo sono stati creati, ora dobbiamo configurare NPS.
Impostazioni NPS
Tutti gli switch che devono autenticare un client devono essere aggiunti a NPS come client RADIUS.
- Aprire la console del server NPS andando su Start > Programmi > Strumenti di amministrazione > Network Policy Server
- Nel pannello a sinistra, espandere l'opzione Client e server RADIUS.
- Fare clic con il tasto destro su Client RADIUS e selezionare Nuovo.
- Inserire un nome per lo Zyxel-Switch.
- Inserire l'indirizzo IP dello Zyxel Switch.
- Creare e inserire un segreto condiviso RADIUS.
- Premere OK al termine.
- Ripetere questi passaggi per tutti gli switch che saranno usati per l'autenticazione MAC.
Ora è necessario creare una policy di richiesta di connessione NPS.
Con le impostazioni per il gruppo Windows e il tipo di porta NAS:
Con il metodo di autenticazione nelle impostazioni:
Ora possiamo procedere con la configurazione dello Switch.
Per prima cosa dobbiamo aggiungere il server AAA navigando su:
SECURITY > AAA > RADIUS Server Setup- Fare riferimento al punto 6 delle impostazioni NPS per il Segreto Condiviso => impostare l'IP e inserire un segreto condiviso RADIUS.
Ora dobbiamo abilitare la porta su cui deve essere usata l'autenticazione MAC:
(In questo esempio il PI è collegato alla porta 6):
Salvare la configurazione per non perdere le impostazioni dopo il riavvio:
Verifica:
Ho effettuato una verifica con Wireshark, e funziona:
- È possibile usare anche il log di dominio, si vedrà lo stesso risultato:
Nota: Dopo aver configurato lo switch, è sempre necessario salvare la nuova configurazione sullo switch.
Altrimenti, lo switch perderà le modifiche dopo un riavvio
Problema di perdita della configurazione dello switch dopo interruzione di corrente o ciclo di accensione
Commenti
0 commentiQuesto articolo è chiuso ai commenti.