[Zyxel Switch / XGS / GS 2xxx-serie en hoger] - MAC-authenticatie met Active Directory
Deze tutorial richt zich op het implementeren van MAC-authenticatie met Active Directory, specifiek afgestemd op basis Active Directory-instellingen met Windows Server 2019 en een eenvoudige structuur:
BaseDN: DC=ad,DC=local
Eerste stap: Gebruiker aanmaken en toevoegen Om het proces te starten, is het noodzakelijk een gebruiker aan te maken en toe te voegen, die zal dienen als cliënt. Als voorbeeld nemen we een apparaat met het MAC-adres "b827eb2550df" (zoals een Raspberry Pi). Deze gebruiker speelt een sleutelrol in het authenticatieproces dat in de volgende stappen wordt beschreven.
Switch-instelling
We moeten een Zyxel Switch toevoegen als RADIUS-client op de NPS-server
1) Open Active Directory Users and Computers: Start > Alle programma's > Beheertools > Active Directory Users and Computers.
2) Maak een nieuw gebruikersaccount aan. De gebruikersnaam en het wachtwoord moeten het MAC-adres van het verbindende apparaat zijn. Opmerking: Controleer welke opties op de switch worden ondersteund en configureer dit. We hebben de volgende opties gebaseerd op X/GS2xxx of hoger:
Configureer de switch door te navigeren naar
SECURITY > Port Authentication > MAC AuthenticationActiveer vervolgens MAC-authenticatie, kies een wachtwoordtype op basis van het MAC-adres in kleine letters en activeer de MAC-authenticatie op de poorten die je wilt. Verander het streepje op de switch in geen.
Mogelijke instellingen zijn:
| Naamvoorvoegsel | Typ het voorvoegsel dat aan alle MAC-adressen wordt toegevoegd die naar de RADIUS-server worden gestuurd voor authenticatie. Je kunt maximaal 32 afdrukbare ASCII-tekens invoeren. Als je dit veld leeg laat, wordt alleen het MAC-adres van de cliënt doorgestuurd naar de RADIUS-server. | ||
| Scheidingsteken | Selecteer het scheidingsteken dat de RADIUS-server gebruikt om de paren in MAC-adressen te scheiden die worden gebruikt als gebruikersnaam (en wachtwoord) van het account. Je kunt kiezen uit Streepje (–), Dubbelpunt (:) of Geen om helemaal geen scheidingstekens te gebruiken in het MAC-adres. | ||
| Hoofdletters/kleine letters | Selecteer of hoofdletters of kleine letters vereist zijn door de RADIUS-server voor letters in MAC-adressen die worden gebruikt als gebruikersnaam (en wachtwoord) van het account. | ||
| Wachtwoordtype | Selecteer Statisch om het wachtwoord te laten verzenden dat je hieronder opgeeft, of MAC-adres om het MAC-adres van de cliënt als wachtwoord te gebruiken. | ||
| Wachtwoord | Typ het wachtwoord dat de switch samen met het MAC-adres van een cliënt verzendt voor authenticatie bij de RADIUS-server. Je kunt tot 32 afdrukbare ASCII-tekens invoeren, behalve [ ? ], [ | ], [ ' ], [ " ] of [ , ]. | ||
| Time-out |
Geef de tijd op voordat de switch een cliënt MAC-adres dat authenticatie niet is gelukt, opnieuw toestaat te proberen authenticeren. De maximale tijd is 3000 seconden. Wanneer een cliënt faalt bij MAC-authenticatie, wordt het MAC-adres geleerd door de MAC-adrestabel met een status van geweigerd. De hier opgegeven time-outperiode is de tijd dat de MAC-adresentree in de MAC-adrestabel blijft staan totdat deze wordt verwijderd. Als je 0 opgeeft als time-outwaarde, gebruikt de switch de verouderingstijd die is geconfigureerd in het Switch Setup-scherm.
|
In dit voorbeeld zijn de MAC en gebruikersnaam van de cliënt “b827eb2550df”. De Pi zal hetzelfde MAC-adres en wachtwoord verzenden, wat betekent dat de gebruiker en het wachtwoord zijn: “b827eb2550df”. Zorg ervoor dat het MAC-adres als gebruiker en wachtwoord is toegevoegd zonder dubbele punten.
-
Bij het gebruik van een MAC-adres als wachtwoord moet je mogelijk de complexiteitseisen voor wachtwoorden op de server aanpassen om eventuele minimale wachtwoordvereisten te verwijderen.
Ga naar Serverbeheer, Hulpmiddelen rechtsboven, Lokale beveiligingsbeleid, Accountbeleid, Wachtwoordbeleid en wijzig de minimale wachtwoordlengte naar geen. Opmerking: Zorg ervoor dat je deze optie inschakelt nadat je alle Mac-adres gebruikersaccounts hebt toegevoegd
- Om de gebruiker door AD te laten authenticeren, hebben we een groep nodig:
Dus, gebruiker en groep zijn aangemaakt, en nu moeten we NPS configureren.
NPS-instellingen
Alle switches die een cliënt moeten authenticeren, moeten worden toegevoegd aan NPS als RADIUS-client.
- Open de NPS-serverconsole via Start > Programma's > Beheertools > Network Policy Server
- Vouw in het linkerpaneel de optie RADIUS Clients and Servers uit.
- Klik met de rechtermuisknop op RADIUS Clients en selecteer Nieuw.
- Voer een naam in voor de Zyxel-switch.
- Voer het IP-adres van je Zyxel-switch in.
- Maak een RADIUS Shared Secret aan en voer deze in.
- Klik op OK als je klaar bent.
- Herhaal deze stappen voor alle switches die voor MAC-authenticatie worden gebruikt.
Nu hebben we een NPS Connection Request Policy nodig.
Met de instellingen voor Windows-groep en NAS-poorttype:
Met de authenticatiemethode in de instellingen:
Nu kunnen we doorgaan met de switchconfiguratie.
We moeten eerst de AAA-server toevoegen door te navigeren naar:
SECURITY > AAA > RADIUS Server Setup- Verwijs naar Nr 6 NPS-instelling is Shared Secret => Stel IP in en voer een RADIUS Shared Secret in.
Nu moeten we de poort inschakelen waarop MAC-authenticatie moet worden gebruikt:
(Hier is als voorbeeld de Pi verbonden met poort 6):
Sla je configuratie op om verlies van instellingen na een herstart te voorkomen:
Verificatie:
Ik heb de verificatie gedaan met Wireshark en het werkt:
- Je kunt ook het domeinlog gebruiken, je ziet hetzelfde:
Opmerking: Na het configureren van de switch moet je altijd je nieuwe configuratie op de switch opslaan.
Anders verliest de switch de wijzigingen na een herstart
Switch-configuratie verloren na stroomuitval of stroomcyclusprobleem
Opmerkingen
0 opmerkingenArtikel is gesloten voor opmerkingen.