[Zyxel Svitsj / XGS / GS 2xxx-serien og nyere] - MAC-autentisering med Active Directory
Denne veiledningen fokuserer på implementering av MAC-autentisering med Active Directory, spesielt tilpasset grunnleggende Active Directory-innstillinger ved bruk av Windows Server 2019 med en enkel struktur:
BaseDN: DC=ad,DC=local
Første steg: Opprettelse og tillegg av bruker For å starte prosessen er det nødvendig å opprette og legge til en bruker, som vil fungere som klient. Som et eksempel, vurder en enhet med MAC-adressen "b827eb2550df" (for eksempel en Raspberry Pi). Denne brukeren vil spille en nøkkelrolle i autentiseringsprosessen som beskrives i de følgende trinnene.
Svitsjinnstillinger
Vi må legge til en Zyxel-svitsj som RADIUS-klient på NPS-serveren
1) Åpne Active Directory Users and Computers: Start > Alle programmer > Administrative verktøy > Active Directory Users and Computers.
2) Opprett en ny brukerkonto. Brukernavn og passord skal være MAC-adressen til den tilkoblede enheten. Merk: Vennligst sjekk hvilke alternativer som støttes på svitsjen og konfigurer dette. Vi har følgende alternativer basert på X/GS2xxx eller nyere:
Konfigurer svitsjen ved å navigere til
SECURITY > Port Authentication > MAC AuthenticationAktiver deretter MAC-autentisering, velg en MAC-adressebasert passordtype med små bokstaver, og aktiver MAC-autentisering på de portene du ønsker. Endre bindestreken på svitsjen til ingen.
Mulige innstillinger:
| Navnprefiks | Skriv inn prefikset som legges til alle MAC-adresser sendt til RADIUS-serveren for autentisering. Du kan skrive inntil 32 utskrivbare ASCII-tegn. Hvis du lar dette feltet stå tomt, blir kun MAC-adressen til klienten videresendt til RADIUS-serveren. | ||
| Skille tegn | Velg skilletegnet som RADIUS-serveren bruker for å separere par i MAC-adresser brukt som kontonavn (og passord). Du kan velge Bindestrek (–), Kolon (:) eller Ingen for å ikke bruke skilletegn i det hele tatt i MAC-adressen. | ||
| Bokstavtype | Velg bokstavtypen (store eller små bokstaver) som RADIUS-serveren krever for bokstaver i MAC-adresser brukt som kontonavn (og passord). | ||
| Passordtype | Velg Statisk for at svitsjen skal sende passordet du spesifiserer nedenfor, eller MAC-adresse for å bruke klientens MAC-adresse som passord. | ||
| Passord | Skriv inn passordet som svitsjen sender sammen med MAC-adressen til en klient for autentisering med RADIUS-serveren. Du kan skrive inntil 32 utskrivbare ASCII-tegn unntatt [ ? ], [ | ], [ ' ], [ " ] eller [ , ]. | ||
| Tidsavbrudd |
Angi hvor lang tid svitsjen tillater at en klient-MAC-adresse som feiler autentisering kan prøve på nytt. Maksimal tid er 3000 sekunder. Når en klient feiler MAC-autentisering, læres MAC-adressen av MAC-adressetabellen med status nektet. Tidsavbruddsperioden du angir her er hvor lenge MAC-adresseoppføringen blir værende i MAC-adressetabellen før den slettes. Hvis du angir 0 for tidsavbruddsverdien, bruker svitsjen Aldringstid konfigurert i Svitsjoppsett-skjermen.
|
I dette eksemplet er klientens MAC og brukernavn “b827eb2550df”. PI-en vil sende MAC og passord likt, som betyr at bruker og passord er: “b827eb2550df”. Sørg for at MAC-adressen er lagt til som bruker og passord uten kolon.
-
Når du bruker en MAC-adresse som passord, kan det hende du må endre serverens krav til passordkompleksitet for å fjerne eventuelle pålagte minimumskrav til passord.
Gå til Serverbehandling, Verktøy øverst til høyre, Lokal sikkerhetspolicy, Kontopolicy, Passordpolicy og endre Minimum passordlengde til ingen. Merk: Pass på at du aktiverer dette alternativet etter at alle MAC-adressebrukerkontoer er lagt til
- For at brukeren skal kunne autentiseres av AD, trenger vi en gruppe for det:
Så, bruker og gruppe er opprettet, og nå må vi konfigurere NPS.
NPS-innstillinger
Alle svitsjer som trenger å autentisere en klient må legges til i NPS som RADIUS-klient.
- Åpne NPS-serverkonsollen ved å gå til Start > Programmer > Administrative verktøy > Network Policy Server
- I venstre panel, utvid alternativet RADIUS Clients and Servers.
- Høyreklikk på RADIUS Clients og velg Ny.
- Skriv inn et navn for Zyxel-svitsjen.
- Skriv inn IP-adressen til Zyxel-svitsjen.
- Opprett og skriv inn en delt RADIUS-hemmelighet.
- Trykk OK når du er ferdig.
- Gjenta disse trinnene for alle svitsjer som skal brukes til MAC-autentisering.
Nå trenger vi en NPS-tilkoblingsforespørselsregel.
Med innstillingene for Windows-gruppe og NAS-porttype:
Med autentiseringsmetoden i innstillingene:
Nå kan vi fortsette med svitsjkonfigurasjonen.
Først må vi legge til AAA-serveren ved å navigere til:
SECURITY > AAA > RADIUS Server Setup- Se punkt 6 i NPS-innstillingene for delt hemmelighet => Angi IP og skriv inn en delt RADIUS-hemmelighet.
Nå må vi aktivere porten der MAC-autentisering skal brukes:
(Her i eksemplet er PI koblet til port 6):
Lagre konfigurasjonen for å unngå å miste den etter omstart:
Verifisering:
Jeg har verifisert med Wireshark, og det fungerer:
- Du kan også bruke domeneloggen, du vil se det samme:
Merk: Etter å ha konfigurert svitsjen bør du alltid lagre den nye konfigurasjonen på svitsjen.
Ellers vil svitsjen miste endringene etter en omstart
Svitsjkonfigurasjon mistet etter strømbrudd eller strømavbrudd
Kommentarer
0 kommentarerArtikkelen er stengt for kommentarer.