Nettverksbryter - Konfigurere MAC-godkjenning med Active Directory

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

[Zyxel Switch / XGS / GS 2xxx-serien og nyere] MAC-autentisering med Active Directory. Denne opplæringen er basert på grunnleggende Active Directory-innstillinger med Windows2019 Server og enkel struktur:

BaseDN: DC=ad,DC=lokal

Først må vi opprette / legge til en bruker, denne brukeren er klienten, i eksempelet en enhet med MAC-adresse "b827eb2550df" (en Raspberry PI).

Bryterinnstilling

NPS-innstilling

Verifisering

Bryterinnstilling

Vi må legge til en Zyxel-switch som RADIUS-klient på NPS-serveren.

1) Åpne Active Directory-brukere og -datamaskiner: Start > Alle programmer > Administrative verktøy > Active Directory-brukere og -datamaskiner.

2) Opprett en ny brukerkonto. Brukernavnet og passordet skal være MAC-adressen til den tilkoblede enheten. Merk: Kontroller hvilke alternativer i bryteren som støttes, og konfigurer disse. Vi har følgende alternativer basert på X/GS2xxx eller nyere:

Konfigurer bryteren ved å navigere til 

SECURITY > Port Authentication > MAC Authentication

Aktiver deretter MAC-autentisering, velg en MAC-adressebasert passordtype med små bokstaver og aktiver MAC-autentisering på de portene du ønsker.

Info til Innstillinger som er mulig:

Navn Prefiks

Skriv inn prefikset som legges til alle MAC-adresser som sendes til RADIUS-serveren for autentisering. Du kan skrive inn opptil 32 utskrivbare ASCII-tegn.

Hvis du lar dette feltet stå tomt, sendes bare klientens MAC-adresse til RADIUS-serveren.

Skilletegn

Velg skilletegnet RADIUS-serveren bruker for å skille parene i MAC-adressene som brukes som kontobrukernavn (og passord). Du kan velge bindestrek (-), kolon (:) eller Ingen for ikke å bruke noen skilletegn i MAC-adressen.

Store og små bokstaver

Velg store eller små bokstaver som RADIUS-serveren krever for bokstaver i MAC-adresser som brukes som kontobrukernavn (og passord).

Passordtype

Velg Statisk for at bryteren skal sende passordet du angir nedenfor, eller MAC-adresse for å bruke klientens MAC-adresse som passord.

Passord

Skriv inn passordet som bryteren sender sammen med MAC-adressen til en klient for autentisering med RADIUS-serveren. Du kan skrive inn opptil 32 utskrivbare ASCII-tegn unntatt [ ? ], [ | ], [ ' ], [ " ] eller [ , ].

Tidsavbrudd

Angi hvor lang tid det skal gå før svitsjen tillater at en klient-MAC-adresse som ikke godkjennes, prøver å bli godkjent på nytt. Maksimal tid er 3000 sekunder.

Når en klient mislykkes i MAC-godkjenning, læres MAC-adressen av MAC-adressetabellen med statusen avslått. Tidsavbruddsperioden du angir her, er den tiden MAC-adresseoppføringen forblir i MAC-adressetabellen til den slettes. Hvis du angir 0 som tidsavbruddsverdi, bruker bryteren aldringstiden som er konfigurert i skjermbildet Bryteroppsett.

Merk:

Hvis aldringstiden i skjermbildet Bryteroppsett er satt til en lavere verdi, erstatter den denne innstillingen.

I dette eksemplet er klientens MAC og brukernavn "b827eb2550df", og PI-en sender MAC og passord på samme måte, noe som betyr at bruker og PWD er: "b827eb2550df".

mceclip1.png

For at brukeren kan autentiseres av AD, trenger vi en gruppe for det:

mceclip2.png

Bruker og gruppe er opprettet, nå må vi konfigurere NPS.

NPS-innstillinger:

Alle brytere som skal autentisere en klient, må legges til i NPS som Radius-klient.

1) Åpne NPS-serverkonsollen ved å gå til Start > Programmer > Administrative verktøy > Network Policy Server.
2) Utvid alternativet RADIUS-klienter og -servere i venstre rute.
3) Høyreklikk på alternativet RADIUS-klienter og velg Ny.
4) Skriv inn et navn for Zyxel-Switch.
5) Skriv inn IP-adressen til Zyxel-svitsjen.
6) Opprett og skriv inn en RADIUS Shared Secret.
7) Trykk på OK når du er ferdig.
8) Gjenta disse trinnene for alle svitsjer som skal brukes til MAC-Auth.

mceclip3.png

Nå trenger vi en NPS-policy for tilkoblingsforespørsler.

mceclip4.png

Med innstillingene Windows-gruppe og NAS-porttype:

mceclip5.png

Med Auth Method i innstillingene:

mceclip6.png

Nå kan vi gå videre med Switch Config.

Vi må først legge til AAA-serveren ved å navigere til: 

SECURITY > AAA > RADIUS Server Setup

  • Se Nr 6 NPS-innstillingen er Shared Secret => Set IP og angi en RADIUS Shared Secret.

Nå må vi aktivere porten som MAC-Auth skal brukes på:
(I dette eksemplet er PI koblet til port 6):

Lagre konfigurasjonen for ikke å miste konfigurasjonen etter omstart:

Bekreftelse:

Jeg verifiserer med Wireshark, og det fungerer:

mceclip9.png

Du kan også bruke Domain-Log, du vil se det samme:

mceclip10.png

Ferdig.

Når du har konfigurert svitsjen, bør du alltid lagre den nye konfigurasjonen på svitsjen.
Ellers mister svitsjen endringene etter en omstart .
Svitsjkonfigurasjon tapt etter strømbrudd eller strømsyklusproblem

Trenger du hjelp med konfigurasjonen av vårt Professional Services-team? Vennligst se her: ZyxelConfigService Switch

Artikler i denne seksjonen

Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del