Przełącznik sieciowy - konfiguracja uwierzytelniania MAC z Active Directory

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

[Zyxel Switch / XGS / GS 2xxx Series i nowsze] Uwierzytelnianie MAC za pomocą Active Directory. Ten samouczek jest oparty na podstawowych ustawieniach Active Directory z serwerem Windows2019 i prostą strukturą:

BaseDN: DC=ad,DC=local

Najpierw musimy utworzyć / dodać użytkownika, ten użytkownik jest klientem, w przykładzie urządzenie z adresem MAC "b827eb2550df" (Raspberry PI).

Ustawienie przełącznika

Ustawienia NPS

Weryfikacja

Ustawienie przełącznika

Musimy dodać przełącznik Zyxel jako klienta RADIUS na serwerze NPS

1) Otwórz Active Directory Users and Computers: Start > Wszystkie programy > Narzędzia administracyjne > Użytkownicy i komputery usługi Active Directory.

2) Utwórz nowe konto użytkownika. Nazwa użytkownika i hasło powinny być adresem MAC łączącego się urządzenia. Uwaga: Sprawdź, jakie opcje w przełączniku są obsługiwane i skonfiguruj je, mamy następujące opcje oparte na X / GS2xxx lub nowszych:

Skonfiguruj przełącznik, przechodząc do

dyn_repppp_0

Następnie aktywuj uwierzytelnianie MAC, wybierz typ hasła oparty na małych literach adresu MAC i aktywuj uwierzytelnianie MAC na wybranych portach.

Informacje o ustawieniach, które są możliwe:

Prefiks nazwy

Wpisz prefiks dołączany do wszystkich adresów MAC wysyłanych do serwera RADIUS w celu uwierzytelnienia. Można wprowadzić maksymalnie 32 drukowalne znaki ASCII.

Jeśli pole to pozostanie puste, do serwera RADIUS przekazywany będzie tylko adres MAC klienta.

Ogranicznik

Wybierz separator używany przez serwer RADIUS do oddzielania par adresów MAC używanych jako nazwa użytkownika konta (i hasło). Można wybrać Myślnik (-), Dwukropek (:) lub Brak, aby nie używać żadnych ograniczników w adresie MAC.

Wielkość liter

Wybór wielkości liter (Upper lub Lower) wymaganej przez serwer RADIUS dla liter w adresach MAC używanych jako nazwa użytkownika konta (i hasło).

Typ hasła

Wybierz Static, aby przełącznik wysyłał hasło określone poniżej lub MAC-Address, aby użyć adresu MAC klienta jako hasła.

Hasło

Wpisz hasło, które przełącznik wysyła wraz z adresem MAC klienta w celu uwierzytelnienia za pomocą serwera RADIUS. Można wprowadzić do 32 znaków ASCII z wyjątkiem [ ? ], [ | ], [ ' ], [ " ] lub [ , ].

Limit czasu

Określa czas, po jakim przełącznik zezwoli na ponowną próbę uwierzytelnienia klienta MAC, którego uwierzytelnienie nie powiodło się. Maksymalny czas to 3000 sekund.

Gdy uwierzytelnianie MAC klienta nie powiedzie się, jego adres MAC jest wykrywany przez tabelę adresów MAC ze statusem odmowy. Określony tutaj limit czasu to czas, przez jaki wpis adresu MAC pozostaje w tabeli adresów MAC, dopóki nie zostanie wyczyszczony. Jeśli wartość limitu czasu zostanie określona jako 0, przełącznik użyje czasu starzenia skonfigurowanego na ekranie konfiguracji przełącznika.

Uwaga:

Jeśli czas starzenia na ekranie konfiguracji przełącznika jest ustawiony na niższą wartość, zastępuje on to ustawienie.

W tym przykładzie MAC klienta i nazwa użytkownika to "b827eb2550df" PI, ten PI wyśle MAC i hasło jako takie same, co oznacza, że użytkownik i PWD to: "b827eb2550df".

mceclip1.png

Aby użytkownik mógł zostać uwierzytelniony przez AD, potrzebujemy do tego grupy:

mceclip2.png

Użytkownik i Grupa zostały utworzone, teraz musimy skonfigurować NPS.

Ustawienia NPS:

Wszystkie przełączniki, które muszą uwierzytelniać klienta, muszą zostać dodane do NPS jako klient Radius.

1) Otwórz konsolę serwera NPS, przechodząc do Start > Programy > Narzędzia administracyjne > Serwer zasad sieciowych.
2) W lewym panelu rozwiń opcję Klienci i serwery RADIUS.
3) Kliknij prawym przyciskiem myszy opcję Klienci RADIUS i wybierz opcję Nowy.
4) Wprowadź nazwę przełącznika Zyxel.
5) Wprowadź adres IP przełącznika Zyxel.
6) Utwórz i wprowadź RADIUS Shared Secret.
7) Po zakończeniu naciśnij przycisk OK.
8) Powtórz te kroki dla wszystkich przełączników, które będą używane do MAC-Auth.

mceclip3.png

Teraz potrzebujemy NPS Connection Request Policy.

mceclip4.png

Z ustawieniami Windows Groupe i NAS Port Type:

mceclip5.png

Z Metodą uwierzytelniania w ustawieniach:

mceclip6.png

Teraz możemy przejść do konfiguracji przełącznika.

Najpierw musimy dodać serwer AAA, przechodząc do:

dyn_repppp_1

  • Patrz Nr 6 Ustawienie NPS to Shared Secret => Set IP i wprowadź RADIUS Shared Secret.

Teraz musimy włączyć port, na którym ma być używany MAC-Auth:
(W tym przykładzie PI jest podłączony do portu 6):

Zapisz konfigurację, aby nie utracić jej po ponownym uruchomieniu:

Weryfikacja:

Przeprowadzam weryfikację za pomocą Wireshark i działa:

mceclip9.png

Możesz również użyć Domain-Log, zobaczysz to samo:

mceclip10.png

Gotowe.

Po skonfigurowaniu przełącznika należy zawsze zapisać nową konfigurację na przełączniku.
W przeciwnym razie przełącznik utraci zmiany po ponownym uruchomieniu .
Utrata konfiguracji przełącznika po zaniku lub wyłączeniu zasilania

Pomoc w konfiguracji, szukasz pomocy w konfiguracji przez nasz zespół ds. usług profesjonalnych? Sprawdź tutaj: Zyxel ConfigService Switch

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 1 z 1
Udostępnij

Komentarze

Komentarze: 0

Komentarze do artykułu są zablokowane.