[Zyxel Switch / XGS / GS 2xxx Series i nowsze] - Uwierzytelnianie MAC z Active Directory
Ten poradnik koncentruje się na implementacji uwierzytelniania MAC z Active Directory, specjalnie dostosowanego do podstawowych ustawień Active Directory przy użyciu Windows Server 2019 z prostą strukturą:
BaseDN: DC=ad,DC=local
Pierwszy krok: Utworzenie użytkownika i dodanie Aby rozpocząć proces, konieczne jest utworzenie i dodanie użytkownika, który będzie pełnił rolę klienta. Jako przykład rozważ urządzenie z adresem MAC "b827eb2550df" (np. Raspberry Pi). Ten użytkownik odegra kluczową rolę w procesie uwierzytelniania opisanym w kolejnych krokach.
Ustawienia przełącznika
Musimy dodać przełącznik Zyxel jako klientów RADIUS na serwerze NPS
1) Otwórz Active Directory Users and Computers: Start > Wszystkie programy > Narzędzia administracyjne > Active Directory Users and Computers.
2) Utwórz nowe konto użytkownika. Nazwa użytkownika i hasło powinny być adresem MAC łączącego się urządzenia. Uwaga: Sprawdź, jakie opcje są obsługiwane na przełączniku i skonfiguruj je. Mamy następujące opcje w oparciu o X/GS2xxx lub nowsze:
Skonfiguruj przełącznik, przechodząc do
SECURITY > Port Authentication > MAC AuthenticationNastępnie aktywuj uwierzytelnianie MAC, wybierz typ hasła oparty na adresie MAC w małych literach i aktywuj uwierzytelnianie MAC na portach, które chcesz. Zmień myślnik na przełączniku na brak.
Dostępne ustawienia:
| Prefiks nazwy | Wpisz prefiks, który jest dodawany do wszystkich adresów MAC wysyłanych do serwera RADIUS w celu uwierzytelnienia. Możesz wpisać do 32 drukowalnych znaków ASCII. Jeśli pole pozostanie puste, do serwera RADIUS będzie przesyłany tylko adres MAC klienta. | ||
| Separator | Wybierz separator, którego serwer RADIUS używa do rozdzielania par w adresach MAC używanych jako nazwa użytkownika konta (i hasło). Możesz wybrać Myślnik (–), Dwukropek (:) lub Brak, aby nie używać żadnych separatorów w adresie MAC. | ||
| Wielkość liter | Wybierz wielkość liter (wielkie lub małe), której wymaga serwer RADIUS dla liter w adresach MAC używanych jako nazwa użytkownika konta (i hasło). | ||
| Typ hasła | Wybierz Statyczne, aby przełącznik wysyłał hasło określone poniżej, lub MAC-Address, aby użyć adresu MAC klienta jako hasła. | ||
| Hasło | Wpisz hasło, które przełącznik wysyła razem z adresem MAC klienta do uwierzytelnienia na serwerze RADIUS. Możesz wpisać do 32 drukowalnych znaków ASCII z wyjątkiem [ ? ], [ | ], [ ' ], [ " ] lub [ , ]. | ||
| Limit czasu |
Określ czas, po którym przełącznik pozwala klientowi z adresem MAC, który nie przeszedł uwierzytelnienia, spróbować ponownie. Maksymalny czas to 3000 sekund. Gdy klient nie przejdzie uwierzytelnienia MAC, jego adres MAC jest zapamiętywany w tabeli adresów MAC ze statusem odmowa. Okres limitu czasu określony tutaj to czas, przez jaki wpis adresu MAC pozostaje w tabeli adresów MAC, zanim zostanie usunięty. Jeśli wpiszesz 0 jako wartość limitu czasu, przełącznik użyje czasu wygasania skonfigurowanego na ekranie konfiguracji przełącznika.
|
W tym przykładzie adres MAC klienta i nazwa użytkownika to „b827eb2550df”. PI wyśle adres MAC i hasło takie samo, co oznacza, że użytkownik i hasło to: „b827eb2550df”. Upewnij się, że adres MAC jest dodany jako użytkownik i hasło bez dwukropków.
-
Używając adresu MAC jako hasła, może być konieczne edytowanie wymagań dotyczących złożoności hasła na serwerze, aby usunąć wymuszane minimalne wymagania dotyczące hasła.
Przejdź do Menedżera serwera, Narzędzia w prawym górnym rogu, Polityka zabezpieczeń lokalnych, Polityka konta, Polityka haseł i zmień minimalną długość hasła na brak. Uwaga: Upewnij się, że włączysz tę opcję po dodaniu wszystkich kont użytkowników z adresami MAC
- Aby użytkownik mógł być uwierzytelniony przez AD, potrzebujemy dla niego grupy:
Tak więc użytkownik i grupa są utworzone, a teraz musimy skonfigurować NPS.
Ustawienia NPS
Wszystkie przełączniki, które muszą uwierzytelniać klienta, muszą zostać dodane do NPS jako klienci Radius.
- Otwórz konsolę serwera NPS, przechodząc do Start > Programy > Narzędzia administracyjne > Network Policy Server
- W lewym panelu rozwiń opcję RADIUS Clients and Servers.
- Kliknij prawym przyciskiem myszy na opcję RADIUS Clients i wybierz Nowy.
- Wprowadź nazwę dla przełącznika Zyxel.
- Wprowadź adres IP swojego przełącznika Zyxel.
- Utwórz i wprowadź wspólny sekret RADIUS.
- Kliknij OK po zakończeniu.
- Powtórz te kroki dla wszystkich przełączników, które będą używane do uwierzytelniania MAC.
Teraz potrzebujemy polityki żądań połączenia NPS.
Z ustawieniami dla grupy Windows i typu portu NAS:
Z metodą uwierzytelniania w ustawieniach:
Teraz możemy kontynuować konfigurację przełącznika.
Najpierw musimy dodać serwer AAA, przechodząc do:
SECURITY > AAA > RADIUS Server Setup- Odnosi się do punktu nr 6 w ustawieniach NPS: Shared Secret => ustaw IP i wprowadź wspólny sekret RADIUS.
Teraz musimy włączyć port, na którym ma być używane uwierzytelnianie MAC:
(W tym przykładzie PI jest podłączony do portu 6):
Zapisz konfigurację, aby nie utracić jej po restarcie:
Weryfikacja:
Przeprowadziłem weryfikację za pomocą Wireshark i działa:
- Możesz także użyć logów domeny, zobaczysz to samo:
Uwaga: Po skonfigurowaniu przełącznika zawsze powinieneś zapisać nową konfigurację na przełączniku.
W przeciwnym razie przełącznik utraci zmiany po restarcie
Problem z utratą konfiguracji przełącznika po awarii zasilania lub cyklu zasilania
Komentarze
Komentarze: 0Komentarze do artykułu są zablokowane.