[Zyxel Switch / Seria XGS / GS 2xxx și versiuni superioare] - Autentificare MAC cu Active Directory
Acest tutorial se concentrează pe implementarea autentificării MAC cu Active Directory, adaptată special pentru setările de bază Active Directory folosind Windows Server 2019 cu o structură simplă:
BaseDN: DC=ad,DC=local
Pas Inițial: Crearea și Adăugarea Utilizatorului Pentru a începe procesul, este imperativ să creați și să adăugați un utilizator, care va servi drept client. Ca exemplu, luați în considerare un dispozitiv cu adresa MAC "b827eb2550df" (cum ar fi un Raspberry Pi). Acest utilizator va juca un rol cheie în procesul de autentificare descris în pașii următori.
Setarea Switch-ului
Trebuie să adăugăm un Zyxel Switch ca client RADIUS pe serverul NPS
1) Deschideți Active Directory Users and Computers: Start > All Programs > Administrative Tools > Active Directory Users and Computers.
2) Creați un cont de utilizator nou. Numele de utilizator și parola ar trebui să fie adresa MAC a dispozitivului care se conectează. Notă: Vă rugăm să verificați ce opțiuni sunt suportate în switch și să configurați corespunzător; avem următoarele opțiuni bazate pe X/GS2xxx sau versiuni superioare:
Configurați switch-ul navigând la
SECURITY > Port Authentication > MAC AuthenticationApoi activați Autentificarea MAC, alegeți un tip de parolă bazat pe adresa MAC în litere mici și activați Autentificarea MAC pe porturile dorite. Schimbați delimitatorul de pe switch la niciunul.
Setările posibile sunt:
| Prefix Nume | Introduceți prefixul care se adaugă tuturor adreselor MAC trimise către serverul RADIUS pentru autentificare. Puteți introduce până la 32 de caractere ASCII imprimabile. Dacă lăsați acest câmp gol, atunci doar adresa MAC a clientului este transmisă serverului RADIUS. | ||
| Delimitator | Selectați delimitatorul pe care serverul RADIUS îl folosește pentru a separa perechile în adresele MAC folosite ca nume de utilizator (și parolă). Puteți selecta Dash (–), Colon (:) sau None pentru a nu folosi delimitatori în adresa MAC. | ||
| Majuscule / Minuscule | Selectați formatul literelor (Majuscule sau Minuscule) pe care serverul RADIUS îl cere pentru literele din adresele MAC folosite ca nume de utilizator (și parolă). | ||
| Tip Parolă | Selectați Static pentru ca switch-ul să trimită parola pe care o specificați mai jos sau MAC-Address pentru a folosi adresa MAC a clientului ca parolă. | ||
| Parolă | Introduceți parola pe care switch-ul o trimite împreună cu adresa MAC a clientului pentru autentificarea cu serverul RADIUS. Puteți introduce până la 32 de caractere ASCII imprimabile, cu excepția [ ? ], [ | ], [ ' ], [ " ] sau [ , ]. | ||
| Timeout |
Specificați durata de timp înainte ca switch-ul să permită unei adrese MAC a unui client care a eșuat la autentificare să încerce din nou autentificarea. Timpul maxim este de 3000 de secunde. Când un client eșuează la autentificarea MAC, adresa sa MAC este înregistrată în tabela de adrese MAC cu statutul de refuzat. Perioada de timeout specificată aici este timpul în care intrarea adresei MAC rămâne în tabela de adrese MAC până este ștearsă. Dacă specificați 0 pentru valoarea timeout, switch-ul folosește timpul de îmbătrânire configurat în ecranul de configurare al switch-ului.
|
În acest exemplu, MAC-ul clientului și numele de utilizator sunt „b827eb2550df”. PI va trimite MAC-ul și parola la fel, ceea ce înseamnă că utilizatorul și parola sunt: „b827eb2550df”. Asigurați-vă că adresa MAC este adăugată ca utilizator și parolă fără niciun colon.
-
Când utilizați o adresă MAC ca parolă, este posibil să fie necesar să modificați cerințele de complexitate a parolei pe server pentru a elimina orice cerințe minime obligatorii.
Accesați Server Manager, Tools în colțul din dreapta sus, Local Security Policy, Account Policy, Password Policy și schimbați Lungimea minimă a parolei la niciuna. Notă: Asigurați-vă că activați această opțiune după ce ați adăugat toate conturile de utilizator cu adrese MAC
- Pentru ca utilizatorul să poată fi autentificat prin AD, avem nevoie de un grup pentru acesta:
Deci, utilizatorul și grupul sunt create, iar acum trebuie să configurăm NPS.
Setările NPS
Toate switch-urile care trebuie să autentifice un client trebuie adăugate în NPS ca Client RADIUS.
- Deschideți consola NPS Server mergând la Start > Programs > Administrative Tools > Network Policy Server
- În panoul din stânga, extindeți opțiunea RADIUS Clients and Servers.
- Click dreapta pe opțiunea RADIUS Clients și selectați New.
- Introduceți un Nume pentru Zyxel-Switch.
- Introduceți adresa IP a switch-ului Zyxel.
- Creați și introduceți un Secret Comun RADIUS.
- Apăsați OK când ați terminat.
- Repetați acești pași pentru toate switch-urile care vor fi folosite pentru MAC-Auth.
Acum avem nevoie de o politică de cerere de conexiune NPS.
Cu setările pentru Grupul Windows și Tipul Portului NAS:
Cu metoda de autentificare în setări:
Acum putem continua cu configurarea switch-ului.
Trebuie mai întâi să adăugăm serverul AAA navigând la:
SECURITY > AAA > RADIUS Server Setup- Consultați punctul 6 din setările NPS pentru Secret Comun => setați IP-ul și introduceți un Secret Comun RADIUS.
Acum trebuie să activați portul pe care ar trebui folosit MAC-Auth:
(În acest exemplu, PI este conectat la Portul 6):
Salvați configurația pentru a nu pierde setările după repornire:
Verificare:
Am verificat cu Wireshark și funcționează:
- De asemenea, puteți folosi jurnalul de domeniu, veți vedea același lucru:
Notă: După configurarea switch-ului, ar trebui întotdeauna să salvați noua configurație pe switch.
În caz contrar, switch-ul va pierde modificările după o repornire
Problema pierderii configurației switch-ului după o pană de curent sau ciclu de alimentare
Comentarii
0 comentariiArticolul este închis pentru comentarii.