Aviz important: |
[Zyxel Switch / XGS / GS 2xxx Series și versiuni superioare] Autentificare MAC cu Active Directory. Acest tutorial se bazează pe setările de bază ale Active Directory cu Windows2019 Server și o structură simplă:
BaseDN: DC=ad,DC=local
Mai întâi trebuie să creăm / adăugăm un Utilizator, acest utilizator este Clientul, în Exemplu un dispozitiv cu adresa MAC "b827eb2550df" (un Raspberry PI)
Setarea comutatorului
Trebuie să adăugăm un comutator Zyxel ca și client RADIUS pe serverul NPS.
1) Deschideți Active Directory Users and Computers: Start > Toate programele > Instrumente administrative > Active Directory Users and Computers.
2) Creați un nou cont de utilizator. numele de utilizator și parola trebuie să fie adresa MAC a dispozitivului de conectare. Notă: Vă rugăm să verificați ce opțiune din comutator este suportată și să configurați acest lucru avem următoarele opțiuni bazate pe X/GS2xxx sau mai mare:
Configurați comutatorul navigând la
SECURITY > Port Authentication > MAC Authentication
Apoi activați MAC Authentication (Autentificare MAC), alegeți un tip de parolă cu minuscule bazat pe adresa MAC și activați MAC Authentication (Autentificare MAC) pe porturile dorite.
Info to Settings care sunt posibile:
|
Name Prefix |
Introduceți prefixul care se adaugă la toate adresele MAC trimise serverului RADIUS pentru autentificare. Puteți introduce până la 32 de caractere ASCII imprimabile. Dacă lăsați acest câmp gol, atunci numai adresa MAC a clientului este transmisă către serverul RADIUS. |
||
|
Delimitator |
Selectați delimitatorul pe care serverul RADIUS îl utilizează pentru a separa perechile din adresele MAC utilizate ca nume de utilizator (și parolă) al contului. Puteți selecta Dash (-), Colon (:) sau None (Niciunul) pentru a nu utiliza niciun delimitator în adresa MAC. |
||
|
Case |
Selectați majusculele (Upper sau Lower) pe care serverul RADIUS le solicită pentru literele din adresele MAC utilizate ca nume de utilizator (și parolă) al contului. |
||
|
Password Type (Tip parolă) |
Selectați Static (Statică) pentru ca Switch-ul să trimită parola pe care o specificați mai jos sau MAC-Address (Adresă MAC) pentru a utiliza adresa MAC a clientului ca parolă. |
||
|
Parola |
Introduceți parola pe care Switch-ul o trimite împreună cu adresa MAC a unui client pentru autentificarea cu serverul RADIUS. Puteți introduce până la 32 de caractere ASCII imprimabile, cu excepția [ ? ], [ ? ], [ | ], [ ' ], [ " ] sau [ , ]. |
||
|
Timeout |
Specificați perioada de timp înainte ca Switch-ul să permită unei adrese MAC client care nu reușește autentificarea să încerce să se autentifice din nou. Timpul maxim este de 3000 de secunde. Atunci când un client nu reușește autentificarea MAC, adresa sa MAC este învățată de tabelul de adrese MAC cu starea de refuzat. Perioada de așteptare pe care o specificați aici reprezintă timpul în care intrarea adresei MAC rămâne în tabela de adrese MAC până când este ștearsă. Dacă specificați 0 pentru valoarea de timeout, comutatorul utilizează timpul de îmbătrânire configurat în ecranul Switch Setup (Configurare comutator).
|
Aici, în acest exemplu, clientul MAC și numele de utilizator sunt "b827eb2550df" în PI, acest PI va trimite MAC și parola la fel, ceea ce înseamnă că User și PWD sunt: "b827eb255050df".
Pentru ca utilizatorul să poată fi autentificat de AD, avem nevoie de un grup:
Deci, utilizatorul și grupul sunt create, acum trebuie să configurăm NPS.
Setări NPS:
Toate comutatoarele care trebuie să autentifice un client trebuie să fie adăugate la NPS ca Radius Client.
1) Deschideți consola serverului NPS accesând Start > Programs > Administrative Tools > Network Policy Server.
2) În panoul din stânga, extindeți opțiunea RADIUS Clients and Servers (Clienți și servere RADIUS).
3) Faceți clic dreapta pe opțiunea RADIUS Clients (Clienți RADIUS) și selectați New (Nou).
4) Introduceți un nume pentru Zyxel-Switch.
5) Introduceți adresa IP a comutatorului Zyxel.
6) Creați și introduceți un secret partajat RADIUS.
7) Apăsați OK când ați terminat.
8) Repetați acești pași pentru toate switch-urile care vor fi utilizate pentru MAC-Auth.
Acum avem nevoie de o politică de solicitare a conexiunii NPS.
Cu setările pentru Windows Groupe și NAS Port Type:
Cu metoda de autentificare în setări:
Acum putem continua cu Switch Config.
Trebuie să adăugăm mai întâi serverul AAA navigând la:
dyn_repppppppp_1- Consultați Nr 6 Setarea NPS este Shared Secret => Set IP și introduceți un Shared Secret RADIUS.
Acum trebuie să activăm portul pe care trebuie utilizat MAC-Auth:
(În acest exemplu, PI este conectat la portul 6):
Salvați configurația pentru a nu o pierde după repornire:
Verificare:
Am făcut verificarea cu Wireshark și funcționează:
Puteți utiliza și Domain-Log, veți vedea același lucru:
Gata.
După configurarea comutatorului, trebuie să salvați întotdeauna noua configurație pe comutator.
În caz contrar, comutatorul va pierde modificările după o repornire .
Configurația comutatorului pierdută după o problemă de întrerupere a alimentării sau un ciclu de alimentare
Asistență la configurare, căutați o configurare asistată de către echipa noastră de servicii profesionale? Vă rugăm să verificați aici: Zyxel ConfigService Switch
Comentarii
0 comentariiArticolul este închis pentru comentarii.