Важное уведомление: |
[Коммутаторы Zyxel / XGS / GS серии 2xxx и выше] Аутентификация MAC-адресов с помощью Active Directory. Данное руководство основано на базовых настройках Active Directory с сервером Windows2019 и простой структурой:
BaseDN: DC=ad,DC=local
Сначала необходимо создать/добавить пользователя, который является клиентом, в примере - устройство с MAC-адресом "b827eb2550df" (Raspberry PI).
Настройка переключателя
Нам необходимо добавить коммутатор Zyxel в качестве RADIUS-клиента на сервер NPS
1) Откройте Active Directory Users and Computers: Start > All Programs > Administrative Tools > Active Directory Users and Computers.
2) Создайте новую учетную запись пользователя. имя пользователя и пароль должны соответствовать MAC-адресу подключаемого устройства. Примечание: Пожалуйста, проверьте, какие опции поддерживаются в коммутаторе, и настройте их. У нас есть следующие возможности на базе X/GS2xxx и выше:
Настройте коммутатор, перейдя по адресу
SECURITY > Port Authentication > MAC Authentication
Затем активируйте MAC-аутентификацию, выберите тип пароля, основанный на MAC-адресе в нижнем регистре, и активируйте MAC-аутентификацию на нужных портах.
Информация к возможным настройкам:
|
Префикс имени |
Введите префикс, который добавляется ко всем MAC-адресам, отправляемым на сервер RADIUS для аутентификации. Можно ввести до 32 печатных ASCII-символов. Если оставить это поле пустым, то на сервер RADIUS будет передаваться только MAC-адрес клиента. |
||
|
Разделитель |
Выберите разделитель, который сервер RADIUS использует для разделения пар MAC-адресов, используемых в качестве имени пользователя (и пароля) учетной записи. Вы можете выбрать тире (-), двоеточие (:) или None, чтобы вообще не использовать разделители в MAC-адресе. |
||
|
Case |
Выберите регистр (верхний или нижний), который требуется серверу RADIUS для букв в MAC-адресах, используемых в качестве имени пользователя (и пароля) учетной записи. |
||
|
Тип пароля |
Выберите Static, чтобы коммутатор передавал пароль, указанный ниже, или MAC-Address, чтобы использовать MAC-адрес клиента в качестве пароля. |
||
|
Пароль |
Введите пароль, который коммутатор отправляет вместе с MAC-адресом клиента для аутентификации на сервере RADIUS. Вы можете ввести до 32 печатных ASCII-символов, за исключением [ ? ], [ | ], [ ' ], [ " ] или [ , ]. |
||
|
Тайм-аут |
Укажите время, в течение которого коммутатор разрешает клиенту с MAC-адресом, не прошедшему аутентификацию, повторить попытку аутентификации. Максимальное время составляет 3000 секунд. Если клиент не прошел MAC-аутентификацию, его MAC-адрес узнается из таблицы MAC-адресов со статусом denied. Указанное здесь время тайм-аута - это время, в течение которого запись о MAC-адресе остается в таблице MAC-адресов до ее удаления. Если для значения тайм-аута указать 0, то коммутатор будет использовать время старения, настроенное на экране Switch Setup.
|
В данном примере MAC и имя пользователя клиента - "b827eb2550df" PI, этот PI отправит MAC и пароль, что означает, что пользователь и PWD - это: "b827eb2550df".
Для того чтобы пользователь мог аутентифицироваться в AD, нам нужна группа:
Итак, пользователь и группа созданы, теперь необходимо настроить NPS.
Настройки NPS:
Все коммутаторы, которым требуется аутентификация клиента, должны быть добавлены в NPS как Radius Client.
1) Откройте консоль сервера NPS, перейдя в меню Start > Programs > Administrative Tools > Network Policy Server.
2) В левой панели разверните опцию RADIUS Clients and Servers (Клиенты и серверы RADIUS).
3) Щелкните правой кнопкой мыши на опции RADIUS Clients и выберите New.
4) Введите имя для коммутатора Zyxel.
5) Введите IP-адрес коммутатора Zyxel.
6) Создайте и введите общий секрет RADIUS.
7) По завершении нажмите OK.
8) Повторите эти действия для всех коммутаторов, которые будут использоваться для MAC-Auth.
Теперь нам нужна политика запросов на подключение NPS.
С настройками Windows Groupe и NAS Port Type:
С настройками Auth Method:
Теперь мы можем перейти к настройке коммутатора.
Мы должны добавить первый AAA-сервер, перейдя по ссылке:
SECURITY > AAA > RADIUS Server Setup
- Обратитесь к пункту 6 Настройка NPS - Shared Secret => Set IP и введите RADIUS Shared Secret.
Теперь необходимо включить порт, на котором будет использоваться MAC-Auth:
(В данном примере PI подключен к порту 6):
Сохраните конфигурацию, чтобы не потерять ее после перезагрузки:
Верификация:
Я выполняю проверку с помощью Wireshark, и она работает:
Вы также можете использовать Domain-Log, вы увидите то же самое:
Выполнено.
После настройки коммутатора необходимо обязательно сохранить новую конфигурацию на коммутаторе.
В противном случае после перезагрузки коммутатора изменения будут потеряны.
Потеря конфигурации коммутатора после отключения питания или цикла питания
Помощь в настройке, вы ищете помощь в настройке от нашей команды профессиональных специалистов? Пожалуйста, загляните сюда: Коммутатор ZyxelConfigService.