[Серия Zyxel Switch / XGS / GS 2xxx и выше] - MAC-аутентификация с Active Directory
Этот учебник посвящён реализации MAC-аутентификации с Active Directory, специально адаптированной для базовых настроек Active Directory с использованием Windows Server 2019 и простой структуры:
BaseDN: DC=ad,DC=local
Начальный шаг: создание и добавление пользователя. Для начала процесса необходимо создать и добавить пользователя, который будет выступать в роли клиента. В качестве примера рассмотрим устройство с MAC-адресом "b827eb2550df" (например, Raspberry Pi). Этот пользователь сыграет ключевую роль в процессе аутентификации, описанном в последующих шагах.
Настройка коммутатора
Необходимо добавить коммутатор Zyxel в качестве RADIUS-клиента на сервер NPS.
1) Откройте Active Directory Users and Computers: Пуск > Все программы > Административные инструменты > Active Directory Users and Computers.
2) Создайте новую учётную запись пользователя. Имя пользователя и пароль должны совпадать с MAC-адресом подключаемого устройства. Примечание: Пожалуйста, проверьте, какие опции поддерживаются на вашем коммутаторе, и настройте их. У нас есть следующие варианты на базе X/GS2xxx или выше:
Настройте коммутатор, перейдя в
SECURITY > Port Authentication > MAC AuthenticationЗатем активируйте MAC-аутентификацию, выберите тип пароля на основе MAC-адреса в нижнем регистре и активируйте MAC-аутентификацию на нужных портах. Замените дефис на коммутаторе на отсутствие разделителя.
Возможные настройки:
| Префикс имени | Введите префикс, который будет добавлен ко всем MAC-адресам, отправляемым на RADIUS-сервер для аутентификации. Можно ввести до 32 печатных ASCII-символов. Если оставить это поле пустым, на RADIUS-сервер будет отправляться только MAC-адрес клиента. | ||
| Разделитель | Выберите разделитель, который RADIUS-сервер использует для разделения пар в MAC-адресах, используемых в качестве имени пользователя (и пароля). Можно выбрать дефис (–), двоеточие (:) или отсутствие разделителей. | ||
| Регистр | Выберите регистр (верхний или нижний), который требует RADIUS-сервер для букв в MAC-адресах, используемых в качестве имени пользователя (и пароля). | ||
| Тип пароля | Выберите «Статический», чтобы коммутатор отправлял пароль, указанный ниже, или «MAC-адрес», чтобы использовать MAC-адрес клиента как пароль. | ||
| Пароль | Введите пароль, который коммутатор отправляет вместе с MAC-адресом клиента для аутентификации на RADIUS-сервере. Можно ввести до 32 печатных ASCII-символов, кроме [ ? ], [ | ], [ ' ], [ " ] или [ , ]. | ||
| Таймаут |
Укажите время, через которое коммутатор разрешит клиентскому MAC-адресу, не прошедшему аутентификацию, повторить попытку. Максимальное время — 3000 секунд. Если клиент не прошёл MAC-аутентификацию, его MAC-адрес заносится в таблицу MAC-адресов со статусом «отказано». Период таймаута — это время, в течение которого запись о MAC-адресе остаётся в таблице, прежде чем будет удалена. Если указать 0, коммутатор использует время устаревания, настроенное в экране настройки коммутатора.
|
В этом примере MAC и имя пользователя клиента — «b827eb2550df». PI будет отправлять MAC и пароль одинаковыми, то есть имя пользователя и пароль: «b827eb2550df». Убедитесь, что MAC-адрес добавлен как имя пользователя и пароль без двоеточий.
-
При использовании MAC-адреса в качестве пароля может потребоваться изменить требования к сложности пароля на сервере, чтобы убрать обязательные минимальные требования.
Перейдите в Server Manager, Инструменты в правом верхнем углу, Локальная политика безопасности, Политика учётных записей, Политика паролей и измените Минимальную длину пароля на «нет». Примечание: Убедитесь, что вы включили эту опцию после добавления всех учётных записей MAC-адресов
- Для того чтобы пользователь мог аутентифицироваться через AD, нам нужна группа для этого:
Итак, пользователь и группа созданы, теперь нужно настроить NPS.
Настройки NPS
Все коммутаторы, которые должны аутентифицировать клиента, необходимо добавить в NPS как RADIUS-клиенты.
- Откройте консоль сервера NPS, перейдя в Пуск > Программы > Административные инструменты > Network Policy Server
- В левой панели разверните пункт RADIUS Clients and Servers.
- Щёлкните правой кнопкой мыши на RADIUS Clients и выберите Новый.
- Введите имя для коммутатора Zyxel.
- Введите IP-адрес вашего коммутатора Zyxel.
- Создайте и введите общий секрет RADIUS.
- Нажмите OK после завершения.
- Повторите эти шаги для всех коммутаторов, которые будут использовать MAC-аутентификацию.
Теперь нам нужна политика запросов подключения NPS.
С настройками для группы Windows и типа порта NAS:
С методом аутентификации в настройках:
Теперь можно продолжить настройку коммутатора.
Сначала нужно добавить сервер AAA, перейдя в:
SECURITY > AAA > RADIUS Server Setup- Смотрите пункт 6 настроек NPS: общий секрет => Установите IP и введите общий секрет RADIUS.
Теперь нужно включить порт, на котором должна использоваться MAC-аутентификация:
(В этом примере PI подключён к порту 6):
Сохраните конфигурацию, чтобы не потерять настройки после перезагрузки:
Проверка:
Я проверял с помощью Wireshark, и всё работает:
- Вы также можете использовать журнал домена, вы увидите то же самое:
Примечание: После настройки коммутатора всегда сохраняйте новую конфигурацию на коммутаторе.
Иначе коммутатор потеряет изменения после перезагрузки
Проблема с потерей конфигурации коммутатора после отключения питания или перезапуска
Комментарии
0 комментариевСтатья закрыта для комментариев.