Sieťový prepínač - konfigurácia overovania MAC pomocou služby Active Directory

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

[Zyxel Switch / XGS / GS série 2xxx a vyššie] Autentifikácia MAC pomocou služby Active Directory. Tento návod je založený na základných nastaveniach služby Active Directory so serverom Windows2019 a jednoduchou štruktúrou:

Základný názov: DC=ad,DC=local

Najskôr musíme vytvoriť / pridať používateľa, tento používateľ je klient, v príklade zariadenie s adresou MAC "b827eb2550df" (Raspberry PI)

Nastavenie prepínača

Nastavenie NPS

Overenie

Nastavenie prepínača

Musíme pridať prepínač Zyxel ako klienta RADIUS na server NPS

1) Otvorte aplikáciu Active Directory Users and Computers (Používatelia a počítače služby Active Directory): Štart > Všetky programy > Nástroje na správu > Používatelia a počítače služby Active Directory.

2) Vytvorte nový používateľský účet. používateľské meno a heslo by mali byť MAC adresa pripájajúceho sa zariadenia. Poznámka: Skontrolujte, aké možnosti v prepínači sú podporované, a nakonfigurujte to máme nasledujúce možnosti založené na X/GS2xxx alebo vyšších:

Konfigurujte prepínač tak, že prejdete na 

SECURITY > Port Authentication > MAC Authentication

Potom aktivujte overovanie MAC, vyberte typ hesla založený na MAC-adresách s malými písmenami a aktivujte overovanie MAC na portoch, ktoré chcete.

Informácie k nastaveniam, ktoré sú možné:

Názov Prefix

Zadajte prefix, ktorý sa pripojí ku všetkým adresám MAC odoslaným na server RADIUS na overenie. Môžete zadať maximálne 32 tlačiteľných znakov ASCII.

Ak necháte toto pole prázdne, na server RADIUS sa bude posielať iba MAC adresa klienta.

Oddeľovač

Vyberte oddeľovač, ktorý server RADIUS používa na oddelenie dvojíc v adresách MAC používaných ako používateľské meno účtu (a heslo). Môžete vybrať pomlčku (-), dvojbodku (:) alebo možnosť Žiadne, ak chcete v adrese MAC nepoužívať žiadne oddeľovače.

Prípad

Vyberte veľkosť písmen (Veľké alebo Malé), ktorú server RADIUS vyžaduje pre písmená v adresách MAC používaných ako používateľské meno účtu (a heslo).

Typ hesla

Vyberte možnosť Static (Statické), ak chcete, aby prepínač odoslal heslo, ktoré ste zadali nižšie, alebo MAC-Address (Adresa MAC), ak chcete ako heslo použiť adresu MAC klienta.

Heslo

Zadajte heslo, ktoré prepínač odošle spolu s MAC adresou klienta na overenie so serverom RADIUS. Môžete zadať maximálne 32 tlačiteľných znakov ASCII okrem [ ? ], [ | ], [ ' ], [ " ] alebo [ , ].

Časový limit

Zadajte čas, po ktorom prepínač povolí klientovi s adresou MAC, ktorého overenie zlyhalo, aby sa pokúsil o opätovné overenie. Maximálny čas je 3000 sekúnd.

Keď klient zlyhá pri overovaní MAC, jeho MAC adresa sa naučí z tabuľky MAC adries so stavom odmietnutý. Časový limit, ktorý tu zadáte, je čas, počas ktorého zostane položka adresy MAC v tabuľke adries MAC, kým sa nevymaže. Ak pre hodnotu časového limitu zadáte 0, prepínač použije čas starnutia nakonfigurovaný na obrazovke Nastavenie prepínača.

Poznámka:

Ak je čas starnutia na obrazovke Nastavenie prepínača nastavený na nižšiu hodnotu, nahradí toto nastavenie.

Tu k tomuto príkladu Client MAC a Username je "b827eb2550df" PI, tento PI odošle MAC & Password ako rovnaký, to znamená, že User a PWD je: "b827eb2550df".

mceclip1.png

Aby mohol byť používateľ overený prostredníctvom AD, potrebujeme na to Groupe:

mceclip2.png

Teraz musíme nakonfigurovať NPS.

Nastavenia NPS:

Všetky prepínače, ktoré potrebujú overiť klienta, je potrebné pridať do NPS ako klienta Radius.

1) Otvorte konzolu servera NPS tak, že prejdete na položky Štart > Programy > Nástroje na správu > Server sieťových politík.
2) V ľavom paneli rozbaľte možnosť RADIUS Clients and Servers (Klienti a servery RADIUS).
3) Kliknite pravým tlačidlom myši na možnosť Klienti RADIUS a vyberte možnosť Nový.
4) Zadajte názov pre prepínač Zyxel-Switch.
5) Zadajte IP adresu prepínača Zyxel.
6) Vytvorte a zadajte zdieľané tajomstvo RADIUS.
7) Po dokončení stlačte tlačidlo OK.
8) Tieto kroky zopakujte pre všetky prepínače, ktoré sa budú používať pre MAC-Auth.

mceclip3.png

Teraz potrebujeme politiku požiadaviek na pripojenie NPS.

mceclip4.png

S nastaveniami na Windows Groupe a NAS Port Type:

mceclip5.png

S nastavením Auth Method v nastaveniach:

mceclip6.png

Teraz môžeme pokračovať v konfigurácii prepínača.

Najprv musíme pridať server AAA tak, že prejdeme na: 

SECURITY > AAA > RADIUS Server Setup

  • Pozri č. 6 Nastavenie NPS je Shared Secret => Set IP a zadajte RADIUS Shared Secret.

Teraz musíme povoliť port, na ktorom sa má používať MAC-Auth:
(V tomto príklade je PI pripojený k portu 6):

Uložte konfiguráciu, aby ste ju po reštarte nestratili:

Overenie:

overenie pomocou programu Wireshark a funguje:

mceclip9.png

Môžete tiež použiť Domain-Log, uvidíte to isté:

mceclip10.png

Hotovo.

Po konfigurácii prepínača by ste mali novú konfiguráciu vždy uložiť do prepínača.
V opačnom prípade prepínač po reštarte stratí zmeny .
Problém so stratou konfigurácie prepínača po výpadku napájania alebo cyklickom napájaní

Setup Assistance, you´re looking for assisted configuration by our Professional Services Team? Pozrite sa sem: Zyxel ConfigService Switch

Články v tejto sekcii

Pomohol Vám tento článok?
1 z 1 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Článok je uzavretý pre príspevky.