[Zyxel Switch / XGS / GS 2xxx séria a vyššie] - MAC autentifikácia s Active Directory
Tento návod sa zameriava na implementáciu MAC autentifikácie s Active Directory, špecificky prispôsobenú základným nastaveniam Active Directory pomocou Windows Server 2019 so zjednodušenou štruktúrou:
BaseDN: DC=ad,DC=local
Začiatočný krok: Vytvorenie a pridanie používateľa Na začiatok je nevyhnutné vytvoriť a pridať používateľa, ktorý bude slúžiť ako klient. Ako príklad uvažujme zariadenie s MAC adresou "b827eb2550df" (napríklad Raspberry Pi). Tento používateľ zohrá kľúčovú úlohu v procese autentifikácie popísanom v nasledujúcich krokoch.
Nastavenie prepínača
Musíme pridať Zyxel Switch ako RADIUS klienta na NPS serveri
1) Otvorte Active Directory Users and Computers: Štart > Všetky programy > Administrátorské nástroje > Active Directory Users and Computers.
2) Vytvorte nový používateľský účet. Používateľské meno a heslo by mala byť MAC adresa pripájajúceho sa zariadenia. Poznámka: Skontrolujte, ktoré možnosti sú na prepínači podporované a nakonfigurujte ich. Máme nasledujúce možnosti založené na X/GS2xxx alebo vyšších:
Konfigurujte prepínač tak, že prejdete na
SECURITY > Port Authentication > MAC AuthenticationPotom aktivujte MAC autentifikáciu, vyberte typ hesla založený na MAC adrese v malých písmenách a aktivujte MAC autentifikáciu na portoch, ktoré chcete. Zmeňte pomlčku na prepínači na žiadne.
Možné nastavenia:
| Predpona mena | Zadajte predponu, ktorá sa pridá ku všetkým MAC adresám odoslaným na RADIUS server na autentifikáciu. Môžete zadať až 32 tlačiteľných ASCII znakov. Ak toto pole necháte prázdne, na RADIUS server sa odošle iba MAC adresa klienta. | ||
| Oddeľovač | Vyberte oddeľovač, ktorý RADIUS server používa na oddelenie párov v MAC adresách použitých ako používateľské meno (a heslo). Môžete vybrať Pomlčku (–), Dvojbodku (:) alebo Žiadny na nepoužitie oddeľovačov v MAC adrese. | ||
| Veľkosť písmen | Vyberte veľkosť písmen (Veľké alebo malé), ktorú RADIUS server požaduje pre písmená v MAC adresách použitých ako používateľské meno (a heslo). | ||
| Typ hesla | Vyberte Statické, aby prepínač odosielal zadané heslo, alebo MAC-Adresa na použitie MAC adresy klienta ako hesla. | ||
| Heslo | Zadajte heslo, ktoré prepínač odosiela spolu s MAC adresou klienta na autentifikáciu na RADIUS serveri. Môžete zadať až 32 tlačiteľných ASCII znakov okrem [ ? ], [ | ], [ ' ], [ " ] alebo [ , ]. | ||
| Časový limit |
Zadajte čas, po ktorom prepínač umožní klientovi s MAC adresou, ktorý zlyhal pri autentifikácii, pokúsiť sa o autentifikáciu znova. Maximálny čas je 3000 sekúnd. Keď klient zlyhá pri MAC autentifikácii, jeho MAC adresa je zaznamenaná v tabuľke MAC adries so stavom odmietnutý. Časový limit, ktorý tu zadáte, je doba, počas ktorej zostáva záznam MAC adresy v tabuľke MAC adries, kým nie je vymazaný. Ak zadáte hodnotu 0, prepínač použije čas starnutia nastavený v obrazovke nastavenia prepínača.
|
V tomto príklade sú MAC adresa a používateľ klienta „b827eb2550df“. PI bude odosielať MAC a heslo rovnaké, čo znamená, že používateľ a heslo sú: „b827eb2550df“. Uistite sa, že MAC adresa je pridaná ako používateľ a heslo bez akýchkoľvek dvojbodiek.
-
Pri používaní MAC adresy ako hesla môže byť potrebné upraviť požiadavky na zložitosť hesla na serveri, aby sa odstránili akékoľvek povinné minimálne požiadavky na heslo.
Prejdite do Server Manager, Nástroje v pravom hornom rohu, Miestna bezpečnostná politika, Politika účtov, Politika hesiel a zmeňte Minimálnu dĺžku hesla na žiadnu. Poznámka: Uistite sa, že túto možnosť povolíte po pridaní všetkých používateľských účtov MAC adries
- Aby mohol byť používateľ autentifikovaný cez AD, potrebujeme pre to skupinu:
Takže používateľ a skupina sú vytvorené, a teraz musíme nakonfigurovať NPS.
Nastavenia NPS
Všetky prepínače, ktoré potrebujú autentifikovať klienta, musia byť pridané do NPS ako RADIUS klienti.
- Otvorte konzolu NPS servera cez Štart > Programy > Administrátorské nástroje > Network Policy Server
- V ľavom paneli rozbaľte možnosť RADIUS Clients and Servers.
- Kliknite pravým tlačidlom myši na RADIUS Clients a vyberte Nový.
- Zadajte názov pre Zyxel prepínač.
- Zadajte IP adresu vášho Zyxel prepínača.
- Vytvorte a zadajte spoločný RADIUS tajný kľúč.
- Po dokončení stlačte OK.
- Tieto kroky zopakujte pre všetky prepínače, ktoré budú používané pre MAC autentifikáciu.
Teraz potrebujeme nastaviť NPS Connection Request Policy.
S nastaveniami pre Windows skupinu a NAS Port Type:
S nastavením autentifikačnej metódy:
Teraz môžeme pokračovať v konfigurácii prepínača.
Najprv musíme pridať AAA server takto:
SECURITY > AAA > RADIUS Server Setup- Odkaz na bod č. 6 v nastaveniach NPS je Shared Secret => nastavte IP a zadajte spoločný RADIUS tajný kľúč.
Teraz musíme povoliť port, na ktorom sa má používať MAC autentifikácia:
(V tomto príklade je PI pripojený na port 6):
Uložte konfiguráciu, aby ste nestratili nastavenia po reštarte:
Overenie:
Overenie som vykonal pomocou Wiresharku a funguje to:
- Môžete tiež použiť Domain-Log, uvidíte to isté:
Poznámka: Po konfigurácii prepínača by ste mali vždy uložiť novú konfiguráciu na prepínači.
Inak prepínač stratí zmeny po reštarte
Problém so stratou konfigurácie prepínača po výpadku napájania alebo cykle napájania
Príspevky
0 komentárovČlánok je uzavretý pre príspevky.