Nätverksswitch - Konfigurera MAC-autentisering med Active Directory

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska originalartikeln här:Originalversion

[Zyxel Switch / XGS / GS 2xxx Series och högre] MAC-autentisering med Active Directory. Denna handledning är baserad på grundläggande Active Directory-inställningar med Windows2019 Server och enkel struktur:

BaseDN: DC=ad,DC=lokal

Först måste vi skapa / lägga till en användare, den här användaren är klienten, i exempel en enhet med MAC-adress "b827eb2550df" (en Raspberry PI)

Inställning av strömbrytare

NPS-inställning

Verifiering

Inställning av brytare

Vi måste lägga till en Zyxel Switch som RADIUS-klienter på NPS-servern

1) Öppna Active Directory - användare och datorer: Start > Alla program > Administrationsverktyg > Active Directory - användare och datorer.

2) Skapa ett nytt användarkonto. användarnamnet och lösenordet ska vara MAC-adressen för den anslutande enheten. Obs: Kontrollera vilka alternativ i omkopplaren som stöds och konfigurera detta Vi har följande alternativ baserade på X/GS2xxx eller högre:

Konfigurera omkopplaren genom att navigera till 

SECURITY > Port Authentication > MAC Authentication

Aktivera sedan MAC-autentisering, välj en MAC-adressbaserad lösenordstyp med små bokstäver och aktivera MAC-autentiseringen på de portar du vill ha.

Info till Inställningar som är möjliga:

Prefix för namn

Ange det prefix som läggs till alla MAC-adresser som skickas till RADIUS-servern för autentisering. Du kan ange upp till 32 utskrivbara ASCII-tecken.

Om du lämnar det här fältet tomt vidarebefordras endast klientens MAC-adress till RADIUS-servern.

Avgränsare

Välj det avgränsningstecken som RADIUS-servern använder för att separera paren i MAC-adresser som används som kontots användarnamn (och lösenord). Du kan välja Streck (-), Kolon (:) eller Ingen om du inte vill använda några avgränsare alls i MAC-adressen.

Skiftläge

Välj den skiftform (övre eller undre) som RADIUS-servern kräver för bokstäver i MAC-adresser som används som kontots användarnamn (och lösenord).

Typ av lösenord

Välj Statisk om växeln ska skicka det lösenord du anger nedan eller MAC-adress om klientens MAC-adress ska användas som lösenord.

Lösenord

Ange det lösenord som växeln skickar tillsammans med MAC-adressen för en klient för autentisering med RADIUS-servern. Du kan ange upp till 32 utskrivbara ASCII-tecken förutom [ ? ], [ | ], [ ' ], [ " ] eller [ , ].

Tidsgräns

Ange hur lång tid det ska gå innan växeln tillåter en klient-MAC-adress som misslyckats med autentiseringen att försöka autentisera sig igen. Maximal tid är 3000 sekunder.

När en klient misslyckas med MAC-autentiseringen läses dess MAC-adress in i MAC-adresstabellen med statusen nekad. Den timeoutperiod du anger här är den tid som MAC-adressposten finns kvar i MAC-adresstabellen tills den rensas. Om du anger 0 för timeout-värdet använder växeln den åldringstid som konfigurerats på skärmen Inställningar för växel.

Obs!

Om Åldringstid på skärmen Switchinställningar har ett lägre värde ersätter det den här inställningen.

I det här exemplet är klientens MAC och användarnamn "b827eb2550df" för PI. PI skickar samma MAC och lösenord, vilket innebär att användaren och PWD är: "b827eb2550df".

mceclip1.png

För att användaren ska kunna autentiseras av AD behöver vi en Groupe för det:

mceclip2.png

Så, User och Groupe är skapade, nu måste vi konfigurera NPS.

Inställningar för NPS:

Alla switchar som behöver autentisera en klient måste läggas till i NPS som Radius Client.

1) Öppna NPS-serverkonsolen genom att gå till Start > Program > Administrationsverktyg > Network Policy Server.
2) Expandera alternativet RADIUS-klienter och -servrar i den vänstra rutan.
3) Högerklicka på alternativet RADIUS-klienter och välj Ny.
4) Ange ett namn för Zyxel-Switch.
5) Ange IP-adressen för din Zyxel-switch.
6) Skapa och ange en RADIUS Shared Secret.
7) Tryck på OK när du är klar.
8) Upprepa dessa steg för alla switchar som ska användas för MAC-Auth.

mceclip3.png

Nu behöver vi en policy för begäran om NPS-anslutning.

mceclip4.png

Med inställningarna Windows Groupe och NAS Port Type:

mceclip5.png

Med Auth Method i inställningarna:

mceclip6.png

Nu kan vi gå vidare med Switch Config.

Vi måste först lägga till AAA-servern genom att navigera till: 

SECURITY > AAA > RADIUS Server Setup

  • Se Nr 6 NPS-inställningen är Shared Secret => Set IP och ange en RADIUS Shared Secret.

Nu måste vi aktivera den port på vilken MAC-Auth ska användas:
(I detta exempel är PI ansluten till Port 6):

Spara din konfiguration för att inte förlora konfigurationen efter omstart:

Verifiering:

Jag verifierar med Wireshark, och det fungerar:

mceclip9.png

Du kan också använda Domain-Log, du kommer att se samma sak:

mceclip10.png

Klar.

När du har konfigurerat växeln bör du alltid spara den nya konfigurationen på växeln.
Annars förlorar växeln ändringarna efter en omstart .
Switchkonfiguration förlorad efter strömavbrott eller strömcykelproblem

Konfigurationshjälp, du letar efter hjälp med konfigurationen av vårt Professional Services Team? Vänligen kolla här: ZyxelConfigService Switch

Artiklar i detta avsnitt

Var denna artikel till hjälp?
1 av 1 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

Artikeln är stängd för kommentarer.