[Zyxel Switch / XGS / GS 2xxx-serien och högre] - MAC-autentisering med Active Directory
Denna handledning fokuserar på att implementera MAC-autentisering med Active Directory, särskilt anpassad för grundläggande Active Directory-inställningar med Windows Server 2019 och en enkel struktur:
BaseDN: DC=ad,DC=local
Första steget: Skapa och lägg till användare För att påbörja processen är det nödvändigt att skapa och lägga till en användare som kommer att fungera som klient. Som exempel, tänk på en enhet med MAC-adressen "b827eb2550df" (till exempel en Raspberry Pi). Denna användare kommer att spela en nyckelroll i autentiseringsprocessen som beskrivs i de följande stegen.
Switch-inställning
Vi behöver lägga till en Zyxel-switch som RADIUS-klient på NPS-servern
1) Öppna Active Directory Users and Computers: Start > Alla program > Administrativa verktyg > Active Directory Users and Computers.
2) Skapa ett nytt användarkonto. Användarnamnet och lösenordet ska vara MAC-adressen för den anslutande enheten. Obs: Kontrollera vilka alternativ som stöds i switchen och konfigurera detta. Vi har följande alternativ baserat på X/GS2xxx eller högre:
Konfigurera switchen genom att navigera till
SECURITY > Port Authentication > MAC AuthenticationAktivera sedan MAC-autentisering, välj ett lösenordstyp baserat på MAC-adress i gemener och aktivera MAC-autentisering på de portar du vill använda. Ändra bindestrecket på switchen till inget.
Möjliga inställningar:
| Namn Prefix | Skriv prefixet som läggs till alla MAC-adresser som skickas till RADIUS-servern för autentisering. Du kan ange upp till 32 tryckbara ASCII-tecken. Om du lämnar detta fält tomt skickas endast klientens MAC-adress vidare till RADIUS-servern. | ||
| Avgränsare | Välj den avgränsare som RADIUS-servern använder för att separera par i MAC-adresser som används som kontots användarnamn (och lösenord). Du kan välja Bindestreck (–), Kolon (:) eller Ingen för att inte använda några avgränsare alls i MAC-adressen. | ||
| Bokstavsstil | Välj den bokstavsstil (stora eller små bokstäver) som RADIUS-servern kräver för bokstäver i MAC-adresser som används som kontots användarnamn (och lösenord). | ||
| Lösenordstyp | Välj Statisk för att låta switchen skicka det lösenord du anger nedan eller MAC-adress för att använda klientens MAC-adress som lösenord. | ||
| Lösenord | Skriv lösenordet som switchen skickar tillsammans med en klients MAC-adress för autentisering mot RADIUS-servern. Du kan ange upp till 32 tryckbara ASCII-tecken förutom [ ? ], [ | ], [ ' ], [ " ] eller [ , ]. | ||
| Timeout |
Ange hur lång tid innan switchen tillåter en klient-MAC-adress som misslyckats med autentisering att försöka autentisera igen. Maximal tid är 3000 sekunder. När en klient misslyckas med MAC-autentisering lär sig MAC-adresstabellen MAC-adressen med status nekad. Timeout-perioden du anger här är hur länge MAC-adressposten finns kvar i MAC-adresstabellen innan den tas bort. Om du anger 0 för timeout-värdet använder switchen den åldringstid som konfigurerats i Switch Setup-skärmen.
|
I detta exempel är klientens MAC och användarnamn “b827eb2550df”. PI kommer att skicka MAC och lösenord som samma, vilket betyder att användarnamn och lösenord är: “b827eb2550df”. Se till att MAC-adressen är tillagd som användare och lösenord utan några kolon.
-
När du använder en MAC-adress som lösenord kan du behöva ändra serverns lösenordskomplexitetskrav för att ta bort eventuella obligatoriska minimikrav för lösenord.
Gå till Serverhanteraren, Verktyg uppe till höger, Lokal säkerhetspolicy, Kontopolicy, Lösenordspolicy och ändra Minsta lösenordslängd till ingen. Obs: Se till att du aktiverar detta alternativ efter att ha lagt till alla MAC-adressanvändarkonton
- För att användaren ska kunna autentiseras av AD behöver vi en grupp för detta:
Så, användare och grupp är skapade, och nu måste vi konfigurera NPS.
NPS-inställningar
Alla switchar som behöver autentisera en klient måste läggas till i NPS som RADIUS-klient.
- Öppna NPS-serverkonsolen genom att gå till Start > Program > Administrativa verktyg > Network Policy Server
- I vänstra panelen, expandera alternativet RADIUS Clients and Servers.
- Högerklicka på RADIUS Clients och välj Ny.
- Ange ett namn för Zyxel-switchen.
- Ange IP-adressen för din Zyxel-switch.
- Skapa och ange ett RADIUS Shared Secret.
- Tryck på OK när du är klar.
- Upprepa dessa steg för alla switchar som ska användas för MAC-autentisering.
Nu behöver vi en NPS Connection Request Policy.
Med inställningarna för Windows-grupp och NAS-porttyp:
Med autentiseringsmetoden i inställningarna:
Nu kan vi fortsätta med switch-konfigurationen.
Vi måste först lägga till AAA-servern genom att navigera till:
SECURITY > AAA > RADIUS Server Setup- Se Nr 6 NPS-inställning är Shared Secret => Ange IP och skriv in ett RADIUS Shared Secret.
Nu måste vi aktivera porten där MAC-autentisering ska användas:
(Här exempelvis är PI ansluten till port 6):
Spara din konfiguration för att inte förlora inställningarna efter omstart:
Verifiering:
Jag gjorde verifiering med Wireshark, och det fungerar:
- Du kan också använda domänloggar, du kommer att se samma sak:
Obs: Efter att ha konfigurerat switchen bör du alltid spara din nya konfiguration på switchen.
Annars förlorar switchen ändringarna efter en omstart
Switch-konfiguration förlorad efter strömavbrott eller strömcykelproblem
Kommentarer
0 kommentarerArtikeln är stängd för kommentarer.