Cisco 802.1x и Windows Server 2012R2 NAP

Main

Оценка: 86.93% - 16 Голосов

Общая

802.1x является стандартом авторизации и аутентификации пользователей и компьютеров в сети передачи данных. Данный стандарт позволяет очень просто назначать разным клиентам нужные VLAN-ы, а так же предотвратить доступ к сети неизвестным системе устройствам.

Для успешной работы данного стандарта в корпоративной среде под управлением операционной системы Windows требуется настроенные:
1. Домен-контроллер;
2. Сервер центра сертификации;
3. Сервер политики сети.

 
Выдача сертификата центром сертификации.

Для того чтобы Cisco без проблем работала с клиентами требуется сертификат созданный на основе RAS и IAS серверы.

Данный шаблон необходимо скопировать и дать при этом ему свое уникальное имя.

1

После копирования шаблона необходимо указать совместимость, а так же в разделе Безопасность добавить группу Серверы RAS и IAS и внести разрешения на Заявку и Автоматическую подачу заявок.

После того как сертификат скопирован нужно перезапустить сервер политики сети. В разделе Выданные сертификаты должен появиться сертификат с именем вашего скопированного шаблона сертификата, выданный вашему NAP серверу.

 

Настройка NAP.
Добавление клиентов

Для работы коммутатора с NAP сервером в первую очередь надо добавить RADIUS-клиенты в одноимённом пункте настройки NAP введя понятное имя, ip-адрес, секрет, а так же в разделе дополнительно необходимо выбрать в поле имя поставщика поставщика Cisco. Поставить галочку на против пункта RADIUS-клиент поддерживает защиту доступа к сети

 

Создание политики запросов на подключение

В разделе Политики, в подразделе политики запросов на подключение необходимо создать политику. В данной политике необходимо указать ее имя, а так же добавить условие Тип порта NAS со значением Ethernet.

2

 

 

 Создание сетевой политики

Если нам необходимо переводить пользователя в другой VLAN при входе в ОС то нам необходимо создать специальную группу в домене. Эта группа будет указана в условиях на подключение.

При создании сетевой политики указываем ее имя. Добавляем два условия:

Группа пользователей - указываем группу в которой будут пользователи, которым развешен доступ к данному VLAN;

Типа порта NAS - Ethernet.

 3

 

На вкладке Ограничения необходимо указать тип проверки пользователей - нам необходимо указать:

Microsoft: защищённый пароль (EAP-MSCHAP v2)

Microsoft: защищённый EAP (PEAP)

 

Так же в пункте Менее безопасные методы проверки подлинности отмечаем:

Шифрованная проверка подлинности (Microsoft), версия 2, (MS-CHAP-v2)

Разрешить смену пароля по истечении срока действия

Шифрованная проверка подлинности Майкрософт (MS-CHAP)

Разрешить смену пароля по истечении срока действия

4

 

На вкладке Параметры, в разделе Атрибуты RADIUS - Стандарт добавим несколько атрибутов:

Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID = номер VLAN в который вы хотите переключать клиента

Tunnel-Type = Virtual LANs (VLAN)

5

 

После создания политик перезапустите NAP.

 

Настройка коммутатора Cisco

Коммутатор должен иметь первоначальную простую настройку, а так же должен знать VLAN-ы, которые будут указываться в настройке.

 

Настройка RADIUS серверов

Первым делом необходимо применить команду:


aaa new-model
dot1x system-auth-control
dot1x guest-vlan supplicant

Далее создаём группу серверов RADIUS отвечающих за 802.1x


aaa group server radius DOT1X
server-private IP-адрес NAP-Сервера auth-port 1812 acct-port 1813 key секрет созданный RADIUS-Клиенту на NAP сервере
ip radius source-interface Loopback0

Настраиваем авторизацию через созданные группы NAP серверов


aaa authentication dot1x default group DOT1X
aaa authorization network default group DOT1X

 
802.1X Port-Based Network Authentication

 Настройка портов на примере GigabitEthernet1/1:


interface GigabitEthernet1/1
switchport mode access

Указываем VLAN в который помещаются клиенты не прошедшие авторизацию:


authentication event fail action authorize vlan 'номер-vlan'

Указываем VLAN в который помещаются клиенты если NAP сервер не работает:

authentication event server dead action authorize vlan 'номер-vlan'

Указываем VLAN в который помещаются клиенты если не отвечают:


authentication event no-response action authorize vlan 'номер-vlan'

Приоритет аутентификации:


authentication priority dot1x mab

Активируем функцию Mac-address bypass:


mab

Настройка таймеров и переавторизации:


 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 600
 dot1x pae authenticator
 dot1x timeout quiet-period 10
 dot1x timeout server-timeout 5
 dot1x timeout tx-period 5

Включим защиту от петель:


spanning-tree portfast

 
Настройка клиентского ПК под управлением Windows 7

Первым делом необходимо запустить службу Проводная автонастройка а так же назначить ей автоматический тип запуска.

После в свойствах сетевого адаптера появится Проверка подлинности.

В вкладке включаем проверку подлинности IEEE 802.1X, в параметрах отключаем проверку сертификата, включаем быстрое переключение.

6

 

В пункте Дополнительные параметры необходимо активировать пункт Указать режим проверки подлинности учётными записями пользователей, активируем Включить единую регистрацию для сети, выбрать вариант Выполнять непосредственно перед входом пользователя

Важно: пользователь, которому разрешено подключаться в VLAN, должен выйти со всех устройств для того чтобы домен-контроллер обновил ему SID. В противном случае может получиться так, что коммутатор не сможет найти указанного пользователя в указанной группе пользователей, а следовательно он не авторизуется и не попадет в нужный VLAN.

 

Настройка ПК через AD

Чтобы включить необходимые настройки на ПК через групповую политику необходимо создать новую политику сети и применять ее на группу компьютеров в AD.

Включаем службу проводной автонастройки с автоматическим запуском:

GP1

 

Настраиваем проверку подлинности:

GP2

GP3

GP4

 

Данная политика применяется при включении ПК и если порт коммутатора не настроен на dot1x то не препятствует подключению к сети.

 

  • Просмотров: 21716
Комментарии   
0 #1 Андрей 21.10.2021 20:12
Доброго времени суток.

Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо
Цитировать
0 #2 admin 23.10.2021 10:58
Цитирую Андрей:
Доброго времени суток.

Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо

Добрый.
На сколько я знаю, проверка в локальной базе происходит только в момент недоступности сервера.
Цитировать
Добавить комментарий