फेलओवर एनपीएस का उपयोग कर सिस्को स्विचेस पर 802.1X कॉन्फ़िगर करना (AD के साथ Windows RADIUS)

आइए हम विंडोज सक्रिय निर्देशिका + एनपीएस (गलती सहिष्णुता के लिए 2 सर्वर) + 802.1x मानक का उपयोग नियंत्रण और उपयोगकर्ताओं - डोमेन कंप्यूटर - उपकरणों के प्रमाणीकरण के लिए उपयोग करने पर विचार करें। आप विकिपीडिया में मानक के सिद्धांत से परिचित हो सकते हैं, लिंक पर: IEEE 802.1X

चूंकि मेरा "प्रयोगशाला" संसाधनों में सीमित है, एनपीएस और एक डोमेन नियंत्रक की भूमिकाएं संगत हैं, लेकिन मेरा सुझाव है कि आप ऐसी महत्वपूर्ण सेवाओं को साझा करते हैं।

मुझे Windows NPS के कॉन्फ़िगरेशन (नीतियों) को सिंक्रनाइज़ करने के मानक तरीके नहीं पता हैं, इसलिए हम कार्य शेड्यूलर द्वारा लॉन्च की गई PowerShell स्क्रिप्ट का उपयोग करेंगे (लेखक मेरा पूर्व सहयोगी है)। डोमेन कंप्यूटरों को प्रमाणित करने और ऐसे उपकरणों के लिए जो 802.1x (टेलीफोन, प्रिंटर, आदि) का उपयोग करना नहीं जानते हैं, समूह नीति को कॉन्फ़िगर किया जाएगा और बनाए गए सुरक्षा समूह।

इस लेख के अंत में मैं 802.1x के साथ काम करने की कुछ पेचीदगियों के बारे में बात करूँगा - अप्रबंधित स्विच, डायनेमिक एसीएल आदि का उपयोग कैसे करें, मैं पकड़े गए "ग्लिच" के बारे में सभी जानकारी साझा करूँगा ...

आइए विंडोज सर्वर 2012R2 पर विफलता एनपीएस को स्थापित और कॉन्फ़िगर करके शुरू करें (2016 के लिए सब कुछ समान है): सर्वर प्रबंधक के माध्यम से -> भूमिका और सुविधाएँ विज़ार्ड जोड़ें, केवल नेटवर्क नीति सर्वर का चयन करें।



या PowerShell का उपयोग कर:

Install-WindowsFeature NPAS -IncludeManagementTools 

एक छोटा स्पष्टीकरण - चूंकि संरक्षित ईएपी (पीईएपी) के लिए आपको निश्चित रूप से सर्वर की प्रामाणिकता (उचित उपयोग अधिकारों के साथ) की पुष्टि करने वाले एक प्रमाण पत्र की आवश्यकता होगी, जो क्लाइंट कंप्यूटरों पर भरोसा किया जाएगा, फिर आपको प्रमाणन प्राधिकरण की भूमिका स्थापित करने की सबसे अधिक आवश्यकता होगी। लेकिन मान लेते हैं कि आप पहले से ही CA स्थापित कर चुके हैं ...

हम दूसरे सर्वर पर भी ऐसा ही करेंगे। C: \ Scripts स्क्रिप्ट दोनों सर्वरों के लिए एक फ़ोल्डर बनाएँ और दूसरे सर्वर पर एक नेटवर्क फ़ोल्डर \\ SRV2 \ NPS-config $

पहले सर्वर पर, एक PowerShell स्क्रिप्ट बनाएँ C: \ Scripts \ Export-NPS-config.ps1 निम्नलिखित के साथ:

 Export-NpsConfiguration -Path "\\SRV2\NPS-config$\NPS.xml" 

उसके बाद टास्क शेडयूलर में कार्य को कॉन्फ़िगर करें: " Export-NpsConfiguration "

 powershell -executionpolicy unrestricted -f "C:\Scripts\Export-NPS-config.ps1" 

सभी उपयोगकर्ताओं के लिए प्रदर्शन करें - उच्चतम अनुमतियों के साथ चलाएँ
दैनिक - हर 10 मिनट में कार्य को दोहराएं। 8 घंटे के भीतर

स्टैंडबाय एनपीएस पर, कॉन्फ़िगरेशन आयात (नीतियों) को कॉन्फ़िगर करें:
एक PowerShell स्क्रिप्ट बनाएँ:

 echo Import-NpsConfiguration -Path "c:\NPS-config\NPS.xml" >> C:\Scripts\Import-NPS-config.ps1 

और हर 10 मिनट में इसके कार्यान्वयन का कार्य:

 powershell -executionpolicy unrestricted -f "C:\Scripts\Import-NPS-config.ps1" 

सभी उपयोगकर्ताओं के लिए प्रदर्शन करें - उच्चतम अनुमतियों के साथ चलाएँ
दैनिक - हर 10 मिनट में कार्य को दोहराएं। 8 घंटे के भीतर

अब, सत्यापन के लिए, सर्वरों में से किसी एक पर NPS में RADIUS क्लाइंट (IP और शेयर्ड सीक्रेट) पर स्विच करें, दो कनेक्शन अनुरोध की नीतियां: WIRED-Connect (स्थिति: "NAS पोर्ट प्रकार - ईथरनेट") और WiFi! -Enterprise (स्थिति: "एनएएस पोर्ट प्रकार IEEE 802.11 है"), साथ ही एक्सेस नेटवर्क नेटवर्क डिवाइसेस (नेटवर्क एडमिन) नेटवर्क नीति:

 :  Windows - domain\sg-network-admins :    -    (PAP, SPAP) :  RADIUS:  - Service-Type - Login    - Cisco-AV-Pair - Cisco - shell:priv-lvl=15 

कॉन्फ़िगरेशन के बाद, 10 मिनट के बाद, सभी ग्राहकों की नीतियां \ सेटिंग्स स्टैंडबाय एनपीएस पर दिखाई देनी चाहिए और हम ActiveDirectory खाते, डोमेन \ sg-network-admins समूह के एक सदस्य (जो हमने पहले से बनाया था) का उपयोग करके लॉग इन करने में सक्षम होंगे।

सक्रिय निर्देशिका स्थापित करने के लिए आगे बढ़ते हैं - एक समूह और पासवर्ड नीति बनाएं, आवश्यक समूह बनाएं।

समूह नीति कंप्यूटर-8021x- सेटिंग्स :

 Computer Configuration (Enabled) Policies Windows Settings Security Settings System Services Wired AutoConfig (Startup Mode: Automatic) Wired Network (802.3) Policies 

एक सुरक्षा समूह sg-computers-8021x-vl100 बनाएं , जहां हम उन कंप्यूटरों को जोड़ेंगे जिन्हें हम vlan 100 में वितरित करना चाहते हैं और इस समूह के लिए पहले से बनाई गई समूह नीति के लिए फ़िल्टरिंग कॉन्फ़िगर करें:



आप सत्यापित कर सकते हैं कि नीति "नेटवर्क और साझाकरण केंद्र (नेटवर्क और इंटरनेट सेटिंग्स) -" एडेप्टर सेटिंग्स बदलें (एडॉप्टर सेटिंग्स कॉन्फ़िगर करें) - एडॉप्टर गुण "को खोलकर सफलतापूर्वक लागू की गई है, जहां हम" प्रमाणीकरण "टैब देख सकते हैं:



जब आप आश्वस्त हो जाते हैं कि नीति सफलतापूर्वक लागू हो गई है, तो आप नेटवर्क नीति को एनपीएस और एक्सेस स्विच पोर्ट पर कॉन्फ़िगर करने के लिए आगे बढ़ सकते हैं।

नेटवर्क नीति neag-computers-8021x-vl100 बनाएं :

 Conditions: Windows Groups - sg-computers-8021x-vl100 NAS Port Type - Ethernet Constraints: Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP) NAS Port Type - Ethernet Settings: Standard: Framed-MTU 1344 TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format) TunnelPrivateGroupId 100 TunnelType Virtual LANs (VLAN) 

स्विच पोर्ट के लिए विशिष्ट सेटिंग्स (मैं इस तथ्य पर ध्यान आकर्षित करता हूं कि प्रमाणीकरण प्रकार "मल्टी-डोमेन" है - डेटा और वॉयस, और मैक पते को प्रमाणित करना भी संभव है। "संक्रमण अवधि" के लिए यह निम्नलिखित मापदंडों का उपयोग करने के लिए समझ में आता है:

 authentication event fail action authorize vlan 100 authentication event no-response action authorize vlan 100 

आईडी "संगरोध" का नहीं, बल्कि उसी का दर्ज किया जाता है, जहां उपयोगकर्ता कंप्यूटर को सफलतापूर्वक लॉग-इन करने के बाद प्राप्त करना चाहिए - जब तक हम यह सुनिश्चित नहीं कर लेते हैं कि सब कुछ उसी तरह से काम करता है जैसे कि इसे करना चाहिए। उसी मापदंडों का उपयोग अन्य परिदृश्यों में किया जा सकता है, उदाहरण के लिए, जब एक अप्रबंधित स्विच को इस पोर्ट में डाला जाता है और आप चाहते हैं कि इससे जुड़े सभी उपकरण एक निश्चित वीलन ("संगरोध") में गिरने के लिए प्रमाणित न हों।


आप यह सत्यापित कर सकते हैं कि कंप्यूटर / फोन सफलतापूर्वक कमांड का उपयोग करके प्रमाणित किया गया है:

 sh authentication sessions int Gi1/0/39 det 

अब फोन के लिए सक्रिय निर्देशिका में एक समूह (उदाहरण के लिए, sg-fgpp-mab ) बनाएं और इसमें एक परीक्षण उपकरण जोड़ें (मेरे मामले में, यह Grandstream GXP2160 है जिसमें बड़े पते के साथ 000b.82ba.b7b1 और संबंधित खाता डोमेन \ 000b82baa7b1 ) है ।

निर्मित समूह के लिए, हम पासवर्ड नीति आवश्यकताओं (सक्रिय निर्देशिका प्रशासनिक केंद्र -> डोमेन -> सिस्टम -> पासवर्ड सेटिंग्स कंटेनर के माध्यम से फाइन-ग्रेन्ड पासवर्ड नीतियों का उपयोग) को निम्न पासवर्ड-सेटिंग्स-फॉर-एमएबी मापदंडों के साथ करेंगे:



जिससे हमें पासवर्ड के रूप में उपकरणों के मैस एड्रेस का उपयोग करने की अनुमति मिलती है। उसके बाद, हम 802.1x विधि mab प्रमाणीकरण के लिए एक नेटवर्क नीति बना सकते हैं, चलो इसे neag-devices-8021x-voice कहते हैं। पैरामीटर निम्नानुसार हैं:

• एनएएस पोर्ट प्रकार - ईथरनेट
• विंडोज समूह - sg-fgpp-mab
• EAP प्रकार: अनएन्क्रिप्टेड प्रमाणीकरण (PAP, SPAP)
• RADIUS विशेषताएँ - विक्रेता विशिष्ट: सिस्को - सिस्को-एवी-जोड़ी - विशेषता मूल्य: डिवाइस-ट्रैफ़िक-क्लास = आवाज़

सफल प्रमाणीकरण के बाद (स्विच पोर्ट को कॉन्फ़िगर करना न भूलें), पोर्ट से जानकारी देखें:


अब, जैसा कि वादा किया गया है, कुछ-नहीं-स्पष्ट स्थितियों पर विचार करें। उदाहरण के लिए, हमें कंप्यूटर के उपयोगकर्ताओं के उपकरणों को एक अनवांटेड स्विच (स्विच) के माध्यम से कनेक्ट करना होगा। इस स्थिति में, इसके लिए पोर्ट सेटिंग इस तरह दिखाई देगी:


पीएस एक बहुत ही अजीब गड़बड़ देखा गया था - अगर डिवाइस इस तरह के स्विच के माध्यम से जुड़ा हुआ था, और फिर यह एक प्रबंधित स्विच में फंस गया था, तो यह तब तक काम नहीं करेगा जब तक हम (!) स्विच नहीं करते हैं जब तक मुझे इस समस्या को हल करने के अन्य तरीके नहीं मिलते।

डीएचसीपी से संबंधित एक अन्य बिंदु (यदि आईपी डीएचसीपी स्नूपिंग का उपयोग किया जाता है) - ऐसे विकल्पों के बिना:

 ip dhcp snooping vlan 1-100 no ip dhcp snooping information option 

किसी कारण से, आईपी पते को सही ढंग से प्राप्त नहीं किया जा सकता है ... हालांकि यह हमारे डीएचसीपी सर्वर की एक विशेषता हो सकती है

और मैक ओएस और लिनक्स (जिसमें 802.1x समर्थन मूल है) उपयोगकर्ता के साथ प्रमाणित करने की कोशिश कर रहा है, भले ही जन पते द्वारा प्रमाणीकरण कॉन्फ़िगर किया गया हो।

लेख के अगले भाग में, हम वायरलेस के लिए 802.1x के उपयोग पर विचार करेंगे (उपयोगकर्ता खाते में समूह के आधार पर, हम इसे "इसी नेटवर्क में छोड़ देंगे" (vlan), हालांकि वे उसी SSID से कनेक्ट होंगे)।