Vlan и active directory: Как получить доступ из разных vlan к Active Directory? — Хабр Q&A

Настройка 802.1X на коммутаторах Cisco с помощью отказоустойчивого NPS (Windows RADIUS with AD)


Рассмотрим на практике использование Windows Active Directory + NPS (2 сервера для обеспечения отказоустойчивости) + стандарт 802.1x для контроля доступа и аутентификации пользователей – доменных компьютеров – устройств. Ознакомиться с теорией по стандарту можно в Wikipedia, по ссылке: IEEE 802.1X
Так как “лаборатория” у меня ограничена по ресурсам, совместим роли NPS и контроллера домена, но вам я рекомендую такие критичные сервисы все же разделять.

Стандартных способов синхронизации конфигураций (политик) Windows NPS я не знаю, поэтому будем использовать скрипты PowerShell, запускаемые планировщиком заданий (автор мой бывший коллега). Для аутентификации компьютеров домена и для устройств, не умеющих в 802.1x (телефоны, принтеры и пр), будет настроена групповая политика и созданы группы безопасности.

В конце статьи расскажу о некоторых тонкостях работы с 802.1x – как можно использовать неуправляемые коммутаторы, dynamic ACL и пр. Поделюсь информацией об отловленных “глюках”…

Начнем с установки и настройки failover NPS on Windows Server 2012R2 (на 2016-м все аналогично): через Server Manager -> Add Roles and Features Wizard выбираем лишь Network Policy Server.


или с помощью PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

Небольшое уточнение – так как для Protected EAP (PEAP) вам обязательно потребуется сертификат, подтверждающий подлинность сервера (с соответствующими правами на использование), который будет в доверенных на клиентских компьютерах, то вам скорее всего потребуется установить еще и роль Certification Authority. Но будем считать, что CA у вас уже установлен…

Сделаем тоже самое и на втором сервере. Создадим папку для скрипта C:Scripts на обоих серверах и сетевую папку на втором сервере \SRV2NPS-config$

На первом сервере создадим PowerShell скрипт C:ScriptsExport-NPS-config.ps1 со следующим содержанием:

Export-NpsConfiguration -Path "\SRV2NPS-config$NPS.xml"

После этого настроим задание в Task Sheduler: “Export-NpsConfiguration

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

Выполнять для всех пользователей — Выполнить с наивысшими правами
Ежедневно — Повторять задачу каждые 10 мин. в течении 8 ч.

На резервном NPS настроим импорт конфигурации (политик):
создадим скрипт PowerShell:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

и задачу на его выполнение каждые 10 минут:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

Выполнять для всех пользователей — Выполнить с наивысшими правами
Ежедневно — Повторять задачу каждые 10 мин. в течении 8 ч.

Теперь, для проверки, добавим в NPS на одном из серверов(!) пару коммутаторов в RADIUS-клиенты (IP и Shared Secret), две политики запросов на подключение: WIRED-Connect (Условие: “Тип порта NAS – Ethernet”) и WiFi-Enterprise (Условие: “Тип порта NAS – IEEE 802.11”), а также сетевую политику Access Cisco Network Devices (Network Admins):

Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Со стороны коммутаторов следующие настройки:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%

server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99

После настройки, спустя 10 минут, все клиентыполитикипараметры должны появиться и на резервном NPS и мы сможем авторизоваться на коммутаторах с помощью учетной записи ActiveDirectory, члена группы domainsg-network-admins (которую мы создали заранее).

Перейдем к настройке Active Directory – создадим групповую и парольную политики, создадим необходимые группы.

Групповая политика Computers-8021x-Settings:

Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies

NPS-802-1x

Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only

Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled


Создадим группу безопасности sg-computers-8021x-vl100, куда мы будем добавлять компьютеры, которые мы хотим распределять в влан 100 и настроим фильтрацию для созданной ранее групповой политики на эту группу:

Убедиться в том, что политика успешно отработала можно открыв “Центр управления сетями и общим доступом (Параметры сети и Интернет) – Изменение параметров адаптера (Настройка параметров адаптера) – Свойства адаптера”, где мы сможем увидеть вкладку “Проверка подлинности”:

Когда убедились, что политика успешно применяется – можно переходить к настройке сетевой политики на NPS и портов коммутатора уровня доступа.

Создадим сетевую политику neag-computers-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

Типовые настройки для порта коммутатора (обращаю внимание, что используется тип аутентификации “мультидомен” – Data & Voice, а также есть возможность аутентификации по mac адресу. на время “переходного периода” есть смысл использовать в параметрах:


authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

влан id не “карантинного”, а того же, куда пользовательский компьютер должен попасть, успешно авторизовавшись – пока не убедимся, что все работает как следует. Эти же параметры могут быть использованы и в других сценариях, например, когда в этот порт воткнут неуправляемый коммутатор и вы хотите, чтобы все устройства, подключенные в него и не прошедшие аутентификацию, попадали в определенный влан (“карантинный”).

настройки порта коммутатора в режиме 802.1x host-mode multi-domain
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

Убедиться, что компьютертелефон успешно прошли аутентификацию можно командой:

sh authentication sessions int Gi1/0/39 det

Теперь создадим группу (например, sg-fgpp-mab ) в Active Directory для телефонов и добавим в нее один аппарат для тестов (в моем случае это Grandstream GXP2160 с мас-адресом 000b.82ba.a7b1 и соотв. учетной записью domain00b82baa7b1). Для созданной группы понизим требования парольной политики (используя Fine-Grained Password Policies через Active Directory Administrative Center -> domain -> System -> Password Settings Container) с такими параметрами Password-Settings-for-MAB:

тем самым разрешим использовать мас-адрес устройств в качестве паролей. После этого мы сможем создать сетевую политику для аутентификации 802.1x method mab, назовем ее neag-devices-8021x-voice. Параметры следующие:

  • NAS Port Type – Ethernet
  • Windows Groups – sg-fgpp-mab
  • EAP Types: Unencrypted authentication (PAP, SPAP)
  • RADIUS Attributes – Vendor Specific: Cisco – Cisco-AV-Pair – Attribute value: device-traffic-class=voice

после успешной аутентификации (не забываем настроить порт коммутатора), посмотрим информацию с порта:

sh authentication se int Gi1/0/34 ----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3

Runnable methods list:
Method State
dot1x Failed over
mab Authc Success

Теперь, как и обещал рассмотрим пару не совсем очевидных ситуаций. Например, нам требуется подключить компьютерыустройства пользователей через неуправляемый коммутатор (свитч). В этом случае настройки порта для него будут выглядеть следующим образом:

настройки порта коммутатора в режиме 802.1x host-mode multi-auth
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

P.S. замечен очень странный глюк – если устройство было подключено через такой свитч, а потом его воткнули в управляемый коммутатор, то оно НЕ заработает, пока мы не перезагрузим(!) свитч Пока других способов решения этой проблемы не нашел.

Еще один момент, связанный с DHCP (если используется ip dhcp snooping) – без таких вот опций:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

почему-то корректно ip адрес не получить…хотя может это особенность нашего DHCP сервера

А еще Mac OS & Linux (в которых поддержка 802.1x нативная) пытаются пройти аутентификацию пользователем, даже если настроена аутентификация по мас-адресу.

В следующей части статьи рассмотрим применение 802.1x для Wireless (в зависимости от группы, в которую входит учетная запись пользователя, его будем “закидывать” в соответствующую сеть (влан), хотя подключаться они будут к одному SSID).

Автор: Фёдор

Источник

Пример настройки VLAN в коммутаторах ZyXEL – RDB IT Support

Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).

 

Виртуальная локальная сеть на базе порта (Port-based VLAN)

 

Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к менюAdvanced Application > VLAN.

 

 

 

VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N.

 

 

 

C помощью VLAN на базе порта можно настраивать довольно сложные схемы «перекрывающихся» виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.

 

Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q)

 

 

 

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged).

 

Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля.

 

Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority.

 

Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.

 

Типы кадров

 

Untagged frame — Кадр, в котором не установлен признак 802.1Q.
Priority-tagged frame — Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета.
VLAN-tagged frame — Кадр с установленным полем 802.1Q и VID больше 0.

 

Поддержка VLAN в сети

 

Каждая группа VLAN имеет уникальную в сети идентификацию (уникальный VID). Хосты внутри одного VLAN могут передавать данные между собой.
Все сетевые устройства можно разделить на две группы:

 

 

 

    • VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU — 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.

 

 

 

 

Процессы 802.1Q

 

 

 

Входной процесс:
Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.

 

Процесс пересылки (перенаправления):
Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.

 

Выходной процесс:
Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.

 

Входное правило (VLAN на базе протокола)

 

 

 

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

 

Если кадр тегированный

 

 

 

 

 

 

Если кадр без тега или кадр с VID=0

 

 

 

 

 

 

Protocol VID:

 

 

 

 

  

 

Входное правило (PVID)

 

 

 

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

 

Если кадр тегированный

 

 

 

 

 

 

Если кадр нетегированный или это кадр приоритета

 

 

 

 

 

 

 

PVID:

 

 

 

 

 

 

Настройка VLAN на базе протокола

 

 

 

Port: номер порта на котором будет применяться данное правило
Ethernet-type: значение поля type кадра Ethernet
VID: VLAN ID, которым будет маркироваться кадр
Priority: значение поля приоритета, которым будет маркироваться кадр

 

Таблица VLAN

 

 

 

В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором.

 

Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:

 

 

 

 

    • Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.

 

 

 

 

Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта.

 

С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.

 

Параметры VLAN 802.1q на портах

 

 

 

У каждого порта имеется набор полей:

 

 

 

 

    • VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.

 

    • Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.

 

    • GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.

 


    • Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.


      Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

 

 

 

 

VLAN Stacking

 

 

 

 

 

Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов.

 

Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.

 

У каждого порта коммутатора может быть две роли (Port Role):

 

 

    • Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.

 

    • Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).

 

 

 

 

Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority.

 

 

 


 

Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).

 

 

ES-4124# config     – для создания и настройки VLAN необходимо войти в режим config
ES-4124(config)# vlan 100     – создаем VLAN с номером 100
ES-4124(config-vlan)# name vlan100     – имя статической таблицы VLAN
ES-4124(config-vlan)# fixed 5-8     – порты 5-8 включаем в VLAN 100
ES-4124(config-vlan)# no untagged 5-8     – указываем, что на портах 5-8 исходящие кадры коммутатор будет отправлять с установленным тегом 802.1Q
ES-4124(config-vlan)# exit     – выход из режима config-vlan
ES-4124(config)# interface port-channel 5-8 – входим в режим config-interface для определения PVID на портах 5-8
ES-4124(config-interface)# pvid 100     – устанавливаем PVID = 100 на портах 5-8
ES-4124(config-interface)# exit     – выход из режима config-interface
ES-4124(config)# exit     – выход из режима config
ES-4124# wr mem     – запись выполненных настроек в память коммутатора
ES-4124#

 

Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:

vlan <vlan-id> команда для создания VLAN с номером <vlan-id>
name <name-str> команда устанавливающая название статической таблицы VLAN
fixed <port-list> команда определяет порты <port-list>, которые будут являться выходными для данного VLAN
forbidden <port-list> команда указывает, что в порты <port-list> запрещено передавать кадры принадлежащие данному VLAN
normal <port-list> команда указывает порты <port-list> которые не включены в определенный VLAN, но могут быть включены по протоколу GVRP
untagged <port-list> команда указывает отправлять исходящие кадры с портов <port-list> без тега 801.1Q
no untagged <port-list> команда указывает отправлять исходящие кадры с портов <port-list> с тегом 802.1Q

no fixed <port-list> или
no forbidden <port-list>

команда устанавливает настройки портов <port-list> в статус Normal

 


где <vlan-id> = VLAN ID [1-4094], <name-str> = имя записи SVLAN и <port-list> = список портов коммутатора.

 

 

 


 

При создании VLAN по умолчанию все порты находятся в режиме NORMAL.

Сетевые сервисы DNS и DHCP » Администрирование серверов

Сетевые сервисы относятся к ядру вашей сети, той основе, на которой все строится. По убеждениям автора это достаточно простые, однако, от этого не менее важные сервисы.

DHCP

DHCP – сервис, который позволяет устройству в сети динамически получать IP адрес и некоторые настройки сети от центрального сервера. Если Ваш компьютер настроен на динамическое получения IP адреса, то при загрузке он будет отправлять широковещательные запросы, в надежде, что ему  ответит DHCP сервер. DHCP сервер даст ответ, тогда компьютер даст запрос на получение IP от этого сервера, предоставив ему свой мак-адрес. В ответ сервер выдаст IP или сообщит, что это невозможно.

DNS

DNS – сервис, разрешающий доменные имена в IP адреса. Например, при обращении к ресурсам Интернет в поле URL  мы вбиваем читабельное имя google.com, а работа с ресурсом осуществляется с помощью IP.  Перед тем, как обратиться к ресурсу компьютер-клиент обращается к DNS серверу,  запрашивая IP адрес для определенного имени. Если в базе DNS сервера такое имя есть, он возвращает клиенту искомый IP адрес. Если имя не найдено, в большинстве случаев DNS сервер обратится к вышестоящему DNS серверу. И так до самой верхушки: 13 корневых DNS серверов, которые обеспечивают работу корневой зоны DNS в сети Интернет. Получение ответа происходит по цепочке в обратном направлении.

Службы DNS и DHCP могут быть установлены на различных серверах и сетевых устройствах. Начиная от домашних роутеров, и заканчивая отдельными серверами, специально выделенными под эти задачи. При планировании сети важно правильно выбрать месторасположение и количество серверов, обеспечивающих надежную работу этих сервисов.

Например, для отказоустойчивости DHCP можно настроить несколько серверов, а для DNS помимо избыточности устанавливают внутренние и внешние DNS-сервера.

Настройка DNS и DHCP серверов может быть выполнена как ОС Windows так и Linux. В зависимости от выбранной платформы могут быть различные преимущества и особенности настройки. Например, в Windows 2012 появилась возможность поднять службу DHCP в отказоустойчивом режиме и использовать безопасные подключения для DNS.  Для того, чтобы установить сетевые службы DNS и DHCP на серверах Windows необходимо поднять соответствующие роли. Дальнейшая настройка зависит от параметров вашей сети.

Работа ActiveDirectory тесно связана с сервисом DNS. Установить службы DNS можно в процессе поднятия роли ADDS, таким образом, установка DNS сервера будет произведена на контроллере  домена. DHCP, кстати также имеет интеграцию с доменом: доменная машина не получит IP от DHCP сервера, если он не активирован в AD.

Для установки DNS и DHCP сервера требуется, чтобы сам сервер имел статический IP. Также на момент установки серверов крайне рекомендуется уже иметь разработанный план подсетей, областей и исключений. Также не стоит забывать о правильной конфигурации сетевого оборудования. Например, получение ip адреса от DHCP сервера будет работать в рамках одного широковещательного домена. Если вы используйте оборудование Cisco и несколько vLan, для каждого из них нужно прописать ip-helper с указание ip адреса  DHCP сервера. В случае использования другого сетевого оборудования нужно найти механизмы для настройки этого функционала.  После установки роли, подключиться к службам для дальнейшего управления можно с помощью консоли, которая находится в меню инструментов для администрирования.

Дальнейшая настройка DHCP сервера требует конфигурирования хотя бы одной области, в рамках которой будет указан пул выдаваемых IP адресов, адреса, которые нужно исключить из выдачи, а также резервирования. Резервировать IP адрес нужно для того,  чтобы этот адрес выдавался автоматически, но только одному единственному устройству. В качестве уникального идентификатора используется MAK адрес сетевого интерфейса устройства, которому требуется выдать IP. Кроме этих настроек также можно указать ряд сетевых параметров (options), которые будут получены вместе с IP адресом. Например, шлюз и DNS сервера сети, прокси-сервера для выхода в Интернет, параметры PXE для загрузки устройства по сети, а также многое другое.

Для дальнейшей настройки DNS сервера потребуется создание хотя бы одной прямой и, при необходимости, обратной зоны, указать необходимость динамических обновлений и настроить пересылку запросов. Для настройки можно использовать готовый мастер, вызвать который можно из меню консоли управления DNS.

При создании зоны нужно указать ее тип. Существует 3 типа зон:

  • Основная. Используется непосредственно для управления записями Зоны.
  • Дополнительная. Является копией основной и может выдавать информацию о записях зоны, однако не позволяет редактирование.
  • Зона-заглушка. Хранит в себе только информацию о NS-серверах зоны, упрощая процесс разрешения имен и администрирования DNS.

После того как зона создана. Ее нужно наполнить требуемыми записями.

Наиболее используемые из них

  • A (АААА для IPv6)– ставит имя в соответствие IP адресу.
  • CNAME – псевдоним для записи A
  • MX – адрес почтового шлюза для доменной зоны.
  • NS – адреса серверов, обслуживающих зону.
  • TXT – запись произвольных двоичных данных.
  • PTR – ставит IP адрес в соответствие имени.

Есть  еще другие, такие как SOA, SRV и пр.

Нужно отметить, что другие DNS сервера обновляют информацию о вашей зоне с некоторой задержкой, соответственно, нужно помнить, что, несмотря на то, что изменения DNS зоны применяются незамедлительно, говорить об однозначном отсутствии ошибок в разрешении имен можно только через 48 часов после применения изменений.

Одной из частых задач, возникающих при установке собственного DNS сервера является перенос зоны от провайдера. Для этого необходимо:

  1. Создать дополнительную зону.
  2. Стянуть все данные с основной зоны при помощи синхронизации.
  3. Сделать зону основной
  4. Изменить для нее NS сервера.

Говоря о создании резервной копии важно понимать, что сам сервис разворачивается за несколько минут и основными данными, которые подлежат защите, является:

  • Для DHCP: дамп настроек сервера и областей.
  • Для DNS: дамп настроек и зон.

Методов защиты этой информации существует великое множество. Какой из способов выбрать – решать Вам.

Данный текст был призван пролить свет на необходимость и принципы работы сетевых сервисов DNS и DHCP в инфраструктуре Вашего предприятия.

Если у Вас остались вопросы, Вы всегда можете получить консультацию наших специалистов или обратиться за помощью по внедрению продуктов, [email protected]

Назначение VLAN для учетных данных пользователя в VPN-соединениях

Я думаю, что NPS (сервер сетевой политики / RADIUS) способен на это, однако я не уверен, возможно ли это через VPN:

http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx

Атрибуты VLAN, используемые в сетевой политике

Атрибуты VLAN, используемые в сетевой политике

Когда вы используете сетевое оборудование, такое как маршрутизаторы, коммутаторы и устройства доступа контроллеры, поддерживающие виртуальные локальные сети (VLAN), вы можете настроить сетевую политику сервера политики сети (NPS), чтобы доступ к серверам для размещения членов групп Active Directory® в сетях VLAN.

Перед настройкой сетевой политики в NPS для VLAN создайте группы пользователей в доменных службах Active Directory (AD DS), которых вы хотите назначить конкретным VLAN. Затем, когда вы запустите новую сетевую политику мастер, добавьте группу Active Directory как условие сети политика.

Вы можете создать отдельную сетевую политику для каждой группы, которую хотите. назначить VLAN. Для получения дополнительной информации см. Создание группы для Сетевая политика.

Когда вы настраиваете сетевую политику для использования с VLAN, вы должны настроить стандартные атрибуты RADIUS Tunnel-Medium-Type, Tunnel-Pvt-Group-ID и Tunnel-Type.Некоторые поставщики оборудования также требуют использования стандартного атрибута RADIUS Tunnel-Tag.

Чтобы настроить эти атрибуты в сетевой политике, используйте New Network Мастер политик для создания сетевой политики. Вы можете добавить атрибуты к параметрам сетевой политики во время работы мастера или после того, как вы успешно создали политику с помощью мастера.

Примечание

  • Чтобы добавить атрибуты после создания сетевой политики с мастера, найдите политику в консоли NPS и дважды щелкните значок политика, чтобы открыть его.Щелкните вкладку Параметры в свойствах политики, убедитесь, что выбран параметр RADIUS Attributes — Standard, а затем нажмите Добавлять. В диалоговом окне «Добавить атрибут» добавьте следующие атрибуты.

Туннель среднего типа. Выберите значение, соответствующее предыдущему выбор, сделанный вами при запуске мастера новой сетевой политики. За Например, если сетевая политика, которую вы настраиваете, является беспроводной политики, в поле Значение атрибута выберите 802 (Включает в себя все носители 802 плюс Канонический формат Ethernet).

Tunnel-Pvt-Group-ID . Введите целое число, представляющее номер VLAN. к какой группе будут прикреплены члены. Например, если вы хотите создайте VLAN продаж для своей группы продаж, назначив членов команды VLAN 4, введите число 4.

Туннельного типа . Выберите значение Virtual LANs (VLAN).

Tunnel-Tag. Для некоторых аппаратных устройств этот атрибут не требуется. Если ваше аппаратное устройство требует этого атрибута, получите это значение из документацию к вашему оборудованию.

Как настроить NPS и Active Directory для назначения Vlan на основе динамического радиуса — cnPilot Enterprise

Дайте группе имя Vlan10 (пользователь может использовать любое имя)

3. Создайте необходимое количество групп.

Сделайте группу частью пользователей домена, щелкнув вкладку «Член» и затем щелкнув «Добавить».

4. Добавьте пользователя AD. Щелкните «Пользователи» и щелкните правой кнопкой мыши. Выберите Новые пользователи. Дайте имя xyz (выбрано пользователем)

5. Укажите имя пользователя xyz и нажмите OK.

6.

Щелкните свойства созданного пользователя xyz и щелкните вкладку Dial In.

Выберите Разрешить доступ и нажмите ОК.

7.

Щелкните вкладку «Член».

Добавьте пользователей домена и группу радиуса, нажав кнопку «Добавить»

Добавление группы

Добавление пользователей домена

8.Нажмите ОК. Теперь пользователь является частью пользователя и группы домена.

Настройка сервера NPS

==================================

9.Щелкните «Сетевая политика» и «Новый

».

10. Дайте политике имя, например Vlan10_policy. Нажмите Next

.

11. Нажмите кнопку «Добавить».

12. Выберите Группы пользователей и нажмите Добавить.

13. Добавление группы пользователей. Щелкните Добавить группы

.

14.

Нажмите «Добавить группы» и добавьте настроенную группу AD, в данном примере Vlan10. Нажмите «ОК».

15.

Добавьте еще одно условие в сетевую политику, тип порта Nas

.

16.Выберите тип порта Nas и затем добавьте. Выберите Wireless –IEEE 802.11

.

17. Теперь оба условия добавлены.

19. Щелкните ограничения и выберите методы EAP, которые должны поддерживаться.

20. Теперь перейдите на вкладку «Настройки»

.

20. Нажмите кнопку Добавить. Добавьте три атрибута

Выберите Tunnel-Pvt-Group-ID, Tunnel-Medium-Type, Tunnel-Type

Выберите Tunnel-Pvt-Group-ID

21.

Щелкните Добавить. Затем нажмите Добавить

22.Выберите переключатель String под «Введите значение атрибута в». Настройте идентификатор vlan, который вы хотите настроить, и нажмите OK.

23. Таким образом добавьте атрибуты Tunnel-Medium-Type и Tunnel-Type

как 802 (включает все среды 802 плюс калонический формат Ethernet) и туннельный тип как Vlan

(PDF) Разработка и реализация сетевой аутентификации с использованием Active Directory и сетевой политики для назначения виртуальных локальных сетей

2265

Этап 1: серверные платформы

 Windows Server 2016: использование Windows Server 2016 — версия Windows основана на

Windows 10 и имеет более качественное и новое оборудование и поддержку кластеров, которая включает ядро, стандарт

и корпоративную версию, стандарт был лучшим выбором для этого проекта из-за новых функций

, которые он предоставляет, таких как автоматическое обновление Windows и исправление

можно управлять, чтобы пропустить только обновление функции, На сетевой стороне сервера Windows 2016

теперь поддерживает туннели GRE, сетевой адаптер Multi VLAN, привязку к DNS-серверу, новые командлеты PowerShell

, IPAM для поддержка подсетей / 31/32 и / 128, Windows Admin Center, Hyper-V с поддержкой

VXLAN, а также новые физические и логические сети rk, Nano Server, Microsoft Azure

Cloud Amazon Web Services Cloud Integration, новые функции Active Directory и объекты групповой политики

и многие другие функции.

Этап 2: Клиентские платформы

 Windows 10 Pro: эта версия Windows была выбрана из-за всей новой платформы от Microsoft,

, она имеет лучшую безопасность и более высокую стабильность, чем предыдущие версии Windows из-за

автоматизация безопасности обновления и исправления в операционной системе, также из-за использования

windows server 2016 он должен быть совместим с ним, windows 10 pro должна из-за поддержки

присоединиться к объекту политики домена и группы, поддержка нового оборудования с автоматической установкой драйвера и более поздней версии. Поддержка

RAM, новая интеграция с облачными сервисами Microsoft, такими как Teams, Office 365, Dynamic

365, и новые сетевые функции, такие как Remote Desktop, Device Guard, BitLocker, Windows

Hello, Windows Apps , Двухэтапная аутентификация, функция точки доступа, поддержка новых стандартов WI-FI

и стандартов VPN.

 Android: для мобильных пользователей, которые используют свои телефоны или планшеты для работы, Android лучше для клиентов

Enterprise из-за возможности присоединиться к домену и централизованно управляемых администраторами,

систем, таких как Samsung Knox, используемых для управления , настраивать, автоматически устанавливать приложения на клиентские устройства,

, а также приложения для повышения производительности, такие как приложения Microsoft Office, приложения Adobe, облачные приложения и многие другие, которые

можно легко разработать из-за природы Android с открытым исходным кодом, Android также поддерживает WPA2-

Протоколы Enterprise и протоколы VPN.

Этап 3: Межсетевые устройства

 Коммутатор Cisco: В этом документе Cisco была предпочтительным поставщиком из-за надежности, высокого качества, стандартных протоколов

, высокой производительности, популярности и низкой задержки, а также устройств Cisco имеет много

функции, которые приносят нам пользу в нашем проекте, но коммутатор должен работать под управлением iOS 15 или более поздней версии, которая поддерживается на платформах

Catalyst 2960 или более поздних версий, это следующие функции:

a. VLAN: используется для разделения подсетей друг от друга и изоляции сети

b.Сервер RADIUS: используется для аутентификации, авторизации и учета, этот протокол используется для обмена данными

между сервером и сетевым коммутатором для завершения установления связи между клиентом

и сетевым устройством, также используется для контроля того, кто управляет устройством.

г. 802.1X: используется в качестве аутентификации и авторизации на основе портов с использованием EAP и используется для вызова устройства Ethernet

Client и разрешения доступа к сети, а также для назначения им правильных параметров VLAN и

для клиента.

г. VTP: Протокол VLAN Trunking используется для распределения VLAN между другими коммутаторами Cisco в домене

, что значительно упрощает настройку и управление.

Подключение к серверу AD в другой VLAN

Все оборудование превышает все минимальные требования.
FreeNAS 9.10 (новейшая стабильная версия)

Просто пытаюсь проверить свое мышление о параметрах и получить общее представление о том, что происходит.

У нас есть сервер AD, который находится в VLAN A, и FreeNAS, к которому мы пытаемся подключиться, в VLAN B.Существует сложный брандмауэр для запрета трафика между двумя VLAN, но мы сделали исключение в сервисе, чтобы разрешить прохождение конкретного Mac-адреса FreeNAS. На наш взгляд, он полностью открыт. Общий доступ может быть доступен в VLAN B и администраторам с аналогичными исключениями для MAC-адресов, которые находятся в другой VLAN. Мы можем проверить связь с сервером AD из Callisto, и команда «dig» даст нам PTR-запись, которую мы ищем. На сервере AD были созданы объект и запись A DNS.Проще говоря, мы потратили более 24 часов и около 2 недель на решение этой конкретной проблемы. Мы выполнили новые установки, восстановили заводские настройки и по ходу дела сохранили конфигурацию загрузки, чтобы убедиться, что мы можем вернуться, чтобы не сохранялась устаревшая информация.

Проблема для этой конкретной установки, поскольку мы успешно связали AD с FreeNAS во многих разных случаях, заключается в том, что мы постоянно получаем «Невозможно связаться с сервером LDAP» и «Неверные учетные данные», 800
: LdapErr: DSID-0C0903C8, комментарий: ошибка AcceptSecurityContext , data 52e, v2580 «как чередующиеся ошибки.

Мы также попробовали создать дамп TCP-пакета, чтобы точно увидеть, что происходит с рукопожатием. FreeNAS может успешно связаться с сервером AD, но затем немедленно отключается. Нам не удалось исследовать эту проблему, поскольку мы не видели эту проблему где-либо еще на форумах или форумах серверов AD в целом.

Мы проверили и исследовали оба и добавили свежие записи DNS и объекты в AD с простыми паролями и именем пользователя, чтобы убедиться, что мы используем правильные учетные данные. Опять же, мы делали это много раз.Единственное ключевое различие мы видим, если разделение FreeNAS и сервера AD. Существует строгое требование безопасности, которое не позволяет нам размещать FreeNAS и сервер AD в одной и той же VLAN, иначе мы бы попробовали это.

Одна вещь, о которой мы думали, — это изменить настройку безопасности, чтобы разрешить конкретный IP-адрес, поскольку он статический, а не MAC-адрес ….

В целом, любые информированные ответы или конструктивные советы по этой ситуации будут ценить.Это сложная ситуация из-за множества слоев, с которыми мы имеем дело. Я понимаю, если обратная связь ограничена. Более или менее я просто хотел бы знать, поддерживает ли AD, FreeNAS или оба связывания в отдельных VLANS …

Спасибо.

Что такое динамическое назначение VLAN?

Когда дело доходит до современного предприятия, немногие вещи важнее сетевой безопасности. Когда злоумышленники прячутся за каждым углом (даже внутри самой организации), поддержание сильной и безопасной сети имеет первостепенное значение для ИТ-администратора.Сегодня ИТ-администраторы используют несколько инструментов и методов защиты сети, но одним из самых привлекательных является динамическое назначение VLAN. Поскольку ИТ-администраторы значительно повышают безопасность своих сетевых инфраструктур, некоторые задаются вопросом: что такое динамическое назначение VLAN и как оно может помочь защитить сеть?

Сетевая безопасность с динамическим назначением VLAN

Простой ответ заключается в том, что динамическое назначение VLAN (или управление VLAN) — отличный метод, используемый для построения базовой стратегии управления доступом к сети.Назначение VLAN основано на использовании RADIUS для управления доступом к сети. Благодаря интеграции с RADIUS точка доступа Wi-Fi (WAP) требует не только SSID и парольной фразы, но и уникального набора учетных данных пользователя для доступа к сети. После того, как пользователь передал учетные данные через WAP, а затем они были переданы серверу RADIUS и службе каталогов, сервер RADIUS ответит WAP, что пользователь прошел аутентификацию, и сообщит, какой VLAN он назначен.

ИТ-администраторы настраивают систему, чтобы определить, какие пользователи и / или группы назначены какой VLAN.Эти VLAN могут быть настроены в сети Wi-Fi по любому количеству причин, включая безопасность и соответствие требованиям. Сегментируя пользователей и аутентифицируя их с помощью их уникальных учетных данных, ИТ-администраторы могут значительно повысить безопасность.

Проблемы с динамическим назначением VLAN

Проблема с этим подходом — накладные расходы для ИТ-администраторов. Традиционно для реализации динамического назначения VLAN требовалось много инфраструктуры, настройки и администрирования.Для начала ИТ-организациям потребуется настроить свой собственный сервер FreeRADIUS и подключить этот экземпляр к точкам беспроводного доступа и поставщику удостоверений (IdP), часто Microsoft ® Active Directory ® . Во многих сетях ИТ-группе также потребуется настроить конечные точки с соискателями, чтобы они могли общаться с сервером RADIUS по надлежащим протоколам. Все это в конечном итоге стало серьезным препятствием для ИТ-администраторов, и именно поэтому многие сети Wi-Fi защищаются простым SSID и парольной фразой.

Однако с внедрением современных облачных решений RADIUS ИТ-администраторы могут фактически передать весь процесс аутентификации RADIUS на аутсорсинг для WiFi и динамического назначения VLAN. Это предложение RADIUS-as-a-Service не фокусируется только на RADIUS, но также действует как источник достоверной информации об управлении идентификацией, который может заменить локальный экземпляр Active Directory. Он доступен в JumpCloud ® Directory-as-a-Service ® .

RADIUS-as-a-Service и многое другое

JumpCloud Directory-as-a-Service — это все, чем была служба каталогов, и переосмысление ее для облачной эпохи.Это включает в себя управление конечными точками, управление идентификацией и доступом, а также инструменты сетевой аутентификации, такие как RADIUS-as-a-Service. Новым в JumpCloud Suite является функция динамического назначения VLAN, поэтому сетевые администраторы могут лучше авторизовать доступ своих пользователей к важнейшим сетевым ресурсам. Эта функция просто добавляет еще один журнал к яркому пламени, то есть Directory-as-a-Service.

Заинтересованы в динамическом назначении VLAN и остальном, что может предложить продукт DaaS? Свяжитесь с нами или ознакомьтесь с нашей базой знаний, чтобы узнать больше.Вы можете воочию убедиться в полной функциональности Directory-as-a-Service, попробовав JumpCloud бесплатно! Для того, чтобы вам как следует замочить ноги, мы включили десять пользователей, которым можно пользоваться вечно.

WPA Enterprise с назначенным радиусом VLAN из LDAP (Samba Active Directory)

Привет всем,

Я успешно запустил Freeradius для WPA Enterprise с Samba
Активный Директор.

ОС: Debian Buster
FreeRADIUS Версия: 3.0.17

Файл / etc / freeradius / 3.0 / mods-available / ntlm_auth выглядит так:

exec ntlm_auth {
ждать = да
program = «/ usr / bin / ntlm_auth —request-nt-key —domain = HOME
—username =% {mschap: User-Name} —password =% {User-Password} »
}

Теперь я также хотел бы выполнить назначение VLAN на основе групп
пользователь в AD.

Сначала мой вопрос: возможно ли это в пост-авторизации через LDAP?

Для этого у меня есть настройка в конфигурации LDAP
(/ etc / freeradius / 3.0 / доступные моды / ldap):
ldap {
server = «pdc.home.uhlmann.world»
порт = 389
identity = «cn = radius-auth, cn = users, DC = home, DC = uhlmann, DC = world»
пароль = << секретный пароль >>
basedn = «CN = Users, DC = home, DC = uhlmann, DC = world»
filter = «(sAMAccountName =% {% {Stripped-User-Name}: -% {User-Name}})»
tls {
start_tls = нет
}
group {
base_dn = «CN = Users, DC = home, DC = uhlmann, DC = world»
name_attribute = cn
members_filter =
«(| (member =% {control: Ldap-UserDn}) (memberOf =% {% {Stripped-User-Name}: -% {User-Name}}))»
members_attribute = ‘memberOf’
}
options {
chase_referrals = нет
ребинд = да
тайм-аут = 10
timelimit = 3
net_timeout = 1
холостой ход = 60
зонда = 3
интервал = 3
ldap_debug = 0x0028
}
}

В / etc / freeradius / 3.0 / sites-enabled / default Я настроил следующее
в разделе post-auth:

ldap
if (LDAP-Group == «wlan-gast») {
обновить ответ {
Тип туннеля = VLAN
Туннель-средний-тип = IEEE-802
Tunnel-Private-Group-Id = 851
}
}
elsif (LDAP-Group == «wlan-kinder») {
обновить ответ {
Тип туннеля = VLAN
Туннель-средний-тип = IEEE-802
Tunnel-Private-Group-Id = 999
}
}

else {
обновить ответ {
Тип туннеля = VLAN
Туннель-средний-тип = IEEE-802
Tunnel-Private-Group-Id = 999
}
}

К сожалению, привязка к VLAN 999 всегда имеет место,
можно увидеть в выходных данных отладки:

(8) # Выполнение постаутентификации раздела из файла
/ и т. Д. / Freeradius / 3.0 / сайты-включены / по умолчанию
(8) post-auth {
(8) update {
(8) Атрибуты не обновлены
(8)} # update = noop
(8) [ldap] = noop
(8) if (LDAP-Group == «wlan-gast») {
(8) Поиск пользователя в группе «wlan-gast»
rlm_ldap (ldap): Зарезервированное соединение (2)
(8) Выполнение нефильтрованного поиска в «», область «sub»
(8) Ожидание результата поиска …
(8) Указанный DN не найден
(8) Поиск не дал результатов
rlm_ldap (ldap): освобожденное соединение (2)
(8) если (LDAP-Group == «wlan-gast») -> ЛОЖЬ
(8) elsif (LDAP-Group == «wlan-kinder») {
(8) Поиск пользователя в группе «wlan-kinder»
rlm_ldap (ldap): Зарезервированное соединение (3)
(8) Выполнение нефильтрованного поиска в «», область «sub»
(8) Ожидание результата поиска…
(8) Указанный DN не найден
(8) Поиск не дал результатов
rlm_ldap (ldap): освобожденное соединение (3)
(8) elsif (LDAP-Group == «wlan-kinder») -> ЛОЖЬ
(8) else {
(8) обновить ответ {
(8) Тип туннеля = VLAN
(8) Туннельный средний-тип = IEEE-802
(8) Tunnel-Private-Group-Id = 999
(8)} # update reply = noop
(8)} # else = noop
(8) [exec] = нет
(8) policy remove_reply_message_if_eap {
(8) if (& reply: EAP-сообщение && & reply: Reply-сообщение) {
(8) если (& ответ: EAP-сообщение && & ответ: Ответное сообщение) -> ЛОЖЬ
(8) else {
(8) [noop] = noop
(8)} # else = noop
(8)} # policy remove_reply_message_if_eap = noop
(8)} # post-auth = noop
(8) Вход в систему ОК: [testgast / ] (с порта unifi клиента 0
cli 48-BF-6B-47-56-EC)
(8) Отправлен идентификатор доступа-принятия 156 из 192.168.127.37: с 1812 по
192.168.127.197:54036 длина 0
(8) MS-MPPE-Recv-Key =
0xdb66ce7a4780f479ecba8643b5408656d13b0affd455c45cc0598fb495e3815f
(8) MS-MPPE-Send-Key =
0x02dd275fc9cd169117139666b81da0fb40b3e280174c546b15de84688cb91d91
(8) EAP-сообщение = 0x03540004
(8) Message-Authenticator = 0x00000000000000000000000000000000
(8) Имя пользователя = «testgast»
(8) Тип туннеля = VLAN
(8) Туннельный-средний-тип = IEEE-802
(8) Tunnel-Private-Group-Id = «999»
(8) Завершенный запрос

(В приложении снова полная отладка.бревно)

Как видите, freeradius не выполняет корректный поиск в LDAP.
Запуск mnauelles с ldapsearch (как указано здесь
https://github.com/FreeRADIUS/freeradius-server/blob/master/raddb/mods-available/ldap)
приходит к следующему результату:

ldapsearch -D cn = radius-auth, cn = users, DC = home, DC = uhlmann, DC = world -w <<
секретный пароль >> -h pdc.home.uhlmann.world -b
‘CN = Пользователи, DC = домашний, DC = uhlmann, DC = мир’
‘(& (objectClass = user) (sAMAccountName = testgast) (memberOf = CN = wlan-gast, CN = Users, DC = home, DC = uhlmann, DC = world))’

# расширенный LDIF
#
# LDAPv3
# base с поддеревом области видимости
# фильтр:
(& (objectClass = user) (sAMAccountName = testgast) (memberOf = CN = wlan-gast, CN = Users, DC = home, DC = uhlmann, DC = world))
# запрос: ВСЕ
#

# testgast, Пользователи, home.uhlmann.world
dn: CN = testgast, CN = Users, DC = home, DC = uhlmann, DC = world
objectClass: наверх
objectClass: человек
objectClass: organizationPerson
objectClass: пользователь
cn: testgast
givenName: testgast
instanceType: 4
, когда Создан: 201

205554.0Z
displayName: testgast
uSN Создано: 13776
название: testgast
GUID объекта :: bd40XvQpbkSeX5icQ6HMwQ ==
badPwdCount: 0 Код
Страница: 0
странаKод: 0
badPasswordTime: 0
lastВыход: 0
lastLogon: 0
primaryGroupID: 513
objectSid :: AQUAAAAAAUVAAAA0HcQPtkCCXK + 0rCrrgUAAA == Аккаунт
Срок действия истекает: 9223372036854775807
вход в системуКоличество: 0
sAMAccountName: testgast
sAMAccountType: 805306368
userPrincipalName: [скрытый адрес электронной почты] Категория объекта:

CN = Person, CN = Schema, CN = Configuration, DC = home, DC = uhlmann, DC = wor
ld
userAccountControl: 66048
memberOf: CN = wlan-gast, CN = Users, DC = home, DC = uhlmann, DC = world
pwdLastSet: 131971360575227260
время блокировки: 0
lastLogonTimestamp: 131971360685327730
при изменении: 201
150748.0Z
uSN Изменено: 14549
отличительное имя: CN = testgast, CN = Users, DC = home, DC = uhlmann, DC = world

# результат поиска
поиск: 2
результат: 0 Успешно

# numResponses: 2
# numEntries: 1

Может ли кто-нибудь сказать мне, что я имею в виду и, возможно, где я
ошибка ложь?

Спасибо и привет

Кристиан


Показать информацию / подписаться / отказаться от подписки? См. Http: // www.freeradius.org/list/users.html

Microsoft NPS в качестве сервера RADIUS для сетей WiFi: динамическое назначение VLAN

Сервер политики сети Microsoft (NPS) часто используется в качестве сервера RADIUS для сетей Wi-Fi. Он может предоставлять услуги аутентификации и авторизации для пользователей в беспроводной сети.

В этой статье мы рассмотрим, как пользователи могут быть динамически назначены VLAN, которая соответствует их привилегиям учетной записи, с использованием атрибутов RADIUS, передаваемых обратно от NPS клиенту RADIUS (обычно контроллеру беспроводной локальной сети или точке доступа).

Этот метод назначения пользователя определенной VLAN на основе его учетных данных также известен как управление доступом на основе ролей (RBAC).

По мере роста беспроводных сетей, предоставляющих организациям все больше и больше услуг, практика создания нового SSID для каждой новой требуемой услуги вышла из моды, поскольку каждый SSID увеличивает накладные расходы на RF-среду, уменьшая доступную полосу пропускания для всех беспроводных сетей. Сервисы.

Лучшая практика с точки зрения количества SSID, которые должны быть доступны в вашей беспроводной сети, обычно составляет около 4 или 5 SSID максимум.Основная причина этого заключается в том, что каждый SSID постоянно передает 10 маяков в секунду, что, очевидно, довольно быстро увеличивается по мере добавления дополнительных SSID. Поскольку сети Wi-Fi являются конкурирующей средой (т.е. только один клиент или точка доступа могут использовать канал в любой момент времени), ваше доступное эфирное время может быть съедено маяками и снизить пропускную способность вашей беспроводной сети. Ответ состоит в том, чтобы использовать один и тот же SSID несколько раз для нескольких служб, назначая пользователей определенной VLAN на основе их уровня авторизации в сети.

Рассматривая простой пример, давайте рассмотрим школу, которая хочет использовать один и тот же SSID для учащихся и сотрудников. Учащимся может быть разрешен доступ к определенному набору систем (например, порталу школьной системы обучения и Интернету). Персонал может быть более привилегированным и иметь доступ к более широкому набору систем (например, обучающий портал, системы управления персоналом и Интернет). Ограничения для каждой группы доступа пользователей могут быть реализованы путем назначения пользователей в VLAN, которая имеет соответствующие ограничения доступа (например,грамм. К сетям VLAN могут быть применены списки контроля доступа или правила брандмауэра, которые разрешают трафику только этих сетей VLAN доступ к определенным системам).

С помощью Microsoft NPS можно определить, принадлежит ли пользователь к определенной группе пользователей AD (например, персонал или студенты), и принять первоначальное решение о предоставлении им доступа к сети.

Однако, кроме того, он также может передавать обратно информацию о том, каким пользователям VLAN в каждой группе разрешен доступ. Используя этот подход, вы можете начать видеть, как можно использовать NPS, чтобы разрешить пользователям с SSID проходить аутентификацию в беспроводной сети, но разрешить доступ только к авторизованным ресурсам, назначив их соответствующей VLAN (на основе их членства в группе AD). .

Пример конфигурации

Вот пример того, как вы можете настроить NPS для назначения пользователей VLAN на основе их группы пользователей, используя NPS для аутентификации и авторизации пользователей. Эта конфигурация будет работать для систем Cisco, Meru и Xirrus (она может работать и для других решений WiFi — это единственные решения, которые я тестировал).

Ключом к тому, чтобы это заработало, является использование элемента RADIUS, называемого «Tunnel-PVT-Group-ID».

Это атрибут RADIUS, который может быть передан обратно аутентификатору (т.е.е. WLC или AP) сервером аутентификации (то есть NPS), когда была достигнута успешная аутентификация. Есть несколько других элементов, которые должны сопровождать его, но это ключевой элемент, поскольку он определяет номер VLAN, к которому должен быть назначен пользователь.

Другие элементы, которые должен возвращать NPS:

.
  • Тип обслуживания: В рамке
  • Тип туннеля: VLAN
  • Туннель-Средний Тип: 802
  • Tunnel-PVT-Group-ID: <номер VLAN>

Мы рассмотрим, как мы указываем каждый из этих атрибутов в политике NPS.

В нашем примере мы назначим всех «штатных» пользователей VLAN 10, а всех «студентов» — VLAN 20.

Вот обзор того, как может выглядеть сеть (это, очевидно, очень упрощено, но дает обзор того, что может быть достигнуто):


VLAN 10 имеет ACL (список управления доступом), который позволяет пользователям этой VLAN получать доступ ко всем системам в школьной сети. ACL обычно настраивается на коммутаторе или маршрутизаторе уровня 3, который соединяет школьные сети VLAN)

VLAN 20 имеет ACL, который разрешает доступ только к VLAN обучающей системы и службам, связанным с Интернетом.

Изучив приведенный выше пример, вы можете увидеть, что если мы можем управлять назначением пользователей VLAN на основе их членства в группе AD, мы можем гарантировать, что они получат только тот сетевой доступ, на который они имеют право (исключительно через членство в группе AD). Также обратите внимание, что все это делается для одного SSID (в данном случае «Школа»).

Теперь посмотрим, как добиться этого с помощью NPS.

Конфигурация NPS

Чтобы настроить NPS для предоставления назначений VLAN, описанных выше, мы создадим 2 политики в NPS:

  • School Wireless — Персонал (назначенным членам группы AD в VLAN 10)
  • School Wireless — учащиеся (для назначения членов группы AD учащихся в VLAN 20)

На снимках экрана ниже показана необходимая конфигурация.Вот экран сводки политики в NPS. Обратите внимание, что при настройке нескольких политик важен порядок политик. Политики оцениваются сверху вниз, поэтому убедитесь, что политики, которые необходимо выполнить, включены и находятся над всеми отключенными политиками.

Кадровая политика

1. Создайте политику и включите ее:

2. Добавьте тип NAS и условия членства в группе AD (должны быть членами группы персонала):

3. Выберите и настройте тип EAP (обратите внимание, что это может быть PEAP или EAP-TLS — мы показали PEAP только в качестве примера)



4.Настройте параметры этой политики, чтобы назначить всех пользователей, соответствующих этой политике, на VLAN 10:

.

Политика в отношении студентов

1. Создайте политику и включите ее:

2. Добавьте тип NAS и условия членства в группе AD: (в соответствии с этой политикой должны быть членами группы студентов)

3. Выберите и настройте тип EAP (обратите внимание, что это может быть PEAP или EAP-TLS — мы показали PEAP только в качестве примера)



4.Настройте параметры этой политики, чтобы назначить всех пользователей, соответствующих этой политике, на VLAN 20:

.

После того, как NPS настроен с политиками, аналогичными показанным выше, пользователи могут быть динамически назначены соответствующей VLAN на основе их членства в группе AD.

Как мы уже обсуждали, это дает большие преимущества в снижении дополнительных накладных расходов, связанных с несколькими SSID в сети Wi-Fi. Кроме того, он упрощает управление беспроводной связью пользователей, позволяя настраивать для всех пользователей один профиль беспроводного клиента, а их доступ настраивается через Microsoft AD.

При попытке использовать этот метод следует обратить внимание на одно предостережение: все пользователи должны использовать одни и те же механизмы безопасности для присоединения к SSID. Например, все пользователи должны использовать 802.1x (EAP) — вы не можете использовать одновременно устройства с аутентификацией PSK и 802.1x с одним и тем же SSID. Как правило, они также должны использовать ту же версию WPA (например, WPA или WPA2).

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *