Самый безопасный вариант настройки этого протокола - это использовать сертификаты при аутентификации компьютеров и пользователей.

В этом случае администратор должен обеспечить следующие настройки:

настройку Центра сертификации;

настройку службы каталогов;

настройку службы RADIUS;

настройку клиентского компьютера;

настройку коммутатора.

Для аутентификации по протоколу 802.1х вам необходимо, чтобы, во-первых, клиенты имели соответствующие сертификаты, во-вторых, сертификат должен получить RADIUS-сервер.

Выдача сертификатов компьютерам Часто для компьютеров, входящих в домен, удобно настроить автоматическую выдачу сертификатов. Это делается с помощью групповой политики путем настройки Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Параметры автоматического запроса сертификатов | Создать необходимый автоматический запрос.

RADIUS-серверу необходим специальный сертификат, который можно использовать при аутентификации по протоколу 802.1х. Этот сертификат могут выдать только центры сертификации, установленные на Enterprise-версии Windows-сервера. Их необходимо сначала опубликовать в центре сертификации, а затем сервере, на котором запущена служба IAS, открыть оснастку управления сертификатами локального компьютера с правами соответствующей учетной записи и запросить сертификат данного типа. После выполнения операции следует проверить наличие сертификата в соответствующем контейнере (рис. 9.7).

Публикация шаблона сертификата RADIUS-сервера

Рис. 9.7. Публикация шаблона сертификата RADIUS-сервера.

Для использования в протоколе 802.1 х аутентификации на основе сертификатов сервер IAS должен получить специальный сертификат, который по умолчанию не опубликован в Центре сертификации Настройка службы каталогов При подключении по протоколу 802.1х аутентифицироваться могут как компьютеры (их учетные записи в домене), так и сами пользователи. Политики подключения

RADIUS-сервера проверяют членство соответствующих учетных записей в группах безопасности. Поэтому для предоставления права доступа создайте в службе каталогов соответствующие группы безопасности и включите в них требуемые объекты.

Кроме того, не забудьте включить опцию разрешения входящих звонков для соответствующих учетных записей (в том числе и компьютеров).

Настройка службы RADIUS

Компьютер со службой IAS (реализация службы RADIUS в Windows) должен входить в специальную группу безопасности домена, чтобы иметь доступ к параметрам учетных записей. Эта операция выполняется путем авторизации службы в ее меню.

Настройка компьютера с IAS предполагает настройку клиентов и создание политик удаленного доступа.

Клиент - это коммутатор, который запрашивает у сервера RADIUS разрешения на включение порта. Каждый клиент должен быть зарегистрирован на RADIUS -сервере. Для этого необходимо ввести его IP-адрес и ключ. Ключ - это пароль, который должен быть одинаковым в настройках IAS и клиента. Рекомендуется для каждого клиента выбирать его уникальным и достаточно сложным - длиной более 20 символов; ключ вводится всего в двух конфигурациях и практически не меняется в процессе работы.

Возможность получения клиентом аутентификации от службы IAS всецело определяется политиками удаленного доступа. Обычно таких политик достаточно много (для различных вариантов подключения); они просматриваются по очереди, пока запрос клиента не совпадет с какой-либо из них.

Политику удаленного доступа следует создавать при помощи мастера создания политик, указывая вариант Ethernet и вводя на запрос о группах Windows названия групп, которым предоставлено право доступа.

В результате служба IAS будет проверять членство компьютера или пользователя в соответствующей группе. Если проверка выполнится успешно, то коммутатор получит соответствующее разрешение на открытие порта.

Настройка автоматического назначения VLAN для порта коммутатора Многие коммутаторы имеют возможность назначить порт в тот или иной VLAN в соответствии с данными аутентификации. Для этого данные от службы IAS должны возвращать соответствующие параметры. Покажем, как это сделать.

После создания политики удаленного доступа откройте ее свойства и нажмите клавишу редактирования профиля. Выберите вкладку Дополнительно (рис. 9.8) и добавьте следующие три атрибута:

Tunnel-Medium-Type со значением 802 (includes all 802 media plus Ethernet canonical format);

Tunnel-Pvt-Group-ID со значением номера VLAN, в которую должен быть помещен порт в случае удачной аутентификации (на рисунке выбрана VLAN с номером 20);

Tunnel-Type со значением Virtual LANs.

При получении запроса служба последовательно проверит соответствие его данных имеющимся политикам удаленного доступа и возвратит первое удачное совпадение или отказ.

Настройка атрибутов, используемых для автоматического назначения порта коммутатора в VLAN

Рис. 9.8. Настройка атрибутов, используемых для автоматического назначения порта коммутатора в VLAN

Настройка клиентского компьютера Для использования протокола 802.1х при подключении к локальной сети на компьютере должна быть запущена служба Беспроводная настройка. Только в этом случае в свойствах сетевого подключения появится третья вкладка, определяющая настройки протокола 802.1х (рис. 9.9). По умолчанию настройки предполагают использование для аутентификации именно сертификатов, так что никаких изменений данных параметров не требуется.

СОВЕТ Проще всего настроить данную службу на режим автоматического запуска с использованием групповой политики. Для этого следует открыть Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Системные службы и указать для службы Беспроводная настройка вариант автоматического запуска.

Окно настройки протокола 802

Рис. 9.9. Окно настройки протокола 802.1 х на клиенте Следующим шагом необходимо проверить наличие сертификата, на основании которого предполагается осуществить открытие порта коммутатора. Для этого нужно открыть консоль управления сертификатами, обратив внимание на выбор правильного контейнера для просмотра. Так, если предполагается аутентифицировать компьютер, следует просматривать контейнер Локальный компьютер.

Настройка коммутатора Настройки коммутаторов отличаются для различных вендоров. Приведем в качестве примера вариант настройки коммутатора Cisco.

В данном примере использованы настройки по умолчанию для портов службы RADIUS, не включены параметры повторной аутентификации и некоторые другие. Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство не поддерживает протокол 802.1х) определена VLAN с номером 200, а в случае неудачной аутентификации устройство будет работать в VLAN с номером 201.

Сначала в конфигурации коммутатора создается новая модель аутентификации, указывающая на использование службы RADIUS:

aaa new-model

aaa authentication login default group radius aaa authentication dotlx default group radius aaa authorization network default group radius

Далее включается режим использования протокола 802.1х и определяются параметры RADIUS-сервера:

dotlx system-auth-control

radius-server host <1Р-адрес> key хххххххххххх После чего для каждого интерфейса настраивается использование протокола 802.1x. В качестве примера выбран порт номер 11:

interface GigabitEthernet0/11 switchport mode access dot1x port-control auto dot1x guest-vlan 200 dot1x auth-fail vlan 201

Этих настроек достаточно, чтобы использовать на коммутаторе аутентификацию по протоколу 802.1х.

Особенности применения протокола 802.1х | Самоучитель системного администратора | Технология nap


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс