• Аутентификация пользователей

Аутентификация пользователей проводится с использованием стандарта 802.1Х. Основным механизмом аутентификации являются сертификаты, подписанные корпоративным удостоверяющим центром на базе Windows Server.

 Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL(Extensible Authentication Protocol Over LAN) и только после успешной аутентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X. Состояние порта в этом случае остается помеченным как неавторизованное. Если клиент успешно проходит проверку, то порт переходит в авторизованное состояние. Аутентификация начинается, когда на порту устанавливается физическое соединение или, когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслировать кадры аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят с сервера специальный кадр — accept frame), порт коммутатора переходит в авторизованное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответа от сервера через определённый отрезок времени — аутентификация не проходит. При отключении клиент посылает кадр EAPOL-logoff, что переводит порт в неавторизованное состояние.

Пример настройки:

Установить службу IAS. Открыть оснастку Internet Authentication Service и создать новую политику удаленного доступа (Remote Access Policies -> RClick -> New Remote Access Policy). В открывшемся окне Select Attribute выбираем Authentication Type и добавляем CHAP, критерий – принадлежность пользователей к ранее созданной группе созданной ранее в AD. Выбираем пункт Windows-Groups, добавляем эту группу. И самое главное – выбираем атрибут “Service-Type” = Login для пользовательского и Administrative – для привилегированного доступа: В завершение мастера, выбираем пункт “Grant remote access permission” Теперь необходимо создать учетные записи для устройств, к которым будет выдаваться доступ. Для этого в оснастке IAS выбираем пункт RADIUS Clients -> RClick -> New RADIUS Client, в появившемся окне вводим дружественное имя, например Switch1 и IP адрес устройства, жмем Next, выбираем “Client-Vendor” = “Cisco”, вводим ключ для аутентификации RADIUS сервера и клиента (рис. 4). Настройка со стороны IAS завершена, переходим к настройке сетевых устройств.

Пример настройки сетевого устройства Cisco:

!включаем шифрование паролей service password-encryption !задаем пароль для привилегированного режима enable secret ******* username recover password ********* ! Включаем ААА aaa new-model !Необязательно. Баннер о том, что это закрытая система. aaa authentication banner ^ Access only for persons explicitly authorized. All rights reserved. ^ !Сообщение на случай неуспешной аутентификации. Полезно при отладке aaa authentication fail-message ^ Authentication failed ^ !Создаем профиль аутентификации !Не забываем как резервный указать локальный способ аутентификации aaa authentication login login-RADIUS group radius local !Создаем профиль авторизации. aaa authorization exec auth-RADIUS-exec group radius local !По умолчанию клиент ААА трижды пытается авторизоваться через RADIUS. !Чтобы не блокировать учетные записи в AD, ставим 1 попытку radius-server retransmit 1 !Указываем наш RADUIS сервер radius-server host 10.0.0.2 !Задаем ключ для шифрования radius-server key SupErkEy ! ! Включаем созданные профили для виртуальных консолей line vty 0 15 exec-timeout 15 0 login authentication login-RADIUS authorization exec auth-RADIUS-exec timeout login response 180 no password

Настройка завершена. Отладка: