Аутентификация при доступе к сети

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На этой странице описаны различные методы аутентификации при подключении к сети. Описана общая информация о методах, основные принципы их работы. Более подробная информация о каждом методе находится на соответствующих страницах.

Кроме того, на этой странице описаны те настройки и принципы работы, которые одинаковы для всех методов аутентификации и особенности взаимодействия различных методов между собой.

Содержание

[править] Настройка аутентификации при доступе к сети на коммутаторах ProCurve

Аутентификация клиентов с использованием 802.1x требует установки на компьютерах supplicant. Это не всегда возможно, поэтому коммутаторы ProCurve поддерживают два альтернативных варианта аутентификации клиентов на портах коммутатора — MAC- и Web-аутентификацию. Эти методы не требуют установки дополнительного программного обеспечения на компьютер клиента.

На интерфейсе с включенной Web- или MAC-аутентификацией, коммутатор выполняет роль аутентификатора используя RADIUS-сервер и протокол CHAP.

Некоторый трафик от коммутатора к неавторизованному клиенту разрешен до прохождения аутентификации (например, широковещательный или unknown unicast).

Просмотр текущих настроек Web-, MAC- и 802.1X аутентификации на коммутаторе:

sw(config)# sh port-access config

 Port Access Status Summary

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

       Supplicant Authenticator Web Auth Mac Auth
  Port Enabled    Enabled       Enabled  Enabled 
  ---- ---------- ------------- -------- --------
  1    No         No            No       No      
  2    No         No            No       No      
  3    No         No            No       No      
  4    No         No            No       No      
  5    No         Yes           No       No      
  6    No         Yes           No       No      
  7    No         Yes           No       No      
  8    No         Yes           No       No      
  9    No         No            Yes      No      
  10   No         No            Yes      No      
  11   No         No            Yes      No      
  12   No         No            Yes      No      
  13   No         No            No       Yes     
  14   No         No            No       Yes     
  15   No         No            No       Yes     
  16   No         No            No       Yes     
  17   No         No            No       No      
  18   No         No            No       No  

[править] Одновременное использование различных методов аутентификации

Правила совместного использования различных методов аутентификации:

  • MAC-аутентификация, Web-аутентификация и 802.1X аутентификация могут быть включены на одних и тех же портах;
  • Если на коммутаторе на одном порту настроена 802.1X и MAC- или 802.1X и Web-аутентификация, то максимальное количество клиентов на порту на оба метода — 32.


[править] Общие настройки для различных методов аутентификации

[править] Настройка параметров взаимодействия с сервером аутентификации

Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:

switch(config)# ip source-interface <radius|tacacs|syslog> <loopback <id>|vlan <vlan-id> address <ip-address>>

Просмотр информации о source-interface:

switch# show ip source-interface status
[править] Настройка параметров RADIUS-сервера

Настройка RADIUS-сервера:

switch(config)# radius-server host 10.0.1.1 key procurve

Минимальная настройка, которую необходимо выполнить это указание адреса RADIUS-сервера. Задание ключа является обязательным только если он указан на RADIUS-сервере.

Проверка работы RADIUS-сервера:

switch(config)# show radius
switch(config)# show radius authentication
switch(config)# show radius accounting
switch(config)# show radius host 10.0.1.1


[править] Блокировка трафика до прохождения аутентификации

Эта настройка относится к:

  • Web-аутентификации,
  • MAC-аутентификации,
  • 802.1X.

Указать какой трафик будет заблокирован пока компьютер не прошел аутентификацию:

switch(config)# aaa port-access <port-list> controlled-directions <both | in>
  • <both> — входящий и исходящий трафик заблокированы (значение по умолчанию);
  • <in> — входящий трафик заблокирован до тех пор, пока компьютер не пройдет аутентификацию. Исходящий трафик с неизвестным адресом получателя будет отправляться и через неаутентифицированные порты.

Просмотр текущих настроек контроля трафика:

switch# show port-access <web-based | authenticator> config

[править] Параметры и таймеры аутентификации

Для всех методов аутентификации используется несколько параметров и таймеров. Их настройки немного отличаются в различных методах, но их назначение одинаково для всех методов аутентификации.

  • Управление аутентифицированной сессией:
    • reauth-period -- после указанного периода времени от момента прохождения аутентификации, клиент будет реаутентифицирован. Если установить этот интервал в 0, то реаутентификация будет отключена. По умолчанию 300 секунд, для 802.1X -- 0 секунд;
    • logoff-period -- сессия будет прервана после того как клиент будет неактивен указанный период времени. По умолчанию 300 секунд;
  • Недоступен RADIUS-сервер:
    • server-timeout -- время в течении которого коммутатор ждет ответа от RADIUS-сервера. После истечения таймера выполняется количество попыток до достижения значения max-requests. После этого аутентификация считается time-out. По умолчанию 30 секунд;
    • max-requests -- сколько раз коммутатор будет пытаться аутентифицировать сессию на конкретном RADIUS-сервере, прежде чем аутентификация будет считаться time-out. По умолчанию 2;
  • Неуспешная аутентификация (например, неправильно введены имя пользователя или пароль):
    • max-retries -- сколько раз клиент может попытаться пройти аутентификацию. По умолчанию 3;
    • quiet-period -- период времени в течении которого коммутатор не обрабатывает новые запросы на аутентификацию от клиента, после того как он не прошел аутентификацию. По умолчанию 60 секунд.

[править] Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации

Для всех методов аутентификации используется одинаковый приоритет при назначении порта в VLAN. Отличаются команды задания номера авторизованного VLAN на коммутаторе, они указаны в соответствующих разделах.

Коммутатор назначает порт в VLAN по результатам успешной аутентификации (по приоритету в порядке убывания):

  • VLAN полученный от RADIUS-сервера;
  • Авторизованный VLAN настроенный на коммутаторе;
  • Статический VLAN заданный на этом порту.

[править] 802.1X аутентификация

Базовая настройка 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 10.0.1.1 key procurve
aaa authentication port-access eap-radius

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip source-interface radius vlan 2 address 10.0.2.100

!Включение 802.1X на интерфейсах:
aaa port-access authenticator 1-12

!Включение аутентификацию 802.1X на коммутаторе: 
aaa port-access authenticator active
Основная страница: 802.1X в ProCurve

[править] MAC-аутентификация

MAC-аутентификация — метод аутентификации, который предоставляет доступ в сеть, аутентифицируя компьютер, а не пользователя. Когда компьютер подключается к коммутатору (непосредственно или через другой коммутатор), коммутатор отправляет MAC-адрес компьютера на RADIUS-сервер для прохождения аутентификации.

Коммутатор отправляет на RADIUS-сервер, вместо имени пользователя и пароля, MAC-адрес компьютера. Соответственно в базе данных пользователей должен быть пользователь с именем — MAC-адрес компьютера и паролем — MAC-адрес компьютера.

От клиента не требуется никаких действий и на компьютере клиента не нужны никакие дополнительные настройки. Коммутатор сам запоминает MAC-адрес и отправляет запрос на RADIUS-сервер.

Несмотря на то, что клиент не вводит имя пользователя и пароль, в базе данных пользователей обязательно надо создать соответствующих пользователей.

MAC-аутентификация может применяться для таких устройств как принтеры, сервера.

Основная страница: MAC-аутентификация в ProCurve

[править] Web-аутентификация

Web-аутентификация — метод аутентификации, который предоставляет доступ в сеть аутентифицируя пользователя через веб-интерфейс. Не требует установки дополнительного программного обеспечения, для аутентификации клиенту нужен только браузер.

Если на порту включена Web-аутентификация, то клиент не может использовать прокси-сервер в браузере.

Основная страница: Web-аутентификация в ProCurve

[править] Взаимодействие с другими функциями

Если порт настроен на аутентификацию 802.1X, то на том же порту:

  • функция Port Security может быть настроена только в режиме port-access или continuous;
  • функция MAC Lockdown не может быть настроена на том же порту.

Если порт настроен на Web- или MAC-аутентификацию, то на том же порту не должны быть включены функции с более высоким приоритетом (функции в порядке убывания приоритета):

  1. MAC Lockout
  2. MAC Lockdown или Port Security
  3. 802.1X, Web- или MAC-аутентификация

[править] Настройка аутентификации при доступе к сети на коммутаторах Cisco

[править] 802.1X аутентификация

Основная страница: 802.1X в Cisco

[править] Дополнительная информация

  • [1] -- настройка аутентификации на коммутаторах ProCurve, настройка FreeRADIUS.

[править] Материалы по контролю доступа в сеть на Xgu.ru