Аутентификация при доступе к сети
Материал из Xgu.ru
- Автор: Наташа Самойленко
На этой странице описаны различные методы аутентификации при подключении к сети. Описана общая информация о методах, основные принципы их работы. Более подробная информация о каждом методе находится на соответствующих страницах.
Кроме того, на этой странице описаны те настройки и принципы работы, которые одинаковы для всех методов аутентификации и особенности взаимодействия различных методов между собой.
[править] Настройка аутентификации при доступе к сети на коммутаторах ProCurve
Аутентификация клиентов с использованием 802.1x требует установки на компьютерах supplicant. Это не всегда возможно, поэтому коммутаторы ProCurve поддерживают два альтернативных варианта аутентификации клиентов на портах коммутатора — MAC- и Web-аутентификацию. Эти методы не требуют установки дополнительного программного обеспечения на компьютер клиента.
На интерфейсе с включенной Web- или MAC-аутентификацией, коммутатор выполняет роль аутентификатора используя RADIUS-сервер и протокол CHAP.
Некоторый трафик от коммутатора к неавторизованному клиенту разрешен до прохождения аутентификации (например, широковещательный или unknown unicast).
Просмотр текущих настроек Web-, MAC- и 802.1X аутентификации на коммутаторе:
sw(config)# sh port-access config Port Access Status Summary Port-access authenticator activated [No] : Yes Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No Supplicant Authenticator Web Auth Mac Auth Port Enabled Enabled Enabled Enabled ---- ---------- ------------- -------- -------- 1 No No No No 2 No No No No 3 No No No No 4 No No No No 5 No Yes No No 6 No Yes No No 7 No Yes No No 8 No Yes No No 9 No No Yes No 10 No No Yes No 11 No No Yes No 12 No No Yes No 13 No No No Yes 14 No No No Yes 15 No No No Yes 16 No No No Yes 17 No No No No 18 No No No No
[править] Одновременное использование различных методов аутентификации
Правила совместного использования различных методов аутентификации:
- MAC-аутентификация, Web-аутентификация и 802.1X аутентификация могут быть включены на одних и тех же портах;
- Если на коммутаторе на одном порту настроена 802.1X и MAC- или 802.1X и Web-аутентификация, то максимальное количество клиентов на порту на оба метода — 32.
[править] Общие настройки для различных методов аутентификации
[править] Настройка параметров взаимодействия с сервером аутентификации
Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:
switch(config)# ip source-interface <radius|tacacs|syslog> <loopback <id>|vlan <vlan-id> address <ip-address>>
Просмотр информации о source-interface:
switch# show ip source-interface status
[править] Настройка параметров RADIUS-сервера
Настройка RADIUS-сервера:
switch(config)# radius-server host 10.0.1.1 key procurve
Минимальная настройка, которую необходимо выполнить это указание адреса RADIUS-сервера. Задание ключа является обязательным только если он указан на RADIUS-сервере.
Проверка работы RADIUS-сервера:
switch(config)# show radius switch(config)# show radius authentication switch(config)# show radius accounting switch(config)# show radius host 10.0.1.1
[править] Блокировка трафика до прохождения аутентификации
Эта настройка относится к:
- Web-аутентификации,
- MAC-аутентификации,
- 802.1X.
Указать какой трафик будет заблокирован пока компьютер не прошел аутентификацию:
switch(config)# aaa port-access <port-list> controlled-directions <both | in>
- <both> — входящий и исходящий трафик заблокированы (значение по умолчанию);
- <in> — входящий трафик заблокирован до тех пор, пока компьютер не пройдет аутентификацию. Исходящий трафик с неизвестным адресом получателя будет отправляться и через неаутентифицированные порты.
Просмотр текущих настроек контроля трафика:
switch# show port-access <web-based | authenticator> config
[править] Параметры и таймеры аутентификации
Для всех методов аутентификации используется несколько параметров и таймеров. Их настройки немного отличаются в различных методах, но их назначение одинаково для всех методов аутентификации.
- Управление аутентифицированной сессией:
- reauth-period -- после указанного периода времени от момента прохождения аутентификации, клиент будет реаутентифицирован. Если установить этот интервал в 0, то реаутентификация будет отключена. По умолчанию 300 секунд, для 802.1X -- 0 секунд;
- logoff-period -- сессия будет прервана после того как клиент будет неактивен указанный период времени. По умолчанию 300 секунд;
- Недоступен RADIUS-сервер:
- server-timeout -- время в течении которого коммутатор ждет ответа от RADIUS-сервера. После истечения таймера выполняется количество попыток до достижения значения max-requests. После этого аутентификация считается time-out. По умолчанию 30 секунд;
- max-requests -- сколько раз коммутатор будет пытаться аутентифицировать сессию на конкретном RADIUS-сервере, прежде чем аутентификация будет считаться time-out. По умолчанию 2;
- Неуспешная аутентификация (например, неправильно введены имя пользователя или пароль):
- max-retries -- сколько раз клиент может попытаться пройти аутентификацию. По умолчанию 3;
- quiet-period -- период времени в течении которого коммутатор не обрабатывает новые запросы на аутентификацию от клиента, после того как он не прошел аутентификацию. По умолчанию 60 секунд.
[править] Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Для всех методов аутентификации используется одинаковый приоритет при назначении порта в VLAN. Отличаются команды задания номера авторизованного VLAN на коммутаторе, они указаны в соответствующих разделах.
Коммутатор назначает порт в VLAN по результатам успешной аутентификации (по приоритету в порядке убывания):
- VLAN полученный от RADIUS-сервера;
- Авторизованный VLAN настроенный на коммутаторе;
- Статический VLAN заданный на этом порту.
[править] 802.1X аутентификация
Базовая настройка 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 10.0.1.1 key procurve aaa authentication port-access eap-radius !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip source-interface radius vlan 2 address 10.0.2.100 !Включение 802.1X на интерфейсах: aaa port-access authenticator 1-12 !Включение аутентификацию 802.1X на коммутаторе: aaa port-access authenticator active
- Основная страница: 802.1X в ProCurve
[править] MAC-аутентификация
MAC-аутентификация — метод аутентификации, который предоставляет доступ в сеть, аутентифицируя компьютер, а не пользователя. Когда компьютер подключается к коммутатору (непосредственно или через другой коммутатор), коммутатор отправляет MAC-адрес компьютера на RADIUS-сервер для прохождения аутентификации.
Коммутатор отправляет на RADIUS-сервер, вместо имени пользователя и пароля, MAC-адрес компьютера. Соответственно в базе данных пользователей должен быть пользователь с именем — MAC-адрес компьютера и паролем — MAC-адрес компьютера.
От клиента не требуется никаких действий и на компьютере клиента не нужны никакие дополнительные настройки. Коммутатор сам запоминает MAC-адрес и отправляет запрос на RADIUS-сервер.
Несмотря на то, что клиент не вводит имя пользователя и пароль, в базе данных пользователей обязательно надо создать соответствующих пользователей.
MAC-аутентификация может применяться для таких устройств как принтеры, сервера.
- Основная страница: MAC-аутентификация в ProCurve
[править] Web-аутентификация
Web-аутентификация — метод аутентификации, который предоставляет доступ в сеть аутентифицируя пользователя через веб-интерфейс. Не требует установки дополнительного программного обеспечения, для аутентификации клиенту нужен только браузер.
Если на порту включена Web-аутентификация, то клиент не может использовать прокси-сервер в браузере.
- Основная страница: Web-аутентификация в ProCurve
[править] Взаимодействие с другими функциями
Если порт настроен на аутентификацию 802.1X, то на том же порту:
- функция Port Security может быть настроена только в режиме port-access или continuous;
- функция MAC Lockdown не может быть настроена на том же порту.
Если порт настроен на Web- или MAC-аутентификацию, то на том же порту не должны быть включены функции с более высоким приоритетом (функции в порядке убывания приоритета):
- MAC Lockout
- MAC Lockdown или Port Security
- 802.1X, Web- или MAC-аутентификация
[править] Настройка аутентификации при доступе к сети на коммутаторах Cisco
[править] 802.1X аутентификация
- Основная страница: 802.1X в Cisco
[править] Дополнительная информация
- [1] -- настройка аутентификации на коммутаторах ProCurve, настройка FreeRADIUS.
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |
[править] Материалы по контролю доступа в сеть на Xgu.ru
- RADIUS
- DIAMETER
- 802.1X
- EAP
- 802.1X и RADIUS — детальное описание процедуры настройки коммутатора на использование 802.1X и RADIUS
- NAC
- ProCurve NAC 800 — контроллер доступа в сеть от ProCurve
- FreeNAC — свободная программная реализация NAC-контроллера
- Полигон по ProCurve NAC в УЦ Сетевые Технологии