802.1X и RADIUS
Материал из Xgu.ru
- Автор: Наташа Самойленко
- Автор: Игорь Чубин
- Короткий URL: 802.1X_RADIUS
На этой странице рассматривается как организовать аутентификацию при доступе к порту коммутатора, поддерживающего стандарт 802.1X. Описываются настройки коммутаторов, а также собственно клиентских машин, которые будут осуществлять доступ в сеть. Рассмотрены случаи, когда аутентификация выполняется для хоста под управлением Windows XP, Linux, на котором запущен Xsupplicant, и Mac OS X.
Протокол RADIUS, его устройство, а также процедура инсталляции и конфигурирования RADIUS-сервера рассматривается на другой странице.
Содержание |
[править] Задачи
- Протокол RADIUS
- Обзор доступных RADIUS-серверов с открытым исходным кодом
- Инсталляция и настройка RADIUS-сервера FreeRADIUS
- Web-интерфейс RADIUS-сервера
- Организация PPPoE сервера с аутентификацией через RADIUS
- Совместное использование Active Directory и RADIUS-сервера FreeRADIUS
- Организация доступа к портам коммутатора с помощью 802.1X и RADIUS (802.1X RADIUS)
- Настройка XSupplicant
[править] Основные понятия
AAA (authentication, authorization, accounting) — это набор сервисов сетевой безопасности, которые определяют подход для организации контроля доступа к сети.
Authentication (аутентификация) — процеcс подтверждения пользователем своей подлиности, подтверждения того, что пользователь запрашивающий сервис легитимный пользователь системы (в системе существует учетная запись для этого пользователя). Аутентификация может осуществляться по паролю, смарт-карте, сертификату и др.
Authorization (авторизация) — определяет какие сервисы будут доступны или какие сервисы будут запрещены пользователю прошедшему аутентификацию.
Accounting (учёт) — слежение за потреблением сетевых ресурсов пользователем.
EAP (Extensible Authentication Protocol) — протокол определяющий подход к процедуре аутентификации (не определяет конкретный механизм аутентификации). На основе этого подхода могут быть реализованы различные механизмы аутентификации, называемые методы EAP. EAP определяет формат сообщений, а каждый протокол использующий EAP определяет способ инкапсуляции сообщений EAP в свой формат.
EAPOL (EAP over LANs) — протокол определяющий способ инкапсуляции, который позволяет передавать пакеты EAP между supplicant и аутентификатором в локальных проводных сетях.
PAE (Port Access Entity) — отвечает за выполнение алгоритмов и протоколов.
[править] Настройка коммутатора Cisco для работы аутентификатором
Базовая настройка 802.1X на интерфейсе fa0/1 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 192.168.1.3 radius-server key radiuskey !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip radius source-interface Loopback0 !Включение ААА: aaa new-model !Настройка аутентификации: aaa authentication dot1x default group radius !Включение аутентификации 802.1X на коммутаторе: dot1x system-auth-control !Включение 802.1X на интерфейсе: interface FastEthernet0/1 dot1x port-control auto
- Основная страница: 802.1X в Cisco
[править] Настройка коммутатора HP ProCurve для работы аутентификатором
Базовая настройка 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 10.0.1.1 key procurve aaa authentication port-access eap-radius !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip source-interface radius vlan 2 address 10.0.2.100 !Включение 802.1X на интерфейсах: aaa port-access authenticator 1-12 !Включение аутентификацию 802.1X на коммутаторе: aaa port-access authenticator active
- Основная страница: 802.1X в ProCurve
[править] Настройка клиента
[править] Windows
Пример для EAP-авторизации из FreeRADIUS Wiki
[править] Настройка Windows XP
[править] Настройки аутентификации пользователя
[править] Настройки аутентификации компьютера
[править] Linux
[править] XSupplicant
Xsupplicant - это open source supplicant, который позволяет клиенту проходить аутентификацию на RADIUS-сервере используя 802.1X и EAP (Extensible Authentication Protocol). Может быть использован для проводных и беспроводных сетей.
[править] Установка XSupplicant
[править] Настройка XSupplicant
[править] Mac OS X
[править] Настройка коммутатора HP ProCurve для работы supplicant
Коммутатор HP ProCurve может работать как аутентификатор на одних портах и как supplicant на других.
Включить порт для работы supplicant:
switch(config)# aaa port-access supplicant 10
Настроить имя пользователя и пароль, которые будут использоваться для аутентификации этого коммутатора:
switch(config)# aaa port-access supplicant 10 identity sw_1 secret
После выполнения команды необходимо будет дважды ввести пароль.
[править] Приложение. Конфигурационные файлы
(для какого случая. нужно написать)
[править] Пример конфигурации коммутатора Cisco
Пример конфигурации коммутатора:
! version 12.2 ! hostname Switch ! ! aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius ! ! ! dot1x system-auth-control ! interface FastEthernet0/1 switchport access vlan 90 switchport mode access dot1x port-control auto dot1x reauthentication dot1x guest-vlan 20 dot1x auth-fail vlan 50 ! ! interface FastEthernet0/11 switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! ! radius-server host 192.168.1.3 auth-port 1645 acct-port 1646 radius-server source-ports 1645-1646 radius-server key radiuskey !
[править] Дополнительная информация
- Как я настраивал IEEE 802.1X for Wired Networks (VLAN Assignment ) (рус.)
- Configuring Cisco IOS Easy VPN Remote with 802.1x Authentication (англ.)
- RFC 3580 - IEEE 802.1X RADIUS Usage Guidelines (англ.)
- Configure IEEE 802.1X Authentication with Catalyst 6500/6000 Running Cisco IOS Software (англ.)
- Authentication Configuration Guide - 802.1X (англ.)
- Подробные инструкции по настройке сетевой карты и установке сертификатов для клиентов под управлением Windows XP (англ.)
Supplicant:
[править] Материалы по контролю доступа в сеть на Xgu.ru
- RADIUS
- DIAMETER
- 802.1X
- EAP
- 802.1X и RADIUS — детальное описание процедуры настройки коммутатора на использование 802.1X и RADIUS
- NAC
- ProCurve NAC 800 — контроллер доступа в сеть от ProCurve
- FreeNAC — свободная программная реализация NAC-контроллера
- Полигон по ProCurve NAC в УЦ Сетевые Технологии
| VLAN - Virtual Local Area Network | |
|---|---|
| Стандарты, протоколы и основные понятия | 802.1Q • VLAN ID • ISL • VTP • GVRP • Native VLAN |
| В операционных системах |
 Linux (Debian, Ubuntu, CentOS) •  FreeBSD •  Windows |
| В сетевом оборудовании |
 Cisco •  HP ProCurve • D-LINK • Allied Telesis • Asotel • Juniper •  ExtremeXOS |
| Разное | man vconfig • Безопасность VLAN • 802.1X и RADIUS • Cisco Private VLAN |
| ProCurve | ||
|---|---|---|
| Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless |  |
| Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
| Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
| Настройка | ||
| Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
| Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
| Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
| Разное | Опция 82 DHCP | SNMP в ProCurve | |
