Сравнение версий

Старая версия 2

changes.mady.by.user Климкин Евгений Сергеевич

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Климкин Евгений Сергеевич

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Оглавление

Описание

MAC authentication bypass (MAB) используется для аутентификации устройств (эндпоинтов) не поддерживающих протокол проверки подлинности 802.1x. Это могут сетевые принтеры, камеры, IP-телефоны и другие подобные устройства. MAB аутентификация основывается на MAC-адресе эндпоинта, который хочет получить доступ в сеть. Сетевое устройство (аутентификатор), к которому выполняется подключение самостоятельно определяет MAC-адрес подключающегося эндпоинта и формирует RADIUS запрос для выполнения аутентификации.

Требования к сетевому оборудованию, на котором будет выполняться MAB аутентификация

Сетевое оборудование (аутентификатор), к которое выполняет аутентификацию MAB должно поддерживать:

  1. Протокол RADIUS для выполнения MAB аутентификации.
  2. Передавать в RADIUS запросе аутентификации атрибуты:
    • User-Name, содержащий MAC-адрес эндпоинта.
    • User-Password. В качестве пароля может использоваться MAC-адрес эндпоинта или предустановленный пароль: это зависит от реализации функционала на оборудовании вендором.
    • NAS-IP-Address.
    • Calling-Station-Id, содержащий MAC-адрес эндпоинта.
    • Acct-Session-Id - уникальный идентификатор сессии подключения.
    • NAS-Port-Type.
    • Service-Type.
  3. Поддерживать протокол проверки пароля при выполнении MAB аутентификации PAP или EAP-MD5.

Настройка

Для работы функционала требуется настроить взаимодействие сетевого устройства с NAICE и включить MAC аутентификацию.

Настройка коммутатора

Далее приведен пример настройки коммутатора Eltex модели MES2300-24. Предполагается что на коммутаторе уже настроен IP-адрес и обеспечена сетевая связность с сервером NAICE. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.

...

Блок кода
languagebash
interface GigabitEthernet 1/0/1 
  dot1x authentication mac
  dot1x port-control auto

Настройка NAICE

Встроенная документация

Для каждой страницы можно просмотреть подробную информацию для всех настроек во встроенной документации. Для этого надо нажать на кнопку в верхнем правом углу страницы:

...

Страница встроенной документации откроется в отдельном окне.

Настройка сетевого профиля устройства

Профиль сетевого устройства определяет возможные настройки сетевого оборудования для взаимодействия с NAICE и должен соответствовать реальным функциональным возможностям сетевого оборудования.

...

Нажать внизу справа кнопку Сохранить.

Добавление сетевого устройства

В разделе Администрирование → Сетевые ресурсы → Устройства добавить сетевое устройство:

...

  • Имя - название устройства;
  • Профиль - выбрать ранее настроенный профиль устройства Eltex MES;
  • IPv4 - указать адрес сетевого устройства;
  • Секретный ключ - секретный ключ для взаимодействия по протоколу RADIUS (в данном примере testing123).

Нажать кнопку Сохранить.

Добавление цепочки идентификации для подключения эндпоинтов при выполнении MAB-аутентификации

Для проверки MAB-аутентификации необходимо использовать внутренний источник Endpoints. По умолчанию данный источник не используется ни в одной цепочке идентификаций. Он может быть добавлен в предустановленную цепочку Default sequence или может быть создана новая. В данном примере будет создана новая цепочка идентификаций.

...

  • Имя - наименование цепочки идентификации.
  • Список источников аутентификации - выбрать в подразделе Доступные источник Endpoints и перенести его в раздел Используемые.

Нажать Добавить.

Добавление групп эндпоинтов

Для добавления группы эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Группы эндпоинтов.

...

Раскрыть
titleПример добавленной группы эндпоинтов

Добавление эндпоинтов

Добавление эндпоинтов возможно автоматически или вручную. Автоматически изучении эндпоинтов происходит в ходе любой попытки аутентификации по протоколу RADIUS. Значение MAC-адреса извлекается из атрибута calling-station-id. Не выполняется изучение случайно сгенерированных (MAC randomization feature) MAC адресов. Если не настроено профилирование, то все автоматически изученные MAC-адреса попадают в группу Unknown.

...

  • MAC адрес - MAC-адрес эндпоинта.
  • Ручное назначение политики - не включать.
  • Ручное назначение группы - включить и выбрать необходимую группу, в которую будет помещен эндпоинт.

Нажать кнопку Добавить.

Настройка протокола аутентификации MAB

Возможность аутентификации MAB по умолчанию отключена. Необходимо явно разрешить использовать MAB-аутентификацию. Это можно сделать в предустановленном списке доступных протоколов Default protocols или создать новый. В данном примере будет создан новый список.

...

  • Наименование сервиса - наименование списка доступных протоколов;
  • MAC Authentication Bypass (MAB) - включить селектор.

Нажать кнопку Добавить.

Добавление и настройка политики

Учитывая гибкие возможности по настройке политик в NAICE, процесс MAC аутентификации может быть настроен с использованием различных условий. В данном примере приведена простейшая настройка.

Добавление политики в набор политик

В разделе Политики доступа → Наборы политик добавить политику:

...

После сохранения новой политики, в колонке Настройка справа станет доступна кнопка , по нажатию на которой будет выполнен переход в режим редактирования политики.

Настройка политики аутентификации

После перехода в режим редактирования ранее созданной политики MAB Auth в блоке Политика аутентификации:

...

Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации  Endpoints.

Настройка политики авторизации

Оставаясь в созданной ранее политике MAB Auth в блоке Политика авторизации добавить новую политику авторизации:

...

Предупреждение

В политике авторизации не следует использовать группу эндпоинтов по умолчанию Unknown - это приведет к возможности авторизации любых изученных эндпоинтов.

Проверка работы

Попытки подключения MAB выполняются на странице мониторинга в разделеМониторинг → RADIUS:

...

При необходимости можно нажать на значок в колонке Подробнее. В новом окне браузера откроется детальная информация о подключении:

Приложения

Как настроить определение MAB если сетевое оборудование не поддерживает отправку атрибута Service-Type

Для сетевого оборудования, которое не поддерживает отправку атрибута Service-Type при выполнении RADIUS-запросов есть предустановленный профиль устройства Profile for devices without service-type attribute.

...