Описание

MAC authentication bypass (MAB) используется для аутентификации устройств (эндпоинтов) не поддерживающих протокол проверки подлинности 802.1x. Это могут сетевые принтеры, камеры, IP-телефоны и другие подобные устройства. MAB аутентификация основывается на MAC-адресе эндпоинта, который хочет получить доступ в сеть. Сетевое устройство (аутентификатор), к которому выполняется подключение самостоятельно определяет MAC-адрес подключающегося эндпоинта и формирует RADIUS запрос для выполнения аутентификации.

Требования к сетевому оборудованию, на котором будет выполняться MAB аутентификация

Сетевое оборудование (аутентификатор), к которое выполняет аутентификацию MAB должно поддерживать:

1. Протокол RADIUS для выполнения MAB аутентификации.
2. Передавать в RADIUS запросе аутентификации атрибуты:
   • User-Name, содержащий MAC-адрес эндпоинта.
   • User-Password. В качестве пароля может использоваться MAC-адрес эндпоинта или предустановленный пароль: это зависит от реализации функционала на оборудовании вендором.
   • NAS-IP-Address.
   • Calling-Station-Id, содержащий MAC-адрес эндпоинта.
   • Acct-Session-Id - уникальный идентификатор сессии подключения.
   • NAS-Port-Type.
   • Service-Type.
3. Поддерживать протокол проверки пароля при выполнении MAB аутентификации PAP или EAP-MD5.

Настройка

Для работы функционала требуется настроить взаимодействие сетевого устройства с NAICE и включить MAC аутентификацию.

Настройка коммутатора

Далее приведен пример настройки коммутатора Eltex модели MES2300-24. Предполагается что на коммутаторе уже настроен IP-адрес и обеспечена сетевая связность с сервером NAICE. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.

...

interface GigabitEthernet 1/0/1 
  dot1x authentication mac
  dot1x port-control auto

Настройка NAICE

Встроенная документация

Для каждой страницы можно просмотреть подробную информацию для всех настроек во встроенной документации. Для этого надо нажать на кнопку в верхнем правом углу страницы:

...

Страница встроенной документации откроется в отдельном окне.

Настройка сетевого профиля устройства

Профиль сетевого устройства определяет возможные настройки сетевого оборудования для взаимодействия с NAICE и должен соответствовать реальным функциональным возможностям сетевого оборудования.

...

Нажать внизу справа кнопку Сохранить.

Добавление сетевого устройства

В разделе Администрирование → Сетевые ресурсы → Устройства добавить сетевое устройство:

...

• Имя - название устройства;
• Профиль - выбрать ранее настроенный профиль устройства Eltex MES;
• IPv4 - указать адрес сетевого устройства;
• Секретный ключ - секретный ключ для взаимодействия по протоколу RADIUS (в данном примере testing123).

Нажать кнопку Сохранить.

Добавление цепочки идентификации для подключения эндпоинтов при выполнении MAB-аутентификации

Для проверки MAB-аутентификации необходимо использовать внутренний источник Endpoints. По умолчанию данный источник не используется ни в одной цепочке идентификаций. Он может быть добавлен в предустановленную цепочку Default sequence или может быть создана новая. В данном примере будет создана новая цепочка идентификаций.

...

• Имя - наименование цепочки идентификации.
• Список источников аутентификации - выбрать в подразделе Доступные источник Endpoints и перенести его в раздел Используемые.

Нажать Добавить.

Добавление групп эндпоинтов

Для добавления группы эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Группы эндпоинтов.

...

Добавление эндпоинтов

Добавление эндпоинтов возможно автоматически или вручную. Автоматически изучении эндпоинтов происходит в ходе любой попытки аутентификации по протоколу RADIUS. Значение MAC-адреса извлекается из атрибута calling-station-id. Не выполняется изучение случайно сгенерированных (MAC randomization feature) MAC адресов. Если не настроено профилирование, то все автоматически изученные MAC-адреса попадают в группу Unknown.

...

• MAC адрес - MAC-адрес эндпоинта.
• Ручное назначение политики - не включать.
• Ручное назначение группы - включить и выбрать необходимую группу, в которую будет помещен эндпоинт.

Нажать кнопку Добавить.

Настройка протокола аутентификации MAB

Возможность аутентификации MAB по умолчанию отключена. Необходимо явно разрешить использовать MAB-аутентификацию. Это можно сделать в предустановленном списке доступных протоколов Default protocols или создать новый. В данном примере будет создан новый список.

...

• Наименование сервиса - наименование списка доступных протоколов;
• MAC Authentication Bypass (MAB) - включить селектор.

Нажать кнопку Добавить.

Добавление и настройка политики

Учитывая гибкие возможности по настройке политик в NAICE, процесс MAC аутентификации может быть настроен с использованием различных условий. В данном примере приведена простейшая настройка.

Добавление политики в набор политик

В разделе Политики доступа → Наборы политик добавить политику:

...

После сохранения новой политики, в колонке Настройка справа станет доступна кнопка , по нажатию на которой будет выполнен переход в режим редактирования политики.

Настройка политики аутентификации

После перехода в режим редактирования ранее созданной политики MAB Auth в блоке Политика аутентификации:

...

Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации  Endpoints.

Настройка политики авторизации

Оставаясь в созданной ранее политике MAB Auth в блоке Политика авторизации добавить новую политику авторизации:

...

Проверка работы

Попытки подключения MAB выполняются на странице мониторинга в разделеМониторинг → RADIUS:

Image RemovedImage Added

При необходимости можно нажать на значок в колонке Подробнее. В новом окне браузера откроется детальная информация о подключении:

Приложения

Как настроить определение MAB если сетевое оборудование не поддерживает отправку атрибута Service-Type

Для сетевого оборудования, которое не поддерживает отправку атрибута Service-Type при выполнении RADIUS-запросов есть предустановленный профиль устройства Profile for devices without service-type attribute.

...