Просмотреть исходный

Для настройки выдачи named ACL предполагается, что была произведена настройка сетевой связности аутентификатора и NAICE, а также выполнена базовая настройка 802.1x авторизации (см. Быстрый запуск (Quickstart) ).

Пример настройки приведен для коммутатора Eltex MES серии 23хх.

Добавление ACL на коммутаторе

По протоколу RADIUS возможно выдать только имя ACL, используя стандартный атрибут "Filter-ID". Предварительно ACL с данным именем должна быть настроена на аутентификаторе.

Пример настройки ACL на коммутаторе MES23xx:

ip access-list extended test1
 deny icmp any 8.8.8.8 255.255.255.255 echo-reply 2 ace-priority 30
 permit icmp any any any any ace-priority 40
 permit udp any any any any ace-priority 50
 permit tcp any any any any ace-priority 60
exit

Подробнее о настройке ACL на аутентификаторе можно прочитать в официальной документации на устройство.

Настройка выдачи nACL с использованием RADIUS-атрибутов

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

1. Редактирование профиля устройства

Для добавления настроек выдачи nACL необходимо перейти в редактирование профиля устройства нажав на его имя.

Eltex Documentation > v0.7_4.4 Пример настройки выдачи nACL > image2024-8-13_10-10-6.png

Раскрыть"Разрешения":

Настроить ACL - включить возможность выдачи nACL в RADIUS-атрибутах.
Наименование - указать vendor-specific RADIUS-атрибут для выдачи имени ACL в формате строки, или оставить атрибут по умолчанию.

После ввода необходимых данных нажмите .

2. Редактирование профиля авторизации

Необходимо перейти в редактирование профиля авторизации нажав на его имя.

Eltex Documentation > v0.7_4.4 Пример настройки выдачи nACL > image2024-8-13_10-56-42.png

Раскрыть настройки "Общие задачи":

ACL - включить выдачу имени списка доступа пользователю.
Filter-ID - наименование списка доступа, назначаемое пользователю. Должно совпадать с соответствующим наименованием на сетевом оборудовании, к которому подключается пользователь.

Нажмите в правом нижнем углу страницы.

3. Редактирование набора политик аутентификации и авторизации

Перейдите в редактирование конкретной политики через .

Добавьте новое правило для политики аутентификации:

"Статус" - включено (, по умолчанию);
"Имя" - имя правила;
"Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
"Использовать" - выберите Default sequence. Данная цепочка идентификации содержит только один источник учетных данных пользователей.

Добавьте новое правило для политики авторизации:

"Статус" - включено (, по умолчанию);
"Имя" - имя правила;
"Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
"Профили" - выберите профиль авторизации из предыдущего шаг, где был настроен nACL.

После добавления необходимых политик нажмите в правом нижнем углу страницы.

Настройка MES

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

Требуется на интерфейсе, к которому подключается пользователь, разрешить использовать статический ACL командами:

dot1x host-mode multi-sessions
dot1x port-control force-authorized
dot1x radius-attributes filter-id
dot1x port-control auto

dot1x host-mode multi-sessions - разрешить наличие нескольких сессий на авторизованном порту 802.1Х;
dot1x port-control force-authorized - выключает аутентификацию 802.1X на интерфейсе. Порт переходит в авторизованное состояние без аутентификации;
dot1x radius-attributes filter-id - включает проверку подлинности, основанную на ACL.

Как видно в примере выше, перед тем, как назначать разрешение статической ACL, необходимо переключить режим авторизации в force-authorized, а после назначения - в режим auto.

Без force-authorized MES не разрешает назначить filter-id, но тем не менее в таком режиме не работает и приходится после назначения filter-id переводить порт в auto:

sw1(config-if)#dot1x radius-attributes filter-id 
Dynamic policy assignment can be changed only if the 802.1X mode for port gi1/0/16 is force authorized

Итоговая настройка порта клиента выглядит следующим образом:

interface <порт клиента>
 dot1x host-mode multi-sessions
 dot1x radius-attributes filter-id
 dot1x port-control auto
 switchport access vlan <VLAN сети управления>

Просмотр информации о подключенных пользователях

При подключении проводной клиент как правило требует требует, что бы возможность использовать авторизацию 802.1x была включена в настройках его сетевого подключения. Без этого он не пытается пройти авторизацию! Подробнее настройка клиента описана в v0.7_8. Настройка подключения клиента.

После настройки клиентского подключения и попытки авторизации результат авторизации можно увидеть в разделе "Мониторинг" → "RADIUS" → "Пользовательские сессии".

В случае успешной авторизации можно просмотреть вывод информации о пользователе на коммутаторе командой:

sw1#sh dot1x users 
                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/16 obi-wan.kenobi   7c:c2:c6:45:d3:46 802.1X Remote 00:00:34            test1

Обратите внимание, что в колонке Filter отображается имя ACL, назначенной пользователю.