Протокол 802.1X в телефонах VP
Область применения
Раздел описывает возможности настройки протокола 802.1X на телефонах VP-17P, VP-30P, VP-30P-WB.
Версии прошивок на момент текущей версии документации
| Телефон | Версия |
|---|---|
| VP-17P | 1.5.7 |
VP-30P | 1.4.4 |
| VP-30P-WB | 1.3.4 |
Возможности
Телефонные аппараты серии VP поддерживают аутентификацию по протоколу 802.1X с использованием логина и пароля, сертификата или и того, и другого вместе.
Телефон выступает клиентом (супликантом), отправляет аутентификационные данные на коммутатор, который выступает аутентификатором и отправляет полученные учетные данные на сервер аутентификации.
MAB (MAC Authentication Bypass)
MAB — это аутентификация, которая основана на MAC-адресе устройства, то есть MAC-адрес устройства используется в качестве имени пользователя и пароля.
Может использоваться в следующих сценариях:
1. Для предоставления контролируемого сетевого доступа устройствам, которые не могут пройти стандартную аутентификацию по логину и паролю или с помощью сертификатов (802.1X).
2. Для упрощения развертывания, когда индивидуальная настройка методов аутентификации (например, 802.1X или сертификатов) на каждом конечном устройстве требует больших трудозатрат.
Не рекомендуется использовать MAB без крайней необходимости ввиду небезопасности такого метода.
Схема работы
Общая схема аутентификации телефона по протоколу 802.1x показана на Рисунке 1.
Рисунок 1. Схема аутентификации по протоколу 802.1x
- При подключении телефона к порту Ethernet коммутатора коммутатор отправляет телефону запрос на аутентификацию.
- Телефон в ответ отправляет свой сертификат, пару логин-пароль или и то, и другое.
- Коммутатор пересылает полученные учетные данные на сервер аутентификации. Сервером аутентификации может выступать любой RADIUS-сервер. Рекомендуется использовать в качестве сервера аутентификации систему контроля сетевого доступа NAICE.
- Аутентификатор проверяет полученные учетные данные и отправляет коммутатору подтверждение или отказ.
- Коммутатор помещает телефон во VLAN с доступом к IP АТС.
Настройка
Настройка протокола 802.1X производится через Web-интерфейс или через экранное меню телефона.
Сертификаты можно загрузить через Web-интерфейс, или может быть настроена автоматическая загрузка сертификатов через файл манифеста.
Стоит отдавать предпочтение аутентификации по сертификатам как наиболее безопасному виду.
TACACS+
Область применения
Многое оборудование производства Eltex поддерживает аутентификацию и авторизацию администраторов и операторов с использованием сервера TACACS+. Рассмотрим применение TACACS+ в абонентских шлюзах TAU, транковых шлюзах и IP АТС SMG, пограничных контроллерах сессий SBC и ESBC.
Рисунок 2. Схема работы TACACS+
На Рисунке 2 представлена схема работы с TACACS+. Под «устройством Eltex» подразумевается одно из устройств TAU, SMG или ESBC, описанных ниже. В качестве сервера TACACS+ рекомендуется использовать систему контроля сетевого доступа NAICE.
Когда администратор пытается получить доступ к устройству, устройство, выступая клиентом TACACS+, связывается с основным сервером TACACS+ для проверки возможности авторизации пользователя. В случае недоступности основного сервера будет предпринята попытка обращения к резервному серверу. От сервера может быть получено подтверждение или отказ в авторизации, на основании которого устройство принимает решение о допуске администратора к интерфейсу управления.
Возможности
TAU
Все актуальные абонентские шлюзы TAU с количеством портов восемь и более поддерживают работу с TACACS+.
Поддерживается настройка двух серверов TACACS+, основного и резервного. Возможно разрешить или запретить локальную аутентификацию при невозможности аутентифицироваться на сервере TACACS+.
Для TAU в стоечном исполнении поддерживается логирование попыток доступа при использовании аутентификации через TACACS+.
SMG
В настоящий момент работа с TACACS+ реализована только на малопортовых транковых шлюзах SMG-2 и SMG-4. Поддержка TACACS+ в остальной линейке SMG ожидается с версии 3.410.
Поддерживается настройка двух серверов TACACS+, основного и резервного. Возможно разрешить или запретить локальную аутентификацию при недоступности на сервере TACACS+. При запрете локальной авторизации и недоступных серверах TACACS+ доступ к устройству возможен только чрез COM-порт.
SBC
На пограничных контроллерах сессий SBC-3000 работа с TACACS+ не реализована.
ESBC
Пограничные контроллеры сессий ESBC-3200 и vESBC поддерживают работу с TACACS+.
Поддерживается настройка нескольких серверов TACACS+ с возможностью настройки очередности их опроса по приоритету. Реализована настройка разного порядка обработки отказа в аутентификации от сервера TACACS+. В зависимости от настройки при отказе в аутентификации от TACACS+ либо будет прекращена дальнейшая попытка аутентификации, либо будет задействован следующий метод аутентификации в цепочке: RADIUS, LDAP или локальная. Возможно настроить блокировку пользователя при многократных неудачных попытках аутентификации. Производится настройка как количества неудачных попыток, так и времени блокировки. Существует возможность указать конкретные списки команд, подлежащих аутентификации и логированию.
Пример настройки работы с TACACS+ на ESBC приведен в статье по ссылке.
LDAP
Многие продукты Eltex поддерживают аутентификацию и авторизацию пользователей через LDAP (Lightweight Directory Access Protocol).
В качестве LDAP-сервера можно использовать систему контроля сетевого доступа NAICE.
Рассмотрим работу с LDAP продуктов телефонии и унифицированных коммуникаций.
Аутентификация и авторизация
Непосредственно с LDAP работает:
- Авторизация в системах управления ECSS-10 SoftSwitch. CoCon и Web;
- Авторизация операторов и супервизоров в Call-центре;
- Авторизация пользователей в Портале абонента.
Система унифицированных коммуникаций Elph непосредственно для авторизации и аутентификации использует систему Keycloak, данные в которую могут подтягиваться из LDAP в рамках периодических синхронизаций.
На Рисунке 3 представлена общая схема аутентификации пользователей с использованием LDAP.
Рисунок 3. Схема аутентификации пользователей с использованием LDAP
Клиенты проходят аутентификацию в сервисах. Сервисы ECSS-10 Softswich, Call-центр и Портал абонента для проверки аутентификационных данных обращаются непосредственно к LDAP-серверу. Elph при проверке аутентификации обращается к своему Keycloak-серверу. Keycloak может на регулярной основе либо единоразово синхронизировать базу данных пользователей с LDAP-сервером.
Справочник
База данных LDAP-сервера может быть использована не только как система аутентификации и авторизации, но и как центральное хранилище информации об абонентах. На Рисунке 4 представлены системы, которые могут использовать LDAP как источник справочной информации.
Рисунок 4. Использование LDAP как справочника
Телефоны VP могут обращаться к LDAP-серверу для поиска абонентов для осуществления вызова.
Системы Elph и AddressBook могут синхронизировать свои базы пользователей с LDAP-сервером.
ECSS-10 SoftSwitch позволяет синхронизировать атрибуты существующих пользователей с LDAP-сервером.