root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

[Lab 1.2] Port-based Authentication NPS windows 2012R2 - Part 4



Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.
Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.
Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.


Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2

Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows 2012R2).

- Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
- Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
- Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
- Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
- Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/

- Video hướng dẫn cấu hình và test
  1. Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2


  2. Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả


  3. Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2

- Download file cấu hình bài lab: DOWNLOAD


II/ Cấu hình Switch 2960


- Chúng ta cần kích hoạt tính năng AAA và 802.1x trên Switch 2960 và thực hiện chựng với Radius Server.

- Đặt IP cho interface VLAN 1
Code:
Switch(config)#interface vlan 1

Switch(config-if)#ip address 10.123.10.250 255.255.255.0

Switch(config-if)#no shut

Switch(config-if)#exit

//Kích hoạt AAA trên Switch
Code:
Switch(config)#aaa new-model

Switch(config)#aaa authentication dot1x default group radius

//Kích hoạt 802.1x trên Switch
Code:
Switch(config)#dot1x system-auth-control

Switch(config)#radius-server host 10.123.10.10 auth-port 1812 acct-port 1813 key svuit.vn

// Cấu hình port-based authentication trên port f0/1
Code:
Switch(config)#int f0/1

Switch(config-if)#switchport mode access

Switch(config-if)#dot1x port-control auto

- 802.1x trên port:

Một số dòng switch khi tab sẽ không ra lệnh này, tuy nhiên chúng ta vẫn có thể gõ lệnh này và sử dụng bình thường.
Code:
Switch(config-if)#dot1x port-control auto

Hoặc có thể sử dụng lệnh sau để thay thế
Code:
Switch(config-if)# dot1x pae authenticator

Switch(config-if)# authentication port-control auto

- Ở đây port-control có các mode
  • force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều được chấp nhận.
  • force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ client đều bị đánh rớt.
  • auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người dùng cung cấp đúng username và password
- Mặc đinh 802.1x chỉ hỗ trợ 1 client trên port cấu hình 802.1x. Vì vậy để cho phép nhiều client truy xuất trên một port cấu hình 802.1x chúng ta cần dùng thêm lệnh sau:
Code:
Switch(config-if)#dot1x host-mode multi-host
 
Last edited:

III. Cấu hình Client


- Để sử dụng được 802.1x các client phải kích hoạt tính năng 802.1x. Nếu không kích hoạt thì người dùng sẽ không xác thực được và sẽ không sử dụng được port đó.
- Nếu các máy đã join domain chúng ta có thể tạo policy trên Active Directory để enable 802.1x cho các PC đã join domain. Ở đây PC này chưa join domain nên mình sẽ phải start service “Wired AutoConfig” để kích hoạt 802.1x

VYe2j-rKvft0YVp6lhxqglMuc8ah_QPRQKrO8B1h5NpnA_cZ_YcwP16r3jTSGw-GPNMBboXUsPlXQotD4iTy4wGUU0igDt1kAyZhi32t4aRD__H3M-mQbF4pWjydJmAV2I8GKmpTDXm2lE4VlA



- Sau đó chúng ta phải cấu hình phương thức xác thực cho card mạng của người dùng gắn vào Switch.

7o6pW2LbH2WZsj7ukfPKs3WcrFiANJJ0L-iq5l3OSeV7ifspl48QFYJoyiXZuiw_wYt995EWT69vGk-z6u1PgZON-YXblz0ZR8EgWWdputRjwVEjJvV_CoyRAkPIvXn_p7-indq6kpGXnug3Qg



- Sau khi các bạn start service 802.1x thì “Ethernet Properties” sẽ có thêm tab “Authentication”. Các bạn chọn “Enable IEEE 802.1X authentication” để kích hoạt và chọn phương thức xác thực với RADIUS server là “Microsoft: Protected EAP (PEAP)”.


mhM2XGokTpbtWbBoAeLZDgFNo_-JTV_PAVxJE4tzXX-qCKBdKZqi5zsvL1eEaEsOZkUfmIUMQrLB9TwOc6MZGYEPmF9VUKw8y2fBgjXj2PCuirCmwsdTEOJ0Lt7y90e49tk9rsKmISLLZMjAlw



- lựa chọn phương thức xác thực mật khẩu “Secured password (EAP-MSCHAP-v2”.

9jD-oxBRXyQbczL7WVK_PZxE5OF-e9ZLE9Y61QkY1_czpkUT048R1wKQJ0MQQ_rQRTPV3a1wwc4gwlJcKFrDFuI1jpHn0n-9MzZmTkZ4pmPAHkv_9GYqRu_yhWTH958suTliJMU_woAweu848Q



Các bạn bỏ dấu check ra khỏi mục “Automatic use my Windows login name and password (and domain if any)". Cái này chỉ sử dụng trong trường hợp người dùng sử dụng PC đã join domain. Khi login với user domain trên máy đã join domain thì PC sẽ tự động thực hiện việc xác thực giúp mình.


Ej_ycm769VN9Ql6IS2XFjL25c_ObkTE1nQ7H2Pvd1qzbfrFeLJNG8v6kLHtGemfbSQAP7wThfjhpgzbPG4ztpA01_NcLRyBY_EaRnQ-elOJm0nklS1hzJd7-E_zWNhNRshQ6c_1EnJatRbRqgQ




- Thiết lập một số thông số them

VecDUABGI-nSFedKtm-1XD1zKtROYjUvimajKs5UoNZmyzVnK8ebjJZv_2BgUVPrgzJ3yzlGR2OClnTNIo7Msc7TPM0Tmfn8iwVyUYcXP3doofUm_wmY-sX6inXd37x31I1JgmI2SmKiVsfvjw



- Chọn chế độ xác thực là sử dụng “User authentication”.

MNvxfQRph603OYEAgcTZPVSgtqcJYWkW5Y9lPetjvDyTOcaOVXhhVjAFvLbsHkUFwuASrKU7lPKzRFGavX4OLEDH737QOZD1Y74HnlRouy3RRZoKK2REtpi11cuA467jAoTM0O6pUTxhm6ZIYw
 
Last edited:
em làm như lab mà khi xác thực win 10 cũng k thấy popup nhảy ra để nhập user và pass kèm theo đó là authentication failed
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu