root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

[Lab 1.3]802.1x Dynamic Vlan by Radius Active Directory windows 2012R2 - part 2



- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).

- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.

- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.
- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.


Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test
  • Phần 1:
  • Phần 2:
  • Phần 3:

2/ Khai báo Radius Client


Trước tiên chúng ta cần authorized NPS với Active Directory của chúng ta.

KEZO9kwMovbGk1wHbMFiFFNBYgQxgRuQFlSY_2y75F-HDKP5PyLrYb6lMAkkwW-DYKKTtyYOFipL80hPf3F9rsrhnT4OXkxMA-sJSUxd6_RcSJfybSySdgAI6v99eUyIP21EMWGNkPidMLriiQ


- Sau đó chúng ta sẽ add client trong Radius Clients (là Switch 2960) trên Radius Server (NPS).

OQPcv_OJTWutB5m4JS_GS0TgpqLqusXq0SuiLV6u1j4GNHf3HmmgmkJuWmGllQ0JUU_yPhltIzWCRQLkyyaHKa1NlrCffN9EGudubpOHkEo4CeVVJupT9cFulUKx9hmfn9rkOVKcrvbH2nRCZA



Chúng ta sẽ khai báo thông tin Radius client của chúng ta vào đây.
  • Enable this RADIUS client: các bạn check vào đây để kích hoạt Radius client.
  • Name and Address: điền tên của Radius client. Tên này sẽ được sử dụng khi chúng ta cấu hình policy trong NPS.
  • Address (IP or DNS): Các bạ điền IP của Radius Client, ở đây mình sẽ dụng Switch Cisco 2960 có IP 10.123.10.250
  • Shared secret: đây là key để trao đổi giữa Radius server (NPS) với Radius client (Switch 2960). Bạn phải đảm bảo key trên NPS và trên Switch 2960 phải giống nhau.
xfqs0XfEkV_J7bPtBrrLwv8iIhGxyis1HMp3VH0ezIMqVfUNNZyon0fuLyHTtCfs9tmZjFxo4R5wx3Ab_y2uD5zYQbmiaTQq8T6h86ddHBKQySWMR0RtD8ojJXN1Nm91JT_aim4RHvJrsFhlRw



- Qua tab “advanced”. Ở đây mình sử dụng Switch Cisco nên mình sẽ chọn “Vendor name” là “Cisco”.

q587Y17gQUVP-yeoQDvZNjsfOFw-auWvz4H5EZbMKGK_20dEvyiYfa7_GhPk61fJ4s_8fwDeDkLHJPMEvvQci1d4e4lNFxWUahTyML3-kFd_bD2Fit3djz9DBZG0um7y5mIPAbPdVO-dORgjGQ



Nếu bạn cấu hình đúng thì Radius Client sẽ được xuất hiện tại đây với trạng thái “enable”.

GzATQbgGaMmGE9ZgT2atzfI3tgFcc3_9_sIZT1khPkEAxhZ7UCBhJt_-R6pu_nVeKmw_aOHNPTUKQbAZCfMvdPX6etZciD33hon5ofvWC9Da32W0VKPb8icnVZUtqe6mRqhgBLG6AWIsfPDjeQ
 
Last edited:

3/ Tạo Policy trên NPS


- Bây giờ chúng ta sẽ tạo policy để chứng thực và cấp quyền truy cập đến Switch 2960 cho các user có trong Active Directory.
- Trước tiên chúng ta sẽ tạo các user domain “admin1” thuộc group “ADMIN” và “nv1” thuộc group “STAFF”.

zYda04JTf37rluDbMzBb71h1XgwKw2yE7yqm_p2zIe4JpMClXpO0CL-7ZoPmtl47xAdz7KpO6AoIrfthjv4EfwLTyyBFeBGgRoyvNXXDAruepKDimQNHsqWKs0NqWrf3k7SHF9gZ6Ez7LQ-xLg


- Bây giờ chúng ta sẽ tạo mới một policy 802.1x để xác thực người dùng khi gắn dây vào Switch của chúng ta.

JctTFzzM-JrO5mebSdOBXkZJVrycjpsZFre4xZ3pIoBDLzD_MG4t3MichWQSfZ-V7KUAO9vcPOMfL3JcI3mdBko5Gc4YrRKGipA21HOzILY40F351ldVipkhvurq8_esNAGLWLPuKUzRFS773Q



- Chọn “Secure Wired (ethernet) Connections” và đặt tên cho policy cần tạo.

6OnR-qbK6ZCVNzljETo1cYv8Z-leUG6yI6Iqn5d5kxuEyKMA4gRLxRzv43wbBKGmWIVyUZ2kCNaSQns-CMoZP9m7zAXQq0RGqCj1yolFpI9VropIdogXwGGviLntMx4GUA46Qns-1tlVlduoTQ



- Chọn Authenticator là switch 2960. Khi người dùng gắn dây vào 1 port trên Switch 2960 thì Switch sẽ yêu cầu người dùng xác thực. Chúng ta đã khai báo Radius client “Cisco Switch 2960” ở trên.

FXxQW7oacJRyIPbSUzUNf9P-O8EY2hjfh-5DEcCCCf-HQ0QagFlWBv4N1GpD7KUksbeYXaEoDuwCYrXLQ-6cK5uTOTQgdgB6jbQucfLY_xnW6WpYuBMASTOC-nrrg26huqp5NDEq9z92oJKXbg



Cấu hình sử dụng phương thức xác thực nào. Mình sẽ sử dụng “Microsoft: Protected EAP (PEAP)”.

-4-ElixcutfCQpzspuVXGOOdpLzMcOIehpw30eaxiojjkvgabRMjdfe1Ya1e6ew3Mo2sMIVLdCLZ1lpD1q5l89EPQsjyId9yrnhu-QO5Z6cfp9Nc6eiQdwL-DqdROQmCZNV-62x3RWwLTvEKPQ



Cấu hình các yêu cầu chứng thực cho user. Khi user được chứng thực phù hợp với các điều kiện mà mình thiết lập ở đây thì nó sẽ được phép truy cập.
Mình sẽ thực hiện chứng thực với các user nằm trong group của Active Directory.

8GoL7MpcSH2OlKgujUAptXedP3xXm6SLq3gT_RE4n5lHC438fBo_yH529rCh1h8_Y4Vst3LN5QwPAsIwf18VQk3cO_R8DYr9aOp3mwoa8rzgRBdMxNvs1GjM1a95KRRLrG2OR8h2BRkpvl96Ng



Những user domain thuộc group ADMIN sẽ được chứng thành công

oXHfLGcsLJbELBPD0pROCoyKgyVHvBIISg4IR3bT2XM2i-pU0u3U6T9cXjBR1u41zrhXOs5EeplVESY8A3Br_P4oA-TSz-W4k7lqjVgwhb2OavnjBRIFoYtH_fTQ9iUpws4aLSYIsMKiMjAnvA



DhUgo6pbKU4t8WA9HaK0KydTXrdzdlU23Gdk9peBNU6y3Gt-YOu75f0pZsGjVHkXezh67e3Vi0oEzf_xMRbLmXD6GnIEqf3iwP7WXmYmKFOociEfmNoUT0y-qM7CjZylOIh8o2kjjdHULf9_KQ



Chúng ta có thể điều khiển và kiểm soát người dùng thông qua cấu hình Traffic control ở đây. Khi user domain thuộc group “ADMIN” chứng thực thành công sẽ được cấp IP thuộc VLAN 10.

xyJUVVkKkOkzMxm3H83cYFRoFMyjTuvZqutuTW7Hh3i5xSU_tAAvEw8L46H9AgCjhlqSUFPX4IxP7SaDTvkw4Zg5KkpSIy0PLSOHFw86m-WfjR8Rjn4OvXX-EHZu6q27QddsNafVfhgUWMaQHg



- Để port được cấp VLAN động tương ứng cho user domain. Chúng ta cần định nghĩa các thuộc tính sau:
  • Tunnel-Pvt-Group-ID: 10. Đây là VLAN sẽ cấp cho group domain “ADMIN” được chứng thực.
  • Tunnel-Type: Virtual LANs (VLAN).
  • Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)
DeABsgo2pHHwFkRuaDZ9U7rds2KfKVcIQ4p81AWzIJ7L4kD5Xl8hIdCfQnU5IqA4ZXon34mJbkCcd_9_UnYJJJAdWO0z5hAPs3EYL8xzLz0Iba-mpgkWU1ckUBuQUxwwcRSlWRxHE3_x5RUnIg



- Hoàn thành tạo Policy xác thực người dùng thông qua cơ chế “port based authentication”

aDutFHz0ovrPR1bNhp0jGB9EiykOGbiYyu0Hy5_9UGroolmkFmxcWfj2DYpvFYJUnAT-j9u3OM_N0_WLNHeCoiiu09nXR4QmIvbrBbhQjaCQVJqICPJw07epGv4HOfM_PZCcOBrBLQMwRTWpbA
 
Last edited:
- Kiểm tra lại Policy chúng ta vừa tạo ở trên.

_Ndg2lYAC1oQi3udO2k5fRhMACzntxg082WL88R90EFmB_zBeNayodpPv2zg9cHajQ-99M95jzZeqhMZRpsgYq7AfcCwxkP0PGJpRWBaWz8ImaIkx57L4d5Uauf_u06bB3APJ46SF9GzNUkZDQ



- Ở tab “overview” các bạn chú ý chọn “Access Granted” để cho phép user được chứng thực sẽ có quyền truy cập.

5h_g60Bj2HMJHI0Oo3Z5BazFnQZg2Tn9K0za1a60jb1aLnmsniyw-9FSSokUDp0XHYAL3mv3Gh9e0_k37B0XnvVb9SXTdTuhrLAeikyRLCwjchT566FU9dUkAF3G4r59G4Bry6Mea-mtfba0Aw



Ở tab “Conditions” chính là những điều kiện xác thực người dùng. Khi người dùng xác thực match với các yêu cầu trong tab này thì người dùng đó xác thực thành công.

YOeMPH_qUe517PK3ne-o2EuBGpxhmEY_Ut_R2SEAHrRk65XTkeO0YdSWSnnGYQulVXarfScI3QxszPhGfP06uAKXt3wjrFJaYY35GMRUWYppwJUv7qlrxUUDUATjFKh9pTAaIpjtRkSIBpONdA



Ở tab “Constraints” các bạn chọn phương thức xác thực. Ở đây chúng ta sẽ sử dụng “Microsoft: Protected EAP (PEAP)” và sử dụng các mã hóa “MS-CHAP-v2 và “MS-CHAP” khi người dùng thực hiện xác thực.

KudR-nKsbrJ4F6N0fh3Lg4jWWGfuehQTTBc8RPZGMvsdtwIQK_s2nKH8dycCyXhFlINFKLqSdZy63yRvMvoT5bLmQMlW6adjOIJamh5I7yc5slVy1aA506Bp7ce5rnGo2uTqkzLmZiR9kukT9Q



Phần “NAS Port Type” các bạn để trống.

Ae-gqx627UwHbQDsI4uRzdL9eYVAPODH4hoVYcuqv958q60WI2EzQbvwkOGnHn9Kb99pUTgM9-W2YpgLuOZEZwWDjJ1dgTaBkO2Djls9eclQnElLpP9wI7sKKjU2cT1UexAtFwow3KPoVEeYmA



Trong bảng “Attributes” cấu hình như hình dưới đây.
  • Tunnel-Pvt-Group-ID: 10. Đây là VLAN sẽ cấp cho group domain “ADMIN” được chứng thực.
  • Tunnel-Type: Virtual LANs (VLAN).
  • Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)
vy5U_a90WqdQt_FZ-rWgZMOj280kzmI5Nje9Y9ffk47iFbL0XRi9p3ZHqRUekfMGucKPsDk90GHdiOWjGHSqJKrt_OhmOcvm38ksSAWAI1uCXBHtrkwcuHU67nqE3yJ-IjYDAjED8z1RAfdpmw



- Tương tự chúng ta tạo policy cho group “STAFF”. Nhũng user thuộc group domain “STAFF” thì sẽ được cấp IP thuộc VLAN 20.

sDQTQ_yZaz4hfCG4k6xDN-aTxBo5dgW1v_KI9FdKYlqOJnapLeHtQ8cKBl-VmgSr_g3zvcHwv8uerXVRLqbdnllyiSiFhQnQ_ub9Py8Jtkq1cW9S2btLNeJQXKeSTzxV4hnTFl7v5IR2ZGyycA
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu