802.1X и RADIUS

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко
Автор: Игорь Чубин
Короткий URL: 802.1X_RADIUS

На этой странице рассматривается как организовать аутентификацию при доступе к порту коммутатора, поддерживающего стандарт 802.1X. Описываются настройки коммутаторов, а также собственно клиентских машин, которые будут осуществлять доступ в сеть. Рассмотрены случаи, когда аутентификация выполняется для хоста под управлением Windows XP, Linux, на котором запущен Xsupplicant, и Mac OS X.

Протокол RADIUS, его устройство, а также процедура инсталляции и конфигурирования RADIUS-сервера рассматривается на другой странице.

Содержание

[править] Задачи

  • Протокол RADIUS
  • Обзор доступных RADIUS-серверов с открытым исходным кодом
  • Инсталляция и настройка RADIUS-сервера FreeRADIUS
  • Web-интерфейс RADIUS-сервера
  • Организация PPPoE сервера с аутентификацией через RADIUS
  • Совместное использование Active Directory и RADIUS-сервера FreeRADIUS
  • Организация доступа к портам коммутатора с помощью 802.1X и RADIUS (802.1X RADIUS)
  • Настройка XSupplicant

[править] Основные понятия

AAA (authentication, authorization, accounting) — это набор сервисов сетевой безопасности, которые определяют подход для организации контроля доступа к сети.

Authentication (аутентификация) — процеcс подтверждения пользователем своей подлиности, подтверждения того, что пользователь запрашивающий сервис легитимный пользователь системы (в системе существует учетная запись для этого пользователя). Аутентификация может осуществляться по паролю, смарт-карте, сертификату и др.

Authorization (авторизация) — определяет какие сервисы будут доступны или какие сервисы будут запрещены пользователю прошедшему аутентификацию.

Accounting (учёт) — слежение за потреблением сетевых ресурсов пользователем.

EAP (Extensible Authentication Protocol) — протокол определяющий подход к процедуре аутентификации (не определяет конкретный механизм аутентификации). На основе этого подхода могут быть реализованы различные механизмы аутентификации, называемые методы EAP. EAP определяет формат сообщений, а каждый протокол использующий EAP определяет способ инкапсуляции сообщений EAP в свой формат.

EAPOL (EAP over LANs) — протокол определяющий способ инкапсуляции, который позволяет передавать пакеты EAP между supplicant и аутентификатором в локальных проводных сетях.

PAE (Port Access Entity) — отвечает за выполнение алгоритмов и протоколов.

[править] Настройка коммутатора Cisco для работы аутентификатором

Базовая настройка 802.1X на интерфейсе fa0/1 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 192.168.1.3
radius-server key radiuskey

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip radius source-interface Loopback0

!Включение ААА:
aaa new-model

!Настройка аутентификации:
aaa authentication dot1x default group radius

!Включение аутентификации 802.1X на коммутаторе: 
dot1x system-auth-control

!Включение 802.1X на интерфейсе:
interface FastEthernet0/1
 dot1x port-control auto
Основная страница: 802.1X в Cisco

[править] Настройка коммутатора HP ProCurve для работы аутентификатором

Базовая настройка 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 10.0.1.1 key procurve
aaa authentication port-access eap-radius

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip source-interface radius vlan 2 address 10.0.2.100

!Включение 802.1X на интерфейсах:
aaa port-access authenticator 1-12

!Включение аутентификацию 802.1X на коммутаторе: 
aaa port-access authenticator active
Основная страница: 802.1X в ProCurve

[править] Настройка клиента

[править] Windows

Пример для EAP-авторизации из FreeRADIUS Wiki

[править] Настройка Windows XP

[править] Настройки аутентификации пользователя
[править] Настройки аутентификации компьютера

[править] Linux

[править] XSupplicant

Xsupplicant - это open source supplicant, который позволяет клиенту проходить аутентификацию на RADIUS-сервере используя 802.1X и EAP (Extensible Authentication Protocol). Может быть использован для проводных и беспроводных сетей.

[править] Установка XSupplicant

[править] Настройка XSupplicant

[править] Mac OS X

[править] Настройка коммутатора HP ProCurve для работы supplicant

Коммутатор HP ProCurve может работать как аутентификатор на одних портах и как supplicant на других.

Включить порт для работы supplicant:

switch(config)# aaa port-access supplicant 10

Настроить имя пользователя и пароль, которые будут использоваться для аутентификации этого коммутатора:

switch(config)# aaa port-access supplicant 10 identity sw_1 secret

После выполнения команды необходимо будет дважды ввести пароль.

[править] Приложение. Конфигурационные файлы

(для какого случая. нужно написать)

[править] Пример конфигурации коммутатора Cisco

Пример конфигурации коммутатора:

!
version 12.2
!
hostname Switch
!
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius 
!
!
!
dot1x system-auth-control
!
interface FastEthernet0/1
 switchport access vlan 90
 switchport mode access
 dot1x port-control auto
 dot1x reauthentication
 dot1x guest-vlan 20
 dot1x auth-fail vlan 50
!
!
interface FastEthernet0/11
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
!
!
radius-server host 192.168.1.3 auth-port 1645 acct-port 1646
radius-server source-ports 1645-1646
radius-server key radiuskey
!

[править] Дополнительная информация

Supplicant:


[править] Материалы по контролю доступа в сеть на Xgu.ru

Источник — «http://xgu.ru/wiki/802.1X_%D0%B8_RADIUS»