802.1X и RADIUS

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Автор: Игорь Чубин

Короткий URL: 802.1X_RADIUS

На этой странице рассматривается как организовать аутентификацию при доступе к порту коммутатора, поддерживающего стандарт 802.1X. Описываются настройки коммутаторов, а также собственно клиентских машин, которые будут осуществлять доступ в сеть. Рассмотрены случаи, когда аутентификация выполняется для хоста под управлением Windows XP, Linux, на котором запущен Xsupplicant, и Mac OS X.

Протокол RADIUS, его устройство, а также процедура инсталляции и конфигурирования RADIUS-сервера рассматривается на другой странице.

Содержание 1 Задачи 2 Основные понятия 3 Настройка коммутатора Cisco для работы аутентификатором 4 Настройка коммутатора HP ProCurve для работы аутентификатором 5 Настройка клиента 5.1 Windows 5.1.1 Настройка Windows XP 5.1.1.1 Настройки аутентификации пользователя 5.1.1.2 Настройки аутентификации компьютера 5.2 Linux 5.2.1 XSupplicant 5.2.2 Установка XSupplicant 5.2.3 Настройка XSupplicant 5.3 Mac OS X 5.4 Настройка коммутатора HP ProCurve для работы supplicant 6 Приложение. Конфигурационные файлы 6.1 Пример конфигурации коммутатора Cisco 7 Дополнительная информация 8 Материалы по контролю доступа в сеть на Xgu.ru

[править] Задачи

• Протокол RADIUS
• Обзор доступных RADIUS-серверов с открытым исходным кодом
• Инсталляция и настройка RADIUS-сервера FreeRADIUS
• Web-интерфейс RADIUS-сервера
• Организация PPPoE сервера с аутентификацией через RADIUS
• Совместное использование Active Directory и RADIUS-сервера FreeRADIUS
• Организация доступа к портам коммутатора с помощью 802.1X и RADIUS (802.1X RADIUS)
• Настройка XSupplicant

[править] Основные понятия

AAA (authentication, authorization, accounting) — это набор сервисов сетевой безопасности, которые определяют подход для организации контроля доступа к сети.

Authentication (аутентификация) — процеcс подтверждения пользователем своей подлиности, подтверждения того, что пользователь запрашивающий сервис легитимный пользователь системы (в системе существует учетная запись для этого пользователя). Аутентификация может осуществляться по паролю, смарт-карте, сертификату и др.

Authorization (авторизация) — определяет какие сервисы будут доступны или какие сервисы будут запрещены пользователю прошедшему аутентификацию.

Accounting (учёт) — слежение за потреблением сетевых ресурсов пользователем.

EAP (Extensible Authentication Protocol) — протокол определяющий подход к процедуре аутентификации (не определяет конкретный механизм аутентификации). На основе этого подхода могут быть реализованы различные механизмы аутентификации, называемые методы EAP. EAP определяет формат сообщений, а каждый протокол использующий EAP определяет способ инкапсуляции сообщений EAP в свой формат.

EAPOL (EAP over LANs) — протокол определяющий способ инкапсуляции, который позволяет передавать пакеты EAP между supplicant и аутентификатором в локальных проводных сетях.

PAE (Port Access Entity) — отвечает за выполнение алгоритмов и протоколов.

[править] Настройка коммутатора Cisco для работы аутентификатором

Базовая настройка 802.1X на интерфейсе fa0/1 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 192.168.1.3
radius-server key radiuskey

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip radius source-interface Loopback0

!Включение ААА:
aaa new-model

!Настройка аутентификации:
aaa authentication dot1x default group radius

!Включение аутентификации 802.1X на коммутаторе: 
dot1x system-auth-control

!Включение 802.1X на интерфейсе:
interface FastEthernet0/1
 dot1x port-control auto

Основная страница: 802.1X в Cisco

[править]