802.1X и RADIUS
Материал из Xgu.ru
- Автор: Наташа Самойленко
- Автор: Игорь Чубин
- Короткий URL: 802.1X_RADIUS
На этой странице рассматривается как организовать аутентификацию при доступе к порту коммутатора, поддерживающего стандарт 802.1X. Описываются настройки коммутаторов, а также собственно клиентских машин, которые будут осуществлять доступ в сеть. Рассмотрены случаи, когда аутентификация выполняется для хоста под управлением Windows XP, Linux, на котором запущен Xsupplicant, и Mac OS X.
Протокол RADIUS, его устройство, а также процедура инсталляции и конфигурирования RADIUS-сервера рассматривается на другой странице.
Содержание |
[править] Задачи
- Протокол RADIUS
- Обзор доступных RADIUS-серверов с открытым исходным кодом
- Инсталляция и настройка RADIUS-сервера FreeRADIUS
- Web-интерфейс RADIUS-сервера
- Организация PPPoE сервера с аутентификацией через RADIUS
- Совместное использование Active Directory и RADIUS-сервера FreeRADIUS
- Организация доступа к портам коммутатора с помощью 802.1X и RADIUS (802.1X RADIUS)
- Настройка XSupplicant
[править] Основные понятия
AAA (authentication, authorization, accounting) — это набор сервисов сетевой безопасности, которые определяют подход для организации контроля доступа к сети.
Authentication (аутентификация) — процеcс подтверждения пользователем своей подлиности, подтверждения того, что пользователь запрашивающий сервис легитимный пользователь системы (в системе существует учетная запись для этого пользователя). Аутентификация может осуществляться по паролю, смарт-карте, сертификату и др.
Authorization (авторизация) — определяет какие сервисы будут доступны или какие сервисы будут запрещены пользователю прошедшему аутентификацию.
Accounting (учёт) — слежение за потреблением сетевых ресурсов пользователем.
EAP (Extensible Authentication Protocol) — протокол определяющий подход к процедуре аутентификации (не определяет конкретный механизм аутентификации). На основе этого подхода могут быть реализованы различные механизмы аутентификации, называемые методы EAP. EAP определяет формат сообщений, а каждый протокол использующий EAP определяет способ инкапсуляции сообщений EAP в свой формат.
EAPOL (EAP over LANs) — протокол определяющий способ инкапсуляции, который позволяет передавать пакеты EAP между supplicant и аутентификатором в локальных проводных сетях.
PAE (Port Access Entity) — отвечает за выполнение алгоритмов и протоколов.
[править] Настройка коммутатора Cisco для работы аутентификатором
Базовая настройка 802.1X на интерфейсе fa0/1 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 192.168.1.3 radius-server key radiuskey !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip radius source-interface Loopback0 !Включение ААА: aaa new-model !Настройка аутентификации: aaa authentication dot1x default group radius !Включение аутентификации 802.1X на коммутаторе: dot1x system-auth-control !Включение 802.1X на интерфейсе: interface FastEthernet0/1 dot1x port-control auto
- Основная страница: 802.1X в Cisco