HP Intelligent Management Center: User Access Manager 7.1

Transkript

1 HP Intelligent Management Center: User Access Manager 7.1 Tomáš Kubica verze dokumentu

2 Obsah 1. Příprava Adresní plán Instalace imc UAM Klientská VM Připojení switchů k imc/uam Nastavení prvku s Comware Nastavení prvku s ProVision OS Přidání do imc Příprava VLAN na Comware prvku Příprava VLAN na ProVision prvku Základní ověřování do sítě MAC autentizace MAC autentizace na prvku s Comware MAC autentizace na prvku s ProVision OS Přidání prvků do UAM UAM služba a politika Testovací režim MAC účet v UAM Co se děje? Jak to funguje? Přiřazení VLAN Jednoduché 802.1X X na prvku s Comware X na prvku s ProVision OS Lokální uživatel a policy v UAM Nastavení klienta a zkouška Grafické zobrazení v topologii Jak získat informace o IP klienta DHCP-Snooping a accounting s Comware DHCP-Snooping a accounting s ProVision Více uživatelů a/nebo více metod na portu Více uživatelů untagged, Comware Více uživatelů untagged, ProVision Zabudované webové ověřování BYOD redirect L2 webový portál v Comware

3 L2 webový portál v ProVision Kombinace L2 portálů s dalšími metodami ověření Coby kdyby nedostupný server, nepovedené ověření Guest VLAN na Comware Authentication Fail VLAN na Comware Critical VLAN na Comware Guest VLAN na ProVision OS Fail-open na ProVision OS Cached re-auth na ProVision OS Integrace s Active Directory Certifikát pro imc Příprava šablony pro UAM Žádost o certifikát Import certifikátů do UAM Typický scénář pro Microsoft User vs. machine ověření EAP-TLS PEAP-MSCHAPv Další metody Práce s doménou Zařazení do domény Příprava doménové politiky (GPO) Klientské a machine certifikáty doménovou politikou Nastavení supplicanta doménovou politikou Synchronizace účtů a nastavení politik v UAM Politika pro computery Politika pro enterprise uživatele LDAP server LDAP synchronizace Příprava prvků První otestování řešení s EAP-TLS, user a machine ověřením Test chování Jak funguje EAP-TLS? Rozšířené politiky, služby a skupiny Politiky podle skupiny Binding atributů

4 Další pravidla Řešení s PEAP-MSCHAPv Co dalšího UAM a EAD umí? Přílohy Generování struktury uživatelů v Active Directory Generování DHCP Scope

5 1. Příprava 1.1. Adresní plán POD VLANy VLAN 1 ip Gateway POD 1 110,120,130, POD 2 210,220,230, POD 3 310,320,330, POD 4 410,420,430, POD 5 510,520,530, POD 6 610,620,630, POD 7 710,720,730, POD 8 810,820,830, UAM instalace budou využívat IP v rozsahu , které dostanete přiděleny před akcí Instalace imc UAM Stáhněte si HP Smart Connect appliance na stránce: oductnumber=jg766aae&lang=&cc=&prodseriesid=&ordernumber=&purchasedate= Jde o připravenou VM s předinstalovaným imc, UAM i databází, ve které po inicializaci získáte 2 měsíce trial. Naimportujte ji do svého počítače s hypervisorem (VMware Workstation, Player nebo zdarma VirtualBox nezapomeňte, že žádný ze zmíněných není podporován pro produkční nasazení). Po úspěšném naimportování VM zatím nespouštějte. Nejprve upravte počty core CPU a přidělenou paměť schopnostem vašeho notebooku (minimum pro lab je 4 GB paměti, ideálně 6 GB). Klikněte na síťovou kartu, zvolte způsob připojení ven (pro lab to bude pravděpodobně Bridged) a klikněte na Advanced a tlačítkem Generate vygenerujte MAC adresu. 5

6 6

7 V případě VirtualBox reinicializujte MAC adresu při importu Spusťte VM a nalogujte se jako root s heslem imc_123. Nejprve do VM stáhněte následující aktualizace imc a UAM. Můžete například připojit VM na Internet a stáhnout přímo ve VM. Také můžete stáhnout soubory ve svém počítači a do VM je nakopírovat síťově SCP protokolem, který je ve VM automaticky k dispozici (použijte například WinSCP a nastavte si nějakou dočasnou IP přes ifconfig a lokální síť). Další možnost je nainstalovat VMware tools a sdílené adresáře a tak podobně. 7

8 =&cc=&prodseriesid= (stáhnout Linux verzi imc E0303) =&cc=&prodseriesid= (stáhnout UAM E0302 a také nejnovější patch, například E0302P07) Ujistěte se, že soubory máte ve VM a jsou rozbalené před tím, než budete pokračovat dál. Otevřete terminálové okno provedeme inicializaci appliance: Provedeme iniciální konfiguraci appliance. Použijte MAC adresu, kterou jsme pro VM generovali a nastavte IP adresu, masku a gateway dle schématu, jak vám bylo přiděleno. 8

9 Ověřte, že se IP adresa nastavila a od této chvíle ji neměňte!! (jsou na ni navázány UAM služby): Otevřete HP imc Deployment Monitoring Agent: 9

10 Klikněte na Install a namiřte do adresáře s rozbalenou aktualizací imc: 10

11 Klikejte na Next a pokračujte v instalaci. 11

12 Se vším souhlaste, dokud se nedostanete na konec. Nespouštějte imc, nejdříve musíme upgradovat UAM komponentu. Vraťte se do záložky monitor a znovu klikněte na Install. Namiřte na UAM E0302 a klikejte tak dlouho, dokud nebude nainstalována a upgradována. Po skončení totéž opakujte pro instalaci posledního patch, například UAM E0302P07. Vraťte se na záložku monitor a nastartujte imc a také zaškrtněte, aby se tak stalo automaticky i po rebootu. 12

13 Vyzkoušejte se připojit na IP adrese imc buď jako: (poznámka: při obvyklé instalaci imc a ne Smart Connect je použit port 8080) nebo 13

14 1.3. Klientská VM Pro laby dostanete ještě VM s téměř čistou instalací Windows 7 a tu zprovozníme na druhém počítači ve dvojici. Tento bude sloužit jako klient a bude se přihlašovat do sítě. Důvod, proč používáme VM je, abychom mohli zařadit počítač do domény, nastavit ho politikami a co nejvíce se přiblížit reálným situacím Připojení switchů k imc/uam Nastavení prvku s Comware Pokud pracujete s prvkem s Comware OS verze 5, použijte konzolový kabel pro iniciální konfiguraci. Potřebujeme nastavit přihlašovací údaje, zapnout telnet, zapnout SNMP a nastavit IP adresu (dle přiloženého schématu, tzn X kde X je číslo skupiny). local-user hp password simple hp authorization-attribute level 3 service-type ssh telnet snmp-agent snmp-agent community write hp snmp-agent sys-info version all user-interface vty 0 4 authentication-mode scheme vlan 199 interface Vlan-interface1 ip address telnet server enable Nastavení prvku s ProVision OS Pokud pracujete s prvkem s ProVision OS, použijte konzolový kabel pro iniciální konfiguraci. Potřebujeme nastavit přihlašovací údaje, zapnout telnet, zapnout SNMP a nastavit IP adresu (dle přiloženého schématu, tzn X kde X je číslo skupiny). vlan 1 ip address snmp-server community "hp" unrestricted password manager user-name hp plaintext hp Přidání do imc Nalogujte se do imc a klikněte na Add Device 14

15 Vyplňte potřebné parametry zejména IP adresu, typ přístupu, komunitu a jméno/heslo 15

16 16

17 Klikněte na Device Details a ověřte, že jsou informace o zařízení vidět. Klikněte na Modify Telnet Settings a na tlačítko Test a ujistěte se, že je vše v pořádku Příprava VLAN na Comware prvku Pro laby budeme využívat dynamických VLAN a centrálního DHCP serveru (jeho nastavení nemusíte řešit). Budeme používat 4 VLAN bez IP adres (DHCP server je v core) jejichž ID najdete v přehledové 17

18 tabulce (je to X10, X20, X30 a X40, kde X je číslo vaší skupiny). VLANy dejte na uplink do core a na prvních čtyřech portech prvku nastavte VLAN X10. vlan 110 vlan 120 vlan 130 vlan 140 interface range g 1/0/1 to g 1/0/8 port access vlan 110 interface GigabitEthernet1/0/24 description core_uplink port link-type trunk port trunk permit vlan Příprava VLAN na ProVision prvku Pro laby budeme využívat dynamických VLAN a centrálního DHCP serveru (jeho nastavení nemusíte řešit). Budeme používat 4 VLAN bez IP adres (DHCP server je v core) jejichž ID najdete v přehledové tabulce (je to X10, X20, X30 a X40, kde X je číslo vaší skupiny). VLANy dejte na uplink do core a na prvních čtyřech portech prvku nastavte VLAN X10. vlan 110 vlan 120 vlan 130 vlan 140 interface 1/1-1/8 untagged vlan 110 interface 1/24 name core_uplink interface 1/24 tagged vlan 110,120,130, Základní ověřování do sítě 2.1. MAC autentizace Náš lab začneme něčím velmi jednoduchým ověřování podle MAC adresy. V praxi nedoporučuji tuto metodu nasazovat pro běžné uživatele, protože z pohledu správy takového řešení (tedy udržování databáze uživatel MAC) je to náročně. Na druhou stranu jsou situace, kdy je tento způsob velmi vhodný: Tiskárna, která nepodporuje 802.1X IoT a jiné zařízení bez 802.1X (IP kamera, senzor, zámek, ) Průmyslové vybavení Zařízení, které nelze nijak spravovat a použití webového ověřování není vhodné MAC autentizace na prvku s Comware 5 Na prvku Comware budeme využívat sjednocenou metodu přes port-security. Pro MAC uvěřování budeme při RADIUS komunikaci používat MAC adresu jako user name bez jakékoli domény (tak se chová ProVision a Cisco, tak ať je to jednotné). Comware pracuje tak, že domény rozeznává musíme tedy vytvořit RADIUS schéma, novou doménu a po zapnutí MAC ověřování na portu vynutit použití této domény (byť se její název na UAM nijak nedostane). 18

19 port-security enable radius scheme uam_no_domain server-type extended primary authentication key simple hp primary accounting key simple hp timer realtime-accounting 3 user-name-format without-domain nas-ip accounting-on enable domain macauth authentication lan-access radius-scheme uam_no_domain authorization lan-access radius-scheme uam_no_domain accounting lan-access radius-scheme uam_no_domain interface range g 1/0/1 to g 1/0/4 port-security port-mode mac-authentication mac-authentication domain macauth MAC autentizace na prvku s ProVision OS Na prvku ProVision jsou příkazy velmi podobné jako na Cisco nastavíme RADIUS server, zapneme accounting a MAC ověření na portu. Všimněte si, že ProVision ve výchozím stavu neukládá hesla ani shared secret do konfiguračního souboru, ale udržuje je v nedostupné části flash (to můžete změnit příkazem include-credentials). radius-server host key hp radius-server host dyn-authorization aaa accounting network start-stop radius aaa accounting system start-stop radius aaa accounting update periodic 3 aaa port-access mac-based 1/1-1/ Přidání prvků do UAM Nejdříve musíme v UAM nastavit Access Device, tedy RADIUS klienty. Tímto říkáme, že jsme ochotni s daným prvkem komunikovat, s jakým klíčem, do jaké lokality máme toto zařízení zařadit (pro pozdější vytváření politik podle typu přístupu) a take typ zařízení (přiřazení slovníku, tedy jaké atributy ovládá a jaké formáty očekává apod.). Klikněte na User, User Access Policy, Access Device Management, Access Device 19

20 Klikněte na Add a přidejte váš prvek. Vyplňte správný shared secret a správný typ zařízení (HP Comware nebo HP ProCurve) UAM umožňuje z grafického prostředí provádět nastavení autentizace u některých prvků, ale zkušení harcovníci jistě raději koukají do prvků přímo, že? UAM služba a politika Základní schéma jakým UAM funguje je znázorněno zde: 20

21 User Service Policy Lokální LDAP user MAC Computer BYOD anonym Přiřazen do service s příslušným suffix (doménou) Kdy? Odkud? Z jakého AP? Jaké SSID? Jaký endpoint (BYOD)?... Padne do konkrétní policy Typ autentizace VLAN ACL QoS... Začněme tedy tím, že vytvoříme jednu Access Policy. Klikněte na User, User Access Policy, Access Policy a Add pro přidání nové. Nebudeme tam začím řešit vůbec nic, jen jí dejte jméno a budeme zařazovat do VLAN 110. Vytvořte service bez suffix a zatím nedělejte žádné scénáře jednoduše přiřaďte připravenou policy jako výchozí. User, User Access Policy, Access Service, Add. 21

22 Testovací režim UAM umožňuje zapnout testovací režim spočívající v tom, že v případě, že podle policy má uživateli zakázat přístup, tak mu tento povolí, ale loguje normálně. Uživatel je tedy zobrazen jako authentication failure se všemi důsledky, ale RADIUS ho vpustí do sítě. Pro začátek to může být dobrý způsob jak si pohrát v živé síti s velmi malým rizikem. Zkuste si testovací režim zapnout v User, User Access Policy, Service Parameters, System Settings, System Parameters, User Authentication Test Mode Zapněte druhý počítač a připojte ho do jednoho z prvních čtyř portů přepínače. Pokud jde vše správně, měli byste se dostat do sítě (díky testovacímu módu), ale UAM zaznamená požadavek jako zamítnutý a sdělí vám důvod. Podívejte se do User, User Access Log, Authentication Failure Log říká nám, že uživatel nebyl úspěšný, protože buď neexistuje, nebo není přiřazen k žádné vhodné službě. 22

23 MAC účet v UAM Pro začátek vytvoříme jednoduchý MAC účet v UAM. V systému lze rozlišovat platform uživatele (User) a přístupové účty (User Access Account). Struktura je následující: Platform user Kontakt, ID, , telefon + jakékoli vlastní atributy Access User LDAP/AD účet Pro naprostou většinu scénářů Access User MAC účet Například pro rychlé přihlášení zařízení MAC autentizací (například BYOD, senzor,...) Access User lokální login Například separátní jméno a heslo pro správu hostů nebo přístup do speciálních systémů apd. UAM/iMC tedy eviduje uživatele včetně různých dodatečných údajů a najdete je v záložce User, User Management. Do evidence si můžete přidat libovolná vlastní políčka v Additional Information. Pro vlastní přihlašování do sítě je ale rozhodující přístupový účet, které jsou k nalezení v User, Access User, All Access Users 23

24 Tady můžeme kliknout na Add a přidáme nového uživatele, ale my si to trochu zjednodušíme. Vraťte se do Authentication Failure logu a klikněte na následující ikonu: Tímto jsme se dostali do stejného dialogu jako by bylo ono tlačítko Add, ale jménu uživatele máme předvyplněno. Další co musíme vyplnit je platform user (User Name), žádného ale zatím nemáme Klikněte tedy na Add User a vytvoříme nového platform uživatele s názvem MojeTiskarna 24

25 Po zmáčknutí OK se vracíme do vytváření přístupového účtu. Zaškrtněte, že je typu MAC User (dělat to nemusíte, ale GUI nám vymaže určitá políčka, která v ten okamžik nemají význam, takže je to jednodušší na orientaci). Přiřaďte tomuto uživateli službu Tiskárny Klikněte na OK a tímto je uživatel připraven 25

26 Klikněte na User, Access User, Online Users a odpojte a znovu se připojte se do portu se zapnutým MAC ověřováním (stačilo by i chvíli čekat) Tato stránka je důležitá, doporučuji si ji dát do oblíbených 26

27 Pokud na této stránce nic nevidíte, ale uživatel je v síti, máte s největší pravděpodobností problém s accountingem. RADIUS protokol pro ověřování je bezestavový, ale UAM chce držet informace kdo kde je, kdo je ještě připojen a tak podobně proto vyžaduje správně fungující accounting (lze to perdevice vypnout, ale přicházíte tak o mnoho věcí). Ověřte tedy, že accounting dorazí do serveru (tzn. je nastaveno v přepínači, jde na správnou IP, se správným key, není po cestě blokován port 1813) Co se děje? Jak to funguje? Můžete použít Wireshark (mimochodem jednoznačně nejlepší nástroj pro troubleshooting RADIUS problémů), doporučuji například mít nainstalováno přímo na UAM serveru (v našem případě stačí pustit Wireshark na host počítači nad Ethernet portem) jako filter zadejte radius a sledujte. Co se tedy všechno děje a co je důležité? První co se stalo je, že switch posílá Access-Request. Co znamenají některé parametry a proč jsou důležité: User-Name uživatelské jméno (případně včetně domény) je posíláno jako plain text, což je důležité pro rozhodování RADIUS serverů (například pro podporu RADIUS chaining apod.) User-Password tohle políčko vidíme, protože jde o jednoduchou PAP autentizaci později v labu poznáme EAP, pokročilejší metodu NAS-IP-Address je IP adresa přístupového prvku tato je zásadní pro přiřazení policy (lze mít odlišnou politiku podle NAS-IP, v UAM se tomu říká Access Device Group a najdete to v Access Condition). Pro shared secret a zařazení RADIUS klienta je naopak rozhodující 27

28 zdrojová IP paketu. Většinou tyhle dvě budou stejné, ale nemusí to být vždy (například je-li v cestě RADIUS paketu NAT UAM tento scénář podporuje) NAS-Identifier je textový řetězec a co je v něm záleží na implementaci v prvku. V drátové síti nemusí být nijak zásadní, ale klíčový je pro kontrolerem řízenou WiFi. Protože do UAM mluví kontroler, mají všechna AP stejnou NAS-IP nicméně můžete jednotlivým AP nakonfigurovat jejich NAS-ID a podle toho rozlišovat lokality (v UAM najdete po názvem AP Group v Access Condition) NAS-Port, NAS-Port-Id a NAS-Port-Type obvykle identifikují port (v případě Comware wireless DBSS port, tedy kombinaci AP, rádia a SSID). Comware Port-Id je textové a UAM tytp informace parsuje, takže v logu najdete přímo čísla portu, subslotu a slotu i VLAN ID portu (řekněme PVID neboli untagged VLAN před ověřením). Service-Type je atribut, podle kterého UAM rozhoduje, jestli se jedná o ověření uživatele do sítě nebo o ověření administrátora prvků (type Login(1)) administrátoři jsou zpracováváni z bezpečnostních důvodů odděleně. Calling-Station-Id ve většině případů obsahuje MAC adresu klienta Called-Station-Id v našem příkladě není, ale je běžná u wireless, kde je obvykle kódována jako BSSID (tzn. MAC adresa rádia) : SSID tento atribut UAM používá ke zjištění a zobrazení SSID, takže může aplikovat různé politiky podle SSID (SSID Group v Access Condition) Acct-Session-Id je číslo budoucí accounting session Paket z ProVision vypadá velmi podobně (všimněte si, že je využito CHAP místo PAP): Výborně, UAM tedy dostalo mnoho informací, projede politiky a přijme rozhodnutí, která zahrnují i autorizační atributy jako VLAN, ACL, QoS apod. (o tom později). 28

29 Tedy je tedy vidět Access-Accept zpráva obsahující i Tunnel informace (standardní způsob určení VLAN). Zmiňme ještě jeden atribut Session-Timeout. Ten udává maximální délku session ve vteřinách a představuje 24 hodin. Switch tedy musí odpojit uživatele po této době (reautentifikovat) kromě toho může mít prvek i vlastní konfiguraci reautentizační periody, ale obvykle je nejlepší držet toto centrálním způsobem v UAM. Pokud je účet těsně před vypršením, UAM tento údaj zkrátí (například pokud účet vyprší za tři minuty, pošle UAM číslo 180). Maximální hodnotu můžete změnit v User, User Access Policy, Service Parameters, System Settings, System Parameters, Max. Session Duration: Když už jsme na této stránce jak UAM řeší stavovost? Tu do systému vnáší accounting (viz dále). UAM po úspěšném ověření drží uživatele v paměti a čekat na Accounting START paket po dobu pěti vteřin (Authentication Lock Time). Ujistěte se tedy, že Accounting START přijde v tomto časovém okně! Pokud potřebujete delší čas čekání (meziplanetární komunikace, DHCP Snooping na ProVision prvku o tom později), prodlužte tuto hodnotu. Jak UAM spáruje onen autentizační a accounting paket? Používá dvou způsobů: Dává dohromady user-name, MAC adresu (Calling-id) a NAS-IP Protože některé prvky na trhu neposílají Calling-id v accountingu (například Mikrotik) zkouší UAM i druhou možnost, a to parsovat user-name, NAS-IP a Acct-Session-Id (to zas v Access- Request neposílají jiní) Začíná tedy accounting: 29

30 Některé atributy jsou stejné, ale pro tento okamžik je zásadní Acct-Status-Type Start(1), tedy jde o START paket, session nám začíná. UAM odpoví potvrzením příjmu V tento okamžik se uživatel objevil v naší online tabulce. V prvku jsme nastavili interim update na 3 minuty (výchozí stav je 12 minut), tedy prvek bude informovat o průběhu běžící session a UAM bude aktualizovat informace. UAM očekává, že update 30

31 přijde minimálně každých 30 minut, jinak prohlásí session za mrtvou (například po násilném vypnutí prvku). Tuto hodnotu můžete změnit v nastavení: Mimochodem prvky mohou posílat také accounting-on packet. Jde o situaci, kdy dojde právě k násilnému restartu zařízení. Po jeho naběhnutí prvek může poslat accounting-on paket, který informuje UAM, že k této události došlo a pokud zůstaly nějaké session vyset, mohou se odmazat tedy že začínáme s čistým stolem. (to jsme v Comware udělali příkazem accounting-on a v ProVision nastavením accounting na system). Před soft rebootem je posláno i Accounting-Off, tedy budeme náhle končit, všechno se odpojuje. Počkejte tři minuty a přijde nám interim-update accounting paket: 31

32 Jak vidíte to hlavní, co přináší navíc, jsou údaje o přenesených datech. V online tabulce UAM se aktualizovala Online Duration Klikněte na tečky v Operation a dejte Detail Toto jsou detailní informace o klientovi včetně aktuálních údajů o přenesených datech 32

33 Ukončete tuto session například odpojením kabelu ze stanice. 33

34 Switch pošle accounting STOP paket. Uživatel zmizel z online tablky (už není online), ale najdeme ho v historickém logu. Podívejte se do User, User Access Log, Access Details: V Customize GUI si můžete vybrat i jiné údaje na hlavní stránku 34

35 Klikněte v seznamu na ikonku Details a pohlédněte si, co je k dispozici Přiřazení VLAN V UAM politice jsme nastavili VLAN ID a to bylo přiřazeno uživateli. V Comware 5: dis mac-authentication int g 1/0/2 35

36 GigabitEthernet1/0/2 is link-up MAC address authentication is enabled Authenticate success: 1, failed: 0 Max number of on-line users is 256 Current online user number is 1 MAC Addr Authenticate State Auth Index 001b-38f4-f1b0 MAC_AUTHENTICATOR_SUCCESS 1 display mac-address 001b-38f4-f1b0 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 001b-38f4-f1b0 110 Learned GigabitEthernet1/0/2 NOAGED mac address(es) found --- HP-2920(vlan-110)# show port-access mac-based Port Access MAC-Based Status Auths/ Unauth Untagged Tagged % In RADIUS Cntrl Port Guests Clients VLAN VLANs Port COS Limit ACL Dir Port Mode /1 1/ No No No No both 1000FDx 1/2 0/0 0 None No No No No both 1000FDx 1/3 0/0 0 None No No No No both 1000FDx 1/4 0/0 0 None No No No No both 1000FDx 36

37 Na Comware i ProVision pojmenujte VLAN 110 (příkaz je stejný) vlan 110 name tisk 37

38 Můžete si ověřit, že přiřazení funguje. UAM stejným způsobem funguje i s prvky Cisco, které rovněž podporují přiřazení jak přes ID, tak jméno. Co použít záleží na konkrétní situaci: VLAN ID může mít jednodušší troubleshooting, protože právě podle ID si testujete spojení a kontrolujete nastavení. Překlep ve jménu VLAN může být obtížnější k nalezení Používání VLAN name umožňuje mít pod tímto jménem vždy jiné VLAN ID, což může být výhodné. Například představme si směrovanou síť, kdy máme centrální core prvek a k němu připojené patrové rozvaděče. Každý rozvaděč má svou sadu VLAN třeba Student a Ucitel podle schématu X10 a X20 kde X je číslo rozvaděče. Všechny VLAN jako je 110, 220, 320 pak mohou mít stejné jméno, což zjednodušuje přiřazení policy. Nezapomeňte, že imc platforma nabízí VLAN management pokud máte čas, vyzkoušejte si: 38

39 2.2. Jednoduché 802.1X Pojďme si vyzkoušet nějaké základní velmi jednoduché 802.1X s využitím lokálních účtů a bez certifikátů a podobných věcí, které přijdou později. Jako klienta budeme používat dodanou labolatorní VM s Windows 7. Důvodem je, že většina firemních laptopů vám nemusí politikou umožnit měnit nastavení přihlašování do sítě a hlavně nebudete chtít váš počítač zařadit do laboratorní domény (což přijde později, zatím to nedělejte). VM nám bude simulovat jednoduché klienta, který neumí certifikáty a používá EAP-MD5. Tato metoda ve Windows sice stále je, ale je zakázána pro účely hraní si ji lze povolit zásahem do registru dle návodu na (to už je ale VM připraveno). S touto metodou ověřování se setkáte často u tiskáren a telefonů ty obvykle z 802.1X umí EAP- MD5 a EAP-TLS, ale import klientských certifikátů pro EAP-TLS u nich může být administrativně náročný. Běžně tak budete IP telefony nebo tiskárny ověřovat přes EAP-MD X na prvku s Comware 5 Nastavíme se prvek s Comware 5. V první řadě je nutné zapnout dot1x metodu na EAP stare věci typu CHAP dnes už nemají opodstatnění. Následně si založíme nové radius schema pro MAC ověřování jsme chtěli používat uživatele zcela bez domény (hlavním důvodem byla konzistence mezi Comware, ProVision a Cisco). Pro 802.1X doménu potřebujeme. Comware dokáže přímo v prvku konfigurovat a následně parsovat domény, takže jeden port může podle skutečné domény uživatele v 802.1X paketech použít pokaždé jiný RADIUS server. To je nesmírně flexibilní konfigurace nicméně pro nás teď zbytečná. Využijeme tedy výchozí domény system a v RADIUS schématu nebude do username nijak zasahovat. dot1x authentication-method eap radius scheme uam server-type extended primary authentication key hp 39

40 primary accounting key hp timer realtime-accounting 3 user-name-format keep-original nas-ip accounting-on enable domain system authentication lan-access radius-scheme uam authorization lan-access radius-scheme uam accounting lan-access radius-scheme uam interface range g 1/0/5 to g 1/0/8 port link-mode bridge port access vlan 110 port-security port-mode userlogin-secure-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Na portech 5-8 jsme zapnuli port-security režim na 802.1X, vypnuli jsme dot1x handshake (tato část standardu nebyla stanicemi nikdy dobře implementována některé OS by se vám se zapnutým handshake odpojovaly), vypnuli multicast-trigger a nechali unicast trigger (dnes to už není tak významné, vychází to ze suplicantů, kteří nezahájili komunikaci samostatně a museli se postrčit prvkem) X na prvku s ProVision OS ProVision implementace není tak flexibilní co do práce s doménami, ale pro náš jednoduchý scénář nabízí obdobně jednoduchou konfiguraci: aaa authentication port-access eap-radius aaa port-access authenticator 1/5-1/8 aaa port-access authenticator active Lokální uživatel a policy v UAM Vytvoříme teď novou service, novou access policy a nového uživatele. Jděte do User, User Access Policy, Access Policy a klikněte na Add. Přidáme novou službu Telefony a budeme přiřazovat VLAN 120: 40

41 Vytvoříme novou service A přidáme uživatele. Tentokrát ovšem s vyplněným heslem. Někdy zákazníci nemají účet pro každý telefon zvlášť, ale jeden globální všechny telefony se tedy přihlašují stejným účtem. Proto musí zvýšit hodnotu povolených současných ověření (tedy současných session). 41

42 Zařaďte do správné service Nastavení klienta a zkouška Nastartujte Windows 7 VM s klientem a ujistěte se, že je bridgována na síťovou kartu. Připojte host do prvku na portech 5-8, klikněte pravím tlačítkem na symbol sítě a otevřete dialog. Klikejte na nastavení adaptéru, nastavení IP až se dostanete k záložce authentication. Pozor k tomu, aby tam byla, musí běžet nativní supplicant, tedy služba Wired autoconfig. Ve vaší VM už je to zajištěno, v enterprise to obvykle bude řešit doménová politika (GPO k tomu se dostaneme). Nastavte autentizaci na EAP-MD5 42

43 Klikněte na další nastavení a zapněte autentizaci uživatele 43

44 Protože používáte autentizaci ve VM, ale ta musí procházet switchem hypervisoru, fyzický stav linku se replikuje se zpožděním. Možná bude dobré kabel nechat být a vypínat a zapínat přímo adaptér uvnitř vaší VM. 44

45 Po zapnutí vám vpravo dole vyskočí hláška o přihlášení. To je něco co později v enterprise části labu samozřejmě používat nebudeme, ale chceme začít od jednodušších věcí. zadejte login telefonu Podívejte se do online tabulky, případně si prohlédněte packet trace ve vašem Wireshark. Telefon by měl být online. No a takhle vypadá pár výpisů v Comware: 45

46 dis dot1x int g 1/0/6 Equipment 802.1X protocol is enabled EAP authentication is enabled EAD quick deploy is disabled Configuration: Transmit Period 30 s, Handshake Period 15 s Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Reauth Period 3600 s The maximal retransmitting times 2 EAD quick deploy configuration: EAD timeout: 30 m The maximum 802.1X user resource number is 1024 per slot Total current used 802.1X resource number is 1 GigabitEthernet1/0/6 is link-up 802.1X protocol is enabled Handshake is disabled Handshake secure is disabled 802.1X unicast-trigger is enabled 802.1X user-ip freeze is disabled Periodic reauthentication is disabled The port is an authenticator Authentication Mode is Auto Port Control Type is Mac-based 802.1X Multicast-trigger is disabled Mandatory authentication domain: NOT configured Guest VLAN: NOT configured Auth-Fail VLAN: NOT configured Critical VLAN: NOT configured Critical recovery-action: NOT configured Voice VLAN: NOT configured Max number of on-line users is 256 EAPOL Packet: Tx 55, Rx 22 Sent EAP Request/Identity Packets : 30 EAP Request/Challenge Packets: 0 EAP Success Packets: 5, Fail Packets: 8 Received EAPOL Start Packets : 7 EAPOL LogOff Packets: 0 EAP Response/Identity Packets : 10 EAP Response/Challenge Packets: 5 Error Packets: 0 1. Authenticated user : MAC address: Controlled User(s) amount to 1 a takhle na ProVision: show port-access authenticator clients Port Access Authenticator Client Status Port-access authenticator activated [No] : Yes Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 46

47 Port Client Name MAC Address IP Address Client Status /5 telefon n/a Authenticated show mac-address Status and Counters - Address Table Port VLAN /5 120 Nechte uživatele připojeného a jdeme dál Grafické zobrazení v topologii Klikněte na User, Access User, Access Topology Přidejte novou topologii kliknutím na Add 47

48 Rozklikněte topologii kliknutím na název Klikněte na Add Device a přidejte vaše zařízení Přepněte na grafické znázornění (vpravo nahoře) 48

49 Klikněte na a vyhledejte online uživatele a přišpendlete ho na topologii Následně uvidíte v reálném čase kde je uživatel připojen Přes pravé tlačítko můžete udělat operace jako je vykopnutí a zařazení do black listu 49

50 Rozložení obrazovky si můžete uložit kliknutím na disketu. Stejné topologie najdete i přes záložku Resource, Network Topology, kde se vám otevře nové okno speciálně na access, ale i jiné topologie. Mimo tento lab pokud máte bezdrátové řešení, imc WSM modul a podporu lokalizace klientů (fyzické umístění ve WiFi síti), je takový obrázek korelován z informace z UAM. 50

51 2.4. Jak získat informace o IP klienta Jak si můžete ověřit Wiresharkem MAC ověřování stejně jako 802.1X probíhá ještě před jakoukoli další komunikací se sítí, tedy před DHCP. Tzn. v průběhu ověřování nemá uživatel žádnou IP adresu. Přesto by z pohledu accountingu, bezpečnosti i snadného dohledávání bylo fajn takovou informaci mít. Některé prvky, HP Comware dráty i bezdráty stejně jako HP ProVision mezi ně patří, umožňují přidat informaci o IP klienta do accounting paketů. UAM na to reaguje a updatuje příslušné údaje. Ve všech případech je k tomu využito informací z DHCP Snooping jinak řečeno je nutné nasadit DHCP snooping, aby byla IP v RADIUS paketu. Nezapomeňte, že to není funkce, která se jen zapne, ale musíte nastavit správné trust informace apod. Prvky mají lehce odlišné chování, pojďme si to vyzkoušet DHCP-Snooping a accounting s Comware 5 Jak zapnout DHCP Snooping na Comware 5? dhcp-snooping interface g 1/0/24 dhcp-snooping trust Připojte stanici znova. Jak to bude fungovat? Accounting START paket nic takového neobsahuje: Asi po 100ms je už ale adresa známá display dhcp-snooping DHCP Snooping is enabled. The client binding table for all ports. Type : D--Dynamic, S--Static, R--Recovering Type IP Address MAC Address Lease VLAN SVLAN Interface ==== =============== ============== ============ ==== ===== ================= D c-29b8-5a N/A GE1/0/6 51

52 --- 1 dhcp-snooping item(s) found --- a Comware posílá interim-update: Což je reflektováno v UAM DHCP-Snooping a accounting s ProVision ProVision prvek se zapnutým DHCP Snoopingem je schopen reportovat do RADIUS IP adresu klienta v rámci accounting paketů. Implementace ProVision funguje tak, že se pozdrží Accounting START paket v rozmězí 0-60 vteřin. UAM ve výchozím nastavení vyžaduje, aby accounting START přišel do 5 vteřin. Pro podporu ProVision musí změnit nastavení v UAM. Jděte do User, User Access Policy, Service Parameters, System Settings, System Parameters a nastavte Authentication Lock Time na 65 vteřin. Následně zapněte DHCP Snooping v prvku globálně a na potřebných VLAN a nezapomeňte označit trusted port odkud přichází pakety z oprávněného DHCP serveru. dhcp-snooping trust 1/24 52

53 dhcp-snooping dhcp-snooping vlan Připojte uživatele a ověřte, že vznikl záznam v DHCP Snooping tabulce. HP-2920(config)# show dhcp-snooping bi MacAddress IP VLAN Interface Time Left c29-b85a / Po nějaké době posílá switch Accounting START paket včetně IP adresy klienta což reflektuje i UAM 2.5. Více uživatelů a/nebo více metod na portu Jsou situace, kdy je potřeba ověřit více než jednoho uživatele na portu: Počítač připojený za telefonem (ten funguje jako malý switch) Do portu je připojen switch bez možnosti správy a implementace bezpečnosti Stejně tak existují situace, kdy chceme na jednom portu kombinovat více typů ověření (tedy MAC ověření, 802.1X a případně webový portál): 53

54 Tiskárny a kamery ověřujeme podle MAC, ale nechceme mít konfigurace fyzických portů specificky podle připojeného zařízení hledáme univerzální konfiguraci portu pro všechny scénáře (jednoduchost nasazení, netřeba řešit kam co se připojuje) Na portu chceme kombinovat víc metod, například 802.1X pro klienta připojeného za telefonem s MAC ověřováním Poslední otázkou je, zda je možné kombinovat zařízení, která nepodporují VLAN tagging HP Comware i ProVision podporují MAC VLAN s dynamickým přiřazením dle RADIUS. To v praxi znamená, že můžete mít na portu připojená dvě zařízení, obě nebudou tagovat provoz (jde například o PC) a přitom switch přiřadí každé do jiné VLAN. Tuto technologii řada výrobců (včetně Cisco) neumí. HP, Cisco i další výrobci mohou podporovat režim, kdy je pouze jedna VLAN untagged (ta slouží pro připojené PC) a telefon musí svoje odchozí rámce tagovat do VLAN. V takovém případě je potřeba vyřešit otázku, jak bude telefon vědět, do jaké VLAN má svůj provoz tagovat (kdo mu to řekne) Více uživatelů untagged, Comware Na prvku s Comware použijeme hybridní typ portu, který dovoluje mít vícero VLAN přiřazených jako untagged a současně zapneme mac-vlan funkci. Díky tomu se může přihlásit více uživatelů a dostanou se do VLAN tak, jak jim je přiřadí RADIUS (UAM). interface range g 1/0/5 to g 1/0/8 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan untagged port hybrid pvid vlan 110 mac-vlan enable port-security port-mode userlogin-secure-or-mac-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Online users: Tiskárna (host): 54

55 Telefon (Guest VM) Výpis z CLI display dot1x int g 1/0/6 Equipment 802.1X protocol is enabled... GigabitEthernet1/0/6 is link-up 802.1X protocol is enabled Authenticated user : MAC address: 000c-29b8-5a72 display mac-authentication int g 1/0/6... Current online user number is 1 MAC Addr Authenticate State Auth Index 001b-38f4-f1b0 MAC_AUTHENTICATOR_SUCCESS

56 display mac-address 000c-29b8-5a72 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000c-29b8-5a Learned GigabitEthernet1/0/6 NOAGED display mac-address 001b-38f4-f1b0 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 001b-38f4-f1b0 110 Learned GigabitEthernet1/0/6 NOAGED Více uživatelů untagged, ProVision Pro MAC VLAN podporu musíte mít prvky ProVision 2920, 3800 nebo v2 moduly 5400/5400R/8200 a není to potřeba nijak zapínat (použijme příkaz mvb enable, ať vidíme, že tam je, ale je to zapnuté by default), jen zvýšíme počet možných klientů. aaa port-access 1/5-1/8 mbv enable aaa port-access authenticator 1/5-1/8 client-limit 10 aaa port-access mac-based 1/5-1/8 aaa port-access mac-based 1/5-1/8 addr-limit 10 show port-access 1/5 authenticator clients detailed Port Access Authenticator Client Status Detailed Port-access authenticator activated [No] : Yes Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No Client Base Details : Port : 1/5 Client Status : Authenticated Session Time : 234 seconds Client name : telefon Session Timeout : seconds IP : n/a MAC Address : 000c29-b85a72 Access Policy Details : COS Map : Not Defined In Limit Kbps : Not Set Untagged VLAN : 120 Out Limit Kbps : Not Set Tagged VLANs : No Tagged VLANs Port Mode : 100FDx RADIUS ACL List : No Radius ACL List 56

57 show port-access 1/5 mac-based clients detailed Port Access MAC-Based Client Status Detailed Client Base Details : Port : 1/5 Client Status : authenticated Session Time : 293 seconds MAC Address : 001b38-f4f1b0 Session Timeout : seconds IP : n/a Access Policy Details : COS Map : Not Defined In Limit Kbps : Not Set Untagged VLAN : 110 Out Limit Kbps : Not Set Tagged VLANs : No Tagged VLANs Port Mode : 100FDx RADIUS ACL List : No Radius ACL List 2.6. Zabudované webové ověřování V praxi bych v každém případě doporučil centrální webové ověřování s využitím Comware portal protokolu. Ten pracuje na L3, takže stačí vytvořit speciální VLAN a v jejím L3 prvku umístit Comware portal navázaný na UAM. Tímto způsobem je nutné konfigurovat jen jedno místo a podporovány jsou tak jakékoli prvky přivedené do zmíněného L3 zařízení (tedy Comware, ProVision, Cisco, ). Jak na to? Navštivte lab Jakuba Tikovského kolem WiFi a BYOD, vyzkoušíte si to. My se tedy zaměříme na L2 webové ověřování zabudované přímo v prvku. Má to některé výhody můžete přímo z RADIUS přiřazovat VLAN na port a provoz odbavit přímo tam. Na druhou stranu nemáte takovou kontrolu nad designem stránky nebo to alespoň není tak pohodlné. Všechny parádičky v řízení přístupu hostů (guest management v UAM QR kódy, hesla SMSkou, schvalování sponzorem přes QR kód nebo , časově omezené kartičky) jsou součástí UAM a potřebují plnohodnotný centralizovaný portál. Srovnejme L2 a L3 portál: L2 portál Comware L2 portál ProVision L3 portál Comware Centrální správa stránky NE NE ANO Podpora externího web serveru NE ANO ANO (musí být) Plnohodnotná úprava zabudovaného web ANO NE -- serveru Možnost přiřazovat VLAN uživateli ANO ANO NE UAM portálové funkce a guest NE (pouze tzv. NE ANO management GAM) RADIUS ověřování ANO ANO ANO Transparentně připojitelný jiný access ANO (3000 na switch) ANO (256 na port, u 25xx ANO Podpora více uživatelů v jiných untagged VLAN na portu ANO méně) ANO (jen 2920, 3800, 5400, 8200) -- 57

58 Podpora lokálních účtů v prvku ANO ANO (jen jeden společný) ANO (ale stejně je potřeba UAM jako web server) BYOD redirect Pro některé BYOD scénáře je potřeba, aby existoval registrační mechanismus webové stránka, na kterou se lze přihlásit třeba účtem z Active Directory a zaregistrovat například svoje mobilní zařízení (MAC adresu) případně spustit proces jeho zařazení (nahrání certifikátu, spuštění nástroje pro nastavení WiFi profilu apod.). V takové registrační VLAN je potřeba mít zařízení, které provede HTTP redirect na BYOD stránku v UAM, ale nic dalšího není potřeba. Tento úkon stačí provést na L3 zařízení (nikoli na každém L2 access prvku). Jde v zásadě o podmnožinu L3 portal protokolu a tato funkce je k dispozici jak v Comware na prvcích ProVision od verze L2 webový portál v Comware Webový portál zabudovaný v Comware musíme navázat na nějaký L3 interface, nicméně pro náš scénář nebude z praktických důvodů chtít, aby kamkoli vedl chceme pouze lokální síť nesměrovanou někam jinam. Vytvořme si takový interface: vlan 999 interface Vlan-interface999 ip address Klient ve svém prohlížeči bude zadávat nějaké DNS jméno, takže potřebujeme přístup na DNS. Mohli bychom zařídit, že bude interface 999 směrován do sítě na DNS server a v portal pravidlech na něj dát přístup, ale pojďme raději tuto síť nechat zcela izolovanou. Budeme tedy potřebovat, aby Comware prvek fungoval jako DNS proxy prvek bude mít na DNS přístup a bude služby ve formě proxy poskytovat našim hostům: dns proxy enable dns server Dále budeme potřebovat DHCP server, který klientům přidělí IP adresu tak, aby mohli přijít na přihlašovací stránku. V našem případě opět nechceme, aby to nějak souviselo se skutečnou infrastrukturou, takže použijeme DHCP server přímo v prvku. Současně také po úspěšném přihlášení dojde pravděpodobně ke změně VLAN, takže chceme nastavit velice krátký lease time. dhcp enable dhcp server ip-pool portal network mask gateway-list dns-list expired day 0 hour 0 minute 0 second 20 Teď už si můžeme nakonfigurovat lokální portálový server portal local-server http portal local-server ip portal redirect-url wait-time 30 Zbývá nastavit port použijeme hybridní typ portu, abychom mohli ověřovat i vícero uživatelů s tím, že PVID bude

59 interface g 1/0/9 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan untagged port hybrid pvid vlan 999 mac-vlan enable portal local-server enable Tímto jsme připraveni. Vypněte ve vašem klientovi 802.1X a připojte se na port 1/0/9. Prozkoumejte, jakou máte IP adresu. Otevřete webový prohlížeč. Centrální DNS server v labu nemusí být připojen na Internet, proto použijte interní webovou adresu hp.demo. Bude přesměrováni na portálový server uvnitř prvku. Abychom nemuseli zakládat nový účet, použijte telefon z předchozí části labu. 59

60 Počkejte chvíli a prozkoumejte svojí IP adresu a ujistěte se, že hlavní okno bylo přesměrováno labový web server L2 webový portál v ProVision Nastavení ProVision je velmi jednoduché a v zásadě stačí webové ověřovaní zapnout. Automaticky se řeší lokální DHCP server pro dočasnou IP, lokální DNS odpovídač a tak podobně. aaa port-access web-based 1/9 aaa port-access web-based 1/9 client-limit 32 aaa port-access web-based 1/9 redirect-url Vypněte ve vašem klientovi 802.1X a připojte se na port 1/0/9. Prozkoumejte, jakou máte IP adresu. 60

61 61

62 Ověřte, že máte IP adresu ze skutečné VLAN Kombinace L2 portálů s dalšími metodami ověření Zkombinování všech tří metod, tedy 802.1X, MAC ověřování a WEB ověřování na jediném portu vyžadovalo hodně zkušeností a promyšlenosti v zařízení. Ve starších prvcích nemusí být tato kombinace k dispozici (3100 SI, 5120 SI, 2520, 2610), ale úspěšně ji zprovozníte na prvcích, jako jsou 5120 EI, 5500, 5800, 2530, 2620, 2920, 3800 nebo Coby kdyby nedostupný server, nepovedené ověření V první řadě UAM nabízí možnosti redundantní nasazení, stejně jako Active Directory, prvky mají možnost záložních RADIUS serverů hlavních uživatelských centrech (hlavní administrativní budova apod.) zkrátka k výpadku dojít nesmí. Design redundantního UAM je za rámec tohoto labu a je k dispozici ve verzi 7.0 a 7.1 ve stateless režimu s vylepšeními plánovanými do verze 7.2. Nicméně jsou situace, kdy je plně redundantní řešení nákladné na to, co by přineslo. Takovým případem může být pobočka, která není do centrály připojena redundantním způsobem (dva operátoři, dva způsoby připojení, dva WAN routery) držet v ní lokální kopii Active Directory a lokální RADIUS není ekonomicky únosné. V takový okamžik je dobré mít přímo v prvcích možnost nějakého fail-open režimu. Nejen to možná došlo k situaci, s kterou jsme nepočítali. Uživatel byl RADIUSem odmítnut nebo vůbec nepodporuje žádné přihlašování a nedat mu žádnou konektivitu by bylo přehnaně přísné. Co umí prvky v tomto směru nabídnout? Guest VLAN na Comware 5 Comware 5 nabízí funkci Guest VLAN jejímž smyslem je dát konektivitu hostům. Pozor na to, že ji můžete nastavit pro 802.1X i pro MAC ověřování a v obou případech to má (záměrně) jiné chování: dot1x guest vlan říká, do které VLAN spadne uživatel, který se nepokusil (nebo ještě nezačal) s 802.1X ověřováním (tedy například host s nenakonfigurovaným počítačem). Jde o něco jiného, než počítač, který 802.1X začal, ale byl odmítnu RADIUS serverem! V případě MAC ověřování říká guest VLAN kam spadne uživatel, který neprošel MAC autentizací, tedy byl odmítnut RADIUS serverem (případ, že by se klient nepokusil neexistuje, protože to iniciuje prvek). Z toho také plyne důležitý poznatek pokud na portu kombinujete současně 802.1X a MAC ověřování, nenastavujte Guest VLAN u dot1x klient, který se nepokusí o 802.1X je automaticky zkoušen na MAC adresu, takže potřebujeme spíše Guest VLAN na MAC ověření. Přidejte tedy Guest VLAN na port 5-8, kde jsme zkoušeli 802.1X + MAC ověřování a také přidejte všechny potřebné VLAN na hybridní port. Celá konfigurace portu vypadá takhle: interface GigabitEthernet1/0/5 62

63 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Připojte klienta (naše VM) a ponechte vypnuté 802.1X ověřování. Ověřte, jakou máte IP adresu (z které VLAN). Zapněte 802.1X ověřování a ověřte, že se klientovi podařilo dostat z Guest VLAN do své právoplatné VLAN. 63

64 Právě jsme ověřili funkčnost Guest VLAN. V případě, že nemáte na portu MAC ověřování, použijte guest VLAN v rámci dot1x příkazu. Tento režim je možné použít k automatickému získání připojení na Internet pro hosty v síti. Alternativně je možné tuto Guest VLAN nastavit na takovou, ve které běží L3 portál tím se host automaticky dostane pod dikci centralizovaného Guest managementu v rámci UAM včetně všech vlastností, které s tím souvisí (registrace hostů, generování hesel zaslaných přes SMS, QR kódy, ověření sponzorem a tak podobně) Authentication Fail VLAN na Comware 5 Co se stane v případě, že klient začne 802.1X ověřování, ale to je aktivně odmítnuto RADIUS serverem? To není situace, kdy se aplikuje Guest VLAN, ale lze ji ořešit funkcí auth-fail VLAN. Kdy má smysl tuto funkci použít resp. kdy jsou lepší jiné metody? Pokud potřebujete ladit nastavení UAM může být lepší nastavit otevřený režim v UAM (už o tom v labu padla řeč), kdy UAM odpoví pozitivně i v případě, kdy má poslat reject (a přitom zaloguje reject, takže můžete dobře ladit a zkoušet) Někdy se používá technika, kdy se po dobu implementace nastaví auth-fail VLAN na síť, ve které uživatel získá nějakou konektivitu čistě proto, že v průběhu implementace můžeme čelit různým nedomyšlenostem a dělat chyby a chceme zmírnit dopad na uživatele Teoreticky může přijít do sítě host, který má na počítači zapnuté 802.1X takového uživatele považujeme hosta a chceme na něj aplikovat stejné pravidlo, jako když se přihlášení ani nepokusí (pak dejte auth-fail na stejnou VLAN jako guest VLAN) Přidejte na port auth-fail VLAN: interface GigabitEthernet1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext dot1x auth-fail vlan 130 undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Odpojte fyzický port a znovu se připojte (možná budete muset ve VM dát disable/enable). Až vám vyskočí bublina, zadejte schválně špatné jméno a heslo. Autentizace selže a Windows to tak bude hlásit, nicméně vytrvejte, Windows to po chvilce vzdají. Podívejte se na vaši IP adresu měla by být z rozsahu auth-fail VLAN. 64

65 Critical VLAN na Comware 5 Co se má stát v okamžiku, kdy není žádný z RADIUS serverů dostupný? Comware umožňuje na portu definovat VLAN, která se v takovém případě použije pro klienty. Typicky půjde o nějakou omezenou zabezpečenou VLAN, která ale umožní alespoň částečný provoz uživatelů. interface GigabitEthernet1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication critical vlan 120 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext dot1x auth-fail vlan 130 dot1x critical vlan 120 dot1x critical recovery-action reinitialize undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Odpojte UAM ze sítě, připojte klienta a prozkoumejte jeho IP adresu. 65

66 Guest VLAN na ProVision OS ProVision podporuje přiřazení hostovské VLAN v případě, že ověření se nezdaří a my chceme považovat takovou stanici za hosta. Guest VLAN můžete nakonfigurovat pro všechny tři metody ověření, ale platí následující pravidla: Guest VLAN pro 802.1X můžete nastavit pouze na portu, který nemá také zapnutou MAC nebo WEB autentifikaci (což je logické, jinak by se tyto metody nedostaly ke slovu) Pokud používáte MAC i WEB (a třeba i 802.1X) ověření na jednom portu, můžete nastavit Guest VLAN buď na MAC nebo WEB, ale ne na oboje Pokud se rozhodnete v prvku vůbec nepoužívat WEB ověřování, máte možnost po přiřazení Guest VLAN na nepodařenou MAC autentizaci přesměrovat uživatele na nějaký web (logicky pakliže chcete nabídnout webové L2 ověřování na portu pro případ, že MAC není známa, nakonfigurujte normální WEB autentizaci, ne tohle) aaa port-access mac-based 1/5-1/8 unauth-vid 140 Vyzkoušejte 66

67 Fail-open na ProVision OS ProVision OS nabízí fail-open scénář, tedy pokud RADIUS nebude dostupný, klient se dostane do sítě na VLAN, která je v portu definována jako untagged (nebo Guest VLAN). aaa authentication port-access eap-radius authorized aaa authentication mac-based chap-radius authorized Odpojte UAM server ze sítě, připojte klienta a ujistěte se, že dostal přístup. Použije se Guest VLAN. Pokud není Guest VLAN nastaveno, bude uživatel zařazen do VLAN, která je untagged na portu (PVID) Cached re-auth na ProVision OS ProVision má ještě jinou možnost v okamžiku kdy se aktivní session potřebuje reautentizovat, tak ji podrží, tedy bere jako stále platnou včetně přiřazené VLAN. aaa authentication port-access eap-radius cached-reauth aaa authentication mac-based chap-radius cached-reauth 67

68 3. Integrace s Active Directory 3.1. Certifikát pro imc Metody PEAP, TTLS i EAP-TLS začínají tím, že se autentizační systém (v našem případě UAM) prokáže klientovi platným certifikátem a na základě toho vznikne šifrovaný tunel (v případě PEAP/TTLS) nebo se přejde k ověření klienta certifikátem (TLS). V každém případě potřebujeme pro UAM serverový certifikát podepsaný stejnou certifikační autoritou Příprava šablony pro UAM Připojte se do Active Directory vzdálenou plochou na účet je podxadmin, kde x je číslo podu (heslo je hp). Klikněte na Windows ikonu a následně šipku dolu Otevřete certifikační autoritu 68

69 Klikněte pravým tlačítkem na šablony a zvolte Manage Najděte šablonu Web Server, klikněte pravým tlačítkem a zvolte duplikovat 69

70 Dejte mu nový název a prodlužte platnost (po konzultaci s politikou zákazníka). Ve screenshotech jsem použil název MujServer v labu použijte prosím jméno MujServerX (kde X je číslo podu), aby si to mohl vyzkoušet každý. Umožněte export klíčů 70

71 Certifikát si narolujeme na doménovém kontroleru, tak si pro to dáme práva (v zásadě to lze dělat odkudkoli, pokud si to správně nastavíme). Najděte záložku Security a klikněte na Add. Přidejte Domain Controllers 71

72 a dejte ji právo narolovat certifikát 72

73 Vraťte se zpátky do certifikační autority a vydáme tuto novou šablonu To by bylo, můžeme jít žádat o certifikát Žádost o certifikát Je více možností jak na to, použijeme jednu z nich. Otevřete si mmc 73

74 Přidejte Snap-In, například zmáčknutím CTRL+M a vyberte Certificates a klikněte Add 74

75 Na dotaz odpovíme, že chceme řešit computer certifikáty Pravým tlačítkem klikněte na Personal a začneme generovat nový požadavek a doklikejte se až do výběru šablony. 75

76 Klikněte na modrý text pro doplnění informací. Vyplňte to podobně jako na obrázku. V praxi je ovšem lépe se ujistit, že název serveru skutečně odpovídá a místo IP adresy je raději DNS jméno. 76

77 Narolujte 77

78 Klikněte na svůj certifikát pravým tlačítkem a zvolte Export Až budete tázáni na export klíčů, zvolte ano Soubor zabezpečte heslem 78

79 Zvolte název podx V praxi je dobré certifikát v tomto počítači v tuto chvíli zlikvidovat (klikněte Delete). Certifikát pro UAM máme, ještě si uložíme kořenový ceritifikát. V Certification Authority klikněte přes pravé tlačítko na Properties a dále na View Certificate 79

80 Klikněte v certifikátu na Copy to file 80

81 A projděte průvodce exportem. Oba soubory si následně přes klipboard zkopírujte k sobě Import certifikátů do UAM Jděte do User, User Acess Policy, Service Parameters, Certificate 81

82 Naimportujte kořenový certifikát ze souboru. V průběhu budete mít možnost zadat CRL, což pro účely labu můžete přeskočit, nicméně pro reálné použití to může být důležité. Jde o situaci, kdy byl certifikát kompromitován a administrátor CA hp chce odvolat. Certifikační autorita vystavuje seznam odvolaných certifikátů (CRL) a tu si může UAM průběžně stahovat. Kde najít URL pro CRL? Například se podívejte do vydaného certifikátu pro doménový řadič nebo jakéhokoli jiného. 82

83 V mém případě je to: ldap:// :389/cn=hp-mojead-ca,cn=mojead,cn=cdp,cn=public Key Services,CN=Services,CN=Configuration,DC=hp,DC=demo?certificateRevocationList?base?objectClas s=crldistributionpoint a účet CN=pod1admin,OU=PodUsers1,OU=pod1,DC=hp,DC=demo 83

84 Otestujte spojení tlačítkem Test a dokončete průvodce. Vypadá to v pořádku naimportujme server certifikát 84

85 Ověřte, že UAM nic nechybí kliknutím na tlačítko Verify Imported Certificate V praxi se může stát, že vám chybí část kořenové cesty certifikát nemusí být vydán přímo kořenovou autoritou, ale intermediate subjektem jeho certifikát musí být rovněž naimportován u kořenového, tedy potřebujeme mít celý řetězec. Hotovo, máme připraveno Typický scénář pro Microsoft User vs. machine ověření Ve světě Microsoft domény probíhá několik věcí ještě před přihlášením uživatele. Tak například pokud se uživatel ještě nikdy nelogoval, vytváří se mu lokální profil. Dále se po nastartování počítače spouštějí konfigurační skripty (GPO), instalují se aplikace a tak podobně. V praxi to znamená, že potřebujeme, aby počítač i bez přihlášeného uživatele měl konektivitu primárně na doménový řadič, případně další server (update server apod.). To se realizuje tak, že počítač se může přihlásit jako počítač, tedy machine na základě toho, že je zařazen v doméně. Tímto způsobem poskytneme známým strojům přístup na domain kontroler (ale nikam jinam) a v okamžiku, kdy se zaloguje uživatel, se počítač odhlásí a přihlásí se jako user. Pro Microsoft prostředí je tento způsob v zásadě nutností zejména v situaci, kdy je 802.1X konektivita primární (tedy např. je nasazena na drátové i bezdrátové síti) EAP-TLS EAP-TLS je nejbezpečnější z běžně dostupných metod ověřování díky tomu, že využívá ověření jak strany sítě, tak uživatele, asymetrickou šifrou podepsanou certifikační autoritou. V rámci tohoto ověření dojde k sestavení TLS tunelu s velmi silnou ochranou integrity a silným symetrickým šifrováním a uvnitř tohoto masivního dvoustranně ověřeného tunelu běží další ověření certifikátem klienta. Jedná se o velmi bezpečný způsob, který je možné dále obohatit o instalaci certifikátu na specializované zařízení zabezpečené přes PIN (TPM čip v notebooku, USB token). 85

86 Obrovskou výhodou EAP-TLS je naprostá standardizace. Funguje prakticky s čímkoli, jakýmkoli OS, není nijak kontrolverzní ani nemá varianty různých vendorů. Umí ho Windows, Android, ios, tiskárny i telefony a jako backend lze bez potíží mít AD, openldap, edirectory apod PEAP-MSCHAPv2 PEAP-MSCHAPv2 je specifický pro Microsoft a má určité praktické nedostatky. Není tak bezpečný jako EAP-TLS, ale zabezpečení je dostatečné. Využívá se ověření sítě vůči klientovi (certifikát) s následným sestavením šifrovaného tunelu, ve kterém běží ověření klienta přes MSCHAPv2 protokol. Z důvodu jistých implementačních detailů na straně Microsoft (pokud vás zajímá, zeptejte se v rámci labu) se nedá použít běžné metody ověření hesla (LDAP Binding), ale je nutné simulovat přihlášení uživatele na virtuálním počítači Další metody Microsoft dlouhou dobu ve svém OS nepodporoval další metody, byť tyto jsou často velmi výhodné. Například TTLS-PAP používá bezpečný šifrovaný tunel, uvnitř něj ale jede jednoduché ověření jména a hesla, takže TTLS-PAP je kompatibilní s naprosto jakýmkoli způsobem uložení uživatelských credentials (plain text, hash, Keystone, Kerberos, ). Další metody mohou zahrnovat dvou-faktorou autentizaci, jako je GTC, případně se integrovat s ověřováním na základě SIM karty v telefonu (EAP- SIM, EAP-AKA). Ve Windows 8 už je podpora pro vícero autentizačních metod velmi dobrá, ale například TTLS není ve verzích starších k dispozici Práce s doménou Zařazení do domény Přihlašte se vzdálenou plochou k Active Directory serveru a otevřete si: Prohlédněte si stromovou strukturu našeho labu důležité je, že pro vás je připraveno OU s označením podx, kde X je číslo vašeho pracovního místa. 86

87 Výchozí stav je, že pokud bychom teď přidali klienta (naše VM s Windows 7) do domény, ocitne se v generické složce Computers v hlavním stromu. Protože chceme, abyste měli možnost si v rámci labu samostatně vyzkoušet nastavení různých politik, potřebujeme tento počítač mít ve vašem OU. Uděláme to tedy tak, že jeho název zaneseme před samotným začleněním do domény. To už je v labu připraveno podívejte se do OU vašeho podu do sekce PodComputersX a měli byste vidět připravený computer s názvem podxclient. 87

88 Připojte vaší VM do sítě na nějakém portu bez zapnutého ověřování a ověřte, že jste schopni pingnout doménový počítač Zařaďte klienta do domény a nezapomeňte zadat správný název. Přes nabídku start najděte computer, klikněte pravým tlačítkem a zvolte Properties. Klikněte na Change settings a pak na Change 88

89 Vyplňte správné jméno a doménu 89

90 a použijte svůj administrátorský login A pokud všechno dobře dopadlo 90

91 Po restartu se přihlašte jako některý z uživatelů vašeho podu, například pod2o1u1@hp.demo s heslem hp Příprava doménové politiky (GPO) Velmi příjemnou vlastností Windows řešení je schopnost centralizovat politiky pro koncové stanice. Pro nás bude klíčové především automatické vystavení certifikátu jak pro počítač, tak pro všechny jeho uživatele a také automatické nastavení supplicant, tedy metody ověření do sítě a její další parametry. Připojte se do Active Directory a spusťte Všimněte si, že existuje globální výchozí politika, ale my budeme chtít separátní GPO podle vašich skupin, tedy OU. 91

92 Budeme například pracovat s pod2. Klikněte pravým tlačítkem a dejte vytvořit novou politiku. Pojďme policy upravit klikněte pravým tlačítkem a zvole Edit 92

93 Nastavte úvodní zprávu, ať víme, že všechno funguje 93

94 Zavřete okno a vraťte se k GPO. Klikněte pravým tlačítkem a zaškrtněte Enforced. Ve vaší VM můžete například spustit gpupdate z příkazové řádky (nebo v Run) a odhlásit se a znovu přihlásit. Pokud je GPO v pořádku, uvidíte váš text. 94

95 Klientské a machine certifikáty doménovou politikou V následujícím kroku upgravíme GPO ve vašem podu tak, aby doménové počítače ve vašem OU automaticky získaly machine certifikát a uživatelé user certifikát. Klikněte pravým tlačítkem na vaše GPO a modifikujte ho. Nejprve zapneme automatický enrollment certifikátů. 95

96 96

97 Následně necháme generovat machine certifikát. Najděte Automatic Certificate Request Setting a přes pravé tlačítko přidejte nový Automatic Certificate Request. Projděte průvodce 97

98 98

99 Totéž teď uděláme pro uživatele nejprve zapneme autoenrollment 99

100 Ještě povolte enrollment policy Poznámka pro praxi, v rámci labu dělat nebudeme. Pro computer můžeme použít výchozí certifikát zcela bez úprav. Pro uživatele je ideální jít do certifikační autority, pravým tlačítkem kliknout na 100

101 Certificate Templates a dát Manage. Následně si najděte šablonu User a tu duplikujte a nastavte takto: 101

102 Následně okno Manage zavřete a v Certificát Templates dejte přes pravé tlačítko Certificate Template to Issue. Ale jak jsem říkal, v našem labu už je tento krok hotový. Na vašem klientovi spusťte v příkazové řádce gpudate a podíváme se, zda se nám certifikát vystavil a máme jej k dispozici. Buď na klientovi použijte mmc nebo se podívejme do vystavených certifikátů přímo v certifikační autoritě. 102

103 Zdá se tedy, že se nám to povedlo Nastavení supplicanta doménovou politikou Klikněte pravým tlačítkem na vaše GPO a modifikujte ho. Nejprve nastavíme politiku, který zajistí, že je supplicant služba (pro drátové připojení) spuštěna. 103

104 Přidejme tedy nastavení supplicanta, v našem labu jen pro drát, ale podobně se můžete chovat k bezdrátovému nastavení (včetně SSID a dalších věcí). Najděte Wired politiku a přes pravé tlačítko vytvořte novou. Dáme politice nějaký název 104

105 Nastavíme, že chceme ověřování certifikátem (tedy EAP-TLS) a také specifikujeme, že budeme používat přihlášení počítače (machine ověření) a po přihlášení uživatele přehlášení na uživatele. 105

106 V záložce Advanced uděláme některé změny, zejména budeme informovat Windows, že mezi přihlášením počítače a pak uživatele se bude měnit VLAN (tedy že s tím má počítat a říct si o adresu). Doporučuji posílat 802.1X přesně dle standardu. Výchozí nastavení počítá s maximální ztrátou konektivity mezi odhlášením počítače a přihlášením uživatele na 10 vteřin to obvykle stačí, nicméně pokud je RADIUS a DHCP server na druhé straně zeměkoule, možná to budete měnit. Ještě klikneme na Properties pokud chceme být dokonalý nejen, že budeme ověřovat vydání serverového certifikátu (to považujme za nutnost), ale i kontrolovat jméno serveru. Tzn. to je jméno, které jsme dávali do certifikátu pro UAM. 106

107 Tím bychom měli být připraveni a můžeme se pustit do nastavení UAM Synchronizace účtů a nastavení politik v UAM Politika pro computery UAM ve verzi 7.1 funguje tak, že vytvoříte jeden generický účet, pod který se mapují všechny doménové počítače (tedy přihlášení počítače, kde není zalogovaný žádný uživatel). Ve verzi 7.2 bude možnost synchronizovat přímo konkrétní computer accounty, ale v našem labu zůstaneme u jednoho účtu. Vytvořte novou přístupovou politiku pro počítač s přiřazením do VLAN 110 a podporou EAP-TLS. Jděte do User, User Access Policy, Access Policy a klikněte na Add. 107

108 Vytvořme příslušnou Service jděte do User, User Access Policy, Access Service a klikněte Add V posledním kroku vytvoříme uživatele, pod kterého machine accounty spadnou. Jděte do User, Access User, All Access Users a klikněte Add. Použijte Add User pro vytvoření nového platform uživatele. 108

109 Zaškrtněte, že se jedná o speciální Computer User Přiřaďte správnou politiku a uložte 109

110 Politika pro enterprise uživatele Nejprve si vytvoříme přístupovou politiku využívající EAP-TLS a budeme definovat cílovou VLAN 130. Jděte do User, User Access Policy, Access Policy a klikněte na Add. 110

111 Zadejte název, VLAN a typ ověření 111

112 Následně přidáme Service jděte do User, User Access Policy, Access Service a klikněte na Add Zadejte název, ale hlavně Service Suffix, tedy doménové jméno. Uživatele se budou přihlašovat plným jménem, tedy user@doména.cz, takže je důležité mít políčko sufix vyplněné. Nebudeme zatím dělat nějaké složitější scénáře a v rámci služby jednoduše přiřadíme jednu access policy tu co jsme v předchozím kroku vytvořili. 112

113 Tímto máme service a politiku připravené LDAP server Nejprve si nastavíme LDAP server, tedy naší Active Directory. Jděte do User, User Access Policy, LDAP Service, LDAP Server a klikněte na Add. Dejte mu jméno a IP adresu. Zatím to nepotřebujeme, ale už teď zadáme přiřazení služby (tedy výsledných politik apod.) v závislosti na skupině v Active Directory. Současně budeme uživatele synchronizované do UAM řadit do skupin tak, jak to odpovídá OU v Active Directory. To nemá žádný význam z pohledu nějakých politik, jde čistě o zjednodušení orientace v rámci UAM. 113

114 Jako Base DN zadejte cestu k vašemu OU (nebudeme synchronizovat v rámci vaší instalaci jiné jednotky), cestu k admin účtu a heslo. Záložní server teď nepoužíváme a MSCHAP také ne, takže klikněte na Test a ujistěte se, že se UAM do serveru dostane. 114

115 Pokud je vše v pořádku, klikněte na OK LDAP synchronizace Server máme připravený, teď vytvoříme synchronizační politiku. Těch může být několik, ale také může stačit jedna (s přiřazováním politik podle skupin). Záleží na konkrétní situaci. Pro účely labu použijeme zatím jen jednu a v prvním kroku nebudeme skupiny řešit. Jděte do User, User Access Policy, LDAP Service, Sync Policy a klikněte na Add. Zadejte název a předevší Sub-Base DN. To může být stejné, jako naše Base DN (a taky by to bezchybně fungovalo). Pro vyzkoušení a v rámci čistoty ale namíříme naší politiku přímo do vnořené OU, kde máme naše uživatele (tedy do hledání nezahrneme OU s počítači a OU s definicí skupin byť by to ničemu nevadilo). Ve filter conditions můžete klasickou LDAP syntaxí zadat případná další pravidla například nepobrat uživatele nesplňující nějakou podmínku, třeba počáteční písmeno či vlastnost určitého atributy, příslušnost ve skupině a tak podobně. V rámci synchronizační politiky 115

116 tedy dokážete dělat opravdu hodně věcí a přesně si vyladit co a jak se bude synchronizovat (a s využitím více synchronizačních politik se můžete úplně vyřádit). Až vše vyplníte, klikněte na Next. V dalším kroku můžeme definovat různé Service podle skupiny uživatelů v AD. To zatím dělat nebudeme, takže zadáme jen Default Service všichni uživatelé vyhovující kritériím z předhozí obrazovky tak dostanou právě tuto Service (tedy například nastavení VLAN v závislosti na tom s čím, odkud, kam a kdy se připojují). 116

117 Na další obrazovce říkáme, co všechno chceme synchronizovat. Pro funkčnost většina z nich nemá vliv, ale jsou důležité z pohledu jednoduchosti práce s UAM. Basic information se vztahuje k platform uživateli (viz začátek tohoto dokumentu), tedy reálné jméno / identita. U většiny zákazníků je vhodné User Name držet buď z atributu CN, někdy může být vhodnější DisplayName (konzultujte s nastavením Active Directory pakliže login je tkubica, CN často bývá Tomáš Kubica, ale můžete mít login ve formě čísla zaměsnance, třeba user12345 a CN také user12345 a pouze DisplayName je Tomáš Kubica). Identity Number není číslo, ale ID jednoznačný identifikátor platform uživatele doporučuji nechat předvyplněný samaccountname. Následuje sada informací pro vytvářené access účty. Tady můžete například určit vpršení platnosti účtu a ta buď staticky (napíšete v rámci této policy) nebo vytažením z nějakého LDAP atributu. U hesla tady prakticky vždy musíte použít Do Not Sync a v případě potřeby ověření hesla se toto vždy udělá ad-hoc v rámci ověřování (tedy v reálném čase). Důvodem je, že ani Active Directory, ani příčetně nastavené jiné LDAP řešení, neumožňuje číst hesla (jsou uložena obvykle jako hash). Přesto k tomuto políčku musíte něco napsat jde o situaci, kdy účet přestane existovat v Active Directory, ale vy se jej rozhodnete v UAM zachovat a používat lokálně pak mu propadne toto heslo. Za běžných okolností se tak nikdy nepoužije a netřeba se jím příliš zabývat. Dále nastavte počet současných spojení, často se uživatelům povoluje současný přístup přes LAN i WLAN, takže dejte třeba trojku. 117

118 Poslední sada údajů se týká Binding dodatečných informací, o čemž bude řeč později. Dá se tedy například přímo v Active Directory držet informace o prvku a konkrétním portu, kde je zařízení pouze povoleno (například pro nějaké velmi stacionární záležitosti typu IP kamera nebo průmyslový stroj). Máme hotovo, můžete kliknout na Synchronize Prohlédněme si výsledek 118

119 Zdá se tedy, že máme hotovo Příprava prvků V rámci ProVision OS nemusíme nic dalšího dodělávat, ale v případě Comware si vytvořme doménu hp.demo domain hp.demo authentication lan-access radius-scheme uam authorization lan-access radius-scheme uam accounting lan-access radius-scheme uam 3.6. První otestování řešení s EAP-TLS, user a machine ověřením Test chování Připojte VM do sítě a ponechte ji bez přihlášeného uživatele (protože hypervisor nemusí dobře replikovat stav karty do VM budete možná muset v hypervisoru odpojit a znovu připojit NIC). Podívejte se do online tabulky měli byste vidět, že do sítě je nalogován počítač. 119

120 Přihlašte se do Windows V online tabulce uvidíte, že počítač se odhlásil a místo něj je přihlášen uživatel. Pokud provedete Logoff, uživatel zmizí a přihlásí se znovu počítač Jak funguje EAP-TLS? Nejlepší pro troubleshooting je chápat jak protokoly fungují a podívat se do Wireshark. Pojďme si vysvětlit co se při EAP-TLS vlastně odehrává a co všechno uvidíte z packet trace. Ideální je zachytávat přímo na UAM serveru, protože tam uvidíte i to, co je po drátu šifrované. 1. Klient: Ták, chtěl bych dovnitř, takhle se jmenuji. 120

121 2. Server: Nic proti tomu, ale budem používat EAP-TLS, jo? 3. Klient: Tak s tím jsem celkem v pohodě, tohle jsou šifry, které umím a posílám nějaké náhodné řetězce a můžem začít vyjednávat. 4. Server: Fajn, vybírám si tuhle šifru a tohle jsem já, to je můj certifikát. 121

122 Klient teď uvěřil serveru, že je jeho kamarád a mají spolu sestavený tunel. Další části protokolu uvidíte už jen jako RADIUS pakety s šifrovaným EAP obsahem. Pokud ale chytáte přímo na UAM serveru, uvidíte víc! 5. Klient: To zní dobře, tohle jsem já 122

123 6. Server: Tak to vypadá, že se dohodneme 7. Klient: Jako klient/server se máme rádi, nechme prvek dokončit RADIUS ověření, jo? 8. Server: Klient je OK, může dovnitř a tady je jeho politika 123

124 3.7. Rozšířené politiky, služby a skupiny Politiky podle skupiny Vytvoříme si novou politiku a službu pro kontraktory. Nejprve tedy nová Access Policy. 124

125 Vytvoříme novou Service pro kontraktory a výchozí policy bude Kontraktori 125

126 Upravíme naší synchronizační politiku v User, User Access Policy, LDAP Sevice, Sync Policy klikněte na Modify. Jako výchozí politiku můžeme nechat Zaměstnanci, ale některé skupiny budeme přiřazovat k jiné Service. Klikněte na Add. Vyhledejte skupiny vašeho podu 126

127 Vyberte si podxskupina10 a klikněte na přidat. Následně přiřaďte této skupině jinou Service. 127

128 Dokončete úpravu policy a klikněte na Synchronize. Koukneme se, kdo se nám ocitl v této Service. jděte do User, Access User, All Access Users a vyhledejte podle Service Name. Vyberte si jednoho z těchto uživatelů a přihlašte se do sítě. 128