Dot1x Port-based Authentication on Switch swith NPS windows 2012R2
Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.
Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.
Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.
Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2
Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows2012R2).
- Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
- Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
- Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
- Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
- Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/
- Video hướng dẫn cấu hình và test
- Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2
- Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả
- Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2
- Download file cấu hình bài lab: DOWNLOAD
Việc những khách hàng đến cty và dây mạng vào máy tính của họ để sử dụng có thể nguy hiểm đến hệ thống của chúng ta. Có thể do nguyên nhân chủ quan (đó là một hacker muốn attack hệ thống của chúng ta) hoặc khách quan (trên máy người khách có các chương trình có chứa mã độc có thể lây lan và ảnh hưởng đến hệ thống của chúng ta).
Vì vậy để an toàn cho hệ thống những admin của hệ thống cần phải xác thực người dùng đầu cuối khi gắn vào các port mạng để đảm bảo những người dùng được verify.
Để giải quyết vấn đề trên chúng ta sẽ sử dụng Port-based authentication dựa trên chuẩn IEEE 802.x. Khi tính năng này được kích hoạt, switch sẽ ngăn tất cả traffic từ người dùng đi vào hệ thống cho đến khi người dùng chứng thực thành công với Switch.
Hệ thống sẽ yêu cầu người dùng thiết bị xác thực thông tin với RADIUS server.
Sau khi xác thực thành công thì traffic người dùng mới được đi vào hệ thống.
Để có thể port-based authentication làm việc được, đòi hỏi client và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ thì client vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì client phải hỗ trợ và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại client sẽ không thể truy xuất vào mạng.
Sơ đồ cấu hình
I/ Cài đặt Roles
1/ Cài đặt NPS.
- Đảm bảo bạn đã cài Active Directory trên Windows Server 2012.
- Bây giờ chúng ta cần cài đặt Network policy Server trên Windows server 2012R2. Vào phần “Server Manager → Add Roles and Features” để add roles “NPS”.
- Chọn role cần cài đặt “Network Policy and Access Services (NPS).
- Role service mình sẽ càu đặt “Network Policy Server”.
- Chúng ta đã cài đặt NPS trên Windows Server 2012R2 xong.
Last edited:
![[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)