Cisco ASA [Lab 2.3] Port based authen on Switch and NPS windows

Discussion in 'Lab 802.1x' started by root, Jun 8, 2016.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48

    [Lab 2.3] Port-based Authentication NPS windows 2012R2 - Part 3



    Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.
    Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.


    Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.

    Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2
    Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows2012R2).


    - Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
    - Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
    - Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
    - Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
    - Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/

    - Video hướng dẫn cấu hình và test
    1. Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2



    2. Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả



    3. Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2

    - Download file cấu hình bài lab: DOWNLOAD


    3/ Tạo Policy trên NPS

    - Bây giờ chúng ta sẽ tạo policy để chứng thực và cấp quyền truy cập đến Switch 2960 cho các user có trong Active Directory.

    - Trước tiên chúng ta sẽ tạo các user domain “admin1” thuộc group “ADMIN” và “nv1” thuộc group “STAFF”.

    [​IMG]

    - Bây giờ chúng ta sẽ tạo mới một policy 802.1x để xác thực người dùng khi gắn dây vào Switch của chúng ta.

    [​IMG]


    - Chọn “Secure Wired (ethernet) Connections” và đặt tên cho policy cần tạo.


    [​IMG]


    - Chọn Authenticator là switch 2960. Khi người dùng gắn dây vào 1 port trên Switch 2960 thì Switch sẽ yêu cầu người dùng xác thực. Chúng ta đã khai báo Radius client “Cisco Switch 2960” ở trên.


    [​IMG]


    Cấu hình sử dụng phương thức xác thực nào. Mình sẽ sử dụng “Microsoft: Protected EAP (PEAP)”.


    [​IMG]


    Cấu hình các yêu cầu chứng thực cho user. Khi user được chứng thực phù hợp với các điều kiện mà mình thiết lập ở đây thì nó sẽ được phép truy cập.

    Mình sẽ thực hiện chứng thực với các user nằm trong group của Active Directory.

    [​IMG]




    Những user domain thuộc group ADMIN sẽ được chứng thành công


    [​IMG]


    Chúng ta có thể điều khiển và kiểm soát người dùng thông qua cấu hình Traffic control ở đây. Mình sẽ có bài lab về phần này sau nhé. Tạm thời bỏ qua.


    [​IMG]


    - Hoàn thành tạo Policy xác thực người dùng thông qua cơ chế “port based authentication”

    [​IMG]


    - Kiểm tra lại Policy chúng ta vừa tạo ở trên.

    [​IMG]


    - Ở tab “overview” các bạn chú ý chọn “Access Granted” để cho phép user được chứng thực sẽ có quyền truy cập.

    [​IMG]


    Ở tab “Conditions” chính là những điều kiện xác thực người dùng. Khi người dùng xác thực match với các yêu cầu trong tab này thì người dùng đó xác thực thành công.

    [​IMG]


    Ở tab “Constraints” các bạn chọn phương thức xác thực. Ở đây chúng ta sẽ sử dụng “Microsoft: Protected EAP (PEAP)” và sử dụng các mã hóa “MS-CHAP-v2 và “MS-CHAP” khi người dùng thực hiện xác thực.


    [​IMG]


    Phần “NAS Port Type” chọn xác thực 802.1x là Ethernet


    [​IMG]


    Trong bảng “Attributes” bạn giữ nguyên các thuộc tính mặc đinh.


    [​IMG]


    - Như vậy chúng ta đã cài đặt và cấu hình xong Policy xác thực người dùng xong. Các bạn có thể review lại Policy mình vưa tạo bằng cách click vào policy đó.

    [​IMG]
     
    Last edited: Jun 11, 2016
  2. kelikiller

    kelikiller New Member

    Joined:
    Aug 3, 2018
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    1
    Gender:
    Male
    Location:
    Ho Chi Minh
    hi root, ở phần này nếu tạo thêm policy cho STAFF và gán vlan khác cho group này thì làm như nào root. Như hình trên thì group nào cũng được gán vlan 1 rồi phải ko
     
    Last edited: Aug 30, 2018

Share This Page