root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

[Lab 2.3] Port-based Authentication NPS windows 2012R2 - Part 3



Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.
Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.


Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.

Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2
Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows2012R2).


- Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
- Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
- Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
- Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
- Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/

- Video hướng dẫn cấu hình và test
  1. Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2


  2. Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả


  3. Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2

- Download file cấu hình bài lab: DOWNLOAD


3/ Tạo Policy trên NPS

- Bây giờ chúng ta sẽ tạo policy để chứng thực và cấp quyền truy cập đến Switch 2960 cho các user có trong Active Directory.

- Trước tiên chúng ta sẽ tạo các user domain “admin1” thuộc group “ADMIN” và “nv1” thuộc group “STAFF”.

s0-v8Z8lw2I8L1oyfya7XiiuMezm9XWxdbyAuUwHMasyW_DMysodpfXsXqcC2_cSEFLHWF2a7DZkcih1EDVL9tgG4N5cQTNtDKy_gLx-UYQ0PXW-M5LJjjIdscHuGA-neUwAslFtPKLSU586Hg


- Bây giờ chúng ta sẽ tạo mới một policy 802.1x để xác thực người dùng khi gắn dây vào Switch của chúng ta.

9bBhM8uy7Pe5wDizB_mDRJQGfMVwOdNwkCyYktSeLhPw8R352On1TWH-mRkkh0Rb8Nl7Iub0yeC9v6bl_c0P7yfGXIpmfn42MKvEcDTdjcm5YCxNSgku2RaQvJLJUwvWq9Aj672WdsNdiWVhKw



- Chọn “Secure Wired (ethernet) Connections” và đặt tên cho policy cần tạo.


5FHwCgVKll4ButXa3ajinN3k4BvwZkNDlKzVKHaZs1D8WFuBeSyfQKK-HCeDMUSHbdkXWKQQkEg744-Ic-bcHkaqxc0hpnRgVSiimG6YrH4nmzQAjXKVSkx2MSm5ZZIQzgj_yQzZl9i5rXaIsA



- Chọn Authenticator là switch 2960. Khi người dùng gắn dây vào 1 port trên Switch 2960 thì Switch sẽ yêu cầu người dùng xác thực. Chúng ta đã khai báo Radius client “Cisco Switch 2960” ở trên.


x3Mqg0JGb8RGAKEHmetOCKuDlLUTH94ryUXf7HZfhtWTMns6iXuUjuyxGsVc3ykCjqz5WFOfPTBgqGbvBEnXknu0T20d1kdfAk_pg-jK4oaImQ_QcdRsVWOzIy6eq7fJRW8wDWU74g8HSRUiCw



Cấu hình sử dụng phương thức xác thực nào. Mình sẽ sử dụng “Microsoft: Protected EAP (PEAP)”.


IXMJ71hqamrPyEGbTlGB-x82SslglFx8JFWuOLwLpabkYQ9xDslB7jYyFAwrPeqwSj169LW4P-Tbi9bsoJ525Y8yUo7rl_ShWoosYyRdjls5x7P9efnX5VP5oEitS4JduQQ8xeuBFmDefLpaug



Cấu hình các yêu cầu chứng thực cho user. Khi user được chứng thực phù hợp với các điều kiện mà mình thiết lập ở đây thì nó sẽ được phép truy cập.

Mình sẽ thực hiện chứng thực với các user nằm trong group của Active Directory.

dGkiqcLETHJIVpnD5fN6E8VYwj8mI92P0wzt5mDADJcye8-7IPCuvEOwASv5r-kmfJTaz1bNDUlkA2lh42aZ45fXaiKDzuwMmYEjOqh2vbQkBsdRNmfwT0lx4615v52QXWhEt0Xg3Eo3GvcPLw





Những user domain thuộc group ADMIN sẽ được chứng thành công


DqordOT1CMPpEsX6tHat0SfbeyCaKUxEWeCOUGWx5R6d5bHxFqQ2W0g1Fk20fdhmZ4q_PAPwGbjwcJehVJ9_LguupTA4UOhsKq82n3sONuoXJF0te7NcPFlZ0sc0JV-qBftm--e_zhonegs3rA



Chúng ta có thể điều khiển và kiểm soát người dùng thông qua cấu hình Traffic control ở đây. Mình sẽ có bài lab về phần này sau nhé. Tạm thời bỏ qua.


clU7pBSzU7Kuk0KW3cUeH-bPbAOxmn2sww8DFSze1Jup24Ju5sNWxTO1jwghiYkD6TQs7Pu4cVf4vV_PbZnqKLCBoIc2vKpIhjswvz_v_cYil0yRcRcNwQ7S9CKYevyFV0z1ApVPVuojxffHDQ



- Hoàn thành tạo Policy xác thực người dùng thông qua cơ chế “port based authentication”

LkLXRL_G0NLhZCVBSER6Q9kUvT1FZwNWFrsBR5cTbvz1Sb6Y7Q2VrZQY72bEBnEBYILf1VcoP6lI26hZKuUmuBouOr09QKoaNqnnnF1-CnUr9PSqQcGMM--f1RoEueXX-I9ytvogwyEFwctT6g



- Kiểm tra lại Policy chúng ta vừa tạo ở trên.

3B84ZKlm3CW8PbZ0P3AqRuzOuMEO1_7IxVwaM390P7iCRU9fGoKyRltAOcPvZc9hAFNdZ2HK1o8QiQgMnhqbWlljj1X0F603o7L6pCQREqHZkYJ1bEdpUftOq8_NRERcGjciDwO08SEA-yxpjw



- Ở tab “overview” các bạn chú ý chọn “Access Granted” để cho phép user được chứng thực sẽ có quyền truy cập.

1-1-JvyLtN02cOj227klvMYgmcR6RKzQ4ZgOh9WbSZ-yUd32YDGhVvJ10MpPDfrlOKOArpacl2TIW3gTj_cIxrLA1KY-fri7J7J_9NzAvZlRJJR8nECHU6CW8mtFaIVXq3R1JQRn208-edPwKQ



Ở tab “Conditions” chính là những điều kiện xác thực người dùng. Khi người dùng xác thực match với các yêu cầu trong tab này thì người dùng đó xác thực thành công.

cHmL7XhJJnRQ81bYqTeHCPDfC7xfd0H-a6lH-iZ8B-dklDIKCDV-uaOPxtoD-2EBSkybBX-s05sKR_lX_89ST4n-MgbCNa4HhCcjXqJ0Ip3iw-tnNFRYYTS8iuxOiRvzJXn1pQf2HcZT2ioAjQ



Ở tab “Constraints” các bạn chọn phương thức xác thực. Ở đây chúng ta sẽ sử dụng “Microsoft: Protected EAP (PEAP)” và sử dụng các mã hóa “MS-CHAP-v2 và “MS-CHAP” khi người dùng thực hiện xác thực.


1aKgce8Kbti0qkZRaL6ePxguGrZuCg0WjInKX7kBp8rUrrtWdkrROlw0fru0Y56Zm-u1weS0Z0fr820PGd4GcUylOFaRjpX1dpH2DN_3rqRS1WvUTXG7fJs40vkDbCM9mg7k0eLVCeCwtMMxbQ



Phần “NAS Port Type” chọn xác thực 802.1x là Ethernet


TvJB4occoL5PmyC5cWXrXtbK_LVOB4rVHu7156WjOOgP2-KcEPLgz8VDre0Qqwaebzt2RfcbfNxnzB8tEQspCp9m3bkyQhy9tgUD-8CfqR5dyt80h3UyLdFKVbazgXV8lg5tKOtI_A79n8GW7g



Trong bảng “Attributes” bạn giữ nguyên các thuộc tính mặc đinh.


qjjqYj85d_zVlK23tRvfWxNHs75Wnh_L_W3bfuKTDHv-ur_TQQ4_bRRcR0HaQ6CKQfh-LoN3p_jQ3Ca5jfFQ2ZjL6_ZRoPbHlgZI4dU8fMPBu65lnNL-SqFv4_vMpTK6HReEJCuyqjvHUWDHHA



- Như vậy chúng ta đã cài đặt và cấu hình xong Policy xác thực người dùng xong. Các bạn có thể review lại Policy mình vưa tạo bằng cách click vào policy đó.

JXz4zU_gg-K_UgvMbe2KMD62zYstYZndetMqP0rDol2EcIOr5LSZeSbIQ7XwdMHpF2GH5kSprDFsGgQzX72fI9Pyfm-jG97hFJ7bibUMrEzS_cdBQ1NfwhPMNjCqShnTyqdxdpLCTmyAD8ZHSg
 
Last edited:
hi root, ở phần này nếu tạo thêm policy cho STAFF và gán vlan khác cho group này thì làm như nào root. Như hình trên thì group nào cũng được gán vlan 1 rồi phải ko
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu