[recovery mode] Внедрение 802.1x для компьютеров за «тупыми» телефонами

30 января 2015 г., 9:26:21

Статей по внедрению аутентификации компьютеров на различных RADIUS серверах написано много и на разных языках, в том числе и сценарии, когда компьютер подключен к сети через встроенный коммутатор в телефоне, однако в этих статьях упоминаются умные IP телефоны, поддерживающих CDP или LLDP и умеющие работать с Voice Vlan.
К сожалению, мне пришлось работать с тем, что есть, а именно IP телефон Panasonic KX-NT321, работающий по проприетарному протоколу, не умеет ни LLDP, ни тем более CDP и даже загрузки конфигурации по TFTP. Но можно с самого телефона настроить тегирование на каждом из порту коммутатора.
Итак, что мы имеем: RADIUS на базе Microsoft NPS, коммутаторы Cisco 2960, IP телефоны Panasonic и компьютеры.
Я не буду рассматривать базовую настройку RADIUS и коммутаторов, будем считать, что коммутаторы у нас уже являются клиентами.
Т.к. телефоны не понимают пакеты EAPoL, мы будем применять к ним технологию MAB (MAC Authentication Bypass). Вкратце, коммутатор берет mac адрес телефона и посылает его в как логин/пароль на RADIUS для аутентификации, подробнее описано на cisco.com
А для компьютеров будем использовать 802.1x, примем за факт, что на компьютере у нас все настроено должным образом.
Соответственно на порту коммутатора у нас должно быть включено и 802.1x и MAB, для этого нам подойдет только режим MDA (Multidomain Authentication Mode) подробнее о режимах тут и таким образом конфиг порта будет следующий:

interface FastEthernet0/2
 switchport access vlan 99
 switchport mode access
 switchport voice vlan 2
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication port-control auto
 authentication periodic
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 3
 spanning-tree portfast


Команда mab обязательна, т.к. без нее коммутатор посылает пакеты используя EAP-MD5 аутентификацию, но MS NPS не принимает данный режим, поэтому нужно использовать PAP.
Собираем mac адреса наших телефонов и добавляем их в ActiveDirectory в отдельную OU и группу безопасности (назовем их Phone) как обычных пользователей с логином и паролем как мас адрес наших телефонов.
В NPS создаем правило для телефонов:
image


Параметр device-traffic-class=voice говорит коммутатору, что данный девайс пойдет в voice vlan.
Параметр Tunnel-Pvt-Group-ID сообщает коммутатору, в какой Vlan попадет устройство, однако в нашем случае — это работать не будет, т.к. мы руками на телефоне настраиваем vlan'ы.

Создаем аналогичное правило для компьютеров:
image


Так же необходимо создать политику запросов на подключение, с разрешением использовать PAP.

В коммутаторе можно вручную задать пароль для MAB запросов, т.е. посылая запрос аутентифицкации в строке логин будет mac адрес, а в строке пароль, то что мы зададим вручную на коммутаторе:

(config)#mab request format attribute 2 yourpassword

Тогда в AD все учетки телефонов должны быть с этим паролем.

Использованные материалы:
IEEE 802.1X Port-Based Authentication
MAC Authentication Bypass Deployment Guide




Похожие новости

16 февраля 2016 г., 0:23:57 samsung-ativ-se1

Компании Microsoft и Samsung молчат о выпуске обновления до Windows 10 Mobile для смартфонов серии ATIV, что породило слухи, будто эти устройства не будут обновлены и навсегда останутся с Windows Phone 8.1. Один пользователей форума Reddit поделился довольно интересной историей, связанной со смартфоном...

12 февраля 2016 г., 19:48:03

Согласно докладам многих пользователей из разных стран, изменение даты на 1 января 1970 года может сделать из вашего iPhone, iPad или iPod touch под управлением iOS 9 или выше нерабочий “кирпич”. Баг в мобильной операционной системе позволяет превратить устройство с процессором A7, A8, A8X, A9 и A9X...

9 февраля 2016 г., 13:32:35 Apple выпустила третью бета-версию iOS 9.3 для разработчиков

Apple недавно выпустила третью бета-версию iOS 9.3 для разработчиков. Это, похоже, предпоследняя сборка для девелоперов, выпущенная до предполагаемого дебюта iOS 9.3 вместе с новым 4-дюймовым iPhone 5SE, iPad Air 3 и обновленными часами Apple Watch в марте. Список улучшений и усовершенствований включает...

8 февраля 2016 г., 23:31:54 1369824482_microsoftsurfacepropress1

Microsoft следом за Surface 3 начали предлагать с существенной скидкой модель Microsoft Surface Pro 4 . До 27 февраля в США ее можно купить на 100 долларов дешевле обычной цены. Эта информация появилась на официальном Twitter-аккаунте американской компании. Правда, топовая модель Microsoft Surface...

8 февраля 2016 г., 17:17:43 iPhone 5s

Apple все-таки убедилась в том, что экран флагманского смартфона должен быть большим. iPhone 6 и iPhone 6s бьют рекорды продаж, а iPhone 6 Plus стал королем фаблетов. Несмотря на это, кажется, многие все еще хотят использовать компактное устройство. Apple ведь не просто так решила снова выпустить 4-дюймовый...


Похожие обзоры

21 января 2016 г., 0:23:00 Обзор смартфона Meizu MX4 Ubuntu Edition

Слухи о том, что китайская компания Meizu планирует выпустить коммуникатор на базе Ubuntu Touch, появились еще в начале прошлого года. В течении 2014 г. компания периодически демонстрирует прототип устройства на выставках и осенью объявляет, что Meizu MX4 на Ubuntu Touch выйдет в декабре, сообщает некоторые...

20 января 2016 г., 18:56:58 Новинки осени: видеообзор Lumia 830 и Lumia 730 / 735

В сентябре этого года мы показали продолжение нашей новой линейки cмартфонов в лице вице-флагманской модели Lumia 830, а также двух более доступных моделей: Lumia 730 с двумя SIM-картами и Lumia 735 c поддержкой 4G. А уже в начале октября эти устройства вышли в продажу на российском рынке. После московской...

20 января 2016 г., 18:15:50 image

Добрый день, уважаемые хабровчане. Я хотел бы поделиться своими впечатлениями о новом смартфоне компании Blackberry — Blackberry Q10. На данный момент, это последнее устройство, выпущенное канадцами, а также первый QWERTY-смартфон на операционной системе Blackbery 10. Для меня это первый аппарат с клавиатурой,...

16 января 2016 г., 21:16:12 Планшет Amazon Fire 7 (2015)

И хотя два года назад планшеты различных форм и размеров разлетались, как горячие пирожки, глобальные продажи пошли на спад в последнее время. Даже Apple, основатель форм-фактора планшетов, теряет своих поклонников. Производители всё чаще ориентируются на бюджетный конец рынка, подавляя массовый рынок...

11 декабря 2015 г., 23:42:23 Shadow_Complex_Remastered_1

Shadow Complex Remastered – переиздание замечательного metroid-подобного платформера с Xbox 360. Разработчик: Chair Entertainment, Epic Games Жанр: экшн–платформер Платформа: PC, Xbox One, PlayStation 4. Дата выхода: 3 декабря 2015 (PC-версия), 2016 год (Xbox One и PlayStation 4). На церемонии вручения...


Похожие отзывы

12 июня 2015 г., 16:26:05 Apple айфон 5 с отзывы, его характеристики, плюсы и минусы

Apple айфон 5 с отзывы, его характеристики, плюсы и минусы от Артур · Июн 12, 2015 12:12 В данной статье рассмотрим Apple айфон 5 с отзывы, его характеристики, плюсы и минусы. Дизайн, материалы корпуса. Айфон 5 c выглядит красивым и аккуратным. Пластик...

10 июня 2015 г., 19:17:12 otzyivyi-ob-ios-9

В распоряжении пользователей было пару дней, чтобы потестить новую прошивку iOS 9. Кто-то уже сделал это — скачал и установил iOS 9, а кто-то до сих пор сидит в замешательстве и читает отзывы об iOS 9, принимая решение — качать или нет. Вот специально для таких мы и приготовили обзорную статью, в которой...

6 апреля 2015 г., 21:47:53 Новые фотографии Sony Xperia E4 попали в Сеть

С того момента, как Apple интегрировала собственный картографический сервис с iOS 6 в 2012 году, компания Yelp оставалась единственным партнёром Apple, который обеспечивал наличие отзывов. Сейчас купертиновская компания начала включать в свои карты рецензии на отели и гостиницы с TripAdvisor и Booking....

16 марта 2015 г., 14:14:39 Windows Insider принесла Microsoft более миллиона отзывов

Управляющий программой Windows Insider Габриэль Аул с радостью сообщил через свой Твиттер-аккаунт, что Microsoft получила более миллиона отзывов о новой Windows 10 от участников тестирования через приложение Feedback. Официальное представление программы Windows Insider состоялось еще в сентябре 2014...

14 марта 2015 г., 23:28:21

Windows 10 несмотря на статус предварительной версии явно сумела завоевать симпатии пользователей. Многие несмотря на возможные проблемы поставили Windows 10 на свои компьютеры, и активно участвуют в жизни сообщества вокруг программы Windows Insider. Габриэль Аул сообщил, что недавно был получен миллионный...


Похожие инструкции

12 февраля 2016 г., 14:01:02 ustanovka-datyi-1-yanvarya-1970-goda-prevratit-iphone-v-kirpich

Мобильная платформа iOS имеет ряд недоработок. Среди них есть видимые, а также скрытые. Еще одна уязвимость была обнаружена несколькими пользователями ресурса Reddit. Она касается изменения даты на iOS-устройстве, которое может превратить ваш смартфон в кирпич без возможности восстановления. ВНИМАНИЕ!...

7 января 2016 г., 23:31:54 Cydia

Время ожидания непривязанного джейлбрейка iOS 9.1, к сожалению, затянулось. Хакеры до сих пор не обновили эксплоит под версию прошивки iOS 9.1 и выше. Более того, неизвестно, будет ли вообще анонсирован обновленный инструмент. Сомнений, что последние версии мобильного программного обеспечения можно взломать,...

28 октября 2015 г., 17:55:35 Команда Pangu обновила утилиту для джейлбрейка iOS 9-iOS 9.0.2, добавила ряд улучшений стабильности

Команда Pangu выпустила обновление для своей утилиты для джейлбрейка, способной взламывать совместимые iPhone, iPad и iPod touch. Всем тем, кто уже сделал джейл, не нужно повторять эту процедуру снова. Достаточно просто обновить "Pangu 9.0.x Untether" и "Patcyh" в Cydia. По словам разработчиков полезной...

22 октября 2015 г., 12:19:02 Apple выпустила iOS 9.1, устранила уязвимости, используемые для джейлбрейка Pangu

Apple недавно выпустила iOS 9.1 для пользователей по всему миру. Релиз состоялся спустя примерно месяц после выхода iOS 9, которая могла похвастаться широким рядом мелких улучшений и новыми функциями для iPhone 6s и iPhone 6s Plus, iPad mini 4 и iPad Pro, а также для других совместимых устройств. iOS...

20 июля 2015 г., 16:48:43 Saurik выпустил твик под названием Cydia Impactor, позволяющий ‘снести’ джейлбрейк на iOS-устройстве

Известный хакер saurik недавно выпустил новый твик под названием Cydia Impactor. Инструмент позволяет удалить джейлбрейк с устройства без необходимости подключать его к компьютеру и запускать полное восстановления системы, которое удаляет пользовательские данные и стирает все настройки. По словам разработчика,...

Упомянутые аппараты
vk.com/analogindex_ru
"Analog Index" © 2014 - 2015