AUF DIESER SEITE
Beispiel: Konfigurieren der 802.1X-PEAP- und MAC RADIUS-Authentifizierung mit Switches der EX-Serie und Aruba ClearPass Policy Manager
In diesem Konfigurationsbeispiel wird Folgendes veranschaulicht:
Konfigurieren Sie einen Switch der EX-Serie, Aruba ClearPass Policy Manager und einen Laptop mit Windows 7 für die 802.1X PEAP-Authentifizierung
Konfigurieren eines Switches der EX-Serie und von Aruba ClearPass für MAC RADIUS-Authentifizierung
Konfigurieren Sie einen Switch der EX-Serie und Aruba ClearPass zur Implementierung dynamischer VLANs und Firewall-Filter
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten für die Richtlinieninfrastruktur verwendet:
Ein EX4300-Switch mit Junos OS Version 14.1X53-D30 oder höher
Eine Aruba ClearPass Policy Manager-Plattform mit Version 6.3.3.63748 oder höher
Laptops mit Microsoft Windows 7 Enterprise
Übersicht und Topologie
In diesem Beispiel sind die Komponenten der Richtlinieninfrastruktur so konfiguriert, dass sie die folgenden Endpunkte authentifizieren:
Ein Mitarbeiter-Laptop, der für die 802.1X PEAP-Authentifizierung konfiguriert ist.
In der Beispielkonfiguration ist Aruba ClearPass Policy Manager so konfiguriert, dass 802.1X-Benutzer über seine lokale Benutzerdatenbank authentifiziert werden. Wenn der authentifizierte Mitarbeiter in der Datenbank als zur Finanzabteilung gehörend aufgeführt ist, gibt Aruba ClearPass die VLAN-ID 201 in einem RADIUS-Attribut an den Switch zurück. Der Switch konfiguriert dann dynamisch den Laptop-Zugriffsport so, dass er sich in VLAN 201 befindet.
Ein Gast-Laptop, der nicht für die 802.1X-Authentifizierung konfiguriert ist.
In diesem Fall erkennt der Switch, dass der Endpunkt nicht über einen 802.1X-Supplicant verfügt. Da die MAC RADIUS-Authentifizierung auch auf der Schnittstelle aktiviert ist, versucht der Switch dann, die MAC RADIUS-Authentifizierung durchzuführen. Wenn die MAC-Adresse des Laptops nicht in der Aruba ClearPass-MAC-Adressdatenbank enthalten ist – wie es bei einem Gast-Laptop der Fall wäre – ist Aruba ClearPass so konfiguriert, dass der Name des Firewall-Filters zurückgegeben wird, den der Switch auf dem Zugriffsport erzwingen soll. Dieser Firewallfilter, der auf dem Switch konfiguriert ist, ermöglicht dem Gast den Zugriff auf das gesamte Netzwerk mit Ausnahme des Subnetzes 192.168.0.0/16.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
verwendete Topologie
Konfiguration
In diesem Abschnitt finden Sie Schritt-für-Schritt-Anleitungen für:
- Konfigurieren des EX4300-Switches
- Konfigurieren von Aruba ClearPass Policy Manager
- Konfigurieren des Windows 7-Supplicants auf dem Laptop
Konfigurieren des EX4300-Switches
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und geben Sie dann commit aus dem Konfigurationsmodus ein.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile Aruba-Test-Profile accounting-order radius set access profile Aruba-Test-Profile authentication-order radius set access profile Aruba-Test-Profile radius authentication-server 10.105.5.153 set access profile Aruba-Test-Profile radius accounting-server 10.105.5.153 set access profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153 set protocols dot1x authenticator authentication-profile-name Aruba-Test-Profile set protocols dot1x authenticator interface ge-0/0/10 mac-radius set protocols dot1x authenticator interface ge-0/0/22 mac-radius set protocols dot1x authenticator interface ge-0/0/10 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22 supplicant multiple set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members v201 set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v201 set vlans v201 vlan-id 201 set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard set firewall family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration eines EX4300-Switches sind:
Konfigurieren Sie die Verbindung zum Aruba ClearPass Policy Manager.
Erstellen Sie das Zugriffsprofil, das vom 802.1X-Protokoll verwendet wird. Das Zugriffsprofil teilt dem 802.1X-Protokoll mit, welcher Authentifizierungsserver verwendet werden soll und welche Authentifizierungsmethoden und -reihenfolge verwendet werden sollen.
Konfigurieren Sie das 802.1X-Protokoll.
Konfigurieren Sie Ethernet-Switching auf den Zugriffsports ge-0/0/10 und ge-0/0/22.
Erstellen Sie die Firewallrichtlinie, die verwendet werden soll, wenn ein Gast-Laptop eine Verbindung zu einem Port herstellt.
So konfigurieren Sie den EX4300-Switch:
Geben Sie die Verbindungsinformationen des RADIUS-Servers an.
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
Konfigurieren Sie das Zugriffsprofil.
[edit access] user@Policy-EX4300-01# set profile Aruba-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile Aruba-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile Aruba-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile Aruba-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153
Konfigurieren Sie das 802.1X-Protokoll so, dass es Aruba-Test-Profile verwendet und auf jeder Zugriffsschnittstelle ausgeführt wird. Konfigurieren Sie außerdem die Schnittstellen so, dass sie die MAC RADIUS-Authentifizierung verwenden und mehr als einen Supplicant zulassen, von denen jeder einzeln authentifiziert werden muss.
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name Aruba-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 supplicant multiple
Konfigurieren Sie die Zugriffsports.
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/10 unit 0 family ethernet-switching vlan members v201 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v201
Konfigurieren Sie VLAN 201, das für Mitarbeiter verwendet wird, die Mitglieder der Finanzabteilung sind.
[edit] user@Policy-EX4300-01# set vlans v201 vlan-id 201
Beachten Sie, dass das VLAN auf dem Switch vorhanden sein muss, bevor die Authentifizierung versucht wird, damit die dynamische VLAN-Zuweisung funktioniert. Wenn das VLAN nicht vorhanden ist, schlägt die Authentifizierung fehl.
Konfigurieren Sie den Firewall-Filter, der verwendet werden soll, wenn ein Gast-Laptop eine Verbindung zu einem Port herstellt.
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle eingeben.
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile Aruba-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.153;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name Aruba-Test-Profile;
interface {
ge-0/0/10.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/10 {
unit 0 {
family ethernet-switching {
vlan {
members v201;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching;
vlan {
members v201;
}
}
}
}
user@Policy-EX4300-01# show vlans
v201 {
vlan-id 201;
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter mac_auth_policy_1 {
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Aruba ClearPass Policy Manager
Schritt-für-Schritt-Anleitung
Die allgemeinen Schritte zur Konfiguration von Aruba ClearPass sind:
Fügen Sie die RADIUS-Wörterbuchdatei von Juniper Networks hinzu.
Fügen Sie den EX4300 als Netzwerkgerät hinzu.
Stellen Sie sicher, dass das für die 802.1X-PEAP-Authentifizierung verwendete Serverzertifikat installiert wurde.
Fügen Sie den in diesem Beispiel verwendeten lokalen Benutzer hinzu, und weisen Sie ihn der Gruppe Finanzen zu.
Erstellen Sie zwei Erzwingungsprofile:
Ein Profil, das die RADIUS-Attribute für den dynamischen Firewallfilter definiert.
Ein Profil, das die RADIUS-Attribute für das dynamische VLAN definiert.
Erstellen Sie zwei Durchsetzungsrichtlinien:
Eine Richtlinie, die aufgerufen wird, wenn die MAC RADIUS-Authentifizierung verwendet wird.
Eine Richtlinie, die aufgerufen wird, wenn die 802.1X-Authentifizierung verwendet wird.
Definieren Sie den MAC RADIUS-Authentifizierungsdienst und den 802.1X-Authentifizierungsdienst.
Stellen Sie sicher, dass der MAC RADIUS-Authentifizierungsdienst vor dem 802.1X-Authentifizierungsdienst ausgewertet wird.
So konfigurieren Sie Aruba ClearPass:
Fügen Sie die RADIUS-Wörterbuchdatei von Juniper Networks hinzu.
Schritt-für-Schritt-Anleitung
Kopieren Sie den folgenden Inhalt in eine Datei mit dem Namen Juniper.dct auf Ihrem Desktop.
################################################################################ # Juniper.dct - Radius dictionary for JUNOS devices # (See README.DCT for more details on the format of this file) ################################################################################ # Use the Radius specification attributes # @radius.dct # # Juniper specific parameters # MACRO Juniper-VSA(t,s) 26 [vid=2636 type1=%t% len1=+2 data=%s%] ATTRIBUTE Juniper-Local-User-Name Juniper-VSA(1, string) r ATTRIBUTE Juniper-Allow-Commands Juniper-VSA(2, string) r ATTRIBUTE Juniper-Deny-Commands Juniper-VSA(3, string) r ATTRIBUTE Juniper-Allow-Configuration Juniper-VSA(4, string) r ATTRIBUTE Juniper-Deny-Configuration Juniper-VSA(5, string) r ATTRIBUTE Juniper-Interactive-Command Juniper-VSA(8, string) r ATTRIBUTE Juniper-Configuration-Change Juniper-VSA(9, string) r ATTRIBUTE Juniper-User-Permissions Juniper-VSA(10, string) r ATTRIBUTE Juniper-CTP-Group Juniper-VSA(21, integer) r VALUE Juniper-CTP-Group Read_Only 1 VALUE Juniper-CTP-Group Admin 2 VALUE Juniper-CTP-Group Privileged_Admin 3 VALUE Juniper-CTP-Group Auditor 4 ATTRIBUTE Juniper-CTPView-APP-Group Juniper-VSA(22,integer) r VALUE Juniper-CTPView-APP-Group Net_View 1 VALUE Juniper-CTPView-APP-Group Net_Admin 2 VALUE Juniper-CTPView-APP-Group Global_Admin 3 ATTRIBUTE Juniper-CTPView-OS-Group Juniper-VSA(23, integer) r VALUE Juniper-CTPView-OS-Group Web_Manager 1 VALUE Juniper-CTPView-OS-Group System_Admin 2 VALUE Juniper-CTPView-OS-Group Auditor 3 ATTRIBUTE Juniper-Primary-Dns Juniper-VSA(31, ipaddr) r ATTRIBUTE Juniper-Primary-Wins Juniper-VSA(32, ipaddr) r ATTRIBUTE Juniper-Secondary-Dns Juniper-VSA(33, ipaddr) r ATTRIBUTE Juniper-Secondary-Wins Juniper-VSA(34, ipaddr) r ATTRIBUTE Juniper-Interface-id Juniper-VSA(35, string) r ATTRIBUTE Juniper-Ip-Pool-Name Juniper-VSA(36, string) r ATTRIBUTE Juniper-Keep-Alive Juniper-VSA(37, integer) r ATTRIBUTE Juniper-CoS-Traffic-Control-Profile Juniper-VSA(38, string) r ATTRIBUTE Juniper-CoS-Parameter Juniper-VSA(39, string) r ATTRIBUTE Juniper-encapsulation-overhead Juniper-VSA(40, integer) r ATTRIBUTE Juniper-cell-overhead Juniper-VSA(41, integer) r ATTRIBUTE Juniper-tx-connect-speed Juniper-VSA(42, integer) r ATTRIBUTE Juniper-rx-connect-speed Juniper-VSA(43, integer) r ATTRIBUTE Juniper-Firewall-filter-name Juniper-VSA(44, string) r ATTRIBUTE Juniper-Policer-Parameter Juniper-VSA(45, string) r ATTRIBUTE Juniper-Local-Group-Name Juniper-VSA(46, string) r ATTRIBUTE Juniper-Local-Interface Juniper-VSA(47, string) r ATTRIBUTE Juniper-Switching-Filter Juniper-VSA(48, string) r ATTRIBUTE Juniper-VoIP-Vlan Juniper-VSA(49, string) r ################################################################################ # Juniper.dct - Juniper Networks dictionary ################################################################################
Navigieren Sie in Aruba ClearPass zu Administration > Dictionaries > RADIUS und klicken Sie auf Importieren , um die Datei Juniper.dct zu importieren.
Fügen Sie den Switch EX4300 als Netzwerkgerät hinzu.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Network > Devices (Konfiguration Netzwerk- Geräte auf Hinzufügen.
Geben Sie auf der Registerkarte Gerät den Hostnamen und die IP-Adresse des Switches sowie den gemeinsamen geheimen RADIUS-Schlüssel ein, den Sie auf dem Switch konfiguriert haben. Legen Sie das Feld "Name des Anbieters" auf " Juniper" fest.
Stellen Sie sicher, dass ein Serverzertifikat für die 802.1X PEAP-Authentifizierung vorhanden ist.
Vergewissern Sie sich unter Administration > Certificates > Server Certificate, dass auf Aruba ClearPass ein gültiges Serverzertifikat installiert ist. Wenn dies nicht der Fall ist, fügen Sie ein gültiges Serverzertifikat hinzu. In der Aruba ClearPass-Dokumentation und bei Ihrer Zertifizierungsstelle finden Sie weitere Informationen zum Abrufen von Zertifikaten und zum Importieren in ClearPass.
Fügen Sie dem lokalen Benutzer-Repository einen Testbenutzer hinzu.
Dieser Benutzer wird verwendet, um die 802.1X-Authentifizierung zu überprüfen.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Konfiguration -> Identität -> lokale Benutzer auf Hinzufügen.
Geben Sie im Fenster "Lokalen Benutzer hinzufügen" die Benutzer-ID (usertest1), den Benutzernamen (Testbenutzer) und das Kennwort ein, und wählen Sie " Mitarbeiter" als Benutzerrolle aus. Wählen Sie unter Attribute das Attribut " Abteilung " aus, und geben Sie unter "Wert" den Text " Finanzen" ein.
Konfigurieren Sie ein dynamisches Filtererzwingungsprofil.
Dieses Profil definiert das RADIUS-Filter-ID-Attribut und weist ihm den Namen des Firewall-Filters zu, den Sie auf dem Switch konfiguriert haben. Das Attribut wird an den Switch gesendet, wenn die MAC-Adresse des Endpunkts nicht in der MAC-Datenbank enthalten ist, sodass der Switch den Firewall-Filter dynamisch dem Zugriffsport zuweisen kann.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Profiles auf Add.
Legen Sie auf der Registerkarte Profil die Option Vorlage auf RADIUS-basierte Erzwingung fest, und geben Sie den Profilnamen Juniper_DACL_1 in das Feld Name ein.
Legen Sie auf der Registerkarte Attribute den Typ auf Radius:IETF, den Namen auf Filter-Id (11) fest, und geben Sie den Namen des Firewallfilters mac_auth_policy_1 in das Feld Wert ein.
Konfigurieren Sie ein dynamisches VLAN-Durchsetzungsprofil.
Dieses Profil definiert die RADIUS-Attribute für die Spezifikation von VLAN 201. Diese RADIUS-Attribute werden an den Switch gesendet, wenn sich ein Benutzer, der zur Finanzabteilung gehört, mit 802.1X authentifiziert, sodass der Switch dem Zugriffsport dynamisch VLAN 201 zuweisen kann.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Profiles auf Add.
Legen Sie auf der Registerkarte Profil Vorlage auf RADIUS-basierte Erzwingung fest, und geben Sie den Namen des Profils Juniper_Vlan_201 in das Feld Name ein.
Definieren Sie auf der Registerkarte Attribute die RADIUS-Attribute wie gezeigt.
Konfigurieren Sie die Richtlinie zur Durchsetzung der MAC RADIUS-Authentifizierung.
Diese Richtlinie weist Aruba ClearPass an, eine der folgenden Aktionen auszuführen, je nachdem, ob sich die MAC-Adresse des Endpunkts in der RADIUS-Datenbank befindet:
Wenn sich die Adresse in der RADIUS-Datenbank befindet, senden Sie eine Access Accept-Nachricht an den Switch.
Wenn sich die Adresse nicht in der RADIUS-Datenbank befindet, senden Sie eine Acess Accept-Nachricht zusammen mit dem Namen des Firewallfilters, der im MAC RADIUS-Authentifizierungsprofil definiert ist, an den Switch.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Policies auf Add.
Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper-MAC-Auth-Policy) ein, und legen Sie Standardprofil auf Juniper_DACL_1 (das Profil, das Sie in Schritt 5 definiert haben) fest.
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen , und fügen Sie die beiden angezeigten Regeln hinzu.
Sie müssen die Regeln nacheinander hinzufügen, indem Sie die erste Regel im Regeleditor erstellen und auf Speichern klicken, bevor Sie die zweite Regel erstellen.
Konfigurieren Sie die 802.1X-Erzwingungsrichtlinie.
Diese Richtlinie weist Aruba ClearPass an, eine der folgenden Aktionen auszuführen, je nachdem, ob der Benutzer der Finanzabteilung angehört oder nicht:
Wenn der Benutzer zur Finanzabteilung gehört, senden Sie eine Access Accept-Nachricht an den Switch und die VLAN 201-Informationen, die im 802.1X-Durchsetzungsprofil definiert sind.
Wenn der Benutzer nicht zur Finanzabteilung gehört, senden Sie eine Access Accept-Nachricht an den Switch.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Enforcement > Policies auf Add.
Geben Sie auf der Registerkarte Erzwingung den Namen der Richtlinie (Juniper_Dot1X_Policy) ein, und legen Sie Standardprofil auf [Zugriffsprofil zulassen] fest. (Dies ist ein vorgefertigtes Profil, das im Lieferumfang von Aruba ClearPass enthalten ist.)
Klicken Sie auf der Registerkarte Regeln auf Regel hinzufügen, und fügen Sie die angezeigte Regel hinzu.
Konfigurieren Sie den MAC RADIUS-Authentifizierungsdienst.
Die Konfiguration für diesen Dienst führt dazu, dass die MAC RADIUS-Authentifizierung ausgeführt wird, wenn das empfangene Attribut "RADIUS-Benutzername" und das empfangene Attribut "Client-MAC-Adresse" denselben Wert aufweisen.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).
Füllen Sie auf der Registerkarte Dienste die Felder wie gezeigt aus.
Entfernen Sie auf der Registerkarte Authentifizierung [MAC AUTH ] aus der Liste Authentifizierungsmethoden, und fügen Sie der Liste [EAP MD5] hinzu.
Wählen Sie auf der Registerkarte Erzwingung die Option Juniper-MAC-Auth-Policy aus.
Konfigurieren Sie den 802.1X-Authentifizierungsdienst.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Configuration > Services (Konfiguration Dienste) auf Add (Hinzufügen).
Füllen Sie auf der Registerkarte Service die Felder wie gezeigt aus.
Legen Sie auf der Registerkarte Authentifizierung Authentifizierungsquellen auf [ Lokales Benutzerrepository][Lokale SQL-Datenbank] fest.
Legen Sie auf der Registerkarte Erzwingung die Erzwingungsrichtlinie auf Juniper_Dot1X_Policy fest.
Stellen Sie sicher, dass die MAC RADIUS-Authentifizierungsdienstrichtlinie vor der 802.1X-Authentifizierungsdienstrichtlinie ausgewertet wird.
Da Aruba ClearPass so konfiguriert ist, dass MAC RADIUS-Authentifizierungsanforderungen erkannt werden, indem das Attribut "RADIUS-Benutzername" und das Attribut "Client-MAC-Adresse" denselben Wert haben, ist es effizienter, zuerst die MAC RADIUS-Dienstrichtlinie auswerten zu lassen.
Vergewissern Sie sich im Hauptfenster Services, dass Juniper-MAC-Auth-Policy in der Liste der Services vor Juniper-MAC_Dot1X_Policy angezeigt wird, wie gezeigt. Ist dies nicht der Fall, klicken Sie auf Neu anordnen und Juniper-MAC-Auth-Policy über Juniper-MAC_Dot1X_Policy verschieben.
Konfigurieren des Windows 7-Supplicants auf dem Laptop
Schritt-für-Schritt-Anleitung
In diesem Beispiel für die Netzwerkkonfiguration wird der native 802.1X-Supplicant auf dem Windows 7-Laptop verwendet. Dieser Supplicant muss für die 802.1X PEAP-Authentifizierung konfiguriert sein.
Die allgemeinen Schritte zum Konfigurieren des Windows 7-Supplicants sind:
Stellen Sie sicher, dass der kabelgebundene AutoConfig-Dienst gestartet ist.
Aktivieren Sie die 802.1X PEAP-Authentifizierung für die LAN-Verbindung.
Konfigurieren Sie die Einstellungen für die Serverzertifikatüberprüfung.
Konfigurieren Sie die Einstellungen für die Benutzeranmeldeinformationen.
Stellen Sie sicher, dass der Wired AutoConfig-Dienst auf dem Laptop gestartet ist.
Wählen Sie Systemsteuerung > Verwaltung > Dienste aus. Gestartet sollte im Feld "Wired AutoConfig Status" angezeigt werden.
Aktivieren Sie die 802.1X PEAP-Authentifizierung für die LAN-Verbindung.
Schritt-für-Schritt-Anleitung
Klicken Sie unter Systemsteuerung > Netzwerk- und Freigabecenter > Adaptereinstellungen ändern mit der rechten Maustaste auf LAN-Verbindung , und klicken Sie dann auf Eigenschaften.
Konfigurieren Sie auf der Registerkarte Authentifizierung des Fensters Eigenschaften der LAN-Verbindung die Eigenschaften wie gezeigt.
Konfigurieren Sie, ob der Laptop das Aruba ClearPass-Serverzertifikat validieren soll oder nicht.
Klicken Sie auf Einstellungen , um das Fenster "Geschützte EAP-Eigenschaften" anzuzeigen.
Wenn Sie nicht möchten, dass der Laptop das ClearPass-Serverzertifikat validiert, deaktivieren Sie das Kontrollkästchen Serverzertifikat validieren.
Wenn Sie möchten, dass der Laptop das ClearPass-Serverzertifikat validiert, aktivieren Sie Serverzertifikat validieren, geben Sie den Namen des ClearPass-Servers ein und wählen Sie die vertrauenswürdige Stammzertifizierungsstelle für das ClearPass-Serverzertifikat aus. Der Servername muss mit dem CN im Serverzertifikat übereinstimmen.
Konfigurieren Sie die Einstellungen für die Benutzeranmeldeinformationen.
In diesem Konfigurationsbeispiel werden die Windows Active Directory-Anmeldeinformationen nicht für die Benutzerauthentifizierung verwendet. Stattdessen werden die Anmeldeinformationen des lokalen Benutzers verwendet, der auf dem Aruba ClearPass-Server definiert ist.
Schritt-für-Schritt-Anleitung
Klicken Sie im Fenster Geschützte EAP-Eigenschaften auf Konfigurieren , um das gesicherte Kennwort (EAP-MSCHAP v2) zu konfigurieren. Deaktivieren Sie das Kontrollkästchen Meinen Windows-Anmeldenamen und mein Kennwort automatisch verwenden .
Wenn Ihr Aurba ClearPass-Server so konfiguriert wäre, dass er Windows Active Directory zur Authentifizierung von Benutzern verwendet, lassen Sie diese Option aktiviert.
Beenden Sie die Konfiguration der geschützten PEAP-Eigenschaften, indem Sie auf OK klicken.
Klicken Sie in den Eigenschaften der LAN-Verbindung auf der Registerkarte Authentifizierung auf Zusätzliche Einstellungen.
Wählen Sie in den erweiterten Einstellungen die Option Benutzerauthentifizierung für den Authentifizierungsmodus aus und klicken Sie auf Anmeldeinformationen ersetzen.
Geben Sie die Benutzer-ID (usertest1) und das Kennwort des lokalen Benutzers ein, den Sie der lokalen Benutzerdatenbank auf dem Aruba ClearPass-Server hinzugefügt haben.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Authentifizierung auf dem EX4300-Switch
- Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Überprüfen der Authentifizierung auf dem EX4300-Switch
Zweck
Stellen Sie sicher, dass der Testbenutzer usertest1 authentifiziert und im richtigen VLAN platziert wird.
Aktion
Verbinden Sie den Windows 7-Laptop, der wie unter Konfigurieren des Windows 7-Supplicants auf dem Laptop beschrieben konfiguriert ist, mit ge-0/0/22 auf dem EX4300-Switch.
Geben Sie auf dem Switch den folgenden Befehl ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1Für weitere Details, einschließlich der dynamischen VLAN-Zuweisung, geben Sie Folgendes ein:
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: V201 Session Reauth interval: 3600 seconds Reauthentication due in 3397 seconds
Bedeutung
Die 802.1X-Authentifizierung funktioniert wie konfiguriert – usertest1 wurde erfolgreich authentifiziert und in VLAN 201 platziert.
Sie können den Befehl show dot1x auch verwenden, um zu überprüfen, ob der Gast-Laptop ordnungsgemäß mithilfe der MAC RADIUS-Authentifizierung authentifiziert wird.
Überprüfen des Status von Authentifizierungsanforderungen in Aruba ClearPass Policy Manager
Zweck
Stellen Sie sicher, dass die Endgeräte korrekt authentifiziert werden und dass die richtigen RADIUS-Attribute zwischen dem Switch und Aruba ClearPass ausgetauscht werden.
Aktion
Gehen Sie zu Monitoring > Live Monitoring > Access Tracker, um den Status der Authentifizierungsanforderungen anzuzeigen.
Der Access Tracker überwacht Authentifizierungsanfragen, sobald sie auftreten, und berichtet über ihren Status.
Um die RADIUS-Attribute zu überprüfen, die vom Switch für eine bestimmte Anforderung an Aruba ClearPass gesendet werden, klicken Sie auf die Anforderung und dann im Fenster "Anforderungsdetails" auf die Registerkarte "Eingabe".
Klicken Sie auf die Registerkarte Ausgabe, um die RADIUS-Attribute zu überprüfen, die Aruba ClearPass für diese Anforderung an den Switch zurückgesendet hat.
Bedeutung
Das Feld "Anmeldestatus" des Access Trackers zeigt an, dass der Laptop des Mitarbeiters und der Gast-Laptop erfolgreich authentifiziert werden. Die Anforderungsdetails für die Authentifizierungsanforderung von usertest1 zeigen, dass der Switch die richtigen RADIUS-Attribute an Aruba ClearPass sendet und dass ClearPass die richtigen RADIUS-Attribute mit VLAN 201 an den Switch zurückgibt.