HP Intelligent Management Center: User Access Manager 7.1 Tomáš Kubica verze dokumentu 1.00
1 HP User Access Manager
Obsah 1. Příprava ............................................................................................................................................... 5 1.1. Adresní plán ................................................................................................................................. 5 1.2. Instalace iMC UAM....................................................................................................................... 5 1.3. Klientská VM .............................................................................................................................. 14 1.4. Připojení switchů k iMC/UAM.................................................................................................... 14 1.4.1. Nastavení prvku s Comware ............................................................................................... 14 1.4.2. Nastavení prvku s ProVision OS .......................................................................................... 14 1.4.3. Přidání do iMC ..................................................................................................................... 14 1.4.4. Příprava VLAN na Comware prvku ...................................................................................... 17 1.4.5. Příprava VLAN na ProVision prvku ...................................................................................... 18 2. Základní ověřování do sítě ................................................................................................................ 18 2.1. MAC autentizace ........................................................................................................................ 18 2.1.1. MAC autentizace na prvku s Comware 5 ............................................................................ 18 2.1.2. MAC autentizace na prvku s ProVision OS .......................................................................... 19 2.1.3. Přidání prvků do UAM ......................................................................................................... 19 2.1.4. UAM služba a politika ......................................................................................................... 20 2.1.5. Testovací režim ................................................................................................................... 22 2.1.6. MAC účet v UAM ................................................................................................................. 23 2.1.7. Co se děje? Jak to funguje? ................................................................................................. 27 2.1.8. Přiřazení VLAN..................................................................................................................... 35 2.2. Jednoduché 802.1X .................................................................................................................... 39 2.2.1. 802.1X na prvku s Comware 5............................................................................................. 39 2.2.2. 802.1X na prvku s ProVision OS .......................................................................................... 40 2.2.3. Lokální uživatel a policy v UAM........................................................................................... 40 2.2.4. Nastavení klienta a zkouška ................................................................................................ 42 2.3. Grafické zobrazení v topologii.................................................................................................... 47 2.4. Jak získat informace o IP klienta ................................................................................................ 51 2.4.1. DHCP-Snooping a accounting s Comware 5 ........................................................................ 51 2.4.2. DHCP-Snooping a accounting s ProVision ........................................................................... 52 2.5. Více uživatelů a/nebo více metod na portu ............................................................................... 53 2.5.1. Více uživatelů untagged, Comware..................................................................................... 54 2.5.2. Více uživatelů untagged, ProVision..................................................................................... 56 2.6. Zabudované webové ověřování ................................................................................................. 57 2.6.1. BYOD redirect...................................................................................................................... 58 2.6.2. L2 webový portál v Comware ............................................................................................. 58
2 HP User Access Manager
2.6.3. L2 webový portál v ProVision.............................................................................................. 60 2.6.4. Kombinace L2 portálů s dalšími metodami ověření ........................................................... 62 2.7. Coby kdyby – nedostupný server, nepovedené ověření............................................................ 62 2.7.1. Guest VLAN na Comware 5 ................................................................................................. 62 2.7.2. Authentication Fail VLAN na Comware 5 ............................................................................ 64 2.7.3. Critical VLAN na Comware 5 ............................................................................................... 65 2.7.4. Guest VLAN na ProVision OS ............................................................................................... 66 2.7.5. Fail-open na ProVision OS ................................................................................................... 67 2.7.6. Cached re-auth na ProVision OS ......................................................................................... 67 3. Integrace s Active Directory .............................................................................................................. 68 3.1. Certifikát pro iMC ....................................................................................................................... 68 3.1.1. Příprava šablony pro UAM .................................................................................................. 68 3.1.2. Žádost o certifikát ............................................................................................................... 73 3.1.3. Import certifikátů do UAM.................................................................................................. 81 3.2. Typický scénář pro Microsoft ..................................................................................................... 85 3.2.1. User vs. machine ověření .................................................................................................... 85 3.2.2. EAP-TLS................................................................................................................................ 85 3.2.3. PEAP-MSCHAPv2 ................................................................................................................. 86 3.2.4. Další metody ....................................................................................................................... 86 3.3. Práce s doménou ....................................................................................................................... 86 3.3.1. Zařazení do domény............................................................................................................ 86 3.3.2. Příprava doménové politiky (GPO) ..................................................................................... 91 3.3.3. Klientské a machine certifikáty doménovou politikou ....................................................... 95 3.3.4. Nastavení supplicanta doménovou politikou ................................................................... 103 3.4. Synchronizace účtů a nastavení politik v UAM ........................................................................ 107 3.4.1. Politika pro computery ..................................................................................................... 107 3.4.2. Politika pro enterprise uživatele ....................................................................................... 110 3.4.3. LDAP server ....................................................................................................................... 113 3.4.4. LDAP synchronizace .......................................................................................................... 115 3.5. Příprava prvků .......................................................................................................................... 119 3.6. První otestování řešení s EAP-TLS, user a machine ověřením ................................................. 119 3.6.1. Test chování ...................................................................................................................... 119 3.6.2. Jak funguje EAP-TLS?......................................................................................................... 120 3.7. Rozšířené politiky, služby a skupiny ......................................................................................... 124 3.7.1. Politiky podle skupiny ....................................................................................................... 124 3.7.2. Binding atributů ................................................................................................................ 130
3 HP User Access Manager
3.7.3. Další pravidla ..................................................................................................................... 131 3.8. Řešení s PEAP-MSCHAPv2 ........................................................................................................ 131 4. Co dalšího UAM a EAD umí? ........................................................................................................... 131 5. Přílohy ............................................................................................................................................. 131 5.1. Generování struktury uživatelů v Active Directory .................................................................. 132 5.2. Generování DHCP Scope .......................................................................................................... 133
4 HP User Access Manager
1. Příprava 1.1. Adresní plán
POD POD 1 POD 2 POD 3 POD 4 POD 5 POD 6 POD 7 POD 8
VLANy 110,120,130,140 210,220,230,240 310,320,330,340 410,420,430,440 510,520,530,540 610,620,630,640 710,720,730,740 810,820,830,840
VLAN 1 ip 10.10.10.11 10.10.10.12 10.10.10.13 10.10.10.14 10.10.10.15 10.10.10.16 10.10.10.17 10.10.10.18
Gateway 10.10.10.254 10.10.10.254 10.10.10.254 10.10.10.254 10.10.10.254 10.10.10.254 10.10.10.254 10.10.10.254
UAM instalace budou využívat IP v rozsahu 10.10.10.20 – 10.10.10.99, které dostanete přiděleny před akcí.
1.2. Instalace iMC UAM Stáhněte si HP Smart Connect appliance na stránce: https://h10145.www1.hp.com/downloads/DownloadSoftware.aspx?SoftwareReleaseUId=10564&Pr oductNumber=JG766AAE&lang=&cc=&prodSeriesId=&OrderNumber=&PurchaseDate= Jde o připravenou VM s předinstalovaným iMC, UAM i databází, ve které po inicializaci získáte 2 měsíce trial. Naimportujte ji do svého počítače s hypervisorem (VMware Workstation, Player nebo zdarma VirtualBox www.virtualbox.org – nezapomeňte, že žádný ze zmíněných není podporován pro produkční nasazení). Po úspěšném naimportování VM zatím nespouštějte. Nejprve upravte počty core CPU a přidělenou paměť schopnostem vašeho notebooku (minimum pro lab je 4 GB paměti, ideálně 6 GB). Klikněte na síťovou kartu, zvolte způsob připojení ven (pro lab to bude pravděpodobně Bridged) a klikněte na Advanced a tlačítkem Generate vygenerujte MAC adresu.
5 HP User Access Manager
6 HP User Access Manager
V případě VirtualBox reinicializujte MAC adresu při importu
Spusťte VM a nalogujte se jako root s heslem iMC_123. Nejprve do VM stáhněte následující aktualizace iMC a UAM. Můžete například připojit VM na Internet a stáhnout přímo ve VM. Také můžete stáhnout soubory ve svém počítači a do VM je nakopírovat síťově SCP protokolem, který je ve VM automaticky k dispozici (použijte například WinSCP a nastavte si nějakou dočasnou IP přes ifconfig a lokální síť). Další možnost je nainstalovat VMware tools a sdílené adresáře a tak podobně.
7 HP User Access Manager
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JG747AAE&lang =&cc=&prodSeriesId= (stáhnout Linux verzi iMC E0303) https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JG752AAE&lang =&cc=&prodSeriesId= (stáhnout UAM E0302 a také nejnovější patch, například E0302P07)
Ujistěte se, že soubory máte ve VM a jsou rozbalené před tím, než budete pokračovat dál. Otevřete terminálové okno – provedeme inicializaci appliance:
Provedeme iniciální konfiguraci appliance. Použijte MAC adresu, kterou jsme pro VM generovali a nastavte IP adresu, masku a gateway dle schématu, jak vám bylo přiděleno.
8 HP User Access Manager
Ověřte, že se IP adresa nastavila a od této chvíle ji neměňte!! (jsou na ni navázány UAM služby):
Otevřete HP iMC Deployment Monitoring Agent:
9 HP User Access Manager
Klikněte na Install a namiřte do adresáře s rozbalenou aktualizací iMC:
10 HP User Access Manager
Klikejte na Next a pokračujte v instalaci.
11 HP User Access Manager
Se vším souhlaste, dokud se nedostanete na konec. Nespouštějte iMC, nejdříve musíme upgradovat UAM komponentu.
Vraťte se do záložky monitor a znovu klikněte na Install.
Namiřte na UAM E0302 a klikejte tak dlouho, dokud nebude nainstalována a upgradována. Po skončení totéž opakujte pro instalaci posledního patch, například UAM E0302P07. Vraťte se na záložku monitor a nastartujte iMC a také zaškrtněte, aby se tak stalo automaticky i po rebootu.
12 HP User Access Manager
Vyzkoušejte se připojit na IP adrese iMC buď jako: http://ip/imc (poznámka: při obvyklé instalaci iMC a ne Smart Connect je použit port 8080) nebo https://ip:8443/imc
13 HP User Access Manager
1.3. Klientská VM Pro laby dostanete ještě VM s téměř čistou instalací Windows 7 a tu zprovozníme na druhém počítači ve dvojici. Tento bude sloužit jako klient a bude se přihlašovat do sítě. Důvod, proč používáme VM je, abychom mohli zařadit počítač do domény, nastavit ho politikami a co nejvíce se přiblížit reálným situacím.
1.4. Připojení switchů k iMC/UAM 1.4.1. Nastavení prvku s Comware Pokud pracujete s prvkem s Comware OS verze 5, použijte konzolový kabel pro iniciální konfiguraci. Potřebujeme nastavit přihlašovací údaje, zapnout telnet, zapnout SNMP a nastavit IP adresu (dle přiloženého schématu, tzn. 10.10.10.1X kde X je číslo skupiny). local-user hp password simple hp authorization-attribute level 3 service-type ssh telnet snmp-agent snmp-agent community write hp snmp-agent sys-info version all user-interface vty 0 4 authentication-mode scheme vlan 199 interface Vlan-interface1 ip address 10.10.10.11 255.255.255.0 telnet server enable
1.4.2. Nastavení prvku s ProVision OS Pokud pracujete s prvkem s ProVision OS, použijte konzolový kabel pro iniciální konfiguraci. Potřebujeme nastavit přihlašovací údaje, zapnout telnet, zapnout SNMP a nastavit IP adresu (dle přiloženého schématu, tzn. 10.10.10.1X kde X je číslo skupiny). vlan 1 ip address 10.10.10.11 255.255.255.0 snmp-server community "hp" unrestricted password manager user-name hp plaintext hp
1.4.3. Přidání do iMC Nalogujte se do iMC a klikněte na Add Device
14 HP User Access Manager
Vyplňte potřebné parametry – zejména IP adresu, typ přístupu, komunitu a jméno/heslo
15 HP User Access Manager
16 HP User Access Manager
Klikněte na Device Details a ověřte, že jsou informace o zařízení vidět.
Klikněte na Modify Telnet Settings a na tlačítko Test a ujistěte se, že je vše v pořádku.
1.4.4. Příprava VLAN na Comware prvku Pro laby budeme využívat dynamických VLAN a centrálního DHCP serveru (jeho nastavení nemusíte řešit). Budeme používat 4 VLAN bez IP adres (DHCP server je v core) jejichž ID najdete v přehledové
17 HP User Access Manager
tabulce (je to X10, X20, X30 a X40, kde X je číslo vaší skupiny). VLANy dejte na uplink do core a na prvních čtyřech portech prvku nastavte VLAN X10. vlan vlan vlan vlan
110 120 130 140
interface range g 1/0/1 to g 1/0/8 port access vlan 110 interface GigabitEthernet1/0/24 description core_uplink port link-type trunk port trunk permit vlan 1 110 120 130 140
1.4.5. Příprava VLAN na ProVision prvku Pro laby budeme využívat dynamických VLAN a centrálního DHCP serveru (jeho nastavení nemusíte řešit). Budeme používat 4 VLAN bez IP adres (DHCP server je v core) jejichž ID najdete v přehledové tabulce (je to X10, X20, X30 a X40, kde X je číslo vaší skupiny). VLANy dejte na uplink do core a na prvních čtyřech portech prvku nastavte VLAN X10. vlan vlan vlan vlan
110 120 130 140
interface 1/1-1/8 untagged vlan 110 interface 1/24 name core_uplink interface 1/24 tagged vlan 110,120,130,140
2. Základní ověřování do sítě 2.1. MAC autentizace Náš lab začneme něčím velmi jednoduchým – ověřování podle MAC adresy. V praxi nedoporučuji tuto metodu nasazovat pro běžné uživatele, protože z pohledu správy takového řešení (tedy udržování databáze uživatel – MAC) je to náročně. Na druhou stranu jsou situace, kdy je tento způsob velmi vhodný:
Tiskárna, která nepodporuje 802.1X IoT a jiné zařízení bez 802.1X (IP kamera, senzor, zámek, …) Průmyslové vybavení Zařízení, které nelze nijak spravovat a použití webového ověřování není vhodné
2.1.1. MAC autentizace na prvku s Comware 5 Na prvku Comware budeme využívat sjednocenou metodu přes port-security. Pro MAC uvěřování budeme při RADIUS komunikaci používat MAC adresu jako user name bez jakékoli domény (tak se chová ProVision a Cisco, tak ať je to jednotné). Comware pracuje tak, že domény rozeznává – musíme tedy vytvořit RADIUS schéma, novou doménu a po zapnutí MAC ověřování na portu vynutit použití této domény (byť se její název na UAM nijak nedostane).
18 HP User Access Manager
port-security enable radius scheme uam_no_domain server-type extended primary authentication 10.10.10.21 key simple hp primary accounting 10.10.10.21 key simple hp timer realtime-accounting 3 user-name-format without-domain nas-ip 10.10.10.11 accounting-on enable domain macauth authentication lan-access radius-scheme uam_no_domain authorization lan-access radius-scheme uam_no_domain accounting lan-access radius-scheme uam_no_domain interface range g 1/0/1 to g 1/0/4 port-security port-mode mac-authentication mac-authentication domain macauth
2.1.2. MAC autentizace na prvku s ProVision OS Na prvku ProVision jsou příkazy velmi podobné jako na Cisco – nastavíme RADIUS server, zapneme accounting a MAC ověření na portu. Všimněte si, že ProVision ve výchozím stavu neukládá hesla ani shared secret do konfiguračního souboru, ale udržuje je v nedostupné části flash (to můžete změnit příkazem include-credentials). radius-server host 10.10.10.21 key hp radius-server host 10.10.10.21 dyn-authorization aaa accounting network start-stop radius aaa accounting system start-stop radius aaa accounting update periodic 3 aaa port-access mac-based 1/1-1/4
2.1.3. Přidání prvků do UAM Nejdříve musíme v UAM nastavit Access Device, tedy RADIUS klienty. Tímto říkáme, že jsme ochotni s daným prvkem komunikovat, s jakým klíčem, do jaké lokality máme toto zařízení zařadit (pro pozdější vytváření politik podle typu přístupu) a take typ zařízení (přiřazení slovníku, tedy jaké atributy ovládá a jaké formáty očekává apod.). Klikněte na User, User Access Policy, Access Device Management, Access Device
19 HP User Access Manager
Klikněte na Add a přidejte váš prvek. Vyplňte správný shared secret a správný typ zařízení (HP Comware nebo HP ProCurve)
UAM umožňuje z grafického prostředí provádět nastavení autentizace u některých prvků, ale zkušení harcovníci jistě raději koukají do prvků přímo, že?
2.1.4. UAM služba a politika Základní schéma jakým UAM funguje je znázorněno zde:
20 HP User Access Manager
User Lokální LDAP user MAC
Přiřazen do service s příslušným suffix (doménou)
Computer
BYOD anonym
Service
Policy
Kdy?
Typ autentizace
Odkud? Z jakého AP? Jaké SSID?
Padne do konkrétní policy
VLAN ACL
Jaký endpoint (BYOD)?
QoS
...
...
Začněme tedy tím, že vytvoříme jednu Access Policy. Klikněte na User, User Access Policy, Access Policy a Add pro přidání nové. Nebudeme tam začím řešit vůbec nic, jen jí dejte jméno a budeme zařazovat do VLAN 110.
Vytvořte service bez suffix a zatím nedělejte žádné scénáře – jednoduše přiřaďte připravenou policy jako výchozí. User, User Access Policy, Access Service, Add.
21 HP User Access Manager
2.1.5. Testovací režim UAM umožňuje zapnout testovací režim spočívající v tom, že v případě, že podle policy má uživateli zakázat přístup, tak mu tento povolí, ale loguje normálně. Uživatel je tedy zobrazen jako authentication failure se všemi důsledky, ale RADIUS ho vpustí do sítě. Pro začátek to může být dobrý způsob jak si pohrát v živé síti s velmi malým rizikem. Zkuste si testovací režim zapnout v User, User Access Policy, Service Parameters, System Settings, System Parameters, User Authentication Test Mode
Zapněte druhý počítač a připojte ho do jednoho z prvních čtyř portů přepínače. Pokud jde vše správně, měli byste se dostat do sítě (díky testovacímu módu), ale UAM zaznamená požadavek jako zamítnutý a sdělí vám důvod. Podívejte se do User, User Access Log, Authentication Failure Log – říká nám, že uživatel nebyl úspěšný, protože buď neexistuje, nebo není přiřazen k žádné vhodné službě.
22 HP User Access Manager
2.1.6. MAC účet v UAM Pro začátek vytvoříme jednoduchý MAC účet v UAM. V systému lze rozlišovat platform uživatele (User) a přístupové účty (User Access Account). Struktura je následující:
Platform user Kontakt, ID, email, telefon + jakékoli vlastní atributy
Access User
Access User
LDAP/AD účet
MAC účet
Pro naprostou většinu scénářů
Například pro rychlé přihlášení zařízení MAC autentizací (například BYOD, senzor, ...)
Access User lokální login Například separátní jméno a heslo pro správu hostů nebo přístup do speciálních systémů apd.
UAM/iMC tedy eviduje uživatele včetně různých dodatečných údajů a najdete je v záložce User, User Management. Do evidence si můžete přidat libovolná vlastní políčka v Additional Information.
Pro vlastní přihlašování do sítě je ale rozhodující přístupový účet, které jsou k nalezení v User, Access User, All Access Users
23 HP User Access Manager
Tady můžeme kliknout na Add a přidáme nového uživatele, ale my si to trochu zjednodušíme. Vraťte se do Authentication Failure logu a klikněte na následující ikonu:
Tímto jsme se dostali do stejného dialogu jako by bylo ono tlačítko Add, ale jménu uživatele máme předvyplněno. Další co musíme vyplnit je platform user (User Name), žádného ale zatím nemáme
Klikněte tedy na Add User a vytvoříme nového platform uživatele s názvem MojeTiskarna
24 HP User Access Manager
Po zmáčknutí OK se vracíme do vytváření přístupového účtu. Zaškrtněte, že je typu MAC User (dělat to nemusíte, ale GUI nám vymaže určitá políčka, která v ten okamžik nemají význam, takže je to jednodušší na orientaci).
Přiřaďte tomuto uživateli službu Tiskárny
Klikněte na OK a tímto je uživatel připraven
25 HP User Access Manager
Klikněte na User, Access User, Online Users a odpojte a znovu se připojte se do portu se zapnutým MAC ověřováním (stačilo by i chvíli čekat)
Tato stránka je důležitá, doporučuji si ji dát do oblíbených
26 HP User Access Manager
Pokud na této stránce nic nevidíte, ale uživatel je v síti, máte s největší pravděpodobností problém s accountingem. RADIUS protokol pro ověřování je bezestavový, ale UAM chce držet informace kdo kde je, kdo je ještě připojen a tak podobně – proto vyžaduje správně fungující accounting (lze to perdevice vypnout, ale přicházíte tak o mnoho věcí). Ověřte tedy, že accounting dorazí do serveru (tzn. je nastaveno v přepínači, jde na správnou IP, se správným key, není po cestě blokován port 1813).
2.1.7. Co se děje? Jak to funguje? Můžete použít Wireshark (mimochodem jednoznačně nejlepší nástroj pro troubleshooting RADIUS problémů), doporučuji například mít nainstalováno přímo na UAM serveru (v našem případě stačí pustit Wireshark na host počítači nad Ethernet portem) – jako filter zadejte „radius“ a sledujte. Co se tedy všechno děje a co je důležité?
První co se stalo je, že switch posílá Access-Request. Co znamenají některé parametry a proč jsou důležité:
User-Name – uživatelské jméno (případně včetně domény) je posíláno jako plain text, což je důležité pro rozhodování RADIUS serverů (například pro podporu RADIUS chaining apod.) User-Password – tohle políčko vidíme, protože jde o jednoduchou PAP autentizaci – později v labu poznáme EAP, pokročilejší metodu NAS-IP-Address je IP adresa přístupového prvku – tato je zásadní pro přiřazení policy (lze mít odlišnou politiku podle NAS-IP, v UAM se tomu říká Access Device Group a najdete to v Access Condition). Pro shared secret a zařazení RADIUS klienta je naopak rozhodující
27 HP User Access Manager
zdrojová IP paketu. Většinou tyhle dvě budou stejné, ale nemusí to být vždy (například je-li v cestě RADIUS paketu NAT – UAM tento scénář podporuje) NAS-Identifier je textový řetězec a co je v něm záleží na implementaci v prvku. V drátové síti nemusí být nijak zásadní, ale klíčový je pro kontrolerem řízenou WiFi. Protože do UAM mluví kontroler, mají všechna AP stejnou NAS-IP – nicméně můžete jednotlivým AP nakonfigurovat jejich NAS-ID a podle toho rozlišovat lokality (v UAM najdete po názvem AP Group v Access Condition) NAS-Port, NAS-Port-Id a NAS-Port-Type obvykle identifikují port (v případě Comware wireless DBSS port, tedy kombinaci AP, rádia a SSID). Comware Port-Id je textové a UAM tytp informace parsuje, takže v logu najdete přímo čísla portu, subslotu a slotu i VLAN ID portu (řekněme PVID neboli untagged VLAN před ověřením). Service-Type je atribut, podle kterého UAM rozhoduje, jestli se jedná o ověření uživatele do sítě nebo o ověření administrátora prvků (type Login(1)) – administrátoři jsou zpracováváni z bezpečnostních důvodů odděleně. Calling-Station-Id ve většině případů obsahuje MAC adresu klienta Called-Station-Id v našem příkladě není, ale je běžná u wireless, kde je obvykle kódována jako BSSID (tzn. MAC adresa rádia) : SSID – tento atribut UAM používá ke zjištění a zobrazení SSID, takže může aplikovat různé politiky podle SSID (SSID Group v Access Condition) Acct-Session-Id je číslo budoucí accounting session
Paket z ProVision vypadá velmi podobně (všimněte si, že je využito CHAP místo PAP):
Výborně, UAM tedy dostalo mnoho informací, projede politiky a přijme rozhodnutí, která zahrnují i autorizační atributy jako VLAN, ACL, QoS apod. (o tom později).
28 HP User Access Manager
Tedy je tedy vidět Access-Accept zpráva obsahující i Tunnel informace (standardní způsob určení VLAN). Zmiňme ještě jeden atribut – Session-Timeout. Ten udává maximální délku session ve vteřinách a představuje 24 hodin. Switch tedy musí odpojit uživatele po této době (reautentifikovat) – kromě toho může mít prvek i vlastní konfiguraci reautentizační periody, ale obvykle je nejlepší držet toto centrálním způsobem v UAM. Pokud je účet těsně před vypršením, UAM tento údaj zkrátí (například pokud účet vyprší za tři minuty, pošle UAM číslo 180). Maximální hodnotu můžete změnit v User, User Access Policy, Service Parameters, System Settings, System Parameters, Max. Session Duration:
Když už jsme na této stránce – jak UAM řeší stavovost? Tu do systému vnáší accounting (viz dále). UAM po úspěšném ověření drží uživatele v paměti a čekat na Accounting START paket po dobu pěti vteřin (Authentication Lock Time). Ujistěte se tedy, že Accounting START přijde v tomto časovém okně! Pokud potřebujete delší čas čekání (meziplanetární komunikace, DHCP Snooping na ProVision prvku … o tom později), prodlužte tuto hodnotu. Jak UAM spáruje onen autentizační a accounting paket? Používá dvou způsobů:
Dává dohromady user-name, MAC adresu (Calling-id) a NAS-IP Protože některé prvky na trhu neposílají Calling-id v accountingu (například Mikrotik) zkouší UAM i druhou možnost, a to parsovat user-name, NAS-IP a Acct-Session-Id (to zas v AccessRequest neposílají jiní)
Začíná tedy accounting:
29 HP User Access Manager
Některé atributy jsou stejné, ale pro tento okamžik je zásadní Acct-Status-Type Start(1), tedy jde o START paket, session nám začíná. UAM odpoví potvrzením příjmu
V tento okamžik se uživatel objevil v naší online tabulce.
V prvku jsme nastavili interim update na 3 minuty (výchozí stav je 12 minut), tedy prvek bude informovat o průběhu běžící session a UAM bude aktualizovat informace. UAM očekává, že update
30 HP User Access Manager
přijde minimálně každých 30 minut, jinak prohlásí session za mrtvou (například po násilném vypnutí prvku). Tuto hodnotu můžete změnit v nastavení:
Mimochodem prvky mohou posílat také accounting-on packet. Jde o situaci, kdy dojde právě k násilnému restartu zařízení. Po jeho naběhnutí prvek může poslat accounting-on paket, který informuje UAM, že k této události došlo a pokud zůstaly nějaké session „vyset“, mohou se odmazat – tedy že začínáme s čistým stolem. (to jsme v Comware udělali příkazem accounting-on a v ProVision nastavením accounting na system). Před soft rebootem je posláno i Accounting-Off, tedy budeme náhle končit, všechno se odpojuje.
Počkejte tři minuty a přijde nám interim-update accounting paket:
31 HP User Access Manager
Jak vidíte to hlavní, co přináší navíc, jsou údaje o přenesených datech. V online tabulce UAM se aktualizovala Online Duration
Klikněte na tečky v Operation a dejte Detail
Toto jsou detailní informace o klientovi včetně aktuálních údajů o přenesených datech
32 HP User Access Manager
Ukončete tuto session například odpojením kabelu ze stanice.
33 HP User Access Manager
Switch pošle accounting STOP paket. Uživatel zmizel z online tablky (už není online), ale najdeme ho v historickém logu. Podívejte se do User, User Access Log, Access Details:
V Customize GUI si můžete vybrat i jiné údaje na hlavní stránku
34 HP User Access Manager
Klikněte v seznamu na ikonku Details a pohlédněte si, co je k dispozici
2.1.8. Přiřazení VLAN V UAM politice jsme nastavili VLAN ID a to bylo přiřazeno uživateli. V Comware 5: dis mac-authentication int g 1/0/2
35 HP User Access Manager
… GigabitEthernet1/0/2 is link-up MAC address authentication is enabled Authenticate success: 1, failed: 0 Max number of on-line users is 256 Current online user number is 1 MAC Addr Authenticate State 001b-38f4-f1b0 MAC_AUTHENTICATOR_SUCCESS display mac-address 001b-38f4-f1b0 MAC ADDR VLAN ID STATE 001b-38f4-f1b0 110 Learned ---
1 mac address(es) found
Auth Index 1
PORT INDEX GigabitEthernet1/0/2
AGING TIME(s) NOAGED
---
HP-2920(vlan-110)# show port-access mac-based Port Access MAC-Based Status
Port ---1/1 1/2 1/3 1/4
Auths/ Guests ------1/0 0/0 0/0 0/0
Unauth Clients ------0 0 0 0
Untagged VLAN -------110 None None None
Tagged VLANs -----No No No No
Port COS -------No No No No
% In Limit ----No No No No
RADIUS ACL -----No No No No
Cntrl Dir ----both both both both
Port Mode ---------1000FDx 1000FDx 1000FDx 1000FDx
36 HP User Access Manager
Na Comware i ProVision pojmenujte VLAN 110 (příkaz je stejný) vlan 110 name tisk
37 HP User Access Manager
Můžete si ověřit, že přiřazení funguje. UAM stejným způsobem funguje i s prvky Cisco, které rovněž podporují přiřazení jak přes ID, tak jméno. Co použít záleží na konkrétní situaci:
VLAN ID může mít jednodušší troubleshooting, protože právě podle ID si testujete spojení a kontrolujete nastavení. Překlep ve jménu VLAN může být obtížnější k nalezení Používání VLAN name umožňuje mít pod tímto jménem vždy jiné VLAN ID, což může být výhodné. Například představme si směrovanou síť, kdy máme centrální core prvek a k němu připojené patrové rozvaděče. Každý rozvaděč má svou sadu VLAN – třeba Student a Ucitel podle schématu X10 a X20 kde X je číslo rozvaděče. Všechny VLAN jako je 110, 220, 320 pak mohou mít stejné jméno, což zjednodušuje přiřazení policy.
Nezapomeňte, že iMC platforma nabízí VLAN management – pokud máte čas, vyzkoušejte si:
38 HP User Access Manager
2.2. Jednoduché 802.1X Pojďme si vyzkoušet nějaké základní velmi jednoduché 802.1X s využitím lokálních účtů a bez certifikátů a podobných věcí, které přijdou později. Jako klienta budeme používat dodanou labolatorní VM s Windows 7. Důvodem je, že většina firemních laptopů vám nemusí politikou umožnit měnit nastavení přihlašování do sítě a hlavně nebudete chtít váš počítač zařadit do laboratorní domény (což přijde později, zatím to nedělejte). VM nám bude simulovat jednoduché klienta, který neumí certifikáty a používá EAP-MD5. Tato metoda ve Windows sice stále je, ale je zakázána – pro účely hraní si ji lze povolit zásahem do registru dle návodu na http://support.microsoft.com/kb/922574 (to už je ale VM připraveno). S touto metodou ověřování se setkáte často u tiskáren a telefonů – ty obvykle z 802.1X umí EAPMD5 a EAP-TLS, ale import klientských certifikátů pro EAP-TLS u nich může být administrativně náročný. Běžně tak budete IP telefony nebo tiskárny ověřovat přes EAP-MD5.
2.2.1. 802.1X na prvku s Comware 5 Nastavíme se prvek s Comware 5. V první řadě je nutné zapnout dot1x metodu na EAP – stare věci typu CHAP dnes už nemají opodstatnění. Následně si založíme nové radius schema – pro MAC ověřování jsme chtěli používat uživatele zcela bez domény (hlavním důvodem byla konzistence mezi Comware, ProVision a Cisco). Pro 802.1X doménu potřebujeme. Comware dokáže přímo v prvku konfigurovat a následně parsovat domény, takže jeden port může podle skutečné domény uživatele v 802.1X paketech použít pokaždé jiný RADIUS server. To je nesmírně flexibilní konfigurace – nicméně pro nás teď zbytečná. Využijeme tedy výchozí domény system a v RADIUS schématu nebude do username nijak zasahovat. dot1x authentication-method eap radius scheme uam server-type extended primary authentication 10.10.10.21 key hp
39 HP User Access Manager
primary accounting 10.10.10.21 key hp timer realtime-accounting 3 user-name-format keep-original nas-ip 10.10.10.11 accounting-on enable domain system authentication lan-access radius-scheme uam authorization lan-access radius-scheme uam accounting lan-access radius-scheme uam interface range g 1/0/5 to g 1/0/8 port link-mode bridge port access vlan 110 port-security port-mode userlogin-secure-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger Na portech 5-8 jsme zapnuli port-security režim na 802.1X, vypnuli jsme dot1x handshake (tato část standardu nebyla stanicemi nikdy dobře implementována – některé OS by se vám se zapnutým handshake odpojovaly), vypnuli multicast-trigger a nechali unicast trigger (dnes to už není tak významné, vychází to ze suplicantů, kteří nezahájili komunikaci samostatně a museli se postrčit prvkem).
2.2.2. 802.1X na prvku s ProVision OS ProVision implementace není tak flexibilní co do práce s doménami, ale pro náš jednoduchý scénář nabízí obdobně jednoduchou konfiguraci: aaa authentication port-access eap-radius aaa port-access authenticator 1/5-1/8 aaa port-access authenticator active
2.2.3. Lokální uživatel a policy v UAM Vytvoříme teď novou service, novou access policy a nového uživatele. Jděte do User, User Access Policy, Access Policy a klikněte na Add. Přidáme novou službu Telefony a budeme přiřazovat VLAN 120:
40 HP User Access Manager
Vytvoříme novou service
A přidáme uživatele. Tentokrát ovšem s vyplněným heslem. Někdy zákazníci nemají účet pro každý telefon zvlášť, ale jeden globální – všechny telefony se tedy přihlašují stejným účtem. Proto musí zvýšit hodnotu povolených současných ověření (tedy současných session).
41 HP User Access Manager
Zařaďte do správné service
2.2.4. Nastavení klienta a zkouška Nastartujte Windows 7 VM s klientem a ujistěte se, že je bridgována na síťovou kartu. Připojte host do prvku na portech 5-8, klikněte pravím tlačítkem na symbol sítě a otevřete dialog.
Klikejte na nastavení adaptéru, nastavení IP až se dostanete k záložce authentication. Pozor – k tomu, aby tam byla, musí běžet nativní supplicant, tedy služba Wired autoconfig. Ve vaší VM už je to zajištěno, v enterprise to obvykle bude řešit doménová politika (GPO – k tomu se dostaneme). Nastavte autentizaci na EAP-MD5
42 HP User Access Manager
Klikněte na další nastavení a zapněte autentizaci uživatele
43 HP User Access Manager
Protože používáte autentizaci ve VM, ale ta musí procházet switchem hypervisoru, fyzický stav linku se replikuje se zpožděním. Možná bude dobré kabel nechat být a vypínat a zapínat přímo adaptér uvnitř vaší VM.
44 HP User Access Manager
Po zapnutí vám vpravo dole vyskočí hláška o přihlášení. To je něco co později v enterprise části labu samozřejmě používat nebudeme, ale chceme začít od jednodušších věcí.
zadejte login telefonu
Podívejte se do online tabulky, případně si prohlédněte packet trace ve vašem Wireshark. „Telefon“ by měl být online.
No a takhle vypadá pár výpisů v Comware:
45 HP User Access Manager
dis dot1x int g 1/0/6 Equipment 802.1X protocol is enabled EAP authentication is enabled EAD quick deploy is disabled Configuration: Transmit Period 30 s, Handshake Period 15 s Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Reauth Period 3600 s The maximal retransmitting times 2 EAD quick deploy configuration: EAD timeout: 30 m The maximum 802.1X user resource number is 1024 per slot Total current used 802.1X resource number is 1 GigabitEthernet1/0/6 is link-up 802.1X protocol is enabled Handshake is disabled Handshake secure is disabled 802.1X unicast-trigger is enabled 802.1X user-ip freeze is disabled Periodic reauthentication is disabled The port is an authenticator Authentication Mode is Auto Port Control Type is Mac-based 802.1X Multicast-trigger is disabled Mandatory authentication domain: NOT configured Guest VLAN: NOT configured Auth-Fail VLAN: NOT configured Critical VLAN: NOT configured Critical recovery-action: NOT configured Voice VLAN: NOT configured Max number of on-line users is 256 EAPOL Packet: Tx 55, Rx 22 Sent EAP Request/Identity Packets : 30 EAP Request/Challenge Packets: 0 EAP Success Packets: 5, Fail Packets: 8 Received EAPOL Start Packets : 7 EAPOL LogOff Packets: 0 EAP Response/Identity Packets : 10 EAP Response/Challenge Packets: 5 Error Packets: 0 1. Authenticated user : MAC address: 0050-5633-0349 Controlled User(s) amount to 1
… a takhle na ProVision: show port-access authenticator clients Port Access Authenticator Client Status Port-access authenticator activated [No] : Yes Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
46 HP User Access Manager
Port Client Name MAC Address IP Address Client Status ---- --------------------- ------------- --------------- -------------------1/5 telefon 005056-330349 n/a Authenticated show mac-address 005056-330349 Status and Counters - Address Table - 005056-330349 Port VLAN ----- ---1/5 120
Nechte uživatele připojeného a jdeme dál.
2.3. Grafické zobrazení v topologii Klikněte na User, Access User, Access Topology
Přidejte novou topologii kliknutím na Add
47 HP User Access Manager
Rozklikněte topologii kliknutím na název
Klikněte na Add Device a přidejte vaše zařízení
Přepněte na grafické znázornění (vpravo nahoře)
48 HP User Access Manager
Klikněte na
a vyhledejte online uživatele a přišpendlete ho na topologii
Následně uvidíte v reálném čase kde je uživatel připojen
Přes pravé tlačítko můžete udělat operace jako je vykopnutí a zařazení do black listu
49 HP User Access Manager
Rozložení obrazovky si můžete uložit kliknutím na disketu. Stejné topologie najdete i přes záložku Resource, Network Topology, kde se vám otevře nové okno speciálně na access, ale i jiné topologie.
Mimo tento lab – pokud máte bezdrátové řešení, iMC WSM modul a podporu lokalizace klientů (fyzické umístění ve WiFi síti), je takový obrázek korelován z informace z UAM.
50 HP User Access Manager
2.4. Jak získat informace o IP klienta Jak si můžete ověřit Wiresharkem MAC ověřování stejně jako 802.1X probíhá ještě před jakoukoli další komunikací se sítí, tedy před DHCP. Tzn. v průběhu ověřování nemá uživatel žádnou IP adresu. Přesto by z pohledu accountingu, bezpečnosti i snadného dohledávání bylo fajn takovou informaci mít. Některé prvky, HP Comware dráty i bezdráty stejně jako HP ProVision mezi ně patří, umožňují přidat informaci o IP klienta do accounting paketů. UAM na to reaguje a updatuje příslušné údaje. Ve všech případech je k tomu využito informací z DHCP Snooping – jinak řečeno je nutné nasadit DHCP snooping, aby byla IP v RADIUS paketu. Nezapomeňte, že to není funkce, která se „jen zapne“, ale musíte nastavit správné trust informace apod. Prvky mají lehce odlišné chování, pojďme si to vyzkoušet.
2.4.1. DHCP-Snooping a accounting s Comware 5 Jak zapnout DHCP Snooping na Comware 5? dhcp-snooping interface g 1/0/24 dhcp-snooping trust
Připojte stanici znova. Jak to bude fungovat? Accounting START paket nic takového neobsahuje:
Asi po 100ms je už ale adresa známá display dhcp-snooping DHCP Snooping is enabled. The client binding table for all ports. Type : D--Dynamic , S--Static , R--Recovering Type IP Address MAC Address Lease VLAN SVLAN Interface ==== =============== ============== ============ ==== ===== ================= D 10.1.20.1 000c-29b8-5a72 3574 120 N/A GE1/0/6
51 HP User Access Manager
---
1 dhcp-snooping item(s) found
---
… a Comware posílá interim-update:
Což je reflektováno v UAM
2.4.2. DHCP-Snooping a accounting s ProVision ProVision prvek se zapnutým DHCP Snoopingem je schopen reportovat do RADIUS IP adresu klienta v rámci accounting paketů. Implementace ProVision funguje tak, že se pozdrží Accounting START paket v rozmězí 0-60 vteřin. UAM ve výchozím nastavení vyžaduje, aby accounting START přišel do 5 vteřin. Pro podporu ProVision musí změnit nastavení v UAM. Jděte do User, User Access Policy, Service Parameters, System Settings, System Parameters a nastavte Authentication Lock Time na 65 vteřin.
Následně zapněte DHCP Snooping v prvku globálně a na potřebných VLAN a nezapomeňte označit trusted port odkud přichází pakety z oprávněného DHCP serveru. dhcp-snooping trust 1/24
52 HP User Access Manager
dhcp-snooping dhcp-snooping vlan 110 120 130 140
Připojte uživatele a ověřte, že vznikl záznam v DHCP Snooping tabulce. HP-2920(config)# show dhcp-snooping bi
MacAddress IP VLAN Interface Time Left ------------- --------------- ---- --------- --------000c29-b85a72 10.1.20.1 120 1/5 3596
Po nějaké době posílá switch Accounting START paket včetně IP adresy klienta
což reflektuje i UAM
2.5. Více uživatelů a/nebo více metod na portu Jsou situace, kdy je potřeba ověřit více než jednoho uživatele na portu:
Počítač připojený za telefonem (ten funguje jako malý switch) Do portu je připojen switch bez možnosti správy a implementace bezpečnosti
Stejně tak existují situace, kdy chceme na jednom portu kombinovat více typů ověření (tedy MAC ověření, 802.1X a případně webový portál):
53 HP User Access Manager
Tiskárny a kamery ověřujeme podle MAC, ale nechceme mít konfigurace fyzických portů specificky podle připojeného zařízení – hledáme univerzální konfiguraci portu pro všechny scénáře (jednoduchost nasazení, netřeba řešit kam co se připojuje) Na portu chceme kombinovat víc metod, například 802.1X pro klienta připojeného za telefonem s MAC ověřováním
Poslední otázkou je, zda je možné kombinovat zařízení, která nepodporují VLAN tagging
HP Comware i ProVision podporují MAC VLAN s dynamickým přiřazením dle RADIUS. To v praxi znamená, že můžete mít na portu připojená dvě zařízení, obě nebudou tagovat provoz (jde například o PC) a přitom switch přiřadí každé do jiné VLAN. Tuto technologii řada výrobců (včetně Cisco) neumí. HP, Cisco i další výrobci mohou podporovat režim, kdy je pouze jedna VLAN untagged (ta slouží pro připojené PC) a telefon musí svoje odchozí rámce tagovat do VLAN. V takovém případě je potřeba vyřešit otázku, jak bude telefon vědět, do jaké VLAN má svůj provoz tagovat (kdo mu to řekne).
2.5.1. Více uživatelů untagged, Comware Na prvku s Comware použijeme hybridní typ portu, který dovoluje mít vícero VLAN přiřazených jako untagged a současně zapneme mac-vlan funkci. Díky tomu se může přihlásit více uživatelů a dostanou se do VLAN tak, jak jim je přiřadí RADIUS (UAM). interface range g 1/0/5 to g 1/0/8 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 110 120 untagged port hybrid pvid vlan 110 mac-vlan enable port-security port-mode userlogin-secure-or-mac-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger
Online users:
Tiskárna (host):
54 HP User Access Manager
Telefon (Guest VM)
Výpis z CLI display dot1x int g 1/0/6 Equipment 802.1X protocol is enabled ... GigabitEthernet1/0/6 is link-up 802.1X protocol is enabled ... 1. Authenticated user : MAC address: 000c-29b8-5a72 display mac-authentication int g 1/0/6 ... Current online user number is 1 MAC Addr Authenticate State 001b-38f4-f1b0 MAC_AUTHENTICATOR_SUCCESS
Auth Index 489
55 HP User Access Manager
display mac-address 000c-29b8-5a72 MAC ADDR VLAN ID STATE 000c-29b8-5a72 120 Learned
PORT INDEX GigabitEthernet1/0/6
AGING TIME(s) NOAGED
display mac-address 001b-38f4-f1b0 MAC ADDR VLAN ID STATE 001b-38f4-f1b0 110 Learned
PORT INDEX GigabitEthernet1/0/6
AGING TIME(s) NOAGED
2.5.2. Více uživatelů untagged, ProVision Pro MAC VLAN podporu musíte mít prvky ProVision 2920, 3800 nebo v2 moduly 5400/5400R/8200 a není to potřeba nijak zapínat (použijme příkaz mvb enable, ať vidíme, že tam je, ale je to zapnuté by default), jen zvýšíme počet možných klientů. aaa aaa aaa aaa
port-access port-access port-access port-access
1/5-1/8 mbv enable authenticator 1/5-1/8 client-limit 10 mac-based 1/5-1/8 mac-based 1/5-1/8 addr-limit 10
show port-access 1/5 authenticator clients detailed Port Access Authenticator Client Status Detailed Port-access authenticator activated [No] : Yes Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No Client Base Details : Port : 1/5 Client Status : Authenticated Client name : telefon IP : n/a Access Policy Details : COS Map : Not Defined Untagged VLAN : 120 Tagged VLANs : No Tagged VLANs Port Mode : 100FDx RADIUS ACL List : No Radius ACL List
Session Time : 234 seconds Session Timeout : 86401 seconds MAC Address : 000c29-b85a72
In Limit Kbps Out Limit Kbps
: Not Set : Not Set
56 HP User Access Manager
show port-access 1/5 mac-based clients detailed Port Access MAC-Based Client Status Detailed Client Base Details : Port : 1/5 Client Status : authenticated MAC Address : 001b38-f4f1b0 IP : n/a
Session Time : 293 seconds Session Timeout : 86401 seconds
Access Policy Details : COS Map : Not Defined Untagged VLAN : 110 Tagged VLANs : No Tagged VLANs Port Mode : 100FDx RADIUS ACL List : No Radius ACL List
In Limit Kbps Out Limit Kbps
: Not Set : Not Set
2.6. Zabudované webové ověřování V praxi bych v každém případě doporučil centrální webové ověřování s využitím Comware portal protokolu. Ten pracuje na L3, takže stačí vytvořit speciální VLAN a v jejím L3 prvku umístit Comware portal navázaný na UAM. Tímto způsobem je nutné konfigurovat jen jedno místo a podporovány jsou tak jakékoli prvky přivedené do zmíněného L3 zařízení (tedy Comware, ProVision, Cisco, …). Jak na to? Navštivte lab Jakuba Tikovského kolem WiFi a BYOD, vyzkoušíte si to. My se tedy zaměříme na L2 webové ověřování zabudované přímo v prvku. Má to některé výhody – můžete přímo z RADIUS přiřazovat VLAN na port a provoz odbavit přímo tam. Na druhou stranu nemáte takovou kontrolu nad designem stránky nebo to alespoň není tak pohodlné. Všechny parádičky v řízení přístupu hostů (guest management v UAM – QR kódy, hesla SMSkou, schvalování sponzorem přes QR kód nebo email, časově omezené kartičky) jsou součástí UAM a potřebují plnohodnotný centralizovaný portál. Srovnejme L2 a L3 portál:
Centrální správa stránky Podpora externího web serveru Plnohodnotná úprava zabudovaného web serveru Možnost přiřazovat VLAN uživateli UAM portálové funkce a guest management RADIUS ověřování Transparentně připojitelný jiný access
Podpora více uživatelů v jiných untagged VLAN na portu
L2 portál Comware NE NE ANO
L2 portál ProVision NE ANO NE
L3 portál Comware ANO ANO (musí být) --
ANO NE (pouze tzv. GAM) ANO ANO (3000 na switch)
ANO NE
NE ANO
ANO ANO (256 na port, u 25xx méně) ANO (jen 2920, 3800, 5400, 8200)
ANO ANO
ANO
--
57 HP User Access Manager
Podpora lokálních účtů v prvku
ANO
ANO (jen jeden společný)
ANO (ale stejně je potřeba UAM jako web server)
2.6.1. BYOD redirect Pro některé BYOD scénáře je potřeba, aby existoval registrační mechanismus – webové stránka, na kterou se lze přihlásit třeba účtem z Active Directory a zaregistrovat například svoje mobilní zařízení (MAC adresu) případně spustit proces jeho zařazení (nahrání certifikátu, spuštění nástroje pro nastavení WiFi profilu apod.). V takové registrační VLAN je potřeba mít zařízení, které provede HTTP redirect na BYOD stránku v UAM, ale nic dalšího není potřeba. Tento úkon stačí provést na L3 zařízení (nikoli na každém L2 access prvku). Jde v zásadě o podmnožinu L3 portal protokolu a tato funkce je k dispozici jak v Comware na prvcích ProVision od verze 15.16.
2.6.2. L2 webový portál v Comware Webový portál zabudovaný v Comware musíme navázat na nějaký L3 interface, nicméně pro náš scénář nebude z praktických důvodů chtít, aby kamkoli vedl – chceme pouze lokální síť nesměrovanou někam jinam. Vytvořme si takový interface: vlan 999 interface Vlan-interface999 ip address 192.168.1.1 255.255.255.0
Klient ve svém prohlížeči bude zadávat nějaké DNS jméno, takže potřebujeme přístup na DNS. Mohli bychom zařídit, že bude interface 999 směrován do sítě na DNS server a v portal pravidlech na něj dát přístup, ale pojďme raději tuto síť nechat zcela izolovanou. Budeme tedy potřebovat, aby Comware prvek fungoval jako DNS proxy – prvek bude mít na DNS přístup a bude služby ve formě proxy poskytovat našim hostům: dns proxy enable dns server 10.10.10.180
Dále budeme potřebovat DHCP server, který klientům přidělí IP adresu tak, aby mohli přijít na přihlašovací stránku. V našem případě opět nechceme, aby to nějak souviselo se skutečnou infrastrukturou, takže použijeme DHCP server přímo v prvku. Současně také po úspěšném přihlášení dojde pravděpodobně ke změně VLAN, takže chceme nastavit velice krátký lease time. dhcp enable dhcp server ip-pool portal network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 192.168.1.1 expired day 0 hour 0 minute 0 second 20
Teď už si můžeme nakonfigurovat lokální portálový server portal local-server http portal local-server ip 192.168.1.1 portal redirect-url http://hp.demo/welcome wait-time 30
Zbývá nastavit port – použijeme hybridní typ portu, abychom mohli ověřovat i vícero uživatelů s tím, že PVID bude 999.
58 HP User Access Manager
interface g 1/0/9 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 110 120 130 140 999 untagged port hybrid pvid vlan 999 mac-vlan enable portal local-server enable
Tímto jsme připraveni. Vypněte ve vašem klientovi 802.1X a připojte se na port 1/0/9. Prozkoumejte, jakou máte IP adresu.
Otevřete webový prohlížeč. Centrální DNS server v labu nemusí být připojen na Internet, proto použijte interní webovou adresu hp.demo. Bude přesměrováni na portálový server uvnitř prvku. Abychom nemuseli zakládat nový účet, použijte “telefon” z předchozí části labu.
59 HP User Access Manager
Počkejte chvíli a prozkoumejte svojí IP adresu a ujistěte se, že hlavní okno bylo přesměrováno labový web server.
2.6.3. L2 webový portál v ProVision Nastavení ProVision je velmi jednoduché a v zásadě stačí webové ověřovaní zapnout. Automaticky se řeší lokální DHCP server pro dočasnou IP, lokální DNS odpovídač a tak podobně. aaa port-access web-based 1/9 aaa port-access web-based 1/9 client-limit 32 aaa port-access web-based 1/9 redirect-url http://hp.demo/welcome
Vypněte ve vašem klientovi 802.1X a připojte se na port 1/0/9. Prozkoumejte, jakou máte IP adresu.
60 HP User Access Manager
61 HP User Access Manager
Ověřte, že máte IP adresu ze skutečné VLAN
2.6.4. Kombinace L2 portálů s dalšími metodami ověření Zkombinování všech tří metod, tedy 802.1X, MAC ověřování a WEB ověřování na jediném portu vyžadovalo hodně zkušeností a promyšlenosti v zařízení. Ve starších prvcích nemusí být tato kombinace k dispozici (3100 SI, 5120 SI, 2520, 2610), ale úspěšně ji zprovozníte na prvcích, jako jsou 5120 EI, 5500, 5800, 2530, 2620, 2920, 3800 nebo 5400.
2.7. Coby kdyby – nedostupný server, nepovedené ověření V první řadě – UAM nabízí možnosti redundantní nasazení, stejně jako Active Directory, prvky mají možnost záložních RADIUS serverů – hlavních uživatelských centrech (hlavní administrativní budova apod.) zkrátka k výpadku dojít nesmí. Design redundantního UAM je za rámec tohoto labu a je k dispozici ve verzi 7.0 a 7.1 ve stateless režimu s vylepšeními plánovanými do verze 7.2. Nicméně jsou situace, kdy je plně redundantní řešení nákladné na to, co by přineslo. Takovým případem může být pobočka, která není do centrály připojena redundantním způsobem (dva operátoři, dva způsoby připojení, dva WAN routery) – držet v ní lokální kopii Active Directory a lokální RADIUS není ekonomicky únosné. V takový okamžik je dobré mít přímo v prvcích možnost nějakého fail-open režimu. Nejen to – možná došlo k situaci, s kterou jsme nepočítali. Uživatel byl RADIUSem odmítnut nebo vůbec nepodporuje žádné přihlašování a nedat mu žádnou konektivitu by bylo přehnaně přísné. Co umí prvky v tomto směru nabídnout?
2.7.1. Guest VLAN na Comware 5 Comware 5 nabízí funkci Guest VLAN jejímž smyslem je dát konektivitu hostům. Pozor na to, že ji můžete nastavit pro 802.1X i pro MAC ověřování a v obou případech to má (záměrně) jiné chování:
dot1x guest vlan říká, do které VLAN spadne uživatel, který se nepokusil (nebo ještě nezačal) s 802.1X ověřováním (tedy například host s nenakonfigurovaným počítačem). Jde o něco jiného, než počítač, který 802.1X začal, ale byl odmítnu RADIUS serverem ! V případě MAC ověřování říká guest VLAN kam spadne uživatel, který neprošel MAC autentizací, tedy byl odmítnut RADIUS serverem (případ, že by se klient „nepokusil“ neexistuje, protože to iniciuje prvek).
Z toho také plyne důležitý poznatek – pokud na portu kombinujete současně 802.1X a MAC ověřování, nenastavujte Guest VLAN u dot1x – klient, který se nepokusí o 802.1X je automaticky zkoušen na MAC adresu, takže potřebujeme spíše Guest VLAN na MAC ověření. Přidejte tedy Guest VLAN na port 5-8, kde jsme zkoušeli 802.1X + MAC ověřování a také přidejte všechny potřebné VLAN na hybridní port. Celá konfigurace portu vypadá takhle: interface GigabitEthernet1/0/5
62 HP User Access Manager
port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 110 120 130 140 untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger
Připojte klienta (naše VM) a ponechte vypnuté 802.1X ověřování. Ověřte, jakou máte IP adresu (z které VLAN).
Zapněte 802.1X ověřování a ověřte, že se klientovi podařilo dostat z Guest VLAN do své právoplatné VLAN.
63 HP User Access Manager
Právě jsme ověřili funkčnost Guest VLAN. V případě, že nemáte na portu MAC ověřování, použijte guest VLAN v rámci dot1x příkazu. Tento režim je možné použít k automatickému získání připojení na Internet pro hosty v síti. Alternativně je možné tuto Guest VLAN nastavit na takovou, ve které běží L3 portál – tím se host automaticky dostane pod dikci centralizovaného Guest managementu v rámci UAM včetně všech vlastností, které s tím souvisí (registrace hostů, generování hesel zaslaných přes SMS, QR kódy, ověření sponzorem a tak podobně).
2.7.2. Authentication Fail VLAN na Comware 5 Co se stane v případě, že klient začne 802.1X ověřování, ale to je aktivně odmítnuto RADIUS serverem? To není situace, kdy se aplikuje Guest VLAN, ale lze ji ořešit funkcí auth-fail VLAN. Kdy má smysl tuto funkci použít resp. kdy jsou lepší jiné metody?
Pokud potřebujete ladit nastavení UAM může být lepší nastavit otevřený režim v UAM (už o tom v labu padla řeč), kdy UAM odpoví pozitivně i v případě, kdy má poslat reject (a přitom zaloguje reject, takže můžete dobře ladit a zkoušet) Někdy se používá technika, kdy se po dobu implementace nastaví auth-fail VLAN na síť, ve které uživatel získá nějakou konektivitu – čistě proto, že v průběhu implementace můžeme čelit různým nedomyšlenostem a dělat chyby a chceme zmírnit dopad na uživatele Teoreticky může přijít do sítě host, který má na počítači zapnuté 802.1X – takového uživatele považujeme hosta a chceme na něj aplikovat stejné pravidlo, jako když se přihlášení ani nepokusí (pak dejte auth-fail na stejnou VLAN jako guest VLAN)
Přidejte na port auth-fail VLAN: interface GigabitEthernet1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 110 120 130 140 untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext dot1x auth-fail vlan 130 undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger
Odpojte fyzický port a znovu se připojte (možná budete muset ve VM dát disable/enable). Až vám vyskočí bublina, zadejte schválně špatné jméno a heslo. Autentizace selže a Windows to tak bude hlásit, nicméně vytrvejte, Windows to po chvilce vzdají. Podívejte se na vaši IP adresu – měla by být z rozsahu auth-fail VLAN.
64 HP User Access Manager
2.7.3. Critical VLAN na Comware 5 Co se má stát v okamžiku, kdy není žádný z RADIUS serverů dostupný? Comware umožňuje na portu definovat VLAN, která se v takovém případě použije pro klienty. Typicky půjde o nějakou omezenou zabezpečenou VLAN, která ale umožní alespoň částečný provoz uživatelů. interface GigabitEthernet1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 110 120 130 140 untagged port hybrid pvid vlan 110 mac-vlan enable mac-authentication guest-vlan 140 mac-authentication critical vlan 120 mac-authentication domain macauth port-security port-mode userlogin-secure-or-mac-ext dot1x auth-fail vlan 130 dot1x critical vlan 120 dot1x critical recovery-action reinitialize undo dot1x handshake undo dot1x multicast-trigger dot1x unicast-trigger
Odpojte UAM ze sítě, připojte klienta a prozkoumejte jeho IP adresu.
65 HP User Access Manager
2.7.4. Guest VLAN na ProVision OS ProVision podporuje přiřazení hostovské VLAN v případě, že ověření se nezdaří a my chceme považovat takovou stanici za hosta. Guest VLAN můžete nakonfigurovat pro všechny tři metody ověření, ale platí následující pravidla:
Guest VLAN pro 802.1X můžete nastavit pouze na portu, který nemá také zapnutou MAC nebo WEB autentifikaci (což je logické, jinak by se tyto metody nedostaly ke slovu) Pokud používáte MAC i WEB (a třeba i 802.1X) ověření na jednom portu, můžete nastavit Guest VLAN buď na MAC nebo WEB, ale ne na oboje Pokud se rozhodnete v prvku vůbec nepoužívat WEB ověřování, máte možnost po přiřazení Guest VLAN na nepodařenou MAC autentizaci přesměrovat uživatele na nějaký web (logicky pakliže chcete nabídnout webové L2 ověřování na portu pro případ, že MAC není známa, nakonfigurujte normální WEB autentizaci, ne tohle)
aaa port-access mac-based 1/5-1/8 unauth-vid 140
Vyzkoušejte
66 HP User Access Manager
2.7.5. Fail-open na ProVision OS ProVision OS nabízí fail-open scénář, tedy pokud RADIUS nebude dostupný, klient se dostane do sítě na VLAN, která je v portu definována jako untagged (nebo Guest VLAN). aaa authentication port-access eap-radius authorized aaa authentication mac-based chap-radius authorized
Odpojte UAM server ze sítě, připojte klienta a ujistěte se, že dostal přístup. Použije se Guest VLAN. Pokud není Guest VLAN nastaveno, bude uživatel zařazen do VLAN, která je untagged na portu (PVID).
2.7.6. Cached re-auth na ProVision OS ProVision má ještě jinou možnost – v okamžiku kdy se aktivní session potřebuje reautentizovat, tak ji „podrží“, tedy bere jako stále platnou včetně přiřazené VLAN. aaa authentication port-access eap-radius cached-reauth aaa authentication mac-based chap-radius cached-reauth
67 HP User Access Manager
3. Integrace s Active Directory 3.1. Certifikát pro iMC Metody PEAP, TTLS i EAP-TLS začínají tím, že se autentizační systém (v našem případě UAM) prokáže klientovi platným certifikátem a na základě toho vznikne šifrovaný tunel (v případě PEAP/TTLS) nebo se přejde k ověření klienta certifikátem (TLS). V každém případě potřebujeme pro UAM serverový certifikát podepsaný stejnou certifikační autoritou.
3.1.1. Příprava šablony pro UAM Připojte se do Active Directory vzdálenou plochou na 10.10.10.180 – účet je podxadmin, kde x je číslo podu (heslo je hp). Klikněte na Windows ikonu a následně šipku dolu
Otevřete certifikační autoritu
68 HP User Access Manager
Klikněte pravým tlačítkem na šablony a zvolte Manage
Najděte šablonu Web Server, klikněte pravým tlačítkem a zvolte duplikovat
69 HP User Access Manager
Dejte mu nový název a prodlužte platnost (po konzultaci s politikou zákazníka). Ve screenshotech jsem použil název MujServer – v labu použijte prosím jméno MujServerX (kde X je číslo podu), aby si to mohl vyzkoušet každý.
Umožněte export klíčů
70 HP User Access Manager
Certifikát si narolujeme na doménovém kontroleru, tak si pro to dáme práva (v zásadě to lze dělat odkudkoli, pokud si to správně nastavíme). Najděte záložku Security a klikněte na Add.
Přidejte Domain Controllers
71 HP User Access Manager
a dejte ji právo narolovat certifikát
72 HP User Access Manager
Vraťte se zpátky do certifikační autority a vydáme tuto novou šablonu
To by bylo, můžeme jít žádat o certifikát
3.1.2. Žádost o certifikát Je více možností jak na to, použijeme jednu z nich. Otevřete si mmc
73 HP User Access Manager
Přidejte Snap-In, například zmáčknutím CTRL+M a vyberte Certificates a klikněte Add
74 HP User Access Manager
Na dotaz odpovíme, že chceme řešit computer certifikáty
Pravým tlačítkem klikněte na Personal a začneme generovat nový požadavek a doklikejte se až do výběru šablony.
75 HP User Access Manager
Klikněte na modrý text pro doplnění informací. Vyplňte to podobně jako na obrázku. V praxi je ovšem lépe se ujistit, že název serveru skutečně odpovídá a místo IP adresy je raději DNS jméno.
76 HP User Access Manager
Narolujte
77 HP User Access Manager
Klikněte na svůj certifikát pravým tlačítkem a zvolte Export
Až budete tázáni na export klíčů, zvolte ano
Soubor zabezpečte heslem
78 HP User Access Manager
Zvolte název podx
V praxi je dobré certifikát v tomto počítači v tuto chvíli zlikvidovat (klikněte Delete).
Certifikát pro UAM máme, ještě si uložíme kořenový ceritifikát. V Certification Authority klikněte přes pravé tlačítko na Properties a dále na View Certificate
79 HP User Access Manager
Klikněte v certifikátu na Copy to file
80 HP User Access Manager
A projděte průvodce exportem. Oba soubory si následně přes klipboard zkopírujte k sobě.
3.1.3. Import certifikátů do UAM Jděte do User, User Acess Policy, Service Parameters, Certificate
81 HP User Access Manager
Naimportujte kořenový certifikát ze souboru. V průběhu budete mít možnost zadat CRL, což pro účely labu můžete přeskočit, nicméně pro reálné použití to může být důležité. Jde o situaci, kdy byl certifikát kompromitován a administrátor CA hp chce odvolat. Certifikační autorita vystavuje seznam odvolaných certifikátů (CRL) a tu si může UAM průběžně stahovat. Kde najít URL pro CRL? Například se podívejte do vydaného certifikátu pro doménový řadič nebo jakéhokoli jiného.
82 HP User Access Manager
V mém případě je to: ldap://10.10.10.180:389/CN=hp-MOJEAD-CA,CN=MojeAD,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=hp,DC=demo?certificateRevocationList?base?objectClas s=cRLDistributionPoint a účet CN=pod1admin,OU=PodUsers1,OU=pod1,DC=hp,DC=demo
83 HP User Access Manager
Otestujte spojení tlačítkem Test a dokončete průvodce.
Vypadá to v pořádku – naimportujme server certifikát
84 HP User Access Manager
Ověřte, že UAM nic nechybí kliknutím na tlačítko Verify Imported Certificate
V praxi se může stát, že vám chybí část kořenové cesty – certifikát nemusí být vydán přímo kořenovou autoritou, ale intermediate subjektem – jeho certifikát musí být rovněž naimportován u kořenového, tedy potřebujeme mít celý řetězec. Hotovo, máme připraveno.
3.2. Typický scénář pro Microsoft 3.2.1. User vs. machine ověření Ve světě Microsoft domény probíhá několik věcí ještě před přihlášením uživatele. Tak například pokud se uživatel ještě nikdy nelogoval, vytváří se mu lokální profil. Dále se po nastartování počítače spouštějí konfigurační skripty (GPO), instalují se aplikace a tak podobně. V praxi to znamená, že potřebujeme, aby počítač i bez přihlášeného uživatele měl konektivitu primárně na doménový řadič, případně další server (update server apod.). To se realizuje tak, že počítač se může přihlásit jako počítač, tedy machine na základě toho, že je zařazen v doméně. Tímto způsobem poskytneme známým strojům přístup na domain kontroler (ale nikam jinam) a v okamžiku, kdy se zaloguje uživatel, se počítač odhlásí a přihlásí se jako user. Pro Microsoft prostředí je tento způsob v zásadě nutností zejména v situaci, kdy je 802.1X konektivita primární (tedy např. je nasazena na drátové i bezdrátové síti).
3.2.2. EAP-TLS EAP-TLS je nejbezpečnější z běžně dostupných metod ověřování díky tomu, že využívá ověření jak strany sítě, tak uživatele, asymetrickou šifrou podepsanou certifikační autoritou. V rámci tohoto ověření dojde k sestavení TLS tunelu s velmi silnou ochranou integrity a silným symetrickým šifrováním a uvnitř tohoto masivního dvoustranně ověřeného tunelu běží další ověření certifikátem klienta. Jedná se o velmi bezpečný způsob, který je možné dále obohatit o instalaci certifikátu na specializované zařízení zabezpečené přes PIN (TPM čip v notebooku, USB token).
85 HP User Access Manager
Obrovskou výhodou EAP-TLS je naprostá standardizace. Funguje prakticky s čímkoli, jakýmkoli OS, není nijak kontrolverzní ani nemá „varianty“ různých vendorů. Umí ho Windows, Android, iOS, tiskárny i telefony a jako backend lze bez potíží mít AD, openLDAP, eDirectory apod.
3.2.3. PEAP-MSCHAPv2 PEAP-MSCHAPv2 je specifický pro Microsoft a má určité praktické nedostatky. Není tak bezpečný jako EAP-TLS, ale zabezpečení je dostatečné. Využívá se ověření sítě vůči klientovi (certifikát) s následným sestavením šifrovaného tunelu, ve kterém běží ověření klienta přes MSCHAPv2 protokol. Z důvodu jistých implementačních detailů na straně Microsoft (pokud vás zajímá, zeptejte se v rámci labu) se nedá použít běžné metody ověření hesla (LDAP Binding), ale je nutné simulovat přihlášení uživatele na „virtuálním počítači“.
3.2.4. Další metody Microsoft dlouhou dobu ve svém OS nepodporoval další metody, byť tyto jsou často velmi výhodné. Například TTLS-PAP používá bezpečný šifrovaný tunel, uvnitř něj ale jede jednoduché ověření jména a hesla, takže TTLS-PAP je kompatibilní s naprosto jakýmkoli způsobem uložení uživatelských credentials (plain text, hash, Keystone, Kerberos, …). Další metody mohou zahrnovat dvou-faktorou autentizaci, jako je GTC, případně se integrovat s ověřováním na základě SIM karty v telefonu (EAPSIM, EAP-AKA). Ve Windows 8 už je podpora pro vícero autentizačních metod velmi dobrá, ale například TTLS není ve verzích starších k dispozici.
3.3. Práce s doménou 3.3.1. Zařazení do domény Přihlašte se vzdálenou plochou k Active Directory serveru a otevřete si:
Prohlédněte si stromovou strukturu našeho labu – důležité je, že pro vás je připraveno OU s označením podX, kde X je číslo vašeho pracovního místa.
86 HP User Access Manager
Výchozí stav je, že pokud bychom teď přidali klienta (naše VM s Windows 7) do domény, ocitne se v generické složce Computers v hlavním stromu. Protože chceme, abyste měli možnost si v rámci labu samostatně vyzkoušet nastavení různých politik, potřebujeme tento počítač mít ve vašem OU. Uděláme to tedy tak, že jeho název zaneseme před samotným začleněním do domény. To už je v labu připraveno – podívejte se do OU vašeho podu do sekce PodComputersX a měli byste vidět připravený computer s názvem podxclient.
87 HP User Access Manager
Připojte vaší VM do sítě na nějakém portu bez zapnutého ověřování a ověřte, že jste schopni pingnout doménový počítač 10.10.10.180. Zařaďte klienta do domény a nezapomeňte zadat správný název. Přes nabídku start najděte computer, klikněte pravým tlačítkem a zvolte Properties.
Klikněte na Change settings a pak na Change
88 HP User Access Manager
Vyplňte správné jméno a doménu
89 HP User Access Manager
a použijte svůj administrátorský login
A pokud všechno dobře dopadlo…
90 HP User Access Manager
Po restartu se přihlašte jako některý z uživatelů vašeho podu, například
[email protected] s heslem hp.
3.3.2. Příprava doménové politiky (GPO) Velmi příjemnou vlastností Windows řešení je schopnost centralizovat politiky pro koncové stanice. Pro nás bude klíčové především automatické vystavení certifikátu jak pro počítač, tak pro všechny jeho uživatele a také automatické nastavení supplicant, tedy metody ověření do sítě a její další parametry. Připojte se do Active Directory a spusťte
Všimněte si, že existuje globální výchozí politika, ale my budeme chtít separátní GPO podle vašich skupin, tedy OU.
91 HP User Access Manager
Budeme například pracovat s pod2. Klikněte pravým tlačítkem a dejte vytvořit novou politiku.
Pojďme policy upravit – klikněte pravým tlačítkem a zvole Edit
92 HP User Access Manager
Nastavte úvodní zprávu, ať víme, že všechno funguje
93 HP User Access Manager
Zavřete okno a vraťte se k GPO. Klikněte pravým tlačítkem a zaškrtněte Enforced.
Ve vaší VM můžete například spustit „gpupdate“ z příkazové řádky (nebo v Run) a odhlásit se a znovu přihlásit. Pokud je GPO v pořádku, uvidíte váš text.
94 HP User Access Manager
3.3.3. Klientské a machine certifikáty doménovou politikou V následujícím kroku upgravíme GPO ve vašem podu tak, aby doménové počítače ve vašem OU automaticky získaly machine certifikát a uživatelé user certifikát. Klikněte pravým tlačítkem na vaše GPO a modifikujte ho.
Nejprve zapneme automatický enrollment certifikátů.
95 HP User Access Manager
96 HP User Access Manager
Následně necháme generovat machine certifikát. Najděte Automatic Certificate Request Setting a přes pravé tlačítko přidejte nový Automatic Certificate Request.
Projděte průvodce
97 HP User Access Manager
98 HP User Access Manager
Totéž teď uděláme pro uživatele – nejprve zapneme autoenrollment
99 HP User Access Manager
Ještě povolte enrollment policy
Poznámka pro praxi, v rámci labu dělat nebudeme. Pro computer můžeme použít výchozí certifikát zcela bez úprav. Pro uživatele je ideální jít do certifikační autority, pravým tlačítkem kliknout na
100 HP User Access Manager
Certificate Templates a dát Manage. Následně si najděte šablonu User a tu duplikujte a nastavte takto:
101 HP User Access Manager
Následně okno Manage zavřete a v Certificát Templates dejte přes pravé tlačítko Certificate Template to Issue. Ale jak jsem říkal, v našem labu už je tento krok hotový. Na vašem klientovi spusťte v příkazové řádce gpudate a podíváme se, zda se nám certifikát vystavil a máme jej k dispozici. Buď na klientovi použijte mmc nebo se podívejme do vystavených certifikátů přímo v certifikační autoritě.
102 HP User Access Manager
Zdá se tedy, že se nám to povedlo.
3.3.4. Nastavení supplicanta doménovou politikou Klikněte pravým tlačítkem na vaše GPO a modifikujte ho.
Nejprve nastavíme politiku, který zajistí, že je supplicant služba (pro drátové připojení) spuštěna.
103 HP User Access Manager
Přidejme tedy nastavení supplicanta, v našem labu jen pro drát, ale podobně se můžete chovat k bezdrátovému nastavení (včetně SSID a dalších věcí). Najděte Wired politiku a přes pravé tlačítko vytvořte novou.
Dáme politice nějaký název
104 HP User Access Manager
Nastavíme, že chceme ověřování certifikátem (tedy EAP-TLS) a také specifikujeme, že budeme používat přihlášení počítače (machine ověření) a po přihlášení uživatele přehlášení na uživatele.
105 HP User Access Manager
V záložce Advanced uděláme některé změny, zejména budeme informovat Windows, že mezi přihlášením počítače a pak uživatele se bude měnit VLAN (tedy že s tím má počítat a říct si o adresu). Doporučuji posílat 802.1X přesně dle standardu. Výchozí nastavení počítá s maximální ztrátou konektivity mezi odhlášením počítače a přihlášením uživatele na 10 vteřin – to obvykle stačí, nicméně pokud je RADIUS a DHCP server na druhé straně zeměkoule, možná to budete měnit.
Ještě klikneme na Properties – pokud chceme být dokonalý nejen, že budeme ověřovat vydání serverového certifikátu (to považujme za nutnost), ale i kontrolovat jméno serveru. Tzn. to je jméno, které jsme dávali do certifikátu pro UAM.
106 HP User Access Manager
Tím bychom měli být připraveni a můžeme se pustit do nastavení UAM.
3.4. Synchronizace účtů a nastavení politik v UAM 3.4.1. Politika pro computery UAM ve verzi 7.1 funguje tak, že vytvoříte jeden generický účet, pod který se mapují všechny doménové počítače (tedy přihlášení počítače, kde není zalogovaný žádný uživatel). Ve verzi 7.2 bude možnost synchronizovat přímo konkrétní computer accounty, ale v našem labu zůstaneme u jednoho účtu. Vytvořte novou přístupovou politiku pro počítač s přiřazením do VLAN 110 a podporou EAP-TLS. Jděte do User, User Access Policy, Access Policy a klikněte na Add.
107 HP User Access Manager
Vytvořme příslušnou Service – jděte do User, User Access Policy, Access Service a klikněte Add
V posledním kroku vytvoříme uživatele, pod kterého machine accounty spadnou. Jděte do User, Access User, All Access Users a klikněte Add. Použijte Add User pro vytvoření nového platform uživatele.
108 HP User Access Manager
Zaškrtněte, že se jedná o speciální Computer User
Přiřaďte správnou politiku a uložte
109 HP User Access Manager
3.4.2. Politika pro enterprise uživatele Nejprve si vytvoříme přístupovou politiku využívající EAP-TLS a budeme definovat cílovou VLAN 130. Jděte do User, User Access Policy, Access Policy a klikněte na Add.
110 HP User Access Manager
Zadejte název, VLAN a typ ověření
111 HP User Access Manager
Následně přidáme Service – jděte do User, User Access Policy, Access Service a klikněte na Add
Zadejte název, ale hlavně Service Suffix , tedy doménové jméno. Uživatele se budou přihlašovat plným jménem, tedy user@doména.cz, takže je důležité mít políčko sufix vyplněné. Nebudeme zatím dělat nějaké složitější scénáře a v rámci služby jednoduše přiřadíme jednu access policy – tu co jsme v předchozím kroku vytvořili.
112 HP User Access Manager
Tímto máme service a politiku připravené.
3.4.3. LDAP server Nejprve si nastavíme LDAP server, tedy naší Active Directory. Jděte do User, User Access Policy, LDAP Service, LDAP Server a klikněte na Add.
Dejte mu jméno a IP adresu. Zatím to nepotřebujeme, ale už teď zadáme přiřazení služby (tedy výsledných politik apod.) v závislosti na skupině v Active Directory. Současně budeme uživatele synchronizované do UAM řadit do skupin tak, jak to odpovídá OU v Active Directory. To nemá žádný význam z pohledu nějakých politik, jde čistě o zjednodušení orientace v rámci UAM.
113 HP User Access Manager
Jako Base DN zadejte cestu k vašemu OU (nebudeme synchronizovat v rámci vaší instalaci jiné jednotky), cestu k admin účtu a heslo.
Záložní server teď nepoužíváme a MSCHAP také ne, takže klikněte na Test a ujistěte se, že se UAM do serveru dostane.
114 HP User Access Manager
Pokud je vše v pořádku, klikněte na OK.
3.4.4. LDAP synchronizace Server máme připravený, teď vytvoříme synchronizační politiku. Těch může být několik, ale také může stačit jedna (s přiřazováním politik podle skupin). Záleží na konkrétní situaci. Pro účely labu použijeme zatím jen jednu a v prvním kroku nebudeme skupiny řešit. Jděte do User, User Access Policy, LDAP Service, Sync Policy a klikněte na Add.
Zadejte název a předevší Sub-Base DN. To může být stejné, jako naše Base DN (a taky by to bezchybně fungovalo). Pro vyzkoušení a v rámci čistoty ale namíříme naší politiku přímo do vnořené OU, kde máme naše uživatele (tedy do hledání nezahrneme OU s počítači a OU s definicí skupin – byť by to ničemu nevadilo). Ve filter conditions můžete klasickou LDAP syntaxí zadat případná další pravidla – například nepobrat uživatele nesplňující nějakou podmínku, třeba počáteční písmeno či vlastnost určitého atributy, příslušnost ve skupině a tak podobně. V rámci synchronizační politiky
115 HP User Access Manager
tedy dokážete dělat opravdu hodně věcí a přesně si vyladit co a jak se bude synchronizovat (a s využitím více synchronizačních politik se můžete úplně vyřádit). Až vše vyplníte, klikněte na Next.
V dalším kroku můžeme definovat různé Service podle skupiny uživatelů v AD. To zatím dělat nebudeme, takže zadáme jen Default Service – všichni uživatelé vyhovující kritériím z předhozí obrazovky tak dostanou právě tuto Service (tedy například nastavení VLAN v závislosti na tom s čím, odkud, kam a kdy se připojují).
116 HP User Access Manager
Na další obrazovce říkáme, co všechno chceme synchronizovat. Pro funkčnost většina z nich nemá vliv, ale jsou důležité z pohledu jednoduchosti práce s UAM. Basic information se vztahuje k platform uživateli (viz začátek tohoto dokumentu), tedy reálné jméno / identita. U většiny zákazníků je vhodné User Name držet buď z atributu CN, někdy může být vhodnější DisplayName (konzultujte s nastavením Active Directory – pakliže login je tkubica, CN často bývá Tomáš Kubica, ale můžete mít login ve formě čísla zaměsnance, třeba user12345 a CN také user12345 a pouze DisplayName je Tomáš Kubica). Identity Number není číslo, ale ID – jednoznačný identifikátor platform uživatele – doporučuji nechat předvyplněný sAMAccountName.
Následuje sada informací pro vytvářené access účty. Tady můžete například určit vpršení platnosti účtu a ta buď staticky (napíšete v rámci této policy) nebo vytažením z nějakého LDAP atributu. U hesla tady prakticky vždy musíte použít Do Not Sync a v případě potřeby ověření hesla se toto vždy udělá ad-hoc v rámci ověřování (tedy v reálném čase). Důvodem je, že ani Active Directory, ani příčetně nastavené jiné LDAP řešení, neumožňuje číst hesla (jsou uložena obvykle jako hash). Přesto k tomuto políčku musíte něco napsat – jde o situaci, kdy účet přestane existovat v Active Directory, ale vy se jej rozhodnete v UAM zachovat a používat lokálně – pak mu propadne toto heslo. Za běžných okolností se tak nikdy nepoužije a netřeba se jím příliš zabývat. Dále nastavte počet současných spojení, často se uživatelům povoluje současný přístup přes LAN i WLAN, takže dejte třeba trojku.
117 HP User Access Manager
Poslední sada údajů se týká Binding dodatečných informací, o čemž bude řeč později. Dá se tedy například přímo v Active Directory držet informace o prvku a konkrétním portu, kde je zařízení pouze povoleno (například pro nějaké velmi stacionární záležitosti typu IP kamera nebo průmyslový stroj).
Máme hotovo, můžete kliknout na Synchronize
Prohlédněme si výsledek
118 HP User Access Manager
Zdá se tedy, že máme hotovo.
3.5. Příprava prvků V rámci ProVision OS nemusíme nic dalšího dodělávat, ale v případě Comware si vytvořme doménu hp.demo domain hp.demo authentication lan-access radius-scheme uam authorization lan-access radius-scheme uam accounting lan-access radius-scheme uam
3.6. První otestování řešení s EAP-TLS, user a machine ověřením 3.6.1. Test chování Připojte VM do sítě a ponechte ji bez přihlášeného uživatele (protože hypervisor nemusí dobře replikovat stav karty do VM budete možná muset v hypervisoru odpojit a znovu připojit NIC).
Podívejte se do online tabulky – měli byste vidět, že do sítě je nalogován počítač.
119 HP User Access Manager
Přihlašte se do Windows
V online tabulce uvidíte, že počítač se odhlásil a místo něj je přihlášen uživatel.
Pokud provedete Logoff, uživatel zmizí a přihlásí se znovu počítač.
3.6.2. Jak funguje EAP-TLS? Nejlepší pro troubleshooting je chápat jak protokoly fungují a podívat se do Wireshark. Pojďme si vysvětlit co se při EAP-TLS vlastně odehrává a co všechno uvidíte z packet trace. Ideální je zachytávat přímo na UAM serveru, protože tam uvidíte i to, co je po drátu šifrované. 1. Klient: Ták, chtěl bych dovnitř, takhle se jmenuji.
120 HP User Access Manager
2. Server: Nic proti tomu, ale budem používat EAP-TLS, jo?
3. Klient: Tak s tím jsem celkem v pohodě, tohle jsou šifry, které umím a posílám nějaké náhodné řetězce a můžem začít vyjednávat.
4. Server: Fajn, vybírám si tuhle šifru a tohle jsem já, to je můj certifikát.
121 HP User Access Manager
Klient teď uvěřil serveru, že je jeho kamarád a mají spolu sestavený tunel. Další části protokolu uvidíte už jen jako RADIUS pakety s šifrovaným EAP obsahem. Pokud ale chytáte přímo na UAM serveru, uvidíte víc ! 5. Klient: To zní dobře, tohle jsem já
122 HP User Access Manager
6. Server: Tak to vypadá, že se dohodneme
7. Klient: Jako klient/server se máme rádi, nechme prvek dokončit RADIUS ověření, jo?
8. Server: Klient je OK, může dovnitř a tady je jeho politika
123 HP User Access Manager
3.7. Rozšířené politiky, služby a skupiny 3.7.1. Politiky podle skupiny Vytvoříme si novou politiku a službu pro kontraktory. Nejprve tedy nová Access Policy.
124 HP User Access Manager
Vytvoříme novou Service pro kontraktory a výchozí policy bude Kontraktori
125 HP User Access Manager
Upravíme naší synchronizační politiku v User, User Access Policy, LDAP Sevice, Sync Policy klikněte na Modify.
Jako výchozí politiku můžeme nechat Zaměstnanci, ale některé skupiny budeme přiřazovat k jiné Service. Klikněte na Add.
Vyhledejte skupiny vašeho podu
126 HP User Access Manager
Vyberte si podXskupina10 a klikněte na přidat. Následně přiřaďte této skupině jinou Service.
127 HP User Access Manager
Dokončete úpravu policy a klikněte na Synchronize.
Koukneme se, kdo se nám ocitl v této Service. jděte do User, Access User, All Access Users a vyhledejte podle Service Name.
Vyberte si jednoho z těchto uživatelů a přihlašte se do sítě.
128 HP User Access Manager
Současně si tím vyzkoušíme, jak důležité je mít nastaveno computer ověřování. Stanice na tomto PC ještě nebyla a před přihlášením musí nejprve kontaktovat doménový řadič – to bez computer ověření by stanice žádnou konektivitu neměla. Totéž platí pro certifikát, který tento uživatel zatím nemá vystavený (enrollment proběhne až v okamžiku aplikace GPO).
Po prvním spuštěním můžete dostat hlášku o tom, že je potřeba certifikát – Windows už ho ale v tento okamžik mají, takže stačí vypnout/zapnout síťovku a vše je vyřešeno (nebo odhlásit a přihlásit). Ověřte, že uživatel má IP adresu tentokrát z VLAN 120
129 HP User Access Manager
3.7.2. Binding atributů V rámci přihlašování můžete ještě kontrolovat další vlastnosti účtu. Některé z nich vyžadují spolupráci HP iNode klienta (například sériové číslo pevného disku), jiné lze získat standardní cestou. Typicky to zahrnuje MAC adresu klienta, prvek a jeho port. Můžete tak například zamknout uživatele na konkrétní port v síti (například IP kameru) – Bind Access Device IP a Bind Access Device Port. Vyzkoušíme si Binding User MAC – tedy v rámci ověření se kontroluje nejen 802.1X, ale i MAC adresa zařízení. Nastavte příslušnou Access Policy.
Informace o MAC adrese je svázána s Access Account a můžete ji zadat ručně (nebo synchronizovat v LDAP Sync policy). Dá se ale také nechat políčko MAC adresy prázdné – pro prvním přihlášení uživatele s využitím Binding policy se toto vyplní automaticky a později se kontroluje, že je nezměněno.
130 HP User Access Manager
3.7.3. Další pravidla Vyzkoušejte si vytváření komplexních pravidel podle času, lokality, SSID, typu zařízení apod. Tyto vlastnosti jsou podrobněji rozebírané v jiných labech.
3.8. Řešení s PEAP-MSCHAPv2 Při používání MSCHAPv2 není možné použít běžné LDAP metody ověřování a synchronizace z kryptografických důvodů (UAM nemá z AD k dispozici hesla v plain-text, AD si ukládá jen hash – stejně tak od uživatele rovněž nezíská plaint-text v případě MSCHAPv2). Trh se s tímto vypořádal tak, že se obvykle simuluje přihlášení klienta (login do doména) ad virtuálním účtem počítače. Tuto funkci najdete v sekci nastavení LDAP v UAM. PEAP-MSCHAPv2 v našem labu nepoužíváme, soustředíme se spíše na bezpečnější metody s vyšší úrovní zabezpečení – tedy EAP-TLS. Neznamená to ovšem, že je PEAP-MSCHAPv2 špatná volba – detailnější lab možná doplníme v nějaké z dalších verzí tohoto dokumentu.
4. Co dalšího UAM a EAD umí? Pojďme si výčtově říci co dalšího nad rámec tohoto labu můžete s UAM/EAD dělat:
Ověřování operátorů/administrátorů prvků (přístupy) Fingerprinting, tedy rozeznání typu koncového zařízení BYOD – enrollment, onboarding Centralizované portálové ověřování Guest management systém s pokročilými vlastnostmi Samoobslužný portál Bezpečnostní stav klientů (EAD) Správa nastavení desktopů a assetů (EAD – komponenta DAM)
5. Přílohy
131 HP User Access Manager
5.1. Generování struktury uživatelů v Active Directory Přece nebudeme dělat věci ručně, že Tady je použitý PowerShell skript, kterým dostanete vaše AD co do uživatelů do stavu, jako v labu. Import-module activedirectory $dc1="hp" $dc2="demo" $subou1="Firma" $subou2="Kontraktori" $pods=8 $users=50 $groupsperou=5 $groupprefix="skupina" for ($pod=1; $pod -le $pods; $pod++) { New-ADOrganizationalUnit -Name pod$pod -Path "dc=$dc1,dc=$dc2" ProtectedFromAccidentalDeletion $false New-ADOrganizationalUnit -Name PodUsers$pod -Path "ou=pod$pod,dc=$dc1,dc=$dc2" New-ADOrganizationalUnit -Name $subou1 -Path "ou=PodUsers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" New-ADOrganizationalUnit -Name $subou2 -Path "ou=PodUsers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" New-ADOrganizationalUnit -Name PodGroups$pod -Path "ou=pod$pod,dc=$dc1,dc=$dc2" New-ADOrganizationalUnit -Name PodComputers$pod -Path "ou=pod$pod,dc=$dc1,dc=$dc2" New-ADUser -Name pod${pod}admin -AccountPassword (ConvertTo-SecureString AsPlainText "hp" -Force) -Path "ou=PodUsers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" Enable-ADAccount -Identity pod${pod}admin Add-ADGroupMember -Identity "Domain Admins" -Members pod${pod}admin New-ADComputer -Name pod${pod}client -Path "ou=PodComputers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" New-ADComputer -Name pod${pod}imc -Path "ou=PodComputers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" -AccountPassword (ConvertToSecureString -AsPlainText "hp" -Force) for ($group=1; $group -le ($groupsperou*2); $group++) { New-ADGroup -Name pod${pod}$groupprefix${group} -GroupScope 1 -Path "ou=PodGroups$pod,ou=pod$pod,dc=$dc1,dc=$dc2" } for ($user=1; $user -le $users; $user++) { New-ADUser -Name pod${pod}o1u${user} -AccountPassword (ConvertTo-SecureString AsPlainText "hp" -Force) -Path "ou=$subou1,ou=PodUsers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" Enable-ADAccount -Identity pod${pod}o1u${user} $g = Get-Random -minimum 1 -maximum ($groupsperou+1) Add-ADGroupMember -Identity pod${pod}$groupprefix${g} -Members pod${pod}o1u${user} } for ($user=1; $user -le $users; $user++) { New-ADUser -Name pod${pod}o2u${user} -AccountPassword (ConvertTo-SecureString AsPlainText "hp" -Force) -Path "ou=$subou2,ou=PodUsers$pod,ou=pod$pod,dc=$dc1,dc=$dc2" Enable-ADAccount -Identity pod${pod}o2u${user} $g = Get-Random -minimum ($groupsperou+1) -maximum (($groupsperou*2)+1) Add-ADGroupMember -Identity pod${pod}$groupprefix${g} -Members pod${pod}o2u${user} } }
132 HP User Access Manager
5.2. Generování DHCP Scope Lenost by měla vždy zvítězit na rutinou… scope proto generujme skriptem for ($pod=1; $pod -le 8; $pod++) { for ($vlan=1; $vlan -le 4; $vlan++) { Add-DhcpServerv4Scope -StartRange 10.$pod.${vlan}0.100 -EndRange 10.$pod.${vlan}0.200 -SubnetMask 255.255.255.0 -Name ${pod}${vlan}0 -LeaseDuration 1:00:00 Set-DhcpServerv4OptionValue -ScopeId 10.$pod.${vlan}0.0 -DnsServer 10.10.10.180 DnsDomain hp.demo -Router 10.$pod.${vlan}0.254 } }
133 HP User Access Manager