Аутентификация по 802.1X И аутентификация по MAC-адресу

Аутентификация по 802.1X И аутентификация по MAC-адресу, UniFi Network

gsimpson

Guest

05.05.2015 16:18:00

Здравствуйте. В данный момент у нас есть несколько устройств Proxim AP-8000, которые мы хотим заменить на Unifi UAP-AC. В нашей текущей конфигурации используется три SSID (Internal LAN, Employee Network, Guest Network), и мы контролируем доступ к ним с помощью уникального WPA-ключа для каждого SSID, а также аутентификации по MAC-адресу через RADIUS (NPS), связанный с пользователями Active Directory. Пользователи AD — это просто MAC-адрес устройства в качестве имени пользователя и пароль, а политики NPS определяют, разрешён ли «пользователь» на конкретный SSID в зависимости от групповой принадлежности. Эта схема у нас хорошо работает, но я никак не могу понять, как сделать подобное на Unifi. В Proxim мы можем разделить аутентификацию SSID и конфигурацию RADIUS, фактически реализуя двухэтапную аутентификацию: сначала надо ввести правильный WPA-ключ, а затем MAC-адрес должен быть в разрешённой группе в AD. Есть ли способ сделать это на Unifi? Мы используем Microsoft NPS для RADIUS. Я не против использовать 802.1X, но как это будет работать с устройствами без домена, которые не связаны с конкретным пользователем? Например, в каждой нашей переговорной есть планшет, закреплённый у входа, на котором отображается расписание. Планшет получает данные с Exchange-сервера по Wi-Fi. Ещё одна сложность для 802.1X — это как ограничить одного пользователя одним устройством. Мы не хотим, чтобы они вводили свои учётные данные на нескольких личных устройствах или на устройстве коллеги, чтобы получить доступ в сеть. Есть идеи?

gsimpson

Guest

29.03.2017 18:11:00

Думаю, подойдет базовая политика для пользователей. Назначьте авторизованных пользователей в группу AD, определите следующие условия в вашей сетевой политике NPS:
Тип порта NAS: Wireless
Группы Windows: <название группы AD>
Called Station ID: .*.SSID$ (где SSID — имя вашей сети)

Для каждого пользователя добавьте его MAC-адрес в поле Verify Caller-ID на вкладке Dial-in в AD.

Одно, что помогло мне запустить это, — это лог-файлы в папке C:\Windows\System32\LogFiles\. Они покажут, как NPS интерпретирует пользователей, MAC и SSID.

apradetha

Guest

28.03.2017 19:18:00

@gsimpson

На данный момент я настроил два SSID — один для сотрудников и один для гостей. В дальнейшем хочу разделить рабочие ноутбуки сотрудников и мобильные устройства на два разных SSID. Планирую настроить основной SSID так, чтобы он аутентифицировал пользователей через RADIUS-сервер на основе MAC-адреса их ноутбуков. Как мне это сделать?

jpoblocki Guest	#4 19.01.2016 14:28:00 Спасибо! У нас в NPS есть только политика устройств. Похоже, что имена пользователей и пароли всё равно где-то просачиваются... Держу кулаки, чтобы у Unifi AP появилась поддержка 802.1x MAC-аутентификации.

gsimpson

Guest

18.01.2016 17:42:00

Да и нет. Мы настроили Unifi с NPS, но есть небольшие проблемы. В основном всё работает. У меня настроено три политики. Одна — пользовательская для устройств сотрудников, они заходят в Wi-Fi, используя свои доменные учетные данные. На мобильных устройствах всё нормально, а вот с некоторыми ноутбуками, которые не подключены к домену, возникают сложности. Две другие политики — для нашей внутренней локальной сети. Одна пользовательская, вторая — машинная. Обычно устройство сначала нужно подключить к LAN по Ethernet, чтобы потом использовать беспроводную сеть LAN. Похоже, что как только устройство получает сертификат от нашего Enterprise CA, Wi-Fi начинает работать. Планшеты в конференц-зале, скорее всего, будут работать по пользовательской политике, но у них нет активного пользователя, а нам пришлось бы постоянно обновлять пароль при каждом изменении. Чтобы обойти это, я просто создал ещё одну Wi-Fi сеть в Unifi, которая использует только WPA с сложным паролем и скрытым SSID. Не слишком безопасно, но эта сеть находится в изолированной VLAN, так что доступа к корпоративным сетям нет.

jpoblocki Guest	#6 18.01.2016 01:54:00 Привет, @gsimpson, мы тоже планируем перейти на точки доступа Unifi в нашей сети Proxim. У нас есть сеть с аутентификацией по MAC-адресу через 802.1x Radius. Ты случайно не нашёл какой-нибудь обходной путь или решение для Unifi?

aiki2

Guest

28.05.2015 11:01:00

1- С этим проблем не возникало. xx-xx-xx-xx-xx-xx|xx-xx-xx-xx-xx-xx
2- Нужно снять галочку с проверки сертификатов (если они у вас отсутствуют).
3- Возможно, стоит создать другую политику, которая проверяет только MAC-адреса, используя поля Calling-ID и Called-ID.

gsimpson

Guest

27.05.2015 14:05:00

aiki2, спасибо за информацию. Я попробовал, но столкнулся с несколькими проблемами.
1) Не работало, если я добавлял больше одного MAC-адреса (используя в качестве разделителя вертикальную черту |).
2) Лэптоп не смог подключиться, работали только переносные устройства. В логах было что-то про недействительный сертификат на ноутбуке.
3) Не понял, как разрешить подключение устройств без привязки к доменному пользователю (например, планшеты в нашей конференц-зале).

У тебя не было похожих проблем? Может, подскажешь, как с этим справиться? Спасибо!

aiki2 Guest	#9 26.05.2015 22:27:00 Привет, я сейчас использую WPA Enterprise с привязкой по MAC через NPS. Просто использую поле dial in пользователя в AD. Так обеспечивается связь между пользователем и его устройством для некоторых WLAN. Другие SSID используют разные политики NPS и проверяют множество MAC-адресов с помощью ограничения calling station. Надеюсь, это поможет.

Читают тему (гостей: 1)