Настройка сервера Linux и Windows
ITShaman - Сайт для АЙТИшников!
"Машины должны работать. Люди должны думать."
(девиз компании IBM)

Network Access Protection – проблемы с NAP и Cisco

Сейчас работаю над проектом внедрения решения Microsoft NAP в одной крупной организации. Microsoft NAP планируется использовать совместно с сетевым активным оборудованием Cisco, для доступа клиентов к корпоративной сети передачи данных – так называемый сценарий 802.1X Enforcement. Также Microsoft NAP планируется использовать при организации VPN доступа к корпоративной сети.

При реализации данного проекта (802.1X) возникло несколько проблем. В руководстве Microsoft по развертыванию инфраструктуры NAP говориться о необходимости поддержки сетевым оборудованием RADIUS атрибутов для VLAN:

One layer 2 or layer 3 switch that supports 802.1X port-based authentication and RADIUS tunnel attributes for VLAN assignment.

Оказывается не все оборудование Cisco (не говоря уже о других производителях таких как 3Com, D-Link и др.) поддерживает модификацию IEEE 802.1x – VLAN Assignment. Удалось выяснить, что следующие устройства Cisco должны поддерживать данную функцию (список не полный – только то, что удалось проверить):

На устройствах Cisco необходимо сделать следующее:
aaa authentication dot1x default group radius none
dot1x system-auth-control
!
interface FastEthernet0/5
switchport mode access
dot1x port-control auto
dot1x guest-vlan 50
spanning-tree portfast
!
radius-server host 10.1.200.254 auth-port 1812 acct-port 1813 key KEY

На RADIUS-сервере (он же NAP) необходимо определить следующие атрибуты для пользователей:

Tunnel-Type [64] = VLAN
Tunnel-Medium-Type [65] = 802
Tunnel-Private-Group-Id [81] = NAME_OF-VLAN

Это то, что касается проблем с сетевой частью. При настройке Microsoft NAP, возникла проблема с клиентской частью данного продукта. Вообще Microsoft NAP работает на операционных системах начиная с Microsoft Windows XP SP3 и выше. В Windows XP SP3 присутствует все необходимое для работы NAP, кроме графической консоли, для настройки функций NAP. Эта консоль, по большому счету, не нужна в корпоративной сети – так как все настройки для клиентских компьютеров распространяются централизованно посредством групповых политик. Так вот, для корректной работы NAP необходимо, чтобы на клиентских компьютерах автоматически запускалась служба NAP Agent – по умолчанию она отключена. Включить ее и другие необходимые для работы NAP службы через групповую политику не сложно. Однако, если вдруг при настройке групповой политики, вы случайно или намеренно нажали на Edit Permission (см. рисунок), то на операционных системах Windows XP SP3 это действие вызовет сбой при автоматическом запуске службы NAP Agent.

Network Access Protection – проблемы с NAP и Cisco

При тестировании инфраструктуры NAP было потрачено несколько часов на выяснение и устранение причин не корректной работы NAP, вызванной сбоем при запуске службы NAP Agent.

Надеюсь для кого-то данная информация, при развертывании инфраструктуры Microsoft NAP, окажется полезной.

Оригинал статьи на английском.

Статья опубликована 28.08.2009 · Автор статьи: go0dwin
Статья относится к windows, безопасность, cisco, сервер, nap
Случайные 7 статей:
  1. Подключение КПК с Windows Mobile к Linux Ubuntu
  2. Учет трафика сетевого интерфейса в Linux с помощью vnstat
  3. Добавляем в WIndows XP Home оснастки: локальная политика безопасности и локальная групповая политика
  4. Эквалайзер для Rhythmbox
  5. KMS Windows 2008 R2 – проблемы и решения
  6. Как обновить в Ubuntu ядро?
  7. Как изменить имя интерфейса с eth0 на eth1 в Debian?
Комментарии
Имя (обязательное поле)
e-mail (обязательное поле) Сайт
Текст комментария:
IT-новости
Популярное
Облако тегов
При цитировании документа активная ссылка на сайт обязательна.
Администрирование и настройка серверов, рабочих станций на базе ОС Linux и Windows. www.itshaman.ru - Настройка Linux и Windows © 2009 - 2016