Shunze 學園 - 《分享》NAC透過LDAP進行帳/密驗證

Shunze 學園 >資訊設備專區 >Extreme & Enterasys > 《分享》NAC透過LDAP進行帳/密驗證

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》NAC透過LDAP進行帳/密驗證

NAC除了能透過 Local Password Repository 與外部 Radius server 兩種方式來證驗使用者外，
還可以透過 LDAP 協定來驗證使用者帳密，
當然這 LDAP 也支援了微軟Active Directory。

要讓NAC能透過 LADP 與微軟AD來進行使用者證驗，AD網域的系統管理員帳/密是必備的。
NAC在透過 LDAP 進行使用者帳/密驗證時，會送出 ntlm_auth 給AD的domain controller，
然後以 LDAP 組態中的網域系統管理員帳/密 join 網域。
所以這組帳號必需是Domain Administrator group中的成員；
否則會在加入網域時失敗，無法驗證使用者。

此外，還要把NAC的DNS指向AD，這樣AD網域的FQDN才能正確解析。

以下我們以Windows 2008 R2建立的AD網域 demo.com.tw 做示範，
操作NAC透過LDAP進行AD網域的帳/密驗證。

於NAC Manager中，選好NAC Appliacne後，點擊 Default 設定NAC Configuration。

來到AAA後，新增一個AAA Configuration - LDAPAuthen，
勾選 Authenticate Requests Locally for MAC (All)，
在下拉的 Local Password Repository 中，選 None 不過透過 Local Password Repository 進行帳/密驗證，
然後點開預設 Authentication Mapping，或新建一筆。

因為我們是要透過 LDAP 驗證，所以在Authentication Method裏，我們選擇 LDAP Authentication。

選完後，它會自動帶出 LDAP Authentication Type 與 Supported RADIUS Type 的值。

接著在 LDAP Configuration 裏，選擇 New ，我們來建立一筆 LDAP 組態。

按下 Add 按鈕，輸入 LDAP 的server IP。

注意通訊協定是 ldap，port是389。

然後在 Authentication Settings 區間裏，輸入AD網域的系統管理員帳/密；
在 Search Settings 區間裏，輸入User/Host/OU的Search Root資訊。

最後在最下面在 OU Object Classes 的輸入框旁，按下小小的下拉按鈕，
選擇 Poulate Active Directory: User Default。

選好後，它會自己帶出 Schema Definition 的相對資訊，不需手動逐一輸入。

接著可以透過 Test 按鈕，來測試 LDAP 的設定是否正確，
網域中的使用者帳號能否順利查找到。

連線確認無誤後，按下OK，LDAP的Authentication設定就完成了～
來到Rules，設定LDAP驗證方式通過後所對應的權限。
按下 “新增” 圖示，來建立一筆新規則。

User Group就選 New，我們要來建一筆 User Group 對應 LDAP 認證過的帳號。

按下齒輪圖示，選擇 LDAP OU Inport 來匯入已建立的LDAP組態。

LDAP組態匯入後，依實際需求來刪減條件。

以本例來說，我們是做寬鬆的篩選；
只要符合任何一筆(Match Any)，就符合此 User Group 條件。

然後給這 User Group 一個對應的 Profile 來套用其網路權限，
要求前端 Switch 驗證後的 port 要套用此 Profile 對應的權限。

回到NAC Manager首頁，按下 Enforce 圖示寫入更新，Radius的驗證設定就完成了。

登入驗證
前端電腦啟用802.1X後，進行登入驗證。

成功登入後，我們可在NAC Manager的 End-Systems 觀察使用者的登入資訊。

剛才的登入，是由帳號 root 在 ge.1.2 以 802.1X 的驗證類型，透過LDAP的驗證機制來登入。
登入後的Profile是 Default NAC Profice，符合我們的預期，測試成功。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-08-23, 08:47

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Rejected NTLM Authentication

順子一開始在測試NAC透過LDAP驗證時，遇到很了大的挫折。

明明在LDAP的連線測試都很順利，
也能夠成功的抓到網域使用者帳號。
但實際透過802.1X連上NAC驗證時，都出現 Rejected NTLM Authentication 的錯誤。

The authentication request was rejected dueto NTLM authentication error: Reading winbind reply failed! (0xc0000001)

在卡關卡了一兩天後，得到同事的強力幫助。

透過NAC的 WebView 來檢視 Server Log 訊息時，

發現NAC在join domain時，根本就解析到錯誤的網域IP！

2014-08-22 16:15:15,465 ERROR [SambaInstallationManager] Failed to join domain: "DEMO.COM.TW" for user: "administrator" with error code: 1
ADS join did not work, falling back to RPC...
Could not connect to server AD
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Failed to join domain: failed to lookup DC info for domain 'DEMO' over rpc: Logon failure
2014-08-22 16:15:15,559 ERROR [SambaInstallationManager] Looked up IP "DEMO.COM.TW" => DEMO.COM.TW/210.200.66.80, but was not able to contact it via ping.
2014-08-22 16:15:15,626 ERROR [SambaInstallationManager] The user: "demo\administrator" and password were verified via LDAP and we verified the user is a domain admin.
2014-08-22 16:15:15,627 INFO [NACInfoLogger] Re-starting winbindd deamon due to updated configs - enforce...
2014-08-22 16:22:36,858 INFO [NACInfoLogger] Enforce update command received

測試的網域demo.com.tw，其IP應該是內部虛擬IP 192.168.30.21；
但NAC卻解析到了外部真實網域的實體IP 210.200.66.80！
很明顯的，是NAC上的DNS並沒有指向測試網域demo.com.tw的AD主機。

不過在一開始進行測試時，順子明明就有在NAC的設定檔 /usr/postinstall/network.properties 裏修改了 NACNAMESERVER，
讓它對應到測試網域demo.com.tw的AD主機192.168.30.21，
而且怕它沒有生效，我還進行了重開機。
居然還是沒有發生效果...

最後同事建議透過NAC的設定工具 nacconfig 來重新設定。

/usr/postinstall/./nacconfig

結果，
LDAP驗證就過了...

隔行如隔山，
高手果然不是浪得虛名！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-08-23, 10:58