Port Based Authentication Cisco-Microsoft

Port Based Authentication - 802.1x
Windows Server, CA, IAS, Cisco Catalyst

Topologia Base

Servidor => Fa0/11
Cliente => Fa0/3

 

Configuración Windows Server 2003

 

1- Instalar Active Directory - Domain Controller
2- Instalar CA
3- Instalar IAS
4- Crear Usuario de Dominio y Grupos si se necesita.
5- Dar permiso de Login Al usuario en "Cuentas de Usuarios" del dominio.
6- En el IAS Crear un nuevo cliente de Radius. Cada Switch es un cliente. (IP y Nombre del SW)

7- En "Remote Access Policy" borrar las politicas que haya y crear una nueva politica de acceso remoto. Usar Wizard.

7b- Elegir el metodo de acceso (ej: Ethernet)

7c- Elegir si la politica se aplica a usuarios o grupos. (elegir Grupos en este caso)

7d- Seleccionar grupo del Active Directory "Domain Users"

7e- Elegir el metodo de autenticacion (PEAP) y presionar el boton "Configure"

7f- EAP Types poner. EAP-MSCHAP-v2 y en el desplegable seleccionar elCertificado (radius.root.sg) - Finish.

8- En propiedades de "Remote Access Policies" deberia estar primero en orden, en las “Condiciones”"NAS_port-Type matches Ethernet AND". Y segunda: "Windows-Groups-matches AMNET\Engineers VPN"

9- Tildar el RadioButton de "Grant Remote Access Permission"
10- Clickear el bonton de "Edit Profile"



10b- Deberia estar el Service-Type en Value "Framed"

10c- Clickear en ADD/Agregar y agregar hasta que queden los siguientes, de ser necesario.
(Todos en "RADIUS Standard" en la opcion de Vendor.

Service-type => Framed
Tunnel-Medium-Type => 802(Include all 802 Mediums)
Tunnel-Pvt-Group-ID => 1, 20, 50//(Incluir guest-vlan y fail-vlan)
Tunnel-Type => Virtual LANs (VLAN)

Configuracion Cliente Microsoft

1- Para habilitar la autenticacion 802.1x abrir los servicios de Microsoft. 
1b- Abrir Inicio => Ejecutar. Y escribir “services.msc”
1c- Habilitar el servicio “Configuracion Automatica de Redes Cableadas” y ponerlo como “Automatico” en las propiedades.
2- Ir a propiedades de la placa de red y abrir la zolapa “Autenticacion”

3- Tildar la casilla para habilitar la autenticacion 802.1x

4- Seleccionar el metodo “Protected EAP (PEAP)” y clickear en el boton “Settings”.
5- En el metodo de autenticacion seleccionar "Secured password (EAP-MSCHAP v2)"
6- Tildar la casilla de “Enable Fast Reconnect”
7- Click en el boton “Configure”

8- Tildar la casilla de Conectar automaticamente con las credenciales con las que se ha logueado el usuario al dominio si es el caso de que la PC se encuentre joineada al dominio. De lo contrario se nos pedira ingresar el usuario y contraseña de dominio a mano.

 

Configuracion Cisco Catalyst

 

1- Definir AAA 

Código:
aaa new-model
SW(config)# aaa authentication dot1x default group radius
SW(config)# aaa authorization network default group radius
SW(config)# aaa session-id common

2- Levantar el sytem auth control

Código:
SW(config)# dot1x system-auth-control

3- Parametros Radius

Código:
SW(config)# ip radius source-interface FastEthernet0/11
SW(config)# radius-server cache expiry 1
SW(config)# radius-server host 10.10.10.3 auth-port 1645 acct-port 1646 key cisco123
SW(config)# radius-server retry method reorder
SW(config)# radius-server transaction max-tries 10
SW(config)# radius-server timeout 4
SW(config)# radius-server deadtime 2
SW(config)# radius-server key cisco123
SW(config)# radius-server vsa disallow unknown
SW(config)# radius-server vsa send authentication

4- Configuracion de la Interface

Código:
SW(config)# interface FastEthernet0/3
SW(config-if)# switchport mode access
SW(config-if)# dot1x pae authenticator
SW(config-if)# dot1x port-control auto
SW(config-if)# dot1x violation-mode protect
SW(config-if)# dot1x timeout quiet-period 5
SW(config-if)# dot1x timeout server-timeout 10
SW(config-if)# dot1x max-reauth-req 1
SW(config-if)# dot1x guest-vlan 20
SW(config-if)# dot1x auth-fail vlan 50
SW(config-if)# dot1x auth-fail max-attempts 1
SW(config-if)# no cdp enable
SW(config-if)# spanning-tree portfast
SW(config-if)# spanning-tree guard root

5- Creacion de VLANs

Código:
vlan 50
name fail-vlan
vlan20
name guest-vlan

Me llevo un rato aprender esto  Ojala les sirva.
Muchas imagenes las busque por ahi en internet. Asi que si mi post esta en español y hay alguna imagen en ingles ya saben.

Salu2

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General