Зараз працюю над проектом впровадження рішення Microsoft NAP в одній великій організації. Microsoft NAP планується використовувати спільно з мережевим активним обладнанням Cisco, для доступу клієнтів до корпоративної мережі передачі даних - так званий сценарій 802.1X Enforcement. Також Microsoft NAP планується використовувати при організації VPN доступу до корпоративної мережі.
При реалізації даного проекту (802.1X) виникло кілька проблем. У керівництві Microsoft по розгортанню інфраструктури NAP говориться про необхідність підтримки мережевим обладнанням RADIUS атрибутів для VLAN:
One layer 2 or layer 3 switch that supports 802.1X port-based authentication and RADIUS tunnel attributes for VLAN assignment.
Виявляється не всі обладнання Cisco (не кажучи вже про інших виробників таких як 3Com, D-Link і ін.) Підтримує модифікацію IEEE 802.1x - VLAN Assignment. Вдалося з'ясувати, що такі пристрої Cisco повинні підтримувати цю функцію (список не повний - тільки те, що вдалося перевірити):
- 2940 IOS 12.1 (22) EA4
- 2960 IOS 12.2 (25) SED
- 2980 CatOS 8.4GLX
- 3550 IOS 12.1 (14) EA1
- 3560 IOS 12.2 (25) SED
- 3750 IOS 12.2 (25) SED
- 4000 CatOS 8.4GLX or IOS 12.1 (19) EW
- 4500 CatOS 8.4GLX or IOS 12.1 (19) EW
- 6500 CatOS 7.2 or IOS 12.1 (13) E4
На пристроях Cisco необхідно зробити наступне: aaa authentication dot1x default group radius none
dot1x system-auth-control
!
interface FastEthernet0 / 5
switchport mode access
dot1x port-control auto
dot1x guest-vlan 50
spanning-tree portfast
!
radius-server host 10.1.200.254 auth-port 1 812 acct-port 1813 key KEY
На RADIUS-сервері (він же NAP) необхідно визначити наступні атрибути для користувачів:
Tunnel-Type [64] = VLAN
Tunnel-Medium-Type [65] = 802
Tunnel-Private-Group-Id [81] = NAME_OF-VLAN
Це те, що стосується проблем з мережевою частиною. Під час налаштування Microsoft NAP, виникла проблема з клієнтською частиною даного продукту. Взагалі Microsoft NAP працює на операційних системах починаючи з Microsoft Windows XP SP3 і вище. У Windows XP SP3 є все необхідне для роботи NAP, крім графічної консолі, для настройки функцій NAP. Ця консоль, за великим рахунком, не потрібна в корпоративній мережі - так як всі налаштування для клієнтських комп'ютерів поширюються централізовано за допомогою групових політик. Так ось, для коректної роботи NAP необхідно, щоб на клієнтських комп'ютерах автоматично запускалася служба NAP Agent - за замовчуванням вона відключена. Включити її та інші необхідні для роботи NAP служби через групову політику не складно. Однак, якщо раптом під час налаштування групової політики, ви випадково або навмисно натиснули на Edit Permission (див. Малюнок), то на операційних системах Windows XP SP3 ця дія викличе збій при автоматичному запуску служби NAP Agent.
Читати також Як змінити серійний номер Microsoft Office
При тестуванні інфраструктури NAP було витрачено кілька годин на з'ясування і усунення причин не коректною роботи NAP, викликаної збоєм при запуску служби NAP Agent.
Сподіваюся для кого-то дана інформація, при розгортанні інфраструктури Microsoft NAP, виявиться корисною.
Оригінал статті англійською.