Вопрос или проблема
В этой статье Cisco говорится следующее о пропуске аутентификации по MAC (MAB):
“Другой вариант, который избегает требований к сложности паролей, – это загрузить ваши MAC-адреса в виде текстовых (TXT) записей в зону системы доменных имен (DNS), которая хранится внутри Active Directory.”
Я гуглил часами и не могу найти, как отформатировать TXT записи в DNS на Microsoft Server 2022. Также не могу найти информацию о том, как настроить Microsoft NPS на проверку записей DNS для устройств, которые должны поддерживать MAB, так как они не могут использовать 802.1X.
Как правильно отформатировать TXT запись в DNS и как настроить NPS так, чтобы он обращался к ней, когда устройство подключается к коммутатору, настроенному для MAB и использующему Microsoft NPS RADIUS?
Серверы NPS – это Microsoft Server 2019 и 2022, а коммутаторы – Cisco 9300, работающие на IOSXE 17.12.04.
Ответ или решение
Настройка TXT-записей DNS для MAB и интеграция с NPS
Для настройки MAC Authentication Bypass (MAB) в среде Microsoft Active Directory с использованием TXT-записей DNS, вам потребуется выполнить несколько шагов. Ниже приводится подробное руководство по форматированию TXT-записей и интеграции с сервером Network Policy Server (NPS).
Шаг 1: Форматирование TXT-записей DNS
-
Откройте консоль управления DNS:
- Запустите
dnsmgmt.mscна сервере Windows, где установлен DNS.
- Запустите
-
Создайте новую зону или выберите существующую:
- Если у вас еще нет зоны, щелкните правой кнопкой мыши на узле DNS и выберите "Создать зону".
-
Добавление TXT-записи:
- Щелкните правой кнопкой мыши на нужной зоне, выберите "Создать запись" и затем "Текстовая запись (TXT)".
- В поле "Имя" укажите MAC-адрес устройства в формате, рекомендуемом для вашей организации (например,
12-34-56-78-9A-BCили123456789ABC). - В поле "Текст" укажите значение, которое может быть интерпретировано как идентификатор клиента или добавьте дополнительные атрибуты, если это необходимо.
Пример записи:
- Имя:
12-34-56-78-9A-BC - Текст:
MAB=True
-
Сохраните изменения и убедитесь, что запись корректно отображается в DNS-зоне.
Шаг 2: Конфигурация NPS для обращения к DNS-записям
-
Настройка NPS:
- Откройте консоль NPS через интерфейс управления.
-
Создание политики доступа:
- Перейдите в "Policies" -> "Network Policies" и выберите "New".
- Укажите имя политики, например, "MAB Policy for Non-802.1X Devices".
- Установите условие, базируясь на тех параметрах, которые будут соответствовать вашему случаю использования. Например, используйте "MAC Address" в качестве условия.
-
Использование EAP или других механизмов аутентификации:
- Если вы используете EAP (Extensible Authentication Protocol), убедитесь, что вы настроили запросы для получения TXT-записей из DNS. Это потребует некоторой разработки, так как стандартные NPS и RADIUS-серверы не обращаются к DNS автоматически.
-
Настройка RADIUS:
- Убедитесь, что ваш коммутатор Cisco 9300 настроен на отправку запросов RADIUS к NPS.
- Пример команды на коммутаторе для настройки RADIUS:
radius-server host <IP-адрес NPS> auth-port 1812 acct-port 1813 key <ВашСекрет>
-
Проверка корректности настройки:
- Можете использовать инструменты мониторинга, чтобы проверить, успешно ли NPS обрабатывает запросы от устройств, использующих MAB, и получает ли он соответствующие TXT-записи из DNS.
Заключение
Имейте в виду, что NPS сам по себе не предоставляет встроенной функции для прямого запроса DNS-записей. Это может означать необходимость разработки пользовательского решения, чтобы реализовать функциональность, которая позволит динамически проверять TXT-записи. Возможно, вам потребуется использовать PowerShell скрипты или сторонние инструменты для этой интеграции.
Если у вас возникнут дополнительные вопросы или потребуется помощь по конкретным аспектам настройки, пожалуйста, не стесняйтесь обращаться.