บทนำ
802.1X Authentication บน Sangfor IAG เป็นวิธีการควบคุมการเข้าถึงเครือข่ายระดับ Layer 2 (Network Access Control) โดยทำงานร่วมกับ switch ที่รองรับ 802.1X เพื่อบังคับให้ endpoint ต้อง authenticate ก่อนจึงจะสามารถเข้าถึงเครือข่ายภายใน (รวมถึง Layer 2 network) ได้ หาก endpoint ไม่ผ่านการ authenticate จะไม่สามารถสื่อสารผ่าน switch ได้เลย
สถาปัตยกรรมประกอบด้วย 3 ส่วน:
- Client (Supplicant): ใช้ Sangfor Ingress Client หรือ 802.1X client อื่นบน endpoint สื่อสารผ่าน EAPOL protocol
- Device (Authenticator): switch ที่เปิดใช้งาน 802.1X ทำหน้าที่เป็นตัวกลาง
- Server (Authentication Server): Sangfor IAG ทำหน้าที่เป็น RADIUS Server สำหรับตรวจสอบ credentials
802.1X Authentication บน IAG ประกอบด้วย 3 module: 802.1x Access Control, Switch Correlation และ VLAN User Group
ข้อกำหนดเบื้องต้น
- มี Sangfor IAG ที่ติดตั้งและใช้งานได้ปกติ พร้อมสิทธิ์ Admin
- มี managed switch ที่รองรับ 802.1X Authentication
- มี Local User หรือ AD Domain สร้างไว้บน IAG สำหรับ authenticate
- ทราบ IP address ของ switch และ RADIUS shared key ที่จะใช้
ขั้นตอนการตั้งค่า
ขั้นตอนที่ 1: เปิดใช้งาน 802.1X Access Control บน IAG
- ไปที่ Access Mgt > Authentication > 802.1x Authentication
- ติ๊ก Enabled เพื่อเปิดใช้งาน
- ตั้งค่า General:
- RADIUS Authentication Port: ค่าเริ่มต้น 1812
- Server Key: shared secret ที่ต้องตรงกับที่ตั้งค่าบน switch
- RADIUS Accounting Port: ค่าเริ่มต้น 1813
ขั้นตอนที่ 2: ตั้งค่า Auth Method
- Password: เลือก Local password (ใช้ Local User) หรือ AD domain account (ใช้ AD credentials)
- SSO with AD Domain: ผู้ใช้ที่ login เข้า AD Domain จะ authenticate 802.1X อัตโนมัติ
- Certificate: ใช้ CA certificate สำหรับ authenticate
ขั้นตอนที่ 3: ตั้งค่า 802.1X Authentication Redirection (ถ้าต้องการ)
- ติ๊ก Enable 802.1x authentication redirection
- กำหนด DNS Server IP: ต้องอยู่ใน network segment เดียวกับ DMZ management port ของ IAG
- กำหนด TTL (seconds): ค่าเริ่มต้น 30 วินาที (range: 1-86400)
- ตั้งค่า Redirection Settings: เลือกแสดงหน้าแจ้งเตือนให้ติดตั้ง Sangfor Ingress Client
ขั้นตอนที่ 4: ตั้งค่า Action หลัง Authentication
- Add Non-Local/Domain Users To Group: กำหนด group สำหรับ user
- Add user account to local user database: เพิ่ม user เข้า local database อัตโนมัติ
- Bind username to MAC address: ผูก MAC address กับ username
- Enable user whitelist/blacklist: กำหนด user ที่อนุญาตหรือปฏิเสธ
ขั้นตอนที่ 5: ตั้งค่า 802.1X บน Switch
- เปิดใช้งาน 802.1X บน switch
- ตั้งค่า RADIUS Server IP เป็น IP ของ IAG
- กำหนด Authentication Port, Accounting Port และ Shared Key ให้ตรงกับ IAG
- เปิด 802.1X บน port ที่ต้องการควบคุม
ขั้นตอนที่ 6: สร้าง Local User และตั้งค่า Ingress Client
- ไปที่ Access Mgt > User Management > Local Users คลิก Add > User สร้าง user
- ไปที่ Access Management > Ingress Client Settings
- ติ๊ก Enable Ingress Client 802.1x และ Set Ingress Client uninstallation password
- กำหนด Ingress Client Gateway เป็น IP ของ IAG
- ดาวน์โหลด singress.exe จาก IAG console แล้วติดตั้งบน endpoint
ขั้นตอนที่ 7: ตั้งค่า VLAN User Group (ถ้าต้องการ)
- ไปที่ Access Mgt > Authentication > 802.1x Authentication > VLAN User Group
- คลิก Add กำหนด Name, Applicable Users และ VLAN ID
- คลิก OK
การตรวจสอบ
- เปิด Ingress Client บน endpoint กรอก username/password แล้วคลิก Login
- ตรวจสอบที่ Status > Online Users ว่า user ปรากฏด้วย Auth Method เป็น 802.1X
- ตรวจสอบที่ Switch Correlation ว่า switch แสดงสถานะ Active
- ทดสอบถอดสาย LAN แล้วเสียบใหม่ ตรวจสอบว่า endpoint ต้อง authenticate ใหม่
หมายเหตุ
- IAG มี built-in RADIUS Server 2 ตัว: ตัวหนึ่งสำหรับ 802.1X (Free Radius) และอีกตัวสำหรับ Portal Connection ที่ Correlation Connection สามารถเปิดใช้งานพร้อมกันได้หาก port ไม่ชนกัน
- 802.1x Authentication Bypass: เปิดใช้งานบน switch เพื่อให้ endpoint เข้า bypass VLAN ได้เมื่อ IAG ไม่พร้อมใช้งาน (ต้อง configure escape function บน switch ก่อน)
- Ingress Client ที่ติดตั้งด้วย MSI ไม่สามารถป้องกันการ uninstall ได้ แนะนำใช้ EXE package
- เมื่อใช้ Authentication Client ให้เลือก NIC ที่ถูกต้องที่มุมขวาบนของโปรแกรม
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น