Autenticación 802.1x para impresoras de red y otros dispositivos sin Suplicante

Hola a todos,

 

Frecuentemente recibimos esta pregunta sobre cómo configurar autenticación 802.1x para dispositivos que carecen de suplicante 802.1x.

Desde el punto de vista de administración de uno (o múltiples) switches, es mucho más sencillo habilitar la autenticación en todos los puertos que realizar un inventariado de equipos "802.1x ready" por nuestra infraestructura.

(Obviamente siempre habrá excepciones a esto, como el caso de los puertos del switch asignados a servidores por ejemplo)

 

Ante esta situación siempre se plantea la misma cuestión: ¿Qué pasa con las impresoras de red/teléfonos IP/etc. que carecen de suplicante 802.1x?

La solución típica a esto es realizar la autenticación utilizando la dirección física MAC como usuario y contraseña.

Esta opción ofrece cierta flexibilidad, ya que toda la configuración necesaria se realizará desde el lado del servidor RADIUS (el NPS en nuestro caso).

 

Los pasos necesarios serían los siguientes:

 1. Política de contraseñas en el servidor NPS del tipo user:MAC/pass:MAC

Configurar, a través de las políticas locales en el servidor NPS, las políticas de contraseña
de tal forma que nos permita crear usuarios cuyo username y password sean el mismo
valor.

Configuring Password Policies

https://technet.microsoft.com/en-us/library/dd277399.aspx

 2. Cambiar el dominio por defecto para el servicio NPS

Para ello, configuraremos la clave de registro DefaultDomain descrita en el siguiente artículo:

(Esta clave aplica a todos los sistemas operativos servidor desde Windows Server 2003 a Windows Server 2012)

HOW TO: Change the default domain that is used by the Routing and Remote Access Service or by IAS to authenticate users

https://support.microsoft.com/kb/826158

 

En este punto, estableceremos el nombre de máquina del servidor NPS como dominio.

De esta manera, el servidor NPS utilizará por defecto su base de datos local SAM para validar cualquier petición de autenticación.

 

NOTA: Esta configuración en ningún caso interferirá con el resto de autenticaciones que reciba, típicamente con el protocolo EAP-TLS o con PEAP-MSCHAPV2.

En ambos casos, la información del dominio de cada usuario "viajará" como parte de la petición de autenticación. Por tanto, siempre que el NPS sea capaz de localizar el dominio correspondiente, el resto de autenticaciones funcionará de manera correcta.
 

Un ejemplo, para los mensajes EAP: Identity Response enviados por un cliente Windows sería:

  

               Credenciales de usuario: user@dominio.com

               Credenciales de equipo: host\dominio.com

3. Creación de cuentas user:MAC / pass:MAC locales en el servidor NPS

Por último, será necesario agregar las cuentas de usuario correspondientes (con el formato
u: MAC/ p: MAC) para cada dispositivo en la base de datos local SAM del servidor NPS.

 

Espero que esta información os haya sido útil.

 

Un saludo y hasta la próxima!

 

Javier Rama