Авторизация по MAC-адресу
Этот тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.
Чтобы устройство могло авторизоваться на NGFW по MAC-адресу, они оба должны находиться в одном широковещательном домене и NGFW должен выступать шлюзом для устройств.
Пользователи, находящиеся за роутером в локальной сети NGFW, не могут авторизоваться MAC-адресу, так как роутер разделяет широковещательные домены и не обрабатывает трафик уровня L2. Такие пользователи могут авторизоваться только по IP-адресу. Для работы MAC-авторизации необходимо, чтобы NGFW и пользователь находились в одном L2-сегменте сети.
Настройка авторизации по MAC
Чтобы авторизовать пользователя по MAC-адресу, необходимо выполнить следующие действия:
1. Узнайте MAC-адрес устройства. Для этого в командной строке Windows введите команду: ipconfig /all | findstr Address / Для русскоязычной версии ipconfig /all | findstr адрес
2. Удостоверьтесь что компьютер и NGFW находятся в одном широковещательном домене.
Для этого на NGFW в разделе Управление сервером -> Терминал введите команду: ip neigh
Эта команда выводит ARP-таблицу NGFW. Наличие записи с MAC-адресом устройства и статусом REACHEBLE говорит об имеющейся L2-доступности между NGFW и устройством.
3. Создайте правило-связку Пользователь <--> MAC-адрес в разделе: Пользователи -> Авторизация -> IP и MAC авторизация.
Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т. к. для создания авторизованной сессии необходим IP-адрес. Поэтому рекомендуется использовать MAC-авторизацию в комбинации с DHCP-сервером.
Результат можно будет посмотреть в разделе: Мониторинг -> Авторизованные пользователи, там отобразится сессия с типом авторизации MAC.
Поведение MAC-авторизации при перемещении устройства между локальными сетями
В организациях часто возникает ситуация, когда необходимо перемещаться между локальными сетями с ноутбуком на руках и при этом оставаться всегда в сети. В таких случаях авторизация по MAC-адресу прекрасно себя показывает.
У Вас должен быть настроен собственный DHCP-сервер или на Ideco NGFW. В раздаваемых реквизитах шлюзом должен выступать локальный интерфейс Ideco NGFW.
Возьмем за пример ситуацию, когда пользователю Николай Холосьев понадобилось переместиться с ноутбуком между локальными сетями:
На NGFW имеются настроенные следующим образом локальные интерфейсы:
У пользователя настроено правило авторизации по MAC-адресу:
Также у него есть одна активная сессия в разделе Авторизованные пользователи:
Далее пользователь переходит из одной локальной сети в другую. Ему выдаются другие сетевые реквизиты от DHCP-сервера, в которых шлюзом указан NGFW, и при обнаружении любой активности со стороны пользователя у него появится вторая сессия с авторизацией по MAC-адресу:
Если у пользователя не появляется доступ и вторая сессия с авторизацией по MAC-адресу, то у пользователя не обновились сетевые реквизиты.
Сбросьте старые сетевые реквизиты от DHCP-сервера и получите новые с помощью команды: ipconfig /release && ipconfig /renew.
Настройка авторизации по MAC-адресу для сетевого принтера и других сетевых устройств
Сетевые устройства, которым необходим доступ в интернет, должны быть авторизованы на NGFW. Такие устройства можно назвать статическими, для них подойдет авторизация по MAC-адресу.
Для авторизации сетевого принтера необходимо создать пользователя для этого принтера вручную или через Обнаружение устройств.
Для сетевого принтера в разделе Пользователи -> Авторизация -> IP и MAC авторизация необходимо создать правило Пользователь <--> MAC-адрес
При обнаружении активности от сетевого принтера или другого устройства его пользователь сразу появится в Мониторинг -> Авторизованные пользователи
В современных телефонах имеется опция Рандомизация MAC-адреса. Эта опция будет мешать при авторизации телефона по MAC-адресу. Рекомендуется эту опцию отключать, либо использовать другие типы авторизации (например: Веб-аутентификации)
Last updated
