Szybkie howto dla dodania autentykacji po certyfikatach dla Extreme Control
Przede wszystkim nasz NAC gateway czyli appliance extreme control musi być dodany do domeny AD. W tym celu w profilu LDAP musi być konto z uprawnieniami do:
Reset password
Read and write account restrictions
Read and write DNS host name attributes
Validated write to DNS host name
Validated write to service principal name
Write servicePrincipalName
oraz do odczytu profili LDAP:
https://extremeportal.force.com/ExtrArticleDetail?an=000090980
po restarcie NAC należy zweryfikować czy dodał się do domeny.
Następnie wrzucamy certyfikaty trusted root [najlepiej bundle z SubCA] oraz jeśli ma to być EAP-TLS generujemy CSR do podpisu w domenie:
certyfikat dla nac z poziomu konsoli ssh nac:
generujemy klucz prywatny i za jego pomocą csr
openssl req -new -key nac01-server.key -out nac1.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf „\n[SAN]\nsubjectAltName=DNS:ena-k3s01.bp-itaka.net”))
certyfikat podpisujemy w domenowym w CA za pomocą kopi szablonu RAS-IAS – ITAKA RAS IAS template z pozomu powershell
certreq -submit -attrib „CertificateTemplate:KopiaRAS-IAS” nac.csr
UWAGA – nazwa template jest bez spacji – inaczej niż to wygląda z poziomu GUI !
Template pownien zostać zmodyfikowany aby uwzględniał nazwę dns z żądania oraz aby cert był wystawiany na 5 lat
Podpisany csr łączymy z kluczem prywatnym server.key
openssl pkcs12 -export -out nac1.pfx -inkey nac01-server.key -in nac1.cer
i wgrywamy do NAC.
niemastresu 