|
|
 |
|
|
| 1. 域用户认证与802.1x认证的冲突讨论 |
  |
|
 |
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
目前已经实现了windows的普通用户(非域用户)下的智能卡+IAS+DC+思科交换机2950交换机的802.1x认证。但是无法实现域用户下的认证。原因:在802.1x认证模式下,交换机上连接PC的网口都是处于OFF状态,只允许802.1x认证数据包通过。而域用户必须登陆到DC上验证后才能进系统。
因此,目前就发生了冲突,域用户登陆必需要联网认证,可802.1x认证服务却在登陆系统后网络连接才出现。不知道各位有没有好的解决方法?
 香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 2. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
部署了? 还是在试用?
可以试试guest vlan(未启用802.1x认证的)、restricted vlan(认证失败的),让这两个VLAN可以访问DC.
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
谢谢麦子。我是自己测试搞搞。
guest vlan我可以测试一下,不过我在想是否还有其他出路。
在http://biz.chinabyte.com/165/2424165.shtml上,关于“思科IBNS基于身份的网络服务安全技术”中,
| QUOTE | 采用Windows A.D.服务器
采用Windows A.D服务器的优势包括:
- 微软的桌面系统,内建了对802.1x和A.D.的支持,有微软的Windows2000 Server服务器也内建了A.D.服务器,因此不需要购买额外的软件,部署费用并不高.
- 采用Windows A.D. 服务器对理桌面系统的帐号和802.1x帐号进行统一管理,能够简化管理流程。
- 采用Window A.D. 模式,桌面系统可以设置成为透明登陆模式,即登陆计算机和登陆网络一次完成,简化用户使用过程,避免用户名和密码的混乱。
但是采用Windows A.D.服务器也有一定的缺点,例如由于认证/授权和帐号存储分开,因此从某种程度上增加了故障几率;实施需要部署额外的服务器硬件,并需要采用Windows域模式对桌面帐号进行统一,并对802.1x的透明登陆模式进行设置,需要一定的实施时间;同时跨部门协作也会对实施造成一定的影响。
客户端的部署
o 对于WindowsXP客户端,需要升级到ServicePack1,并对EAP协议进行相应的设置。
o 对于Windows2000客户端,需要升级到Service Pack 3 + Hotfix 313664 + Hotfix KB829116 或者 Service Pack 4 + Hotfix KB829116,并对EAP协议进行相应的设置
o 对于使用Windows A.D. 服务器作为用户帐号数据库服务器的情况,经过设置可在桌面实现计算机和网络一次登陆,即在登陆计算机时,Windows自带的802.1x客户端使用Windows A.D. 域上的用户名和密码自动进行802.1x认证。要实现这种设置,需要在计算机上设置相应的机器账号,用于进行网络访问授权前的域登录。 |
| QUOTE | 部署了? 还是在试用?
可以试试guest vlan(未启用802.1x认证的)、restricted vlan(认证失败的),让这两个VLAN可以访问DC. |
香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 4. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
 |
|
HP : 0 / 412
MP : 117 / 6483
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
| QUOTE | 目前已经实现了windows的普通用户(非域用户)下的智能卡+IAS+DC+思科交换机2950交换机的802.1x认证。但是无法实现域用户下的认证。原因:在802.1x认证模式下,交换机上连接PC的网口都是处于OFF状态,只允许802.1x认证数据包通过。而域用户必须登陆到DC上验证后才能进系统。
因此,目前就发生了冲突,域用户登陆必需要联网认证,可802.1x认证服务却在登陆系统后网络连接才出现。不知道各位有没有好的解决方法? |
应该还有其他的解决办法吧。
总觉得这个问题不太对劲。 |
|
|
|
| 5. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
我找了微软对于802.1X EAP-TLS认证方面的资料看,基本上明白了。而且做到了一种解决方案。
微软有计算机证书和用户证书认证两种方式。计算机证书储存在计算机本地,用户证书可以用智能卡即硬件介质。
| QUOTE | Computer Authentication and User Authentication
To successfully authenticate a Windows wireless computer with a wireless AP, you must have a computer certificate, a user certificate, or both installed. Wireless clients running Windows XP, Windows Server 2003, and Windows 2000 can use EAP-TLS to authenticate the computer or the user logged on to the computer.
To authenticate the computer, the Windows wireless computer submits a computer certificate (along with its chain) stored in the Local Computer certificate store during EAP-TLS authentication. The Local Computer certificate store is always available, regardless of whether a user has logged on to the computer or who is logged on to the computer. More importantly, the Local Computer certificate store is available during the computer's startup process.
To authenticate the user logged on to the computer, the Windows wireless computer submits a user certificate stored in the Current User certificate store during EAP-TLS authentication. The user's certificate store is only available after the user has successfully logged on to the computer using the proper credentials. Each individual user that logs on to the computer has a separate user certificate store. The user certificate is not available during the startup process.
Without an installed computer certificate, a Windows wireless client computer that starts up within range of a wireless AP associates with it but authentication fails. A user can log on to a computer that does not have wireless LAN network connectivity using cached credentials. Once successfully logged on, the user's certificate store becomes available and the subsequent authentication with the wireless AP succeeds using the installed user certificate. |
目前的解决方法即对计算机颁发计算机证书,这样子计算机在启动后即可自行通过802.1x认证,打开网络,用户再采用智能卡进行域登陆。这种方式已经成功。
不过俺觉得还不是很好的解决方法。中间还是存在一些安全的问题。
大家有兴趣可以一起研究研究。
香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 6. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
计算机认证用的是MS跟域结合的证书吧? 有没有什么心得?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6483
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
| QUOTE | 我找了微软对于802.1X EAP-TLS认证方面的资料看,基本上明白了。而且做到了一种解决方案。
微软有计算机证书和用户证书认证两种方式。计算机证书储存在计算机本地,用户证书可以用智能卡即硬件介质。
| QUOTE | Computer Authentication and User Authentication
To successfully authenticate a Windows wireless computer with a wireless AP, you must have a computer certificate, a user certificate, or both installed. Wireless clients running Windows XP, Windows Server 2003, and Windows 2000 can use EAP-TLS to authenticate the computer or the user logged on to the computer.
To authenticate the computer, the Windows wireless computer submits a computer certificate (along with its chain) stored in the Local Computer certificate store during EAP-TLS authentication. The Local Computer certificate store is always available, regardless of whether a user has logged on to the computer or who is logged on to the computer. More importantly, the Local Computer certificate store is available during the computer's startup process.
To authenticate the user logged on to the computer, the Windows wireless computer submits a user certificate stored in the Current User certificate store during EAP-TLS authentication. The user's certificate store is only available after the user has successfully logged on to the computer using the proper credentials. Each individual user that logs on to the computer has a separate user certificate store. The user certificate is not available during the startup process.
Without an installed computer certificate, a Windows wireless client computer that starts up within range of a wireless AP associates with it but authentication fails. A user can log on to a computer that does not have wireless LAN network connectivity using cached credentials. Once successfully logged on, the user's certificate store becomes available and the subsequent authentication with the wireless AP succeeds using the installed user certificate. |
目前的解决方法即对计算机颁发计算机证书,这样子计算机在启动后即可自行通过802.1x认证,打开网络,用户再采用智能卡进行域登陆。这种方式已经成功。
不过俺觉得还不是很好的解决方法。中间还是存在一些安全的问题。
大家有兴趣可以一起研究研究。 |
谢谢分享, 偶们这里一个单位正要实施 dc + 802.1x 。 |
|
|
|
| 8. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
等过几天整理一下在共享。这几天给这件事情愁煞脑袋了。 
| QUOTE | | 计算机认证用的是MS跟域结合的证书吧? 有没有什么心得? |
香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 9. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
 |
|
HP : 0 / 65
MP : 8 / 409
EXP : 62%
|
|
初涉江湖
成员等级: 3
发表总数: 24
金币总数: 60
所属组别: 普通成员
注册日期: 2006/11/21
|
gazali 你好,你遇到的这个问题,现在一直都在困扰着我呢,
我的系统环境:windowsXP的(域用户)下的智能卡+IAS+Windows2003server+思科交换机2950交换机的802.1x认证
,交换机配置如下:
Building configuration...
Current configuration : 1392 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface Vlan1
ip address 192.168.1.133 255.255.255.0
no ip route-cache
!
ip http server
radius-server host 192.168.1.2 auth-port 1812 acct-port 1813 key huawei
radius-server retransmit 3
!
line con 0
line vty 5 15
!
!
end
使用后就是不能够通过,清高手帮忙看一下,交换机配置的有没有问题啊。
我的qq:8909696,如果你有现成的文档,关于IAS,配置的,请给我发一份过来,谢谢了
我的信箱:jlndjsj@sohu.com
再次感谢. |
|
|
|
| 10. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
 |
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
cisco不是声称可以支持802.1X与DC的一次登陆吗?
Tomorrow Is Another Day |
|
|
|
| 11. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 0 / 65
MP : 8 / 409
EXP : 62%
|
|
初涉江湖
成员等级: 3
发表总数: 24
金币总数: 60
所属组别: 普通成员
注册日期: 2006/11/21
|
具体的情况不知道啊,现在我遇到的情况是xp作客户端,2003server作AD服务器和Radius服务器,交换机就是思科的2950,交换机的设置我是根据麦子“在以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证 ”中的设置配置的。
不同的地方在于我这里使用的是isa不是ACL,
在这里我把我的环境跟各位高手说一下,希望给为帮忙定位以下问题。谢谢
客户端:xp ,ip:192.168。1。10
服务器:2003server,IP:192.168.1.2 使用的是单网卡
交换机:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---和802.1x相关的AAA设置
dot1x system-auth-control
!---打开802.1x功能
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
spanning-tree portfast
!---在F0/2口上打开802.1x端口控制功能
radius-server host 192.168.1.2 key xxxxxx
!---定义RARIUS Server
交换机就是这么配置的,多余的一条没有加
我现在想实现的功能是,智能卡验证
客户端在本地连接中设置,启用了ieee802.1x,eap类型为智能卡或其他证书,属性里面设置的是使用智能卡被信任的机构
选中了CA的根证书。 客户端设置完毕。
服务器端配置的比较麻烦,radius使用的是internet 验证服务,在这里新建立了一个客户端,客户端的ip是192。168。1。2,因为我要把路由也设置为192。168。1。2。密码和交换机中的设置的radius服务器密码一样,同时添加了一个验证,选择的是智能卡方式的验证。
同时在AD中对签发到智能卡中的那个账户也允许拨入设置了,同时在AD中也根据麦子的设置,配置了ms certficate machine autoenrollment.
现在我遇到的问题就是:客户端使用智能卡连接网络的时候,提示验证失败,上面写的比较乱,请高手帮忙定位一下,谢谢了
|
|
|
|
| 12. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
IAS定义的客户端IP怎么和radius-server(IAS)一样?
另外IAS里面你选择访问记录,可以通过查看系统日志看认证情况。
| QUOTE |
radius-server host 192.168.1.2 key xxxxxx
!---定义RARIUS Server
交换机就是这么配置的,多余的一条没有加
服务器端配置的比较麻烦,radius使用的是internet 验证服务,在这里新建立了一个客户端,客户端的ip是192。168。1。2,因为我要把路由也设置为192。168。1。2。.
现在我遇到的问题就是:客户端使用智能卡连接网络的时候,提示验证失败,上面写的比较乱,请高手帮忙定位一下,谢谢了 |
香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 13. RE: 域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 81 / 816
MP : 524 / 12691
EXP : 65%
|
|
名动江湖
成员等级: 33
发表总数: 1572
金币总数: 508
所属组别: 高级成员
注册日期: 2003/09/15
|
这位朋友有操作经验否?cisco如何支持的?
微软工程师说需要在cisco交换机上放开除了802.1x以外的“域认证相关协议",我不是很明白。。
| QUOTE | | cisco不是声称可以支持802.1X与DC的一次登陆吗? |
香烟文化,我是从经验中感知的,而不是经由阅读懂得。成长使一个人获得有关生命的知识,同时也受到荒诞和颓废的诱惑。香烟就属于这类,与死亡和疾病相连,但充满神 秘的美感。英语有一个词decadence,直译就是"颓废"或者"堕落",意思中包含一种激情的意味,一种有美感的反叛,尽管也许是不健康的。 |
|
|
|
| 14. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 0 / 65
MP : 8 / 409
EXP : 62%
|
|
初涉江湖
成员等级: 3
发表总数: 24
金币总数: 60
所属组别: 普通成员
注册日期: 2006/11/21
|
gazali 你好,我的qq是8909696,咱俩可以通过qq或者msn沟通一下么,因为我是使用一台机器作ad server and radius server所以ip都一样啊,我的msn :zengjun_zhang@hotmail.com,
|
|
|
|
| 15. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
|
HP : 0 / 65
MP : 8 / 409
EXP : 62%
|
|
初涉江湖
成员等级: 3
发表总数: 24
金币总数: 60
所属组别: 普通成员
注册日期: 2006/11/21
|
因为我对域,radius,还有交换机的理解都不深,所以还请多多执教 |
|
|
|
| 16. Re:域用户认证与802.1x认证的冲突讨论 |
|
|
|
|
