Red de conocimientos turísticos - Información de alquiler - [Entran los expertos en redes] La combinación de administración de dominios de Windows y 802.1x

[Entran los expertos en redes] La combinación de administración de dominios de Windows y 802.1x

1Introducción a los antecedentes técnicos

1.1 Dominio de Windows

El dominio de Windows es una tecnología que gestiona de forma centralizada los usuarios y permisos de la capa de aplicación. Cuando un usuario inicia sesión exitosamente en el dominio de Windows a través de la interfaz de inicio de sesión del sistema operativo de la serie Windows, puede hacer uso completo de varios recursos en el dominio y aceptar la administración y el control de los derechos de acceso de los usuarios por parte del dominio de Windows. Actualmente, muchas empresas, instituciones y escuelas utilizan dominios para gestionar los recursos de la red y controlar los derechos de acceso de usuarios con diferentes identidades a las aplicaciones e información de la red.

1.2 802.1x

802.1x es una tecnología de autenticación y control de acceso de usuarios en la capa de acceso a la red, que puede restringir el acceso de usuarios no autorizados a la LAN empresarial. Antes de que el usuario pase la autenticación, el protocolo 802.1x solo permite que los mensajes de autenticación pasen a través del puerto Ethernet; después de que el usuario pase la autenticación, los paquetes de datos normales pueden pasar a través del puerto Ethernet sin problemas. La tecnología 802.1x proporciona un método flexible de control de acceso a la red y realiza la separación de autenticación y servicios en un entorno Ethernet.

1.3 Dificultades en el dominio de Windows y la autenticación unificada 802.1x

Con la profundización de la informatización empresarial, muchas empresas han establecido sistemas de gestión de información basados ​​en dominios de Windows y gestionan el acceso de los usuarios a través de dominios de Windows. permisos y permisos de ejecución de aplicaciones. Sin embargo, el control de acceso basado en Windows solo puede afectar la capa de aplicación y no puede controlar los derechos de acceso físico del usuario. Cualquier usuario puede acceder a la red corporativa a voluntad, lo que conlleva muchos peligros ocultos para la red y la seguridad de las aplicaciones de la red corporativa. Para controlar y administrar los recursos de la red de manera más efectiva y mejorar la seguridad del acceso a la red, los administradores de redes empresariales esperan utilizar la autenticación 802.1x para realizar la identificación de identidad y el control de permisos de los usuarios de acceso a la red.

Sin embargo, la solución de combinar la autenticación de acceso 802.1x y la autenticación de dominio para fortalecer la seguridad de la red encontró problemas espinosos durante el proceso de implementación específico:

Problema 1: requisitos de autenticación de inicio de sesión del dominio de Windows El usuario Primero debe acceder a la red y establecer una conexión de red entre el usuario y el controlador de dominio antes de iniciar sesión en el escritorio. Sin embargo, la autenticación general 802.1x requiere que los usuarios ingresen primero al escritorio y luego accedan a la red y establezcan una conexión de red. Existe una marcada contradicción en la dependencia del tiempo entre las dos autenticaciones, lo que hace que los usuarios que utilizan 802.1x para la autenticación de acceso a la red no puedan iniciar sesión en el dominio de Windows.

Problema 2: el dominio de Windows y el servidor de autenticación 802.1x tienen su propia información especial de control de permisos y de identificación de usuario, lo que hace que los usuarios utilicen dos conjuntos de nombres de usuario y contraseñas al acceder a la red e iniciar sesión en el dominio de Windows. , lo que trae problemas a los usuarios. Muchos problemas operativos.

Cómo resolver la aguda contradicción actual entre el inicio de sesión de dominio de Windows y la autenticación 802.1x, unificar la autenticación de acceso 802.1x y la autenticación de dominio de Windows en la red empresarial, simplificar completamente las operaciones del usuario y lograr el acceso a la red y la autenticación de dominio de Windows. El inicio de sesión de autenticación unificada de un solo punto entre empresas es un problema urgente que muchos usuarios de redes empresariales deben resolver.

2 Introducción de la solución

Hangzhou H3C Communications Technology Co., Ltd. propuso una solución de autenticación unificada para el dominio de Windows y 802.1x a través de una investigación en profundidad sobre el proceso de autenticación de 802.1x y Windows. proceso de inicio de sesión de dominio. La solución resolvió con éxito la contradicción entre los dos procesos de autenticación, implementó con éxito la función de autenticación de punto único, simplificó enormemente el proceso de operación de autenticación del cliente y evitó la engorrosa autenticación secundaria del usuario. Es un avance tecnológico en el campo de la tecnología de autenticación. La clave de esta solución radica en dos procesos de "sincronización":

1. Sincronización del inicio de sesión del dominio de Windows y los procesos de autenticación 802.1x: el sistema de servidor de gestión de acceso integrado CAMS de H3C coopera con el cliente iNode para lograr la sincronización del proceso de autenticación. .

2. Sincronice la información de identidad (nombre de usuario, contraseña) de los usuarios del dominio de Windows y los usuarios de acceso 802.1x: el servidor de administración de acceso integrado CAMS realiza la sincronización de la información del usuario a través de la interfaz LDAP.

El proceso de autenticación unificada de punto único entre el dominio de Windows y 802.1x es el siguiente:

Etapa de autenticación de acceso 1.802 5438+0x

1) H3C iNode inteligente Encienda el terminal de usuario del cliente e ingrese a la interfaz de inicio de sesión de dominio común.

2) El usuario ingresa el nombre de usuario, la contraseña y el nombre de dominio de acuerdo con el proceso general de inicio de sesión del dominio y hace clic en el botón de inicio de sesión.

El cliente inteligente iNode intercepta las solicitudes de inicio de sesión de dominio de Windows y utiliza el nombre de usuario y la contraseña ingresados ​​para iniciar sesión en el dominio para iniciar simultáneamente la autenticación 802.1x.

4) La solicitud de autenticación 802.1x se reenvía al servidor de gestión de acceso integrado CAMS a través del conmutador para la autenticación de acceso 802.1x.

2. Fase de autenticación y reenvío

1) CAMS reenvía la solicitud de autenticación del usuario al controlador de dominio de Windows a través de la interfaz LDAP para verificar el nombre de usuario y la contraseña del dominio de Windows.

2) Después de pasar la autenticación del controlador de dominio de Windows, CAMS otorga al terminal de usuario derechos de acceso a la red.

3. Etapa de autenticación de dominio

1) El terminal de usuario que pasó la autenticación y obtuvo derechos de acceso a la red continúa realizando la autenticación de inicio de sesión de dominio a través del control del cliente iNode.

El sistema operativo Windows continúa con el proceso normal de inicio de sesión en el dominio y obtiene acceso a los recursos de la aplicación.

A través del proceso de autenticación unificada anterior, los usuarios pueden seguir las operaciones normales de inicio de sesión de dominio y completar la autenticación de acceso 802.1x y la autenticación de inicio de sesión de dominio de Windows al mismo tiempo, logrando así el propósito de autenticación unificada e inicio de sesión único.

3 aplicaciones de red prácticas

En aplicaciones de red reales, la autenticación unificada entre el dominio de Windows y 802.1x solo necesita implementarse a través del cliente inteligente H3C iNode y la administración de acceso integral CAMS. completada con la cooperación del servidor, la autenticación 802.1x se puede integrar perfectamente en el sistema de red existente del usuario. La función de autenticación unificada de punto único del dominio de Windows y 802.438+0x se puede realizar fácilmente sin transformar el entorno de aplicación de red existente.

Para lograr una autenticación unificada entre el dominio de Windows y 802.1x, solo necesita realizar las siguientes operaciones simples en el sistema CAMS:

1. Instalar la plataforma del servidor CAMS, acceso LAN y. Componente LDAP: dado que los controladores de dominio de Windows utilizan Active Directory de Microsoft (este es un servidor LDAP administrado por Microsoft) para administrar la información de usuarios y permisos, solo instalando el componente LDAP puede el sistema CAMS sincronizar la información del usuario con el dominio de Windows;

2. Configure la información del controlador de dominio en la interfaz de administración del servidor LDAP;

3. Sincronice la información del usuario del dominio de Windows con el servidor CAMS: utilice la función de exportación de usuarios LDAP para exportar la información del usuario. del dominio de Windows en un archivo y luego use la función de importación por lotes de información del usuario del sistema CAMS para agregar la información del usuario del dominio de Windows al sistema CAMS;

4. cliente en el terminal de usuario;

5. Configure el conmutador de acceso de acuerdo con los requisitos generales para la autenticación 802.1x.

4 efectos de implementación

Después de aplicar el dominio de Windows y las soluciones de autenticación unificada de punto único 802.1x, la seguridad y capacidad de administración de las aplicaciones de red empresarial mejorarán enormemente:

1, mejora la seguridad del acceso a la red, previene eficazmente el acceso de usuarios ilegales y logra el aislamiento físico de los usuarios ilegales.

2. Se mejoró la seguridad del dominio de Windows. Los usuarios deben pasar la autenticación 802.1x para acceder e iniciar sesión en el dominio de Windows, lo que mejora la seguridad de los recursos de la aplicación en el dominio.

3. Resuelva el conflicto entre el inicio de sesión del dominio de Windows y 802.1x.

4. Proceso de certificación transparente y unificado, totalmente coherente con el proceso habitual de certificación de dominio, no se requiere formación adicional.

5. Realiza un inicio de sesión único para el acceso a la red y al dominio de Windows, lo que facilita el uso y la operación del usuario y reduce los problemas de los usuarios para recordar dos conjuntos de nombres de usuario y contraseñas al mismo tiempo.

6. Se realiza el mantenimiento unificado y centralizado de las contraseñas de los usuarios (mantenido por el controlador de dominio), lo que mejora la seguridad de la protección de las contraseñas de los usuarios.

5 Conclusión

El dominio de Windows de H3C y la tecnología de autenticación unificada 802.1x son un nuevo avance en el campo de la tecnología de autenticación de seguridad, que resuelve el problema de la autenticación de seguridad multinivel en entornos de TI complejos. de empresas.

El dominio de Windows y la tecnología de autenticación unificada 802.1x son una de las muchas tecnologías líderes del servidor de gestión de acceso integrado H3C CAMS. CAMS continuará adhiriéndose al concepto de diseño de "el cliente primero", "pensar lo que los clientes piensan, hacer lo que los clientes necesitan" y confiará en su profundo conocimiento de las aplicaciones de TI empresariales para construir un entorno de aplicaciones de TI estable, seguro y creíble. para empresas.

上篇: ¿Qué debo hacer si Samsung SM P905 Happy Mahjong se atasca? 下篇: