Windows域与802[1]1x统一认证解决方案.pdf

Windows域与802.1x统一认证解决方案 杭州华三通信技术有限公司 杭州华三通信技术有限公司 很多企事业单位已经建立了基于 Windows 域的信息管理系统，通过 Windows 域管理用户访问权 限和应用执行权限。然而，基于 Windows 的权限控制只能作用到应用层，而无法实现对用户的物理访 问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应 用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业 网络的管理者希望通过802.1x 认证实现对接入用户的身份识别和权限控制。 但是，将 802.1x 接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到以下问 题： 1、Windows 域登录认证要求用户必须首先接入网络，建立用户与域控制器间的网络连接，然后才 可以登录并进入桌面。而一般的 802.1x 认证需要用户首先进入桌面，然后才可以进行网络接入认证、建 立网络连接。两种认证之间的时序依赖关系产生了尖锐的矛盾，导致使用 802.1x 进行网络接入认证的用 户无法登录到 Windows 域。 2、Windows 域与 802.1x 认证服务器各自拥有专用的用户身份识别和权限控制信息，造成用户接 入网络和登录 Windows 域时需要使用两套用户名和密码，给用户的使用带来不少操作上的麻烦。 如何解决目前 Windows 域登录与 802.1x 认证的矛盾，融合企业网中 802.1x 接入认证与 Windows 域认证，全面简化用户操作，实现网络接入与 Windows 域的单点登录，是目前许多企业网用户迫切需 要解决的问题。 通过对 802.1x 认证流程和 Windows 域登录流程的深入研究，H3C 公司提出了 Windows 域与 802.1x 统一认证方案，平滑地解决了两种认证流程之间的矛盾，避免了用户二次认证的烦琐。该方案的 关键在于两个“同步”过程： 同步域用户与 802.1x 接入用户的身份信息（用户名、密码），EAD 安全策略服务器使用 LDAP 功能实现用户和 Windows 域用户信息的同步。 同步域登录与 802.1x 认证流程，EAD 安全策略服务器通过 H3C 自主开发的802.1x 客户 端实现认证流程的同步。 统一认证的基本流程如下图所示： 2008-1-29 内部资料，请勿扩散 第 2 页, 共 3 页 杭州华三通信技术有限公司 在应用 H3C 的Windows 域与 802.1x 统一认证方案后，用户网络的安全性极大增强，具体来说， 实现 Windows 域与 802.1x 统一认证可为用户网络带来以下优点： 增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。 增强了 Windows 域的安全性，用户必须通过 802.1x 认证才能访问并登录到 Windows 域 中，提高了域内应用资源的安全性。 解决了 Windows 域登录与 802.1x 不能兼容的矛盾。 透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。 实现了网络接入与 Windows 域的单点登录，方便用户的使用与操作，减少用户同时记忆 两套用户名与密码的烦琐。 实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全性，方便 用户修改密码 2008-1-29 内部资料，请勿扩散 第 3 页, 共 3 页