Windows 域與802.1x 統(tǒng)一認證技術(shù)白皮書1 技術(shù)背景介紹1.1 Windows域Windows 域是一種應用層的用戶及權(quán)限集中管理技術(shù)。當用戶通過Windows 系列操作系統(tǒng)的登錄界面

Windows 域與802.1x 統(tǒng)一認證技術(shù)白皮書

1 技術(shù)背景介紹

1.1 Windows域

Windows 域是一種應用層的用戶及權(quán)限集中管理技術(shù)。當用戶通過Windows 系列操作系統(tǒng)的登錄界面成功登錄Windows 域后，就可以充分使用域內(nèi)的各種共享資源，同時接受Windows 域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機構(gòu)和學校都使用域來管理網(wǎng)絡資源，用于控制不同身份的用戶對網(wǎng)絡應用及共享信息的使用權(quán)限。

1.2 802.1x

802.1x 是一種網(wǎng)絡接入層的用戶訪問控制和認證技術(shù)，可以限制未經(jīng)授權(quán)的用戶訪問企業(yè)局域網(wǎng)絡。在用戶認證通過之前，802.1x 協(xié)議只允許認證報文通過以太網(wǎng)端口；認證通過以后，正常的數(shù)據(jù)報文才可以順利地通過以太網(wǎng)端口。802.1x 技術(shù)在以太網(wǎng)絡環(huán)境中提供了一種靈活的、認證和業(yè)務分離的網(wǎng)絡接入控制手段。

1.3 Windows域和802.1x 統(tǒng)一認證面臨的難題

隨著企業(yè)信息化進程的深入推進，很多企業(yè)已經(jīng)建立了基于Windows 域的信息管理系統(tǒng)，通過Windows 域管理用戶訪問權(quán)限和應用執(zhí)行權(quán)限。然而，基于Windows 的權(quán)限控制只能作用到應用層，而無法實現(xiàn)對用戶的物理訪問權(quán)限的控制，任何用戶均可隨意接入企業(yè)網(wǎng)絡，就給企業(yè)網(wǎng)的網(wǎng)絡和應用安全帶來很多隱患。為了更加有效地控制和管理網(wǎng)絡資源，提高網(wǎng)絡接入的安全性，企業(yè)網(wǎng)絡的管理者希望借助802.1x 認證實現(xiàn)對網(wǎng)絡接入用戶的身份識別和權(quán)限控制。

但是，將802.1x 接入認證與域認證結(jié)合以加強網(wǎng)絡安全的方案在具體的實施過程中卻遇到了棘手的問題：

問題一：Windows 域登錄認證要求用戶必須首先接入網(wǎng)絡，建立用戶與域控制器間的網(wǎng)絡連接，然后才可以登錄并進入桌面。而一般的802.1x 認證需要用戶首先進入桌面，然后才可以進行網(wǎng)絡接入認證、建立網(wǎng)絡連接。兩種認證之間的時序依賴關(guān)系產(chǎn)生了尖銳的矛盾，導致使用802.1x 進行網(wǎng)絡接入認證的用戶無法登錄到Windows 域。

問題二：Windows 域與802.1x 認證服務器各自擁有專用的用戶身份識別和權(quán)限控制信息，造成用戶接入網(wǎng)絡和登錄Windows 域時需要使用兩套用戶名和密碼，給用戶的使用帶來不少操作上的麻煩。

如何解決目前Windows 域登錄與802.1x 認證之間存在的尖銳矛盾，統(tǒng)一企業(yè)網(wǎng)中802.1x 接入認證與Windows 域認證，全面簡化用戶操作，實現(xiàn)網(wǎng)絡接入與Windows 域的單點一次性統(tǒng)一認證登錄，是目前許多企業(yè)網(wǎng)用戶迫切需要解決的問題。

2 解決方案介紹

通過對802.1x 認證流程和Windows 域登錄流程的深入研究，H3C 技術(shù)有限公司提出了Windows 域與802.1x 統(tǒng)一認證解決方案，平滑地解決了兩種認證流程之間的矛盾，成

功實現(xiàn)了單點認證功能，極大的簡化了客戶的認證操作流程，避免了用戶二次認證的煩瑣。是認證技術(shù)領(lǐng)域內(nèi)的一次技術(shù)突破。該解決方案的關(guān)鍵在于兩個“同步”過程：

(1) 同步Windows 域登錄與802.1x 認證流程——H3C 公司的EAD 策略服務器與iNode 客戶端配合實現(xiàn)認證流程的同步。

(2) 同步Windows 域用戶與802.1x 接入用戶的身份信息（用戶名、密碼）——EAD 策略服務器通過LDAP 接口實現(xiàn)用戶信息的同步。

Windows 域與802.1x 單點統(tǒng)一認證的流程如下。

● 802.1x 接入認證階段

(1) 安裝有H3C iNode智能客戶端的用戶終端開機后進入普通的域登錄界面

(2) 用戶按一般的域登錄流程輸入用戶名、密碼和域名，點擊登錄按鈕

(3) iNode 智能客戶端截獲Windows 域登錄請求，使用域登錄輸入的用戶名、密碼同步發(fā)起802.1x 認證

(4) 802.1x 認證請求通過交換機轉(zhuǎn)發(fā)到EAD 策略服務器，進行802.1x 接入身份認證

● 認證轉(zhuǎn)發(fā)階段

(1) EAD 策略服務器將用戶認證請求通過LDAP 接口轉(zhuǎn)發(fā)到Windows 域控制器，進行Windows 域用戶名、密碼驗證

(2) 通過Windows 域控制器的身份認證后，再由EAD 策略服務器向用戶終端授權(quán)網(wǎng)絡訪問權(quán)限

● 域認證階段

(1) 認證通過并獲得網(wǎng)絡訪問權(quán)限的用戶終端通過iNode 客戶端的控制，繼續(xù)進行域登錄認證

(2) Windows 操作系統(tǒng)繼續(xù)完成普通的域登錄流程，獲取應用資源訪問權(quán)限

通過以上的統(tǒng)一認證流程，用戶只需按照正常的域登錄操作，即可同時完成802.1x 接入認證和Windows 域登錄認證，達到了統(tǒng)一認證和單點登錄的目的。

3 實際組網(wǎng)應用

在實際的組網(wǎng)應用中，必須通過H3C iNode 智能客戶端和EAD 策略服務器的配合才能完成Windows 域與802.1x 統(tǒng)一認證的實施，將802.1x 認證無縫的集成到用戶現(xiàn)有的網(wǎng)絡體系當中，在不改造現(xiàn)有網(wǎng)絡應用環(huán)境的前提下，輕松實現(xiàn)Windows 域和802.1x 的單點統(tǒng)一認證功能。

實施Windows 域與802.1x 統(tǒng)一認證，只需在EAD 策略服務器系統(tǒng)中進行以下簡單操作：

(1) 安裝EAD 策略服務器平臺、LAN 接入和LDAP 組件——由于Windows 域控制器使用微軟的Active Directory （Active Directory是微軟管理Windows 域的一種LDAP 服務器）管理用戶及權(quán)限信息，只有安裝LDAP 組件，EAD 策略服務器才能實現(xiàn)與Windows 域同步用戶信息；

(2) 在LDAP 服務器管理界面中配置域控制器信息；

(3) 將Windows 域用戶信息同步至EAD 策略服務器——使用LDAP 用戶導出功能，將Windows 域用戶的信息導出到文件，然后使用EAD 策略服務器的用戶信息批量導入功能將Windows 域用戶信息加入到EAD 策略服務器中；

(4) 在用戶終端安裝H3C iNode智能客戶端；

(5) 按一般的802.1x 認證的要求配置接入交換機。

4 實施效果

在應用H3C 的Windows 域與802.1x 單點統(tǒng)一認證解決方案后，企業(yè)網(wǎng)絡應用的安全性和可管理性將極大增強：

(1) 增強了網(wǎng)絡接入的安全性，有效杜絕非法用戶接入，實現(xiàn)對非法用戶的物理隔離。

(2) 增強了Windows 域的安全性，用戶必須通過802.1x 認證才能訪問并登錄到Windows 域中，提高了域內(nèi)應用資源的安全性。

(3) 解決了Windows 域登錄與802.1x 不能兼容的矛盾。

(4) 透明的統(tǒng)一認證流程，與通常的域認證過程完全一致，無需額外培訓。

(5) 實現(xiàn)了網(wǎng)絡接入與Windows 域的單點登錄，方便用戶的使用與操作，減少用戶同時記憶兩套用戶名與密碼的煩瑣。

(6) 實現(xiàn)用戶密碼的統(tǒng)一、集中維護（由域控制器維護），提高了用戶密碼保護的安全性。

5 結(jié)論

H3C 公司的Windows 域與802.1x 統(tǒng)一認證技術(shù)，是安全認證技術(shù)領(lǐng)域內(nèi)的一次新突破，解決了企業(yè)復雜IT 環(huán)境中的多層次安全認證的統(tǒng)一問題。Windows 域與802.1x 統(tǒng)一認證技術(shù)是H3C EAD策略服務器眾多領(lǐng)先技術(shù)中的一項，EAD 策略服務器將持續(xù)秉承“客戶第一”的設計理念，“想客戶之所想，做客戶之所需”，憑借對企業(yè)IT 應用的深入理解，為企業(yè)打造穩(wěn)定、安全的可信IT 應用環(huán)境。

Copyright ?2003-2008 杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。

非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。

本文檔中的信息可能變動，恕不另行通知。