Windows 域與802.1x 統(tǒng)一認(rèn)證技術(shù)白皮書1 技術(shù)背景介紹1.1 Windows域Windows 域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過Windows 系列操作系統(tǒng)的登錄界面

Windows 域與802.1x 統(tǒng)一認(rèn)證技術(shù)白皮書

1 技術(shù)背景介紹

1.1 Windows域

Windows 域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過Windows 系列操作系統(tǒng)的登錄界面成功登錄Windows 域后，就可以充分使用域內(nèi)的各種共享資源，同時(shí)接受Windows 域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機(jī)構(gòu)和學(xué)校都使用域來管理網(wǎng)絡(luò)資源，用于控制不同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。

1.2 802.1x

802.1x 是一種網(wǎng)絡(luò)接入層的用戶訪問控制和認(rèn)證技術(shù)，可以限制未經(jīng)授權(quán)的用戶訪問企業(yè)局域網(wǎng)絡(luò)。在用戶認(rèn)證通過之前，802.1x 協(xié)議只允許認(rèn)證報(bào)文通過以太網(wǎng)端口；認(rèn)證通過以后，正常的數(shù)據(jù)報(bào)文才可以順利地通過以太網(wǎng)端口。802.1x 技術(shù)在以太網(wǎng)絡(luò)環(huán)境中提供了一種靈活的、認(rèn)證和業(yè)務(wù)分離的網(wǎng)絡(luò)接入控制手段。

1.3 Windows域和802.1x 統(tǒng)一認(rèn)證面臨的難題

隨著企業(yè)信息化進(jìn)程的深入推進(jìn)，很多企業(yè)已經(jīng)建立了基于Windows 域的信息管理系統(tǒng)，通過Windows 域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。然而，基于Windows 的權(quán)限控制只能作用到應(yīng)用層，而無法實(shí)現(xiàn)對用戶的物理訪問權(quán)限的控制，任何用戶均可隨意接入企業(yè)網(wǎng)絡(luò)，就給企業(yè)網(wǎng)的網(wǎng)絡(luò)和應(yīng)用安全帶來很多隱患。為了更加有效地控制和管理網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)接入的安全性，企業(yè)網(wǎng)絡(luò)的管理者希望借助802.1x 認(rèn)證實(shí)現(xiàn)對網(wǎng)絡(luò)接入用戶的身份識別和權(quán)限控制。

但是，將802.1x 接入認(rèn)證與域認(rèn)證結(jié)合以加強(qiáng)網(wǎng)絡(luò)安全的方案在具體的實(shí)施過程中卻遇到了棘手的問題：

問題一：Windows 域登錄認(rèn)證要求用戶必須首先接入網(wǎng)絡(luò)，建立用戶與域控制器間的網(wǎng)絡(luò)連接，然后才可以登錄并進(jìn)入桌面。而一般的802.1x 認(rèn)證需要用戶首先進(jìn)入桌面，然后才可以進(jìn)行網(wǎng)絡(luò)接入認(rèn)證、建立網(wǎng)絡(luò)連接。兩種認(rèn)證之間的時(shí)序依賴關(guān)系產(chǎn)生了尖銳的矛盾，導(dǎo)致使用802.1x 進(jìn)行網(wǎng)絡(luò)接入認(rèn)證的用戶無法登錄到Windows 域。

問題二：Windows 域與802.1x 認(rèn)證服務(wù)器各自擁有專用的用戶身份識別和權(quán)限控制信息，造成用戶接入網(wǎng)絡(luò)和登錄Windows 域時(shí)需要使用兩套用戶名和密碼，給用戶的使用帶來不少操作上的麻煩。

如何解決目前Windows 域登錄與802.1x 認(rèn)證之間存在的尖銳矛盾，統(tǒng)一企業(yè)網(wǎng)中802.1x 接入認(rèn)證與Windows 域認(rèn)證，全面簡化用戶操作，實(shí)現(xiàn)網(wǎng)絡(luò)接入與Windows 域的單點(diǎn)一次性統(tǒng)一認(rèn)證登錄，是目前許多企業(yè)網(wǎng)用戶迫切需要解決的問題。

2 解決方案介紹

通過對802.1x 認(rèn)證流程和Windows 域登錄流程的深入研究，H3C 技術(shù)有限公司提出了Windows 域與802.1x 統(tǒng)一認(rèn)證解決方案，平滑地解決了兩種認(rèn)證流程之間的矛盾，成

功實(shí)現(xiàn)了單點(diǎn)認(rèn)證功能，極大的簡化了客戶的認(rèn)證操作流程，避免了用戶二次認(rèn)證的煩瑣。是認(rèn)證技術(shù)領(lǐng)域內(nèi)的一次技術(shù)突破。該解決方案的關(guān)鍵在于兩個“同步”過程：

(1) 同步Windows 域登錄與802.1x 認(rèn)證流程——H3C 公司的EAD 策略服務(wù)器與iNode 客戶端配合實(shí)現(xiàn)認(rèn)證流程的同步。

(2) 同步Windows 域用戶與802.1x 接入用戶的身份信息（用戶名、密碼）——EAD 策略服務(wù)器通過LDAP 接口實(shí)現(xiàn)用戶信息的同步。

Windows 域與802.1x 單點(diǎn)統(tǒng)一認(rèn)證的流程如下。

● 802.1x 接入認(rèn)證階段

(1) 安裝有H3C iNode智能客戶端的用戶終端開機(jī)后進(jìn)入普通的域登錄界面

(2) 用戶按一般的域登錄流程輸入用戶名、密碼和域名，點(diǎn)擊登錄按鈕

(3) iNode 智能客戶端截獲Windows 域登錄請求，使用域登錄輸入的用戶名、密碼同步發(fā)起802.1x 認(rèn)證

(4) 802.1x 認(rèn)證請求通過交換機(jī)轉(zhuǎn)發(fā)到EAD 策略服務(wù)器，進(jìn)行802.1x 接入身份認(rèn)證

● 認(rèn)證轉(zhuǎn)發(fā)階段

(1) EAD 策略服務(wù)器將用戶認(rèn)證請求通過LDAP 接口轉(zhuǎn)發(fā)到Windows 域控制器，進(jìn)行Windows 域用戶名、密碼驗(yàn)證

(2) 通過Windows 域控制器的身份認(rèn)證后，再由EAD 策略服務(wù)器向用戶終端授權(quán)網(wǎng)絡(luò)訪問權(quán)限

● 域認(rèn)證階段

(1) 認(rèn)證通過并獲得網(wǎng)絡(luò)訪問權(quán)限的用戶終端通過iNode 客戶端的控制，繼續(xù)進(jìn)行域登錄認(rèn)證

(2) Windows 操作系統(tǒng)繼續(xù)完成普通的域登錄流程，獲取應(yīng)用資源訪問權(quán)限

通過以上的統(tǒng)一認(rèn)證流程，用戶只需按照正常的域登錄操作，即可同時(shí)完成802.1x 接入認(rèn)證和Windows 域登錄認(rèn)證，達(dá)到了統(tǒng)一認(rèn)證和單點(diǎn)登錄的目的。

3 實(shí)際組網(wǎng)應(yīng)用

在實(shí)際的組網(wǎng)應(yīng)用中，必須通過H3C iNode 智能客戶端和EAD 策略服務(wù)器的配合才能完成Windows 域與802.1x 統(tǒng)一認(rèn)證的實(shí)施，將802.1x 認(rèn)證無縫的集成到用戶現(xiàn)有的網(wǎng)絡(luò)體系當(dāng)中，在不改造現(xiàn)有網(wǎng)絡(luò)應(yīng)用環(huán)境的前提下，輕松實(shí)現(xiàn)Windows 域和802.1x 的單點(diǎn)統(tǒng)一認(rèn)證功能。

實(shí)施Windows 域與802.1x 統(tǒng)一認(rèn)證，只需在EAD 策略服務(wù)器系統(tǒng)中進(jìn)行以下簡單操作：

(1) 安裝EAD 策略服務(wù)器平臺、LAN 接入和LDAP 組件——由于Windows 域控制器使用微軟的Active Directory （Active Directory是微軟管理Windows 域的一種LDAP 服務(wù)器）管理用戶及權(quán)限信息，只有安裝LDAP 組件，EAD 策略服務(wù)器才能實(shí)現(xiàn)與Windows 域同步用戶信息；

(2) 在LDAP 服務(wù)器管理界面中配置域控制器信息；

(3) 將Windows 域用戶信息同步至EAD 策略服務(wù)器——使用LDAP 用戶導(dǎo)出功能，將Windows 域用戶的信息導(dǎo)出到文件，然后使用EAD 策略服務(wù)器的用戶信息批量導(dǎo)入功能將Windows 域用戶信息加入到EAD 策略服務(wù)器中；

(4) 在用戶終端安裝H3C iNode智能客戶端；

(5) 按一般的802.1x 認(rèn)證的要求配置接入交換機(jī)。

4 實(shí)施效果

在應(yīng)用H3C 的Windows 域與802.1x 單點(diǎn)統(tǒng)一認(rèn)證解決方案后，企業(yè)網(wǎng)絡(luò)應(yīng)用的安全性和可管理性將極大增強(qiáng)：

(1) 增強(qiáng)了網(wǎng)絡(luò)接入的安全性，有效杜絕非法用戶接入，實(shí)現(xiàn)對非法用戶的物理隔離。

(2) 增強(qiáng)了Windows 域的安全性，用戶必須通過802.1x 認(rèn)證才能訪問并登錄到Windows 域中，提高了域內(nèi)應(yīng)用資源的安全性。

(3) 解決了Windows 域登錄與802.1x 不能兼容的矛盾。

(4) 透明的統(tǒng)一認(rèn)證流程，與通常的域認(rèn)證過程完全一致，無需額外培訓(xùn)。

(5) 實(shí)現(xiàn)了網(wǎng)絡(luò)接入與Windows 域的單點(diǎn)登錄，方便用戶的使用與操作，減少用戶同時(shí)記憶兩套用戶名與密碼的煩瑣。

(6) 實(shí)現(xiàn)用戶密碼的統(tǒng)一、集中維護(hù)（由域控制器維護(hù)），提高了用戶密碼保護(hù)的安全性。

5 結(jié)論

H3C 公司的Windows 域與802.1x 統(tǒng)一認(rèn)證技術(shù)，是安全認(rèn)證技術(shù)領(lǐng)域內(nèi)的一次新突破，解決了企業(yè)復(fù)雜IT 環(huán)境中的多層次安全認(rèn)證的統(tǒng)一問題。Windows 域與802.1x 統(tǒng)一認(rèn)證技術(shù)是H3C EAD策略服務(wù)器眾多領(lǐng)先技術(shù)中的一項(xiàng)，EAD 策略服務(wù)器將持續(xù)秉承“客戶第一”的設(shè)計(jì)理念，“想客戶之所想，做客戶之所需”，憑借對企業(yè)IT 應(yīng)用的深入理解，為企業(yè)打造穩(wěn)定、安全的可信IT 應(yīng)用環(huán)境。

Copyright ?2003-2008 杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。

非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。

本文檔中的信息可能變動，恕不另行通知。