IEEE802.1X认证设置
本节介绍如何设置IEEE802.1X认证。
对于IEEE802.1X,连接到网络时,RADIUS服务器会要求请求方(机器)进行用户认证。EAPOL(局域网可扩展身份验证协议)用于在请求方与根据认证结果执行终端访问控制的认证方(局域网交换机)之间进行通信。认证信息使用RADIUS(远程身份验证拨入用户服务)服务器统一管理,然后对请求方进行认证。由于这种认证方法仅允许RADIUS服务器认证的请求方通过认证程序连接到网络,可以防止非法访问。认证方阻止来自RADIUS服务器未认证的请求方的通信。
本机支持以下认证方法:
EAP-TLS(可扩展身份验证协议-传输层安全)
对于EAP-TLS方法,通过客户端和RADIUS服务器互相颁发数字证书执行认证。从本机发送的密钥对和客户端证书在RADIUS服务器上使用CA证书进行校验。从RADIUS服务器发送的服务器证书在客户端(本机)上使用CA证书进行校验。必须注册用于校验服务器证书的CA证书。有关使用“远程用户界面”安装CA证书文件的信息,请参阅
“安装CA证书文件”。有关注册已安装的CA证书文件的说明,请参阅
“注册/编辑CA证书文件”。
此外,本机必须设置用户登录名(要通过IEEE802.1X进行认证)、密钥对(PKCS#12格式)和客户端证书才能使用EAP-TLS。使用“远程用户界面”安装密钥对文件和客户端证书文件后(请参阅
“安装密钥对文件和服务器证书”),使用本机的操作面板设置EAP-TLS的密钥对和客户端证书作为默认密钥。
EAP-TTLS(可扩展身份验证协议-隧道传输层安全)
对于EAP-TTLS方法,只有RADIUS服务器颁发数字证书。从RADIUS服务器发送的服务器证书在客户端上使用CA证书进行校验。必须注册用于校验服务器证书的CA证书。有关使用“远程用户界面”安装CA证书文件的信息,请参阅
“安装CA证书文件”。有关注册已安装的CA证书文件的说明,请参阅
“注册/编辑CA证书文件”。
此外,本机必须设置使用IEEE802.1X认证进行认证的用户名/登录用户名和密码才能使用EAP-TTLS。
用户可以选择EAP-TTLS支持的两种类型的内部认证协议:MS-CHAPv2(Microsoft质询握手身份验证协议版本2)或PAP(密码认证协议)。不能同时设置MS-CHAPv2和PAP。
PEAP(受保护的可扩展身份验证协议)
对于PEAP方法,只有RADIUS服务器颁发数字证书。从RADIUS服务器发送的服务器证书在客户端上使用CA证书进行校验。必须注册用于校验服务器证书的CA证书。有关使用“远程用户界面”安装CA证书文件的信息,请参阅
“安装CA证书文件”。有关注册已安装的CA证书文件的说明,请参阅
“注册/编辑CA证书文件”。
此外,本机必须设置使用IEEE802.1X认证进行认证的用户名/登录用户名和密码才能使用PEAP。
PEAP唯一支持的内部认证协议是MS-CHAPv2。
须知
|
无法同时设置EAP-TLS方法和EAP-TTLS/PEAP方法。
|