Impostazioni di autenticazione IEEE802.1X
In questa sezione viene descritta la procedura di impostazione dell'autenticazione IEEE802.1X.
Per IEEE802.1X, il server RADIUS richiede l'autenticazione dell'utente dal supplicant (la macchina) durante la connessione a una rete. Per la comunicazione tra il supplicant e l'autenticatore (LAN switch), che esegue il controllo dell'accesso del terminale in base ai risultati dell'autenticazione, viene utilizzato il servizio EAPOL (EAP over LAN). Le informazioni relative all'autenticazione vengono gestite collettivamente con il server RADIUS (Remote Authentication Dial In User Service), quindi il supplicant viene autenticato. È possibile evitare l'accesso non valido, poiché questo metodo di autenticazione consente solo ai supplicant autenticati dal server RADIUS di connettersi alla rete tramite un autenticatore. Quest'ultimo blocca la comunicazione dai supplicant non autenticati tramite il server RADIUS.
La macchina supporta i seguenti metodi di autenticazione:
EAP-TLS (Extensible Authentication Protocol-Transport Level Security)
Per il metodo EAP-TLS, l'autenticazione viene eseguita emettendo un certificato digitale bilateralmente al client e al server RADIUS. La coppia di chiavi e il certificato client inviato dalla macchina vengono verificati utilizzando il certificato CA sul server RADIUS. Il certificato server inviato dal server RADIUS viene verificato utilizzando il certificato CA sul client (la macchina). È necessario che il certificato CA utilizzato per verificare il certificato server sia registrato. Per informazioni sull'installazione del file di certificato CA utilizzando la IU remota, vedere
"Installazione di un file di certificato CA". Per istruzioni sulla registrazione del file di certificato CA installato, vedere
"Registrazione/modifica di un file di certificato CA".
Inoltre, le impostazioni per il nome accesso dell'utente (da autenticare attraverso l'autenticazione IEEE802.1X), così come la coppia di chiavi (in formato PKCS#12) e il certificato del client sono necessari per utilizzare EAP-TLS sulla macchina. Una volta installato il file della coppia di chiavi e il file del certificato client utilizzando la IU remota (vedere
"Installazione di un file della coppia di chiavi e di un certificato server"), impostare la coppia di chiavi e il certificato client per EAP-TLS come chiave predefinita mediante il pannello comandi della macchina.
EAP-TTLS (EAP-Tunneled TLS)
Per il metodo EAP-TTLS, solo il server RADIUS emette un certificato digitale. Il certificato server inviato dal server RADIUS viene verificato utilizzando il certificato CA sul client. È necessario che il certificato CA utilizzato per verificare il certificato server sia registrato. Per informazioni sull'installazione del file di certificato CA utilizzando la IU remota, vedere
"Installazione di un file di certificato CA". Per istruzioni sulla registrazione del file di certificato CA installato, vedere
"Registrazione/modifica di un file di certificato CA".
Inoltre, il nome dell'utente da autenticare tramite l'autenticazione IEEE802.1X e la password devono essere impostati in modo da utilizzare il protocollo EAP-TTLS con la macchina.
È possibile selezionare due tipi di protocollo di autenticazione interna supportati da EAP-TTLS: MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) o PAP (Password Authentication Protocol). Non è possibile impostare MS-CHAPv2 e PAP contemporaneamente.
PEAP (Protected EAP)
Per il metodo PEAP, solo il server RADIUS emette un certificato digitale. Il certificato server inviato dal server RADIUS viene verificato utilizzando il certificato CA sul client. È necessario che il certificato CA utilizzato per verificare il certificato server sia registrato. Per informazioni sull'installazione del file di certificato CA utilizzando la IU remota, vedere
"Installazione di un file di certificato CA". Per istruzioni sulla registrazione del file di certificato CA installato, vedere
"Registrazione/modifica di un file di certificato CA".
Inoltre, il nome dell'utente da autenticare tramite l'autenticazione IEEE802.1X e la password devono essere impostati in modo da utilizzare il protocollo PEAP con la macchina.
L'unico protocollo di autenticazione interna supportato da PEAP è MS-CHAPv2.
IMPORTANTE
|
Non è possibile impostare contemporaneamente i metodi EAP-TLS ed EAP-TTLS/PEAP.
|