IEEE802.1X認證設定
本節介紹如何設定IEEE802.1X認證。
對於IEEE802.1X,連線到網路時RADIUS伺服器會要求請求者(機器)進行使用者認證。EAPOL(區域網路可擴展身分驗證協議)用於在請求者與根據認證結果執行終端存取控制的認證者(區域網路交換機)之間進行通訊。認證資訊使用RADIUS(遠端身分驗證撥入使用者服務)伺服器統一管理,然後對請求者進行認證。由於這種認證方法僅允許RADIUS伺服器認證的請求者透過認證者連線到網路,可以防止非法存取。認證者阻止來自RADIUS伺服器未認證的請求者的通訊。
本機器支援以下認證方法:
EAP-TLS(可擴展身分驗證協議-傳輸層安全)
對於EAP-TLS方法,透過用戶端和RADIUS伺服器互相頒發數位憑證執行認證。從本機器傳送的鍵值對和用戶端憑證在RADIUS伺服器上使用CA憑證進行核對。從RADIUS伺服器傳送的伺服器憑證在用戶端(本機器)上使用CA憑證進行核對。必須註冊用於核對伺服器憑證的CA憑證。有關使用「遠端使用者介面」安裝CA憑證檔案的資訊,請參閱
"安裝CA憑證檔案."有關註冊已安裝的CA憑證檔案的說明,請參閱
"註冊/編輯CA憑證檔案."
此外,本機器必須設定使用者登入名稱(要透過IEEE802.1X認證進行認證)、鍵值對(PKCS#12格式)和用戶端憑證才能使用EAP-TLS。使用「遠端使用者介面」安裝鍵值對檔案和用戶端憑證檔案後(請參閱
"安裝鍵值對檔案和伺服器憑證"),使用本機器控制面板將用於EAP-TLS的鍵值對和用戶端憑證設定為預設鍵值。
EAP-TTLS(可擴展身分驗證協議-隧道傳輸層安全)
對於EAP-TTLS方法,只有RADIUS伺服器頒發數位憑證。從RADIUS伺服器傳送的伺服器憑證在用戶端上使用CA憑證進行核對。必須註冊用於核對伺服器憑證的CA憑證。有關使用「遠端使用者介面」安裝CA憑證檔案的資訊,請參閱
"安裝CA憑證檔案."有關註冊已安裝的CA憑證檔案的說明,請參閱
"註冊/編輯CA憑證檔案."
此外,本機器必須設定使用IEEE802.1X認證進行認證的使用者/登入使用者名稱和密碼才能使用EAP-TTLS。
使用者可以選擇EAP-TTLS支援的兩種類型的內部認證協議:MS-CHAPv2(Microsoft質詢握手身分驗證協議版本2)或PAP(密碼認證協議)。不能同時設定MS-CHAPv2和PAP。
PEAP(受保護的可擴展身分驗證協議)
對於PEAP方法,只有RADIUS伺服器頒發數位憑證。從RADIUS伺服器傳送的伺服器憑證在用戶端上使用CA憑證進行核對。必須註冊用於核對伺服器憑證的CA憑證。有關使用「遠端使用者介面」安裝CA憑證檔案的資訊,請參閱
"安裝CA憑證檔案."有關註冊已安裝的CA憑證檔案的說明,請參閱
"註冊/編輯CA憑證檔案."
此外,本機器必須設定使用IEEE802.1X認證進行認證的使用者/登入使用者名稱和密碼才能使用PEAP。
PEAP唯一支援的內部認證協議為MS-CHAPv2。
須知
|
不能同時設定EAP-TLS方法和EAP-TTLS/PEAP方法。
|