IEEE 802.1X Nastavení ověření

Tato část popisuje, jak nastavit ověření IEEE 802.1X.
Pro IEEE 802.1X RADIUS server vyžaduje při připojování na síť autentizaci (ověření) uživatele od žadatele (stroj). Protokol EAPOL (EAP over LAN) se používá pro komunikaci mezi žadatelem a autentikátorem (LAN switch), který provádí řízení přístupu k terminálu na základě výsledků autentizace. Informace pro autentizaci jsou spravovány hromadně RADIUS serverem (Remote Authentication Dial In User Service) a pak je provedena autentizace (ověření) žadatele. Je možné zabránit neplatnému přístupu, protože tato autentizační metoda dovoluje pouze žadatelům ověřeným RADIUS serverem připojit se do sítě prostřednictvím autentikátoru. Autentikátor (ověřovatel autenticity) zablokuje komunikaci od žadatelů, jejichž ověření RADIUS serverem neproběhlo úspěšně.
Tento stroj podporuje následující metody autentizace:

EAP-TLS (Extensible Authentication Protocol-Transport Level Security)

V případě metody EAP-TLS se autentizace provádí vydáním digitálního certifikátu bilaterálně jak klientovi, tak RADIUS serveru. Pár klíčů a klientský certifikát odeslané ze stroje jsou ověřovány pomocí certifikátu CA na RADIUS serveru. Serverový certifikát odeslaný z RADIUS serveru je ověřován pomocí certifikátu CA na klientovi (stroj). Certifikát CA používaný k ověřování serverového certifikátu musí být zaregistrován (uložen). Informace týkající se instalace souboru certifikátu CA s pomocí vzdáleného UR viz v „Instalace souboru certifikátu CA.“ Instrukce k uložení nainstalovaného souboru certifikátu CA viz v „Uložení/úprava souboru certifikátu CA.“
Pro použití metody metody EAP-TLS na stroji jsou také nezbytná nastavení pro přihlašovací jméno uživatele (autentizované pomocí autentizace IEEE 802.1X) a také nastavení pro pár klíčů (ve formátu PKCS#12) a klientský certifikát. Po nainstalování souboru páru klíčů a souboru klientského certifikátu s pomocí vzdáleného UR (viz „Instalace páru klíčů a serverového certifikátu“) nastavte pár klíčů a klientský certifikát pro EAP-TLS jako výchozí klíč pro ovládací panel stroje.

EAP-TTLS (EAP-Tunneled TLS)

V případě metody EAP-TTLS pouze RADIUS server vydává digitální certifikát. Serverový certifikát odeslaný z RADIUS serveru je ověřován pomocí certifikátu CA na klientovi. Certifikát CA používaný k ověřování serverového certifikátu musí být zaregistrován (uložen). Informace týkající se instalace souboru certifikátu CA s pomocí vzdáleného UR viz v „Instalace souboru certifikátu CA.“ Instrukce k uložení nainstalovaného souboru certifikátu CA viz v „Uložení/úprava souboru certifikátu CA.“
Pro použití metody EAP-TTLS na stroji je navíc je nutné, aby bylo jméno uživatele/přihlášeného uživatele autentizováno s pomocí autentizace IEEE 802.1X a aby bylo nastaveno heslo.
Uživatel si může vybrat ze dvou typů interního autentizačního protokolu podporovaného metodou EAP-TTLS: MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) nebo PAP (Password Authentication Protocol). Protokoly MS-CHAPv2 a PAP nelze oba nastavit současně.

PEAP (Protected EAP)

V případě metody PEAP pouze RADIUS server vydává digitální certifikát. Serverový certifikát odeslaný z RADIUS serveru je ověřován pomocí certifikátu CA na klientovi. Certifikát CA používaný k ověřování serverového certifikátu musí být zaregistrován (uložen). Informace týkající se instalace souboru certifikátu CA s pomocí vzdáleného UR viz v „Instalace souboru certifikátu CA.“ Instrukce k uložení nainstalovaného souboru certifikátu CA viz v „Uložení/úprava souboru certifikátu CA.“
Pro použití metody PEAP na stroji je navíc je nutné, aby bylo jméno uživatele/přihlášeného uživatele autentizováno s pomocí autentizace IEEE 802.1X a aby bylo nastaveno heslo.
Jediný interní autentizační protokol podporovaná metodou PEAP je MS-CHAPv2.
Podrobné informace o nastavení sítě naleznete v příručce dodané s Server imagePRESS.

DŮLEŽITÉ
Metodu EAP-TLS a metodu EAP-TTLS/PEAP nelze nastavit současně.
25JJ-167