Ustawienia uwierzytelniania IEEE 802.1X

W tej sekcji opisano sposób konfiguracji uwierzytelniania IEEE 802.1X

Dla IEEE 802.1X, serwer RADIUS wymaga uwierzytelniania użytkownika przez suplikanta (urządzenie) podczas łączenia się z siecią. EAPOL (EAP przez LAN) jest wykorzystywany do komunikacji pomiędzy suplikantem i wystawcą uwierzytelnienia (switch LAN), który jest odpowiedzialny kontrolę dostępu do terminalu w oparciu o wyniki uwierzytelniania. Informacje odnośnie uwierzytelniania są zarządzane razem przez serwer RADIUS (Remote Authentication Dial In User Service - usługa zdalnego uwierzytelniania użytkowników łączących się za pomocą połączeń typu dial-up), po czym suplikant zostaje uwierzytelniony. Nieprawidłowy dostęp jest niemożliwy, ponieważ ta metoda uwierzytelniania udostępnia zasoby wyłącznie suplikantom uwierzytelnionym przez serwer RADIUS oraz możliwość połączenia z siecią wyłącznie przez wystawcę uwierzytelnienia. Wystawca uwierzytelniania blokuje połączenia z suplikantami nieuwierzytelnionymi przez serwer RADIUS.

Urządzenie obsługuje następujące metody uwierzytelniania:

W przypadku metody EAP-TLS, uwierzytelnianie jest przeprowadzane poprzez wydanie cyfrowego certyfikatu dwustronnie, zarówno dla klienta, jak i serwera RADIUS. Para klucza oraz certyfikat klienta przesłane z urządzenia są weryfikowane za pomocą certyfikatu CA na serwerze RADIUS. Certyfikat serwera przesłany z serwera RADIUS jest weryfikowany przez certyfikat CA w kliencie (urządzenie). Certyfikat CA wykorzystywany do weryfikacji certyfikatu serwera musi być zarejestrowany. Aby uzyskać więcej informacji na temat instalacji certyfikatu CA za pomocą Zdalnego interfejsu użytkownika, patrz "Instalowanie pliku certyfikatu CA." Aby uzyskać więcej informacji na temat rejestracji zainstalowanego pliku certyfikatu CA, patrz "Rejestrowanie/edycja pliku z certyfikatem CA."

Dodatkowo, ustawienia nazwy użytkownika (logowanie) (uwierzytelnianej przez IEEE 802.1X) oraz ustawienia pary klucza (w formacie PKCS#12) a także certyfikat klienta są niezbędne, aby korzystać z EAP-TLS w tym urządzeniu. Po zainstalowaniu pliku pary klucza i certyfikatu klienta za pomocą Zdalnego interfejsu użytkownika (patrz "Instalacja pliku pary klucza i certyfikatu serwera"), należy ustawić parę klucza i certyfikat klienta dla EAP-TLS jako klucz domyślny, za pomocą panelu sterowania urządzenia.

W przypadku metody EAP-TTLS, wyłącznie serwer RADIUS wystawia certyfikat cyfrowy. Certyfikat serwera przesłany z serwera RADIUS jest weryfikowany przez certyfikat CA w kliencie. Certyfikat CA wykorzystywany do weryfikacji certyfikatu serwera musi być zarejestrowany. Aby uzyskać więcej informacji na temat instalacji certyfikatu CA za pomocą Zdalnego interfejsu użytkownika, patrz "Instalowanie pliku certyfikatu CA." Aby uzyskać więcej informacji na temat rejestracji zainstalowanego pliku certyfikatu CA, patrz "Rejestrowanie/edycja pliku z certyfikatem CA."

Co więcej, nazwa użytkownika/loginu uwierzytelnianego przez IEEE 802.1X oraz hasło muszą być ustawione, aby móc korzystać z EAP-TTLS na tym urządzeniu.

Użytkownik może wybrać dwa rodzaje protokoły uwierzytelniania wewnętrznego obsługiwane przez EAP-TTLS: MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2 - protokół uwierzytelniania wzajemnego w wersji 2 Microsoft Challange) lub PAP (Password Authentication Protocol - protokół uwierzytelniania przez hasło). Nie można ustawić obu protokołów jednocześnie MS-CHAPv2 oraz PAP.

W przypadku metody PEAP, wyłącznie serwer RADIUS wystawia certyfikat cyfrowy. Certyfikat serwera przesłany z serwera RADIUS jest weryfikowany przez certyfikat CA w kliencie. Certyfikat CA wykorzystywany do weryfikacji certyfikatu serwera musi być zarejestrowany. Aby uzyskać więcej informacji na temat instalacji certyfikatu CA za pomocą Zdalnego interfejsu użytkownika, patrz "Instalowanie pliku certyfikatu CA." Aby uzyskać więcej informacji na temat rejestracji zainstalowanego pliku certyfikatu CA, patrz "Rejestrowanie/edycja pliku z certyfikatem CA."

Co więcej, nazwa użytkownika/loginu uwierzytelnianego przez IEEE 802.1X oraz hasło muszą być ustawione, aby móc korzystać z PEAP na tym urządzeniu.

Jedynym protokołem wewnętrznym obsługiwanym przez PEAP jest MS-CHAPv2.

Aby uzyskać więcej informacji na temat ustawień sieciowych, patrz instrukcja obsługi imagePRESS Server.