Параметры аутентификации IEEE 802.1X

В этом разделе приводится описание порядка задания аутентификации IEEE 802.1X.
При аутентификации IEEE 802.1X сервер RADIUS при подключении к сети требует аутентификации пользователей от запрашивающего устройства (аппарата). Для связи между запрашивающим устройством и аутентификатором (переключатель локальной сети), который управляет доступом с терминала на основании результатов аутентификации, используется протокол EAPOL (EAP over LAN). Управление информацией для аутентификации выполняется совместно с сервером RADIUS (Remote Authentication Dial In User Service), а затем происходит аутентификация запрашивающего устройства. Несанкционированный доступ можно предотвратить, так как при этом способе аутентификации подключение к сети через аутентификатор разрешено только для тех запрашивающих устройств, которые аутентифицированы сервером RADIUS. Аутентификатор блокирует связь для запрашивающих устройств, не аутентифицированных сервером RADIUS.
Аппарат поддерживает следующие способы аутентификации:

EAP-TLS (Extensible Authentication Protocol-Transport Level Security)

При использовании способа EAP-TLS аутентификация выполняется путем двустороннего выпуска цифрового сертификата как клиенту, так и серверу RADIUS. Криптографическая пара и сертификат клиента, отправленные с аппарата, проверяются с помощью сертификата CA на сервере RADIUS. Сертификат сервера, отправленный с сервера RADIUS, проверяется с помощью сертификата CA на клиенте (аппарат). Необходимо зарегистрировать сертификат CA, используемый для проверки сертификата сервера. Сведения об установке сертификата CA с помощью удаленного ИП см. в разделе "Установка файла сертификата CA". Указания по регистрации установленного файла сертификата CA см. в разделе "Регистрация/редактирование сертификата CA".
Кроме того, для использования способа EAP-TLS для аппарата необходима настройка параметров имени пользователя для входа в систему (подлежащее аутентификации IEEE 802.1X), а также параметров криптографической пары (в формате PKCS#12) и сертификата клиента. Выполнив установку файла криптографической пары и файла сертификата клиента с помощью удаленного ИП (см. раздел "Установка файла криптографической пары и сертификата сервера"), задайте на панели управления аппарата криптографическую пару и сертификат клиента для EAP-TLS в качестве ключа по умолчанию.

EAP-TTLS (EAP-Tunneled TLS)

При использовании способа EAP-TTLS цифровой сертификат выпускает только сервер RADIUS. Сертификат сервера, отправленный с сервера RADIUS, проверяется с помощью сертификата CA на клиенте. Необходимо зарегистрировать сертификат CA, используемый для проверки сертификата сервера. Сведения об установке сертификата CA с помощью удаленного ИП см. в разделе "Установка файла сертификата CA". Указания по регистрации установленного файла сертификата CA см. в разделе "Регистрация/редактирование сертификата CA".
Кроме того, для использования способа EAP-TTLS для аппарата необходимо задать имя пользователя/имя пользователя для входа в систему, подлежащее аутентификации IEEE 802.1X, и пароль.
Пользователь может выбирать протоколы внутренней аутентификации, поддерживаемые EAP-TTLS, двух типов: MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) или PAP (Password Authentication Protocol). MS-CHAPv2 и PAP нельзя задавать одновременно.

PEAP (Protected EAP)

При использовании способа PEAP цифровой сертификат выпускает только сервер RADIUS. Сертификат сервера, отправленный с сервера RADIUS, проверяется с помощью сертификата CA на клиенте. Необходимо зарегистрировать сертификат CA, используемый для проверки сертификата сервера. Сведения об установке сертификата CA с помощью удаленного ИП см. в разделе "Установка файла сертификата CA". Указания по регистрации установленного файла сертификата CA см. в разделе "Регистрация/редактирование сертификата CA".
Кроме того, для использования способа PEAP для аппарата необходимо задать имя пользователя/имя пользователя для входа в систему, подлежащее аутентификации IEEE 802.1X, и пароль.
PEAP поддерживает единственный протокол внутренней аутентификации MS-CHAPv2.
Подробные сведения о настройках сети см. в руководстве по эксплуатации модуля imagePRESS Server.

ВАЖНО
Способ EAP-TLS и способ EAP-TTLS/PEAP нельзя задавать одновременно.
6Y5L-17K