计算机访问限制利弊-先决条件.PDFVIP

目录 简介 先决条件 要求 使用的组件 问题 3月作为解决方案 专业人员 缺点 3月和Microsoft Windows请求方 3月和多种RADIUS服务器 3月和有线的无线交换 解决方案 简介 本文描述问题遇到与计算机访问限制(3月)，并且提供解决方案给问题。 使用私有拥有的设备增长，重要的是为了系统管理员能提供方式仅限制对网络的某些部分的访问到 公司拥有的资产。在本文注意事项描述的问题如何安全地识别这些关注方面和验证他们，不用中断 到用户连接。 先决条件 要求 思科建议您有802.1x知识为了充分地了解本文。本文假设与用户802.1x验证的熟悉，并且突出显示 问题和优点通常附加对使用3月，和，计算机验证。 使用的组件 本文档不限于特定的软件和硬件版本。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中???用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 问题 基本上毁损尝试解决常见问题内在大多当前和普遍的可扩展的认证协议(EAP)方法，即该计算机验 证和用户认证是独立，无关的进程。 用户认证是跟熟悉多数系统管理员的802.1x认证方法。想法是凭证(用户名/密码)给给每个用户，并 且套凭证代表一个物理人(可以共享在几人之间)。所以，用户能从与那些凭证的任何地方网络登录 。 计算机验证技术上是相同的，但是没有典型地提示用户输入凭证(或证书);计算机或计算机独自地执 行那。这要求计算机已经有存储的凭证。在您的计算机有MyPCHostname 设置作为主机名条件 下，发送的用户名是host/MyPCHostname。换句话说，它发送您的主机名跟随的主机。 虽然与Microsoft Windows和思科活动目录不直接地涉及，此进程更加容易地被回报，如果计算机加 入对活动目录，因为计算机主机名被添加到域数据库，并且凭证在计算机协商(默认情况下和更新了 每30天)并且存储。这意味着计算机验证从任一种设备是可能的，但是被回报更加容易地和透明地 ，如果计算机加入对活动目录和从用户隐藏的凭证逗留。 3月作为解决方案 说是容易的解决方案是为思科结束的访问控制系统(ACS)或的思科身份服务引擎(ISE) 3月，但是有 要考虑的优点和缺点，在这实现前。如何在ACS或ISE用户指南此是最佳描述的实现，因此本文是 否描述考虑它和一些可能的路障。 专业人员 因为用户和计算机认证完全分开， 3月被发明了。所以， RADIUS服务器不能强制执行用户必须从 公司拥有的设备登录的验证。使用3月， RADIUS服务器(ACS或ISE，在思科旁拉)为一给的用户认 证强制执行，必须有一有效计算机验证在X先于用户认证同一个终端的小时(典型地8个小时，但是此 可配置)。 所以，计算机验证典型地成功，如果计算机凭证由RADIUS服务器知道，如果计算机加入对域，并 且RADIUS服务器验证此与对域的一连接。它完全地是至确定的网络管理员一成功的计算机验证是 否提供对网络的完全权限，或者仅限制访问;一般，这至少打开连接在客户端和活动目录之间，以便 客户端可进行这样操作象用户密码或下载组策略对象(GPOs)的续订。 如果用户认证来自计算机验证未在上一个两个小时内出现的设备，则用户拒绝，即使用户通常有效 。 完全权限只授权对用户，如果验证从计算机验证在过去两个小时内出现的终端是有效和完成。 缺点 此部分描述3月使用负面因素。 3月和Microsoft Windows请求方 在3月后的想法是那为了用户认证能成功，不仅必须用户有有效凭证，但是必须从该客户端记录一成 功的计算机验证。如果有与该的任何问题，用户不能验证。出现的问题是此功能有时疏忽地能停工 一个合法客户端，迫使客户端重新启动为了收复对网络的访问。 (当登录画面出现)时， Microsoft Windows仅执行计算机验证在引导时间;当用户输入用户凭证，用 户认证进行。并且，如果用户注销(回归到登录画面)，一新的计算机验证执行。 这是显示的示例情形3月为什么有时引起问题： 用户x在他的笔记本电脑整天工作，通过无线连接连接。当晚，他结束笔记本电脑，并且分支工作。 这放置笔记本电脑到冬眠。次日，他回来到办公室并且打开他的笔记本电脑。现在，他无法建立无 线连接。 当Microsoft Windows冬眠时，它在其当前状态采取系统的快照，包括谁的上下文登陆。隔夜，用户 笔记本电脑的3月被缓存的条目超时和清除。然而，当笔记本电脑启动时，它不执行一计算机验证。 它进入直通用户认证，因为那是什么冬眠记录了。解决此的唯一方法是记录用户，或者重新启动他 的