当前位置: 165平板网 > 平板知识 > 平板技巧 > 正文

企业安全运维 成功部署802.1X六个秘诀

http://www.com165.com 时间:2012-06-20 10:45来源:IT168



    在网络上部署与支持802.1X验证可能存在一定挑战,但是有些技巧可帮助你节约时间、成本,让你少走弯路。

    对于中小规模的网络而言,你不需要在RADIUS(远程验证拨入用户服务)服务器上投入很多。首先检查路由平台,目录服务或其他服务器是否已经为你提供了RADIUS/AAA。例如,如你用一个Windows Server运行Active Directory,那就要看看Windows Server 2003 R2中的互联网验证服务(IAS)组件以及以前的Windows Server 2008 网络策略服务器(NPS)组件。

    FreeRADIUS是一款完全免费,开源可运行于Linux和其他Unix类操作系统上。它可以服务的用户量从十几个到上百万不等。默认状态下,FreeRADIUS有一个命令行界面,而设置更改则可通过编辑配置文件来实现。配置具有高度自定义特征,而开源又可以让用户对软件代码做出更改。

    还有两款相当低成本的产品是ClearBox和Elektron,二者都运行于Windows,且提供30免费试用期。

    还有基于云的服务,如AuthenticateMy WiFi,可以为802.1X提供托管RADIUS服务器,它非常适合于那些不想投入时间和资源创建自有RADIUS服务的人。

    3. 为简易部署购买数字证书

    你可以用自己的证书授权创建自签署证书,但是必须将证书授权的根证书加载到终端用户电脑和设备上执行服务器验证。

    你也可以从第三方证书授权处购买用于RADIUS服务器的数字证书,像VeriSign,Comodo和GoDaddy都是Windows和其他操作系统信任的,所以对于大多数电脑和设备而言,不需要太担心分配根证书的问题。

    记住,你要分配三个要素:RADIUS服务器证书授权的根证书,如果使用EAP-TLS的话则是用户证书;网络;802.1X设置。

    它支持根证书授权证书,网络和802.1X设置的分配。此外,你可以将其配置为 添加/删除其他网络配置文件,更改网络优先性,然后打开NAP/SoH。它甚至可以为IE,Firefox配置自动或手动代理服务器设置,还可以添加/删除联网的打印机。

    在Windows,Mac OS X,Linux,Android和iOS设备上,XpressConnect都支持根证书授权的分配以及任意用户证书,网络以及802.1X设置。对于TTLS而言,它还支持SecureW2 TTLS的安装。XpressConnect是基于云的方案,在此方案中,你可以将网络设置定义到Web控制台,然后它会创建一个向导,让你对用户进行配置。

    还有一些用于某些移动操作系统的指定方案可用于802.1X和其他网络设置的分配,如iPhone Configuration Utility,BlackBerry Enterprise Server Express。

    在Windows环境下,你需要对EAP属性中启用/配置好的三个关键设置进行验证:

    2)连接这些服务器:RADIUS服务器上的证书中列出的

    在Windows Vista或更新的系统中,用户首次登录时,会自动启用前面两个设置并对其进行配置。但是,最后一个设置必须手动启用或是通过群策略或其他分配方法启用。而在XP中,用户必须对所有设置进行手动配置,或者用户可以使用群策略或另一种分配方式。

    6. 保护RADIUS服务器

    当产生要推入NAS客户列表或RADIUS服务器数据库的共享机密时,使用独一无二的强密码。由于用户不需要知道或是记住这些秘密,所以密码要尽可能长而复杂。

    小结

    

    【免责声明】本文仅代表作者个人观点,与165平板网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件内容有任何疑问或质疑,请联系本网将迅速给您回应并做处理。