超级会员免费看
802.1X/EAP 认证:网络安全的多重防线
1. 机器认证概述
在无线局域网(WLAN)中,802.1X/EAP 通常用于对用户进行认证和授权,以确保其能够访问网络。但实际上,计算机设备也可以通过这一机制获得授权,这就是机器认证。机器认证是指在一个独立但相互关联的认证过程中,确保请求访问网络的设备是经过授权的。在 Active Directory 环境中,机器认证常被用作额外的安全层。
当基于 Windows 的计算机加入 Active Directory 时,会创建一个计算机账户,并在计算机和 AD 之间协商一个唯一的密码。在 Windows 系统中,机器凭证基于系统标识符(SID)值,该值在计算机加入带有 Active Directory 的 Windows 域后存储在 Windows 域计算机上。每个 AD 机器的 SID 信息都是唯一的。
即使没有用户登录,计算机账户也可用于识别机器,并为其提供网络访问权限。不过,机器通常不需要对整个网络进行完全访问,其访问权限往往受到很大限制。机器认证主要是通过 802.1X/EAP 验证计算机是否被授权访问企业网络,之后可以通过 802.1X/EAP 用户认证来授予进一步的访问权限。例如,计算机在机器认证后可能会被分配到一个特定的 VLAN,而在用户认证后会过渡到另一个不同的 VLAN。
在图 4.18 的高级设置中,默认选择“用户或计算机认证”模式。如果计算机是域的一部分,启动时将使用计算机域账户进行认证,此时计算机在 RADIUS 服务器日志中会以“HOST\计算机名”作为用户名进行认证。用户登录计算机后,Windows 会使用用户名再次进行认证,并结束机器认证会话。用户注销后,Windows 会再次切换到
订阅专栏 解锁全文
扫一扫
1043
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
