Windows域与802.1x统一认证技术白皮书

Windows 域与802.1x 统一认证技术白皮书1 技术背景介绍1.1 Windows域Windows 域是一种应用层的用户及权限集中管理技术。当用户通过Windows 系列操作系统的登录界面

Windows 域与802.1x 统一认证技术白皮书

1 技术背景介绍

1.1 Windows域

Windows 域是一种应用层的用户及权限集中管理技术。当用户通过Windows 系列操作系统的登录界面成功登录Windows 域后，就可以充分使用域内的各种共享资源，同时接受Windows 域对用户访问权限的管理与控制。目前，很多企业、机构和学校都使用域来管理网络资源，用于控制不同身份的用户对网络应用及共享信息的使用权限。

1.2 802.1x

802.1x 是一种网络接入层的用户访问控制和认证技术，可以限制未经授权的用户访问企业局域网络。在用户认证通过之前，802.1x 协议只允许认证报文通过以太网端口；认证通过以后，正常的数据报文才可以顺利地通过以太网端口。802.1x 技术在以太网络环境中提供了一种灵活的、认证和业务分离的网络接入控制手段。

1.3 Windows域和802.1x 统一认证面临的难题

随着企业信息化进程的深入推进，很多企业已经建立了基于Windows 域的信息管理系统，通过Windows 域管理用户访问权限和应用执行权限。然而，基于Windows 的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，任何用户均可随意接入企业网络，就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，企业网络的管理者希望借助802.1x 认证实现对网络接入用户的身份识别和权限控制。

但是，将802.1x 接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到了棘手的问题：

问题一：Windows 域登录认证要求用户必须首先接入网络，建立用户与域控制器间的网络连接，然后才可以登录并进入桌面。而一般的802.1x 认证需要用户首先进入桌面，然后才可以进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了尖锐的矛盾，导致使用802.1x 进行网络接入认证的用户无法登录到Windows 域。

问题二：Windows 域与802.1x 认证服务器各自拥有专用的用户身份识别和权限控制信息，造成用户接入网络和登录Windows 域时需要使用两套用户名和密码，给用户的使用带来不少操作上的麻烦。

如何解决目前Windows 域登录与802.1x 认证之间存在的尖锐矛盾，统一企业网中802.1x 接入认证与Windows 域认证，全面简化用户操作，实现网络接入与Windows 域的单点一次性统一认证登录，是目前许多企业网用户迫切需要解决的问题。

2 解决方案介绍

通过对802.1x 认证流程和Windows 域登录流程的深入研究，H3C 技术有限公司提出了Windows 域与802.1x 统一认证解决方案，平滑地解决了两种认证流程之间的矛盾，成

功实现了单点认证功能，极大的简化了客户的认证操作流程，避免了用户二次认证的烦琐。是认证技术领域内的一次技术突破。该解决方案的关键在于两个“同步”过程：

(1) 同步Windows 域登录与802.1x 认证流程——H3C 公司的EAD 策略服务器与iNode 客户端配合实现认证流程的同步。

(2) 同步Windows 域用户与802.1x 接入用户的身份信息（用户名、密码）——EAD 策略服务器通过LDAP 接口实现用户信息的同步。

Windows 域与802.1x 单点统一认证的流程如下。

● 802.1x 接入认证阶段

(1) 安装有H3C iNode智能客户端的用户终端开机后进入普通的域登录界面

(2) 用户按一般的域登录流程输入用户名、密码和域名，点击登录按钮

(3) iNode 智能客户端截获Windows 域登录请求，使用域登录输入的用户名、密码同步发起802.1x 认证

(4) 802.1x 认证请求通过交换机转发到EAD 策略服务器，进行802.1x 接入身份认证

● 认证转发阶段

(1) EAD 策略服务器将用户认证请求通过LDAP 接口转发到Windows 域控制器，进行Windows 域用户名、密码验证

(2) 通过Windows 域控制器的身份认证后，再由EAD 策略服务器向用户终端授权网络访问权限

● 域认证阶段

(1) 认证通过并获得网络访问权限的用户终端通过iNode 客户端的控制，继续进行域登录认证

(2) Windows 操作系统继续完成普通的域登录流程，获取应用资源访问权限

通过以上的统一认证流程，用户只需按照正常的域登录操作，即可同时完成802.1x 接入认证和Windows 域登录认证，达到了统一认证和单点登录的目的。

3 实际组网应用

在实际的组网应用中，必须通过H3C iNode 智能客户端和EAD 策略服务器的配合才能完成Windows 域与802.1x 统一认证的实施，将802.1x 认证无缝的集成到用户现有的网络体系当中，在不改造现有网络应用环境的前提下，轻松实现Windows 域和802.1x 的单点统一认证功能。

实施Windows 域与802.1x 统一认证，只需在EAD 策略服务器系统中进行以下简单操作：

(1) 安装EAD 策略服务器平台、LAN 接入和LDAP 组件——由于Windows 域控制器使用微软的Active Directory （Active Directory是微软管理Windows 域的一种LDAP 服务器）管理用户及权限信息，只有安装LDAP 组件，EAD 策略服务器才能实现与Windows 域同步用户信息；

(2) 在LDAP 服务器管理界面中配置域控制器信息；

(3) 将Windows 域用户信息同步至EAD 策略服务器——使用LDAP 用户导出功能，将Windows 域用户的信息导出到文件，然后使用EAD 策略服务器的用户信息批量导入功能将Windows 域用户信息加入到EAD 策略服务器中；

(4) 在用户终端安装H3C iNode智能客户端；

(5) 按一般的802.1x 认证的要求配置接入交换机。

4 实施效果

在应用H3C 的Windows 域与802.1x 单点统一认证解决方案后，企业网络应用的安全性和可管理性将极大增强：

(1) 增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。

(2) 增强了Windows 域的安全性，用户必须通过802.1x 认证才能访问并登录到Windows 域中，提高了域内应用资源的安全性。

(3) 解决了Windows 域登录与802.1x 不能兼容的矛盾。

(4) 透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。

(5) 实现了网络接入与Windows 域的单点登录，方便用户的使用与操作，减少用户同时记忆两套用户名与密码的烦琐。

(6) 实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全性。

5 结论

H3C 公司的Windows 域与802.1x 统一认证技术，是安全认证技术领域内的一次新突破，解决了企业复杂IT 环境中的多层次安全认证的统一问题。Windows 域与802.1x 统一认证技术是H3C EAD策略服务器众多领先技术中的一项，EAD 策略服务器将持续秉承“客户第一”的设计理念，“想客户之所想，做客户之所需”，凭借对企业IT 应用的深入理解，为企业打造稳定、安全的可信IT 应用环境。

Copyright ©2003-2008 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。