|
Приветствую!
Имеется большая сеть (порядка 400 ПК) и сетевое оборудования D-Link, Cisco. Хочется развернуть протокол 802.1х для ограничения доступа к сети. Коммутаторы протокол 802.1х понимают.
Как должен работать данный протокол пока не представляю. Перечитал много литературы, но не помогло. Хочется понять логику. Как мне представляется работа (и что было сделано):
1. На коммутаторе (например D-Link 3010FL) включается поддержка 802.1х на базе мак адресов
enable 802.1x
config 802.1x auth_mode mac_based
2. Настраиваем клиентские порты
config capability ports 1-8 authenticator
3. Настраиваем параметры RADIUS
config radius add 1 10.90.90.95 key 111111 default
4. На windows 2003 установлен IAS и добавлен коммутатор в качестве радиус клиента с паролем 111111
5. На ПК пользователя (XP SP3) в св-вах сетевого подключения была выбрана проверка подлинности 802.1х MD5
Было решено вначале пойти по простому пути (без радиус сервера) с использованием локального списка пользователей созданных на коммутаторе.
Итак, компьютер пользователя загружается, дело доходит до ввода логина и пароля пользователя из домена (не тот что на коммутаторе). Пароль вводится, появляется рабочий стол, и только потом проходит настройка сети: выводится окно с приглашением ввода логина и пароля на коммутаторе. Имя и пароль введены - сеть появилась...
После того, как пользователь авторизировался на свиче, при следующих перезагрузках он автоматом подключается к сети и (что самое страшное) компьютер пользователя может работать на любом порту свича (что не допустимо)
Вопросы:
1. Как сделать, чтобы приглашение на авторизацию от свича приходило раньше, чем от ОС для входа в домен???? (комп жутко долго грузиться)
2. Что нужно настроить, чтобы приглашение на авторизацию от свича появлялось каждый раз при каждом включении ПК пользователя???
Заранее всем спасибо!!!!
|
Вход
Регистрация
FAQ
Поиск
