Настройка клиента для выполнения идентификации 802.1x

Если для идентификации в корпоративной сети применяется компонент LAN Enforcer, то на компьютере клиента должна быть настроена идентификация 802.1x. Эта настройка может выполняться администратором или пользователями. Администратор может разрешить или запретить пользователям настраивать параметры идентификации 802.1x.

Процесс идентификации 802.1x состоит из следующих этапов:

Неидентифицированный клиент или запрашивающая сторона независимого поставщика отправляет информацию о пользователе и соответствии требованиям в управляемый сетевой коммутатор 802.1х.
Сетевой коммутатор пересылает эту информацию в компонент LAN Enforcer. LAN Enforcer отправляет информацию о пользователе на сервер идентификации для ее проверки. Роль сервера идентификации выполняет сервер RADIUS.
Если клиент не проходит идентификацию пользователя или не соответствует требованиям политики целостности хоста, то компонент Enforcer может блокировать доступ к сети. Enforcer помещает такой компьютер клиента в сеть карантина для исправления.
После того как клиент исправляет компьютер и приводит его в соответствие требованиям, протокол 802.1x повторно идентифицирует компьютер и предоставляет ему доступ к сети.

Для работы с компонентом LAN Enforcer клиент может использовать запрашивающую сторону независимого поставщика или встроенную запрашивающую сторону.

В Табл.: Параметры идентификации 802.1x описаны параметры идентификации 802.1x.

Табл.: Параметры идентификации 802.1x

Параметр

Описание

Запрашивающая сторона независимого поставщика

Применяется запрашивающая сторона 802.1x независимого поставщика.

Компонент LAN Enforcer использует сервер RADIUS и запрашивающую сторону 802.1x независимого поставщика для идентификации пользователя. Запрашивающая сторона 802.1x предлагает пользователю указать идентификационную информацию, которая передается компонентом LAN Enforcer на сервер RADIUS для проверки. Клиент отправляет свой профиль и состояние целостности хоста компоненту Enforcer, который применяет эти сведения для идентификации компьютера.

Примечание:

Если вместе с клиентом Symantec Network Access Control планируется применять запрашивающую сторону независимого поставщика, то должен быть установлен модуль защиты от угроз из сети клиента Symantec Endpoint Protection.

Прозрачный режим

Позволяет использовать клиент в качестве запрашивающей стороны 802.1x.

Выберите этот режим, если администратор не планирует применять сервер RADIUS для идентификации пользователей. Когда LAN Enforcer работает в прозрачном режиме, он выполняет функцию псевдо-сервера RADIUS.

В прозрачном режиме запрашивающая сторона не предлагает пользователю ввести идентификационную информацию. В таком режиме функции запрашивающей стороны 802.1x выполняет клиент. В ответ на запрос EAP коммутатора клиент отправляет профиль и состояние целостности хоста. Коммутатор пересылает эту информацию в LAN Enforcer, который играет роль псевдо-сервера RADIUS. LAN Enforcer проверяет полученную от коммутатора информацию о целостности хоста и профиле клиента, а затем разрешает доступ, блокирует доступ или динамически присваивает VLAN в зависимости от результатов проверки.

Примечание:

Для применения клиента в качестве запрашивающей стороны 802.1x на компьютере клиента необходимо удалить или выключить все запрашивающие стороны 802.1x независимых поставщиков.

Встроенная запрашивающая сторона

Позволяет использовать встроенную запрашивающую строну 802.1x на компьютере клиента.

В число встроенных протоколов идентификации входят Smart Card, PEAP и TLS. После включения идентификации 802.1x следует выбрать один из этих протоколов.

Предупреждение!

Перед настройкой идентификации 802.1x на клиенте обратитесь к администратору. Узнайте, применяется ли сервер RADIUS для идентификации в корпоративной сети. Неправильная настройка идентификации 802.1x может привести к разрыву соединения с сетью.

Как настроить клиент для работы с запрашивающей стороной независимого поставщика

На боковой панели клиента выберите Состояние.
Рядом с пунктом Network Access Control выберите пункт Параметры > Изменить параметры > Параметры 802.1x.
В окне "Параметры Network Access Control" выберите Включить идентификацию 802.1x.
Нажмите кнопку ОК.

Дополнительно требуется настроить правило брандмауэра, позволяющее работать в сети драйверу запрашивающей стороны 802.1x независимого поставщика.

См. Добавление правила брандмауэра.

Клиент можно настроить для применения встроенной запрашивающей стороны. Для этого нужно включить на клиенте как идентификацию 802.1x, так и поддержку запрашивающей стороны 802.1x.

Как настроить клиент для применения прозрачного режима или встроенной запрашивающей стороны

На боковой панели клиента выберите Состояние.
Рядом с пунктом Network Access Control выберите пункт Параметры > Изменить параметры > Параметры 802.1x.
В окне "Параметры Network Access Control" выберите Включить идентификацию 802.1x.
Выберите Использовать клиент как запрашивающую сторону 802.1x.
Выполните одно из следующих действий:
- Для включения прозрачного режима выберите пункт Использовать прозрачный режим Symantec.
- Для настройки встроенной запрашивающей стороны выберите пункт Разрешить пользователю выбирать протокол идентификации.
  
  После этого необходимо выбрать протокол идентификации для сетевого соединения.
Нажмите кнопку ОК.

Как выбрать протокол идентификации

На клиентском компьютере выберите Пуск > Настройка > Сетевые подключения, затем выберите Подключение по локальной сети.
В окне Состояние подключения по локальной сети нажмите кнопку Свойства.
В окне Свойства подключения по локальной сети откройте вкладку Идентификация.
На вкладке Идентификация разверните список Тип EAP и выберите один из следующих протоколов идентификации:
- Смарт-карта или иной сертификат
- Защищенные EAP (PEAP)
- Прозрачный режим Symantec NAC
Убедитесь, что включен переключатель Включить проверку подлинности IEEE 802.1x для этой сети.
Нажмите кнопку OK.
Нажмите кнопку Закрыть.