Настройка клиента для выполнения аутентификации по стандарту 802.1x

Если для аутентификации в корпоративной сети применяется компонент LAN Enforcer, то на компьютере клиента должна быть настроена аутентификация по стандарту 802.1x. Эта настройка может выполняться администратором или пользователями. Администратор может разрешить или запретить пользователям настраивать параметры аутентификации по стандарту 802.1x.

Процесс аутентификации по стандарту 802.1x состоит из следующих шагов.

Для работы с LAN Enforcer клиент может использовать запрашивающее устройство независимого поставщика или встроенное запрашивающее устройство.

Табл.: Опции аутентификации по протоколу 802.1x описывает опции аутентификации 802.1x.

Табл.: Опции аутентификации по протоколу 802.1x

Опция

Описание

Запрашивающее устройство независимого поставщика

Использует запрашивающее устройство 802.1x независимого поставщика.

LAN Enforcer использует сервер RADIUS и запрашивающее устройство 802.1x независимого поставщика для аутентификации пользователя. Запрашивающее устройство 802.1x запрашивает информацию о пользователе. LAN Enforcer отправляет эту информацию на сервер RADIUS для аутентификации отдельного пользователя. Клиент отправляет свой профиль и состояние целостности хоста компоненту Enforcer, который применяет эти сведения для аутентификации компьютера.

Примечание:

Если вместе с клиентом Symantec Network Access Control планируется применять запрашивающее устройство независимого поставщика, то должен быть установлен модуль защиты от сетевых угроз клиента Symantec Endpoint Protection.

Прозрачный режим

Использует клиент в качестве запрашивающего устройства 802.1x.

Выберите этот режим, если администратор не планирует применять сервер RADIUS для аутентификации пользователей. Когда LAN Enforcer работает в прозрачном режиме, он выполняет функцию псевдосервера RADIUS.

В прозрачном режиме запрашивающее устройство не запрашивает ввод данных пользователя. Функции запрашивающего устройства 802.1x выполняет клиент. В ответ на запрос EAP коммутатора клиент отправляет профиль и состояние целостности хоста. Коммутатор пересылает эту информацию в LAN Enforcer, который играет роль псевдосервера RADIUS. LAN Enforcer проверяет полученную от коммутатора информацию о целостности хоста и профиле клиента, а затем в зависимости от результатов проверки разрешает или блокирует доступ или же динамически назначает VLAN.

Примечание:

Для применения клиента в качестве запрашивающего устройства 802.1x на компьютере клиента необходимо удалить или выключить все запрашивающие устройства 802.1x независимых поставщиков.

Встроенное запрашивающее устройство

Позволяет использовать встроенное запрашивающее устройство 802.1x на компьютере клиента.

В число встроенных протоколов аутентификации входят Smart Card, PEAP и TLS. После включения аутентификации по стандарту 802.1x следует выбрать один из этих протоколов.

Предупреждение!

Перед настройкой аутентификации по стандарту 802.1x в клиенте обратитесь к администратору. Узнайте, применяется ли сервер RADIUS для аутентификации в корпоративной сети. Неправильная настройка аутентификации по стандарту 802.1x может привести к разрыву соединения с сетью.

Настройка клиента для работы с запрашивающим устройством независимого поставщика

  1. На боковой панели клиента выберите Состояние.

  2. В разделе "Управление доступом к сети" щелкните Параметры > Изменить параметры > Параметры 802.1x.

  3. В диалоговом окне Параметры управления доступом к сети выберите Включить аутентификацию 802.1x.

  4. Нажмите кнопку ОК.

    Дополнительно требуется настроить правило брандмауэра, позволяющее работать в сети драйверам запрашивающего устройства 802.1x независимого поставщика.

    См. Добавление правила брандмауэра.

    Клиент можно настроить для применения встроенного запрашивающего устройства. Для этого нужно включить в клиенте как аутентификацию по стандарту 802.1x, так и поддержку запрашивающего устройства 802.1x.

Настройка клиента для использования прозрачного режима или встроенного запрашивающего устройства

  1. На боковой панели клиента выберите Состояние.

  2. В разделе "Управление доступом к сети" щелкните Параметры > Изменить параметры > Параметры 802.1x.

  3. В диалоговом окне Параметры управления доступом к сети выберите Включить аутентификацию 802.1x.

  4. Выберите Использовать клиент как запрашивающее устройство 802.1x.

  5. Выполните одно из следующих действий.

    • Для включения прозрачного режима включите переключатель Использовать прозрачный режим Symantec.

    • Для настройки встроенного запрашивающего устройства включите переключатель Разрешить пользователю выбирать протокол аутентификации.

      После этого необходимо выбрать протокол аутентификации для сетевого соединения.

  6. Нажмите кнопку ОК.

Выбор протокола аутентификации

  1. На клиентском компьютере выберите Пуск > Настройка > Сетевые соединения, затем выберите Подключение по локальной сети.

    Примечание:

    Эти шаги написаны для компьютеров под управлением Windows XP. В вашем случае эта процедура может быть другой.

  2. В диалоговом окне Состояние соединения по локальной сети нажмите кнопку Свойства.

  3. В диалоговом окне Свойства соединения по локальной сети откройте вкладку Аутентификация.

  4. На вкладке Аутентификация разверните список Тип EAP и выберите один из протоколов аутентификации.

    Убедитесь, что включен переключатель Включить проверку подлинности IEEE 802.1x для этой сети.

  5. Нажмите кнопку ОК.

  6. Нажмите кнопку Закрыть.

См. Как работает программа Symantec Network Access Control.