CAMS实现Windows 域与8021x统一认证解决方案.docx

1 技术背景介绍1.1 Windows域Windows域是一种应用层的用户及权限集中管理技术。当用户通过Windows系列操作系统的登录界面成功登录Windows域后，就可以充分使用域内的各种共享资源，同时接受Windows域对用户访问权限的管理与控制。目前，很多企业、机构和学校都使用域来管理网络资源，用于控制不同身份的用户对网络应用及共享信息的使用权限。1.2 802.1x 802.1x是一种网络接入层的用户访问控制和认证技术，可以限制未经授权的用户访问企业局域网络。在用户认证通过之前，802.1x协议只允许认证报文通过以太网端口；认证通过以后，正常的数据报文才可以顺利地通过以太网端口。802.1x技术在以太网络环境中提供了一种灵活的、认证和业务分离的网络接入控制手段。1.3 Windows域和802.1x统一认证面临的难题随着企业信息化进程的深入推进，很多企业已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，任何用户均可随意接入企业网络，就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，企业网络的管理者希望借助802.1x认证实现对网络接入用户的身份识别和权限控制。但是，将802.1x接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到了棘手的问题：问题一：Windows域登录认证要求用户必须首先接入网络，建立用户与域控制器间的网络连接，然后才可以登录并进入桌面。而一般的802.1x认证需要用户首先进入桌面，然后才可以进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了尖锐的矛盾，导致使用802.1x进行网络接入认证的用户无法登录到Windows域。问题二：Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控制信息，造成用户接入网络和登录Windows域时需要使用两套用户名和密码，给用户的使用带来不少操作上的麻烦。如何解决目前Windows域登录与802.1x认证之间存在的尖锐矛盾，统一企业网中802.1x接入认证与Windows域认证，全面简化用户操作，实现网络接入与Windows域的单点一次性统一认证登录，是目前许多企业网用户迫切需要解决的问题。2 解决方案介绍通过对802.1x认证流程和Windows域登录流程的深入研究，杭州华三通信技术有限公司提出了Windows 域与802.1x统一认证解决方案，平滑地解决了两种认证流程之间的矛盾，成功实现了单点认证功能，极大的简化了客户的认证操作流程，避免了用户二次认证的烦琐。是认证技术领域内的一次技术突破。该解决方案的关键在于两个“同步”过程：1、 同步Windows域登录与802.1x认证流程H3C公司的CAMS综合访问管理服务器系统与iNode客户端配合实现认证流程的同步。2、 同步Windows域用户与802.1x接入用户的身份信息（用户名、密码）CAMS综合访问管理服务器通过LDAP接口实现用户信息的同步。Windows域与802.1x单点统一认证的流程如下：1. 802.1x接入认证阶段1) 安装有H3C iNode智能客户端的用户终端开机后进入普通的域登录界面2) 用户按一般的域登录流程输入用户名、密码和域名，点击登录按钮3) iNode智能客户端截获Windows域登录请求，使用域登录输入的用户名、密码同步发起802.1x认证4) 802.1x认证请求通过交换机转发到CAMS综合访问管理服务器服务器，进行802.1x接入身份认证2. 认证转发阶段1) CAMS将用户认证请求通过LDAP接口转发到Windows域控制器，进行Windows域用户名、密码验证2) 通过Windows域控制器的身份认证后，再由CAMS向用户终端授权网络访问权限3. 域认证阶段1) 认证通过并获得网络访问权限的用户终端通过iNode客户端的控制，继续进行域登录认证2) Windows操作系统继续完成普通的域登录流程，获取应用资源访问权限通过以上的统一认证流程，用户只需按照正常的域登录操作，即可同时完成802.1x接入认证和Windows域登录认证，达到了统一认证和单点登录的目的。3 实际组网应用在实际的组网应用中，必须通过H3C iNode智能客户端和CAMS综合访问管理服务器的配合才能完成Windows域与802.1x统一认证的实施，将802.1x认证无缝的集成到用户现有的网络体系当中，在不改造现有网络应用环境的前提下，轻松实现Windows域和802.1x的单点统一认证功能。实施Windows 域与802.1x统一认证，只需在CAMS系统中进行以下简单操作：1、 安装CAMS服务器平台、LAN接入和LDAP组件由于Windows域控制器使用微软的Active Directory（Active Directory是微软管理Windows域的一种LDAP服务器）管理用户及权限信息，只有安装LDAP组件，CAMS系统才能实现与Windows域同步用户信息；2、 在LDAP服务器管理界面中配置域控制器信息；3、 将Windows域用户信息同步至CAMS服务器使用LDAP用户导出功能，将Windows域用户的信息导出到文件，然后使用CAMS系统的用户信息批量导入功能将Windows域用户信息加入到CAMS系统中；4、 在用户终端安装H3C iNode智能客户端；5、 按一般的802.1x认证的要求配置接入交换机。4 实施效果在应用H3C 的Windows域与802.1x单点统一认证解决方案后，企业网络应用的安全性和可管理性将极大增强：1、增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。2、增强了Windows域的安全性，用户必须通过802.1x认证才能访问并登录到Windows域中，提高了域内应用资源的安全性。3、解决了Windows域登录与802.1x不能兼容的矛盾。4、透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。5、实现了网络接入与Windows域的单点登录，方便用户的使用与操作，减少用户同时记忆两套用户名与密码的烦琐。6、实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全性。5 结论H3C公司的Windows域与802.1x统一认证技术，是安全认证技术领域内的一次新突破，解决了企业复