802.1 X通过身份验证的有线访问概况_802.1x authentication 适用于有线网络吗-CSDN博客

适用于：Windows Vista、Windows XP、Windows Server 2008、Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8
本文档提供了关于电气和电子工程师协会（IEEE）802.1 X认证访问的介绍性信息，用于IEEE 802.3有线以太网连接。还提供了与资源相关的信息，这些信息与802.1 X认证的有线连接密切相关，或者与有线访问相关。
功能描述
IEEE 802.1 X认证为您的内联网提供了一个额外的安全屏障，您可以使用它来防止客户、流氓或未受管理的计算机无法通过连接到内部网进行成功的认证。
出于同样的原因，管理员在IEEE 802.11无线网络中部署IEEE 802.1 X认证——增强的安全性——网络管理员希望实现IEEE 802.1 X标准，以帮助保护他们的有线网络连接。正如一个经过身份验证的无线客户端必须提交一组凭证，以便在允许将无线帧发送到内部网之前进行验证，IEEE 802.1 X有线客户端还必须在能够通过交换机端口发送流量之前执行身份验证。
重要的术语和技术概述
下面是一些概述，它将帮助您理解部署802.1 X经过身份验证的有线访问所需的各种技术。
IEEE 802.1 x
IEEE 802.1 X标准定义了基于门户的网络访问控制，用于为以太网网络提供经过身份验证的有线访问。这个基于门户的网络访问控制使用交换的局域网（LAN）基础设施的物理特征来对连接到LAN端口的设备进行身份验证。如果身份验证过程失败，则可以拒绝访问端口。尽管这一标准是为有线以太网网络设计的，但它也已被用于802.11无线局域网的使用。
IEEE 802.1 x型有线以太网交换机
要部署802.1 X有线连接，您必须在您的网络上安装和配置一个或多个802.1 X的以太网交换机。这些交换机必须与远程认证拨号用户服务（RADIUS）协议兼容。
当802.1 X和符合辐射的交换机部署在RADIUS基础设施中，使用RADIUS服务器，比如NPS服务器时，它们被称为RADIUS客户机。
IEEE 802.3以太网
IEEE 802.3是一组标准，它定义了有线以太网的层-1（物理层）和层-2（数据链路层媒体访问控制（MAC））。802.3以太网通常是在LAN上实现的，也在一些广域网（WAN）应用程序中实现。
网络策略服务器
网络策略服务器（NPS）允许您使用以下三个组件集中配置和管理网络策略：RADIUS服务器、RADIUS代理和网络访问保护（NAP）策略服务器。NPS被要求部署802.1 X有线连接。
服务器证书
有线访问部署需要每个执行802.1 X身份验证的NPS服务器的服务器证书。
服务器证书是一种数字文档，通常用于身份验证，并帮助在开放网络上获取信息。证书安全地将公钥绑定到持有相应私钥的实体。证书由颁发的认证机构（CA）进行数字签名，并且可以为用户、计算机或服务发布。
CA是一个实体，负责建立和担保属于主体（通常是用户或计算机）或其他CA的公钥的真实性。CA的活动可以包括通过签名证书、管理证书序列号和吊销证书来将公钥绑定到专有名称。
Active Directory证书服务（AD CS）是一个Windows Server 2012服务器角色，它将证书颁发为网络CA。一个AD CS证书基础设施，也称为公钥基础设施（PKI），为企业的颁发和管理证书提供可定制的服务。
学术用途英语
可扩展的认证协议（EAP）扩展了点对点协议（PPP），它允许使用任意长度的凭证和信息交换的附加认证方法。通过EAP身份验证，网络访问客户端和身份验证器（如NPS服务器）必须支持相同的EAP类型，以便成功进行认证。
新的和改变功能
在Windows Server 2012中，有线访问只对Windows Server 2008 R2中提供的有线访问解决方案进行了最小的更改。这一变化为，在默认情况下，将安装隧道的传输层安全性（eap）添加到网络身份验证方法列表中。

扩展企业有线以太网接入的密码使用
如果你有部署有线和无线连接密码的802.1 x认证方法通过以太网交换机和无线访问点,用户non-domain加入了电脑和设备运行Windows 8.1和Windows Server 2012 R2可以自己带设备到您的组织和享受的优势基于密码的凭据重用。
当密码的可扩展身份验证协议(EAP)和保护EAP(PEAP)部署身份验证方法,最终用户可以提供他们的凭证他们第一次连接到您的组织的网络,然后连接到所有他们想要的资源没有被提示反复的凭据,因为凭证存储在本地计算机上以便重用。
这对于连接到多个网络资源的用户尤其有用，比如企业内部网Web站点、企业打印机和业务应用程序。
出于安全考虑，当用户的计算机或设备断开与网络的连接时，存储的凭证就会被丢弃。
当您在您的网络上部署了以下身份验证方法时，该特性可用于运行Windows 8.1和Windows Server 2012 R2的非域连接计算机和设备。
EAP与微软挑战握手协议版本2（EAP-ms-v2）
PEAP-EAP-MS-CHAP v2
与EAP-MS-CHAP EAP-TTLS v2
在Windows 8.1和Windows Server 2012 R2中，这个特性在默认情况下是启用的。如果您以前禁用了它，您可以使用下面的注册表键来禁用或重新启用用户密码存储。

管理新的有线网络（IEEE 802.3）政策设置
适用于：Windows Vista、Windows XP、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows SBS 2008、Windows Server 2012、Windows 8
这个主题提供了关于如何使用有线网络（IEEE 802.3）策略扩展组策略的802.1 X认证的有线以太网访问的详细信息。信息主要分为两个部分：
配置有线网络（IEEE 802.3）策略提供了基于您所选择的认证方法之一的802.1 X身份验证的有线访问的详细信息。
为peap-ms-v2的v2配置一个有线连接配置文件
为peap-tls配置一个有线连接配置文件
为eap-tls配置有线连接配置文件
每个设置的详细信息提供了关于有线网络（IEEE 802.3）策略扩展的个人设置的信息：
通用-设置
安全——设置
有线和无线网络政策的高级安全设置

为peap-ms-v2的v2配置一个有线连接配置文件

这个过程提供了为受保护的可扩展认证协议配置有线访问连接配置文件所需的步骤——Microsoft挑战握手验证协议版本2（peap-ms-v2），通过使用安全密码进行身份验证。
域管理员的成员资格，或同等的，是完成此过程的最低要求。
提示：
有关在有线网络（IEEE 802.3）策略上的任何活动对话框的个别控件的更多信息，请按F1观看该对话框。
为peap-ms-v2的v2配置一个有线连接配置文件
1，如果您还没有这样做，请打开新的有线网络（IEEE 802.3）策略属性对话框。
2，在新的有线网络（IEEE 802.3）策略属性中，在General选项卡上，在保险单名称中，为您的网络策略键入一个名称，或者保留默认名称新的有线网络策略。
3，在描述中，为您的网络策略输入一个描述。
4，为客户选择使用Windows有线自动配置服务，以指定有线自动配置用于配置有线网络适配器设置。
5，为了防止使用共享的用户凭证来为运行Windows 8和Windows 7的计算机进行身份验证，选择不允许共享用户凭证进行网络身份验证。
6，为了指定在一次失败的认证尝试之后，自动身份验证尝试将被阻止的持续时间，选择Enable块周期（分钟）。
7，单击Security选项卡，单击Advanced，然后配置以下内容：
为了配置高级802.1 X设置，在IEEE 802.1 X中，选择执行高级802.1 X设置。
当执行高级802.1 X设置时，Max Eapol-Start Msgs、持有周期、启动期、认证周期和eapolstart消息的默认值对于普通的有线访问部署来说已经足够了。
要启用单点登录，请在此网络上选择Enable单登录。
要指定在用户登录之前或之后执行单点登录，请选择在用户登录之前立即执行，或者在用户登录后立即执行。
要指定最大连接性延迟，请选择Max延时进行连通性（秒），然后指定一个值，或者保留默认值为10。
8，为了指定在单点登录时是否会显示额外的对话框，选择允许在单点登录时显示额外的对话框。
9，如果您的网络被配置为使用不同的VLAN来进行身份验证，它使用的是使用用户凭证的计算机凭证和身份验证，那么选择这个网络使用不同的VLAN来进行身份验证，使用机器和用户凭证。
10，单击OK返回Security选项卡。在选择网络身份验证方法中，选择受保护的EAP（PEAP），然后单击Properties。受保护的EAP属性页打开。
11，在受保护的EAP属性中，验证是否选中了Validate服务器证书。
12，在受信任的根认证机构中，选择将服务器证书颁发给您的计算机运行网络策略服务器（NPS）的可信根认证机构（CA）。
请注意
该设置限制了客户端信任所选ca的根ca。如果没有选中可信的根ca，客户端将信任在其可信根认证权威商店中列出的所有根ca。
选择不提示用户授权新的服务器或可信的认证机构。选择这个设置可以增强用户体验和更好的安全性。
13，在Select认证方法列表中，选择安全密码（eap-ms-v2）。
14，为了使PEAP快速重新连接，选择启用快速连接。
15，如果在您的网络上配置了网络访问保护（小睡），请选择启用隔离检查。否则，清除这个复选框。
16，单击配置。在EAP MSCHAPv2属性对话框中，验证自动使用我的Windows登录名和密码（如果有的话），单击OK，然后单击OK关闭受保护的EAP属性。
17，单击OK关闭Security选项卡，然后再次单击OK关闭Windows Vista有线（IEEE 802.3）网络策略。