Настройка EAP-TLS с проверкой подлинности имени принтера

Перед началом работы

Эта инструкция применяется к методу проверки подлинности [Имя принтера из домена; EAP-TLS] . Этот тот метод проверки подлинности, который вы выбрали на PRISMAsync Print Server.

Приведенные ниже инструкции относятся к Windows Server 2016. Для других систем может требоваться другая конфигурация. Полные инструкции см. в документации поставщика.

Настроены следующие конфигурации.

1. Настройте IEEE 802.1X на сервере проверки подлинности (этап 1)

2. Настройте IEEE 802.1X на аутентификаторе

3. Настройте IEEE 802.1X на PRISMAsync Print Server

Выполните инструкции в указанном порядке.

Инструкция 1. В Active Directory создайте группу в домене

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [Active Directory Users and Computers].

3. Правой кнопкой мыши щелкните [New]. Затем щелкните [Group].

4. Введите имя для группы.

   Новая группа

5. Выберите [Global] в группе параметров [Group scope].

6. Выберите [Security] в группе параметров [Group type].

7. Щелкните [OK].

Инструкция 2. В Active Directory добавьте имя принтера в качестве имени компьютера

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [Active Directory Users and Computers].

3. Разверните записи домена.

4. Щелкните правой кнопкой мыши [Computers].

5. Щелкните [New]. Затем щелкните [Computer].

6. Введите имя узла принтера.

   DNS использует имя узла и добавляет к этому имени иерархию домена DNS, чтобы создать имя FQDN.

   Найдите имя узла в сертификате удостоверения PRISMA Print Server.

   В поле [Альтернативное имя 1 субъекта], [Альтернативное имя 2 субъекта] или [Альтернативное имя 3 субъекта] содержится содержимое поля [Обычное имя]. Это имя принтера Fully Qualified Domain Name (FQDN), например: hostname.example.net. Здесь необходимо ввести часть FQDN, представляющую имя узла.

   Новый компьютер

7. Щелкните [OK].

8. После того как будет добавлено имя принтера, щелкните имя правой кнопкой мыши. Затем щелкните [Properties].

9. Нажмите вкладку [Member Of], чтобы выбрать группу, которую вы создали при выполнении инструкции 1.

   Выбор группы

10. Откройте вкладку [Dial-in].

11. В группе параметров [Network Access Permission] выберите [Control access through NPS Network Policy].

    Параметры [Dial-in]

12. Щелкните [OK].

13. Откройте редактор ADSI Edit.

    Редактор ADSI Edit

14. Перейдите к каталогу CN=Computers.

15. Правой кнопкой мыши щелкните имя принтера и выберите [Properties].

16. Выберите [servicePrincipalName] и нажмите [Edit].

17. Введите имя принтера в соответствии со следующим форматом: host/<hostname>.<DNS domain hierarchy> . Например, host/PRISMAprinter.ft5.cppvenlo.cpp.net.

18. Щелкните [OK].

Инструкция 3. На сервере проверки подлинности настройте политику сети для EAP-TLS с проверкой подлинности имени принтера

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [Active Directory Users and Computers].

3. Откройте каталог [Policies].

4. Щелкните правой кнопкой мыши [Network Policies]. Затем щелкните [New], чтобы открыть мастер [New Network Policy].

5. Введите имя политики.

   Мастер [New Network Policy]

6. Убедитесь, что для параметра [Type of network access server] выбрано значение [Unspecified].

7. Щелкните [Next].

8. На странице [Specify Conditions] нажмите [Add...]. Затем выберите [Machine Groups].

   Мастер [New Network Policy]

9. Нажмите [Add...], чтобы добавить и выбрать группу, которую вы создали при выполнении инструкции 1.

   Мастер [New Network Policy]

10. Нажмите [OK], чтобы закрыть диалоговое окно [Select Group].

11. Щелкните [Next].

    Мастер [New Network Policy]

12. На странице [Specify Access Permission] выберите [Access granted].

    Мастер [New Network Policy]

13. Щелкните [Next].

14. На странице [Configure Authentication Methods] нажмите [Add...].

    Мастер [New Network Policy]

15. В диалоговом окне [Add EAP] выберите [Microsoft: Smart Card or other certificate].

16. Щелкните [OK].

    Мастер [New Network Policy]

17. Из списка [EAP Types] выберите [Microsoft: Smart Card or other certificate]. Затем щелкните [Edit].

18. В диалоговом окне [Smart Card or other Certificate Properties] выберите сертификат удостоверения сервера RADIUS. Этот сертификат относится к доверенному сертификату, доступному на PRISMAsync Print Server.

    Мастер [New Network Policy]

19. Щелкните [OK].

20. Снимите флажки [Less secure authentication methods], относящиеся к методам проверки подлинности, которые вы не хотите использовать.

    Мастер [New Network Policy]

21. Щелкните [Next].

22. На странице [Configure Constraints] нажмите [Next].

    Мастер [New Network Policy]

23. На странице [Configure settings] нажмите [Next].

    Мастер [New Network Policy]

24. На странице [Completing New Network Policy ] нажмите [Finish].

    Мастер [New Network Policy]

Дополнительная информация

• Протоколы проверки подлинности IEEE 802.1X

• Проверка подлинности, основанная на портах IEEE 802.1X

• Обзор необходимых процедур настройки конфигурации IEEE 802.1X

• Настройка IEEE 802.1X на сервере проверки подлинности (этап 1)

• Настройка IEEE 802.1X на аутентификаторе

• Настройка проверки подлинности, основанной на портах, IEEE 802.1X на PRISMAsync Print Server