En PRISMAsync Print Server-printer kan fungere i et Local Area Network (LAN) beskyttet af IEEE 802.1X. 802.1X gør det som standard muligt at acceptere eller afvise en netværksforbindelse, baseret på id'et for et slutpunkt. Dette slutpunkt kan være en bruger, en enhed eller et program. Så længe slutpunktet ikke er identificeret og bekræftet, er det ikke muligt at få adgang til andre slutpunkter i det beskyttede netværk.
IEEE 802.1X-sikkerhed er baseret på status for klienternes Local Area Network (LAN)-porte. En Local Area Network (LAN)-port, der kan konfigureres af IEEE 802.1X, kan aktiveres eller deaktiveres dynamisk. Resultaterne af IEEE 802.1X-godkendelsesprocessen bestemmer, om porten aktiveres eller ej.
Teksten i rammer i dette emne beskriver IEEE 802.1X-implementeringen i PRISMAsync Print Server.
I IEEE 802.1X skelnes der som standard mellem følgende komponenter: anmoder, godkender og godkendelsesserver.
Anmoder
Den klient, f.eks. PRISMAsync Print Server, der anmoder om adgang til Local Area Network (LAN) og reagerer på anmodninger fra godkenderen.
Godkender
Godkenderen er en kontakt eller router, der styrer den fysiske adgang til netværket. Adgang er baseret på klientens godkendelsesstatus. Godkendelsen udføres af godkendelsesserveren. Godkendelsesserveren er RADIUS (Remote Authentication Dial-In User Service)-serveren i Windows Server.
Godkendelsesserver
Godkendelsesserveren kontrollerer anmoderens id. Branchestandarden for godkendelsesserveren er en RADIUS-server. Network Policy Server (NPS) er en tjeneste, der er inkluderet i Windows Server. Den fungerer som en RADIUS-server til godkendelse af klienter i forhold til Active Directory. RADIUS-serveren oplyser godkenderen om, at klienten er godkendt til at få adgang til det lokale netværk.
IEEE 802.1X-komponenter og deres opgaverSkemaet er en enkel oversigt over, hvordan IEEE 802.1X fungerer.
A. Før porten godkendes, er anmoderens identitet, f.eks. PRISMAsync Print Server, ukendt, og al datatrafik til den beskyttede side af netværket blokeres. IEEE 802.1X-kommunikationen muliggør udveksling af identitetsoplysninger, f.eks. identitetscertifikat, og gør det muligt at udføre forhandling af de anvendte protokoller og godkendelsesmetoder.
B. Når porten er godkendt, er trafik til den beskyttede side af netværket mulig.
|
PRISMAsync Print Server bruger Windows 10 client til at fungere som anmoder og understøtter Windows Server 2016 som godkendelsesserver (RADIUS-server). |
Generelt vil IEEE 802.1X anvende Extensible Authentication Protocol (EAP) til at forhandle godkendelsesmetoden for anmoderen og godkendelsesserveren. Anmoderen kan bruge et certifikat, et chipkort eller legitimationsoplysninger til identifikation.
EAP samarbejder med yderligere godkendelsesprotokoller, f.eks. Transport Layer Security (TLS) og Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
EAP-TLS bruges i certifikatbaserede sikkerhedsmiljøer. Det er den stærkeste metode til godkendelse og nøgleregistrering. EAP-TLS kræver, at anmoderen har et identitetscertifikat.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 er en metode til gensidig godkendelse, der understøtter adgangskodebaseret godkendelse af slutpunkter.
BEMÆRK
Ikke alle godkendelsesservere, anmodere og LDAP-biblioteksservere understøtter alle godkendelsesmetoder.
|
PRISMAsync Print Server understøtter: EAP-TLS og EAP-MS-CHAP-V2. |
Protected EAP (PEAP) er en protokol, der øger sikkerheden for EAP-TLS og EAP-MS-CHAP-V2.
PEAP bygger en krypteret inputkanal i anden fase af EAP-forhandlingsprocessen. I denne sikre kanal sker der en ny EAP-forhandling for at godkende anmoderen.
PEAPPEAP med EAP-TLS
PEAP med EAP-TLS giver det højeste sikkerhedsniveau ved at beskytte identitetscertifikatet for anmoderen under overførslen til godkendelsesserveren.
PEAP med EAP-MS-CHAP-V2
PEAP gør det let at konfigurere EAP-MS-CHAP-V2 med et ekstra sikkerhedslag ved at kryptere EAP-MS-CHAP-V2-legitimationsoplysningerne. PEAP med EAP-MS-CHAP-V2 anvendes generelt i Microsoft Active Directory-miljøer.
|
PRISMAsync Print Server understøtter følgende godkendelsesmetoder: PEAP med EAP-TLS, PEAP med EAP-MS-CHAP-V2 og EAP-TLS. |
Alle godkendelsesmetoder kræver, at de pålidelige CA-certifikater for godkendelsesserveren er tilgængelige på anmoderen.
EAP-TLS kræver et gyldigt identitetscertifikat for anmoderen, der er knyttet til en brugerkonto eller computerkonto i LDAP-biblioteksserveren (Active Directory Domain Services (AD DS)).
Når identitetscertifikatet henviser til en computer, skal feltet Subject Alternative Name (SubjectAltName) i certifikatet indeholde Fully Qualified Domain Name (FQDN) for klienten.
Når identitetscertifikatet henviser til en bruger, skal feltet Subject Alternative Name (SubjectAltName) i certifikatet indeholde User Principal Name (UPN).
BEMÆRK
EAP-MS-CHAP-V2 bruger ikke et identitetscertifikat for anmoderen.
BEMÆRK
EAP-MS-CHAP-V2 kræver et MS-CHAP-V2-brugernavn og en MS-CHAP-V2-adgangskode, som du kan konfigurere i Settings Editor. |
En IEEE 802.1X-godkendelse kan startes af enten godkenderen (kontakten) eller anmoderen. Når godkenderen registrerer en opadgående forbindelse til porten, sendes der en meddelelse til anmoderen.
Det er normalt ikke nødvendigt at godkende et tidligere godkendt slutpunkt igen, hvis det bevarer forbindelsen til netværket. Efter en vellykket IEEE 802.1X-godkendelse forbliver porten åben, indtil forbindelsen afbrydes, f.eks. når den fysiske forbindelse viser statussen som nedadgående. Så længe den fysiske forbindelse opretholdes, forbliver det godkendte slutpunkt tilsluttet til porten.