PRISMAsync Print Server -tulostin voi toimia Local Area Network (LAN) -verkossa, joka on suojattu IEEE 802.1X:llä. 802.1X-standardi mahdollistaa verkkoyhteyden hyväksymisen tai hylkäämisen päätepisteen tunnistetietojen perusteella. Tämä päätepiste voi olla käyttäjä, laite tai sovellus. Niin kauan kuin päätepistettä ei ole tunnistettu ja vahvistettu, suojatun verkon muiden päätepisteiden käyttö ei onnistu.
IEEE 802.1X -suojaus perustuu työasemien Local Area Network (LAN) -porttien tilaan. Kun IEEE 802.1X on määritettävissä Local Area Network (LAN) -porttiin, portti voidaan ottaa käyttöön tai poistaa käytöstä dynaamisesti. IEEE 802.1X -todennusprosessin tulosten mukaan määräytyy, onko portti käytössä.
Tämän aiheen kehystetyssä tekstissä on esitetty, miten IEEE 802.1X on otettu PRISMAsync Print Serverissä käyttöön.
IEEE 802.1X -standardissa erotetaan toisistaan seuraavat osat: anoja, todentaja ja todennuspalvelin.
Anoja
Työasema, esimerkiksi PRISMAsync Print Server, joka pyytää Local Area Network (LAN) -verkon käyttöoikeutta ja vastaa todentajan pyyntöihin.
Todentaja
Todentaja on kytkin tai reititin, joka ohjaa fyysistä pääsyä verkkoon. Pääsy perustuu työaseman todennustilaan. Todennuksen suorittaa todennuspalvelin. Todennuspalvelin on RADIUS (Remote Authentication Dial-In User Service) -palvelin Windows Serverissä.
Todennuspalvelin
Todennuspalvelin vahvistaa anojan tunnistetiedot. Alan standardin mukaan todennuspalvelin on RADIUS-palvelin. Network Policy Server (NPS) on Windows Serveriin sisältyvä palvelu. Se toimii RADIUS-palvelimena todennettaessa työasemia Active Directoryssa. RADIUS-palvelin ilmoittaa todentajalle, että työasema saa käyttää lähiverkkoa.
IEEE 802.1X:n osat ja niiden tehtävätKaaviossa on yksinkertainen yleiskuvaus IEEE 802.1X:n toiminnasta.
A. Ennen portin todennusta anojan tunnistetiedot, esimerkiksi PRISMAsync Print Server, eivät ole tiedossa, ja kaikki tietoliikenne verkon suojatulle puolelle estetään. IEEE 802.1X -tietoliikenne mahdollistaa tunnistetietojen, kuten tunnistetietovarmenteiden, vaihdon sekä neuvottelun käytettävistä protokollista ja todennustavoista.
B. Portin todennuksen jälkeen tietoliikenne verkon suojatulle puolelle on mahdollista.
|
PRISMAsync Print Server käyttää Windows 10 clientiä anojana ja tukee Windows Server 2016:ta todennuspalvelimena (RADIUS-palvelin). |
Yleensä IEEE 802.1X käyttää Extensible Authentication Protocol (EAP) -protokollaa neuvoteltaessa anojan todennustavasta ja todennuspalvelimesta. Anoja voi tunnistautua käyttämällä varmennetta, älykorttia tai tunnistetietoja.
EAP toimii yhdessä muiden todennusprotokollien, kuten Transport Layer Security (TLS)- ja Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2) -protokollien, kanssa.
EAP-TLS
EAP-TLS:ää käytetään varmennepohjaisissa suojausympäristöissä. Siinä on vahvin todennus ja avainten määritysmenetelmä. EAP-TLS edellyttää, että anojalla on tunnistetietojen varmenne.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 on molemminpuolinen todennusmenetelmä, joka tukee salasanapohjaista päätepistetodennusta.
HUOMAUTUS
Kaikki todennuspalvelimet, anojat ja LDAP-hakemistopalvelimet eivät tue kaikkia todennustapoja.
|
PRISMAsync Print Server tukee seuraavia: EAP-TLS ja EAP-MS-CHAP-V2. |
Protected EAP (PEAP) -protokolla parantaa EAP-TLS:n ja EAP-MS-CHAP-V2:n suojausta.
PEAP muodostaa salatun kanavan EAP-neuvotteluprosessin toisen osan aikana. Tämän suojatun kanavan sisällä suoritetaan uusi EAP-neuvottelu anojan todennusta varten.
PEAPPEAP ja EAP-TLS
PEAP ja EAP-TLS antavat korkeimman mahdollisen suojaustason suojaamalla anojan tunnistetietojen varmenteen, kun se siirretään todennuspalvelimeen.
PEAP ja EAP-MS-CHAP-V2
PEAP:ssä yhdistyvät helposti määritettävä EAP-MS-CHAP-V2 ja lisäsuojaus salaamalla EAP-MS-CHAP-V2-tunnistetiedot. PEAP:n ja EAP-MS-CHAP-V2:n yhdistelmää käytetään yleensä Microsoft Active Directory -ympäristöissä.
|
PRISMAsync Print Server tukee seuraavia todennustapoja: PEAP ja EAP-TLS, PEAP ja EAP-MS-CHAP-V2 sekä EAP-TLS. |
Kaikki todennustavat edellyttävät, että todennuspalvelimen luotetut varmenteiden myöntäjän varmenteet ovat käytettävissä anojan osalta.
EAP-TLS edellyttää kelvollista anojan tunnistetietojen varmennetta, joka on liitetty käyttäjätiliin tai tietokoneen tiliin LDAP-hakemistopalvelimessa (Active Directory Domain Services (AD DS)).
Kun tunnistetietojen varmenne viittaa tietokoneeseen, varmenteen Subject Alternative Name (SubjectAltName) -kentässä on oltava työaseman Fully Qualified Domain Name (FQDN).
Kun tunnistetietojen varmenne viittaa käyttäjään, varmenteen Subject Alternative Name (SubjectAltName) -kentässä on oltava User Principal Name (UPN).
HUOMAUTUS
EAP-MS-CHAP-V2 ei käytä anojan tunnistetietojen varmennetta.
HUOMAUTUS
EAP-MS-CHAP-V2 edellyttää MS-CHAP-V2-käyttäjänimeä ja MS-CHAP-V2-salasanaa, jotka määritetään Settings Editorissa. |
IEEE 802.1X -todennuksen voi käynnistää joko todentaja (kytkin) tai anoja. Kun todentaja havaitsee yhteyden porttiin, se lähettää anojalle viestin.
Yleensä ei ole tarpeen todentaa uudelleen aiemmin todennettua päätepistettä, joka pysyy yhteydessä verkkoon. Onnistuneen IEEE 802.1X -todennuksen jälkeen portti pysyy avoinna, kunnes yhteys katkaistaan, esimerkiksi fyysisen linkin ilmaistessa häiriötilan. Niin kauan kuin fyysinen yhteys säilyy, todennettu päätepiste pysyy yhteydessä porttiin.