A PRISMAsync Print Server nyomtatók IEEE 802.1X protokoll által védett Local Area Network (LAN) hálózatokban is használhatók. A 802.1X szabvány lehetőséget ad a hálózati kapcsolat a végpont identitása alapján történő elfogadására vagy elutasítására. A végpont lehet egy felhasználó, egy eszköz vagy egy alkalmazás. A védett hálózat többi végpontjának elérésére csak a végpont azonosítását és ellenőrzését követően van lehetőség.
Az IEEE 802.1X védelem az ügyfél Local Area Network (LAN)-portjainak állapotán alapul. A IEEE 802.1X protokollal konfigurálható Local Area Network (LAN)-portok dinamikusan engedélyezhetők és letilthatók. Az IEEE 802.1X hitelesítési folyamat eredménye határozza meg, hogy a port aktiválódik-e.
Az ebben a témakörben található bekeretezett szöveg a PRISMAsync Print Server IEEE 802.1X-implementációját mutatja be.
Az IEEE 802.1X szabvány a következő összetevőket tartalmazza: kérelmező, hitelesítő és hitelesítési kiszolgáló.
Kérelmező
Az ügyfél, például a PRISMAsync Print Server, amely hozzáférést kér a Local Area Network (LAN) hálózathoz, és válaszol a hitelesítőtől érkező kérelmekre.
Hitelesítő
A hitelesítő egy, a hálózat fizikai elérését szabályozó kapcsoló vagy router. A hozzáférés az ügyfél hitelesítési állapotától függ. A hitelesítést a hitelesítési kiszolgáló hajtja végre. A hitelesítési kiszolgáló a Windows Server alatt futó RADIUS (Remote Authentication Dial-In User Service)-kiszolgáló.
Hitelesítési kiszolgáló
A hitelesítési kiszolgáló ellenőrzi a kérelmező identitását. A hitelesítési kiszolgáló az iparágban szabványos módon egy RADIUS-kiszolgáló. A Windows Server tartalmazza a Network Policy Server (NPS) szolgáltatást. Ez a szolgáltatás RADIUS-kiszolgálóként működik, és az Active Directory alapján hitelesíti az ügyfeleket. A RADIUS-kiszolgáló tájékoztatja a hitelesítőt arról, hogy az ügyfél jogosult a helyi hálózat elérésére.
Az IEEE 802.1X összetevői és ezek feladataiAlább egyszerű áttekintést láthat az IEEE 802.1X működéséről.
A. A port hitelesítése előtt a kérelmező, például a PRISMAsync Print Server identitása ismeretlen, és a hálózat védett oldala felé irányuló összes adatforgalom blokkolva van. Az IEEE 802.1X-kommunikáció lehetővé teszi az identitásinformációk, például az identitástanúsítványok cseréjét és a használt protokollok és hitelesítési módszerek kommunikációját.
B. A port hitelesítését követően a protokoll engedélyezi a hálózat védett oldala felé irányuló adatforgalmat.
|
A PRISMAsync Print Server a Windows 10 client kérelmezőt használja, és a Windows Server 2016 hitelesítési kiszolgálóként (RADIUS-kiszolgálóként) való használatát támogatja. |
Általában az IEEE 802.1X az Extensible Authentication Protocol (EAP) használatával végzi el a hitelesítési mód kommunikációját a kérelmező és a hitelesítési kiszolgáló között. A kérelmező használhat tanúsítványt, intelligens kártyát vagy hitelesítési adatokat az azonosításhoz.
Az EAP további hitelesítési protokollokkal is együttműködik, ilyen például a Transport Layer Security (TLS) és a Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
Az EAP-TLS megoldást a tanúsítványalapú biztonsági környezetekben használják. Ez a protokoll nyújtja a legerősebb hitelesítési és kulcsmeghatározási módszert. Az EAP-TLS előírja, hogy a kérelmező rendelkezzen identitástanúsítvánnyal.
EAP-MS-CHAP-V2
Az EAP-MS-CHAP-V2 egy kölcsönös hitelesítési módszer, amely támogatja a jelszóalapú végpont-hitelesítést.
MEGJEGYZÉS
Nem az összes hitelesítési kiszolgáló , kérelmező és LDAP címtárkiszolgáló támogatja az összes hitelesítési módszert.
|
A PRISMAsync Print Server a következőket támogatja: EAP-TLS és EAP-MS-CHAP-V2. |
A Protected EAP (PEAP) protokoll még biztonságosabbá teszi az EAP-TLS és az EAP-MS-CHAP-V2 használatát.
A PEAP titkosított csatornát hoz létre az EAP egyeztetési folyamat második részében. A biztonságos csatornában új EAP-kommunikáció valósul meg a kérelmező hitelesítése érdekében.
PEAPPEAP + EAP-TLS
Az EAP-TLS protokollal kiegészített PEAP a legmagasabb biztonsági szintet kínálja, mivel védelmet nyújt a kérelmező identitástanúsítványának, amíg az eljut a hitelesítési kiszolgálóhoz.
PEAP + EAP-MS-CHAP-V2
A PEAP az egyszerűen konfigurálható EAP-MS-CHAP-V2 megoldást az EAP-MS-CHAP-V2 hitelesítési adatok titkosításával kiegészítve kínál magasabb védelmi szintet. A PEAP + EAP-MS-CHAP-V2 megoldást általában Microsoft Active Directory-alapú környezetekben használják.
|
A PRISMAsync Print Server a következő hitelesítési módszereket támogatja: PEAP + EAP-TLS, PEAP + EAP-MS-CHAP-V2 és EAP-TLS. |
Az összes hitelesítési módszernél szükséges, hogy a hitelesítési kiszolgáló megbízható hitelesítésszolgáltatói tanúsítványai elérhetők legyenek a kérelmezőnél.
Az EAP-TLS esetében szükség van a kérelmező érvényes, az LDAP-címtárkiszolgálón (Active Directory Domain Services (AD DS)) egy felhasználói fiókra vagy számítógépfiókra leképezett identitástanúsítványára.
Ha az identitástanúsítvány egy számítógépre vonatkozik, a tanúsítvány Subject Alternative Name (SubjectAltName) mezőjének tartalmaznia kell az ügyfél Fully Qualified Domain Name (FQDN) nevét.
Ha az identitástanúsítvány egy felhasználóra vonatkozik, a tanúsítvány Subject Alternative Name (SubjectAltName) mezőjének az User Principal Name (UPN) nevet kell tartalmaznia.
MEGJEGYZÉS
Az EAP-MS-CHAP-V2 nem használja a kérelmező identitástanúsítványát.
MEGJEGYZÉS
Az EAP-MS-CHAP-V2 esetében MS-CHAP-V2-felhasználónévre és MS-CHAP-V2-jelszóra is szükség van, amelyet a Settings Editor alkalmazásban konfigurálhat. |
Az IEEE 802.1X-hitelesítést a hitelesítő (a kapcsoló) és a kérelmező egyaránt kezdeményezheti. Amikor a hitelesítő kapcsolódási próbálkozást észlel a portnál, üzenetet küld a kérelmezőnek.
Általában nem szükséges ismét hitelesíteni azokat a korábban már hitelesített végpontokat, amelyek kapcsolatban maradnak a hálózattal. A sikeres IEEE 802.1X-hitelesítést követően a port a kapcsolat megszakításáig (ilyen például, ha a fizikai kapcsolat megszakadt állapotot jelez) nyitva marad. Amíg a fizikai kapcsolat fennáll, a hitelesített végpont kapcsolata fennmarad a porttal.