En PRISMAsync Print Server-skriveren kan brukes i et Local Area Network (LAN) som er beskyttet av IEEE 802.1X. 802.1X-standarden gjør det mulig å godta eller avvise en nettverkstilkobling ut fra identiteten til et endepunkt. Dette endepunktet kan være en bruker, en enhet eller et program. Så lenge endepunktet ikke er identifisert og bekreftet, vil tilgang til andre endepunkter på det beskyttede nettverket ikke være mulig.
IEEE 802.1X-sikkerhet er basert på statusen til klientenes Local Area Network (LAN)-porter. En IEEE 802.1X-konfigurerbar Local Area Network (LAN)-port aktiveres eller deaktiveres dynamisk. Resultatet av IEEE 802.1X-godkjenningsprosessen avgjør om porten aktiveres eller ikke.
Den innrammede teksten i dette emnet beskriver IEEE 802.1X-implementeringen av PRISMAsync Print Server.
I IEEE 802.1X-standarden skilles det mellom følgende komponenter: anmoder, godkjenner og godkjenningsserver.
Anmoder
Klienten, for eksempel PRISMAsync Print Server, som ber om tilgang til Local Area Network (LAN) og svarer på forespørsler fra godkjenneren.
Godkjenner
Godkjenneren er en bryter eller ruter som kontrollerer den fysiske tilgangen til nettverket. Tilgangen er basert på klientens godkjenningsstatus. Godkjenningen utføres av godkjenningsserveren. Godkjenningsserveren er RADIUS (Remote Authentication Dial-In User Service)-serveren i Windows Server.
Godkjenningsserver
Godkjenningsserveren kontrollerer anmoderens identitet. Industristandarden for godkjenningsserveren er en RADIUS-server. Network Policy Server (NPS) er en tjeneste som er inkludert i Windows Server. Den fungerer som RADIUS-server for å godkjenne klienter mot Active Directory. RADIUS-serveren informerer godkjenneren om at kunden har tilgang til lokalnettet.
IEEE 802.1X-komponentene og oppgavene de harDiagrammet gir en enkel oversikt over hvordan IEEE 802.1X fungerer.
A. Før portgodkjenningen, vil identiteten til anmoderen (f.eks. PRISMAsync Print Server) være ukjent, og alle datatrafikk til den beskyttede siden av nettverket er blokkert. IEEE 802.1X-kommunikasjonen gjør det mulig å utveksle ID-informasjon (f.eks. ID-sertifikater) og forhandle protokoller og godkjenningsmetoder.
B. Etter portgodkjenningen, vil trafikk til den beskyttede siden av nettverket være mulig.
|
PRISMAsync Print Server bruker Windows 10 client for å fungere som anmoder, og støtter Windows Server 2016 som godkjenningsserver (RADIUS-server). |
IEEE 802.1X bruker generelt Extensible Authentication Protocol (EAP) for å forhandle godkjenningsmetoden for anmoderen og godkjenningsserveren. Anmoderen kan identifisere seg ved hjelp av et sertifikat, et smartkort eller påloggingsinformasjon.
EAP samarbeider med ekstra godkjenningsprotokoller som f.eks. Transport Layer Security (TLS) og Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
EAP-TLS brukes i sertifikatbaserte sikkerhetsmiljøer. Den er den sikreste metoden for godkjenning og fastsettelse av nøkkel.EAP-TLS krever at anmoderen har et ID-sertifikat.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 er en gjensidig godkjenningsmetode som støtter passordbasert endepunktgodkjenning.
MERK
Ikke alle godkjenningsservere, anmodere og LDAP-katalogservere støtter alle godkjenningsmetoder.
|
PRISMAsync Print Server støtter: EAP-TLS og EAP-MS-CHAP-V2. |
Protected EAP (PEAP) er en protokoll som øker sikkerheten for EAP-TLS og EAP-MS-CHAP-V2.
PEAP bygger en kryptert kanal under andre del av EAP-forhandlingsprosessen. I denne sikre kanalen finner det sted en ny EAP-forhandling for å godkjenne anmoderen.
PEAPPEAP med EAP-TLS
PEAP med EAP-TLS gir den høyeste sikkerheten ved å beskytte anmoderens ID-sertifikat under overføringen til godkjenningsserveren.
PEAP med EAP-MS-CHAP-V2
PEAP kombinerer enkelt konfigurerbart EAP-MS-CHAP-V2 med et ekstra sikkerhetslag ved å kryptere EAP-MS-CHAP-V2-påloggingsinformasjonen. PEAP med EAP-MS-CHAP-V2 brukes generelt i Microsoft Active Directory-miljøer.
|
PRISMAsync Print Server støtter følgende godkjenningsmetoder: PEAP med EAP-TLS, PEAP med EAP-MS-CHAP-V2, og EAP-TLS. |
Alle godkjenningsmetoder krever at de klarerte CA-sertifikatene til godkjenningsserveren er tilgjengelige hos anmoderen.
EAP-TLS krever at anmoderen har et gyldig ID-sertifikat som er tilordnet til en bruker- eller datamaskinkonto på LDAP-katalogserveren (Active Directory Domain Services (AD DS)).
Hvis ID-sertifikatet viser til en datamaskin, må Subject Alternative Name (SubjectAltName)-feltet i sertifikatet inneholde klientens Fully Qualified Domain Name (FQDN).
Hvis ID-sertifikatet viser til en bruker, må Subject Alternative Name (SubjectAltName)-feltet i sertifikatet inneholde User Principal Name (UPN).
MERK
EAP-MS-CHAP-V2 bruker ikke anmoderens ID-sertifikat.
MERK
EAP-MS-CHAP-V2 krever et MS-CHAP-V2-brukernavn og MS-CHAP-V2-passord som du konfigurerer i Settings Editor. |
En IEEE 802.1X-godkjenning kan igangsettes av enten godkjenneren (bryteren) eller anmoderen. Hvis godkjenneren oppdager en kobling opp til porten, sender den en melding til anmoderen.
Et tidligere godkjent endepunkt som forblir tilkoblet til nettverket, trenger vanligvis ikke å godkjennes på nytt. Etter vellykket IEEE 802.1X-godkjenning, vil porten forbli åpen frem til tilkoblingen avsluttes (f.eks. når den fysiske koblingen viser nedestatus). Så lenge den fysiske koblingen opprettholdes, vil det godkjente endepunktet forbli tilkoblet til porten.