Принтер PRISMAsync Print Server может работать в Local Area Network (LAN), защищенной IEEE 802.1X. Стандарт 802.1X позволяет принимать или отклонять сетевое соединение на основании удостоверения конечной точки. В качестве такой конечной точки может выступать пользователь, устройство или приложение. Пока конечная точка не идентифицирована и не подтверждена, доступ к другим конечным точкам защищенной сети невозможен.
Защита IEEE 802.1X основана на статусе портов Local Area Network (LAN) клиентов. Порт Local Area Network (LAN), настраиваемый для IEEE 802.1X, можно динамически включать или отключать. Будет порт включен, или нет, определяется по результатам процесса проверки подлинности IEEE 802.1X.
Обрамленный рамкой текст в этой теме описывает реализацию IEEE 802.1X в составе PRISMAsync Print Server.
Стандарт IEEE 802.1X различает следующие компоненты: запрашивающее устройство, аутентификатор и сервер проверки подлинности.
Запрашивающее устройство
Клиент, например PRISMAsync Print Server, запрашивающий доступ к Local Area Network (LAN) и отвечающий на запросы от аутентификатора.
Аутентификатор
Аутентификатор — это коммутатор или маршрутизатор, контролирующий физический доступ к сети. Доступ зависит от статуса проверки подлинности клиента. Проверку подлинности выполняет сервер проверки подлинности. Сервер проверки подлинности — это сервер RADIUS (Remote Authentication Dial-In User Service) в Windows Server.
Сервер проверки подлинности
Сервер проверки подлинности проверяет удостоверение запрашивающего устройства. Промышленным стандартом сервера проверки подлинности является сервер RADIUS. Network Policy Server (NPS) — это служба, входящая в состав Windows Server. Она действует как сервер RADIUS для проверки подлинности клиентов с использованием Active Directory. Сервер RADIUS информирует аутентификатор о том, что клиент имеет полномочия на доступ к локальной сети.
Компоненты IEEE 802.1X и их задачиЭто простая схема работы IEEE 802.1X.
A. Перед проверкой подлинности порта удостоверение запрашивающего устройства, например PRISMAsync Print Server, неизвестно и весь трафик данных, направленный в защищенную часть сети, блокируется. Коммуникация IEEE 802.1X позволяет обмениваться информацией об удостоверении, например сертификатами удостоверения, и согласовывать используемые протоколы и методы проверки подлинности.
B. После проверки подлинности на основе портов трафик в защищенную часть сети пропускается.
|
PRISMAsync Print Server использует Windows 10 client в качестве запрашивающего устройства и поддерживает Windows Server 2016 в качестве сервера проверки подлинности (сервер RADIUS). |
В целом, IEEE 802.1X использует Extensible Authentication Protocol (EAP) для согласования метода проверки подлинности запрашивающего устройства и сервера проверки подлинности. Запрашивающее устройство может использовать для идентификации сертификат, смарт-карту или учетные данные.
EAP работает с дополнительными протоколами проверки подлинности, например Transport Layer Security (TLS) и Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
EAP-TLS в средах с обеспечением безопасности на основе сертификатов. Он обеспечивает самый надежный метод проверки подлинности и определения ключей. EAP-TLS требует, чтобы у запрашивающего устройства был сертификат удостоверения.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 — метод обоюдной проверки подлинности, поддерживающий проверку подлинности конечных точек на основе пароля.
ПРИМЕЧАНИЕ
Не все серверы проверки подлинности, запрашивающие устройства и серверы каталогов LDAP поддерживают все методы проверки подлинности.
|
PRISMAsync Print Server поддерживает: EAP-TLS и EAP-MS-CHAP-V2 |
Protected EAP (PEAP) — это протокол, повышающий безопасность EAP-TLS и EAP-MS-CHAP-V2.
PEAP создает шифруемый канал во время второй части процесса согласования EAP. Внутри этого надежного канала происходит новое согласование EAP для проверки подлинности запрашивающего устройства.
PEAPPEAP с EAP-TLS
PEAP с EAP-TLS обеспечивает самый высокий уровень безопасности, защищая сертификат удостоверения запрашивающего устройства во время передачи данных серверу проверки подлинности.
PEAP с EAP-MS-CHAP-V2
PEAP объединяет в себе легко настраиваемый EAP-MS-CHAP-V2 с дополнительным уровнем безопасности, шифруя учетные данные EAP-MS-CHAP-V2. PEAP с EAP-MS-CHAP-V2 обычно используется в средах Microsoft Active Directory.
|
PRISMAsync Print Server поддерживает следующие методы проверки подлинности: PEAP с EAP-TLS, PEAP с EAP-MS-CHAP-V2 и EAP-TLS. |
Все методы проверки подлинности требуют, чтобы доверенные сертификаты CA сервера проверки подлинности присутствовали в запрашивающем устройстве.
EAP-TLS требует, чтобы действительный сертификат удостоверения запрашивающего устройства был связан с учетной записью пользователя или учетной записью компьютера на сервере каталогов LDAP (Active Directory Domain Services (AD DS)).
Если сертификат удостоверения относится к компьютеру, поле Subject Alternative Name (SubjectAltName) в сертификате должно содержать Fully Qualified Domain Name (FQDN) клиента.
Если сертификат удостоверения относится к пользователю, поле Subject Alternative Name (SubjectAltName) в сертификате должно содержать User Principal Name (UPN).
ПРИМЕЧАНИЕ
EAP-MS-CHAP-V2 не использует сертификат удостоверения запрашивающего устройства.
ПРИМЕЧАНИЕ
EAP-MS-CHAP-V2 требуется имя пользователя MS-CHAP-V2 и пароль MS-CHAP-V2, которые вы настроили в Settings Editor. |
Проверку подлинности IEEE 802.1X может инициировать либо аутентификатор (коммутатор), либо запрашивающее устройство. Когда аутентификатор обнаруживает ссылку на порт, он отправляет сообщение запрашивающему устройству.
Обычно нет необходимости в повторной проверке подлинности конечной точки, которая ранее проходила проверку подлинности и остается подключенной к сети. После успешной проверки подлинности IEEE 802.1X порт остается открытым, пока не будет завершено соединение, например будет прервано физическое соединение. Пока сохраняется физическое соединение, конечная точка, которая прошла проверку подлинности, остается подключенной к порту.