PRISMAsync Print Server-skrivare kan användas i ett Local Area Network (LAN) som skyddas av IEEE 802.1X. 802.1X-standarden gör det möjligt att godkänna eller avvisa en nätverksanslutning baserat på identiteten hos en slutpunkt. Denna slutpunkt kan vara en användare, en enhet eller ett program. Om slutpunkten inte har identifierats och verifierats är det inte möjligt att komma åt andra slutpunkter i det skyddade nätverket.
IEEE 802.1X-säkerhet baseras på statusen på Local Area Network (LAN)-portarna på klienterna. En IEEE 802.1X-konfigurerbar Local Area Network (LAN)-port kan aktiveras eller inaktiveras dynamiskt. Resultaten av IEEE 802.1X-autentiseringen avgör om porten aktiveras eller inte.
Den inramade texten i detta avsnitt beskriver IEEE 802.1X-implementeringen av PRISMAsync Print Server.
IEEE 802.1X-standarden skiljer mellan följande komponenter: avsändare, autentiserare och autentiseringsserver.
Avsändare
Klienten, till exempel PRISMAsync Print Server, som begär åtkomst till Local Area Network (LAN) och svarar på anrop från autentiseraren.
Autentiserare
Autentiseraren är en switch eller router som styr den fysiska åtkomsten till nätverket. Åtkomsten baseras på klientens autentiseringsstatus. Autentiseringen utförs av autentiseringsservern. Autentiseringsservern är RADIUS (Remote Authentication Dial-In User Service)-servern i Windows Server.
Autentiseringsserver
Autentiseringsservern verifierar avsändarens identitet. Branschstandarden för autentiseringsservern är en RADIUS-server. Network Policy Server (NPS) är en tjänst som ingår i Windows Server. Den fungerar som RADIUS-server för att autentisera klienter mot Active Directory. RADIUS-servern informerar autentiseraren om att klienten har behörighet att komma åt det lokala nätverket.
IEEE 802.1X-komponenter och deras uppgifterFöljande schema är en enkel översikt över hur IEEE 802.1X fungerar.
A. Före portautentiseringen är avsändarens identitet, till exempel PRISMAsync Print Server, okänd och alla datatrafik till den skyddade sidan av nätverket är blockerad. IEEE 802.1X-kommunikationen gör det möjligt att utbyta identitetsinformation, till exempel identitetscertifikat, och möjliggör förhandling om vilka protokoll och autentiseringsmetoder som ska användas.
B. Efter portautentiseringen tillåts trafik till den skyddade sidan av nätverket.
|
PRISMAsync Print Server använder Windows 10 client som avsändare och har stöd för Windows Server 2016 som autentiseringsserver (RADIUS-servern). |
Generellt gäller att IEEE 802.1X använder Extensible Authentication Protocol (EAP) för att förhandla om autentiseringsmetoden för avsändaren och autentiseringsservern. Avsändaren kan använda ett certifikat, eller smartcard eller inloggningsuppgifter för identifiering.
EAP samarbetar med andra autentiseringsprotokoll, som Transport Layer Security (TLS) och Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
EAP-TLS används i certifikatbaserade säkerhetsmiljöer. Det ger den starkaste metoden för autentisering och fastställande av nycklar. EAP-TLS kräver att avsändaren har ett identitetscertifikat.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 är en gemensam autentiseringsmetod som stöder lösenordsbaserad slutpunktsautentisering.
OBS!
Inte alla autentiseringsservrar, avsändare och LDAP-katalogservrar har stöd för alla autentiseringsmetoder.
|
PRISMAsync Print Server har stöd för: EAP-TLS och EAP-MS-CHAP-V2. |
Protected EAP (PEAP) är ett protokoll som ökar säkerheten hos EAP-TLS och EAP-MS-CHAP-V2.
PEAP skapar en krypterad kanal under den andra delen av EAP-förhandlingen. Inuti denna säkra kanal sker en ny EAP-förhandling för att autentisera avsändaren.
PEAPPEAP med EAP-TLS
PEAP med EAP-TLS ger den högsta säkerhetsnivån genom att skydda avsändarens identitetscertifikat under överföringen till autentiseringsservern.
PEAP med EAP-MS-CHAP-V2
PEAP kombinerar det lättanvända EAP-MS-CHAP-V2 med en extra säkerhetsnivå genom att kryptera inloggningsuppgifterna för EAP-MS-CHAP-V2. PEAP med EAP-MS-CHAP-V2 används generellt i Microsoft Active Directory-miljöer.
|
PRISMAsync Print Server har stöd för följande autentiseringsmetoder: PEAP med EAP-TLS, PEAP med EAP-MS-CHAP-V2 och EAP-TLS. |
Alla autentiseringsmetoder kräver att autentiseringsserverns godkända CA-certifikat finns tillgängliga på avsändaren.
EAP-TLS kräver ett giltigt identitetscertifikat för den avsändare som är mappad till ett användar- eller datorkonto på LDAP-katalogservern (Active Directory Domain Services (AD DS)).
När identitetscertifikatet hänvisar till en dator måste fältet Subject Alternative Name (SubjectAltName) i certifikatet innehålla klientens Fully Qualified Domain Name (FQDN).
När identitetscertifikatet hänvisar till en användare måste fältet Subject Alternative Name (SubjectAltName) i certifikatet innehålla User Principal Name (UPN).
OBS!
EAP-MS-CHAP-V2 använder inte ett identitetscertifikat för avsändaren.
OBS!
EAP-MS-CHAP-V2 kräver ett MS-CHAP-V2-användarnamn och ett MS-CHAP-V2-lösenord som du ställer in i Settings Editor. |
IEEE 802.1X-autentiseringen kan initieras antingen av autentiseraren (switchen) eller avsändaren. När autentiseraren påträffar en länk upp till porten skickar den ett meddelande till avsändaren.
Det är vanligtvis inte nödvändigt att återautentisera en tidigare autentiserad slutpunkt som förblir ansluten till nätverket. Efter en genomförd IEEE 802.1X-autentisering förblir porten öppen tills anslutningen avslutas, till exempel när den fysiska länken inte fungerar. Så länge den fysiska länken fungerar förblir den autentiserade slutpunkten ansluten till porten.