前言
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1X提供安全的接入认证,但数据(包括操作系统)存储于本地,数据可能有失窃的危险,比如富士康和比亚迪的官司,在比如陈冠希事件。一些对数据安全要求比较高的企业,政府,一直寻求,即要管好接入端的安全,又要管好数据端安全,做到本地无存储,对数据随需所取的PC应用环境。 OSV配合自己实现的802.1X认证客户端,即实现了对网络接入的数据安全性要求,也实现了对PC的IO虚拟化,通过对数据实现虚拟化派发,用户桌面环境的认证派发,和数据的集中存储,集中管理。通过windows AD 服务器,对用户帐户进行统一管理。实施准备
1, 支持802.1X认证交换机一台 实验环境:Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0)
2, Windows 2008 r2 AD 域服务器一台(ip: 192.168.88.188 Netmask:255.255.255.0 ) 3, Windows 2008 r2 NPS服务器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188) 4, 客户机一台 5, 已安装,配置好的OSV 服务器一台 (IP:192.168.88.10)Cisco 交换机配置
cisco>en 进入特权模式
Password: cisco#configure terminal 进入全局配置模式 cisco(config)#interface vlan1 进入接口配置模式,配置Vlan1 cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP cisco(config-if)#exit 通出 cisco(config)#aaa new-model cisco(config)#aaa authentication dot1x default group radius cisco(config)#aaa authorization network default group radius cisco(config)#dot1x system-auth-control cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP,密钥为OSV 记住此密钥,配置RADIUS时用到。 cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口 cisco(config-if)#switchport mode access cisco(config-if)# authentication port-control auto cisco(config-if)#dot1x port-control auto cisco(config-if)#dot1x reauthentication cisco(config-if)#dot1x timeout reauth-period 300 cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。 cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则 cisco(config-if)#dot1x pae both cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit cisco(config)#exit 注:配置完成后,要测试交换机与RADIUS是否可通信,可在交换机上ping RADIUS服务器进行判断。 Windows AD 域服务器架设Step1: 打开 开始菜单—计算机-管理
Step2:在弹出的服务管理器上点击右键,添加角色 
Step4:选择AD域服务器角色,默认下一步。 
Step5: 开始,运行 dcpromo.exe 执行AD安装
Step6: AD安装向导
Step 7 选择在新林中新建域 
Step 9: 默认下一步 
Step 12 : 默认下一步 
Step 13 : 默认下一步,开始自动安装并配置AD 
Step 15 : 新建一个 test-osv 的用户组
Step 16 : 加入到 Domain Users 组 
Step 17:新建用户,并加入到test-osv组 
NPS 服务器架设
Step1 : 修改NPS服务器的DNS为域控服务器
Step2 :将NPS服务器加入到域中 
1,部署CA服务器
Step 1: 服务管理器—添加角色–ADCS
Step3 选择根证书
Step 4 默认下一步
Step 5 默认下一步
Step 6 默认下一步 
Step 7 默认下一步
Step 8 默认下一步 
Step 9 默认下一步
Step 11 制作Computer 证书,开始—运行—MMC—文件—添加/删除管理单元
Step 12 :点击证书—添加 
Step 13 : 选择计算机帐户
Step 15 : 默认下一步 
Step 16 : 选择个人—证书—申请证书
Step 17 : 默认下一步
Step 18 : 默认下一步 
Step 18 : 选择计算机 
Step 19 : 默认下一步 
Step 20 : 完成 
2,部署NPS服务器
Step1 : 服务管理器—添加角色—网络策略和访问服务
Step 2 : 选择 网络策略服务器,健康注册机构,主机凭据授权协议 
Step 5 : 选择我们刚刚新建的证书用于SSL加密 
Step 7 : 点击进入NPS管理器,选择配置NAP 
Step 8 : 选择 IEEE 802.1X (有线) 
Step 10 : 完成后点击下一步 
Step 11 :默认下一步 
Step 11 :默认下一步 
Step 11 :默认下一步 
Step 11 :默认后完成 
Step 12 :启用MD5验证支持 在RADIUS服务器上,导入注册表文件: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4] "FriendlyName"="MD5-Challenge" "RolesSupported"=dword:0000000a "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\ 61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "InvokeUsernameDialog"=dword:00000001 "InvokenPasswordDialog"=dword:00000001 Step 13 : 打开NPS管理器,点击策略—连接请求策略—NAP 802.1X(有线) 
Step 14 : 选择设置–身份验证方法—添加—md5-Challenge 并将md5-Challenge 向上到第一个最先 
3, 在AD中新建用户
Step 1: 因为 md5-Challenge 验证的特殊性,密码要以可逆方式保存,在AD服务器上,我们新建用户,并勾选上,使用可逆方式存储密码,并加入到test-osv这个组中。
Step 2 : 重置OSV用户密码,使其密码是以可逆方式存储。 
此时,环境部署完结,开始制作OSV客户端,进行启动测试。 Step 1 : 使用win32 Disk Imager 将 OSV Images 写入U盘中,在验证机上,设置为USB启动。 
Step 2 : 客户机启动后,自动进入配置界面 
Step 3 : 因为本地有DHCP服务器,所以只用填上服务器IP就可以了,并把802.1X 的值填为1,开启802.1X认证,完成后回车确认 
Step 4 : 输入用户名,密码,进行802.1X认证。 
Step5 :802.1X认证通过,开始进行操作系统的启动。 
注:OSV BOOT 并不止支持USB设备作为客户端认证,也支持硬盘,和主板BIOS。