802.1x认证主要用于内网强管控场景,该场景的需求是:在没有认证之前不能访问内网(包括二层网络也不能接入),也不能经过二层交换机。优点是做到严格的入网控制,如果入网未通过认证,则二层网络也无法正常接入。达到杜绝非法用户和非法终端接入网络的效果。
开启802.1X逃生功能:启用该功能需要同时在交换机上开启逃生VLAN功能。
若启用该功能,会把逃生以后的用户划分到逃生VLAN;
若该功能未启用且交换机上配置了逃生VLAN,当SIG宕机、长时间断开连接、终端用户会自动进入逃生VLAN,确保正常的网络接入。
:
请确认已在交换机上配置好逃生功能,交换机未配置逃生功能时开启802.1x逃生功能将导致终端无法接入网络。
基础设置
该配置设置SIG作为Radius服务器使用的认证和计费端口,认证端口默认为1812,服务器密钥需与交换机上配置的密钥一致,计费端口默认1813。
准入客户端下载
更新准入客户端功能配置后请先点击提交再进行下载,客户端的安装包方式有两种:MSI安装包、EXE安装包。(MSI安装包中内置AD域透明安装准入配置方法文档)。
:
1.MSI安装的准入客户端无法防止卸载,通常用于结合域控推送。
2.EXE包用于准入客户端防卸载,需要结合[接入关联/准入客户端配置]中的<设置准入客户端卸载密码>使用。
认证方式
• 账号密码认证
可选本地用户和AD域账号。本地用户的用户来源为本地,需要在用户管理中新建本地用户。用户来源为AD域,SIG设备本身需要加入域,客户端提交用户名密码之后SIG给到AD域去校验,AD域返回校验结果之后SIG根据结果通知交换机是否允许接入。
• AD域单点登录
适用于与企业现有的AD域进行无缝对接,当用户成功登录AD域后,自动通过SIG与交换机的802.1X认证,不需要再次输入账号密码认证。
• 外部证书认证
用于企业已有CA证书中心且向用户签发了受信任的个人证书的情景下,SIG结合企业的CA证书,在接入交换机上开启802.1X认证,入网终端在准入客户端上选择证书认证,然后导入企业签发的个人证书完成认证。
• 临时放通未识别终端
在哑终端认证场景中,当使用SIG作为Radius服务器时的配置,对于资产没有在资产列表中,则开启准入后会临时放通,等到SIG周期性扫描到后将该资产加入到资产列表,根据已绑定或未绑定的关系将资产进行允许或阻断。
该功能默认是不开启状态,对新接入未识别的终端,会临时放通入网权限,待识别到资产类型等具体资产信息后加入到终端列表且为未绑定状态时,阻断入网。
刚上架部署时需要一定的时间去识别并完善资产信息,建议部署初期勾选此按钮。后续资产识别完成后关闭该功能
:
部署SIG时这里的配置建议勾选,否则会导致新摄像头不能被正常识别。
开启802.1X认证前重定向提醒
DNS重定向:配置DNS重定向功能来实现802.1X的认证前重定向功能,用于认证前推送准入客户端和自注册等功能。
服务器IP地址:填SIG自身的IP地址,且设置的IP要与部署模式某个网卡同一网段,且该网卡要接入网络中,与管理口通信。
TTL(秒):默认为30秒,范围:1-86400秒。
提醒页面设置:用于设置提醒用户安装准入客户端页面。
认证后处理
认证后处理用来设置用户通过认证之后的用户组。
• 高级选项
启用强制注销用户功能:用于在SIG上强制注销802.1X用户,启用该功能需要在交换机上配置RADIUS CoA/DM功能。(CoA报文用于在用户不下线的情况动态改变入网用户属性,DM报文用于中断用户连接。)
启用mab bypass功能:开启bypass功能后,没有经过管理员审批入网的设备也可暂时入网;关闭bypass功能后,在bypass过程中安装的且没有审批的设备,会被踢出网。
建议使用Chrome浏览器访问!
