admin管理员组文章数量:1594222
问题现象:某公司系列交换机,在启用组播触发功能的情况下,在windows xp sp2自带的客户端认证成功,但是客户端升级到windows xp sp3之后,出现认证失败现象。在弹出用户密码窗口时,即使所输入的用户名密码正确,但是第一次都会提示失败,需要输入第二次才能够成功。
微软公司的解释是,SP3对802.1x客户端的默认属性进行了修改,两个版本的客户端在对外表现上有一些差异。
SP2的客户端,默认是不会主动发送EAP-START报文的,因此需要配合交换机的组播触发功能,才能够完成认证过程。主要流程是:
(1)SWITCH-->PC,发送EAP-IDENTITY REQUEST报文
(2)PC-->SWITCH,回应EAP-IDENTITY RESPONSE报文
(3)SWITCH-->PC,再次发送EAP-IDENTITY REQUEST报文,这次才正式申请用户的用户信息
(4)PC-->SWITCH,回应EAP-IDENTITY RESPONSE报文,用户将用户名回应给交换机
(5)SWITCH-->PC,发送EAP-MD5 CHALLENGE REQUEST
(6)PC-->SWITCH,回应EAP-MD5 CHALLENGE RESPONSE
(7)SWITCH-->PC,根据认证结果发送EAP-SUCCESS或EAP-FAILURE
以上的第(1)(2)步骤,通过组播触发的方式,代替了本应由用户发起的EAP-START报文。在SP2时,由于用户不主动发起该报文,因此组播触发能够完美地完成认证交互过程。
SP3的客户端已经修改了该属性,此时客户端会不停地发送EAP-START报文,直至用户认证成功。同时,在处理EAP-IDENTITY REQUEST报文时,与SP2也有了很大差异,当其收到交换机发来的第一个EAP-IDENTITY REQUEST报文后[第(1)步],其会记录此状态,如果接下来交换机发出的报文不是EAP-MD5 CHALLENGE REQUEST,SP3的客户端不会象SP2那样继续做出应答,导致以上第(3)步的操作无法完成。
通过修改FIRMWARE来适应微软的这个变化,在新的版本中已经不存在这种问题。如果没有条件升级到新的FIRMWARE,也可以通过修改客户端的默认配置,来保证SP3的表现与SP2一样,这样在不升级FIRMWARE的情况下,也可以正确完成认证。
具体方法如下:
版权声明:本文标题:忆龙2009:windows xp sp3 新版802.1x客户端默认属性改变引起的认证失败 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728184743a1148688.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论