Windows域与802.1x统一认证解决方案(内部学习)

admin管理员组

文章数量:1531500

2024年7月24日发(作者：)

文档名称 文档密级

Windows域与802.1x统一认证方案

1 适用行业

本方案适用于政府机关、金融部门、医疗卫生机构、电力企业和制造企业等用户的宽带

网络。帮助用户实现在使用802.1x客户端登录网络时，同时完成Windows域登录。

2 用户需求

很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户

访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现

对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，

这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高

网络接入的安全性，很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身

份识别和权限控制。

但是，将802.1x接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇

到以下问题：

1、Windows域登录认证要求用户必须首先接入网络，建立用户与域控制器间的网络连

接，然后才可以登录并进入桌面。而一般的802.1x认证需要用户首先进入桌面，然后才可以

进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了尖锐的矛盾，导致

使用802.1x进行网络接入认证的用户无法登录到Windows域。

2、Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控制信息，造

成用户接入网络和登录Windows域时需要使用两套用户名和密码，给用户的使用带来不少操

作上的麻烦。

如何解决目前Windows域登录与802.1x认证的矛盾，融合企业网中802.1x接入认证与

Windows域认证，全面简化用户操作，实现网络接入与Windows域的单点登录，是目前许多

企业网用户迫切需要解决的问题。

2004-11-17

华为三康机密，未经许可不得扩散 第1页, 共4页

文档名称 文档密级

3 解决方案

通过对802.1x认证流程和Windows域登录流程的深入研究，华为3com公司提出了

windows 域与802.1x统一认证方案，平滑地解决了两种认证流程之间的矛盾，避免了用户二

次认证的烦琐。该方案的关键在于两个“同步”过程：

1、 同步域用户与802.1x接入用户的身份信息（用户名、密码），CAMS系统使用LDAP

组件实现CAMS用户和windows域用户信息的同步。

2、 同步域登录与802.1x认证流程，CAMS系统通过华为3Com自主开发的802.1x客户端

实现认证流程的同步。

统一认证的基本流程如下图所示：

2

CAMS

服务器

网络设备

域控制器

域认证流

程

3

1

网络设备

802.1x认

证流程

安装华为3Com

802.1x客户端

的用户

1、802.1x接入认证阶段

a、装有华为3Com 802.1x 客户端的用户终端开机后进入普通的域登录界面

b、用户按一般的域登录流程输入用户名、密码和域名，点击登录按钮

c、华为3Com 802.1x 客户端截获Windows域登录请求，使用域登录使用的用户名、

密码同步发起802.1x认证

2004-11-17

华为三康机密，未经许可不得扩散 第2页, 共4页

文档名称 文档密级

d、802.1x认证请求通过交换机转发到CAMS服务器（AAA服务器），进行身份认

证

2、认证转发阶段

a、CAMS将用户认证请求通过LDAP接口转发到域控制器，进行用户名、密码验证

b、通过域控制器的身份认证后，由CAMS向用户终端授权网络访问权限

3、域认证阶段

a、认证通过并获得网络访问权限的用户终端通过华为3Com 802.1x 客户端的控制，

继续进行域登录认证

b、Windows操作系统继续完成普通的域登录流程，获取应用资源访问权限

通过以上的统一认证流程，用户只需按照正常的域登录操作，即可同时完成802.1x接入

认证和Windows域登录认证，达到了统一认证和单点登录的目的。

4 具体实施

实施windows 域与802.1x统一认证，需要在CAMS系统中进行以下步骤操作：

1、 安装LDAP组件，因为Windows域控制器使用微软的Active Directory管理用户信息，

Active Directory为微软实现的LDAP服务器，只有安装LDAP组件，CAMS系统才能

实现与Windows域同步用户信息。

2、 在LDAP服务器管理界面中配置域控制器信息，。

3、 将Windows域用户信息同步至CAMS服务器。使用LDAP用户导出功能，将Windows

域用户的信息导出到文件，然后使用CAMS系统的用户信息批量加入功能将

Windows域用户信息加入到CAMS系统中。

4、 在用户终端安装安装华为3Com 802.1x认证客户端，该客户端实现认证流程的同步。

5 实施效果

在应用华为3Com 的Windows域与802.1x统一认证方案后，用户网络的安全性极大增强，

具体来说，实现Windows域与802.1x统一认证可为用户网络带来以下优点：

1、增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。

2、增强了windows域的安全性，用户必须通过802.1x认证才能访问并登录到Windows域

2004-11-17

华为三康机密，未经许可不得扩散 第3页, 共4页

文档名称 文档密级

中，提高了域内应用资源的安全性。

3、解决了windows域登录与802.1x不能兼容的矛盾。

4、透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。

5、实现了网络接入与Windows域的单点登录，方便用户的使用与操作，减少用户同时

记忆两套用户名与密码的烦琐。

6、实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全

性，方便用户修改密码。

6 方案约束

华为3Com 的Windows域与802.1x统一认证方案对用户客户端以及认证服务器有如下要

求：

1、用户终端的操作系统必须是Windows 2000或Windows XP以上版本。

2、用户终端必须安装华为3Com 802.1x认证客户端。

3、 必须采用华为3Com CAMS 服务器作为802.1x认证服务器，并且使用LDAP组件特

性。

4、 如果CAMS使用Linux版本，需要单独配置LDAP组件，如果使用Windows版本，则

LDAP特性已经包括在平台中，不需单独配置。

2004-11-17

华为三康机密，未经许可不得扩散 第4页, 共4页

本文标签： 用户认证登录网络接入