ا سلام؛
من داخل شبکه خودمان dot1x را برای منظور داینامیک vlan به همراه nap و ca راه اندازی کرده ام و سوئیچ ها تماما سیسکو 2960 برای اکسس و 3750 برای کر می باشد. برای AAA جواب گرفته و guest و redistricted را هم تنظیم کرده ایم.
اما سوال و مشکل اینجاست که وقتی کامپیوتری join به دامین است certificate لازم گرفته شده و احراز هویت چه با یوزر و چه با کامییوتر صورت می گیرد و در نتیجه پورت به vlan مورد نظر اختصاص داده می شود. اما زمانی که سیستم به دامین متصل نشده باشد فقط به vlan guest می رود و چون پورت به vlan مورد نظر اختصاص پیدا نمی کند پس ip مورد نظر را هم نمی گیرد تا بتوان ان را به دامین join کرد و وارد شبکه شود.
من تست کردم دیدم که اگر cretificate مورد نظر را از سرور ca برداشته و به داخل ان سیستم های کلاینت import کنیم مشکل بر طرف می شود و می تواند احراز هویت مورد نظر را انجام دهد.
!!!!!!!!! اما این راه حل درستی نیست که ما certificate را به صورت دستی پخش کنیم و اصلا کلا این کار خودکار سازی و متمرکز کردن احراز هویت و امنیت را زیر سوال می برد؟؟؟ اگر دوستان پیشنهادی دارند لطفا به همراه راه حل اجرای ان ذکر بفرمایید ممنون می شوم. با تشکر
موضوعات مشابه:
- پیاده سازی اکتیو دایرکتوری چه زیرساختهایی نیاز دارد؟چه مشکلاتی پیش می آید؟
- مشکل در پیاده سازی IEEE 802.1x روی سویچ 2950
- IEEE 802.1x MAC Authentication
- nm16 am و cisco 2621 سری دستورات راه اندازی و پیاده سازی به صورت گام به گام