我的组织即将在我们的企业中实施 802.1X,但我们目前在 SCCM 中使用基于 PXE 的操作系统部署序列。 我正在寻找一种在 802.1X 环境中继续使用 PXE 的方法。我们的基础设施使用运行 12.2(或更新版本)的 Cisco 网络设备。我们是一个全 Windows 网络,所有客户端都支持 802.1X。所有新工作站都配备 Intel AMT(但未出厂配置)。
在最坏的情况下,我们将为 OSD 使用来宾 VLAN,但我更希望 OSD 出现在经过身份验证的会话中。我看过白皮书,其中描述了如何使用 AMT 充当 PXE 启动的请求者,但找不到任何实施细节...
答案1
最后,我们决定使用 PXE 和 802.1X 的最佳方式是将未经身份验证的机器分配给来宾 VLAN。在路由器上,VLAN 仅被 ACL 分配给 DC(也托管 DHCP)、企业 CA 和 PXE 服务器。然后,我们将 ip helper-address 条目添加到两个服务器的 VLAN 中。
一旦机器在来宾 VLAN 上成功镜像,操作系统就会接管。我们的任务序列让它自动加入域。然后,组策略指示机器获取客户端证书并参与 802.1X 身份验证。
这种方法的优点是我们不必担心 MAC 地址绕过或手动禁用/重新启用端口上的 802.1X。
MAC 地址绕过对我们来说很困难,因为这需要我们在 AD 中创建机器 MAC 地址的用户帐户。由于密码也是 MAC 地址,我们必须禁用密码复杂性策略,这是行不通的。
为了使我们能够为请求者使用 AMT,我们需要执行带外配置,这使我们陷入先有鸡还是先有蛋的境地。
感谢所有查看或提供意见的人。
答案2
如果 802.1X 身份验证失败,您可以执行基于 MAC 的身份验证,然后允许那些授权的 MAC 通过特殊的 PXE 专用 VLAN 处于 PXE 专用环境中。