硬件是 Cisco AP 和 Windows 7 Enterprise 客户端,目前允许用户根据 AD 中的访问组进行身份验证。
我们不是查看用户帐户,而是使用实际的计算机,因此我们可以控制哪些机器可以向 AP 进行身份验证,而不是用户。
这是一个原生功能吗?
答案1
我不确定我是否应该将其称为“本机”功能,但这并不是不常见的事。
完成此类身份验证的基本机制是使用机器证书。通过利用活动目录作为 PKI 环境,您可以将机器证书部署到每台 Windows 机器。
部署机器证书后,您将配置一个 RADIUS 服务器(例如 Cisco ACS 或 Cisco ISE),它将针对这些证书执行 EAP-TLS 身份验证。
因此,您将设置 SSID 以执行 EAP-TLS 身份验证,将身份验证指向 Cisco ISE,并在 ISE 机器上安装来自 Active Directory 的根链证书,并设置一些规则,以便在提供有效证书时进行身份验证和授权访问。最后,您将配置 Windows 机器以使用 EAP-TLS 连接到 SSID,并在该身份验证过程中提供其机器证书。
如果您从未做过这些,您要么需要大量的实验室时间,要么最好找一个思科合作伙伴来帮助您进行设置。这不是很难,但有相当多的移动部件使其比复选框或类似的东西更复杂。