我正在研究如何改善 Cisco NAC 的用户体验。
目前,用户在任何登录后都会遇到来自通过 https 连接的不同软件的烦人的 SSL 警告。流量被重定向到 NAC 设备,名称不匹配(如下图所示),经过身份验证(约 1 分钟)后,流量正常通过。
几个问题:
- 有没有办法在 Windows 登录之前预先验证用户身份?(毕竟用户可以在登录前自动连接并验证 WiFi)。
- 启动项是否可以被保留/变灰/延迟直到 NAC 完成授予访问权限?
- NAC 能否缓存 30 分钟或 1 小时的身份验证(如 HTTP cookie)或一段时间内有效的令牌系统?目前,断开笔记本电脑与以太网的连接并重新连接将从头开始身份验证过程。
更新 - 2017 年 8 月 5 日:实施数月后,该解决方案却非常痛苦,而且适得其反。我们即将停用它。计算机无法通过 NAC 进行身份验证,因此员工无法访问本地资源。NAC 提高了我们的安全态势,但不能证明生产力下降是合理的。
以牺牲可用性为代价的安全性就是以牺牲安全性为代价的