关于802.1X+AD+IAS+CA实现域用户单一登录的疑问

yonggang_zhu

近来关于802.1X+AD+IAS+CA的部署在企业应用中成为热点，据说可以增加网络安全性，融合AD和802.1X技术，使域用户一次登陆就可以根据权限来接入到网络。最近我也在做此方面的资料搜集和实施配置。在查阅了网上许多的相关资料以后，有以下几个疑问，还请高手指点：

疑问一：其实交换机配置、AD和IAS的配置都是简单的，最复杂的莫过于CA的配置。我查阅的资料有2种说法：1.配置CA服务器，然后在终端计算机下载数字证书。2.配置CA服务器，并且创建用户模板，在服务器的组策略中创建用户和计算机的自动注册。
不知道哪个比较适合做此实验，谢谢！
1的连接：http://bbs.cnw.com.cn/viewthread.php?tid=76074
2的连接：http://catcity.blog.51cto.com/310698/59941

疑问二：这可以用来实施GUEST  VLAN技术，如果登录到域中就已经完成了认证，就有权访问网络资源。那么用户在什么情况下被分配到GUEST  VLAN中呢？因为只有一次认证的机会啊。用户要想使用计算机必须要登录到域中，要是不登录好像连计算机也不能进入。

疑问三：对终端用户认证时认证的是这个计算机还是用户帐号？如果对2者都要认证，那么用户换台计算机登录就不能登陆了。如果是对用户进行认证，那为什么还要设置计算机的身份验证？

疑问四：好像都是需要对计算机的身份验证做配置，现在有的计算机没有身份验证这个选项卡，是不是就不能接入到此种网络？是否可以使用802.1X认证客户端呢？

多谢谢各位了

ssffzz1

对于你说的第一个，我只知道客户端下载数字证书。

疑问二：这可以用来实施GUEST  VLAN技术，如果登录到域中就已经完成了认证，就有权访问网络资源。那么用户在什么情况下被分配到GUEST  VLAN中呢？因为只有一次认证的机会啊。用户要想使用计算机必须要登录到域中，要是不登录好像连计算机也不能进入。

//GUEST VLAN 是在认证失败的时候加入的。如果你需要在不认证通过前也可以访问域的话，哪么你就要是GUEST VLAN下的用户可以和AD互通。

疑问三：对终端用户认证时认证的是这个计算机还是用户帐号？如果对2者都要认证，那么用户换台计算机登录就不能登陆了。如果是对用户进行认证，那为什么还要设置计算机的身份验证？
//认证的是用户名。当然你可以和机器的MAC绑定。

疑问四：好像都是需要对计算机的身份验证做配置，现在有的计算机没有身份验证这个选项卡，是不是就不能接入到此种网络？是否可以使用802.1X认证客户端呢？
//通常需要做一些绑定等操作是需要专用客户端的。XP自带的仅能实现认证而已。

yonggang_zhu

非常感谢您的人心回答，现在我是想使客户端通过PEAP的方式进行认证，那么到底是否需要数字证书呢？我看了又的文档，在MD5质询的认证方式下确实不需要数字证书，但是PEAP方式需要数字证书。有的资料说是要完成认证需要三张数字证书   服务器一张    计算机一张    用户帐号一张。真的是够让人费解的。呵呵。

yonggang_zhu

非常感谢各位的回答，使我豁然开朗。现在终于有点眉目了，折腾了3天了。基本原理是明白了，但是实施起来就有点问题了。具体问题如下：
问题就出现在加入域之后。
客户端是在装机的时候，加入域，下载以及安装的证书。（所连接的交换机端口没有做认证限制）
这样，理论上客户端就没问题了。但实际上当我将一个新的客户端接在作了认证限制的交换机端口上，就无法登陆到域了。这里就有问题了，问题就是新客户端默认都是在工作组的工作模式下，如果连接到配置了认证的计算机端口，就不能和域控制器联系，就不能登录到域，和下载证书。也就不能通过认证。

我想有没有一种方案，使新买的计算机直接连接到做了认证的交换机端口上，加入域，下载证书，认证一次完成呢？

上面的方案是计算机和DC都在同一个VLAN里面，DC所连接的交换机端口没有设置认证。

protostar

很好的一个帖子，可惜没有下文了