Sử dụng máy khách 802 1X hãng thứ ba trong Windows

Quản trị mạngTriển khai sử dụng xác thực 802.1X để truy cập không dây hay chạy dây trong mạng có nghĩa người dùng phải cài đặt máy khách 802.1X trên máy tính hoặc thiết bị của họ. Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số modul của các hãng thứ ba trong trường hợp bạn thực thi kiểu EAP ít được sử dụng mà bản thân Windows không hỗ trợ.

Máy khách truyền thông với máy chủ RADIUS (chẳng hạn như NPS hoặc IAS trên Windows Server) qua điểm truy cập hoặc switch bằng một vài giao thức EAP khác nhau. Từ Windows 2000 SP4, Microsoft đã có sự hỗ trợ cho các giao thức EAP-TLS và Protected EAP (PEAP).

Mặc dù vậy rất có thể có trường hợp bạn cần sử dụng đến các giao thức EAP khác (chẳng hạn như EAP-TTLS, EAP-FAST hoặc LEAP) nếu ở đó các điểm truy cập, switch hoặc máy chủ RADIUS của bạn không hỗ trợ (hoặc không được cấu hình) EAP-TLS hoặc PEAP. Trong trường hợp này, bạn phải cài đặt và sử dụng máy khách 802.1X của hãng khác trên các máy tính Windows. Mặc dù vậy chúng ta cần phải chắc chắn máy chủ RADIUS cũng hỗ trợ giao thức đó. Lưu ý; NPS và IAS trên Windows Server chỉ hỗ trợ EAP-TLS và PEAP.

SecureW2 Enterprise Client

SecureW2 Enterprise Client là một sản phẩm thương mại của SecureW2 B.V. (một công ty Hà Lan). Nó hỗ trợ các máy tính 32-bit và 64-bit chạy Windows XP, Windows Vista và Windows 7, bất cứ gói dịch vụ được cài đặt là gì. Thêm vào đó, các hệ thống 32-bit và 64-bit đang chạy Windows Server 2003 và 2008 cũng được hỗ trợ. Mặc dù vậy các bạn cần lưu ý sản phẩm không hỗ trợ cho Mac OS X hay Linux.

SecureW2 cũng cung cấp các giải pháp máy khách di động, hỗ trợ cho các máy tính Pocket của Microsoft và Smartphone 2002/2003, Windows Mobile 2003/2003 SE và Windows Mobile 5, 6, 6.1, 6.5. Hiện hành, nền tảng Windows Phone 7 mới chưa được hỗ trợ.

Giao diện của SecureW2 Enterprise Client (hình 1) cho phép bạn cấu hình các thiết lập xác thực cho các kết nối chạy dây và không dây. Nó không vô hiệu hóa tiện ích không dây kèm theo của Windows, do đó người dùng có thể quản lý các thiết lập kết nối mạng khác với giao diện Windows thân thiện.


Hình 1

SecureW2 Enterprise Client hỗ trợ các kiểu EAP dưới đây:

  • EAP-PEAP
  • EAP-TTLS
  • EAP-GTC
  • EAP-SIM

SecureW2 Enterprise Client cung cấp nhiều tính năng khác ngoài các tính năng cơ bản của một máy khách 802.1X. Bạn có thể cung cấp các thiết lập xác thực thông qua XML, INF hoặc INI cho các cài đặt. Ngoài ra bạn cũng có thể tạo các gói MSI có chứa các thiết lập và chứng chỉ. Có thể khóa các thiết lập xác thực để tránh người dùng thay đổi chúng. Có thể tự động vô hiệu hóa giao diện không dây khi kết nối chạy dây được thiết lập.

Cisco Secure Services Client

Nếu bạn đang muốn lựa chọn một sản phẩm của Cisco, thứ mà chúng tôi muốn giới thiệu cho các bạn ở đây là Cisco Secure Services Client. Hiện tại các phiên bản 32-bit của Windows 2000, Windows 2003 Server Enterprise Edition và XP Professional đều được hỗ trợ, bên cạnh đó còn có các phiên bản 32-bit và 64-bit của Windows Vista Business, Enterprise và Ultimate cũng được hỗ trợ.

Cần nhớ rằng, Cisco cũng cung cấp nhiều modul cho việc bổ sung sự hỗ trợ EAP-LEAP và EAP-FAST vào giao diện không dây của Windows Vista và Windows 7, đây là modul mà chúng tôi sẽ giới thiệu trong phần dưới.

Cisco Secure Services Client chỉ có một tập tính năng hạn chế đối với các đăng ký miễn phí và dùng thử. Để có thêm các tính năng quan trọng, bạn cần phải mua một đăng ký, giá được cung cấp bắt đầu từ 60$ cho 250 máy.

Cisco Secure Services Client có giao diện người dùng (hình 2) và là phiên bản được nâng cấp lên từ ứng dụng phần mềm AEGIS SecureConnect cũ của Meetinghouse. Các kiểu EAP hỗ trợ được liệt kê dưới đây:

  • EAP-PEAP
  • EAP-FAST
  • EAP-LEAP
  • EAP-TLS (Windows 2000/XP only)
  • EAP-TTLS (Windows 2000/XP only)
  • EAP-MD5 (Windows 2000/XP only)
  • EAP-GTC (Windows 2000/XP only)


Hình 2

Cisco Secure Services Client cũng có tính năng kết nối VPN tự động, tính năng này có thể được sử dụng khi Cisco IPSec VPN client được cài đặt để giảm thiểu sự can thiệp của người dùng khi thiết lập kết nối VPN. Thêm vào đó, nó còn có khả năng ngăn chặn người dùng tự ý thay đổi cấu hình.

Các modul EAP-LEAP và EAP-FAST

Nếu bạn muốn sử dụng các giao thức EAP-LEAP hay EAP-FAST và người dùng đang sử dụng Windows Vista hoặc Windows 7 (32-bit hay 64-bit), bạn có thể sử dụng các modul miễn phí của Cisco để hỗ trợ thêm cho giao diện Windows. Thay vì phải sử dụng một chương trình của hãng thứ ba (giống như Cisco Secure Services Client), bạn cần phải cấu hình các thiết lập thông qua Network Properties trong Windows, xem thể hiện trong hình 3 bên dưới.


Hình 3

Mặc dù vậy chúng ta vẫn phải cần một chút thủ thuật để cài đặt các modul EAP-LEAP và EAP-FAST. Đôi khi Windows Update tự động download và cài đặt các modul này, khi đó chúng sẽ thấy xuất hiện như một phương pháp xác thực trên hộp thoại Network Properties. Hay đôi khi chúng ta phải thay đổi Registry để thực hiện được việc này.

Xsupplicant của Open1X

Xsupplicant là một dự án mã nguồn mở miễn phí của Open1X và trước đó là OpenSEA. Tuy nhiên, chỉ các phiên bản Windows XP (32-bit) và Linux (32 và 64 bit) mới chính thức được hỗ trợ. Sự hỗ trợ cho Windows Vista và Windows 7 (32 và 64 bit) còn đang được triển khai nghiên cứu.

Xsupplicant cung cấp ứng dụng GUI (xem hình 4) để việc quản lý giao diện Wi-Fi có thêm xác thực 802.1X cho các kết nối không dây và chạy dây. Nó cũng có một tính năng ghi chép và cho phép thiết lập các thiết lập xác thực nâng cao cũng như các bộ định thời. Ưu điểm của việc sử dụng phương pháp này là bạn có một dải rộng các kiểu EAP được hỗ trợ:

  • EAP-PEAP
  • EAP-FAST
  • EAP-LEAP
  • EAP-TLS
  • EAP-TTLS
  • EAP-MSCHAPv2
  • EAP-MD5
  • EAP-AKA
  • EAP-GTC
  • EAP-OTP
  • EAP-SIM
  • EAP-TNC


Hình 4

WPA_Supplicant

Wpa_supplicant là một dự án mã nguồn mở miễn phía khác có hỗ trợ các kết nối không dây và chạy dây. Máy khách này có thể chạy trên Windows2000 và XP, Mac OS X, Linux và BSD. Mặc dù nó không hỗ trợ Windows Vista và các phiên bản mới sau này nhưng máy khách này cung cấp cho bạn cùng kiểu cấu hình trong một loạt các hệ điều hành và driver không dây khác. Nó có giao diện GUI (wpa_gui) như thể hiện trong hình 5 bên dưới.


Hình 5

Wpa_supplicant hỗ trợ một loạt kiểu EAP dưới đây:

  • EAP-PEAP
  • EAP-FAST
  • EAP-LEAP
  • EAP-TLS
  • EAP-TTLS
  • EAP-MSCHAPv2
  • EAP-MD5
  • EAP-AKA
  • EAP-GTC
  • EAP-OTP
  • EAP-SIM
  • EAP-TNC
  • EAP-GPSK
  • EAP-IKEv2
  • EAP-PAX
  • EAP-SAKE
Thứ Bảy, 07/05/2011 08:35
31 👨 1.872
0 Bình luận
Sắp xếp theo