PXE в среде 802.1X
Моя организация собирается внедрить 802.1X на нашем предприятии, но в настоящее время мы используем последовательности развертывания ОС на основе PXE в SCCM. Я ищу способ продолжить использование PXE в среде 802.1X. Наша инфраструктура использует сетевое оборудование Cisco, работающее на 12.2 (или новее). Мы все сети Windows, и все клиенты поддерживают 802.1X. На всех новых рабочих станциях доступна технология Intel AMT (но не настроенная на заводе).
В худшем случае мы будем использовать гостевой vlan для OSD, но я бы предпочел, чтобы OSD возникало во время сеанса с проверкой подлинности. Я видел официальные документы, в которых описывается использование AMT в качестве соискателя для загрузки PXE, но не могу найти подробности реализации...
2 ответа
В итоге мы решили, что наилучшим способом использования PXE с 802.1X было назначение компьютеров без проверки подлинности гостевой VLAN. На маршрутизаторе сеть VLAN доступна только для серверов DC (на которых также находится DHCP), Enterprise CA и PXE. Затем мы добавили записи ip helper-address в VLAN на оба сервера.
После успешного создания образа машины в гостевой VLAN операционная система вступает во владение. Наша последовательность задач позволяет автоматически присоединиться к домену. Затем групповая политика направляет компьютер для получения сертификата клиента и участия в аутентификации 802.1X.
Преимущество этого метода заключается в том, что нам не нужно беспокоиться об обходе MAC-адреса или ручном отключении / повторном включении 802.1X на порту.
Обход MAC-адреса для нас будет затруднительным, поскольку нам потребуется создать учетные записи пользователей в AD MAC-адреса компьютера. Поскольку пароль также является MAC-адресом, нам придется отключить нашу политику сложности паролей, которая не является началом.
Для того, чтобы мы могли использовать AMT для соискателя, нам потребовалось бы выполнить внешнюю инициализацию, что ставит нас в сценарий "курица или яйцо".
Спасибо всем, кто просмотрел / предоставил вклад по этому вопросу.
Вы можете выполнить аутентификацию на основе MAC, если аутентификация 802.1X не удалась, а затем разрешить этим авторизованным MAC-адресам находиться в среде только PXE через специальную VLAN только для PXE.