Cisco Cisco Identity Services Engine 1.0.4 Mode D’Emploi
操作指南
-40-Web 身份验证设计指南
5
Web 身份验证
为什么要使用
Web 身份验证?
TrustSec 解决方案依赖于三种机制对用户和设备进行身份验证:
•
IEEE 802.1X 是用于具有嵌入式请求方的用户和终端的主要身份验证协议。
•
MAC 身份验证绕行 (MAB) 用于对不能执行 IEEE 802.1X 的终端进行身份验证,它需要维护所有可信任终
端的
MAC 地址的数据库。
•
Web 身份验证是第三种机制。它向用户提供一个 Web 门户,用户可以通过其提交凭证和对网络进行身份
验证。
Web 身份验证主要在以下案例中使用:
•
对临时用户进行身份验证。
组织必须为临时用户(如访客和承包商)提供网络访问权限。临时用户很可能使用不受组织的
IT 服务控
制的设备。因此,临时用户将不会将终端配置为用于
IEEE 802.1X。Web 身份验证是用于对此类用户进行
身份验证和签署可接受的用户策略的一种便利机制。对临时访问用户进行身份验证还有额外好处,即能够
监控其活动,从而使组织满足合规性要求。
监控其活动,从而使组织满足合规性要求。
•
作为常规网络用户的备用身份验证机制。
通常,如果常规网络用户将设备配置为
IEEE 802.1X 设备,则可能会出现身份验证失败的情况。造成这种
情况的原因很多,例如密码
/证书到期以及请求方配置错误。Web 身份验证可为此类用户提供一种对其自
身进行身份验证的方法,并对阻止其通过
IEEE 802.1X 进行身份验证的问题加以修复。
•
设备注册。
用户通常具有用于访问互联网和其他企业应用的个人设备,如平板电脑和智能手机。对于
IT 而言,能够
将每个此类设备与用户关联起来,从而帮助确保设备具有适当的网络资源访问权限,其重要性日益增加。
Web 身份验证可以用作一种允许用户注册其个人设备的方法。注册后,即可根据组织的安全策略和用户
在组织中的角色,为设备提供完整或有限的网络资源访问权限。
Web 身份验证可以用作一种允许用户注册其个人设备的方法。注册后,即可根据组织的安全策略和用户
在组织中的角色,为设备提供完整或有限的网络资源访问权限。
Web 身份验证流程
典型的
Web 身份验证流程包括以下活动:
1.
用户尝试连接到有线网络。用户可以是 IEEE 802.1X 身份验证失败的访客/承包商或员工。IEEE 802.1X 身
份验证失败的原因不尽相同,可能是请求方配置错误,也可能是凭证到期。
2.
IEEE 802.1X 超时后,交换机将尝试执行 MAB。MAB 也会造成身份验证失败。
3.
此时,系统会调用 Web 身份验证。可以使用以下两种方式之一完成此任务:
•
本地 Web 身份验证 (LWA) 。
LWA 是网络接入设备、交换机或无线局域网控制器 (WLC) 在本地处理 Web 身份验证的过程。
它要求通过
它要求通过
Web 门户页面配置每个网络接入设备。在生产网络中,配置和管理每个网络接入设备
上的
Web 门户是一项艰难的任务。LWA 仅支持基于访问控制列表 (ACL) 的实施,并不支持
RADIUS 授权变更 (CoA)。根据分析,安全状态评估和实施需要进行 RADIUS CoA。