Cisco Cisco Identity Services Engine 1.3 작동 가이드

操作指南

-40-Web  身份验证设计指南 

5 

Web  身份验证   

为什么要使用

  Web  身份验证？ 

TrustSec  解决方案依赖于三种机制对用户和设备进行身份验证： 

•

  IEEE 802.1X  是用于具有嵌入式请求方的用户和终端的主要身份验证协议。 

•

  MAC  身份验证绕行  (MAB)  用于对不能执行  IEEE 802.1X  的终端进行身份验证，它需要维护所有可信任终

端的

  MAC  地址的数据库。 

•

  Web  身份验证是第三种机制。它向用户提供一个  Web  门户，用户可以通过其提交凭证和对网络进行身份

验证。

 

Web  身份验证主要在以下案例中使用： 

•

  对临时用户进行身份验证。 

组织必须为临时用户（如访客和承包商）提供网络访问权限。临时用户很可能使用不受组织的

  IT  服务控

制的设备。因此，临时用户将不会将终端配置为用于

  IEEE 802.1X。Web  身份验证是用于对此类用户进行

身份验证和签署可接受的用户策略的一种便利机制。对临时访问用户进行身份验证还有额外好处，即能够
监控其活动，从而使组织满足合规性要求。

 

•

  作为常规网络用户的备用身份验证机制。 

通常，如果常规网络用户将设备配置为

  IEEE 802.1X  设备，则可能会出现身份验证失败的情况。造成这种

情况的原因很多，例如密码

/证书到期以及请求方配置错误。Web  身份验证可为此类用户提供一种对其自

身进行身份验证的方法，并对阻止其通过

  IEEE 802.1X  进行身份验证的问题加以修复。 

•

  设备注册。 

用户通常具有用于访问互联网和其他企业应用的个人设备，如平板电脑和智能手机。对于

  IT  而言，能够

将每个此类设备与用户关联起来，从而帮助确保设备具有适当的网络资源访问权限，其重要性日益增加。
Web  身份验证可以用作一种允许用户注册其个人设备的方法。注册后，即可根据组织的安全策略和用户
在组织中的角色，为设备提供完整或有限的网络资源访问权限。

 

Web  身份验证流程 

典型的

  Web  身份验证流程包括以下活动： 

1.

  用户尝试连接到有线网络。用户可以是  IEEE 802.1X  身份验证失败的访客/承包商或员工。IEEE 802.1X  身

份验证失败的原因不尽相同，可能是请求方配置错误，也可能是凭证到期。

 

2.

  IEEE 802.1X  超时后，交换机将尝试执行  MAB。MAB  也会造成身份验证失败。 

3.

  此时，系统会调用  Web  身份验证。可以使用以下两种方式之一完成此任务： 

•

  本地  Web  身份验证  (LWA)  。 

LWA  是网络接入设备、交换机或无线局域网控制器  (WLC)  在本地处理  Web  身份验证的过程。
它要求通过

  Web  门户页面配置每个网络接入设备。在生产网络中，配置和管理每个网络接入设备

上的

  Web  门户是一项艰难的任务。LWA  仅支持基于访问控制列表  (ACL)  的实施，并不支持 

RADIUS  授权变更  (CoA)。根据分析，安全状态评估和实施需要进行  RADIUS CoA。