科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道思科IBNS基于身份的网络服务安全技术解析(2)

思科IBNS基于身份的网络服务安全技术解析(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

思科在IEEE 802.1 X标准的基础上,并且进行了进一步的功能扩展,提供了全面的基于身份的网络服务(IBNS),具体的扩展如下.....

作者:论坛整理 来源:ZDNET网络安全 2007年12月16日

关键字: 网络安全 身份认证 IBNS

  • 评论
  • 分享微博
  • 分享邮件
用户帐号数据库服务器的部署

可选择方案

用户帐号数据库服务器保存所有用户上网的用户名和密码,不但对安全性要求很高,而且对于日后的网络日常使用、管理和维护有很大的影响,因此需要慎重选择。IBNS体系支持多种用户帐号数据库标准,就目前海尔集团的具体情况考虑,可能有以下几种选择:

o 建立新的标准的LDAP服务器,存放上网用户名和密码。

o 沿用目前的Domino的OA服务器的LDAP服务,和OA系统共用用户名和密码

o 采用CiscoSecure ACS内建的用户帐号数据库

o 采用Windows A.D.服务器,建立Windows域模式,Windows域公用用户名和密码

产品比较

从产品本身比较以上几种方案,我们可以得出以下的比较结果(A表示最优,E表示最差)

点击放大此图片

推荐方案

1.采用Cisco ACS内建的用户帐户数据库

采用Cisco ACS内建的用户帐户数据库的优势包括:

- 采用CiscoSecure ACS内建数据库,不需要采购并部署额外的设备,没有附加的费用;

- CiscoSecure ACS开箱即用,无需和外部数据库的集成工作,能够快速实施;

- 一体化设计,减少了故障点,提高了可用性;

- 具有良好的复制能力,具有高可用性

2.采用Windows A.D.服务器

采用Windows A.D服务器的优势包括:

- 微软的桌面系统,内建了对802.1x和A.D.的支持,有微软的Windows2000 Server服务器也内建了A.D.服务器,因此不需要购买额外的软件,部署费用并不高.

- 采用Windows A.D. 服务器对理桌面系统的帐号和802.1x帐号进行统一管理,能够简化管理流程。

- 采用Window A.D. 模式,桌面系统可以设置成为透明登陆模式,即登陆计算机和登陆网络一次完成,简化用户使用过程,避免用户名和密码的混乱。

但是采用Windows A.D.服务器也有一定的缺点,例如由于认证/授权和帐号存储分开,因此从某种程度上增加了故障几率;实施需要部署额外的服务器硬件,并需要采用Windows域模式对桌面帐号进行统一,并对802.1x的透明登陆模式进行设置,需要一定的实施时间;同时跨部门协作也会对实施造成一定的影响。

客户端的部署

o 对于WindowsXP客户端,需要升级到ServicePack1,并对EAP协议进行相应的设置。

o 对于Windows2000客户端,需要升级到Service Pack 3 + Hotfix 313664 + Hotfix KB829116 或者 Service Pack 4 + Hotfix KB829116,并对EAP协议进行相应的设置

o 对于使用Windows A.D. 服务器作为用户帐号数据库服务器的情况,经过设置可在桌面实现计算机和网络一次登陆,即在登陆计算机时,Windows自带的802.1x客户端使用Windows A.D. 域上的用户名和密码自动进行802.1x认证。要实现这种设置,需要在计算机上设置相应的机器账号,用于进行网络访问授权前的域登录。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章