思科IBNS基于身份的网络服务安全技术解析(2)

可选择方案

用户帐号数据库服务器保存所有用户上网的用户名和密码，不但对安全性要求很高，而且对于日后的网络日常使用、管理和维护有很大的影响，因此需要慎重选择。IBNS体系支持多种用户帐号数据库标准，就目前海尔集团的具体情况考虑，可能有以下几种选择:

o 建立新的标准的LDAP服务器，存放上网用户名和密码。

o 沿用目前的Domino的OA服务器的LDAP服务，和OA系统共用用户名和密码

o 采用CiscoSecure ACS内建的用户帐号数据库

o 采用Windows A.D.服务器，建立Windows域模式，Windows域公用用户名和密码

产品比较

从产品本身比较以上几种方案，我们可以得出以下的比较结果(A表示最优，E表示最差)

推荐方案

1.采用Cisco ACS内建的用户帐户数据库

采用Cisco ACS内建的用户帐户数据库的优势包括:

- 采用CiscoSecure ACS内建数据库，不需要采购并部署额外的设备，没有附加的费用;

- CiscoSecure ACS开箱即用，无需和外部数据库的集成工作，能够快速实施;

- 一体化设计，减少了故障点，提高了可用性;

- 具有良好的复制能力，具有高可用性

2.采用Windows A.D.服务器

采用Windows A.D服务器的优势包括:

- 微软的桌面系统，内建了对802.1x和A.D.的支持，有微软的Windows2000 Server服务器也内建了A.D.服务器，因此不需要购买额外的软件，部署费用并不高.

- 采用Windows A.D. 服务器对理桌面系统的帐号和802.1x帐号进行统一管理，能够简化管理流程。

- 采用Window A.D. 模式，桌面系统可以设置成为透明登陆模式，即登陆计算机和登陆网络一次完成，简化用户使用过程，避免用户名和密码的混乱。

但是采用Windows A.D.服务器也有一定的缺点，例如由于认证/授权和帐号存储分开，因此从某种程度上增加了故障几率;实施需要部署额外的服务器硬件，并需要采用Windows域模式对桌面帐号进行统一，并对802.1x的透明登陆模式进行设置，需要一定的实施时间;同时跨部门协作也会对实施造成一定的影响。

客户端的部署

o 对于WindowsXP客户端，需要升级到ServicePack1，并对EAP协议进行相应的设置。

o 对于Windows2000客户端，需要升级到Service Pack 3 + Hotfix 313664 + Hotfix KB829116 或者 Service Pack 4 + Hotfix KB829116，并对EAP协议进行相应的设置

o 对于使用Windows A.D. 服务器作为用户帐号数据库服务器的情况，经过设置可在桌面实现计算机和网络一次登陆，即在登陆计算机时，Windows自带的802.1x客户端使用Windows A.D. 域上的用户名和密码自动进行802.1x认证。要实现这种设置，需要在计算机上设置相应的机器账号，用于进行网络访问授权前的域登录。