autenticação de computador 802.1x usando hostname em vez de cert

7

Minha configuração inclui: Cisco ACS como servidor RADIUS, MS AD, MS PKI, switches Cisco 2960G. As estações de trabalho são 95% do XP Pro SP3 totalmente corrigidas, outras 7 totalmente atualizadas.
Auto-inscrição de certificados de computador habilitados e funcionando.

GPO para

ConfiguraçõesdeNICresultantesdoGPOnaestaçãodetrabalho:

A configuração de porta nos switches é a seguinte:
 acesso switchport vlan 56
 acesso ao modo switchport |  direção-controle de autenticação no
 autenticação falha evento autorizar vlan 66
 autenticação de servidores de eventos mortos ação reinicializar vlan 56
 ação de não-resposta do evento de autenticação autorizar vlan 66
 a ação ativa do servidor de eventos de autenticação reinicializar
 autenticação de modo de host multi-auth
 Autenticação de controle de porta automática |  violação de autenticação proteger
 mab
 dot1x pae authenticator
 spanning-tree portfast

O problema que estou tendo é que, enquanto as máquinas estão sendo inicializadas, elas estão tentando autenticar com seu nome de host em vez de certificado. Isso falha, mas, um minuto depois, eles usam o certificado do computador e a autenticação é bem-sucedida. A configuração está funcionando (principalmente), mas de vez em quando eu recebo um computador (cerca de 250 setup para dot1x até agora) que tenta autenticar com seu nome de host que falha e, em seguida, pára. Se eu reiniciar o serviço autoconfig com fio, ele será autenticado perfeitamente, mas a reinicialização recria o problema.


Também é muito irritante que esses erros apareçam nos registros porque a frequência deles me impede de configurar alertas para me avisar quando um computador não autorizado real tiver sido conectado à rede. isto é, muitos falsos positivos.

Minha pergunta é por que a estação de trabalho tenta autenticar com seu nome de host primeiro quando eu o configurei para usar seu certificado de computador?

No lado sem fio, tudo está funcionando perfeitamente. Cisco AP e WLCs.

EDIT * Eu encontrei um hotfix KB957931 que indica que o XP SP3 irá ignorar o tráfego dot1x por 20 minutos após receber uma mensagem de falha de autenticação. O hotfix permite que você crie uma chave do Registro para modificar essa configuração anteriormente codificada. Apliquei o patch a uma estação de trabalho e mudei o tempo de bloqueio para 1 minuto (o mínimo) e agora, após um minuto, a estação de trabalho autentica, mas não renova seu IP. A espera de um minuto não é ideal nem está a tratar de renovar o IP, pelo que ainda sou bom com a questão original, razão pela qual a caixa escolhe identificar-se com o seu nome em vez do seu certificado?

UPDATE * 1/11/12 Encontrei esse problema novamente hoje e dei uma olhada no cliente. Notei que na guia de autenticação na conexão de rede local, as configurações não estavam mais esmaecidas e foram alteradas para usar senhas em vez de certificados. Eu sei que a política de grupo local é aplicada na inicialização, não importa se o PC pertence a um domínio ou não, e sei que meu GPO de domínio substitui o que está definido localmente. Quando o PC falha na autenticação por algum motivo (falha de energia do equipamento de rede neste caso) ele não mais aplica as políticas do domínio e aparentemente minhas configurações são alteradas. Não sei por que eles estão mudando, já que nenhum GPO local já foi configurado.

Então, além de querer saber porque o PC se identifica com seu nome de host antes de usar seu certificado, agora tenho uma segunda pergunta.

Como faço para criar uma política de grupo local em estações de trabalho XP com as configurações de dot1x (elas estão ausentes dos modelos padrão disponíveis) e como posso empurrá-las para todas as minhas estações de trabalho? Procurei usar modelos de segurança, mas eles não contêm as configurações de que preciso. Eu preciso aplicar as configurações do Computer Config - > Políticas - > Configurações do Windows - > Configurações de segurança - > Serviços do sistema. Esse último bit está ausente dos GPOs locais no XP e também do snap-in SCA.

Deve-se notar que eu já tenho um GPO de domínio que funciona perfeitamente. Existe uma maneira fácil de exportar isso e aplicá-lo como o GPO local para cada estação de trabalho?

Os pontos completos serão recompensados por uma resposta a qualquer pergunta.

    
por Paul Ackerman 19.12.2011 / 19:24

1 resposta

1

Não sei ao certo que essa é a solução, mas estou pensando que, no processo de reinicialização, a máquina está tentando fazer logon "cedo demais", antes dos outros serviços que permitem suporte ao uso do certificado em vez do nome do host. Talvez tente definir o serviço Netlogon como "Automatic (Delayed Start)"?

    
por 20.12.2011 / 03:44