PXE em um ambiente 802.1X

6

Minha organização está prestes a implementar o 802.1X em nossa empresa, mas atualmente usamos seqüências de implantação de SO baseadas em PXE no SCCM. Estou procurando uma maneira de continuar usando o PXE em um ambiente 802.1X . Nossa infraestrutura usa equipamentos de rede da Cisco rodando em 12.2 (ou mais novos). Somos uma rede totalmente Windows e todos os clientes suportam 802.1X. Todas as novas estações de trabalho têm Intel AMT disponível (mas não configurado de fábrica).

Na pior das hipóteses, usaremos uma vlan para o OSD, mas prefiro que o OSD ocorra em uma sessão autenticada. Já vi white papers descrevendo o uso do AMT para atuar como suplicante para a inicialização do PXE, mas não consigo encontrar nenhum detalhe de implementação ...

    
por newmanth 14.12.2010 / 20:01

2 respostas

2

No final, decidimos que a melhor maneira de usarmos o PXE com o 802.1X era atribuir máquinas não autenticadas a uma VLAN convidada. No roteador, a VLAN é ACL para apenas os servidores DC (que também hospedam DHCP), Enterprise CA e PXE. Em seguida, adicionamos as entradas ip-helper-address à VLAN em ambos os servidores.

Quando a máquina é gravada com sucesso na VLAN convidada, o sistema operacional assume o controle. Nossa sequência de tarefas faz com que ele se junte automaticamente ao domínio. A Diretiva de Grupo direciona a máquina para obter um certificado de cliente e participar da autenticação 802.1X.

A vantagem deste método é que não precisamos nos preocupar com o desvio do endereço MAC ou com a desativação / reativação manual do 802.1X em uma porta.

O desvio de endereços MAC seria difícil para nós, já que isso exigiria que criassemos contas de usuário no AD do endereço MAC da máquina. Como a senha também é o endereço MAC, teríamos que desabilitar nossa política de complexidade de senha, que não é uma novidade.

Para que possamos usar o AMT para o suplicante, é necessário que realizemos o provisionamento fora de banda, o que nos coloca em um cenário de ovo ou galinha.

Obrigado a todos que visualizaram / forneceram informações sobre esta questão.

    
por 29.12.2010 / 20:14
0

Você pode fazer a autenticação baseada em MAC se a autenticação 802.1X falhar e permitir que esses MACs autorizados estejam em um ambiente somente PXE por meio de uma única VLAN especial PXE.

    
por 14.12.2010 / 21:19