成功部署802.1X的六個訣竅

● 不要提示用戶授權(quán)新服務(wù)器或者可信證書頒發(fā)機構(gòu)：應(yīng)該啟用以自動拒絕位置RADIUS服務(wù)器，而不是提示用戶他們具有接受和連接的能力。

在Windows Visat和更高版本中，前兩個設(shè)置應(yīng)該在用戶第一次登陸時，自動啟用和配置。然而，最后一個設(shè)置應(yīng)該手動啟用，或者通過組策略或者其他分發(fā)方法來啟用。在Windows XP中，用戶必須手動配置所有設(shè)置，或者你也可以使用組策略或者其他分發(fā)方法。

對于不同的移動設(shè)備，802.1X設(shè)置在移動操作系統(tǒng)間有所不同。例如，Android只提供基本的802.1設(shè)置，而安裝和選擇RADIUS服務(wù)器的根證書以執(zhí)行服務(wù)器驗證功能屬于可選功能。iOS允許你制定證書/域名稱，還可以忽略其他證書以提高服務(wù)器驗證的可靠性。

6、保護RADIUS服務(wù)器

不要忘了RADIUS服務(wù)器的安全性問題，畢竟它是處理驗證的主要服務(wù)器。考慮專門使用一個單獨的服務(wù)器來作為RADIUS服務(wù)器，確保其防火墻被鎖定，并對位于另一臺服務(wù)器上的RADIUS服務(wù)器用的任何數(shù)據(jù)庫連接使用加密鏈接。

當生成共享秘密時，你需要輸入到NAS(網(wǎng)絡(luò)接入服務(wù)器)客戶端列表或者RADIUS服務(wù)器數(shù)據(jù)庫，使用強大的秘密。由于用戶不必知道或者記住它們，可以使用非常長且復(fù)雜的秘密。請記住，大多數(shù)RADIUS服務(wù)器和NAS設(shè)備最多支持32個字符。

由于802.1X很容易受到中間人攻擊，尤其是用戶密碼，所以請確保用戶密碼的安全性。如果你有一個類似Active Directory的目錄服務(wù)，你可以執(zhí)行密碼政策以確保密碼足夠復(fù)雜和定期更換。

總結(jié)

請記住，應(yīng)該對你網(wǎng)絡(luò)的有線和無線部分都考慮采用802.1X。在選購服務(wù)器之前，確保你沒有RADIUS功能，然后再考慮免費的或者低成本的服務(wù)器。為了緩解部署工作，可以考慮從第三方證書頒發(fā)機構(gòu)購買服務(wù)器的數(shù)字證書。考慮使用幫助自動化非域計算機和設(shè)備的配置工作的解決方案。最后，但并非不重要的一點，確保你的802.1X服務(wù)器和客戶端設(shè)置得到安全配置。