web-dev-qa-db-ja.com

802.1X環境でのPXE

私の組織は企業に802.1Xを実装しようとしていますが、現在、SCCMでPXEベースのOS展開シーケンスを使用しています。 802.1X環境でPXEを引き続き使用する方法を探しています。当社のインフラストラクチャは、12.2(またはそれ以降)で動作するシスコのネットワーク機器を使用しています。私たちはすべてWindowsネットワークであり、すべてのクライアントが802.1Xをサポートしています。すべての新しいワークステーションでIntelAMTを使用できます(ただし、工場で構成されていません)。

最悪のシナリオでは、OSDにゲストVLANを使用しますが、認証されたセッションでOSDを発生させたいと思います。 AMTを使用してPXEブートのサプリカントとして機能することを説明しているホワイトペーパーを見たことがありますが、実装の詳細が見つかりません...

6
newmanth

最終的に、802.1XでPXEを使用するための最良の方法は、認証されていないマシンをゲストVLANに割り当てることであると判断しました。ルーターでは、VLANは、DC(DHCPもホスト)、エンタープライズCA、およびPXEサーバーのみにACLされます。次に、ipを追加しました。両方のサーバーへのVLANへのヘルパーアドレスエントリ。

マシンがゲストVLANで正常にイメージ化されると、オペレーティングシステムが引き継ぎます。タスクシーケンスでは、自動的にドメインに参加します。次に、グループポリシーは、クライアント証明書を取得して802.1X認証に参加するようにマシンに指示します。

この方法の利点は、MACアドレスのバイパスや、ポートで802.1Xを手動で無効化/再有効化することを心配する必要がないことです。

MACアドレスのバイパスは、マシンのMACアドレスのADにユーザーアカウントを作成する必要があるため、実行が困難です。パスワードもMACアドレスであるため、パスワードの複雑さに関するポリシーを無効にする必要があります。これは初心者ではありません。

サプリカントにAMTを使用するには、帯域外プロビジョニングを実行する必要があります。これにより、鶏が先か卵が先かというシナリオになります。

この質問を閲覧/提供してくださった皆様、ありがとうございました。

2
newmanth

802.1X認証が失敗した場合にMACベースの認証を実行し、それらの許可されたMACが特別なPXEのみのVLANを介してPXEのみの環境にあることを許可できます。

0
tegbains