细节三:单点登录
我们测试的时候非常顺利地实现了802.1x和微软AD的单点登录,但是看似简单的操作,实际上是暗流涌动。
思科提出了一个主机认证的解决方案,解决了802.1x与Windows域登录的矛盾。为了避免802.1x认证过程中出现的多个VLAN切换造成的通信中断,思科提出了一些设计建议,即尽可能不要在主机ID认证和用户ID认证过程中进行VLAN域的切换,而鉴权后的访问控制可以用Per User ACL的方式来进行控制。另一个方法是通过脚本做一个ipconfig /renew的操作。
思科的CTA软件很好地和微软的AD系统进行了集成,实现单点认证登录。我们此次测试尝试了基于EAP-MD5、EAP-OTP、EAP-TLS的802.1x认证方法。
