成功部署802.1X的六個訣竅

● 不要提示用戶授權(quán)新服務器或者可信證書頒發(fā)機構(gòu)：應該啟用以自動拒絕位置RADIUS服務器，而不是提示用戶他們具有接受和連接的能力。

在Windows Visat和更高版本中，前兩個設置應該在用戶第一次登陸時，自動啟用和配置。然而，最后一個設置應該手動啟用，或者通過組策略或者其他分發(fā)方法來啟用。在Windows XP中，用戶必須手動配置所有設置，或者你也可以使用組策略或者其他分發(fā)方法。

對于不同的移動設備，802.1X設置在移動操作系統(tǒng)間有所不同。例如，Android只提供基本的802.1設置，而安裝和選擇RADIUS服務器的根證書以執(zhí)行服務器驗證功能屬于可選功能。iOS允許你制定證書/域名稱，還可以忽略其他證書以提高服務器驗證的可靠性。

6、保護RADIUS服務器

不要忘了RADIUS服務器的安全性問題，畢竟它是處理驗證的主要服務器。考慮專門使用一個單獨的服務器來作為RADIUS服務器，確保其防火墻被鎖定，并對位于另一臺服務器上的RADIUS服務器用的任何數(shù)據(jù)庫連接使用加密鏈接。

當生成共享秘密時，你需要輸入到NAS(網(wǎng)絡接入服務器)客戶端列表或者RADIUS服務器數(shù)據(jù)庫，使用強大的秘密。由于用戶不必知道或者記住它們，可以使用非常長且復雜的秘密。請記住，大多數(shù)RADIUS服務器和NAS設備最多支持32個字符。

由于802.1X很容易受到中間人攻擊，尤其是用戶密碼，所以請確保用戶密碼的安全性。如果你有一個類似Active Directory的目錄服務，你可以執(zhí)行密碼政策以確保密碼足夠復雜和定期更換。

總結(jié)

請記住，應該對你網(wǎng)絡的有線和無線部分都考慮采用802.1X。在選購服務器之前，確保你沒有RADIUS功能，然后再考慮免費的或者低成本的服務器。為了緩解部署工作，可以考慮從第三方證書頒發(fā)機構(gòu)購買服務器的數(shù)字證書。考慮使用幫助自動化非域計算機和設備的配置工作的解決方案。最后，但并非不重要的一點，確保你的802.1X服務器和客戶端設置得到安全配置。