Transcript EAD身份认证培训讲义
EAD解决方案培训 EAD解决方案定义 EAD解决方案定义 终端准入控制( End User Admission Domination )解决 方案从最终用户的安全控制入手,对接入网络的终端实施 安全准入策略,确保网络安全。 www.h3c.com 1 终端用户安全接入四步曲 你安全吗? 身份认证 接入请求 你可以做什么 ? 安全检查 合法用户 非法用户 拒绝入网 动态授权 合格用户 安全检查不 合格进入隔 离区修复 企业网络 不同用户享 受不同的网 络使用权限 你是谁? 隔离区 你在做什么 ? www.h3c.com 实时监控 2 EAD基本认证流程 6. 服务服务器下 发检查结果、修 复策略以及设置 在线监控任务等 4. 服务器下发安全 检查项 Internet iMC服务器 2. 身份认证成功,通 知客户端进行安全检查 1. iNode客户端 发起认证请求 安全联动设备 5. iNode客户端执行 安全策略并上报安全 检查结果 iNode客户端 3. iNode客户端 请求安全检查项 www.h3c.com 第三方服务器 用于修复终端安全隐患 3 EAD解决方案的四个重要组成部分 iNode智能客户端 安全联动设备 EAD终端 准入控制 解决方案 第三方安全相关服务器 iMC服务器 www.h3c.com 4 EAD方案的四个组成部分 一、IMC服务器(核心) 处理认证信息,安全检查,授权。是业务的核心 www.h3c.com 5 EAD方案的四个组成部分 二、交换机(中介、关卡) 在客户端和服务器之间转达消息,控制需要认证的地址信息。 www.h3c.com 6 EAD方案的四个组成部分 三、第三方安全联动服务器第三方安全相关服务器 安装微软补丁服务器、杀毒软件Server端,用于补丁升级或者 杀毒软件病毒库版本升级 www.h3c.com 7 EAD方案的四个组成部分 四、客户端(个人电脑) 1.安装了客户端的个人电脑,通过客户端发起访问,把系统的 相关安全信息送到服务器上进行检查。 2.根据检查的结果,服务器规定了客户端的访问权限。 www.h3c.com 8 跟客户端相关的内容 个人电脑 www.h3c.com 笔记本电脑 9 客户端的作用 1.发起认证,将用户名/密码发到服务器进行认证 2.收集系统的安全信息,包括系统补丁情况/杀毒软件的病毒库 信息,发给服务器。 3.根据服务器反馈的消息,允许上线或者下线 4.假如安全检查不通过,触发第三方软件去升级。比如触发微 软WSUS客户端向WSUS服务器下载补丁、提示杀毒软件升级病毒 库 www.h3c.com 10 客户端下载 2 3 www.h3c.com 11 客户端的安装 1.点击安装程序iNodeSetup3.60-6206.exe 2.根据情况选择下一步,直到开始安装 www.h3c.com 12 客户端的安装 3.等待软件自动安装 www.h3c.com 13 客户端的安装 4.安装完成之后,需重启电脑 www.h3c.com 14 客户端的安装 5.重启之后,点击桌面或者开始菜单的iNode快捷方式,开始认证 www.h3c.com 15 客户端的安装 6.安装完成之后,需重启电脑 www.h3c.com 16 客户端的安装 7.如果是第一次认证,软件会提示 新建链接,点击确认 8.开始新建链接过程 www.h3c.com 17 客户端的安装 9.选择“Portal协议” 10.选择“普通链接” www.h3c.com 18 客户端的安装 11.输入用户名和密码,勾选“上传客户端版本”,默认已经勾 选 12.点击下一步完成 www.h3c.com 19 客户端的安装 13.这样一个链接就建立好了, www.h3c.com 20 客户端的安装 14.双击链接或者右键选择“连接”,或者点中链接后 点击工具栏的连接,开始发起认证。跳出窗口,确认用户名密 码后点击连接 www.h3c.com 21 客户端的安装 16.最终检查完成,根据提示进行访问。 可以点击工具栏右上 方的叹号图标,查看安全检查结果 www.h3c.com 22 客户端的安装 17.结果里面有关于各个检查项的检查结果,根据检查结果去做 相应的完善。 www.h3c.com 23 客户端的安装 18.认证之后,可以关掉iNode客户端界面,让它保留在任务栏 的右下角。但不能退出,如果不需要上网了,再退出。 www.h3c.com 24 使用过程的一些说明-操作系统 操作系统的要求: Windows 2000 Windows XP(简体中文版) Windows Server 2003 Windows Vista iNode支持在以上操作系统上安装。 注:如果操作系统存在问题,iNode可能无法安装。 www.h3c.com 25 使用过程的一些说明-杀毒软件 inode支持联动的杀毒软件以及杀毒引擎的版本要求见《EAD 实 施说明.doc》,如果不是支持列表中的杀毒软件和版本,将不会 检测出来。 注:建议安装支持列表中的杀毒软件,并将版本升级到配套版本 建议安装正版的杀毒软件 www.h3c.com 26 使用过程的一些说明-系统补丁 系统补丁检查的流程: 1.iNode客户端触发WSUS客户端到WSUS服务器上进行检查; 2.如果检查到的有补丁需要安装,下载补丁; 3.补丁自动安装 检查补丁失败和无法下载安装补丁的原因: 1.由于网络不可达,或者防火墙阻挡客户端与补丁服务器的通信故障和 服务器出现异常(例如死机)导致。 2. WSUS update (微软系统更新进程)进程未运行。 3.如果操作系统是非正版或者是剪切版的,可能存在部分补丁无法安装 的问题。可以上网搜索相应的补丁安装说明,采用手工的方式安装。 www.h3c.com 27 使用过程的一些说明-客户端认证 客户端认证过程中,可能存在认证失败的问题的原因 1.客户端与EAD服务器通信问题即之间的网络出现异常,网络中断 2.inode 客户端 服务器地址填写有误或未填写。 3.由于某些原因,直接在inode客户端未下线的情况下,修改自己IP地址, 再进行认证,则会出现在线数量限制导致认证失败问题的提示。 4.多个人共用一个账号,用户在线数量达到上限。 解决办法: 1.保证网络正常。 2.inode客户端属性的“网络”选项框里面填写正确的EAD服务器地址, 在网络正常情况下进行认证。 3.下线时,尽量在inode客户端里,点击下线处理。也尽量不要随意修改 自己的IP地址,若修改IP地址,请先inode客户端正确下线后,再进行修 改IP地址操作。 4.对于公共机,请用完资源后,进行inode客户端正确下线处理,保证后 续人员可以正常认证上线,访问资源。 www.h3c.com 28 自助服务中心 www.h3c.com 29 使用过程的一些说明-修改密码 认证通过之后,可以在iNode客户端的“操作菜单”->“在线修改密码”, 更改密码 www.h3c.com 30 杭州华三通信技术有限公司 www.h3c.com