new*_*nth 6 802.1 pxe-boot amt
我的组织即将在我们的企业中实施 802.1X,但我们目前在 SCCM 中使用基于 PXE 的操作系统部署序列。 我正在寻找一种在 802.1X 环境中继续使用 PXE 的方法。我们的基础设施使用运行于 12.2(或更高版本)的 Cisco 网络设备。我们是一个全 Windows 网络,所有客户端都支持 802.1X。所有新工作站都有可用的 Intel AMT(但不是出厂配置)。
在最坏的情况下,我们将为 OSD 使用来宾 vlan,但我更希望 OSD 发生在经过身份验证的会话中。我看过白皮书描述使用 AMT 作为 PXE 启动的请求者,但找不到任何实现细节......
最后,我们决定将 PXE 与 802.1X 结合使用的最佳方法是将未经身份验证的计算机分配给访客 VLAN。在路由器上,VLAN 仅对 DC(还托管 DHCP)、企业 CA 和 PXE 服务器进行 ACL。然后,我们将 ip helper-address 条目添加到两台服务器的 VLAN 中。
一旦计算机在访客 VLAN 上成功成像,操作系统就会接管。我们的任务序列让它自动加入域。然后,组策略指示计算机获取客户端证书并参与 802.1X 身份验证。
这种方法的优点是我们不必担心 MAC 地址绕过或手动禁用/重新启用端口上的 802.1X。
MAC地址旁路对我们来说很难做到,因为它需要我们在机器MAC地址的AD中创建用户帐户。由于密码也是 MAC 地址,因此我们必须禁用密码复杂性策略,这是行不通的。
为了让我们为请求者使用 AMT,我们需要执行带外配置,这使我们陷入先有鸡还是先有蛋的情况。
感谢所有查看/提供有关此问题的意见的人。
| 归档时间: |
|
| 查看次数: |
8036 次 |
| 最近记录: |