《深圳能源选择宁盾无线认证平台-为员工访客提供身份安全认证》由会员分享,可在线阅读,更多相关《深圳能源选择宁盾无线认证平台-为员工访客提供身份安全认证(2页珍藏版)》请在金锄头文库上搜索。
1、深圳能源选择宁盾无线认证平台,为员工访客提供身份安全认证一、客户简介深圳能源集团前身系深圳市能源集团,是全国电力行业第一家在深圳上市的大型股份制企业,自建立以来逐渐形成了庞大的网络设备及上网用户体系。随着集团传统有线业务向无线端转移,无线上网账号的管理也越来越受到重视,以实现对内部员工、外来访客接入无线网络执行严格的准入控制策略,增强企业网络的安全性及可控性。二、项目分析1、客户需求深圳能源通过思科瘦AP+AC架构实现无线覆盖,目前员工、访客采用WPA/WPA2认证方式连接无线,导致IT管理人员难以对无线使用进行管控,也无法甄别用户属性,实名制审计比较困难。分析需求如下:在现有无线网络条件下,
2、不新增任何无线网络设备,无缝实现登录接入管理;支持多种认证方式,对应不同的上网用户(内部员工、外包人员、普通访客),增强企业内、外网的安全性及可控性;与AD域对接,实现内部员工通过AD域账号源认证登录;与深圳能源集团短信网关对接,实现域账号的双因素认证;配合行为管理,实现上网实名审计。2、项目目标通过在现有网络环境中部署宁盾一体化认证平台,实现如下目标:企业内部员工实现802.1X+AD+双因素认证;访客企业外包人员实现邮件审批认证;访客普通访客实现协助扫码认证;与Cisco AC(无线控制器)对接,为员工及访客推送Portal页面,并实现无感知认证;提供上网用户信息报表,如 号、在线时间、流
3、量等;对接专业的上网行为管理设备,实现上网实名审计。三、解决方案1、方案概述在2台服务器上进行部署,服务器1安装宁盾一体化认证平台,对接Cisco WLC、对接AD辅助域控制器读取用户数据、对接集团短信网关做短信密码认证,服务器2安装AD辅助域控、网络策略和访问服务(NPS),安装辅助域控将无线认证设置在辅助域控上进行,可以减少无线认证对AD域控的性能消耗,NPS用作Radius认证报文的策略转发。2、网络拓扑项目中主要产品有宁盾一体化认证平台、Cisco无线控制器、AD域、短信网关、上网行为管理设备等。四、无线认证流程1、内部员工认证流程认证方式:802.1X+AD+双因素认证流程详解:内部
4、员工默认通过802.1X+AD进行认证,如认证不成功则转三层Portal通过AD+双因素进行认证,认证成功绑定MAC,成功接入WLAN网络,下次认证默认通过802.1X+AD方式;认证成功后再次连接无线网络时无需输入AD账号密码(通过MAC无感知认证)。访问权限(内网、外网):全部。2、访客外包人员认证流程认证方式:邮件审批认证流程详解:外包人员通过Portal进入申请信息提交界面,输入业务管理员(内部员工)的邮箱及本人的公司信息、联系 、来访事由等内容,然后点击提交;业务管理员(内部员工)会收到认证系统的审批邮件,点击审批邮件的审批链接,进入审批界面,可对该外包人员进行账号有效时间设置、审批
5、意见填写、是否通过审批等操作;如审批通过,认证系统将生成随机秘钥以短信方式发给外包人员,外包人员以申请时填写的 号作为用户名接入无线;如审批未通过,认证系统会将未通过信息发至申请人 。访问权限(内网、外网):全部。3、访客普通访客认证流程认证方式:协助扫码认证流程详解:访客通过Portal页面选择协助扫码认证,系统生成认证二维码,接待人员(内部员工)采用移动终端(前提是已连入WIFI网络)任意二维码扫描工具扫描访客终端Web中的二维码,系统会在接待人员的终端页面提示输入授权信息(AD账户/密码),接待人员输入授权信息并点击授权,如授权信息正确,访客终端会提示已被授权并提示授权时效时间,然后接入
6、网络;如授权信息不正确或无接待人员操作,则访客终端无任何系统响应。在协助数码认证模式下不显示其他认证登录方式;使用哪种认证方式只显示该认证方式登录界面。访问权限(内网、外网):外网。五、项目成效不改变任何现有无线网络设备环境,无缝实现登录接入管理;将上网用户按照内部员工、 企业外包人员、普通访客进行划分,并针对不同上网用户类型采用不同的认证方式;基于企业内部上网信息的高度私密性,对接内部员工AD账号域并采用较高的安全认证方式实现802.1X + AD +双因素认证;为了方便起见,企业外包人员采用访客邮件审批认证的方式,提高上网用户可控的同时也方便用户自助登录;针对普通访客,采用协助扫码认证方式,方便和接待者之间进行一对一对接;针对部分Cisco设备不能自动实现MAC无感知认证的情况,在不增加任何设备的情况下实现无感知认证;提供详尽的上网用户信息报表,如 号、在线时间、流量等;通过批量派发 令牌的形式减轻运维人员的重复工作;对接专业的上网行为管理设备,实现上网实名审计,符合公安部82号令要求。
