802.1X環境でのPXE
私の組織は企業に802.1Xを実装しようとしていますが、現在、SCCMでPXEベースのOS展開シーケンスを使用しています。 802.1X環境でPXEを引き続き使用する方法を探しています。当社のインフラストラクチャは、12.2(またはそれ以降)で動作するシスコのネットワーク機器を使用しています。私たちはすべてWindowsネットワークであり、すべてのクライアントが802.1Xをサポートしています。すべての新しいワークステーションでIntelAMTを使用できます(ただし、工場で構成されていません)。
最悪のシナリオでは、OSDにゲストVLANを使用しますが、認証されたセッションでOSDを発生させたいと思います。 AMTを使用してPXEブートのサプリカントとして機能することを説明しているホワイトペーパーを見たことがありますが、実装の詳細が見つかりません...
最終的に、802.1XでPXEを使用するための最良の方法は、認証されていないマシンをゲストVLANに割り当てることであると判断しました。ルーターでは、VLANは、DC(DHCPもホスト)、エンタープライズCA、およびPXEサーバーのみにACLされます。次に、ipを追加しました。両方のサーバーへのVLANへのヘルパーアドレスエントリ。
マシンがゲストVLANで正常にイメージ化されると、オペレーティングシステムが引き継ぎます。タスクシーケンスでは、自動的にドメインに参加します。次に、グループポリシーは、クライアント証明書を取得して802.1X認証に参加するようにマシンに指示します。
この方法の利点は、MACアドレスのバイパスや、ポートで802.1Xを手動で無効化/再有効化することを心配する必要がないことです。
MACアドレスのバイパスは、マシンのMACアドレスのADにユーザーアカウントを作成する必要があるため、実行が困難です。パスワードもMACアドレスであるため、パスワードの複雑さに関するポリシーを無効にする必要があります。これは初心者ではありません。
サプリカントにAMTを使用するには、帯域外プロビジョニングを実行する必要があります。これにより、鶏が先か卵が先かというシナリオになります。
この質問を閲覧/提供してくださった皆様、ありがとうございました。
802.1X認証が失敗した場合にMACベースの認証を実行し、それらの許可されたMACが特別なPXEのみのVLANを介してPXEのみの環境にあることを許可できます。