The Cable GuyAutenticazione per reti cablate IEEE 802.1X
Joseph Davies
Questo articolo è basato su una versione non definitiva di Windows Server 2008. Tutte le informazioni riportate sono soggette a modifica.
Dopo la grande diffusione dell'autenticazione IEEE 802.1X per le reti wireless IEEE 802.11, gli amministratori di rete pensano a utilizzare questo standard anche per le connessioni di rete cablate. Come un client wireless deve presentare una serie di credenziali da convalidare prima di consentire l'inoltro di frame wireless sulla Intranet, un
client cablato IEEE 802.1X deve eseguire l'autenticazione prima di poter utilizzare la relativa porta dello switch. L'autenticazione IEEE 802.1X costituisce una barriera di protezione aggiuntiva per la Intranet; è possibile evitare che computer guest, anomali o non gestiti, che non sono in grado di eseguire un'autenticazione corretta, si connettano alla Intranet.
L'autenticazione IEEE 802.1X è probabilmente già supportata dagli switch cablati e deve essere solo attivata e configurata. Per l'autenticazione e l'autorizzazione di una connessione cablata, gli switch che supportano 802.1X utilizzano in genere il protocollo RADIUS (Remote Authentication Dial-In User Service) per inviare le informazioni di richiesta connessione a un server RADIUS, ad esempio un server NPS (Network Policy Server) basato su Windows Server ® 2008 o un server IAS (Internet Authentication Service) di Windows Server 2003.
Dopo aver configurato gli switch per RADIUS, ma prima di richiedere l'autenticazione 802.1X, sarà necessario abilitare e configurare l'autenticazione 802.1X nei computer cablati. L'autenticazione IEEE 802.1X per le connessioni di rete cablate è supportata in Microsoft® Windows® fin da Windows XP. Tuttavia, è necessario configurare manualmente le impostazioni di autenticazione 802.1X in Windows XP e Windows Server 2003 su ciascun client cablato (dalla scheda Autenticazione per le proprietà di una connessione di rete nella cartella Connessioni di rete). Purtroppo, non è in alcun modo possibile configurare in modo centralizzato o tramite script le impostazioni per i dispositivi 802.1X cablati per questi sistemi operativi precedenti.
Invece, il supporto per le impostazioni cablate in Criteri di gruppo e il supporto per lo scripting con lo strumento Netsh in Windows Vista® e Windows Server 2008 rendono la distribuzione delle impostazioni 802.1X cablate molto più semplice di prima.
Impostazioni per reti cablate in Criteri di gruppo
Utilizzo del Servizio configurazione automatica reti cablate
In Windows XP e Windows Server 2003, il comportamento dei dispositivi 802.1X nelle connessioni cablate è gestito dal servizio Zero Configuration reti wireless. In questi sistemi operativi, il servizio era attivato per impostazione predefinita e le connessioni di rete cablate venivano impostate in modalità di ascolto passiva, in attesa che lo switch avviasse l'autenticazione.
Al contrario, in Windows Vista e Windows Server 2008, il Servizio configurazione automatica reti cablate gestisce i dispositivi 802.1X sulle connessioni cablate, ma è disabilitato per impostazione predefinita. Quindi, la scheda Autenticazione per le proprietà delle connessioni di rete viene visualizzata solo dopo l'avvio del Servizio configurazione automatica reti cablate.
Per un singolo client cablato su cui è in esecuzione Windows Vista o Windows Server 2008, è possibile utilizzare lo snap-in Servizi per avviare il Servizio configurazione automatica reti cablate e configurarlo per l'avvio automatico. Quando viene avviato il Servizio configurazione automatica reti cablate, le connessioni di rete cablate funzionano in modalità di ascolto attivo con la connessione di rete che tenta di avviare l'autenticazione con lo switch.
Per un dominio Active Directory, è possibile utilizzare Criteri di gruppo per impostare il Servizio configurazione automatica reti cablate per l'avvio automatico. Se si utilizza lo snap-in Editor Gestione Criteri di gruppo, configurare l'impostazione Configurazione computer | Impostazioni di Windows | Impostazioni di protezione | Servizi di sistema | Configurazione automatica reti cablate per la modalità di avvio automatico.
Per centralizzare e automatizzare la configurazione delle impostazioni per reti cablate, i servizi di dominio di Windows Server 2008 e Windows Server 2003 Active Directory ® supportano le impostazioni dei criteri per reti cablate in Criteri di gruppo. Le impostazioni consentono di configurare le opzioni per reti cablate come parte di Criteri di gruppo di Configurazione computer, per un oggetto Criteri di gruppo basato su dominio.
Con queste impostazioni di criteri per reti cablate, è possibile specificare il metodo di autenticazione e altre impostazioni 802.1X per i client cablati che utilizzano Windows Server 2008 o Windows Vista. Quando si accede al dominio, all'avvio o periodicamente dopo l'avvio, in questi sistemi operativi viene automaticamente eseguito il download delle impostazioni di Criteri di gruppo per reti cablate, con la conseguente applicazione. Per supportare i nuovi criteri, tuttavia, un dominio Active Directory di Windows Server 2003 deve essere esteso. Per informazioni su come estendere un dominio Active Directory di Windows Server 2003, visitare la pagina technet.microsoft.com/bb727029.
È possibile configurare i criteri per reti cablate dal nodo Configurazione computer | Impostazioni di Windows | Impostazioni di protezione | Criteri per reti cablate (IEEE 802.3) nello snap-in Editor di gestione criteri di gruppo. Per impostazione predefinita, non sono presenti criteri per reti cablate (IEEE 802.3). Per creare un nuovo criterio, fare clic con il pulsante destro del mouse su Criteri per reti cablate (IEEE 802.3) nella struttura della console e scegliere Crea un nuovo criterio di Windows Vista.
La finestra di dialogo delle proprietà di un criterio per reti cablate Windows Vista è costituita da una scheda Generale e una scheda Protezione. Nella Figura 1 è illustrata la scheda predefinita Generale. Nella scheda Generale è possibile configurare un nome e una descrizione per il criterio e specificare se utilizzare il Servizio di configurazione automatica reti cablate, che controlla il comportamento dei dispositivi 802.1X sulle connessioni cablate. Per ulteriori informazioni, vedere l'intestazione laterale "Utilizzo del Servizio configurazione automatica reti cablate".
Figura 1** La scheda predefinita Generale di un criterio per reti cablate Windows Vista **
Nella Figura 2 è illustrata la scheda predefinita Protezione per un criterio per reti cablate di Windows Vista. Nella scheda Protezione è possibile attivare o disattivare l'autenticazione 802.1X, selezionare e configurare il metodo di autenticazione EAP (Extensible Authentication Protocol), selezionare la modalità di autenticazione (riautenticazione utente, solo computer, autenticazione utente o autenticazione guest), configurare il numero di tentativi con esito negativo consentiti prima che l'autenticazione venga chiusa e configurare se memorizzare nella cache le informazioni utente per le connessioni successive. Quando la memorizzazione nella cache è disabilitata, i dati delle credenziali utente in Windows vengono rimossi dal Registro di sistema non appena l'utente si disconnette. Di conseguenza, all'utente successivo verranno richieste di nuovo le credenziali (come nome utente e password) al momento dell'accesso.
Figura 2** La scheda predefinita Protezione di un criterio per reti cablate Windows Vista **
Quando si fa clic sul pulsante Avanzate nella scheda Protezione, è possibile configurare le impostazioni avanzate per i dispositivi 802.1X e Single Sign-On. Nella Figura 3 è riportata la finestra di dialogo predefinita Impostazioni di protezione avanzate per un criterio per reti cablate di Windows Vista. Dalla finestra di dialogo Impostazioni di protezione avanzate, è possibile configurare le impostazioni 802.1X riportate nella Figura 4.
Figure 4 Impostazioni 802.1X nella casella Impostazioni di protezione avanzate
| Impostazione | Descrizione |
| Numero massimo di messaggi di avvio EAPOL | Il numero di messaggi successivi di avvio EAP su LAN (EAPOL) che vengono inviati quando non si riceve alcuna risposta ai messaggi di avvio EAPOL iniziali. |
| Periodo di sospensione | L'intervallo di tempo fra la ritrasmissione dei messaggi di avvio EAPOL quando non si riceve alcuna risposta al messaggio di avvio EAPOL inviato in precedenza. |
| Periodo di avvio | Il periodo durante il quale il client di autenticazione non esegue alcuna attività di autenticazione 802.1X dopo aver ricevuto un'indicazione di autenticazione non riuscita dall'autenticatore. |
| Periodo di autenticazione | Il periodo di tempo per cui il client di autenticazione deve attendere prima di ritrasmettere qualsiasi richiesta 802.1X dopo l'avvio dell'autenticazione 802.1X end-to-end. |
| Messaggio di avvio EAPOL | Quando il client cablato invia il messaggio di avvio EAPOL. |
Figura 3** La finestra di dialogo predefinita Impostazioni di protezione avanzate per un criterio per reti cablate di Windows Vista **
I client cablati su cui è in esecuzione Windows Server 2008 supportano Single Sign-On per le connessioni cablate. Questa funzione è anche progettata per la prossima versione di Windows Vista Service Pack 1. Ulteriori informazioni sono disponibili alla pagina Web technetmagazine.com/issues/2007/11/CableGuy.
Sono disponibili le impostazioni Single Sign-On per eseguire l'autenticazione 802.1X a livello utente prima o dopo il processo di accesso utente e per attendere il numero configurato di secondi per l'autenticazione 802.1X a livello utente, da completare prima che inizi il processo di accesso utente. È possibile determinare se visualizzare o meno le finestre di dialogo per l'autenticazione a livello utente oltre il consolidamento dei campi di input nella schermata di accesso di Windows. Se, ad esempio, per un tipo di EAP l'utente desidera confermare il certificato inviato dal server RADIUS durante l'autenticazione, il tipo di EAP può visualizzare la finestra di dialogo.
Inoltre, è possibile specificare che una volta eseguita l'autenticazione a livello utente, il sistema deve avviare un rinnovo DHCP (Dynamic Host Configuration Protocol) della configurazione TCP/IP della scheda cablata. Scegliere questa opzione se sono presenti VLAN (LAN virtuali) distinte per i client cablati autenticati a livello computer e a livello utente e se le VLAN sono su subnet IPv4 o IPv6 diverse.
Supporto di script con lo strumento netsh
Windows Server 2008 e Windows Vista supportano i comandi nel contesto netsh lan dello strumento netsh per configurare le impostazioni per reti cablate o per esportare o importare un profilo cablato, che consiste in una serie denominata di impostazioni per reti cablate in formato XML. Con la configurazione tramite riga di comando delle impostazioni delle reti cablate, è possibile distribuire in modo più diretto le reti cablate creando degli script automatizzati per le impostazioni di reti cablate senza utilizzare Criteri di gruppo. Le impostazioni di Criteri di gruppo per le reti cablate (IEEE 802.3) sono applicabili solo a un dominio Active Directory. Per un ambiente senza un'infrastruttura Criteri di gruppo, uno script che automatizza la configurazione delle connessioni cablate con un profilo cablato può essere eseguito manualmente o automaticamente, anche come parte dello script di accesso.
Per eseguire la configurazione tramite riga di comando dei client cablati su cui è in esecuzione Windows Vista o Windows Server 2008, eseguire i comandi lan netsh con i parametri appropriati. Il comando seguente, ad esempio, consente di abilitare Single Sign-On per la connessione di rete denominata "Local Area Connection" e di configurare Single Sign-On per eseguire l'autenticazione utente prima dell'accesso:
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
Per ulteriori informazioni sulla sintassi dei comandi lan netsh, vedere technet.microsoft.com/aa905084.
I profili XML cablati possono essere esportati da un client cablato Windows Server 2008 o Windows Vista e importati, quindi, in un client cablato Windows Server 2008 o Windows Vista utilizzando lo strumento netsh. Per esportare un profilo cablato, utilizzare il comando netsh lan export profile. Per importare un profilo cablato, utilizzare il comando netsh lan add profile. Per alcuni esempi utili sui profili cablati, vedere msdn2.microsoft.com/aa816372.
Con il supporto per riga di comando e profilo XML, è possibile inizializzare un client cablato sulla rete cablata con autenticazione 802.1X dell'organizzazione. Un computer client cablato che non è membro del dominio non può connettersi alla rete cablata utilizzando le credenziali del computer. Inoltre, un computer non può accedere al dominio finché non si è connesso correttamente alla rete cablata. Tuttavia, il supporto per riga di comando e profilo XML consente a un computer cablato di connettersi alla rete cablata dell'organizzazione utilizzando le credenziali utente, per accedere quindi al computer nel dominio. Per ulteriori informazioni, vedere technet.microsoft.com/bb727031.
Joseph Davies è un technical writer in Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile in linea Cable Guy su TechNet.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.