我的组织即将在我们的企业中实施802.1X,但我们目前在SCCM中使用基于PXE的操作系统部署顺序。 我正在寻找一种在802.1X环境中继续使用PXE的方法 。 我们的基础设施使用运行在12.2(或更新版本)的思科networking设备。 我们是一个全Windows的networking,所有的客户端都支持802.1X。 所有新的工作站都可以使用英特尔AMT(但不是工厂configuration)。
在最糟糕的情况下,我们将使用OSD的guest虚拟机,但我宁愿让OSD出现在已validation的会话中。 我已经看过使用AMT作为PXE引导请求者的白皮书,但找不到任何实现细节…
最后,我们决定使用802.1X的PXE的最佳方式是将未经身份validation的计算机分配给访客VLAN。 在路由器上,该VLAN仅对DC(也承载DHCP),Enterprise CA和PXE服务器进行ACL保护。 然后,我们将ip helper-address条目添加到两个服务器的VLAN。
一旦机器在访客VLAN上成功映像,操作系统就会接pipe。 我们的任务序列会自动join域。 然后,组策略指示机器获取客户端证书并参与802.1X身份validation。
这种方法的优点是我们不必担心MAC地址旁路或手动禁用/重新启用端口上的802.1X。
MAC地址旁路对我们来说很难做,因为它要求我们在机器MAC地址的AD中创build用户帐号。 由于密码也是MAC地址,所以我们必须禁用我们的密码复杂性策略,这是一个非启动器。
为了让我们为请求者使用AMT,需要我们执行带外configuration,这使我们处于鸡或鸡蛋的情况。
感谢所有在这个问题上查看/提供意见的人。
如果802.1Xvalidation失败,则可以执行基于MAC的validation,然后通过特定的仅PXE VLAN允许那些授权的MAC处于仅PXE环境中。