802.1X 環境中的 PXE

我的組織即將在我們的企業上實施 802.1X，但我們目前在 SCCM 中使用基於 PXE 的作業系統部署序列。 我正在尋找一種在 802.1X 環境中繼續使用 PXE 的方法。我們的基礎設施使用執行在 12.2（或更高版本）的 Cisco 網路設備。我們是一個全 Windows 網路，所有客戶端都支持 802.1X。所有新工作站都有可用的 Intel AMT（但未在出廠時配置）。

在最壞的情況下，我們將為 OSD 使用訪客 vlan，但我寧願讓 OSD 出現在經過身份驗證的會話中。我看過描述使用 AMT 作為 PXE 引導的請求者的白皮書，但找不到任何實現細節……

最後，我們決定將 PXE 與 802.1X 結合使用的最佳方式是將未經身份驗證的機器分配給訪客 VLAN。在路由器上，VLAN 僅對 DC（也託管 DHCP）、企業 CA 和 PXE 伺服器進行 ACL。然後，我們將 ip helper-address 條目添加到兩台伺服器的 VLAN。

一旦機器在來賓 VLAN 上成功鏡像，作業系統就會接管。我們的任務序列讓它自動加入域。組策略然後指示機器獲取客戶端證書並參與 802.1X 身份驗證。

這種方法的優點是我們不必擔心 MAC 地址繞過或手動禁用/重新啟用埠上的 802.1X。

MAC地址繞過對我們來說很難做到，因為它需要我們在機器MAC地址的AD中創建使用者帳戶。由於密碼也是 MAC 地址，我們將不得不禁用我們的密碼複雜性策略，這是一個非啟動項。

為了讓我們為請求者使用 AMT，我們需要執行帶外配置，這使我們處於先有雞還是先有蛋的場景。

感謝所有查看/提供有關此問題的意見的人。

引用自：https://serverfault.com/questions/212572