Я провожу здесь небольшое исследование относительно возможных реализаций проводной аутентификации 802.1x с единым входом - имя пользователя / пароль домена используются для аутентификации 802.1x.
Первоначально пользователь подключен к сети через VLAN без DHCP или доступа к каким-либо сетевым ресурсам. В основном только проводной интерфейс может быть аутентифицирован, поскольку EAPOL не требует обмена какой-либо информацией уровня 3. Это работает нормально - после аутентификации 802.1x новому интерфейсу предоставляется полный доступ, что достигается путем добавления его в другую VLAN с DHCP и всем необходимым.
Но я понятия не имею, что произойдет, если пользователь попытается пройти проверку подлинности на компьютере, на котором учетные данные не кэшированы, поскольку пользователь не может получить доступ к ресурсам домена, если проводной интерфейс не прошел проверку подлинности.
Итак, мой вопрос - когда пользователь вводит учетные данные домена при первоначальном входе в систему, будет ли выполняться проверка подлинности 802.1x перед входом в домен? Потому что, если сначала Windows попытается войти в систему с пользователем, а затем выполнит аутентификацию 802.1x, она определенно потерпит неудачу, поскольку без успешного 802.1x компьютер не имеет доступа к ресурсам домена / AD.
Спасибо!