PXE в среде 802.1X

В конце концов, мы решили, что лучший способ использовать PXE с 802.1X - это назначить неаутентифицированные машины гостевой VLAN. На маршрутизаторе VLAN находится в ACL только для DC (на котором также размещается DHCP), Enterprise CA и PXE-серверов. Затем мы добавили записи IP-адреса помощника в VLAN для обоих серверов.

После успешного создания образа машины в гостевой VLAN операционная система вступает во владение. В нашей последовательности задач он автоматически присоединяется к домену. Затем групповая политика предписывает машине получить сертификат клиента и участвовать в аутентификации 802.1X.

Преимущество этого метода в том, что нам не нужно беспокоиться об обходе MAC-адреса или ручном отключении / повторном включении 802.1X на порту.

Обойти MAC-адрес нам будет сложно, поскольку для этого потребуется создать учетные записи пользователей в AD для MAC-адреса машины. Поскольку пароль также является MAC-адресом, нам придется отключить нашу политику сложности пароля, которая не является стартовой.

Чтобы мы могли использовать AMT для соискателя, нам потребуется выполнить внеполосную подготовку, что ставит нас в сценарий «курица или яйцо».

Спасибо всем, кто просмотрел / внес свой вклад по этому вопросу.

Вы можете выполнить аутентификацию на основе MAC в случае сбоя аутентификации 802.1X, а затем разрешить этим авторизованным MAC-адресам находиться в среде только PXE через специальную VLAN только для PXE.