本发明涉及计算机及计算机网络安全技术领域,具体说是802.1X下AD域登录认证方法,尤指在802.1X网络环境下,运行windows xp系统的终端进行AD域登录认证的方法。
背景技术:
现有技术中,Windows server(windows服务器)提供了Active Directory域管理服务,该管理服务使windows服务器可以授权用户具备登录其管理的AD域下的终端的权限,此种windows服务器被称为域认证服务器。
在AD域中,当用户要通过AD域认证登录该AD域下的终端时,该终端必须是可以连接到域认证服务器才行,如果无法连接到域认证服务器则是无法进行AD域认证的。
现行的应用802.1x协议的认证(802.1x认证),都是建立在用户已经登录到终端桌面的情况下进行的认证,如果用户没有登录到终端桌面上,是无法发起802.1x认证的。这导致以下问题的存在:
如果是在802.1x网络环境下面,当终端只能连接到交换机而不能连接到域认证服务器,用户又想进行AD域认证,那就无法认证成功登录到终端桌面。
802.1x协议:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以 太网端口。
AD(Active Directory)域:Windows Server(例如Windows 2000)提供的Active Directory(活动目录)的域管理服务。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
技术实现要素:
针对现有技术中存在的缺陷,本发明的目的在于提供802.1X下AD域登录认证方法,要解决的技术问题是:用户在802.1x网络环境下AD域无法认证的问题,即:802.1x认证要求“必须先通过AD域认证登录到终端桌面后,才能进行802.1x认证从而接入网络”,而AD域认证要求“必须先进行802.1x认证从而接入网络并确保连接到域认证服务器后,才能进行AD域认证”,由此产生的矛盾。
为达到以上目的,本发明采取的技术方案是:
802.1X下AD域登录认证方法,其特征在于,包括如下步骤:
步骤1,修改开源GINA代码,使之能捕获到用户输入的用户名和密码,并能在注册表项中存储捕获到的用户名和密码,修改完成生 成dll文件;
步骤2,修改开源wpa_supplication代码,使用进程间通信机制管道通信进行信息交互,在wpa服务中创建命名管道使之能与GINA通信,来传递802.1x认证的结果,并且在服务启动时读取存储于注册表项中的由GINA捕获到的用户名和密码,修改完成后生成exe文件;
步骤3,在运行windows xp系统的windows xp终端上,windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;
步骤4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,用户输入用户名和密码,则:GINA把用户名和密码保存到注册表项中;
步骤5,GINA启动wpa服务,wpa启动后会获取注册表项中的用户名和密码,通过802.1x协议传给交换机,交换机传给认证服务器做认证;
步骤6,认证成功后交换机打开终端网络端口,允许用户入网,同时返回认证成功的信息到wpa服务,wpa服务接收到信息后传给GINA,GINA中的AD域认证结束,显示成功信息,登录到终端桌面。
在上述技术方案的基础上,步骤1中,修改完成生成dll文件为mygina.dll文件。
在上述技术方案的基础上,修改完成生成的dll文件,能启动wpa服务,并能接收802.1x认证结果,wpa服务启动后会从注册表项中读取用户名密码。
在上述技术方案的基础上,步骤2中,修改完成后生成exe文件为wpa.exe文件。
在上述技术方案的基础上,步骤2中,通过修改开源的wpa_supplication工程产生的wpa服务来进行802.1x认证。
在上述技术方案的基础上,步骤3的具体步骤为:
用微软提供的打包软件来打包步骤1获得的dll文件和步骤2获得的 exe文件,在打包的代码中完成二者的安装;其中:
dll文件的安装是通过修改注册表实现的,
exe文件的安装是在打包代码中创建一个服务,服务进程指向exe文件,设置服务为自动启动。
在上述技术方案的基础上,步骤5中,交换机配置支持802.1x认证,启用配置AAA,指定认证radius服务器,绑定端口号。
在上述技术方案的基础上,步骤6中,如果AD域认证失败则返回失败信息给交换机,交换机不会打开网络端口,GINA显示失败信息,提示再次登录,不会登录到终端桌面。
本发明所述的802.1X下AD域登录认证方法,破解了先认证才能打开802.1x入网与先入网才能进行AD认证的矛盾,提高了网络的安全性,登录认证方便、简洁。
附图说明
本发明有如下附图:
图1本发明的身份认证流程图。
具体实施方式
以下结合附图对本发明作进一步详细说明。
如图1所示,本发明所述的802.1X下AD域登录认证方法,包括如下步骤:
步骤1,修改开源GINA代码,使之能捕获到用户输入的用户名和密码,并能在注册表项中存储捕获到的用户名和密码,修改完成生成dll文件;例如生成mygina.dll文件;
GINA:全称为“Graphical Identification and Authentication”——图形化识别和验证,它是几个动态数据库文件,被winlogon.exe 所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的用户名和密码反馈给winlogon.exe;在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的;
本发明通过修改开源GINA使之能启动wpa服务,并能接收802.1x认证结果,wpa服务启动后会从注册表项中读取用户名密码;
步骤2,修改开源wpa_supplication代码,使用进程间通信机制管道通信进行信息交互,在wpa服务中创建命名管道使之能与GINA通信,来传递802.1x认证的结果,并且在服务启动时读取存储于注册表项中的由GINA捕获到的用户名和密码,修改完成后生成exe文件;例如生成wpa.exe文件;
wpa Supplicant:wpa Supplicant是wpa服务中的客户端,wpa是Wi-Fi Protected Access的缩写,中文直译受保护的wifi接入客户端,它是User mode的最底层,直接和kernel的驱动接口,一个完整的开源项目;
本发明修改开源的wpa_supplication工程产生的wpa服务来进行802.1x认证;
步骤3,在运行windows xp系统的windows xp终端上,windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;
具体的安装步骤如下:
用微软提供的打包软件WIX3.8来打包步骤1获得的dll文件和步骤2获得的exe文件,在打包的代码中完成二者的安装;其中:
dll文件(GINA)的安装是通过修改注册表实现的,例如:
修改如下系统注册表项
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”
在winlogon项下面添加GinaDll变量,变量类型[REG_SZ],变量名mygina.dll,同时将mygina.dll拷贝到系统目录下(system32);
exe文件(Wpa)的安装具体如下:
在打包代码中创建一个服务,服务进程指向exe文件(wpa.exe文件), 设置服务为自动启动,就完成了wpa的安装;
步骤4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,用户输入用户名和密码,则:GINA把用户名和密码保存到注册表项中;
步骤5,GINA启动wpa服务,wpa启动后会获取注册表项中的用户名和密码,通过802.1x协议传给交换机,交换机传给认证服务器做认证;
所述交换机配置支持802.1x认证,启用配置AAA--(AAA就是认证、授权、计费),指定认证radius服务器,绑定端口号;
步骤6,认证成功后交换机打开终端网络端口,允许用户入网,同时返回认证成功的信息到wpa服务,wpa服务接收到信息后传给GINA,GINA中的AD域认证结束,显示成功信息,登录到终端桌面;
如果AD域认证失败则返回失败信息给交换机,交换机不会打开网络端口,GINA显示失败信息,提示再次登录,不会登录到终端桌面。
本发明技术方案带来的有益效果:破解了先认证才能打开802.1x入网与先入网才能进行AD认证的矛盾。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。