משתמש:Pasteran/טיוטה – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
אין תקציר עריכה |
אין תקציר עריכה |
||
שורה 1:
{{טיוטה פרטית}}
'''IEEE 802.1x''' הוא תקן (סטנדרט) של ה-[[IEEE]] (איגוד מהנדסים בינ"ל) עבור [[בקרת גישה לרשת]] מבוססת פורטים. התקן הינו חלק ממשפחה של [[פרוטוקול תקשורת|פרוטוקולי רשת]], [[IEEE 802.1]], המתקננים תקשורת בעיקר ב[[מודל ה-OSI|שכבות נמוכות]] כמו [[שכבת הקו]]. הוא מספק מנגנון [[אימות]] למכשירים המבקשים להתחבר ל[[רשת מקומית]] - קווית (LAN) ו[[Wi-Fi|אלחוטית]] (WLAN) - כלומר טרם קבלת יכולת להעביר אינפורמציה של ממש ברשת (למשל כשלמכשיר עדיין אין [[כתובת IP]]). ה- IEEE 802.1X מגדיר שלושה רכיבים - מבקש האימות, המאמת ושרת האימות - ודרכי התקשרות ביניהם למען דחיית או קבלת מבקש האימות. האימות מתבצע באמצעות פרוטוקול כללי, EAP) [[Extensible Authentication Protocol]]), כאשר התקן מגדיר כיצד EAP נעטף (encapsulated) בשכבת הקו ("EAP מעל LAN" או EAPOL) בין המבקש למאמת. הוא קובע כי עטיפתו בין המאמת לשרת האימות תעשה באמצעות פרוטוקלי [[AAA]] קיימים - [[RADIUS]] או [[
EAPOL was originally designed for [[IEEE 802.3]] Ethernet in 802.1X-2001, but was clarified to suit other IEEE 802 LAN technologies such as [[IEEE 802.11]] wireless and [[Fiber Distributed Data Interface]] (ISO 9314-2) in 802.1X-2004.<ref>IEEE 802.1X-2004, § 3.2.2</ref> The EAPOL protocol was also modified for use with [[IEEE 802.1AE]] (“MACsec”) and [[IEEE 802.1AR]] (Secure Device Identity, DevID) in 802.1X-2010<ref name="802.1X-2010_seciv">IEEE 802.1X-2010, page iv</ref><ref name="802.1X-2010_sec5">IEEE 802.1X-2010, § 5</ref> to support service identification and optional point to point encryption over the local LAN segment.
==Overview==
הפרוטוקול מגדיר שלושה צדדים בתהליך האימות: המבקש ("supplicant"), המאמת ("authenticator") ושרת אימות. המבקש הוא מכשיר (כגון [[מחשב נייד]] או [[טלפון חכם]]) המתחבר לרשת המקומית. ליתר דיוק, מדובר בתוכנת [[לקוח (מחשבים)|לקוח]] הרצה על המכשיר המתחבר, ממשת את הפרוטוקול ויודעת לספק אמצעי זיהוי ("credentials") של המבקש עבור המאמת. אמצעי הזיהוי יכול להיות שם-משתמש וססמה או [[סרטיפיקט דיגיטלי]]. שרת האימות הוא [[שרת]] (host) ובו מאגר זהויות כולל פרטיהם והשראותיהם בפורמט אחסנה וגישה מסוים - כמו [[active directory]] או שרתי [[LDAP]] אחרים. המאמת הוא מכשיר רשת - כגון [[מתג]] Ethernet (ב-LAN) או [[נתב אלחוטי]] (ב-WLAN) - ה"מתרגם" את המידע (חבילות EAP) ממבנה אותו מכיר המבקש למבנה אותו מכיר השרת, ולהפך. כלומר הוא יודע לתקשר הן עם המאמת (באמצעות EAPOL) והן עם שרת האימות (באמצעות RADIUS למשל) ולהתאים בין פורמט המידע המועברים בשני ערוצי תקשורת אלה (למשל להעביר את פרטי זהות המבקש לשרת האימות). בסופו של דבר, רכיב זה הוא המעניק או מונע גישה מהמבקש. כל עוד זהות המבקש לא אומתה, הוא חסום מלהעביר כל תקשורת ברשת שאיננה קשורה לתהליך האימות עצמו. הוא משמש איפוא כמעין שוער כניסה לרשת (באנלוגיה לעולם האמיתי, הוא חוסם את המבקר באתר, מקבל את פרטי הזהות שלו (למשל ת.ז.), בודק אותם אל מול מאגר מידע (למשל ת.ז. של מורשי הכניסה לאתר) וכך מחליט האם להכניס את המבקר).
[[Image:802.1X wired protocols.png|444px|thumb|right|EAP data is first encapsulated in EAPOL frames between the Supplicant and Authenticator, then re-encapsulated between the Authenticator and the Authentication server using RADIUS or Diameter.]]
802.1X authentication involves three parties: a supplicant, an authenticator, and an authentication server. The supplicant is a client device (such as a laptop) that wishes to attach to the LAN/WLAN - though the term 'supplicant' is also used interchangeably to refer to the software running on the client that provides credentials to the authenticator. The authenticator is a network device, such as an Ethernet switch or wireless access point; and the authentication server is typically a host running software supporting the [[RADIUS]] and [[Extensible Authentication Protocol|EAP]] protocols.
| |||