CN106856471B - 802.1x下ad域登录认证方法 - Google Patents
802.1x下ad域登录认证方法 Download PDFInfo
- Publication number
- CN106856471B CN106856471B CN201510902682.XA CN201510902682A CN106856471B CN 106856471 B CN106856471 B CN 106856471B CN 201510902682 A CN201510902682 A CN 201510902682A CN 106856471 B CN106856471 B CN 106856471B
- Authority
- CN
- China
- Prior art keywords
- authentication
- gina
- service
- wpa
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
本发明涉及802.1X下AD域登录认证方法,1,修改开源GINA代码,生成dll文件;2,修改开源wpa_supplication代码,生成exe文件;3,在windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,GINA把用户名和密码保存到注册表项中;5,GINA启动wpa服务,通过802.1x协议经交换机传给认证服务器做认证;6,认证成功后GINA中的AD域认证结束,登录到终端桌面。本发明所述的802.1X下AD域登录认证方法,破解了先认证才能打开802.1x入网与先入网才能进行AD认证的矛盾,提高了网络的安全性,登录认证方便、简洁。
Description
技术领域
本发明涉及计算机及计算机网络安全技术领域,具体说是802.1X下AD域登录认证方法,尤指在802.1X网络环境下,运行windows xp系统的终端进行AD域登录认证的方法。
背景技术
现有技术中,Windows server(windows服务器)提供了Active Directory域管理服务,该管理服务使windows服务器可以授权用户具备登录其管理的AD域下的终端的权限,此种windows服务器被称为域认证服务器。
在AD域中,当用户要通过AD域认证登录该AD域下的终端时,该终端必须是可以连接到域认证服务器才行,如果无法连接到域认证服务器则是无法进行AD域认证的。
现行的应用802.1x协议的认证(802.1x认证),都是建立在用户已经登录到终端桌面的情况下进行的认证,如果用户没有登录到终端桌面上,是无法发起802.1x认证的。这导致以下问题的存在:
如果是在802.1x网络环境下面,当终端只能连接到交换机而不能连接到域认证服务器,用户又想进行AD域认证,那就无法认证成功登录到终端桌面。
802.1x协议:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
AD(Active Directory)域:Windows Server(例如Windows 2000)提供的ActiveDirectory(活动目录)的域管理服务。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供802.1X下AD域登录认证方法,要解决的技术问题是:用户在802.1x网络环境下AD域无法认证的问题,即:802.1x认证要求“必须先通过AD域认证登录到终端桌面后,才能进行802.1x认证从而接入网络”,而AD域认证要求“必须先进行802.1x认证从而接入网络并确保连接到域认证服务器后,才能进行AD域认证”,由此产生的矛盾。
为达到以上目的,本发明采取的技术方案是:
802.1X下AD域登录认证方法,其特征在于,包括如下步骤:
步骤1,修改开源GINA代码,使之能捕获到用户输入的用户名和密码,并能在注册表项中存储捕获到的用户名和密码,修改完成生成dll文件;
步骤2,修改开源wpa_supplication代码,使用进程间通信机制管道通信进行信息交互,在wpa服务中创建命名管道使之能与GINA通信,来传递802.1x认证的结果,并且在服务启动时读取存储于注册表项中的由GINA捕获到的用户名和密码,修改完成后生成exe文件;
步骤3,在运行windows xp系统的windows xp终端上,windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;
步骤4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,用户输入用户名和密码,则:GINA把用户名和密码保存到注册表项中;
步骤5,GINA启动wpa服务,wpa启动后会获取注册表项中的用户名和密码,通过802.1x协议传给交换机,交换机传给认证服务器做认证;
步骤6,认证成功后交换机打开终端网络端口,允许用户入网,同时返回认证成功的信息到wpa服务,wpa服务接收到信息后传给GINA,GINA中的AD域认证结束,显示成功信息,登录到终端桌面。
在上述技术方案的基础上,步骤1中,修改完成生成dll文件为mygina.dll文件。
在上述技术方案的基础上,修改完成生成的dll文件,能启动wpa服务,并能接收802.1x认证结果,wpa服务启动后会从注册表项中读取用户名密码。
在上述技术方案的基础上,步骤2中,修改完成后生成exe文件为wpa.exe文件。
在上述技术方案的基础上,步骤2中,通过修改开源的wpa_supplication工程产生的wpa服务来进行802.1x认证。
在上述技术方案的基础上,步骤3的具体步骤为:
用微软提供的打包软件来打包步骤1获得的dll文件和步骤2获得的exe文件,在打包的代码中完成二者的安装;其中:
dll文件的安装是通过修改注册表实现的,
exe文件的安装是在打包代码中创建一个服务,服务进程指向exe文件,设置服务为自动启动。
在上述技术方案的基础上,步骤5中,交换机配置支持802.1x认证,启用配置AAA,指定认证radius服务器,绑定端口号。
在上述技术方案的基础上,步骤6中,如果AD域认证失败则返回失败信息给交换机,交换机不会打开网络端口,GINA显示失败信息,提示再次登录,不会登录到终端桌面。
本发明所述的802.1X下AD域登录认证方法,破解了先认证才能打开802.1x入网与先入网才能进行AD认证的矛盾,提高了网络的安全性,登录认证方便、简洁。
附图说明
本发明有如下附图:
图1本发明的身份认证流程图。
具体实施方式
以下结合附图对本发明作进一步详细说明。
如图1所示,本发明所述的802.1X下AD域登录认证方法,包括如下步骤:
步骤1,修改开源GINA代码,使之能捕获到用户输入的用户名和密码,并能在注册表项中存储捕获到的用户名和密码,修改完成生成dll文件;例如生成mygina.dll文件;
GINA:全称为“Graphical Identification and Authentication”——图形化识别和验证,它是几个动态数据库文件,被winlogon.exe所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的用户名和密码反馈给winlogon.exe;在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的;
本发明通过修改开源GINA使之能启动wpa服务,并能接收802.1x认证结果,wpa服务启动后会从注册表项中读取用户名密码;
步骤2,修改开源wpa_supplication代码,使用进程间通信机制管道通信进行信息交互,在wpa服务中创建命名管道使之能与GINA通信,来传递802.1x认证的结果,并且在服务启动时读取存储于注册表项中的由GINA捕获到的用户名和密码,修改完成后生成exe文件;例如生成wpa.exe文件;
wpa Supplicant:wpa Supplicant是wpa服务中的客户端,wpa是Wi-Fi ProtectedAccess的缩写,中文直译受保护的wifi接入客户端,它是User mode的最底层,直接和kernel的驱动接口,一个完整的开源项目;
本发明修改开源的wpa_supplication工程产生的wpa服务来进行802.1x认证;
步骤3,在运行windows xp系统的windows xp终端上,windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;
具体的安装步骤如下:
用微软提供的打包软件WIX3.8来打包步骤1获得的dll文件和步骤2获得的exe文件,在打包的代码中完成二者的安装;其中:
dll文件(GINA)的安装是通过修改注册表实现的,例如:
修改如下系统注册表项
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”
在winlogon项下面添加GinaDll变量,变量类型[REG_SZ],变量名mygina.dll,同时将mygina.dll拷贝到系统目录下(system32);
exe文件(Wpa)的安装具体如下:
在打包代码中创建一个服务,服务进程指向exe文件(wpa.exe文件),设置服务为自动启动,就完成了wpa的安装;
步骤4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,用户输入用户名和密码,则:GINA把用户名和密码保存到注册表项中;
步骤5,GINA启动wpa服务,wpa启动后会获取注册表项中的用户名和密码,通过802.1x协议传给交换机,交换机传给认证服务器做认证;
所述交换机配置支持802.1x认证,启用配置AAA--(AAA就是认证、授权、计费),指定认证radius服务器,绑定端口号;
步骤6,认证成功后交换机打开终端网络端口,允许用户入网,同时返回认证成功的信息到wpa服务,wpa服务接收到信息后传给GINA,GINA中的AD域认证结束,显示成功信息,登录到终端桌面;
如果AD域认证失败则返回失败信息给交换机,交换机不会打开网络端口,GINA显示失败信息,提示再次登录,不会登录到终端桌面。
本发明技术方案带来的有益效果:破解了先认证才能打开802.1x入网与先入网才能进行AD认证的矛盾。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (3)
1.802.1X下AD域登录认证方法,其特征在于,包括如下步骤:
步骤1,修改开源GINA代码,使之能捕获到用户输入的用户名和密码,并能在注册表项中存储捕获到的用户名和密码,修改完成生成dll文件;
步骤2,修改开源wpa_supplication代码,使用进程间通信机制管道通信进行信息交互,在wpa服务中创建命名管道使之能与GINA通信,来传递802.1x认证的结果,并且在服务启动时读取存储于注册表项中的由GINA捕获到的用户名和密码,修改完成后生成exe文件;
步骤3,在运行windows xp系统的windows xp终端上,windows xp终端安装步骤1获得的dll文件并启用GINA服务,安装步骤2获得的exe文件并启用wpa服务;
步骤3的具体步骤为:
用微软提供的打包软件来打包步骤1获得的dll文件和步骤2获得的exe文件,在打包的代码中完成二者的安装;其中:
dll文件的安装是通过修改注册表实现的,
exe文件的安装是在打包代码中创建一个服务,服务进程指向exe文件,设置服务为自动启动;
步骤4,在支持802.1x环境下的未入网的windows xp终端,通过GINA进行AD域登录时,用户输入用户名和密码,则:GINA把用户名和密码保存到注册表项中;
步骤5,GINA启动wpa服务,wpa启动后会获取注册表项中的用户名和密码,通过802.1x协议传给交换机,交换机传给认证服务器做认证;
步骤6,认证成功后交换机打开终端网络端口,允许用户入网,同时返回认证成功的信息到wpa服务,wpa服务接收到信息后传给GINA,GINA中的AD域认证结束,显示成功信息,登录到终端桌面;
修改完成生成的dll文件,能启动wpa服务,并能接收802.1x认证结果,wpa服务启动后会从注册表项中读取用户名密码;
步骤2中,通过修改开源的wpa_supplication工程产生的wpa服务来进行802.1x认证;
步骤5中,交换机配置支持802.1x认证,启用配置AAA,指定认证radius服务器,绑定端口号;
步骤6中,如果AD域认证失败则返回失败信息给交换机,交换机不会打开网络端口,GINA显示失败信息,提示再次登录,不会登录到终端桌面。
2.如权利要求1所述的802.1X下AD域登录认证方法,其特征在于:步骤1中,修改完成生成dll文件为mygina.dll文件。
3.如权利要求1所述的802.1X下AD域登录认证方法,其特征在于:步骤2中,修改完成后生成exe文件为wpa.exe文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510902682.XA CN106856471B (zh) | 2015-12-09 | 2015-12-09 | 802.1x下ad域登录认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510902682.XA CN106856471B (zh) | 2015-12-09 | 2015-12-09 | 802.1x下ad域登录认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106856471A CN106856471A (zh) | 2017-06-16 |
| CN106856471B true CN106856471B (zh) | 2019-12-17 |
Family
ID=59131841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510902682.XA Active CN106856471B (zh) | 2015-12-09 | 2015-12-09 | 802.1x下ad域登录认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106856471B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108762773B (zh) * | 2018-05-17 | 2021-10-08 | 山东华软金盾软件股份有限公司 | 一种模拟用户登录安装程序的方法 |
| CN112565162B (zh) * | 2019-09-25 | 2023-09-08 | 深信服科技股份有限公司 | 一种检测账户窃取行为的方法及装置 |
| CN114363334B (zh) * | 2021-12-30 | 2024-04-02 | 阿里巴巴(中国)有限公司 | 云系统及云桌面虚拟机的网络配置方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595897A (zh) * | 2003-09-12 | 2005-03-16 | 华为技术有限公司 | 域认证和用户网络权限控制统一处理的方法及系统 |
| CN101986598A (zh) * | 2010-10-27 | 2011-03-16 | 北京星网锐捷网络技术有限公司 | 认证方法、服务器及系统 |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、系统及认证服务器 |
| CN104468550A (zh) * | 2014-11-28 | 2015-03-25 | 华为技术有限公司 | 一种Windows桌面的用户登录方法、设备及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3697437B2 (ja) * | 2002-10-10 | 2005-09-21 | 株式会社東芝 | ネットワークシステムおよびネットワークシステムの構築方法 |
-
2015
- 2015-12-09 CN CN201510902682.XA patent/CN106856471B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595897A (zh) * | 2003-09-12 | 2005-03-16 | 华为技术有限公司 | 域认证和用户网络权限控制统一处理的方法及系统 |
| CN101986598A (zh) * | 2010-10-27 | 2011-03-16 | 北京星网锐捷网络技术有限公司 | 认证方法、服务器及系统 |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、系统及认证服务器 |
| CN104468550A (zh) * | 2014-11-28 | 2015-03-25 | 华为技术有限公司 | 一种Windows桌面的用户登录方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106856471A (zh) | 2017-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10193888B1 (en) | Dynamic authentication in alternate operating environment | |
| US8359464B2 (en) | Quarantine method and system | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| JP6222592B2 (ja) | モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証 | |
| CA2868896C (en) | Secure mobile framework | |
| US8370905B2 (en) | Domain access system | |
| US7904952B2 (en) | System and method for access control | |
| US9769655B2 (en) | Sharing security keys with headless devices | |
| US20190228144A1 (en) | User device authentication | |
| US8353025B2 (en) | Method and system for dynamically establishing a virtual private network (VPN) session | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
| EP1564625A1 (en) | Computer security system and method | |
| JP2016526201A (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN113614691A (zh) | 供传统虚拟交付器件使用的连接租用系统和相关方法 | |
| US9021253B2 (en) | Quarantine method and system | |
| CN110808983A (zh) | 一种用于云桌面终端网络接入的云桌面身份识别检测方法 | |
| CN106856471B (zh) | 802.1x下ad域登录认证方法 | |
| KR102345866B1 (ko) | 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법 | |
| US20230079795A1 (en) | Device to device migration in a unified endpoint management system | |
| US20230020656A1 (en) | Computing session multi-factor authentication | |
| CN113114464A (zh) | 统一安全管理系统及身份认证方法 | |
| KR102381575B1 (ko) | 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법 | |
| KR102371181B1 (ko) | 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200426 Address after: Room 302, floor 3, building B, No. 1, Shangdi Information Road, Haidian District, Beijing (Beijing Shichuang hi tech Development Corporation) Patentee after: BEIJING ACK NETWORKS, Inc. Address before: 302, room 100871, block B, international pioneer park, No. 1, information road, Beijing, Haidian District Co-patentee before: ZHEJIANG AIZE NETWORK TECHNOLOGY Co.,Ltd. Patentee before: BEIJING ACK NETWORKS, Inc. |
|
| TR01 | Transfer of patent right |