Sveiki, kolegos,

Tikslas- tinklo apsauga, kad neautorizuoti vartotojai (ar iranga) neturetu 
prieigos prie vietiniu resursu.

Galine iranga palaiko 802.1x, tuo ir noretusi pasinaudot. Kompai domain'e, 
vartotojai aktyvioj direktorijoj. Is cia kyla noras autentifikuoti tiek 
masinas (sertifikatu), tiek vartotojus- aktyvioje direktorijoje.
FreeRadius'as pakurtas, su aktyvia snekasi, vartotojus tikrina. Viskas butu 
kaip ir tvarkoj, bet tam, kad vartotoja butu galima autentifikuot, jis turi 
prisijungt prie domeno (paduot savo credential'us), o prisijungt negali, nes 
switche'o skyle blokuota. Na naturalus autentifikavimo metodu konfliktas :)
Literatura skelbia, kad pirmiausia reiketu atlikti masinos autentifikacija 
(su sertifikatu, matyt), jei ji praeina- duoti tinkla, leisti vartotojui 
logintis i domena, o prisiloginus autorizuoti vartotoja. skamba pakankamai 
logiskai, tik neaisku, kaip tokiam mechanizmui konfiguruoti windowsus (XP 
SP3). Autentifikavimas tik sertifikatu aiskus, autentifikavimas tik AD 
credential'ais irgi aiskus (jei vartotojas jau prisijunges prie domeno, 
kabeli istraukus/ikisus auth. veikia kaip priklauso). O kaip sukergt juos, 
kad pirma praeitu masinos autentifikacija, duotu tinkla jei viskas tvarkoj, 
o tada dar prasuktu vartotojo credential'u patikrinima- niekur nerandu.

Gal kas nors kokiu nors minciu sugeneruotu, patirtim pasidalintu, ar is 
principo kazka ne taip galvoju? Trecios salies suplikantu instaliuotis 
nesinori, taip pat negerai butu vartotojus priverst suvedinet prisijungimo 
duomenis daugiau nei viena karta :)

Pradziugintu bet kokios mintys.

p.s. tinklas tik is vario, oru niekas neina.