搭建了微软 Active Directory(AD)或 OpenLDAP 的企业,通常会让员工使用 AD 域账号或OpenLDAP 账号密码登录电脑终端、OA、VPN、VDI或进行网络接入 802.1x 认证。AD 域/OpenLDAP 密码安全策略会要求员工定期修改域账号密码,密码修改或过期后,用户使用终端连接有线/无线网络进行 802.1x 认证时通常会失败。
这时用户不知道失败原因,可能会不断进行密码尝试,但当密码输入错误次数过多时导致 AD 域/OpenLDAP 账号被锁定,用户无法正常办公,只能向 IT 管理员寻求帮助。不仅给 IT 管理员增加工作量,也非常影响用户的正常办公。那么,AD 域/OpenLDAP 密码被修改或过期后,如何让用户知晓无线/有线网络802.1x认证失败的原因,自助改密,而不是因盲目尝试使域账号被锁,无法工作?
场景一:密码修改后,终端连接802.1x认证失败
当 AD 域或 OpenLDAP 账号密码修改后,本地终端上记录的仍是802.1x 修改前的密码,因此终端自动连网后报错,无法加入网络。
以电脑连接无线WiFi网络为例,以前的做法是:
- 连接报错,提示未能加入 WiFi
- 打开电脑网络偏好设置
- 删除电脑中已保存的无线 SSID
- 重新选择该 SSID,输入新密码进行账号认证
这种做法看着不复杂,但提示报错可能有很多种原因,排查原因的过程会浪费大量时间。如果连接报错可以提示是密码不正确就能节省很多时间了。
宁盾解决方案:
借助宁盾有线无线网络认证方案,终端进行802.1x认证时连接报错,会提示用户名或密码不正确,然后跳出弹框,用户直接输入修改后的新密码就能访问网络。用户体验明显提高。
该方案目前支持的终端场景有:
- 用域账号登录的Windows终端
- Windows有线、无线连接
- Mac有线、无线连接
- 苹果移动端
- 部分安卓移动端
场景二:密码过期后,终端连接802.1x认证失败
(AD 域账号)802.1x的密码过期了,但终端上记录的是 802.1x 原来的密码,自动连接后报错,无法加入网络。
以电脑连接无线WiFi网络为例,以前的做法是:
- 连接报错,提示未能加入WiFi(不会提示密码已过期)
- 需要联系管理员帮忙修改密码
宁盾解决方案:
借助宁盾有线无线网络认证方案,用户在进行 802.1x 认证时报错,提示密码已过期,用户可在弹框里自助重置密码后访问网络。
该方案目前支持的终端场景有:
- 用域账号登录的 Windows 终端
- Windows 有线、无线连接
- Mac 有线、无线连接
宁盾 802.1x 自助改密功能,从用户角度出发,思考用户体验的改进点。结合宁盾为企业打造的用户自助修改/重置 AD 域密码方案,将进一步提升用户体验,降低运维压力!
推荐阅读:《用户如何自助修改/重置 AD 域账号密码?》