Conectar dispositivos Apple a redes 802.1X
Puedes conectar de manera segura dispositivos Apple a la red 802.1X de tu organización. Incluye las conexiones Wi-Fi y Ethernet.
Dispositivo | Método de conexión | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 o posterior) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 o posterior) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3.ª generación) Wi-Fi | Wi-Fi Ethernet (tvOS 17 o posterior) | ||||||||||
Apple TV 4K (3.ª generación) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 o posterior) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Durante la negociación 802.1X, el servidor RADIUS muestra su certificado al dispositivo que lo solicita de forma automática. El certificado del servidor RADIUS debe ser considerado fiable por el solicitante, ya sea anclando la confianza a un determinado certificado o a una lista de nombres de hosts esperados que coincidan con el host del certificado. Incluso cuando un certificado está emitido por una autoridad de certificación (CA) conocida y aparece en la lista de certificados raíz de confianza que se guarda en el dispositivo, también se debe confiar en el certificado para una finalidad determinada. Este caso, el certificado del servidor debe ser considerado fiable para el servicio de RADIUS. Esto se hace manualmente, al acceder a una red empresarial cuando se le pide al usuario que confíe en el certificado para la red Wi-Fi conectada, o bien en un perfil de configuración.
No es necesario establecer una cadena de certificados de confianza en el mismo perfil que contiene la configuración 802.1X. Por ejemplo, un administrador puede decidir implementar un certificado de confianza de la organización en un perfil individual y guardar la configuración 802.1X en un perfil aparte. De esta forma, las modificaciones de cualquiera de los perfiles pueden gestionarse de forma independiente.
Entre otros parámetros, la configuración 802.1X también puede especificar:
Tipos EAP:
Para tipos EAP basados en nombres y contraseña (como PEAP): El nombre de usuario o la contraseña pueden incluirse en el perfil. De no ser así, se solicitarán al usuario.
Para tipos EAP basados en identidad de certificado (como EAP-TLS): Selecciona la carga útil que contiene la identidad de certificado para su autenticación. Puede ser una carga útil “Certificado de Active Directory” (solo macOS), una carga útil ACME, un archivo de certificado de identidad PKCS #12 (.p12 o .pfx) de la carga útil Certificados o una carga útil SCEP. Por omisión, los solicitantes de iOS, iPadOS y macOS utilizan el nombre común de la identidad del certificado para la identidad de respuesta EAP que se envía al servidor RADIUS durante la negociación 802.1X. Para obtener más información, consulta Métodos de implementación de certificados que utilizan cargas de MDM.
Importante: En iOS 17, iPadOS 17 y macOS 14, ahora los dispositivos admiten conexiones a redes 802.1X a través de EAP-TLS con TLS 1.3 (EAP-TLS 1.3).
Credenciales EAP de iPad compartido: El iPad compartido utiliza la misma credencial EAP para cada usuario.
Confiar:
Certificados de confianza: Si el certificado de hoja del servidor RADIUS se suministra en una carga útil de certificados en el mismo perfil que contiene la configuración 802.1X, el administrador puede seleccionarlo aquí. Esto permite configurar el solicitante cliente para que se conecte solo con una red 802.1X con un servidor RADIUS que incluya uno de los certificados de la lista. Cuando se configura de esta manera, la conexión 802.1X se fija por criptografía a certificados específicos.
Nombres de certificados de servidor de confianza: Utiliza esta matriz para configurar el solicitante de forma que solo se conecte con servidores RADIUS que muestren certificados que coincidan con estos nombres. Este campo admite comodines. Por ejemplo, *.betterbag.com espera los nombres comunes de certificados radius1.betterbag.com y radius2.betterbag.com. Los comodines proporcionan a los administradores más flexibilidad cuando se producen cambios en los servidores RADIUS o de autoridad de certificación.
Configuraciones de 802.1X para Mac
También puedes utilizar la autenticación WPA/WPA2/WPA3 Empresa en la ventana de inicio de sesión de macOS, de modo que el usuario inicie sesión para autenticarse en la red. El asistente de configuración de macOS también es compatible con la autenticación 802.1X mediante el uso de credenciales con nombre de usuario y contraseña utilizando TTLS o PEAP. Para obtener más información, consulta el artículo de soporte de Apple Uso del modo de ventana de inicio de sesión para la autenticación 802.1X en una red.
Los tipos de configuraciones de 802.1X son:
Modo de usuario: Este modo, el más sencillo de configurar, se usa cuando un usuario accede a la red desde el menú Wi-Fi y se autentica cuando se le solicita. El usuario debe aceptar el certificado X.509 del servidor RADIUS y la confianza de la conexión Wi-Fi.
Modo de sistema: El modo de sistema se usa para la autenticación del ordenador. La autenticación con el modo de sistema se produce antes de que los usuarios inicien sesión en el ordenador. El modo de sistema se suele configurar para proporcionar autenticación con el certificado X.509 del ordenador (EAP-TLS) emitido por una autoridad certificadora local.
Modo de sistema+usuario: La configuración de sistema+usuario suele formar parte de una implementación individualizada en la que el ordenador está autenticado con su certificado X.509 (EAP-TLS). Una vez que el usuario haya iniciado sesión en el ordenador, puede acceder a la red Wi-Fi desde el menú Wi-Fi e introducir sus credenciales. Las credenciales del usuario pueden ser un nombre de usuario, una contraseña (EAP-PEAP, EAP-TTLS) o un certificado de usuario (EAP-TLS). Una vez que el usuario se haya conectado a la red, sus credenciales se guardan en el llavero de inicio de sesión y se usan para acceder a la red en las próximas conexiones.
Modo de ventana de inicio de sesión: Este modo se usa cuando el ordenador está enlazado a un servicio de directorio local, como Active Directory. Cuando se configura el modo de ventana de inicio de sesión y un usuario introduce el nombre de usuario y la contraseña en la ventana de inicio de sesión, el usuario se autenticará en el ordenador y luego en la red mediante autenticación 802.1X. El modo de ventana de inicio de sesión pasa las credenciales de nombre de usuario y contraseña solo la primera vez que aparece la ventana de inicio de sesión. Si un Mac configurado solo con el modo de ventana de inicio de sesión entra en modo de reposo y se agota el tiempo de sesión inactiva del controlador WLAN, el Mac debe reiniciarse o el usuario debe cerrar sesión. A continuación, el usuario puede volver a introducir su nombre de usuario y contraseña.
Nota: El modo de sistema, el modo System+ (requerido para la configuración del modo de sistema) y el modo de ventana de inicio de sesión requieren que la configuración se realice mediante una solución MDM. Configura los ajustes de la carga útil de red con los ajustes de red Wi-Fi deseados y aplica la configuración pertinente a un dispositivo o grupos de dispositivos para el modo de sistema.
802.1X y iPad compartido
Puedes usar un iPad compartido con redes 802.1X. Para obtener más información, consulta iPad compartido y redes 802.1X.