OS X Server: Jak v konfiguračních profilech při používání TLS, TTLS nebo PEAP správně nastavit důvěryhodnost RADIUS serverů

Tento článek vysvětluje, jak při používání konfiguračních profilů správně určit nastavení důvěry.

V OS X slouží konfigurační profily k nastavení toho, jak se klienti připojují k sítím chráněným protokolem 802.1x. Pokud v konfiguračním profilu není u těch typů ověřování EAP, které vytvářejí zabezpečený tunel (TLS, TTLS, PEAP), správně nastavená důvěra RADIUS serverům, můžete narazit na tyto problémy:

  • Nemožnost automaticky se připojovat
  • Nezdařené ověřování
  • Roaming na nový přístupový bod nefunguje

Abyste mohli správně nastavit důvěřování, budete muset vědět, které certifikáty RADIUS server během ověřování používá. Pokud už tyto certifikáty máte, přeskočte na bod 13.

  1. Certifikáty nabízené RADIUS serverem jsou uvedeny v protokolech EAPOL. Protokoly EAPOL můžete v Mac OS X zapnout pomocí tohoto terminálového příkazu:

    sudo defaults write /Knihovna/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Po zapnutí protokolů EAPOL se ručně připojte k síti chráněné standardem 802.1x. Měl by se zobrazit dotaz, zda chcete důvěřovat certifikátu RADIUS serveru. Povolte důvěřování a počkejte, než se ověřování dokončí.
  3. Najděte protokoly EAPOL.
    – V OS X Lionu a Mountain Lionu se nacházejí ve složce /var/log/. Protokol se bude jmenovat eapolclient.en0.log nebo eapolclient.en1.log.
    – V OS X Mavericks najdete protokoly ve složce /Knihovna/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Otevřete protokol eapolclient.enX.log v konzoli a najděte klíč s názvem TLSServerCertificateChain. Mělo by to vypadat takhle:


  5. Úsek textu mezi <data> a </data> je certifikát. Tento úsek zkopírujte a vložte ho do textového editoru. Přesvědčte se, že v textovém editoru máte nastavené ukládání prostých textových souborů.
  6. Přidejte záhlaví -----BEGIN CERTIFICATE----- a zápatí -----END CERTIFICATE-----. Mělo by to vypadat takhle:

  7. Uložte soubor bez přípony .pem.
  8. Ve složce Utility otevřete aplikaci Klíčenka.
    Poznámka: Možná se vám bude hodit vytvořit nový svazek klíčů, abyste pak mohli snadno najít certifikáty, které v následujícím kroku importujete.
  9. Soubor .pem, který jste před chvílí vytvořili, buď do svazku klíčů přetáhněte, nebo vyberte Soubor > Importovat položky a soubor .pem vyberte. Importujte soubor do požadovaného svazku klíčů.
  10. Výše uvedené kroky opakujte s každým certifikátem uvedeným v poli TLSCertificateChain. Pravděpodobně takových certifikátů máte víc než jen jeden.
  11. Každý importovaný certifikát si prohlédněte, abyste věděli, co v něm je. Minimálně byste měli mít jeden kořenový certifikát a jeden certifikát RADIUS serveru. Možná budete mít také zprostředkující certifikát. Všechny kořenové a zprostředkující certifikáty nabízené RADIUS serverem musíte uvést v datové části Certificates (Certifikáty) ve svém konfiguračním profilu. Pokud máte v části Trusted Server Certificate Names (Názvy důvěryhodných serverových certifikátů) datové části Network (Síť) uvedené názvy RADIUS serveru, pak v profilu certifikáty RADIUS serveru uvádět nemusíte. Pokud ne, tak v profilu uveďte i certifikáty RADIUS serveru.
  12. Až budete vědět, které certifikáty RADIUS server nabízí, exportujte je z Klíčenky jako soubory .cer a přidejte je do konfiguračního profilu. Všechny kořenové a zprostředkující certifikáty přidejte v konfiguračním profilu do datové části Certificates (Certifikáty). Je-li to nutné, můžete sem přidat i certifikáty RADIUS serveru.
  13. V datové části Network (Síť) najděte část Trust (Důvěra) a všechny právě přidané certifikáty vyznačte jako důvěryhodné. Hlídejte si, abyste jako důvěryhodné nevyznačili žádné jiné certifikáty, které můžou být i v datové části Certificates (Certifikáty), protože jinak se ověřování nezdaří. Vyznačte jen ty certifikáty, které váš RADIUS server reálně nabízí.
  14. Potom do části Trusted Server Certificate Names (Názvy důvěryhodných serverových certifikátů) přidejte názvy svých RADIUS serverů. Názvy musíte uvést přesně tak (včetně velikosti písmen), jak se zobrazují v obecném názvu certifikátů RADIUS serveru. Tak například pokud je obecný název vašeho certifikátu RADIUS serveru TEST.priklad.com, musíte ho tady uvést úplně stejně i s velkými písmeny. Hodnota „test.priklad.com“ by tedy nebyla platná, zatímco „TEST.priklad.com“ už ano. Pro každý RADIUS server je třeba přidat nový záznam. V názvu hostitele můžete použít i zástupný znak. Například hodnota *.priklad.com by způsobila, že se bude důvěřovat všem RADIUS serverům v doméně priklad.com.
  15. Pokud máte z dřívějška zapnuté protokoly EAPOL, můžete protokolování vypnout tímto příkazem:

    sudo defaults write /Knihovna/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Jestli nevíte, zda máte správně nastavené důvěřování, podívejte se do souboru /var/log/system.log. Soubor system.log otevřete v konzoli a filtrováním textu „eapolclient“ zobrazte všechny zprávy související s procesem eapolclient. Typická chyba důvěřování vypadá takhle:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Datum zveřejnění: