OS X Server: Sådan konfigureres godkendelse af RADIUS-servere i konfigurationsprofiler ved brug af TLS, TTLS eller PEAP

Denne artikel forklarer, hvordan godkendelse indstilles korrekt ved brug af konfigurationsprofiler.

OS X bruger konfigurationsprofiler til at indstille en klient til at oprette forbindelse til 802.1x-beskyttede netværk. Hvis konfigurationsprofilen ikke indstiller godkendelse korrekt til RADIUS-serverne for EAP-typer, der etablerer en sikker tunnel (TLS, TTLS, PEAP), vil du muligvis opleve et af de følgende problemer:

  • Der kan ikke oprettes automatisk forbindelse
  • Godkendelsen mislykkes
  • Roaming til nye adgangspunkter virker ikke

Du skal vide, hvilke certifikater RADIUS-serveren anvender under godkendelse, inden godkendelsen kan konfigureres korrekt. Hvis du allerede har disse certifikater, kan du gå videre til trin 13.

  1. EAPOL-logarkiver viser de certifikater, som RADIUS-serveren bruger. Hvis du vil slå EAPOL-logarkiver til i Mac OS X, skal du bruge følgende kommando i Terminal: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Når EAPOL-logarkiver er slået til, skal du manuelt oprette forbindelse til det 802.1x-beskyttede netværk. Du bliver bedt om at godkende RADIUS-serverens certifikat. Godkend certifikatet for at gennemføre godkendelsen.
  3. Find EAPOL-logarkiverne.
    - Logarkiverne findes under /var/log/ i OS X Lion og Mountain Lion. Logarkivet kaldes eapolclient.en0.log eller eapolclient.en1.log.
    - I OS X Mavericks findes logarkiverne under /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX.
  4. Åbn arkivet eapolclient.enX.log i Konsol, og find en nøgle ved navn TLSServerCertificateChain. Det ser sådan ud: 


  5. Tekstblokken mellem <data> og </data> er et certifikat. Kopier tekstblokken, og indsæt den i et tekstredigeringsværktøj. Tekstredigeringsværktøjet skal være konfigureret til at arkivere arkiver med almindelig tekst.
  6. Tilføj overskriften -----BEGIN CERTIFICATE----- og sidefoden -----END CERTIFICATE-----. Det ser sådan ud:

  7. Arkiver arkivet med endelsen .pem.
  8. Åbn programmet Hovednøglering i mappen Hjælpeprogrammer.
    Bemærk: Det kan være en god idé at oprette en ny nøglering, så du let kan finde det certifikat, der importeres i næste trin.
  9. Du kan enten trække det oprettede .pem-arkiv til den nye nøglering eller vælge Arkiv > Importer emner og vælge det .pem-arkiv, du oprettede. Importer arkivet til den ønskede nøglering.
  10. Gentag ovenstående fremgangsmåde for alle certifikater i matricen TLSCertificateChain. Der vil sandsynligvis være mere end et certifikat.
  11. Undersøg alle importerede certifikater, så du ved, hvad de indeholder. Du bør som minimum have et rodcertifikat og et RADIUS-servercertifikat. Der kan også være et midlertidigt certifikat. Du skal medtage alle rod- og midlertidige certifikater, som RADIUS-serveren viser i certifikatdataene, i konfigurationsprofilen. Det er valgfrit, om du vil medtage RADIUS-servercertifikaterne, hvis du angiver RADIUS-servernavnene i sektionen Navne på godkendte servercertifikater i netværksdataene. Eller skal RADIUS-servercertifikaterne også medtages i profilen.
  12. Når du ved, hvilke certifikater RADIUS-serveren viser, kan du eksportere dem som .cer-arkiver fra nøgleringen og derefter føje dem til konfigurationsprofilen. Føj alle rod- og midlertidige certifikater til certifikatdataene i konfigurationsprofilen. Om nødvendigt kan du også tilføje RADIUS-servercertifikaterne.
  13. Find sektionen Godkendelse i netværksdataene, og marker de tilføjede certifikater som godkendte. Pas på, at du ikke markerer andre certifikater, der også kan være blandt certifikatdataene, som godkendte, ellers kan godkendelsen mislykkes. Sørg for, at du kun markerer certifikater, der faktisk vises af RADIUS-serveren, som godkendte.
  14. Føj derefter navnene på dine RADIUS-servere til sektionen Navne på godkendte servercertifikater. Det er et krav, at du bruger RADIUS-servercertifikatets almindelige navn præcist, som det er skrevet (også hvad angår store og små bogstaver). Hvis RADIUS-servercertifikatets almindelige navn for eksempel er TEST.example.com, skal du sikre dig, at du skriver store og små bogstaver på samme måde, som de bruges i certifikatet. Værdien "test.example.com" ville ikke være gyldig, mens "TEST.example.com" er gyldig. Du skal tilføje en ny post for hver af dine RADIUS-servere. Du kan også bruge et jokertegn i værtsnavnet. For eksempel ville *.example.com medføre, at alle RADIUS-servere på domænet example.com bliver godkendt.
  15.  Hvis du tidligere slog EAPOL-logarkiver til, kan du deaktivere logning med følgende kommando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Kontroller /var/log/system.log, hvis du ikke er sikker på, om godkendelser er korrekt konfigureret. Åbn system.log i Konsol, og filtrer efter "eapolclient" for at se alle meddelelser vedrørende eapolclient-processen. En typisk godkendelsesfejl ser sådan ud:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Udgivelsesdato: