OS X Server: Konfigurieren von vertrauenswürdigen RADIUS-Servern in den Konfigurationsprofilen bei Verwendung von TLS, TTLS oder PEAP

In diesem Artikel wird beschrieben, wie Sie die Vertrauenseinstellungen korrekt festlegen, wenn Sie mit Konfigurationsprofilen arbeiten.

In OS X werden Konfigurationsprofile verwendet, um einen Client so zu konfigurieren, dass er sich mit 802.1x-geschützten Netzwerken verbindet. Wenn dieses Konfigurationsprofil die Vertrauenswürdigkeit der RADIUS-Server für EAP-Typen, die einen sicheren Tunnel aufbauen (TLS, TTLS, PEAP), nicht korrekt konfiguriert, wird möglicherweise eine Fehlermeldung angezeigt wie:

  • automatische Verbindung nicht möglich
  • Fehler bei der Authentifizierung
  • Roaming zu neuen Zugangspunkten funktioniert nicht

Bevor Sie die Vertrauenseinstellungen korrekt konfigurieren können, müssen Sie wissen, welche Zertifikate vom RADIUS-Server während der Authentifizierung bereitgestellt werden. Wenn Sie diese Zertifikate bereits kennen, fahren Sie mit Schritt 13 fort.

  1. EAPOL-Protokolle führen die Zertifikate auf, die vom Radius-Server bereitgestellt werden. Um EAPOL-Protokolle in Mac OS X zu verwenden, geben Sie den folgenden Befehl in Terminal ein: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Nachdem Sie die EAPOL-Protokolle aktiviert haben, stellen Sie manuell eine Verbindung zum 802.1x-geschützten Netzwerk her. Sie sollten aufgefordert werden, die Vertrauenswürdigkeit des RADIUS-Serverzertifikats zu bestätigen. Bestätigen Sie diese, um die Authentifizierung abzuschließen.
  3. Suchen Sie die EAPOL-Protokolle.
    - In OS X Lion und Mountain Lion sind diese Protokolle unter /var/log/ gespeichert. Das Protokoll heißt eapolclient.en0.log oder eapolclient.en1.log.
    - In OS X Mavericks sind diese Protokolle unter /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX gespeichert.
  4. Öffnen Sie eapolclient.enX.log in der Konsole und suchen Sie den Schlüssel mit der Bezeichnung TLSServerCertificateChain. Die Anzeige sollte wie folgt aussehen: 


  5. Der Textblock zwischen <data> und </data> ist ein Zertifikat. Kopieren Sie den Textblock, und fügen Sie ihn in einen Texteditor ein. Vergewissern Sie sich, dass Ihr Texteditor entsprechend konfiguriert ist, um reine Textdateien zu sichern.
  6. Fügen Sie als Kopfzeile -----BEGIN CERTIFICATE----- und als Fußzeile -----END CERTIFICATE-----. Die Anzeige sollte wie folgt aussehen:

  7. Sichern Sie die Datei mit der Erweiterung ".pem".
  8. Öffnen Sie im Ordner "Dienstprogramme" die "Schlüsselbundverwaltung".
    Hinweis: Möglicherweise ist es hilfreich, einen neuen Schlüsselbund zu erstellen, damit Sie das Zertifikat, das Sie im nächsten Schritt importieren, problemlos finden.
  9. Ziehen Sie entweder die erstellte .pem-Datei in den neuen Schlüsselbund, oder wählen Sie "Ablage" > "Objekte importieren" und wählen Sie die zuvor erstellte .pem-Datei aus. Importieren Sie die Datei in den Schlüsselbund Ihrer Wahl.
  10. Wiederholen Sie die oben genannten Schritte für jedes Zertifikat im Array "TLSCertificateChain". Sie werden voraussichtlich über mehr als ein Zertifikat verfügen.
  11. Überprüfen Sie jedes importierte Zertifikat, damit Sie wissen, worum es sich handelt. Sie sollten über mindestens ein Root-Zertifikat und ein RADIUS-Serverzertifikat verfügen. Möglicherweise haben Sie auch ein Zwischenzertifikat. Sie müssen alle Stamm- und Zwischenzertifikate, die vom RADIUS-Server bereitgestellt wurden, in die Zertifikate-Payload in Ihrem Konfigurationsprofil aufnehmen. Die Aufnahme der RADIUS-Serverzertifikate ist optional, wenn Sie Ihre RADIUS-Servernamen im Bereich "Vertrauenswürdige Serverzertifikatnamen" der Netzwerk-Payload aufnehmen. Nehmen Sie andernfalls auch die RADIUS-Serverzertifikate in das Profil auf.
  12. Wenn Sie wissen, welche Zertifikate vom RADIUS-Server bereitgestellt werden, können Sie sie als .cer-Dateien aus dem Schlüsselbund exportieren und sie zum Konfigurationsprofil hinzufügen. Fügen Sie jedes der Stamm- und Zwischenzertifikate der Zertifikate-Payload in Ihrem Konfigurationsprofil hinzu. Bei Bedarf können Sie auch die RADIUS-Serverzertifikate hinzufügen.
  13. Suchen Sie in der Netzwerk-Payload den Bereich "Vertrauenswürdig", und markieren Sie die Zertifikate, die Sie gerade als vertrauenswürdig hinzugefügt haben. Stellen Sie sicher, dass Sie keine anderen Zertifikate markieren, die möglicherweise auch in der Zertifikate-Payload als vertrauenswürdig aufgeführt sind, anderenfalls wird die Authentifizierung fehlschlagen. Vergewissern Sie sich, dass Sie nur Zertifikate markieren, die von Ihrem RADIUS-Server tatsächlich als vertrauenswürdig bereitgestellt werden.
  14. Fügen Sie als Nächstes die Namen Ihrer RADIUS-Server im Bereich "Vertrauenswürdige Serverzertifikatnamen" hinzu. Sie müssen exakt denselben Namen (einschließlich Groß- und Kleinschreibung) verwenden, der als allgemeiner Name Ihres RADIUS-Serverzertifikats angezeigt wird. Wenn beispielsweise der allgemeine Name Ihres RADIUS-Serverzertifikats "TEST.beispiel.com" lautet, müssen Sie genau dieselbe Groß- und Kleinschreibung verwenden wie im Zertifikat. Der Wert "test.beispiel.com" wäre nicht gültig, aber "TEST.beispiel.com" schon. Sie müssen für jeden Ihrer RADIUS-Server einen neuen Eintrag hinzufügen. Sie können für den Hostnamen auch einen Platzhalter verwenden. Zum Beispiel würde "*.beispiel.com" dafür sorgen, dass alle RADIUS-Server auf der Domain beispiel.com als vertrauenswürdig eingestuft werden.
  15.  Wenn Sie zuvor die eapol-Protokolle aktiviert haben, können Sie die Protokollierung mit dem folgenden Befehl deaktivieren:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Wenn Sie nicht sicher sind, ob die Vertrauenseinstellung richtig konfiguriert ist, können Sie dies in /var/log/system.log nachprüfen. Öffnen Sie system.log in der Konsole und filtern Sie "eapolclient", um alle Nachrichten anzuzeigen, die sich auf den eapolclient-Prozess beziehen. Eine typische Fehlermeldung zur Vertrauenswürdigkeit sieht folgendermaßen aus:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Veröffentlichungsdatum: