OS X Server: RADIUS-palvelimen luottamuksen määrittäminen määritysprofiileissa, kun käytössä on TLS, TTLS tai PEAP
Tässä artikkelissa kerrotaan, miten luottamus määritetään oikein määritysprofiileja käytettäessä.
OS X:ssä määritysprofiileja käytetään, kun määritetään asiakas liittymään 802.1x-suojattuihin verkkoihin. Jos määritysprofiili ei määritä oikein luottamusta RADIUS-palvelimiin suojatun tunnelin muodostaville EAP-tyypeille (TLS, TTLS, PEAP), saatat kohdata jonkin seuraavista ongelmista:
Kyvyttömyys liittyä automaattisesti
Todennusvirhe
Roaming uusiin tukiasemiin ei toimi
Ennen kuin voit määrittää luottamuksen oikein, sinun on tiedettävä, mitkä varmenteet RADIUS-palvelin esittää todennuksen aikana. Jos sinulla on jo nämä varmenteet, siirry vaiheeseen 13.
EAPOL-lokit näyttävät RADIUS-palvelimen tarjoamat varmenteet. Jos haluat ottaa EAPOL-lokit käyttöön Mac OS X: ssä, käytä Päätteessä seuraavaa komentoa:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
Kun olet ottanut EAPOL-lokit käyttöön, muodosta manuaalinen yhteys 802.1x-suojattuun verkkoon. Sinua pyydetään luottamaan RADIUS-palvelinvarmenteeseen. Luota varmenteeseen, jotta todentaminen voidaan suorittaa loppuun.
Etsi EAPOL-lokit.
- In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.
- In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
Avaa konsolissa eapolclient.enX.log ja etsi TLSServerCertificateChain. Sen pitäisi näyttää tältä:
Teksti kohtien ja välissä on varmenne. Kopioi tekstilohko ja liitä se sitten tekstieditoriin. Varmista, että tekstieditori on määritetty tallentamaan pelkkää tekstiä sisältäviä tiedostoja.
Lisää ylätunnisteeksi
-----BEGIN CERTIFICATE-----
and a footer of-----END CERTIFICATE-----
. It should look like this:Tallenna tiedosto, jonka tunniste on .pem.
Avaa Lisäohjelmat-kansiossa oleva Avainnipun käyttö -appi.
Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.
Vedä luomasi .pem-tiedosto uuteen avainnippuun tai valitse Tiedosto > Tuo kohteet ja valitse aiemmin luomasi .pem-tiedosto. Tuo tiedosto haluamaasi avainnippuun.
Toista yllä olevat vaiheet jokaiselle TLSCertificateChain-ryhmän varmenteelle. Varmenteita on todennäköisesti useita.
Tarkista jokainen tuotu varmenne, jotta tiedät mikä se on. Sinulla pitäisi olla vähintään juurivarmenne ja RADIUS-palvelinvarmenne. Sinulla voi olla myös välivarmenne. Sinun on sisällytettävä kaikki RADIUS-palvelimen tarjoamat juuri- ja välivarmenteet määritysprofiilin Varmenteet-tietosisältöön. RADIUS-palvelinvarmenteiden sisällyttäminen on valinnaista, jos lisäät RADIUS-palvelinnimet verkkotietosisällön Trusted Server Certificate Names -osaan. Muussa tapauksessa sisällytä RADIUS-palvelinvarmenteet myös profiiliin.
Kun tiedät, mitkä varmenteet RADIUS-palvelin esittää, voit viedä ne .cer-tiedostoina avainnipusta ja lisätä ne määritysprofiiliin. Lisää kukin juuri- ja välivarmenteista määritysprofiilin Varmenteet-tietosisältöön. Voit myös tarvittaessa lisätä RADIUS-palvelinvarmenteita.
Etsi Verkon tietosisällöstä Luottamus-osio ja merkitse juuri lisäämäsi varmenteet luotettaviksi. Varmista, että et merkitse luotettaviksi muita varmenteita, joita saattaa myös olla Varmenteet-tietosisällössä, muuten todentaminen epäonnistuu. Muista merkitä luotetuiksi vain RADIUS-palvelimen esittämät varmenteet.
Lisää seuraavaksi RADIUS-palvelimien nimet Luotettujen palvelinvarmenteiden nimet -osioon. Sinun on käytettävä tarkkaa nimeä (kirjainkoko mukaan lukien), joka näkyy RADIUS-palvelinvarmenteen yleisenä nimenä. Jos esimerkiksi RADIUS-palvelinvarmenteen yleinen nimi on TEST.example.com, sinun täytyy käyttää samaa kirjainkokoa, jota käytetään varmenteessa. Arvo "test.example.com" ei olisi kelvollinen, mutta "TEST.example.com" olisi. Sinun on lisättävä uusi merkintä kullekin RADIUS-palvelimelle. Voit käyttää isäntänimessä myös tähtimerkkiä. Esimerkiksi *.example.com johtaisi siihen, että kaikki domainin example.com RADIUS-palvelimet merkitään luotettaviksi.
Jos olet aikaisemmin ottanut käyttöön eapol-lokit, voit poistaa lokin käytöstä seuraavalla komennolla:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0
Jos et ole varma, onko luottamus määritetty oikein, voit tarkistaa sen osoitteesta /var/log/system.log. Avaa system.log Konsolissa ja kirjoita suodatusperusteeksi ”eapolclient”, niin näet kaikki eapolclient-prosessiin liittyvät viestit. Tyypillinen luottamusvirhe näyttää tältä:
Maaliskuu 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): palvelinvarmenteella ei luotettua tilaa 3 0