OS X Server: RADIUS-palvelimen luottamuksen määrittäminen määritysprofiileissa, kun käytössä on TLS, TTLS tai PEAP

Tässä artikkelissa kerrotaan, miten luottamus määritetään oikein määritysprofiileja käytettäessä.

OS X:ssä määritysprofiileja käytetään, kun määritetään asiakas liittymään 802.1x-suojattuihin verkkoihin. Jos määritysprofiili ei määritä oikein luottamusta RADIUS-palvelimiin suojatun tunnelin muodostaville EAP-tyypeille (TLS, TTLS, PEAP), saatat kohdata jonkin seuraavista ongelmista:

  • Kyvyttömyys liittyä automaattisesti

  • Todennusvirhe

  • Roaming uusiin tukiasemiin ei toimi

Ennen kuin voit määrittää luottamuksen oikein, sinun on tiedettävä, mitkä varmenteet RADIUS-palvelin esittää todennuksen aikana. Jos sinulla on jo nämä varmenteet, siirry vaiheeseen 13.

  1. EAPOL-lokit näyttävät RADIUS-palvelimen tarjoamat varmenteet. Jos haluat ottaa EAPOL-lokit käyttöön Mac OS X: ssä, käytä Päätteessä seuraavaa komentoa:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1

  2. Kun olet ottanut EAPOL-lokit käyttöön, muodosta manuaalinen yhteys 802.1x-suojattuun verkkoon. Sinua pyydetään luottamaan RADIUS-palvelinvarmenteeseen. Luota varmenteeseen, jotta todentaminen voidaan suorittaa loppuun.

  3. Etsi EAPOL-lokit.

    - In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.

    - In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .

  4. Avaa konsolissa eapolclient.enX.log ja etsi TLSServerCertificateChain. Sen pitäisi näyttää tältä:

  5. Teksti kohtien ja välissä on varmenne. Kopioi tekstilohko ja liitä se sitten tekstieditoriin. Varmista, että tekstieditori on määritetty tallentamaan pelkkää tekstiä sisältäviä tiedostoja.

  6. Lisää ylätunnisteeksi-----BEGIN CERTIFICATE----- and a footer of -----END CERTIFICATE-----. It should look like this:

  7. Tallenna tiedosto, jonka tunniste on .pem.

  8. Avaa Lisäohjelmat-kansiossa oleva Avainnipun käyttö -appi.

    Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.

  9. Vedä luomasi .pem-tiedosto uuteen avainnippuun tai valitse Tiedosto > Tuo kohteet ja valitse aiemmin luomasi .pem-tiedosto. Tuo tiedosto haluamaasi avainnippuun.

  10. Toista yllä olevat vaiheet jokaiselle TLSCertificateChain-ryhmän varmenteelle. Varmenteita on todennäköisesti useita.

  11. Tarkista jokainen tuotu varmenne, jotta tiedät mikä se on. Sinulla pitäisi olla vähintään juurivarmenne ja RADIUS-palvelinvarmenne. Sinulla voi olla myös välivarmenne. Sinun on sisällytettävä kaikki RADIUS-palvelimen tarjoamat juuri- ja välivarmenteet määritysprofiilin Varmenteet-tietosisältöön. RADIUS-palvelinvarmenteiden sisällyttäminen on valinnaista, jos lisäät RADIUS-palvelinnimet verkkotietosisällön Trusted Server Certificate Names -osaan. Muussa tapauksessa sisällytä RADIUS-palvelinvarmenteet myös profiiliin.

  12. Kun tiedät, mitkä varmenteet RADIUS-palvelin esittää, voit viedä ne .cer-tiedostoina avainnipusta ja lisätä ne määritysprofiiliin. Lisää kukin juuri- ja välivarmenteista määritysprofiilin Varmenteet-tietosisältöön. Voit myös tarvittaessa lisätä RADIUS-palvelinvarmenteita.

  13. Etsi Verkon tietosisällöstä Luottamus-osio ja merkitse juuri lisäämäsi varmenteet luotettaviksi. Varmista, että et merkitse luotettaviksi muita varmenteita, joita saattaa myös olla Varmenteet-tietosisällössä, muuten todentaminen epäonnistuu. Muista merkitä luotetuiksi vain RADIUS-palvelimen esittämät varmenteet.

  14. Lisää seuraavaksi RADIUS-palvelimien nimet Luotettujen palvelinvarmenteiden nimet -osioon. Sinun on käytettävä tarkkaa nimeä (kirjainkoko mukaan lukien), joka näkyy RADIUS-palvelinvarmenteen yleisenä nimenä. Jos esimerkiksi RADIUS-palvelinvarmenteen yleinen nimi on TEST.example.com, sinun täytyy käyttää samaa kirjainkokoa, jota käytetään varmenteessa. Arvo "test.example.com" ei olisi kelvollinen, mutta "TEST.example.com" olisi. Sinun on lisättävä uusi merkintä kullekin RADIUS-palvelimelle. Voit käyttää isäntänimessä myös tähtimerkkiä. Esimerkiksi *.example.com johtaisi siihen, että kaikki domainin example.com RADIUS-palvelimet merkitään luotettaviksi.

  15. Jos olet aikaisemmin ottanut käyttöön eapol-lokit, voit poistaa lokin käytöstä seuraavalla komennolla:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Jos et ole varma, onko luottamus määritetty oikein, voit tarkistaa sen osoitteesta /var/log/system.log. Avaa system.log Konsolissa ja kirjoita suodatusperusteeksi ”eapolclient”, niin näet kaikki eapolclient-prosessiin liittyvät viestit. Tyypillinen luottamusvirhe näyttää tältä:

Maaliskuu 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): palvelinvarmenteella ei luotettua tilaa 3 0

Julkaisupäivämäärä: