OS X Server: RADIUS-palvelimen luottamuksen määrittäminen määritysprofiilissa, kun käytössä on TLS, TTLS tai PEAP

Tässä artikkelissa kerrotaan, miten voit määrittää luottamuksen oikein määritysprofiileja käytettäessä.

OS X:ssä käytetään määritysprofiileja, kun asiakas halutaan määrittää liittymään 802.1x-suojattuun verkkoon. Jos määritysprofiili ei määritä oikein luottamusta RADIUS-palvelimiin EAP-tyypeille, jotka muodostavat suojatun yhteyden (TLS, TTLS, PEAP), järjestelmässä saattaa esiintyä seuraavia ongelmia:

  • Automaattinen liittyminen ei ehkä onnistu.
  • Todennus saattaa epäonnistua.
  • Verkkovierailut uusissa tukiasemissa eivät toimi.

Ennen kuin voit määrittää luottamuksen oikein, sinun täytyy tietää, mitä varmenteita RADIUS-palvelin käyttää todentamisessa. Jos sinulla on jo nämä varmenteet, voit siirtyä vaiheeseen 13.

  1. EAPOL-lokit näyttävät, mitä varmenteita RADIUS-palvelin käyttää. Voit ottaa EAPOL-lokit käyttöön Mac OS X:ssä kirjoittamalla seuraavan komennon Pääte-toiminnossa:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Kun olet ottanut EAPOL-lokit käyttöön, voit muodostaa manuaalisesti yhteyden 802.1x-suojattuun verkkoon. Sinun tulisi nähdä kehota RADIUS-palvelimen varmenteeseen luottamiseksi. Voit suorittaa todennuksen luottamalla varmenteeseen.
  3. Etsi EAPOL-lokit.
    - OS X Lionissa ja Mountain Lionissa ne löytyvät kansiosta /var/log/. Lokin nimi on joko eapolclient.en0.log tai eapolclient.en1.log.
    - OS X Mavericksissa lokit löytyvät kansiosta /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX.
  4. Avaa eapolclient.enX.log Konsoli-toiminnossa ja etsi avain TLSServerCertificateChain. Sen tulisi näyttää tältä: 


  5. Varmenne on kohtien <data> ja </data> välissä oleva teksti. Kopioi tämä teksti ja sijoita se tekstinkäsittelyohjelmaan. Varmista, että käyttämäsi tekstinkäsittelyohjelma voi tallentaa tiedostoja Pelkkä teksti -muodossa.
  6. Lisää ylätunnisteeksi -----BEGIN CERTIFICATE----- ja alatunnisteeksi -----END CERTIFICATE-----.Sen tulisi näyttää tältä:

  7. Tallenna tiedosto .pem-tiedostomuodossa.
  8. Avaa Lisäohjelmat-kansiossa oleva Avainnipun käyttö -ohjelma.
    Huomautus: sinun kannattaa ehkä luoda uusi avainnippu, jotta löydät helposti varmenteen, joka sinun täytyy tuoda seuraavassa vaiheessa.
  9. Vedä luomasi .pem-tiedosto uuteen avainnippuun tai valitse Arkisto > Tuo kohteet ja valitse sitten aiemmin luomasi .pem-tiedosto. Tuo tiedosto valitsemaasi avainnippuun.
  10. Toista yllä olevat vaiheet kaikille TLSCertificateChain-taulun varmenteille. Sinulla on luultavasti useita varmenteita.
  11. Tarkista jokainen tuotava varmenne, jotta tiedät, mitä ne ovat. Sinulla tulisi olla ainakin juurivarmenne ja RADIUS-palvelimen varmenne. Sinulla saattaa olla myös välivarmenne. Sinun täytyy sisällyttää kaikki RADIUS-palvelimen käyttämät juurivarmenteet ja välivarmenteet määritysprofiilisi Varmenteet -tietosisältöön. RADIUS-palvelimen varmenteiden sisällyttäminen on vapaaehtoista, jos sisällytät RADIUS-palvelimien nimet Verkko-tietosisällön Luotetut palvelinvarmennenimet -osioon. Muussa tapauksessa sisällytä profiiliin myös RADIUS-palvelinvarmenteet.
  12. Kun tiedät, mitä varmenteita RADIUS-palvelin käyttää, voit tuoda ne .cer-tiedostoina Avainnippu-toiminnosta ja lisätä ne määritysprofiiliisi. Lisää kaikki juuri- ja välivarmenteet määritysprofiilisi Varmenteet-tietosisältöön. Voit lisätä tarvittaessa myös RADIUS-palvelinvarmenteet.
  13. Etsi Verkko-tietosisällön Luottamus-osio ja merkitse juuri lisäämäsi varmenteet luotetuiksi. Älä merkitse muita Varmenteet-tietosisällön mahdollisesti sisältämiä varmenteita luotetuiksi, sillä tämä johtaa todentamisen epäonnistumiseen. Merkitse luotetuiksi vain RADIUS-palvelimesi käyttämät varmenteet.
  14. Lisää tämän jälkeen RADIUS-palvelimiesi nimet Luotetut palvelinvarmennenimet -osioon. Sinun täytyy käyttää tismalleen samaa nimeä (myös isot ja pienet kirjaimet mukaan lukien), joka näytetään RADIUS-palvelinvarmenteesi yleisenä nimeä. Jos RADIUS-palvelinvarmenteesi yleinen nimi on esimerkiksi TEST.example.com, sinun täytyy antaa nimi täysin identtisessä muodossa. Arvo test.example.com ei tässä tapauksessa siis kävisi, koska vaadittu nimi on TEST.example.com. Sinun täytyy lisätä uusi merkintä kaikille RADIUS-palvelimillesi. Voit käyttää isäntänimessä myös yleismerkkiä. Jos käytät isäntänimenä esimerkiksi nimeä *.example.com, kaikki domainin example.com RADIUS-palvelimet määritetään luotetuiksi.
  15. Jos olet ottanut aiemmin EAPOL-lokit käyttöön, voit poistaa ne käytöstä seuraavalla komennolla:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Jos et ole varma, onko luottamus määritetty oikein, tarkista tiedosto /var/log/system.log. Avaa system.log-tiedosto Konsoli-toiminnossa on suodata näkyviin viestit, joissa esiintyy eapolclient. Näin näet kaikki eapolclient-prosessiin liittyvät viestit. Yleinen luottamusvirhe voi näyttää esimerkiksi tältä:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Julkaisupäivämäärä: