OS X Server : définition, dans les profils de configuration, des paramètres de sécurité liés au serveur RADIUS lors de l’utilisation des protocoles TLS, TTLS ou PEAP

Sous OS X, les profils de configuration permettent de configurer un client pour la connexion aux réseaux protégés 802.1x. Si les paramètres de sécurité liés aux serveurs RADIUS, correspondant aux types EAP chargés d’établir une connexion sécurisée (à l’aide des protocoles TLS, TTLS ou PEAP), ne sont pas correctement définis, il est possible que l’un des problèmes suivants se produise :

• connexion automatique impossible ;
• échec de l’authentification ;
• non-fonctionnement de l’itinérance vers de nouveaux points d’accès.

Avant de modifier vos paramètres de sécurité, déterminez quels certificats sont associés au serveur RADIUS lors du processus d’authentification. Si vous disposez déjà de ces certificats, passez directement à l’étape 13.

1. Les fichiers journaux EAPOL répertorient les certificats fournis par le serveur RADIUS. Pour activer les fichiers journaux EAPOL sous Mac OS X, utilisez la commande suivante dans Terminal : 
   
   sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
    
2. Après avoir activé les fichiers journaux EAPOL, connectez-vous manuellement au réseau protégé 802.1x. Confirmez que le certificat associé au serveur RADIUS est fiable, le cas échant, pour que l’authentification s’effectue.
3. Recherchez les fichiers journaux EAPOL.
   - Sous OS X Lion et Mountain Lion, ces fichiers se trouvent dans /var/log/. Le fichier journal concerné s’appelle eapolclient.en0.log ou eapolclient.en1.log.
   - Sous OS X Mavericks, ces fichiers journaux se trouvent dans /Bibliothèque/Fichiers journaux/CrashReporter/com.apple.networking.eapol.XXXXXXXX.
4. Ouvrez le fichier eapolclient.enX.log dans l’application Console et recherchez une clé nommée TLSServerCertificateChain. Celle-ci se présente normalement comme suit :
   
   
   
5. Le bloc de texte inclus entre <data> et </data> est un certificat. Copiez le bloc de texte, puis collez-le dans un éditeur de texte. Vérifiez que votre éditeur de texte permet l’enregistrement de fichiers texte.
6. Ajoutez un en-tête -----BEGIN CERTIFICATE----- et un bas de page -----END CERTIFICATE-----.Le résultat doit se présenter de la manière suivante :
   
   
7. Enregistrez le fichier avec l’extension .pem.
8. Ouvrez l’application Trousseau d’accès dans le dossier Utilitaires.
   Remarque : créez un nouveau trousseau d’accès pour localiser facilement le certificat importé à l’étape suivante.
9. Faites glisser le fichier .pem que vous avez créé vers votre nouveau trousseau d’accès, ou sélectionnez Fichier > Importer des éléments, puis le fichier .pem que vous avez créé précédemment. Importez le fichier dans le trousseau de votre choix.
10. Répétez les étapes ci-dessus avec chaque certificat de la matrice TLSCertificateChain. Il est probable que plusieurs certificats existent.
11. Examinez chaque certificat importé pour en connaître les caractéristiques. Vous devez au minimum disposer d’un certificat racine et d’un certificat du serveur RADIUS. Il est possible que vous disposiez également d’un certificat intermédiaire. Vous devez inclure tous les certificats racine et intermédiaires fournis par le serveur RADIUS à l’entité Certificats de votre profil de configuration. L’inclusion du ou des certificats du serveur RADIUS est facultative, si vous indiquez les noms du serveur RADIUS dans la section Noms des certificats de confiance de l’entité Réseau. Vous pouvez également insérer le ou les certificats du serveur RADIUS dans le profil.
12. Une fois les certificats fournis par le serveur RADIUS identifiés, vous pouvez les exporter au format .cer et les ajouter au profil de configuration. Ajoutez chacun des certificats racine et intermédiaires à l’entité Certificats de votre profil de configuration. Vous pouvez également ajouter le ou les certificats du serveur RADIUS, si vous le souhaitez.
13. Dans l’entité Réseau, recherchez la section Paramètres de sécurité et marquez les certificats que vous venez d’ajouter comme approuvés. N’effectuez pas cette opération avec d’autres certificats pouvant également se trouver dans l’entité Certificats, car l’authentification échouerait. Procédez ainsi uniquement avec les certificats fournis par votre serveur RADIUS.
14. Ajoutez ensuite les noms de vos serveurs RADIUS à la section Noms de certificats de confiance. Vous devez utiliser le nom exact (en respectant la casse) qui apparaît comme nom usuel du certificat de votre serveur RADIUS. Par exemple, si le nom du certificat de votre serveur RADIUS est TEST.example.com, vous devez l’indiquer tel quel. La valeur « test.example.com » ne serait, par exemple, pas correcte. Vous devez ajouter une nouvelle entrée pour chacun de vos serveurs RADIUS. Vous pouvez également utiliser un caractère générique pour le nom d’hôte. Par exemple, la saisie de « *.example.com » vous permet d’approuver tous les serveurs RADIUS du domaine example.com.
15.  Si vous avez précédemment activé les fichiers journaux eapol, vous pouvez désactiver la journalisation à l’aide de la commande suivante :
    
    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Si vous n’êtes pas sûr que les paramètres de sécurité sont correctement configurés, consultez le fichier situé à l’emplacement suivant : /var/log/system.log. Ouvrez le fichier system.log dans l’application Console et recherchez l’élément « eapolclient » pour consulter tous les messages associés au processus eapolclient. En cas d’erreur liée aux paramètres de sécurité, le résultat est généralement similaire à l’exemple suivant :

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0