OS X Server: A RADIUS Server megbízhatóságának konfigurálása a konfigurációs profilokban TLS, TTLS vagy PEAP használatakor

Ebben a cikk bemutatjuk, hogyan lehet megfelelően beállítani a megbízhatóságot a konfigurációs profilok használatakor.

Az OS X rendszerben a konfigurációs profilok segítségével konfigurálható a kliens a 802.1x-védelemmel ellátott hálózatokhoz. Ha a konfigurációs profilban nem megfelelően van konfigurálva a RADIUS-kiszolgáló(k) megbízhatósága a biztonságos csatornát létrehozó EAP-típusokhoz (TLS, TTLS, PEAP), akkor a következő problémák egyikét tapasztalhatja:

• nem lehet automatikusan csatlakozni

• hitelesítési hiba

• a roaming nem működik új hozzáférési pontok felé

A megbízhatóság megfelelő konfigurálása előtt ismernie kell, hogy a RADIUS-kiszolgáló milyen tanúsítványokat mutat be a hitelesítés során. Ha már rendelkezik ilyen tanúsítványokkal, ugorjon a 13. lépésre.

1. Az EAPOL-naplók tartalmazzák a RADIUS-kiszolgáló által bemutatott tanúsítványokat. Az EAPOL-naplók Mac OS X rendszerben való engedélyezéséhez használja a következő parancsot a Terminalban:

   sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1

2. Az EAPOL-naplók engedélyezése után manuálisan csatlakozzon a 802.1x-védett hálózathoz. Ekkor a rendszer felkéri, hogy jelölbe meg megbízhatóként a RADIUS-kiszolgálótanúsítványt. A hitelesítés befejezéséhez jelölje meg megbízhatóként a tanúsítványt.

3. Keresse meg az EAPOL-naplókat.

   - In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.

   - In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .

4. Nyissa meg az eapolclient.enX.log alkalmazást a Console-ban, és keresse meg a TLSServerCertificateChain nevű kulcsot. Így kell kinéznie:

   

5. A és közötti szöveg egy tanúsítvány. Másolja ki a szövegblokkot, majd illessze be egy szövegszerkesztőbe. Biztosítsa, hogy a szövegszerkesztő egyszerű szöveges fájlok mentésére legyen konfigurálva.

6. Adja hozzá a következő fejlécet:-----BEGIN CERTIFICATE----- and a footer of -----END CERTIFICATE-----. It should look like this:

   

7. Mentse a fájlt .pem kiterjesztéssel.

8. Nyissa meg a Kulcskarika-elérés alkalmazást a Utilities mappában.

   Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.

9. Húzza a létrehozott .pem fájlt az új kulcskarikába, vagy válassza a Fájl > Elemek importálása lehetőséget, majd válassza ki a korábban létrehozott .pem fájlt. Importálja a fájlt a kívánt kulcskarikába.

10. Ismételje meg a fenti lépéseket a TLSCertificateChain tömb mindegyik tanúsítványa esetén. Valószínűleg több tanúsítvánnyal is rendelkezik.

11. Vizsgálja meg az importált tanúsítványokat, hogy megtudja, mik azok. Legalább egy gyökértanúsítvánnyal és egy RADIUS-kiszolgálótanúsítvánnyal kell rendelkeznie. Előfordulhat, hogy van köztes tanúsítvánnyal is rendelkezik. A RADIUS-kiszolgáló által bemutatott összes gyökér- és köztes tanúsítványt bele kell foglalnia a Tanúsítványok adatcsomagjába a konfigurációs profilban. A RADIUS-kiszolgálótanúsítványok használata nem kötelező, ha a RADIUS-kiszolgálóneveket hozzáadja a Hálózati adatcsomag Megbízható kiszolgálótanúsítványok nevei című szakaszhoz. Ellenkező esetben a RADIUS-kiszolgálótanúsítvány(ok) is szerepeljen(ek) a profilban.

12. Miután megtudta, hogy mely tanúsítványokat mutatja be a RADIUS-kiszolgáló, exportálhatja őket .cer fájlként a Kulcskarikából, és hozzáadhatja őket a konfigurációs profilhoz. Adja hozzá a gyökér- és a köztes tanúsítványokat a tanúsítványok adatcsomagjához a konfigurációs profilban. Szükség esetén hozzáadhatja a RADIUS-kiszolgálótanúsítvány(oka)t is.

13. A Hálózat adatcsomagban keresse meg a Megbízhatóság szakaszt, és jelölje meg megbízhatóként az imént hozzáadott tanúsítványokat. Ügyeljen arra, hogy ne jelöljön meg megbízhatóként olyan tanúsítványokat, amelyek a Tanúsítványok adatcsomagban is szerepelhetnek, ellenkező esetben a hitelesítés sikertelen lesz. Ügyeljen arra, hogy csak a RADIUS-kiszolgáló által ténylegesen bemutatott tanúsítványokat jelölje meg megbízhatóként.

14. Ezután adja hozzá a RADIUS-kiszolgálók nevét a Megbízható kiszolgálótanúsítvány neve című részhez. A nevet pontosan úgy kell használni (a kis- és nagybetűvel együtt), ahogy az a RADIUS-kiszolgálótanúsítvány közös neveként megjelenik. Ha például a RADIUS-kiszolgálótanúsítvány közös neve: TEST.example.com, ügyeljen arra, hogy a tanúsítványban használt kis- és nagybetűt használja. A „test.example.com” érték nem érvényes, a „TEST.example.com” érték azonban igen. Mindegyik RADIUS-kiszolgálóhoz hozzá kell adnia egy új bejegyzést. A hosztnévben helyettesítő karaktereket is használhat. A *. example.com például az example.com tartományban található összes RADIUS-kiszolgálót megbízhatóvá teszi.

15. Ha korábban aktiválta az eapol-naplókat, a következő paranccsal tilthatja le a naplózást:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Ha nem biztos benne, hogy a megbízhatóság megfelelően van-e konfigurálva, ellenőrizze a /var/log/system.log fájlt. Nyissa meg a system.log alkalmazást a Console-ban, és szűrön az „eapolclient” karakterláncra az eapolclient folyamathoz kapcsolódó összes üzenet megtekintéséhez. Egy tipikus megbízhatósági hiba a következőképpen néz ki:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0