OS X Server: A RADIUS Server megbízhatóságának konfigurálása a konfigurációs profilokban TLS, TTLS vagy PEAP használatakor
Ebben a cikk bemutatjuk, hogyan lehet megfelelően beállítani a megbízhatóságot a konfigurációs profilok használatakor.
Az OS X rendszerben a konfigurációs profilok segítségével konfigurálható a kliens a 802.1x-védelemmel ellátott hálózatokhoz. Ha a konfigurációs profilban nem megfelelően van konfigurálva a RADIUS-kiszolgáló(k) megbízhatósága a biztonságos csatornát létrehozó EAP-típusokhoz (TLS, TTLS, PEAP), akkor a következő problémák egyikét tapasztalhatja:
nem lehet automatikusan csatlakozni
hitelesítési hiba
a roaming nem működik új hozzáférési pontok felé
A megbízhatóság megfelelő konfigurálása előtt ismernie kell, hogy a RADIUS-kiszolgáló milyen tanúsítványokat mutat be a hitelesítés során. Ha már rendelkezik ilyen tanúsítványokkal, ugorjon a 13. lépésre.
Az EAPOL-naplók tartalmazzák a RADIUS-kiszolgáló által bemutatott tanúsítványokat. Az EAPOL-naplók Mac OS X rendszerben való engedélyezéséhez használja a következő parancsot a Terminalban:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
Az EAPOL-naplók engedélyezése után manuálisan csatlakozzon a 802.1x-védett hálózathoz. Ekkor a rendszer felkéri, hogy jelölbe meg megbízhatóként a RADIUS-kiszolgálótanúsítványt. A hitelesítés befejezéséhez jelölje meg megbízhatóként a tanúsítványt.
Keresse meg az EAPOL-naplókat.
- In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.
- In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
Nyissa meg az eapolclient.enX.log alkalmazást a Console-ban, és keresse meg a TLSServerCertificateChain nevű kulcsot. Így kell kinéznie:
A és közötti szöveg egy tanúsítvány. Másolja ki a szövegblokkot, majd illessze be egy szövegszerkesztőbe. Biztosítsa, hogy a szövegszerkesztő egyszerű szöveges fájlok mentésére legyen konfigurálva.
Adja hozzá a következő fejlécet:
-----BEGIN CERTIFICATE-----
and a footer of-----END CERTIFICATE-----
. It should look like this:Mentse a fájlt .pem kiterjesztéssel.
Nyissa meg a Kulcskarika-elérés alkalmazást a Utilities mappában.
Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.
Húzza a létrehozott .pem fájlt az új kulcskarikába, vagy válassza a Fájl > Elemek importálása lehetőséget, majd válassza ki a korábban létrehozott .pem fájlt. Importálja a fájlt a kívánt kulcskarikába.
Ismételje meg a fenti lépéseket a TLSCertificateChain tömb mindegyik tanúsítványa esetén. Valószínűleg több tanúsítvánnyal is rendelkezik.
Vizsgálja meg az importált tanúsítványokat, hogy megtudja, mik azok. Legalább egy gyökértanúsítvánnyal és egy RADIUS-kiszolgálótanúsítvánnyal kell rendelkeznie. Előfordulhat, hogy van köztes tanúsítvánnyal is rendelkezik. A RADIUS-kiszolgáló által bemutatott összes gyökér- és köztes tanúsítványt bele kell foglalnia a Tanúsítványok adatcsomagjába a konfigurációs profilban. A RADIUS-kiszolgálótanúsítványok használata nem kötelező, ha a RADIUS-kiszolgálóneveket hozzáadja a Hálózati adatcsomag Megbízható kiszolgálótanúsítványok nevei című szakaszhoz. Ellenkező esetben a RADIUS-kiszolgálótanúsítvány(ok) is szerepeljen(ek) a profilban.
Miután megtudta, hogy mely tanúsítványokat mutatja be a RADIUS-kiszolgáló, exportálhatja őket .cer fájlként a Kulcskarikából, és hozzáadhatja őket a konfigurációs profilhoz. Adja hozzá a gyökér- és a köztes tanúsítványokat a tanúsítványok adatcsomagjához a konfigurációs profilban. Szükség esetén hozzáadhatja a RADIUS-kiszolgálótanúsítvány(oka)t is.
A Hálózat adatcsomagban keresse meg a Megbízhatóság szakaszt, és jelölje meg megbízhatóként az imént hozzáadott tanúsítványokat. Ügyeljen arra, hogy ne jelöljön meg megbízhatóként olyan tanúsítványokat, amelyek a Tanúsítványok adatcsomagban is szerepelhetnek, ellenkező esetben a hitelesítés sikertelen lesz. Ügyeljen arra, hogy csak a RADIUS-kiszolgáló által ténylegesen bemutatott tanúsítványokat jelölje meg megbízhatóként.
Ezután adja hozzá a RADIUS-kiszolgálók nevét a Megbízható kiszolgálótanúsítvány neve című részhez. A nevet pontosan úgy kell használni (a kis- és nagybetűvel együtt), ahogy az a RADIUS-kiszolgálótanúsítvány közös neveként megjelenik. Ha például a RADIUS-kiszolgálótanúsítvány közös neve: TEST.example.com, ügyeljen arra, hogy a tanúsítványban használt kis- és nagybetűt használja. A „test.example.com” érték nem érvényes, a „TEST.example.com” érték azonban igen. Mindegyik RADIUS-kiszolgálóhoz hozzá kell adnia egy új bejegyzést. A hosztnévben helyettesítő karaktereket is használhat. A *. example.com például az example.com tartományban található összes RADIUS-kiszolgálót megbízhatóvá teszi.
Ha korábban aktiválta az eapol-naplókat, a következő paranccsal tilthatja le a naplózást:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0
Ha nem biztos benne, hogy a megbízhatóság megfelelően van-e konfigurálva, ellenőrizze a /var/log/system.log fájlt. Nyissa meg a system.log alkalmazást a Console-ban, és szűrön az „eapolclient” karakterláncra az eapolclient folyamathoz kapcsolódó összes üzenet megtekintéséhez. Egy tipikus megbízhatósági hiba a következőképpen néz ki:
Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0