OS X Server: A RADIUS-kiszolgálók megbízhatóságának beállítása a konfigurációs profilokban TLS, TTLS vagy PEAP használata esetén

Ez a cikk ismerteti, hogy konfigurációs profilok használatakor hogyan állítható be megfelelően a megbízhatóság.

Az OS X rendszerben konfigurációs profilok segítségével állítható be, hogy a kliensek csatlakozni tudjanak a 802.1x szabványú védett hálózatokhoz. Ha a konfigurációs profilban nincs megfelelően beállítva a RADIUS-kiszolgáló(k) megbízhatósága a biztonságos alagutat létesítő EAP típusok esetén (TLS, TTLS, PEAP), akkor a következő hibajelenségek léphetnek fel:

  • Meghiúsul az automatikus csatlakozás
  • Nem hajtható végre a hitelesítés
  • Nem működik az új hozzáférési pontokba irányuló barangolás

Mielőtt megfelelően konfigurálhatná a megbízhatóságot, számba kell vennie, hogy a RADIUS-kiszolgáló mely tanúsítványokat mutatja be a hitelesítés során. Ha már rendelkezik ezekkel a tanúsítványokkal, ugorjon a 13. lépésre.

  1. Az EAPOL-naplók jelenítik meg a RADIUS kiszolgáló által bemutatott tanúsítványokat. A Mac OS X rendszerben az alábbi Terminal-paranccsal aktiválhatók az EAPOL-naplók: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Az EAPOL-naplók engedélyezése után manuálisan csatlakozzon a 802.1x szabványú védett hálózathoz. A rendszer ekkor megkérdezi, hogy megbízik-e a RADIUS-kiszolgáló tanúsítványában. Adjon igenlő választ a hitelesítés végrehajtásához.
  3. Keresse meg az EAPOL-naplókat.
    – Az OS X Lion és a Mountain Lion rendszerben a naplók a /var/log/ mappában találhatók. A napló neve eapolclient.en0.log vagy eapolclient.en1.log.
    – Az OS X Mavericks rendszerben a naplók a következő mappában találhatók: /Könyvtár/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Nyissa meg az eapolclient.enX.log nevű naplót a Konzol alkalmazásban, és keresse meg a TLSServerCertificateChain. nevű kulcsot, amely az alábbihoz hasonló módon néz ki: 


  5. A <data> és a </data> elemek közötti szöveg a tanúsítvány. Másolja a szöveget a vágólapra, majd illessze be egy szövegszerkesztőbe. Győződjön meg arról, hogy a szövegszerkesztő egyszerű szöveges fájlok mentésére van beállítva.
  6. Írja be a -----BEGIN CERTIFICATE----- fejlécet és a -----END CERTIFICATE-----láblécet, az alábbi ábrán látható módon:

  7. Mentse a fájlt .pem kiterjesztéssel.
  8. Nyissa meg a Segédprogramok mappában található Kulcskarika-elérés alkalmazást.
    Megjegyzés: Érdemes létrehozni egy új kulcskarikát, mert így egyszerűbben megtalálhatja a következő lépésben importálandó tanúsítványt.
  9. Húzza a létrehozott .pem fájlt az új kulcskarikába, vagy válassza ki a Fájl > Elemek importálása menüpontot, és jelölje ki az imént létrehozott .pem kiterjesztésű fájlt. Importálja a fájlt egy tetszőleges kulcskarikába.
  10. Hajtsa végre a fenti műveleteket a TLSCertificateChain tömbben található összes tanúsítvány esetén. A tömbben valószínűleg több tanúsítvány is található.
  11. Vizsgálja meg mindegyik importált tanúsítványt, hogy tisztában legyen a típusukkal. Legalább egy gyökértanúsítvánnyal és egy RADIUS kiszolgálótanúsítvánnyal kell rendelkeznie. Előfordulhat, hogy egy köztes tanúsítvány is található. Foglalja bele a RADIUS-kiszolgáló által bemutatott összes gyökér- és köztes tanúsítványt a konfigurációs profil Certificates (Tanúsítványok) adatcsomagjába. A RADIUS-kiszolgálótanúsítvány(ok) belefoglalása nem kötelező, ha a RADIUS-kiszolgálók neveit megadja a Network (Hálózat) adatcsomag Trusted Server Certificate Names (Megbízható kiszolgálótanúsítványok neve) szakaszában. Ellenkező esetben foglalja bele a RADIUS-kiszolgálótanúsítványokat is a profilba.
  12. Ha már tudja, milyen tanúsítványokat mutatott be a RADIUS kiszolgáló, exportálhatja őket .cer kiterjesztésű fájlként a Kulcskarikából, és hozzáadhatja őket a konfigurációs profilhoz. Adja hozzá az összes gyökér- és köztes tanúsítványt a konfigurációs profil Certificates (Tanúsítványok) adatcsomagjához. Szükség esetén a RADIUS-kiszolgálótanúsítványokat is hozzáadhatja.
  13. A Network (Hálózat) adatcsomagban keresse meg a Trust (Megbízhatóság) szakaszt, és jelölje ki az imént megbízhatóként hozzáadott tanúsítványokat. Ügyeljen arra, hogy ne jelöljön ki egyéb megbízható tanúsítványokat a Certificates (Tanúsítványok) adatcsomagban, különben sikertelen lesz a hitelesítés. Ügyeljen arra, hogy kizárólag a RADIUS-kiszolgáló által megbízhatóként bemutatott tanúsítványokat jelölje ki.
  14. Ezután adja hozzá a RADIUS-kiszolgálók nevét a Trusted Server Certificate Names (Megbízható kiszolgálótanúsítványok neve) szakaszhoz. Fontos, hogy pontosan írja be (ügyelve a kis- és nagybetűs írásmódra is) a RADIUS-kiszolgálótanúsítvány egyszerű nevét. Ha például a RADIUS-kiszolgálótanúsítvány egyszerű neve TESZT.példa.com, akkor kövesse a tanúsítvány nevének kis- és nagybetűs írásmódját. Ebben az esetben a „teszt.példa.com” írásmód helytelen, míg a „TESZT.példa.com” helyes lenne. Mindegyik RADIUS kiszolgálóhoz adjon meg egy új bejegyzést. Helyettesítő karaktert is beszúrhat az állomásnévbe. Például a *.példa.com karaktersor megadásával a példa.com tartomány összes RADIUS kiszolgálóját beállíthatja megbízhatóként.
  15.  Ha korábban aktiválta az eapol-naplókat, az alábbi paranccsal tilthatja le a naplózást:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Ha nem biztos benne, hogy megfelelően van-e konfigurálva a megbízhatóság, ellenőrizze a /var/log/system.log naplót. Nyissa meg a system.log mappát a Konzol alkalmazásban, és végezzen szűrést az „eapolclient” karakterláncra az eapolclient folyamathoz kapcsolódó összes üzenet megtekintéséhez. Az alábbi üzenethez hasonlítanak a megbízhatósággal kapcsolatos hibaüzenetek:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Közzététel dátuma: