OS X Server: Cara mengonfigurasi Trust (Kepercayaan) di Server RADIUS di Configuration Profiles (Profil Konfigurasi) saat menggunakan TLS, TTLS, atau PEAP

Artikel ini menjelaskan cara mengatur kepercayaan dengan benar saat menggunakan profil konfigurasi.

Di OS X, profil konfigurasi digunakan untuk mengonfigurasi klien agar bergabung dengan jaringan 802.1x yang dilindungi. Jika profil konfigurasi tidak mengonfigurasi kepercayaan dengan benar terhadap server RADIUS untuk jenis EAP yang membuat terusan aman (TLS, TTLS, PEAP), Anda akan mengalami masalah berikut:

  • tidak dapat bergabung secara otomatis
  • pengesahan gagal
  • roaming pada titik akses baru tidak berfungsi

Sebelum mengonfigurasi kepercayaan dengan benar, Anda harus mengetahui sertifikat mana yang disediakan server RADIUS selama pengesahan. Jika Anda sudah memiliki sertifikat ini, lanjutkan ke langkah 13.

  1. Log EAPOL menampilkan sertifikat yang disediakan server RADIUS. Untuk mengaktifkan log EAPOL di Mac OS X, gunakan perintah berikut di Terminal: 

    sudo defaults write /Perpustakaan/Preferensi/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Setelah mengaktifkan log EAPOL, hubungkan secara manual ke jaringan 802.1x yang dilindungi. Anda akan diminta untuk memercayai sertifikat server RADIUS. Percayai sertifikat tersebut agar pengesahan selesai.
  3. Cari log EAPOL.
    - Di OS X Lion dan Mountain Lion, log ini dapat ditemukan di /var/log/. Log ini disebut eapolclient.en0.log atau eapolclient.en1.log.
    - Di OS X Mavericks, log ini dapat ditemukan di /Perpustakaan/Log/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Buka eapolclient.enX.log di Konsol dan cari kunci yang disebut TLSServerCertificateChain. Akan terlihat seperti berikut: 


  5. Blok teks antara <data> dan </data> adalah sertifikat. Salin blok teks lalu tempel ke editor teks. Pastikan editor teks dikonfigurasi untuk menyimpan file teks biasa.
  6. Tambahkan header -----BEGIN CERTIFICATE----- dan footer -----END CERTIFICATE-----. Akan terlihat seperti berikut:

  7. Simpan filenya dengan ekstensi .pem.
  8. Buka app Akses Rantai Kunci di folder Utilitas.
    Catatan: Mungkin akan bermanfaat jika membuat rantai baru sehingga Anda dapat dengan mudah menemukan sertifikat yang Anda impor di langkah berikutnya.
  9. Seret file .pem yang Anda buat ke rantai kunci baru, atau pilih File > Impor Item lalu pilih file .pem yang Anda buat sebelumnya. Impor file ini ke rantai kunci pilihan Anda.
  10. Ulangi langkah-langkah di atas untuk setiap sertifikat di dalam larik TLSCertificateChain. Kemungkinan Anda memiliki lebih dari satu sertifikat.
  11. Periksa setiap sertifikat yang diimpor sehingga Anda mengetahui itu apa. Setidaknya, Anda harus memiliki sertifikat dasar dan sertifikat server RADIUS. Anda juga memiliki sertifikat menengah. Anda harus memasukkan sertifikat dasar dan menengah yang disediakan server RADIUS di dalam muatan Certificates (Sertifikat) di konfigurasi profil. Memasukkan sertifikat server RADIUS bersifat opsional jika Anda memasukkan nama server RADIUS di bagian Trusted Server Certificate Names (Nama Sertifikat Server Tepercaya) di muatan Network (Jaringan). Jika tidak, masukkan juga sertifikat server RADIUS di dalam profil.
  12. Setelah Anda mengetahui sertifikat mana yang disediakan server RADIUS, Anda dapat mengekspornya sebagai file .cer dari Rantai Kunci dan menambahkannya ke profil konfigurasi. Tambahkan sertifikat dasar dan menengah ke muatan Certificates (Sertifikat) di dalam profil konfigurasi. Anda juga dapat menambahkan sertifikat server RADIUS jika diperlukan.
  13. Di muatan Network (Jaringan), cari bagian Trust (Kepercayaan) dan tandai sertifikat yang baru saja Anda tambahkan tersebut sebagai tepercaya. Pastikan Anda tidak menandai sertifikat lain yang mungkin juga terdapat di dalam muatan Sertificates (Sertifikat) sebagai tepercaya, atau pengesahan akan gagal. Pastikan hanya menandai sertifikat yang memang disediakan server RADIUS sebagai tepercaya.
  14. Selanjutnya, tambahkan nama server RADIUS ke bagian Trusted Server Certificate Names (Nama Sertifikat Server Tepercaya). Anda wajib menggunakan nama yang tepat (termasuk huruf besar/kecilnya) yang muncul sebagai nama umum untuk sertifikat server RADIUS. Misalnya, jika nama umum sertifikat server RADIUS adalah TEST.example.com, pastikan agar huruf besar/kecilnya sesuai dengan yang digunakan di sertifikat tersebut. Nilai "test.example.com" tidak akan valid, tetapi "TEST.example.com" akan valid. Anda harus menambahkan entri baru untuk setiap server RADIUS. Anda juga dapat menggunakan kartu bebas untuk nama hostnya. Misalnya, *.example.com akan mengakibatkan server RADIUS di example.com domain tepercaya.
  15.  Jika Anda pernah mengaktifkan log eapol, Anda dapat menonaktifkan pembuatan log menggunakan perintah berikut:

    sudo defaults write /Perpustakaan/Preferensi/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Jika Anda tidak yakin apakah kepercayaan dikonfigurasi dengan benar, Anda dapat memeriksa /var/log/system.log. Buka system.log di Konsel dan filter di "eapolclient" untuk melihat semua pesan yang terkait dengan proses eapolclient. Kesalahan kepercayaan khusus terlihat seperti ini:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Tanggal Dipublikasikan: