Connettere dispositivi Apple a reti 802.1X
Puoi connettere i dispositivi Apple in maniera sicura alla rete 802.1X della tua organizzazione. Ciò include le connessioni Wi-Fi ed Ethernet.
Dispositivo | Metodi di connessione | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 o versioni successive) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 o versioni successive) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3ª generazione) Wi-Fi | Wi-Fi Ethernet (tvOS 17 o versioni successive) | ||||||||||
Apple TV 4K (3ª generazione) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 o versioni successive) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Durante la negoziazione 802.1X, il server RADIUS presenta automaticamente il certificato al dispositivo richiedente. Il certificato del server RADIUS deve essere ritenuto affidabile dal richiedente o conferendo l’autorizzazione a un particolare certificato o a una lista di nomi host previsti che corrispondono all’host del certificato. Anche quando un certificato è emesso da un CA noto ed elencato nel root store affidabile sul dispositivo, deve essere ritenuto affidabile per uno obiettivo particolare. In questo caso il certificato del server deve essere affidabile per il servizio RADIUS. Questo operazione si può svolgere sia manualmente, quando ci si unisce a una rete aziendale e all’utente viene richiesto di autorizzare il certificato per la rete Wi-Fi collegata o in un profilo di configurazione.
Non è necessario stabilire una catena di attendibilità dei certificati nello stesso profilo che contiene la configurazione 802.1X. Ad esempio, un amministratore può scegliere di distribuire il certificato di attendibilità di un’organizzazione in un profilo autonomo e utilizzare la configurazione 802.1X in un profilo separato. In questo modo, le modifiche a uno dei duo profili possono essere gestite separatamente.
Tra gli altri parametri, la configurazione 802.1X può specificare anche:
Tipi EAP:
Per i tipi EAP basati su nome utente e password (ad esempio PEAP): il nome utente o la password possono essere forniti nel profilo. Se questi non vengono forniti, verranno richiesti all’utente.
Per i tipi EAP basati sull’identità di un certificato, (ad esempio EAP-TLS): seleziona il payload che contiene l’identità del certificato per l’autenticazione. Questo può essere un payload di certificato Active Directory (solo macOS), un payload ACME, un file (.p12 or .pfx) di certificato di identità PKCS #12 nel payload Certificati o un payload SCEP. Di default, i richiedenti per iOS, iPadOS e macOS utilizzano il nome comune dell’identità del certificato per l’identità di risposta EAP inviato al server RADIUS durante la negoziazione 802.1X. Per ulteriori informazioni, consulta Metodi di distribuzione dei certificati tramite i payload MDM.
Importante: Su iOS 17, iPadOS 17 e macOS 14, i dispositivi ora supportano le connessioni alle reti 802.1X tramite EAP-TLS con TLS 1.3 (EAP-TLS 1.3).
Credenziali EAP per “iPad condiviso”: “iPad condiviso” utilizza le stesse credenziali EAP per tutti gli utenti.
Autorizza:
Certificati attendibili: se il certificato foglia del server RADIUS viene fornito in un payload Certificati nello stesso profilo che contiene la configurazione 802.1X, l’amministratore può selezionarlo da lì. Questa azione configura il client richiedente perché si connetta solamente a una rete 802.1X con un server RADIUS che include uno dei certificati presente nell’elenco. Quando configurata in questo modo, la connessione 802.1X viene associata, a livello crittografico, a certificati specifici.
Nomi dei certificati ritenuti attendibili dal server: utilizza questo array per configurare il richiedente perché si connetta solamente ai server RADIUS che includono certificati che corrispondono a questi nomi. Questo campo supporta i caratteri jolly; ad esempio, *.betterbag.com prevede i nomi comuni per il certificato radius1.betterbag.com e radius2.betterbag.com. I caratteri jolly forniscono agli amministratori più flessibilità quando si verificano cambiamenti ai server di autorità di certificazione o RADIUS disponibili.
Configurazioni 802.1X per Mac
Puoi anche utilizzare l’autenticazione WPA/WPA2/WPA3 Enterprise nella finestra di login di macOS; in questo modo, gli utenti effettueranno l’accesso per autenticarsi sulla rete. “Impostazione assistita” di macOS supporta anche l’autenticazione 802.1X con le credenziali per nome utente e password che utilizzano TTLS o PEAP. Per ulteriori informazioni, consulta l’articolo del supporto Apple: Uso della modalità Finestra di login per l’autenticazione 802.1X su una rete.
I tipi di configurazioni 802.1X sono:
Modalità utente: questa modalità è la più semplice da configurare e si utilizza quando un utente si connette alla rete tramite il menu Wi-Fi ed effettua l’autenticazione quando richiesto. L’utente deve accettare il certificato X.509 server RADIUS e autorizzare la connessione Wi-Fi.
Modalità sistema: la modalità sistema si utilizza per l’autenticazione del computer. L’autenticazione che utilizza la modalità di sistema si verifica prima che un utente effettui il login sul computer. La modalità sistema di solito si configura per fornire l’autenticazione con il certificato X.509 (EAP-TLS) del computer emesso da un’autorità locale.
Modalità sistema+utente: una configurazione sistema+utente fa spesso parte di una distribuzione one to one in cui il computer viene autenticato con il certificato X.509 (EAP-TLS). Dopo che l’utente ha effettuato l’accesso sul computer, può unirsi alla rete Wi-Fi dal menu Wi-Fi e inserire le proprie credenziali. Le credenziali dell’utente possono essere un nome utente e una frase chiave (EAP-PEAP, EAP-TTLS) o un certificato utente (EAP-TLS). Dopo che l’utente si è connesso alla rete, le sue credenziali vengono memorizzate nel portachiavi di accesso e utilizzate per unirsi alla rete nelle connessioni future.
Modalità finestra di login: questa modalità viene utilizzata quando il computer è legato a un servizio di directory locale on-premise, come Microsoft Active Directory. Quando la modalità finestra di login è configurata e un utente inserisce il proprio nome utente e frase chiave nella finestra di login, l’utente viene autenticato sul computer e poi sulla rete usando l’autenticazione 802.1X. La modalità finestra di login trasmette le credenziali per nome utente e password unicamente la prima volta che appare la finestra di login. Se il Mac entra in standby e il tempo di sessione di inattività del controller WLAN scade, occorre riavviare il Mac configurato unicamente con la modalità finestra di login. In alternativa, l’utente deve eseguire il logout. L‘utente deve quindi fornire nuovamente il proprio nome utente e la password.
Nota: la modalità sistema, la modalità sistema+utente (necessaria per la configurazione della modalità sistema) e la modalità finestra di login richiedono una configurazione da parte di una soluzione MDM. Configura il payload Rete con le impostazioni di rete Wi-Fi desiderate e applicalo a un dispositivo o a un gruppo di dispositivi per la modalità sistema.
802.1X e iPad condiviso
Puoi usare iPad condiviso con reti 802.1X. Per ulteriori informazioni, consulta iPad condiviso e reti 802.1X.