OS X Server: vertrouwensfunctie van RADIUS Server configureren in configuratieprofielen bij het gebruik van TLS, TTLS of PEAP

In dit artikel wordt uitgelegd hoe de vertrouwensfunctie naar behoren wordt ingesteld wanneer configuratieprofielen worden gebruikt.

In OS X worden configuratieprofielen gebruikt om een client te configureren zodat deze verbinding maakt met beveiligde 802.1x-netwerken. Als het configuratieprofiel de vertrouwensfunctie van de RADIUS-server(s) niet naar behoren configureert voor EAP-typen die een beveiligde tunnel (TLS, TTLS, PEAP) tot stand brengen, ziet u mogelijk één van de volgende problemen:

  • automatisch verbinding maken lukt niet
  • identiteitscontrole mislukt
  • roaming met nieuwe toegangspunten werkt niet

Alvorens u de vertrouwensfunctie naar behoren kunt configureren, moet u weten welke certificaten de RADIUS-server tijdens de identiteitscontrole voorlegt. Ga naar stap 13 als u deze certificaten al hebt.

  1. EAPOL-logbestanden geven de certificaten weer die door de RADIUS-server worden voorgelegd. Gebruik de volgende opdracht in Terminal om EAPOL-logbestanden in Mac OS X in te schakelen: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Nadat u de EAPOL-logbestanden hebt ingeschakeld, maakt u handmatig verbinding met het beveiligde 802.1x-netwerk. Als het goed is, wordt u gevraagd het RADIUS-servercertificaat te vertrouwen. Vertrouw het certificaat, zodat de identiteitscontrole kan worden voltooid.
  3. Zoek de EAPOL-logbestanden.
    - In OS X Lion en Mountain Lion vindt u deze logbestanden in /var/log/. Het logbestand noemt eapolclient.en0.log of eapolclient.en1.log.
    - In OS X Mavericks vindt u deze logbestanden in /Bibliotheek/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Open eapolclient.enX.log in Console en zoek de sleutel met de naam TLSServerCertificateChain. U ziet nu het volgende: 


  5. De tekst tussen <data> en </data> is een certificaat. Kopieer de tekst en plak deze in een programma voor tekstbewerking. Zorg ervoor dat het programma voor tekstbewerking is geconfigureerd om bestanden met platte tekst te bewaren.
  6. Voeg de koptekst -----BEGIN CERTIFICATE----- en de voettekst -----END CERTIFICATE-----. U ziet nu het volgende:

  7. Bewaar het bestand met de extensie .pem.
  8. Open het programma Sleutelhangertoegang in de map Hulpprogramma’s.
    Opmerking: het kan nuttig zijn om een nieuwe sleutelhanger aan te maken zodat u het certificaat, dat u in de volgende stap importeert, gemakkelijk vindt.
  9. Sleep het aangemaakte PEM-bestand naar de nieuwe sleutelhanger of kies Archief > Importeer onderdelen en selecteer het eerder aangemaakte PEM-bestand. Importeer het bestand in de gewenste sleutelhanger.
  10. Herhaal de bovenstaande stappen voor elk certificaat in de reeks TLSCertificateChain. U hebt wellicht meer dan één certificaat.
  11. Onderzoek elk geïmporteerd certificaat zodat u weet wat het is. U moet ten minste een rootcertificaat en een RADIUS-servercertificaat hebben. Mogelijk hebt u ook een intermediair certificaat. U moet alle rootcertificaten en intermediaire certificaten, die door de RADIUS-server in de payload Certificaten worden voorgelegd, toevoegen aan het configuratieprofiel. Het toevoegen van één of meerdere RADIUS-servercertificaten is optioneel als u de RADIUS-servernamen toevoegt aan het onderdeel Vertrouwde certificaatnamen van server in de netwerkpayload. In het andere geval voegt u de RADIUS-servercertificaten ook toe aan het profiel.
  12. Zodra u weet welke certificaten door de RADIUS-server worden voorgelegd, kunt u deze exporteren als CER-bestanden vanaf Sleutelhanger en deze toevoegen aan het configuratieprofiel. Voeg elk rootcertificaat en intermediair certificaat toe aan de payload Certificaten in het configuratieprofiel. U kunt indien nodig ook de RADIUS-servercertficaten toevoegen.
  13. Zoek in de netwerkpayload het gedeelte Vertrouwen en markeer de certificaten die u net als vertrouwd hebt toegevoegd. Zorg ervoor dat u geen andere certificaten markeert die mogelijk ook in de payload Certificaten als vertrouwd verschijnen, omdat de identiteitscontrole dan mislukt. Zorg ervoor dat u alleen de certificaten markeert die momenteel door de RADIUS-server als vertrouwd worden voorgelegd.
  14. Voeg vervolgens de namen van de RADIUS-servers toe aan het onderdeel Vertrouwde certificaatnamen van server. U moet exact dezelfde naam (inclusief hoofdletters of kleine letters) als de algemene naam van het RADIUS-servercertificaat gebruiken. Als de algemene naam van een RADIUS-servercertificaat bijvoorbeeld TEST.voorbeeld.com is, moet u dezelfde hoofdletters en kleine letters als in het certificaat gebruiken. De waarde ‘test.voorbeeld.com’ is niet geldig, maar ‘TEST.voorbeeld.com’ wel. U moet een nieuwe vermelding voor elke RADIUS-server toevoegen. U kunt ook een jokerteken voor de hostnaam gebruiken. Met bijvoorbeeld *.voorbeeld.com worden alle RADIUS-servers in het domein voorbeeld.com vertrouwd.
  15.  Als u eerder eapol-logbestanden hebt ingeschakeld, kunt u het maken van logbestanden uitschakelen met de volgende opdracht:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Als u niet zeker weet of de vertrouwensfunctie naar behoren is geconfigureerd, controleert u dit in /var/log/system.log. Open system.log in Console en filter op ‘eapolclient’ om alle berichten over het eapolclient-proces weer te geven. Een typisch vertrouwensprobleem ziet er als volgt uit:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Publicatiedatum: