Apple apparaten verbinden met 802.1X-netwerken
Je kunt Apple apparaten veilig verbinden met het 802.1X-netwerk van je organisatie. Dit geldt ook voor wifi- en ethernetverbindingen.
Apparaat | Verbindingsmethode | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wifi Ethernet (iOS 17 of nieuwer) | ||||||||||
iPad | Wifi Ethernet (iPadOS 17 of nieuwer) | ||||||||||
Mac | Wifi Ethernet | ||||||||||
Apple TV 4K (3e generatie) Wi-Fi | Wifi Ethernet (tvOS 17 of nieuwer) | ||||||||||
Apple TV 4K (3e generatie) Wi-Fi + Ethernet | Wifi Ethernet (tvOS 17 of nieuwer) | ||||||||||
Apple Vision Pro | Wifi | ||||||||||
Bij de 802.1X-onderhandeling biedt de RADIUS-server automatisch zijn certificaat aan de apparaatsupplicant aan. Het certificaat van de RADIUS-server moet door de supplicant worden vertrouwd door het vertrouwen te koppelen aan een bepaald certificaat of aan een lijst met verwachte hostnamen die overeenkomen met de host van het certificaat. Zelfs als een certificaat door een bekende certificaatautoriteit is uitgegeven en in de opslag van vertrouwde roots op het apparaat is opgenomen, moet het daarnaast voor een specifiek doel worden vertrouwd. In dit geval moet het certificaat van de server worden vertrouwd voor de RADIUS-voorziening. Dit kan handmatig worden gedaan wanneer verbinding wordt gemaakt met een bedrijfsnetwerk, waarbij de gebruiker wordt gevraagd om het certificaat voor het desbetreffende wifinetwerk te vertrouwen. Er kan ook een configuratieprofiel worden gebruikt.
Het is niet nodig om een vertrouwensketen tot stand te brengen in het profiel met de 802.1X-configuratie. Een beheerder kan er bijvoorbeeld voor kiezen om het vertrouwde certificaat van een organisatie op te nemen in een afzonderlijk profiel en de 802.1X-configuratie in een ander profiel. Op die manier kunnen de profielen onafhankelijk van elkaar worden gewijzigd.
Naast andere parameters kun je met de 802.1X-configuratie ook het volgende opgeven:
EAP-typen:
Voor EAP-typen op basis van gebruikersnaam en wachtwoord (zoals PEAP): De gebruikersnaam of het wachtwoord kan in het profiel worden opgenomen. Als je dat niet doet, moet de gebruiker deze zelf invoeren.
Voor EAP-typen op basis van certificaatidentiteit (zoals EAP-TLS): Selecteer de payload die de certificaatidentiteit voor authenticatie bevat. Dit kan een payload 'Active Directory-certificaat' (alleen macOS), een payload 'ACME', een PKCS #12- identiteitscertificaat (.p12- of .pfx-bestand) in de payload 'Certificaten' of een payload 'SCEP' zijn. iOS-, iPadOS- en macOS-supplicants gebruiken de standaardnaam van de certificaatidentiteit voor de EAP Response Identity die bij de 802.1X-interactie naar de RADIUS-server wordt gestuurd. Zie Certificaten implementeren via MDM-payloads voor meer informatie.
Belangrijk: Apparaten met iOS 17, iPadOS 17 en macOS 14 ondersteunen nu verbindingen met 802.1X-netwerken via EAP-TLS met TLS 1.3 (EAP-TLS 1.3).
EAP-inloggegevens voor Gedeelde iPad: Gedeelde iPad gebruikt voor iedere gebruiker dezelfde EAP-inloggegevens.
Vertrouwen:
Vertrouwde certificaten: Als het leaf-certificaat van de RADIUS-server wordt geleverd in een certificatenpayload in hetzelfde profiel dat ook de 802.1X-configuratie bevat, kan de beheerder het hier selecteren. Hiermee stel je in dat de clientsupplicant alleen verbinding mag maken met een 802.1X-netwerk dat een RADIUS-server heeft met een van de certificaten in deze lijst. De configuratie zorgt ervoor dat de 802.1X-verbinding cryptografisch aan bepaalde certificaten is gekoppeld.
Vertrouwde certificaatnamen van server: Hiermee stel je in dat de supplicant alleen verbinding mag maken met RADIUS-servers met een certificaat waarvan de naam in deze lijst staat. In dit veld kun je jokertekens gebruiken. Als je bijvoorbeeld "*.betterbag.com" opgeeft, vallen certificaatnamen als "radius1.betterbag.com" en "radius2.betterbag.com" daaronder. Jokertekens geven beheerders meer flexibiliteit wanneer zich wijzigingen voordoen in de beschikbare RADIUS- of CA-servers (certificaatautoriteit).
802.1X-configuraties voor de Mac
Je kunt ook WPA/WPA2/WPA3-authenticatie op bedrijfsniveau inschakelen in het inlogvenster van macOS, zodat de gebruiker inlogt voor authenticatie bij het netwerk. De configuratie-assistent in macOS ondersteunt ook 802.1X-authenticatie, waarbij voor gebruikersnamen en wachtwoorden TTLS of PEAP wordt gebruikt. Zie het Apple Support-artikel Inlogvenstermodus gebruiken voor 802.1X-identiteitscontrole op een netwerk voor meer informatie.
Dit zijn de 802.1X-configuratietypen:
Gebruikersmodus: Deze modus, de eenvoudigste om te configureren, wordt gebruikt wanneer een gebruiker via het wifimenu verbinding met het netwerk maakt en zich desgevraagd authenticeert. De gebruiker moet het X.509-certificaat van de RADIUS-server accepteren en aangeven dat het certificaat voor de wifiverbinding wordt vertrouwd.
Systeemmodus: De systeemmodus wordt gebruikt voor computerauthenticatie. Bij de systeemmodus vindt authenticatie plaats voordat een gebruiker op de computer inlogt. De systeemmodus wordt doorgaans geconfigureerd voor authenticatie met het X.509-certificaat (EAP-TLS) van de computer dat door een lokale certificaatautoriteit wordt uitgegeven.
Systeemmodus + gebruikersmodus: Een configuratie met de systeem- en gebruikersmodus is vaak onderdeel van een één-op-één-implementatie waarbij de computer wordt geauthenticeerd met het bijbehorende X.509-certificaat (EAP-TLS). Nadat de gebruiker op de computer is ingelogd, kan de gebruiker via het wifimenu verbinding maken met het wifinetwerk en de inloggegevens invoeren. Deze inloggegevens kunnen bestaan uit een gebruikersnaam en wachtzin (EAP-PEAP, EAP-TTLS) of een gebruikerscertificaat (EAP-TLS). Nadat de gebruiker verbinding met het netwerk heeft gemaakt, worden de inloggegevens in de inlogsleutelhanger bewaard, zodat deze opnieuw kunnen worden gebruikt als de gebruiker weer verbinding met het netwerk maakt.
Inlogvenstermodus: Deze modus wordt gebruikt wanneer de computer aan een lokale adreslijstvoorziening is gekoppeld, zoals Active Directory. Wanneer de inlogvenstermodus is geconfigureerd en een gebruiker een gebruikersnaam en wachtzin in het inlogvenster invoert, wordt de gebruiker bij de computer geauthenticeerd en vervolgens bij het netwerk aan de hand van 802.1X-authenticatie. In de inlogvenstermodus worden de gebruikersnaam en het wachtwoord alleen doorgegeven wanneer het inlogvenster voor de eerste keer wordt weergegeven. Als de sluimerstand van de Mac wordt geactiveerd en de inactieve periode van de WLAN-controller is verstreken, moet een Mac die alleen met de inlogvenstermodus is geconfigureerd opnieuw worden opgestart of de gebruiker moet uitloggen. Vervolgens kan de gebruiker de gebruikersnaam en het wachtwoord opnieuw invoeren.
Opmerking: De systeemmodus, de systeemmodus + gebruikersmodus (vereist voor de configuratie 'Systeemmodus') en het inlogvenster vereisen configuratie door een MDM-oplossing. Configureer de payload 'Netwerk' met de gewenste wifinetwerkinstellingen en pas deze toe op een apparaat of apparaatgroep voor de systeemmodus.
802.1X en gedeelde iPads
Je kunt gedeelde iPads gebruiken met 802.1X-netwerken. Zie Gedeelde iPad en 802.1X-netwerk voor meer informatie.