OS X Server: Slik konfigurerer du RADIUS-tjenergodkjenning i konfigurasjonsprofiler når du bruker TLS, TTLS eller PEAP

Denne artikkelen forklarer hvordan du stiller inn godkjenning riktig når du bruker konfigurasjonsprofiler.

I OS X brukes konfigurasjonsprofiler til å konfigurere en klient for tilkobling til 802.1x-beskyttede nettverk. Hvis konfigurasjonsprofilen ikke konfigurerer godkjenning av RADIUS-tjener(e) riktig for EAP-typer som oppretter en sikker tunnel (TLS, TTLS, PEAP), kan følgende problemer oppstå:

  • automatisk tilkobling er ikke mulig
  • godkjenningsfeil
  • roaming til nye tilgangspunkter fungerer ikke

Før du kan konfigurere godkjenning riktig, må du vite hvilke sertifikater RADIUS-tjeneren benytter i godkjenningsprosessen. Hvis du allerede har sertifikatene, går du til trinn 13.

  1. EAPOL-logger viser hvilke sertifikater RADIUS-tjeneren benytter. Bruk følgende kommando i Terminal for å aktivere EAPOL-logger i Mac OS X: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Når du har aktivert EAPOL-logger, kobler du til det 802.1x-beskyttede nettverket manuelt. Du skal bli bedt om å godkjenne sertifikatet for RADIUS-tjeneren. Godkjenn sertifikatet for å fullføre godkjenningen.
  3. Finn EAPOL-loggene.
    - I OS X Lion og Mountain Lion finner du loggene i /var/log/. Loggen heter eapolclient.en0.log eller eapolclient.en1.log.
    - I OS X Mavericks finner du loggene i /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Åpne eapolclient.enX.log i Konsoll og finn en nøkkel som heter TLSServerCertificateChain. Den skal se slik ut: 


  5. Tekstavsnittet mellom <data> og </data> er et sertifikat. Kopier tekstavsnittet og lim det inn i et tekstredigeringsprogram. Påse at tekstredigeringsprogrammet er konfigurert til å lagre filer i ren tekst.
  6. Legg til toppteksten -----BEGIN CERTIFICATE----- og bunnteksten -----END CERTIFICATE-----. Det skal se slik ut:

  7. Lagre filen med filendelsen .pem.
  8. Start programmet Nøkkelringtilgang som ligger i Verktøy-mappen.
    Merk: Det kan være nyttig å opprette en ny nøkkelring slik at det blir lett å finne sertifikatet du importerer i neste trinn.
  9. Du kan enten dra .pem-filen du opprettet inn i den nye nøkkelringen, eller velge Fil > Importer objekter og velge .pem-filen du opprettet tidligere. Importer filen til ønsket nøkkelring.
  10. Gjenta trinnene ovenfor for hvert sertifikat i TLSCertificateChain-matrisen. Du har sannsynligvis mer enn ett sertifikat.
  11. Kontroller hvert importerte sertifikat for å se hva det dreier seg om. Du bør minst ha et rotsertifikat og et RADIUS-tjenersertifikat. Du bør også ha et intermediært sertifikat. Du må inkludere alle rotsertifikatene og de intermediære sertifikatene som RADIUS-tjeneren benytter, i Sertifikater-entiteten i konfigurasjonsprofilen. Det er valgfritt å inkludere RADIUS-tjenersertifikatene hvis du inkluderer RADIUS-tjenernavnene i delen med navn på godkjente tjenersertifikater i Nettverk-entiteten. I andre tilfeller må du også inkludere RADIUS-tjenersertifikatene i profilen.
  12. Når du vet hvilke sertifikater RADIUS-tjeneren benytter, kan du eksportere dem som .cer-filer fra Nøkkelring og legge dem til i konfigurasjonsprofilen. Legg til hvert rotsertifikat og intermediære sertifikat i Sertifikater-entiteten i konfigurasjonsprofilen. Om nødvendig kan du også legge til RADIUS-tjenersertifikatene.
  13. I Nettverk-entiteten finner du Godkjenning-delen og markerer sertifikatene du nettopp la til, som godkjent. Påse at du ikke markerer noen andre sertifikater som også kan være i Sertifikater-entiteten, som godkjent. Godkjenningen kan da mislykkes. Påse at du kun markerer sertifikater som RADIUS-tjeneren faktisk benytter, som godkjent.
  14. Deretter legger du til navnene på RADIUS-tjenerne i delen med navn på godkjente tjenersertifikater. Du må bruke nøyaktig samme navn (og skille mellom store og små bokstaver) som det vanlige navnet på RADIUS-tjenersertifikatet. Hvis det vanlige navnet på RADIUS-tjenersertifikatet er TEST.example.com, må du påse at du bruker samme bokstavstørrelse som i sertifikatet. Verdien "test.example.com" vil ikke være gyldig, mens "TEST.example.com" vil være det. Du må legge til en ny oppføring for hver RADIUS-tjener. Du kan også bruke et jokertegn for vertsnavnet. For eksempel vil *.example.com føre til at alle RADIUS-tjenere på domenet example.com blir godkjent.
  15.  Hvis du tidligere har aktivert eapol-logger, kan du deaktivere loggføringen med følgende kommando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -0

Hvis du er usikker på om godkjenning er konfigurert riktig, kan du kontrollere /var/log/system.log. Åpne system.log i Konsoll og filtrer etter "eapolclient" for å se alle meldinger om eapolclient-prosessen. En typisk godkjenningsfeil kan se ut som dette:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Publiseringsdato: