I OS X brukes konfigurasjonsprofiler til å konfigurere en klient for tilkobling til 802.1x-beskyttede nettverk. Hvis konfigurasjonsprofilen ikke konfigurerer godkjenning av RADIUS-tjener(e) riktig for EAP-typer som oppretter en sikker tunnel (TLS, TTLS, PEAP), kan følgende problemer oppstå:
- automatisk tilkobling er ikke mulig
- godkjenningsfeil
- roaming til nye tilgangspunkter fungerer ikke
Før du kan konfigurere godkjenning riktig, må du vite hvilke sertifikater RADIUS-tjeneren benytter i godkjenningsprosessen. Hvis du allerede har sertifikatene, går du til trinn 13.
- EAPOL-logger viser hvilke sertifikater RADIUS-tjeneren benytter. Bruk følgende kommando i Terminal for å aktivere EAPOL-logger i Mac OS X:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
- Når du har aktivert EAPOL-logger, kobler du til det 802.1x-beskyttede nettverket manuelt. Du skal bli bedt om å godkjenne sertifikatet for RADIUS-tjeneren. Godkjenn sertifikatet for å fullføre godkjenningen.
- Finn EAPOL-loggene.
- I OS X Lion og Mountain Lion finner du loggene i /var/log/. Loggen heter eapolclient.en0.log eller eapolclient.en1.log.
- I OS X Mavericks finner du loggene i /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX . - Åpne eapolclient.enX.log i Konsoll og finn en nøkkel som heter TLSServerCertificateChain. Den skal se slik ut:
- Tekstavsnittet mellom
<data>
og</data>
er et sertifikat. Kopier tekstavsnittet og lim det inn i et tekstredigeringsprogram. Påse at tekstredigeringsprogrammet er konfigurert til å lagre filer i ren tekst. - Legg til toppteksten
-----BEGIN CERTIFICATE-----
og bunnteksten-----END CERTIFICATE-----
. Det skal se slik ut:
- Lagre filen med filendelsen .pem.
- Start programmet Nøkkelringtilgang som ligger i Verktøy-mappen.
Merk: Det kan være nyttig å opprette en ny nøkkelring slik at det blir lett å finne sertifikatet du importerer i neste trinn. - Du kan enten dra .pem-filen du opprettet inn i den nye nøkkelringen, eller velge Fil > Importer objekter og velge .pem-filen du opprettet tidligere. Importer filen til ønsket nøkkelring.
- Gjenta trinnene ovenfor for hvert sertifikat i TLSCertificateChain-matrisen. Du har sannsynligvis mer enn ett sertifikat.
- Kontroller hvert importerte sertifikat for å se hva det dreier seg om. Du bør minst ha et rotsertifikat og et RADIUS-tjenersertifikat. Du bør også ha et intermediært sertifikat. Du må inkludere alle rotsertifikatene og de intermediære sertifikatene som RADIUS-tjeneren benytter, i Sertifikater-entiteten i konfigurasjonsprofilen. Det er valgfritt å inkludere RADIUS-tjenersertifikatene hvis du inkluderer RADIUS-tjenernavnene i delen med navn på godkjente tjenersertifikater i Nettverk-entiteten. I andre tilfeller må du også inkludere RADIUS-tjenersertifikatene i profilen.
- Når du vet hvilke sertifikater RADIUS-tjeneren benytter, kan du eksportere dem som .cer-filer fra Nøkkelring og legge dem til i konfigurasjonsprofilen. Legg til hvert rotsertifikat og intermediære sertifikat i Sertifikater-entiteten i konfigurasjonsprofilen. Om nødvendig kan du også legge til RADIUS-tjenersertifikatene.
- I Nettverk-entiteten finner du Godkjenning-delen og markerer sertifikatene du nettopp la til, som godkjent. Påse at du ikke markerer noen andre sertifikater som også kan være i Sertifikater-entiteten, som godkjent. Godkjenningen kan da mislykkes. Påse at du kun markerer sertifikater som RADIUS-tjeneren faktisk benytter, som godkjent.
- Deretter legger du til navnene på RADIUS-tjenerne i delen med navn på godkjente tjenersertifikater. Du må bruke nøyaktig samme navn (og skille mellom store og små bokstaver) som det vanlige navnet på RADIUS-tjenersertifikatet. Hvis det vanlige navnet på RADIUS-tjenersertifikatet er TEST.example.com, må du påse at du bruker samme bokstavstørrelse som i sertifikatet. Verdien "test.example.com" vil ikke være gyldig, mens "TEST.example.com" vil være det. Du må legge til en ny oppføring for hver RADIUS-tjener. Du kan også bruke et jokertegn for vertsnavnet. For eksempel vil *.example.com føre til at alle RADIUS-tjenere på domenet example.com blir godkjent.
- Hvis du tidligere har aktivert eapol-logger, kan du deaktivere loggføringen med følgende kommando:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -0
Hvis du er usikker på om godkjenning er konfigurert riktig, kan du kontrollere /var/log/system.log. Åpne system.log i Konsoll og filtrer etter "eapolclient" for å se alle meldinger om eapolclient-prosessen. En typisk godkjenningsfeil kan se ut som dette:
Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0