OS X Server: como configurar a confiança do servidor RADIUS em perfis de configuração ao usar TLS, TTLS ou PEAP

Este artigo explica como configurar a confiança corretamente ao usar perfis de configuração.

No OS X, os perfis de configuração são usados para configurar o ingresso de um cliente em redes protegidas por 802.1x. Se o perfil de configuração não configurar corretamente a confiança nos servidores RADIUS para tipos EAP que estabelecem um túnel seguro (TLS, TTLS e PEAP), talvez você enfrente um destes problemas:

  • incapacidade de ingressar automaticamente

  • falha de autenticação

  • não funcionamento do roaming para novos pontos de acesso

Antes de configurar a confiança corretamente, você precisa saber quais certificados são apresentados pelo servidor RADIUS durante a autenticação. Se você já tem esses certificados, pule para a etapa 13.

  1. Os logs do EAPOL exibem os certificados apresentados pelo servidor RADIUS. Para ativar os logs do EAPOL no Mac OS X, use o seguinte comando no Terminal:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1

  2. Depois de ativar os logs do EAPOL, conecte manualmente à rede protegida por 802.1x. Aparecerá uma solicitação para você confiar no certificado do servidor RADIUS. Confie no certificado para que a autenticação seja concluída.

  3. Localize os logs do EAPOL.

    - In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.

    - In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .

  4. Abra o eapolclient.enX.log no Console e localize uma chave chamada TLSServerCertificateChain. Esta deverá ser a aparência:

  5. O bloco de texto entre e é um certificado. Copie o bloco de texto e cole-o em um editor de texto. Confirme se o editor de texto está configurado para salvar arquivos de texto simples.

  6. Adicione um cabeçalho de-----BEGIN CERTIFICATE----- and a footer of -----END CERTIFICATE-----. It should look like this:

  7. Salve o arquivo com a extensão .pem.

  8. Abra o app Acesso às Chaves na pasta Utilitários.

    Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.

  9. Arraste o arquivo .pem que você criou até as novas chaves ou escolha Arquivo > Importar itens e selecione o arquivo .pem que você criou. Importe o arquivo para as chaves de sua escolha.

  10. Repita as etapas acima para cada certificado no conjunto TLSCertificateChain. Você provavelmente terá mais de um certificado.

  11. Inspecione cada certificado que foi importado e entenda o que é cada um. No mínimo, você deve ter um certificado raiz e um certificado de servidor RADIUS. Você também pode ter um certificado intermediário. Você deve incluir todos os certificados raiz e intermediários apresentados pelo servidor RADIUS na entidade Certificados no perfil de configuração. A inclusão dos certificados do servidor RADIUS é opcional quando você inclui os nomes de servidor RADIUS na seção "Nomes de certificados de servidor confiáveis" da entidade Rede. Caso contrário, inclua também os certificados do servidor RADIUS no perfil.

  12. Depois de saber quais certificados são apresentados pelo servidor RADIUS, você pode exportá-los como arquivos .cer das chaves e adicioná-los ao perfil de configuração. Adicione cada um dos certificados raiz e intermediários à entidade Certificados no perfil de configuração. Você também pode adicionar os certificados do servidor RADIUS, se necessário.

  13. Na entidade Rede, localize a seção Confiança e marque os certificados que você acabou de adicionar como confiáveis. Não marque nenhum outro certificado que esteja na entidade Certificados como confiável, ou a autenticação falhará. Marque apenas os certificados realmente apresentados pelo seu servidor RADIUS como confiáveis.

  14. Em seguida, adicione os nomes dos seus servidores RADIUS à seção "Nomes de certificados de servidor confiáveis". Você precisa usar o nome exato (incluindo maiúsculas e minúsculas) que aparece como o nome comum do seu certificado de servidor RADIUS. Por exemplo, se o nome comum do seu certificado de servidor RADIUS for TEST.example.com, você deve confirmar se corresponde ao caso usado no certificado. O valor "test.example.com" não seria válido, mas "TEST.example.com" seria. Você deve adicionar uma nova entrada para cada um dos servidores RADIUS. E pode usar um curinga para o nome do host. Por exemplo, *.example.com tornaria confiáveis todos os servidores RADIUS no domínio example.com.

  15. Se você ativou anteriormente os logs do eapol, pode desativar o registro de logs com o seguinte comando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Se você não tem certeza se a confiança está configurada corretamente, verifique /var/log/system.log. Abra system.log no Console e use o filtro "eapolclient" para ver todas as mensagens relacionadas ao processo eapolclient. Um erro de confiança típico tem esta aparência:

31 de março 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): certificado de servidor não confiável status 3 0

Data da publicação: