OS X Server: como configurar a confiança do servidor RADIUS em perfis de configuração ao usar TLS, TTLS ou PEAP

Este artigo explica como definir a confiança de maneira adequada ao usar perfis de configuração.

No OS X, os perfis de configuração são usados para configurar um cliente para entrar em redes 802.1x protegidas. Se o perfil de configuração não ajustar adequadamente a confiança nos servidores RADIUS para os tipos de EAP que estabelecem um túnel seguro (TLS, TTLS, PEAP), você poderá ter um dos seguintes problemas:

  • incapacidade de conexão automática
  • falha de autenticação
  • o roaming para novos pontos de acesso não funciona

Para configurar a confiança de maneira adequada, você precisa saber quais certificados são apresentados pelo servidor RADIUS durante a autenticação. Se você já tem esses certificados, passe para a etapa 13.

  1. Os registros EAPOL exibem os certificados apresentados pelo servidor RADIUS. Para permitir registros EAPOL no Mac OS X, use o comando a seguir no Terminal: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Depois de ativar os registros EAPOL, conecte-se manualmente à rede protegida 802.1x. Será solicitado que você confie no certificado do servidor RADIUS. Confie no certificado para que a autenticação seja concluída.
  3. Procure os registros EAPOL.
    - No OS X Lion e no Mountain Lion, esses registros podem ser encontrados em /var/log/. O nome do registro será eapolclient.en0.log ou eapolclient.en1.log.
    - No OS X Mavericks, esses registros podem ser encontrados em /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Abra o eapolclient.enX.log no Console e procure uma chave chamada TLSServerCertificateChain. Ela será assim: 


  5. O bloco de texto entre <dados> e </dados> é um certificado. Copie e cole o bloco de texto em um editor de texto. Verifique se o editor de texto está configurado para salvar arquivos em texto simples.
  6. Adicione um cabeçalho -----BEGIN CERTIFICATE----- e um rodapé -----END CERTIFICATE-----. Ele será assim:

  7. Salve o arquivo com a extensão .pem.
  8. Abra o app Acesso às Chaves, localizado na pasta Utilitários.
    Nota: pode ser útil criar novas chaves para encontrar facilmente o certificado que será importado na próxima etapa.
  9. Arraste o arquivo .pem que você criou para as novas chaves ou escolha Arquivo > Importar Itens e selecione o arquivo .pem que você criou antes. Importe o arquivo para as chaves de sua escolha.
  10. Repita as etapas acima para cada certificado do conjunto TLSCertificateChain. Provavelmente você terá mais de um certificado.
  11. Verifique cada certificado importado para saber de que se trata. Você deve ter pelo menos um certificado raiz e um certificado de servidor RADIUS. Você também pode ter um certificado intermediário. Você deve incluir todos os certificados raiz e intermediários apresentados pelo servidor RADIUS na carga de Certificados de seu perfil de configuração. A inclusão dos certificados do servidor RADIUS será opcional se você incluir os nomes de seu servidor RADIUS à seção Nomes de Certificados de Servidor Confiáveis da carga de rede. Caso contrário, inclua também os certificados do servidor RADIUS no perfil.
  12. Quando você souber quais certificados são apresentados pelo servidor RADIUS, poderá exportá-los como arquivos .cer a partir das chaves e adicioná-los ao perfil de configuração. Adicione todos os certificados raiz e intermediários à carga Certificados em seu perfil de configuração. Também será possível adicionar os certificados do servidor RADIUS se necessário.
  13. Na carga de rede, procure a seção Confiar e marque os certificados que você acabou de adicionar como confiáveis. Não marque outros certificados que também possam estar na carga de Certificados como confiáveis, caso contrário a autenticação falhará. Marque apenas os certificados apresentados pelo servidor RADIUS como confiáveis.
  14. Em seguida, adicione os nomes de seus servidores RADIUS à seção Nomes de Certificados de Servidor Confiáveis. É necessário usar o nome exato (inclusive maiúsculas e minúsculas) que aparece como nome comum do certificado de seu servidor RADIUS. Por exemplo, se o nome comum do certificado de seu servidor RADIUS for TEST.exemplo.com, você deverá usar as maiúsculas e minúsculas da mesma maneira no certificado. O valor "test.example.com" não seria válido, mas "TEST.example.com" sim. É necessário adicionar uma nova entrada para cada servidor RADIUS. Também é possível usar um curinga para o nome de host. Por exemplo, *.exemplo.com faria com que todos os servidores RADIUS do domínio exemplo.com fossem confiáveis.
  15.  Se você tiver ativado os registros eapol anteriormente, poderá desativá-los com o seguinte comando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Caso você não saiba se a confiança está adequada corretamente, pode verificar em /var/log/system.log. Abra system.log no Console e filtre por "eapolclient" para ver todas as mensagens relacionadas ao processo eapolclient. Os erros de confiança típicos são assim:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Data da publicação: