No OS X, os perfis de configuração são usados para configurar um cliente para entrar em redes 802.1x protegidas. Se o perfil de configuração não ajustar adequadamente a confiança nos servidores RADIUS para os tipos de EAP que estabelecem um túnel seguro (TLS, TTLS, PEAP), você poderá ter um dos seguintes problemas:
- incapacidade de conexão automática
- falha de autenticação
- o roaming para novos pontos de acesso não funciona
Para configurar a confiança de maneira adequada, você precisa saber quais certificados são apresentados pelo servidor RADIUS durante a autenticação. Se você já tem esses certificados, passe para a etapa 13.
- Os registros EAPOL exibem os certificados apresentados pelo servidor RADIUS. Para permitir registros EAPOL no Mac OS X, use o comando a seguir no Terminal:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
- Depois de ativar os registros EAPOL, conecte-se manualmente à rede protegida 802.1x. Será solicitado que você confie no certificado do servidor RADIUS. Confie no certificado para que a autenticação seja concluída.
- Procure os registros EAPOL.
- No OS X Lion e no Mountain Lion, esses registros podem ser encontrados em /var/log/. O nome do registro será eapolclient.en0.log ou eapolclient.en1.log.
- No OS X Mavericks, esses registros podem ser encontrados em /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX . - Abra o eapolclient.enX.log no Console e procure uma chave chamada TLSServerCertificateChain. Ela será assim:
- O bloco de texto entre
<dados>
e</dados>
é um certificado. Copie e cole o bloco de texto em um editor de texto. Verifique se o editor de texto está configurado para salvar arquivos em texto simples. - Adicione um cabeçalho
-----BEGIN CERTIFICATE-----
e um rodapé-----END CERTIFICATE-----
. Ele será assim:
- Salve o arquivo com a extensão .pem.
- Abra o app Acesso às Chaves, localizado na pasta Utilitários.
Nota: pode ser útil criar novas chaves para encontrar facilmente o certificado que será importado na próxima etapa. - Arraste o arquivo .pem que você criou para as novas chaves ou escolha Arquivo > Importar Itens e selecione o arquivo .pem que você criou antes. Importe o arquivo para as chaves de sua escolha.
- Repita as etapas acima para cada certificado do conjunto TLSCertificateChain. Provavelmente você terá mais de um certificado.
- Verifique cada certificado importado para saber de que se trata. Você deve ter pelo menos um certificado raiz e um certificado de servidor RADIUS. Você também pode ter um certificado intermediário. Você deve incluir todos os certificados raiz e intermediários apresentados pelo servidor RADIUS na carga de Certificados de seu perfil de configuração. A inclusão dos certificados do servidor RADIUS será opcional se você incluir os nomes de seu servidor RADIUS à seção Nomes de Certificados de Servidor Confiáveis da carga de rede. Caso contrário, inclua também os certificados do servidor RADIUS no perfil.
- Quando você souber quais certificados são apresentados pelo servidor RADIUS, poderá exportá-los como arquivos .cer a partir das chaves e adicioná-los ao perfil de configuração. Adicione todos os certificados raiz e intermediários à carga Certificados em seu perfil de configuração. Também será possível adicionar os certificados do servidor RADIUS se necessário.
- Na carga de rede, procure a seção Confiar e marque os certificados que você acabou de adicionar como confiáveis. Não marque outros certificados que também possam estar na carga de Certificados como confiáveis, caso contrário a autenticação falhará. Marque apenas os certificados apresentados pelo servidor RADIUS como confiáveis.
- Em seguida, adicione os nomes de seus servidores RADIUS à seção Nomes de Certificados de Servidor Confiáveis. É necessário usar o nome exato (inclusive maiúsculas e minúsculas) que aparece como nome comum do certificado de seu servidor RADIUS. Por exemplo, se o nome comum do certificado de seu servidor RADIUS for TEST.exemplo.com, você deverá usar as maiúsculas e minúsculas da mesma maneira no certificado. O valor "test.example.com" não seria válido, mas "TEST.example.com" sim. É necessário adicionar uma nova entrada para cada servidor RADIUS. Também é possível usar um curinga para o nome de host. Por exemplo, *.exemplo.com faria com que todos os servidores RADIUS do domínio exemplo.com fossem confiáveis.
- Se você tiver ativado os registros eapol anteriormente, poderá desativá-los com o seguinte comando:
sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0
Caso você não saiba se a confiança está adequada corretamente, pode verificar em /var/log/system.log. Abra system.log no Console e filtre por "eapolclient" para ver todas as mensagens relacionadas ao processo eapolclient. Os erros de confiança típicos são assim:
Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0