Conectar dispositivos Apple a redes 802.1X
Você pode conectar dispositivos Apple com segurança à rede 802.1X da sua organização.
Durante a negociação 802.1X, o servidor RADIUS apresenta seu certificado ao dispositivo solicitante automaticamente. O certificado do servidor RADIUS deve ser confiável para o requerente ao garantir a confiança de um certificado específico ou de uma lista de nomes de host esperados correspondentes ao host do certificado. Mesmo quando um certificado é emitido por uma AC conhecida e listado no armazenamento raiz confiável no dispositivo, ele também deve ser confiável para uma finalidade específica. Nesse caso, o certificado do servidor deve ser confiável para o serviço RADIUS. Isso é feito manualmente, ao ingressar em uma rede corporativa, quando o usuário é solicitado a confiar no certificado da rede Wi-Fi conectada, ou em um perfil de configuração.
Não é necessário estabelecer uma cadeia de certificado de confiança no mesmo perfil que contém a configuração 802.1X. Por exemplo, um administrador pode optar por implementar um certificado de confiança de uma organização em um perfil individual e colocar a configuração 802.1X em um outro perfil. Dessa forma, as modificações feitas em cada perfil podem ser gerenciadas independentemente.
Para usar perfis de configuração para criar uma configuração 802.1X, use uma solução MDM ou o Apple Configurator. Além de criar os parâmetros para uma rede Wi‑Fi típica, você pode criar outras configurações. Por exemplo:
Security type: WPA2 Empresarial ou WPA3 Empresarial.
EAP types:
For user name–based and password-based EAP types (such as PEAP): o nome de usuário ou a senha podem ser fornecidos no perfil. Se não forem fornecidos, o usuário é solicitado a digitá-los;
Para tipos de EAP baseados na identidade do certificado (como EAP-TLS): selecione o payload que contém a identidade do certificado para autenticação. Esse pode ser um certificado de identidade PKCS #12 (arquivo .p12 ou .pfx) no payload de Certificados, um payload SCEP ou um payload de Certificado do Active Directory (macOS). Por padrão, os solicitantes do iOS e do macOS usam o nome comum da identidade do certificado na “EAP Response Identity” enviada para o servidor RADIUS durante a negociação 802.1X;
Shared iPad EAP credentials: o iPad Compartilhado usa a mesma credencial EAP para cada usuário.
Trust:
Trusted certificates: se o certificado de folha do servidor RADIUS for fornecido em um payload Certificados no mesmo perfil que contém a configuração 802.1X, o administrador pode selecioná-lo aqui. Isso configura o cliente solicitante a conectar-se apenas a uma rede 802.1X onde o servidor RADIUS apresente um dos certificados dessa lista; Com essa configuração, a conexão 802.1X é criptograficamente fixada a certificados específicos.
Trusted server certificate names: use essa matriz para configurar o solicitante a conectar-se apenas a servidores RADIUS que apresentem um certificado com os nomes digitados. Esse campo oferece suporte a curingas; por exemplo, *.theacmeinc.com espera os nomes comuns de certificado radius1.theacmeinc.com e radius2.theacmeinc.com. Os curingas oferecem aos administradores mais flexibilidade quando ocorrem alterações nos servidores RADIUS ou de autoridade de certificado disponíveis.
Configurações 802.1X para Mac
Você também pode usar a autenticação WPA/WPA2/WPA3 Empresarial na janela de início de sessão do macOS para que os usuários iniciem a sessão para autenticar na rede. O Assistente de Configuração do macOS também é compatível com a autenticação 802.1X com credenciais de nome de usuário e senha que utilizam TTLS ou PEAP. Para obter mais informações, consulte o artigo de Suporte da Apple Use Login Window Mode for 802.1X authentication to a network (em inglês).
Os tipos de configuração 802.1X são:
User Mode: este modo, o mais simples de configurar, é usado quando um usuário se conecta à rede a partir do menu Wi-Fi e se autentica quando solicitado. O usuário precisa aceitar o certificado X.509 do servidor RADIUS e confiar na conexão Wi-Fi;
System Mode: o modo de Sistema é usado para autenticação do computador. A autenticação usando o modo de Sistema ocorre antes de um usuário iniciar sessão no computador. O modo de Sistema é normalmente configurado para fornecer autenticação com o certificado X.509 do computador (EAP-TLS) emitido por uma autoridade de certificação local;
System+User Mode: uma configuração Sistema+Usuário geralmente faz parte de uma implementação individualizada em que o computador é autenticado com o certificado X.509 (EAP-TLS). Depois que o usuário inicia sessão no computador, ele pode acessar a rede Wi-Fi a partir do menu Wi-Fi e inserir suas credenciais. As credenciais do usuário podem ser um nome de usuário e uma frase-senha (EAP-PEAP, EAP-TTLS) ou um certificado de usuário (EAP-TLS). Depois que o usuário se conecta à rede, suas credenciais são armazenadas nas chaves de início de sessão e usadas para acessar a rede em conexões futuras;
Login Window Mode: este modo é usado quando o computador está vinculado a um diretório externo, como o Microsoft Active Directory. Quando o Modo de Janela de Início de Sessão é configurado e um usuário insere seu nome de usuário e frase-senha na janela de início de sessão, o usuário é autenticado no computador e na rede usando autenticação 802.1X.
Nota: System Mode, System+User Mode (necessário para a configuração System Mode) e Login Window Mode exigem a configuração por uma solução MDM. Configure os ajustes do payload Rede com os ajustes de rede Wi-Fi desejados e aplique no escopo a um dispositivo ou conjunto de dispositivos para o Modo de Sistema.
802.1X e iPad Compartilhado
Você pode usar o iPad Compartilhado com redes 802.1X. Para obter mais informações, consulte iPad Compartilhado e redes 802.1X.