OS X Server: como configurar o RADIUS Server Trust (Confiança do servidor RADIUS) nos Configuration Profiles (Perfis de configuração) ao utilizar TLS, TTLS ou PEAP

Este artigo explica como definir corretamente o nível de confiança ao utilizar os perfis de configuração.

No OS X, os perfis de configuração são utilizados para configurar a ligação de um cliente a redes protegidas 802.1x. Se o perfil de configuração não configurar corretamente o nível de confiança do(s) servidor(es) RADIUS para os tipos de EAP que estabelecem um túnel seguro (TLS, TTLS, PEAP), poderá visualizar um dos seguintes problemas:

  • impossibilidade de aceder automaticamente
  • autenticação falhada
  • o roaming para novos pontos de acesso não funciona

Antes de poder configurar o nível de confiança corretamente, tem de ter conhecimento dos certificados que são apresentados pelo servidor RADIUS durante a autenticação. Se já possui estes certificados, avance para o passo 13.

  1. Os registos EAPOL apresentam os certificados apresentados pelo servidor RADIUS. Para ativar os registos EAPOL no Mac OS X, utilize o seguinte comando no Terminal: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. Depois de ativar os registos do EAPOL, efetue manualmente a ligação à rede protegida 802.1x. Deverá ser-lhe solicitado que confie no certificado do servidor RADIUS. Confie no certificado para a autenticação ficar concluída.
  3. Localize os registos do EAPOL.
    – No OS X Lion e Mountain Lion, estes registos podem ser encontrados em /var/log/. O registo será denominado eapolclient.en0.log ou eapolclient.en1.log.
    – No OS X Mavericks, estes registos podem ser encontrados em /Biblioteca/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Abra o eapolclient.enX.log na Console (Consola) e localize uma chave denominada TLSServerCertificateChain. Deverá apresentar o seguinte aspeto: 


  5. O bloco de texto entre <data> e </data> é um certificado. Copie o bloco de texto e, em seguida, copie-o para um editor de texto. Certifique-se de que o seu editor de texto está configurado para guardar ficheiros de texto simples.
  6. Adicione um cabeçalho de -----BEGIN CERTIFICATE----- e um rodapé de -----END CERTIFICATE-----. Deverá apresentar o seguinte aspeto:

  7. Guarde o ficheiro com uma extensão .pem.
  8. Abra a app Keychain Access (Acesso a porta-chaves) na pasta Utilities (Utilitários).
    Nota: a criação de um novo porta-chaves poderá ser útil de maneira a que consiga encontrar facilmente no próximo passo o certificado que importou.
  9. Arraste o ficheiro .pem que criou para o seu novo porta-chaves ou selecione File (Ficheiro) > Import Items (Importar elementos) e selecione o ficheiro .pem que criou anteriormente. Importe o ficheiro para o porta-chaves à sua escolha.
  10. Repita os passos acima para cada certificado no conjunto TLSCertificateChain. Provavelmente terá mais do que um certificado.
  11. Inspecione cada um dos certificados que foi importado para que saiba qual deles é. No mínimo, deverá ter um certificado raiz e um certificado de servidor RADIUS. Também poderá ter um certificado intermédio. Tem de incluir todos os certificados raiz e intermédios apresentados pelo servidor RADIUS na entidade de Certificates (Certificados) no seu perfil de configuração. A inclusão do(s) certificado(s) do servidor RADIUS é opcional se incluir os nomes de servidores RADIUS na secção Trusted Server Certificate Names (Nomes de certificados de servidor fidedignos) da entidade Network (Rede). Caso contrário, inclua também o(s) certificado(s) do servidor RADIUS no perfil.
  12. Assim que tenha conhecimento de quais os certificados que são apresentados pelo servidor RADIUS, pode exportá-los como ficheiros .cer a partir do Keychain (Porta-chaves) e adicioná-los ao perfil de configuração. Adicione cada um dos certificados raiz e intermédios à entidade Certificates (Certificados) no seu perfil de configuração. Se necessário, também pode adicionar o(s) certificado(s) do servidor RADIUS.
  13. Na entidade Network (Rede), localize a secção Trust (Confiar) e marque os certificados adicionados recentemente como fidedignos. Certifique-se de que não marca outros certificados que também poderão constar na entidade Certificates (Certificados) como fidedignos. Caso contrário, a autenticação irá falhar. Certifique-se de que marca apenas os certificados que são realmente apresentados pelo seu servidor RADIUS como fidedignos.
  14. Em seguida, adicione os nomes dos servidores RADIUS à secção Trusted Server Certificate Names (Nomes de certificados de servidor fidedignos). É necessário que utilize o nome exato (incluindo maiúsculas e minúsculas) que surgem como o nome comum do certificado do servidor RADIUS. Por exemplo, se o nome comum do certificado do servidor RADIUS for TEST.example.com, tem de ter a certeza de que as maiúsculas e as minúsculas correspondem ao certificado. O valor "test.example.com" não seria válido, mas o valor "TEST.example.com" seria. Tem de adicionar uma nova entrada para cada um dos seus servidores RADIUS. Também poderá utilizar um carácter de substituição para o nome de host. Por exemplo, *.example.com iria fazer com que os servidores RADIUS no domínio example.com fossem aceites.
  15.  Se ativou anteriormente os registos eapol, pode desativar o registo com o seguinte comando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Se não tiver a certeza se a confiança está configurada corretamente, pode verificar o /var/log/system.log. Abra o system.log na Console (Consola) e filtre "eapolclient" para visualizar todas as mensagens relacionadas com o processo eapolclient. Um erro de confiança comum assemelha-se ao seguinte:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0 (estado 3 0 de confiança não certificado do servidor)

 

Data de publicação: