Conectarea dispozitivelor Apple la rețele 802.1X
Puteți conecta în siguranță dispozitivele Apple la rețeaua 802.1X a organizației dvs. Aceasta include conexiuni Wi-Fi și Ethernet.
Dispozitiv | Metodă de conectare | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 sau ulterior) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 sau ulterior) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (generația a 3-a) Wi-Fi | Wi-Fi Ethernet (tvOS 17 sau ulterior) | ||||||||||
Apple TV 4K (generația a 3-a) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 sau ulterior) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
În timpul negocierii 802.1X, serverul RADIUS își prezintă automat certificatul către dispozitivul solicitant. Dispozitivul solicitant trebuie să acorde încredere certificatului serverului RADIUS prin ancorarea încrederii într-un anumit certificat sau într-o listă de nume de gazdă așteptate, care să corespundă gazdei certificatului. Chiar și atunci când un certificat este emis de o autoritate de certificare (AC) cunoscută și este listat în magazinul rădăcină de încredere de pe dispozitiv, acesta trebuie să fie de încredere și pentru un anumit scop. În acest caz, certificatul serverului trebuie să fie de încredere pentru serviciul RADIUS. Aceasta se realizează fie manual, la conectarea la o rețea de întreprindere, când utilizatorul este invitat să acorde încredere certificatului pentru rețeaua Wi-Fi conectată, fie printr-un profil de configurare.
Nu este necesară stabilirea unui lanț al încrederii în certificat, în același profil care conține configurația 802.1X. De exemplu, un administrator poate opta să implementeze un certificat de încredere al unei organizații într-un profil autonom și poate introduce configurația 802.1X într-un profil separat. În acest fel, modificările aduse oricărui profil pot fi gestionate independent unul de celălalt.
Pe lângă alți parametri, configurația 802.1X mai poate specifica:
Tipuri EAP:
Pentru tipurile EAP pe bază de nume de utilizator și pe bază de parolă (cum ar fi PEAP): Numele de utilizator și parola pot fi furnizate în cadrul profilului. Dacă acestea nu sunt furnizate, vor fi solicitate utilizatorului.
Pentru tipurile EAP bazate pe identitate cu certificat (cum ar fi EAP-TLS): Selectați sarcina care conține identitatea de certificat pentru autentificare. Aceasta poate fi sarcina Certificat Active Directory (doar macOS), o sarcină ACME, un fișier certificat de identitate PKCS #12 (.p12 sau .pfx) din sarcina Certificate sau o sarcină SCEP. În mod implicit, solicitanții iOS, iPadOS și macOS utilizează numele comun de identitate al certificatului aferent Identității răspunsului EAP, pe care îl trimite serverului RADIUS în timpul negocierii 802.1X. Pentru mai multe informații, consultați Metode de implementare a certificatelor folosind sarcini MDM.
Important: Pe iOS 17, iPadOS 17 și macOS 14, dispozitivele acceptă acum conexiuni la rețele 802.1X folosind EAP-TLS cu TLS 1.3 (EAP-TLS 1.3).
Acreditări EAP pentru iPad partajat: iPad partajat utilizează aceeași acreditare EAP pentru fiecare utilizator.
Acordare încredere:
Certificate de încredere: Dacă certificatul „frunză” al serverului RADIUS este furnizat în cadrul unei sarcini Certificate în același profil care conține configurarea 802.1X, administratorul îl poate selecta de acolo. Această opțiune configurează solicitantul clientului să se conecteze doar la o rețea 802.1X cu server RADIUS care prezintă unul dintre certificatele din această listă. Când sunt configurate astfel, conexiunea 802.1X este fixată criptografic de anumite certificate.
Nume certificate server de încredere: Utilizați această matrice pentru a configura solicitantul pentru a se conecta doar la serverele RADIUS care prezintă certificate ce corespund acestor nume. Acest câmp acceptă metacaractere; de exemplu, *.betterbag.com așteaptă numele comune de certificat radius1.betterbag.com și radius2.betterbag.com. Metacaracterele le oferă administratorilor mai multă flexibilitate când au loc schimbări ale serverelor autorității de sau RADIUS.
Configurațiile 802.1X pentru Mac
Puteți utiliza, de asemenea, autentificarea WPA/WPA2/WPA3 Enterprise în fereastra de login a macOS, astfel încât utilizatorul se conectează autentificându-se în rețea. Asistentul de configurare macOS acceptă și autentificarea 802.1X cu nume de utilizator și parolă, utilizând TTLS sau PEAP. Pentru informații suplimentare, consultați articolul de asistență Apple Utilizarea modului Fereastră de login pentru autentificarea 802.1X la o rețea.
Tipurile de configurații 802.1X sunt:
Modul Utilizator: Acest mod, care este cel mai simplu de configurat, este folosit atunci când utilizatorul se conectează la rețea din meniul Wi-Fi și se autentifică atunci când i se solicită acest lucru. Utilizatorul trebuie să accepte certificatul X.509 al serverului RADIUS și încrederea pentru conexiunea Wi-Fi.
Modul Sistem: Modul Sistem este utilizat pentru autentificarea computerului. Autentificarea prin utilizarea modului Sistem are loc înainte ca un utilizator să efectueze login la computer. Modul Sistem este configurat în mod obișnuit să ofere autentificarea cu certificatul X.509 (EAP-TLS) al computerului emis de o autoritate de certificare locală.
Modul Sistem+Utilizator: O configurație Sistem+Utilizator este adesea parte a unei implementări unu-la-unu, unde computerul este autentificat cu certificatul său X.509 (EAP-TLS). După ce utilizatorul efectuează login la computer, acesta se poate conecta la rețeaua Wi-Fi din meniul Wi-Fi și își poate introduce acreditările. Acreditările utilizatorului pot fi un nume de utilizator și o frază de acces (EAP-PEAP, EAP-TTLS) sau un certificat de utilizator (EAP-TLS). După conectarea utilizatorului la rețea, acreditările acestuia sunt stocate în portcheiul de login și sunt utilizate pentru conectarea ulterioară la rețea.
Modul Fereastră de login: Acest mod este utilizat când computerul este legat la un serviciu director local, cum ar fi Active Directory. Când este configurat Modul Fereastră de login și utilizatorul își introduce numele de utilizator și fraza de acces în fereastra de login, utilizatorul se autentifică la computer și apoi la rețea utilizându-se autentificarea 802.1X. Modul Fereastră de login trece acreditările nume de utilizator și parolă doar când apare prima dată fereastra de login. Dacă Mac-ul intră în modul de adormire și expiră timpul de inactivitate al sesiunii controllerului WLAN, un Mac configurat doar cu Modul Fereastră de login trebuie să fie repornit sau utilizatorul trebuie să efectueze logout. Utilizatorul poate apoi să introducă din nou numele de utilizator și parola.
Notă: Modul Sistem, modul Sistem + Utilizator (necesar pentru configurarea modului Sistem) și modul Fereastră de login necesită configurarea de către o soluție MDM. Configurați sarcina Rețea cu configurările de rețea Wi-Fi dorite și aplicați intern unui dispozitiv sau grup de dispozitive pentru modul Sistem.
802.1X și iPad partajat
Puteți utiliza funcționalitatea iPad partajat cu rețele 802.1X. Pentru mai multe informații, consultați iPad partajat și rețelele 802.1X.