ОС OS X Server: настройка уровня доверия для сервера RADIUS при использовании профилей конфигурации с протоколами TLS, TTLS или PEAP

Эта статья содержит инструкции по настройке уровня доверия при использовании профилей конфигурации.

Профили конфигурации в ОС OS X используются для настройки клиентов, которые должны подключаться к защищенным сетям 802.1x. Если уровень доверия к серверу RADIUS для типов EAP, отвечающих за создание защищенного туннеля (протоколы TLS, TTLS, PEAP), задан в профиле конфигурации неправильно, может возникать одна из следующих проблем.

  • Невозможность автоматического подключения к сети
  • Ошибка аутентификации
  • Отсутствие поддержки перехода к новым точкам доступа

Для настройки уровня доверия необходимо знать, какие сертификаты выдаются сервером RADIUS в процессе аутентификации. Если они у вас уже есть, перейдите к шагу 13.

  1. Сертификаты, выданные сервером RADIUS, отображаются в журналах EAPOL. Чтобы активировать сохранение журналов EAPOL в ОС Mac OS X, введите в окне программы «Терминал» следующую команду.

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. После активации механизма сохранения журналов необходимо вручную подключиться к защищенной сети 802.1x. Должен появиться запрос на подтверждение доверия сертификату сервера RADIUS. Подтвердите доверие, чтобы завершить процедуру аутентификации.
  3. Найдите на своем компьютере журналы EAPOL.
    – В ОС OS X Lion и Mountain Lion эти журналы можно найти в каталоге по пути /var/log/. Файлу журнала присваивается имя eapolclient.en0.log или eapolclient.en1.log.
    – В ОС OS X Mavericks эти журналы можно найти в каталоге по пути /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Откройте файл eapolclient.enX.log в окне программы «Консоль» и найдите ключ с именем TLSServerCertificateChain. Это должно выглядеть следующим образом: 


  5. Блок текста между тегами <data> и </data> является сертификатом. Скопируйте его и вставьте в текстовый редактор. Убедитесь, что текстовый редактор поддерживает сохранение файлов в формате обычного текста.
  6. Добавьте заголовок -----BEGIN CERTIFICATE----- и нижний колонтитул -----END CERTIFICATE-----. Это должно выглядеть следующим образом:

  7. Сохраните файл с расширением .pem.
  8. Откройте программу «Связка ключей», которая находится в папке «Утилиты».
    Примечание. Можно создать новую связку ключей, чтобы упростить поиск сертификата, который будет импортирован на следующем шаге.
  9. Перетащите созданный файл .pem в новую связку ключей или последовательно выберите «Файл» > «Импортировать объекты» и укажите предварительно созданный файл .pem. Импортируйте файл в нужную связку ключей.
  10. Повторите перечисленные выше шаги для каждого сертификата в массиве TLSCertificateChain. Высока вероятность того, что сертификатов окажется несколько.
  11. Определите типы всех импортированных сертификатов. Обязательным условием является наличие корневого сертификата и сертификата сервера RADIUS. Возможно, был получен также промежуточный сертификат. Все корневые и промежуточные сертификаты, выданные сервером RADIUS, необходимо указать в компоненте Certificates (Сертификаты) профиля конфигурации. Сертификаты сервера RADIUS можно не добавлять при условии, что имена серверов RADIUS указаны в разделе Trusted Server Certificate Names (Имена доверенных сертификатов серверов) компонента Network (Сеть). В противном случае сертификаты сервера RADIUS также нужно включить в профиль.
  12. После определения типов сертификатов, выданных сервером RADIUS, их можно экспортировать из связки ключей в виде файлов .cer и добавить в профиль конфигурации. Добавьте все корневые и промежуточные сертификаты в компонент Certificates (Сертификаты) профиля конфигурации. При необходимости можно также добавить сертификаты сервера RADIUS.
  13. Откройте раздел Trust (Доверие) компонента Network (Сеть) и отметьте добавленные сертификаты как доверенные. Убедитесь, что другие сертификаты в составе компонента Certificates (Сертификаты) не имеют статуса доверенных, так как это может привести к ошибке аутентификации. Укажите в качестве доверенных только те сертификаты, которые были получены от сервера RADIUS.
  14. Добавьте в раздел Trusted Server Certificate Names (Имена доверенных сертификатов серверов) имена своих серверов RADIUS. Необходимо использовать типовое имя в том виде, в котором оно отображается в сертификате сервера RADIUS (с учетом регистра). Например, если в сертификате сервера RADIUS указано типовое имя TEST.example.com, необходимо добавить его, учитывая регистр в сертификате. Значение test.example.com будет недействительным, а TEST.example.com — верным. Необходимо добавить новую запись для каждого сервера RADIUS. При вводе имени узла можно использовать подстановочные символы. Например, добавление записи *.example.com сделает все серверы RADIUS на домене example.com доверенными.
  15.  Если ранее было включено сохранение журналов EAPOL, эту функцию можно отключить, введя следующую команду.

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Если вы не уверены в правильности настройки уровня доверия, можно проверить файл system.log по пути /var/log/. Откройте этот файл в окне программы «Консоль» и выполните фильтрацию по критерию eapolclient, чтобы просмотреть все сообщения, относящиеся к процессу eapolclient. Стандартное уведомление об ошибке, связанной с назначением доверенных сертификатов, выглядит следующих образом.

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Дата публикации: