OS X Server: Så här konfigurerar du RADIUS Server Trust i Konfigurationsprofiler när du använder TLS, TTLS eller PEAP

Den här artikeln förklarar hur du ställer in förtroende korrekt när du använder konfigurationsprofiler.

I OS X används konfigurationsprofiler för att konfigurera en klient att ansluta sig till 802.1x-skyddade nätverk. Om konfigurationsprofilen inte korrekt konfigurerar förtroende för RADIUS-servrarna för EAP-typer som upprättar en säker tunnel (TLS, TTLS, PEAP) kan du se något av följande problem:

• Oförmåga att ansluta automatiskt

• Misslyckad autentisering

• Roaming till nya åtkomstpunkter fungerar inte

Innan du kan konfigurera förtroende ordentligt måste du veta vilka certifikat som presenteras av RADIUS-servern under autentiseringen. Om du redan har dessa certifikat, går du vidare till steg 13.

1. EAPOL-loggar visar certifikaten som presenteras av RADIUS-servern. För att aktivera EAPOL-loggar i Mac OS X använder du följande kommando i Terminal:

   sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1

2. När du har aktiverat EAPOL-loggar ansluter du manuellt till det 802.1x-skyddade nätverket. Du bör uppmanas att lita på RADIUS-servercertifikatet. Lita på att autentiseringscertifikatet slutförs.

3. Leta upp EAPOL-loggarna.

   - In OS X Lion and Mountain Lion, these logs can be found in /var/log/. The log will be called eapolclient.en0.log or eapolclient.en1.log.

   - In OS X Mavericks, these logs can be found in /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .

4. Öppna eapolclient.enX.log i Console och leta reda på en nyckel som heter TLSServerCertificateChain. Det ska se ut så här:

   

5. Textblocket mellan och är ett certifikat. Kopiera textblocket och klistra sedan in det i en textredigerare. Se till att din textredigerare är konfigurerad för att spara vanliga textfiler.

6. Lägg till ett sidhuvud för-----BEGIN CERTIFICATE----- and a footer of -----END CERTIFICATE-----. It should look like this:

   

7. Spara filen med filtillägget .pem.

8. Öppna appen Nyckelhanterare i mappen Verktyg.

   Note: It may be helpful to create a new keychain so that you can easily find the certificate you import in the next step.

9. Dra antingen .pem-filen du skapade till din nya nyckelring eller välj Arkiv > Importera objekt och välj .pem-filen du skapade tidigare. Importera filen till den nyckelring du väljer.

10. Upprepa stegen ovan för varje certifikat i TLSCertificateChain-arrayen. Du kommer sannolikt att ha fler än ett certifikat.

11. Inspektera varje certifikat som importerades så att du vet vad det är. Som minimum bör du ha ett rotcertifikat och ett RADIUS-servercertifikat. Du kan även ha ett mellanliggande certifikat. Du måste inkludera alla rot- och mellanliggande certifikat som presenteras av RADIUS-servern i certifikatets nyttolast i din konfigurationsprofil. Det är valfritt att inkludera RADIUS-servercertifikaten om du inkluderar dina RADIUS-servernamn i avsnittet Trusted Server Certificate Names i nätverkets nyttolast. Annars inkluderar du även RADIUS-servercertifikaten i profilen.

12. När du väl vet vilka certifikat som presenteras av RADIUS-servern kan du exportera dem som .cer-filer från Nyckelring och lägga till dem i konfigurationsprofilen. Lägg till vart och ett av rot- och de mellanliggande certifikaten i certifikatens nyttolast i din konfigurationsprofil. Du kan också lägga till RADIUS-servercertifikaten om det behövs.

13. Leta reda på avsnittet Trust i nätverkets nyttolast och markera de certifikat du just lade till som betrodda. Se till att du inte markerar några andra certifikat som också kan finnas i certifikatets nyttolast som betrodda, annars misslyckas autentiseringen. Se till att endast markera de certifikat som faktiskt presenteras av din RADIUS-server som betrodda.

14. Lägg sedan till namnen på dina RADIUS-servrar i avsnittet Trusted Server Certificate Names. Det krävs att du använder det exakta namnet (inklusive skiftläge) som visas som det vanliga namnet på ditt RADIUS-servercertifikat. Om exempelvis det vanliga namnet på ditt RADIUS-servercertifikat är TEST.example.com, måste du se till att matcha skiftläget som används i certifikatet. Värdet "test.example.com" skulle inte vara giltigt, men "TEST.example.com" skulle vara det. Du måste lägga till en ny post för var och en av dina RADIUS-servrar. Du kan också använda ett jokertecken för värdnamnet. Till exempel skulle *.example.com göra att alla RADIUS-servrar på domänen example.com är betrodda.

15. Om du tidigare aktiverat eapol-loggar kan du inaktivera loggningen med följande kommando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Om du inte är säker på om förtroende är korrekt konfigurerat kan du kontrollera /var/log/system.log. Öppna system.log in Console och filtrera på "eapolclient" för att se alla meddelanden relaterade till eapolclient-processen. Ett typiskt förtroendefel ser ut så här:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): servercertifikat ej betrodd status 3 0