OS X Server: Så här konfigurerar du RADIUS Server Trust (RADIUS-serverförtroende) i konfigurationsprofiler när du använder TLS, TTLS eller PEAP

Den här artikeln beskriver hur du ställer in förtroende korrekt när du använder konfigurationsprofiler.

I OS X används konfigurationsprofiler till att konfigurera en klient som ska anslutas till 802.1x-skyddade nätverk. Om konfigurationsprofilen inte ställer in förtroende korrekt till den eller de RADIUS-servrar för EAP-typer som etablerar en säker tunnel (TLS, TTLS, PEAP) kan ett av följande problem uppstå:

  • anslutningsfel
  • autentiseringsfel
  • fel vid roaming till nya åtkomstpunkter

Innan du kan konfigurera förtroende korrekt måste du känna till vilka certifikat som visas av RADIUS-servern under autentiseringen. Om du redan har dessa certifikat kan du gå vidare till steg 13.

  1. EAPOL-loggarna visar certifikaten som RADIUS-servern presenterar. Om du vill aktivera EAPOL-loggar i Mac OS X använder du följande kommando i Terminal: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. När du har aktiverat EAPOL-loggar kan du manuellt ansluta till det 802.1x-skyddade nätverket. Det bör visas en fråga om du litar på RADIUS-servercertifikatet. Ange att du litar på certifikatet för att slutföra autentiseringen.
  3. Leta reda på EAPOL-loggarna.
    – I OS X Lion och Mountain Lion hittar du dessa loggar i /var/log/. Loggen heter eapolclient.en0.log eller eapolclient.en1.log.
    I OS X Mavericks hittar du dessa loggar i /Biblioktek/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX .
  4. Öppna eapolclient.enX.log i Console och leta reda på nyckeln som heter TLSServerCertificateChain. Det ska se ut så här: 


  5. Textstycket mellan <data> och </data> är ett certifikat. Kopiera stycket och klistra sedan in det i en textredigerare. Kontrollera att din textredigerare är konfigurerad för att spara vanliga textfiler.
  6. Lägg till sidhuvudet -----BEGIN CERTIFICATE----- och sidfoten -----END CERTIFICATE-----. Det ska se ut så här:

  7. Spara filen med filtillägget .pem.
  8. Öppna Nyckelhanterare i mappen Verktygsprogram.
    Obs! Det kan underlätta om du skapar en ny nyckelring så att det är enkelt att hitta certifikatet som du skapar i nästa steg.
  9. Dra antingen PEM-filen som du skapade till den nya nyckelringen eller välj Arkiv > Importera objekt och välj PEM-filen. Importera filen till den nyckelring som du vill använda.
  10. Upprepa stegen ovan för varje certifikat i uppsättningen TLSCertificateChain. Du kommer troligen att ha mer än ett certifikat.
  11. Inspektera varje certifikat som importerades så att du vet vad de är. Som minst ska du ha ett rotcertifikat och ett RADIUS-servercertifikat. Du kommer kanske även att ha ett mellanliggande certifikat. Du måste ta med alla rotcertifikat och mellanliggande certifikat som RADIUS-servern anger i certfikatnyttolasten i din konfigurationsprofil. Det är valfritt att ta med RADIUS-servercertifikat om du tar med RADIUS-servernamnen i avsnittet Trusted Server Certificate Names (betrodda servercertifikatnamn) i nyttolasten för nätverket. I annat fall ska du även ta med RADIUS-servercertifikaten i profilen.
  12. När du vet vilka certifikat som RADIUS-servern presenterar kan du exportera dem som CER-filer från Nyckelring och lägga till dem till konfigurationsprofilen. Lägg till alla rotcertifikat och mellanliggande certifikat till certifikatnyttolasten i din konfigurationsprofil. Du kan även lägga till RADIUS-servercertifikat om det behövs.
  13. Leta reda på avsnittet Trust (förtroende) i nätverksnyttolasten och markera de certifikat som du lade till som betrodda. Se till att inte markera några andra certifikat som också kan finnas i certifikatnyttolasten som betrodda. Om du gör det kommer autentiseringen att misslyckas. Se till att endast markera de certifikat som faktiskt visas av RADIUS-servern som betrodda.
  14. Sedan lägger du till namnet för dina RADIUS-servrar i avsnittet Trusted Server Certificate Names (betrodda servercertifikatnamn). Du måste använda exakt samma namn (skiftlägeskänsligt) som visas som namn för ditt RADIUS-servercertifikat. Om namnet för ditt RADIUS-servercertifikat till exempel är TEST.example.com måste du använda samma skiftlägen. Värdet ”test.example.com” är inte giltigt, men ”TEST.example.com” är det. Du måste lägga till ett nytt värde för varje RADIUS-server. Du kan även använda ett jokertecken för värdnamnet. Till exempel gör *.example.com alla RADIUS-servrar på domänen example.com betrodda.
  15.  Om du tidigare aktiverade eapol-loggar kan du inaktivera loggningen med följande kommando:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Om du inte är säker på att förtroenderelationen är korrekt konfigurerad kan du kontrollera /var/log/system.log. Öppna system.log i Console och filtrera på ”eapolclient” för att visa alla meddelanden som har med eapolclient-processen att göra. Ett typiskt förtroendefelmeddelande ser ut så här:

Mar 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): server certificate not trusted status 3 0

 

Publiceringsdatum: