OS X Server: วิธีการกำหนดค่าความน่าเชื่อถือเซิร์ฟเวอร์ RADIUS ในการกำหนดค่าโปรไฟล์เมื่อใช้ TLS, TTLS, หรือ PEAP

บทความนี้จะอธิบายวิธีตั้งค่าความน่าเชื่อถืออย่างถูกต้องเมื่อใช้งานการกำหนดค่าโปรไฟล์

ใน OS X การกำหนดค่าโปรไฟล์จะให้เพื่อกำหนดเครื่องลูกข่ายให้เข้าร่วมเครือข่าย 802.1x ที่ได้รับการปกป้อง หากการกำหนดค่าโปรไฟล์ไม่ได้กำหนดความน่าเชื่อถืออย่างเหมาะสมกับซิร์ฟเวอร์ RADIUS สำหรับประเภท EAP ที่สร้างอุโมงค์ที่ปลอดภัย (TLS, TTLS, PEAP) คุณอาจเห็นหนึ่งในปัญหาต่อไปนี้

  • ไม่สามารถเข้าร่วมโดยอัตโนมัติ
  • การรับรองความถูกต้องล้มเหลว
  • การโรมมิ่งไปยังจุดเชื่อมต่อสัญญาณใหม่ไม่ได้ผล

ก่อนคุณจะสามารถกำหนดค่าความเนื่อเชื่อถือที่เหมาะสมได้ คุณต้องรู้ว่าใบรับรองใดที่นำเสนอโดยเซิร์ฟเวอร์ RADIUS ระหว่างการรับรองความถูกต้อง หากคุณมีใบรับรองเหล่านี้อยู่แล้ว ข้ามไปยังขั้นตอนที่ 13

  1. บันทึก EAPOL แสดงผลใบรับรองที่เสนอโดยเซิร์ฟเวอร์ RADIUS ในการเปิดใช้งานบันทึก EAPOL ใน Mac OS X ใช้คำสั่งต่อไปนี้ใน Terminal 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. หลังจากเปิดใช้งานบันทึก EAPOL เชื่อมต่อกับเครือข่าย 802.1x ที่ได้รับการปกป้อง คุณควรจะได้รับแจ้งให้เชื่อถือใบรับรองเซิร์ฟเวอร์ RADIUS เชื่อถือใบรับรองสำหรับการรับรองความถูกต้องเพื่อให้เสร็จสิ้น
  3. ค้นหาบันทึก EAPOL
    - ใน OS X Lion และ Mountain Lion บันทึกเหล่านี้สามารถพบได้ใน /var/log/ บันทึกจะถูกเรียกว่า eapolclient.en0.log หรือ eapolclient.en1.log
    - ใน OS X Mavericks tบันทึกเหล่านี้สามารถพบได้ใน /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX
  4. เปิด eapolclient.enX.log ในคอนโซลแล้วค้นหากุญแจที่เรียกว่า TLSServerCertificateChain ซึ่งควรจะมีลักษณะดังนี้: 


  5. บล็อกข้อความระหว่าง <data> และ </data> คือใบรับรอง คัดลอกบล็อกข้อความแล้ววางลงในตัวแก้ไขข้อความ ทำให้แน่ใจว่าตัวแก้ไขข้อความของคุณได้กำหนดค่าไว้ให้บันทึกไฟล์ข้อความธรรมดาได้
  6. เพิ่มหัวเรื่องว่า -----BEGIN CERTIFICATE----- และท้ายเรื่องว่า -----END CERTIFICATE-----. ซึ่งควรจะมีลักษณะดังนี้:

  7. บันทึกไฟล์พร้อมส่วนขยาย .pem
  8. เปิดแอปการเข้าถึงพวงกุญแจในโฟลเดอร์ยูทิลิตี้
    หมายเหตุ: อาจเป็นประโยชน์ในการสร้างพวงกุญแจใหม่เพื่อให้คุณสามารถค้นหาใบรับรองที่คุณนำเข้าในขั้นตอนถัดไปได้ง่ายๆ
  9. ลากไฟล์ .pem ที่คุณสร้างเข้าไปไว้ในพวงกุญแจใหม่ของคุณหรือเลือกไฟล์ > นำเข้ารายการแล้วเลือกไฟล์ .pem ที่คุณสร้างไว้ก่อนหน้าทางใดทางหนึ่ง นำเข้าไฟล์เข้าไปในพวงกุญแจที่คุณเลือก
  10. ทำซ้ำขั้นตอนด้านบนสำหรับแต่ละใบรับรองในอาร์เรย์ TLSCertificateChain คุณมักจะมีใบรับรองมากกว่าหนึ่งใบอยู่แล้ว
  11. ตรวจสอบแต่ละใบรับรองที่ถูกนำเข้าเพื่อให้คุณรู้ว่าเป็นใบรับรองอะไร อย่างน้อยที่สุด คุณควรมีใบรับรองระดับรากและใบรับรองเซิร์ฟเวอร์ RADIUS คุณอาจจะยังมีใบรับรองระดับกลาง คุณต้องรวมใบรับรองทั้งระดับรากและระดับกลางที่เสนอโดยเซิร์ฟเวอร์ RADIUS ในเพย์โหลดใบรับรองในการกำหนดค่าโปรไฟล์ของคุณ การรวมใบรับรองเซิร์ฟเวอร์ RADIUS เป็นตัวเลือกหากคุณได้รวมชื่อเซิร์ฟเวอร์ RADIUS ของคุณไว้ในส่วนชื่อการรับรองเซิร์ฟเวอร์ที่ไว้ใจได้ของเพย์โหลดเครือข่าย ไม่เช่นนั้น ให้รวมใบรับรองเซิร์ฟเวอร์ RADIUS ไว้ในโปรไฟล์เช่นกัน
  12. เมื่อคุณรู้ว่าใบรับรองให้ที่เสนอโดยเซิร์ฟเวอร์ RADIUS คุณสามารถส่งออกเป็นไฟล์ .cer ได้จากพวงกุญแจและเพิ่มไปยังการกำหนดค่าโปรไฟล์ เพิ่มใบรับรองระดับรากและระดับกลางไปยังเพย์โหลดใบรับรองในการกำหนดค่าโปรไฟล์ของคุณ คุณยังสามารถเพิ่มใบรับรองเซิร์ฟเวอร์ RADIUS ได้หากจำเป็น
  13. ในเพย์โหลดเครือข่าย ค้นหาส่วนความน่าเชื่อถือแล้วทำเครื่องใบรับรองที่คุณเพิ่มไปว่าเชื่อถือได้ ทำให้แน่ใจว่าคุณไม่ได้ทำเครื่องหมายใดๆ บนใบรับรองอื่นที่อาจอยู่ในเพย์โหลดใบรับรองเป็นเชื่อถือได้ ไม่เช่นนั้นการรับรองความถูกต้องจะล้มเหลว ทำให้แน่ใจว่าทำเครื่องหมายเฉพาะใบรับรองที่เสนอโดยเซิร์ฟเวอร์ RADIUS ว่าเชื่อถือได้
  14. ขั้นถัดไป เพิ่มชื่อเซิร์ฟเวอร์ RADIUS ของคุณไปยังส่วนชื่อใบรับรองเซิร์ฟเวอร์ที่น่าเชื่อถือ คุณจำเป็นต้องป้อนชื่อให้ตรงกัน (รวมถึงตัวเลข) กับที่ปรากฏเป็นชื่อทั่วไปใบรับรองเซิร์ฟเวอร์ RADIUS ของคุณ ตัวอย่างเช่น หากชื่อทั่วไปของใบรับรองเซิร์ฟเวอร์ RADIUS ของคุณคือ TEST.example.com คุณต้องทำให้แน่ใจว่าใช้ตัวเลขตรงกันกับในใบรับรอง ค่า "test.example.com" ไม่ถูกต้อง แต่ "TEST.example.com" นั้นถูกต้อง คุณต้องเพิ่มรายการใหม่สำหรับแต่ละเซิร์ฟเวอร์ RADIUS ของคุณ คุณยังอาจสามารถใช้อักขระตัวแทนสำหรับชื่อโฮสต์ได้ ตัวอย่างเช่น *.example.com จะทำให้เซิร์ฟเวอร์ RADIUS บนโดเมน example.com เป็นแบบน่าเชื่อถือได้
  15.  หากคุณเปิดใช้งานบันทึก EAPOL ไว้ก่อนหน้า คุณสามารถปิดการบันทึกได้ด้วยคำสั่งต่อไปนี้

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

หากคุณไม่แน่ใจว่าได้กำหนดค่าความเชื่อถือไว้เหมาะสมหรือไม่ คุณสามารถตรวจสอบได้ที่ /var/log/system.log เปิด system.log ในคอนโซลแล้วป้อนคำกรองว่า "eapolclient" เพื่อดูข้อความทั้งหมดที่เกี่ยวข้องกับกระบวนการ the eapolclient ข้อผิดพลาดด้านความเชื่อถือทั่วไปจะดูเหมือนแบบนี้:

มี.ค. 31 12:27:14 Macintosh.local eapolclient[5961]: [eapttls_plugin.c:968] eapttls_verify_server(): สถานะใบรับรองเซิร์ฟเวอร์เป็นไม่น่าเชื่อถือ 3 0

 

วันที่เผยแพร่: