OS X Server: TLS, TTLS veya PEAP kullanılırken, RADIUS Server Güven Konfigürasyon Profilleri'ni ayarlama

Bu makalede konfigürasyon profilleri kullanılırken güvenin uygun şekilde nasıl oluşturulacağı açıklanmıştır.

OS X'de, konfigürasyon profilleri bir istemciyi 802.1x korunan ağlara katılacak şekilde ayarlamak için kullanılır. Konfigürasyon profili, güvenli bir tünel (TLS, TTLS, PEAP) oluşturan EAP türleri için RADIUS sunucularına güveni uygun şekilde ayarlamazsa aşağıdaki sorunlardan biriyle karşılaşabilirsiniz:

  • otomatik katılamama
  • kimlik doğrulama hatası
  • yeni erişim noktalarına dolaşımın çalışmaması

Güveni uygun şekilde ayarlamak için, kimlik doğrulama işlemi sırasında RADIUS sunucusu tarafından hangi sertifikaların sunulduğunu bilmeniz gerekir. Bu sertifikalara zaten sahipseniz, adım 13'e atlayın.

  1. EAPOL günlükleri RADIUS sunucusu tarafından sunulan sertifikaları günceller. Mac OS X'te EAPOL günlüklerini etkinleştirmek için, Terminal'de aşağıdaki komutu kullanın: 

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int -1
     
  2. EAPOL günlüklerini etkinleştirdikten sonra, 802.1x korunan ağına manuel olarak bağlanın. Sizden RADIUS sunucu sertifikasına güvenmenizin istenmesi gerekir. Kimlik doğrulama işleminin başarılı olması için sertifikaya güvenin.
  3. EAPOL günlüklerini bulun.
    - OS X Lion ve Mountain Lion'da, bu günlükler /var/log/ dizininde bulunabilir. Günlüğün adı eapolclient.en0.log veya eapolclient.en1.log olacaktır.
    - OS X Mavericks'te, bu günlükler /Library/Logs/CrashReporter/com.apple.networking.eapol.XXXXXXXX dizininde bulunabilir.
  4. Console uygulamasında eapolclient.enX.log'u açın ve TLSServerCertificateChain adlı anahtarı bulun. Şöyle görünmesi gerekir: 


  5. Burada <Veriler> ile </veriler> arasında yer alan metin bloğu bir sertifikadır. Metin bloğunu kopyalayıp, bir metin düzenleyiciye yapıştırın. Metin düzenleyicinizin düz metin dosyalarını kaydedecek şekilde yapılandırıldığından emin olun.
  6. Aşağıdaki -----BEGIN CERTIFICATE----- üst başlığını ve -----END CERTIFICATE-----alt başlığını ekleyin. Şöyle görünmesi gerekir:

  7. Dosyayı .pem uzantısı ile kaydedin.
  8. İzlenceler klasöründeki Anahtar Zinciri Erişimi uygulamasını açın.
    Not: Bir sonraki adımda içeri aktardığınız sertifikayı kolayca bulabilmeniz için yeni bir anahtar zinciri oluşturmak faydalı olabilir.
  9. Oluşturduğunuz .pem dosyasını yeni anahtar zincirinize sürükleyin veya Dosya > Öğeleri İçeri Aktar'ı seçin ve daha önce oluşturmuş olduğunuz .pem dosyasını seçin. Dosyayı istediğiniz anahtar zincirine aktarın.
  10. Yukarıdaki adımları TLSCertificateChain dizisindeki tüm sertifikalar için tekrarlayın. Büyük olasılıkla birden fazla sertifikanız vardır.
  11. Ne olduklarını bilmek için içeri aktarılan tüm sertifikaları inceleyin. An azından bir kök sertifikanız ve bir RADIUS sunucu sertifikanız olması gerekir. Ayrıca bir ara sertifikanız da olabilir. RADIUS sunucusu tarafından sunulan tüm kök ve ara sertifikaları konfigürasyon profilinizdeki Sertifikalar yüküne eklemeniz gerekir. RADIUS sunucu adlarını Ağ yükünün Güvenilir Sunucu Sertifika Adları bölümüne eklemeniz durumunda, RADIUS sunucusu sertifikalarını eklemek isteğe bağlıdır. Aksi takdirde, RADIUS sunucu sertifikalarını profile de ekleyin.
  12. RADIUS sunucusu tarafından hangi sertifikaların sunulduğunu öğrendikten sonra, bunları .cer dosyaları olarak Anahtar Zincirinden dışarı aktarıp, konfigürasyon profiline ekleyebilirsiniz. Kök ve ara sertifikaların her birini konfigürasyon profilinizdeki Sertifikalar yüküne ekleyin. Ayrıca gerekirse RADIUS sunucu sertifikaları da ekleyebilirsiniz.
  13. Ağ yükünde, Güven bölümünü bulun ve biraz önce güvenilir olarak eklediğiniz sertifikaları işaretleyin. Sertifikalar yükünde güvenilir olarak yer alan diğer sertifikaları da işaretlemediğinizden emin olun. Aksi takdirde kimlik doğrulaması başarısız olur. Yalnızca gerçekte RADIUS sunucunuz tarafından güvenilir olarak sunulan sertifikaları işaretlediğinizden emin olun.
  14. Daha sonra, RADIUS sunucularınızın adlarını Güvenilir Sunucu Sertifika Adları bölümüne ekleyin. RADIUS sunucu sertifikanızın genel adı olarak görünen adı aynen (büyük-küçük harf dahil) kullanmanız gerekir. Örneğin, RADIUS sunucu sertifikanızın genel adı TEST.example.com ise, sertifikada kullanılan büyük-küçük harf düzenine uymanız gerekir. "test.example.com" değeri geçerli olmaz ancak "TEST.example.com" geçerli olur. RADIUS sunucularınızdan her biri için yeni bir giriş eklemeniz gerekir. Ayrıca ana bilgisayar adı için bir joker karakter de kullanabilirsiniz. Örneğin, *.example.com, example.com etki alanındaki tüm RADIUS sunucularının güvenilir olmasına neden olur.
  15.  Daha önce eapol günlüklerini etkinleştirdiyseniz, günlüğe kaydetme işlemini aşağıdaki komutla etkisizleştirebilirsiniz:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.eapolclient LogFlags -int 0

Güvenin uygun şekilde ayarlandığından emin değilseniz, /var/log/system.log dosyasını kontrol edebilirsiniz. Eapolclient işlemi ile ilgili tüm mesajları görmek için Console'da system.log dosyasını açın ve "eapolclient"a göre filtreleyin. Tipik bir güven hatası şu şekilde görünür:

Mar 31 12:27:14 Macintosh.local eapolclient[5961[eapttls_plugin.c:968] eapttls_verify_server(): sunucu sertifikası güvenilir değil, durum 3 0

 

Yayın Tarihi: