Розгортання платформи Apple
- Вітаємо
- Вступ до розгортання платформи Apple
- Що нового
-
- Про оновлення ПЗ
- Процес оновлення програмного забезпечення
- Інсталювання оновлень програмного забезпечення, зокрема примусово
- Використання керування пристроями для розгортання оновлень програмного забезпечення
- Фази запровадження оновлень ПЗ Apple
- Тестування оновлень ПЗ в програмі бета‑тестування AppleSeed для IT
-
- Вступ до розповсюдження вмісту
- Методи розповсюдження вмісту
- Керування організаційними даними
- Керування елементами входу і фоновими завданнями на Mac
-
- Вступ до безпеки керування пристроями
- Функції швидкого реагування на загрози безпеці
- Замикання та виявлення пристроїв
- Стирання пристроїв
- Замок активації
- Керування доступом приладів
- Запровадження політик паролів
- Використання постійних токенів
- Використання вбудованих функцій захисту мережі
-
-
- Декларативні звіти про стан
- Декларативне конфігурування програм
- Дані автентифікації та декларація ідентифікаційних ресурсів
- Декларативне керування фоновими завданнями
- Декларативна конфігурація Календаря
- Декларативна конфігурація Certificates (Сертифікати)
- Декларативна конфігурація Contacts (Контакти)
- Декларативна конфігурація Exchange
- Декларативна конфігурація Google Accounts (Облікові записи Google)
- Декларативна конфігурація LDAP
- Декларативна конфігурація застарілого інтерактивного профілю
- Декларативна конфігурація застарілого профілю
- Декларативна конфігурація Mail (Пошта)
- Декларативна конфігурація програм «Математика» та «Калькулятор»
- Декларативна конфігурація Passcode (Код допуску)
- Декларативна конфігурація Passkey Attestation (Засвідчення ключа допуску)
- Декларативна конфігурація керування переглядом в Safari
- Декларативна конфігурація керування розширеннями Safari
- Декларативна конфігурація Screen Sharing (Спільний екран)
- Декларативна конфігурація Service configuration files (Файли конфігурації сервісу)
- Декларативна конфігурація Software Update (Оновлення ПЗ)
- Декларативна конфігурація параметрів оновлення ПЗ
- Декларативна конфігурація керування сховищем
- Декларативна конфігурація Subscribed Calendars (Підписні календарі)
-
-
- Параметри набору даних Accessibility
- Параметри набору даних Active Directory Certificate
- Параметри набору даних AirPlay
- Параметри набору даних AirPlay Security
- Параметри набору даних AirPrint
- Параметри набору даних App Lock (Замикання програми)
- Параметри набору даних Associated Domains
- Параметри набору даних Automated Certificate Management Environment (ACME)
- Параметри набору даних Autonomous Single App Mode
- Параметри набору даних Calendar
- Параметри набору даних Cellular
- Параметри набору даних Cellular Private Network (Приватна стільникова мережа)
- Параметри набору даних Certificate Preference
- Параметри набору даних Certificate Revocation
- Параметри набору даних Certificate Transparency
- Параметри набору даних Certificates
- Параметри набору даних Conference Room Display
- Параметри набору даних Contacts
- Параметри набору даних Content Caching
- Параметри набору даних Directory Service (Служба каталогів)
- Параметри набору даних DNS Proxy
- Параметри набору даних DNS Settings
- Параметри набору даних Dock
- Параметри набору даних Domains
- Параметри набору даних Energy Saver (Заощадження енергії)
- Параметри набору даних Exchange ActiveSync (EAS)
- Параметри набору даних Exchange Web Services (EWS)
- Параметри набору даних Extensible Single Sign-On (Розширюваний єдиний вхід)
- Параметри набору даних Extensible Single Sign-on Kerberos (Розширюваний єдиний вхід Kerberos)
- Параметри набору даних Extensions (Розширення)
- Параметри набору даних FileVault
- Параметри набору даних Finder
- Параметри набору даних Firewall (Брандмауер)
- Параметри набору даних Fonts
- Параметри набору даних Global HTTP Proxy (Глобальний HTTP-проксі)
- Параметри набору даних Google Accounts
- Параметри набору даних Home Screen Layout (Макет початкового екрана)
- Параметри набору даних Identification
- Параметри набору даних Identity Preference (Параметр посвідчення)
- Параметри набору даних Kernel Extension Policy
- Параметри набору даних LDAP
- Параметри набору даних Lights Out Management
- Параметри набору даних Lock Screen Message (Текст на замкненому екрані)
- Параметри набору даних Login Window
- Параметри набору даних Managed Login Items (Керований автозапуск)
- Параметри набору даних Mail
-
- Параметри Wi-Fi
- Параметри Ethernet
- Параметри WEP, WPA, WPA2, WPA2/WPA3
- Параметри Dynamic WEP, WPA Enterprise і WPA2 Enterprise
- Параметри EAP
- Параметри HotSpot 2.0
- Параметри Legacy Hotspot (Застарілі точки доступу)
- Параметри Cisco Fastlane
- Параметри Network Proxy Configuration (Конфігурація проксі-серверів)
- Параметри набору даних Network Usage Rules (Правила використання мережі)
- Параметри набору даних Notifications (Сповіщення)
- Параметри набору даних Parental Controls
- Параметри набору даних Passcode (Код допуску)
- Параметри набору даних Printing
- Параметри набору даних Privacy Preferences Policy Control
- Параметри набору даних Relay (Реле)
- Параметри набору даних SCEP
- Параметри набору даних Security (Безпека)
- Параметри набору даних Setup Assistant
- Параметри набору даних Single Sign-on (Єдиний вхід)
- Параметри набору даних Smart Card (Смарткартка)
- Параметри набору даних Subscribed Calendars
- Параметри набору даних System Extensions
- Параметри набору даних System Migration
- Параметри набору даних Time Machine
- Параметри набору даних TV Remote (Пульт ДК)
- Параметри набору даних Web Clips
- Параметри набору даних Web Content Filter (Фільтр вебвмісту)
- Параметри набору даних Xsan
-
- Глосарій
- Історія редакцій документа
- Авторські права та торговельні марки
Налаштування Cisco IPSec VPN для пристроїв Apple
Використовуйте цей розділ, щоб конфігурувати свій сервер Cisco VPN для пристроїв iOS, iPadOS і macOS, які підтримують мережеві брандмауери Cisco Adaptive Security Appliance 5500 Series і Private Internet Exchange. Вони також підтримують маршрутизатори Cisco IOS VPN з IOS 12.4(15)T або новішої версії. Концентратори серії VPN 3000 не підтримують VPN.
Методи автентифікації
Системи iOS, iPadOS і macOS підтримують такі методи автентифікації:
Автентифікація IPsec через спільний секрет з автентифікацією користувача через команду
xauth.Сертифікати клієнта й сервера для автентифікації IPSec з необов’язковою автентифікацією користувача через команду
xauth.Гібридна автентифікація: сервер надає сертифікат, а користувач — наперед визначений ключ для автентифікації IPsec. Автентифікація користувача необхідна і здійснюється через команду
xauth, яка містить ім’я користувача і пароль для способу автентифікації, а також RSA SecurID.
Групи автентифікації
Протокол Cisco Unity використовує групи автентифікації для групування користувачів за звичайними наборами параметрів. Потрібно створити групу автентифікації для користувачів. Для наперед визначеного ключа і гібридної автентифікації назва групи має бути конфігурована на пристрої зі спільним секретом групи (наперед визначений ключ) в якості пароля.
Якщо використовується автентифікація на основі сертифіката, спільного секрету немає. Група користувача визначається за полями сертифіката. Параметри сервера Cisco можна використовувати для зіставлення полів сертифіката і груп користувачів.
RSA-Sig має мати найвищий пріоритет у списку пріоритетів протоколу ISAKMP.
Параметри IPsec та їхній опис
Визначити впровадження IPsec можна за допомогою таких параметрів:
Режим. Тунель.
Режими обміну IKE. Агресивний режим для наперед заданого ключа і гібридної автентифікації, головний режим для автентифікації на основі сертифіката.
Алгоритми шифрування. 3DES, AES-128 або AES256.
Алгоритми автентифікації. HMAC-MD5 або HMAC-SHA1.
Групи Діффі-Геллмана. Група 2 вимагається для наперед заданого ключа і гібридної автентифікації, група 2 з 3DES і AES-128 для автентифікації на основі сертифіката та група 2 або 5 для AES-256.
Блокування переадресації (PFS). Для фази 2 обміну IKE, якщо використовується PFS, група Діффі-Геллмана має бути такою ж, як для фази 1.
Конфігурація режиму. Потрібно ввімкнути.
Виявлення неактивних зʼєднань. Рекомендовано.
Стандартне проходження NAT. Підтримується й може бути увімкнене (IPsec через TCP не підтримується).
Балансування навантаження. Підтримується й може бути увімкнене.
Зміна ключа фази 1. Зараз не підтримується. Рекомендовано задати час зміни ключа шифрування на сервері на 1 годину.
Маска адреси ASA. Переконайтеся, що на всіх пристроях маски пулу адрес не задано або задано 255.255.255.255. Наприклад:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Якщо ви використовуєте рекомендовану маску адреси, деякі маршрути з конфігурації VPN можуть ігноруватися. Щоб уникнути цього, переконайтеся, що таблиця маршрутизації містить усі необхідні маршрути, а адреси підмережі доступні перед розгортанням.
Версія програми: версія програмного забезпечення клієнта надсилається на сервер, а сервер приймає або відхиляє з’єднання на основі версії програмного забезпечення пристрою.
Банер: на пристрої відобразиться банер (якщо сервер відповідно конфігуровано), і користувач має погодитися з умовами або від’єднатися.
Розділений тунель: підтримується.
Розділений DNS: підтримується.
Стандартний домен: підтримується.