توصيل أجهزة Apple بشبكات 802.1X
يمكنك توصيل أجهزة Apple بشبكة 802.1X في مؤسستك بأمان. يتضمن ذلك اتصالات Wi-Fi والإيثرنت.
الجهاز | طريقة الاتصال | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi إيثرنت (iOS 17 أو أحدث) | ||||||||||
iPad | Wi-Fi إيثرنت (iPadOS 17 أو أحدث) | ||||||||||
Mac | Wi-Fi إيثرنت | ||||||||||
Apple TV 4K (الجيل الثالث) Wi-Fi | Wi-Fi إيثرنت (tvOS 17 أو أحدث) | ||||||||||
Apple TV 4K (الجيل الثالث) Wi-Fi + إيثرنت | Wi-Fi إيثرنت (tvOS 17 أو أحدث) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
أثناء مفاوضة 802.1X، يقدم خادم RADIUS شهادته لطالب مصادقة الجهاز تلقائيًا. يجب أن يثق مقدم الطلب بشهادة خادم RADIUS إما عن طريق إرساء الثقة بشهادة معينة أو بقائمة تضم أسماء المضيفات المتوقعة التي تطابق مضيف الشهادة. حتى عندما يتم إصدار شهادة من جهة إصدار شهادات معروفة وتكون مدرجة في مخزن الجذور الموثوق بها على الجهاز، يجب أيضًا الوثوق بها لغرض بعينه. في هذه الحالة، يجب الوثوق في شهادة الخادم لخدمة RADIUS. يتم ذلك إما يدويًا، أو عند الانضمام إلى شبكة مؤسسة يُطلب فيها من المستخدم الوثوق في الشهادة الخاصة بشبكة Wi-Fi أو في ملف تعريف التكوين.
ليس من الضروري إنشاء سلسلة ثقة بالشهادات في نفس ملف التعريف الذي يحتوي على تكوين 802.1X. على سبيل المثال، يمكن أن يختار المسؤول نشر شهادة الثقة الخاصة بالمؤسسة في ملف تعريف مستقل بذاته، ويمكنه وضع تكوين 802.1X في ملف تعريف منفصل. بهذه الطريقة، يمكن إدارة التعديلات التي تتم في أي من ملفي التعريف بمعزل عن الملف الآخر.
من بين المعلمات الأخرى، يمكن لتكوين 802.1X أيضًا تحديد ما يلي:
EAP types:
For user name–based and password-based EAP types (such as PEAP): يمكن توفير اسم المستخدم أو كلمة السر في ملف التعريف. فإذا لم يتم توفيرهما، فستتم مطالبة المستخدم بهما.
في أنواع EAP المستندة إلى الهوية (مثل EAP-TLS): حدد الحمولة التي تحتوي على هوية الشهادة للمصادقة. يمكن أن تكون هذه حمولة شهادة Active Directory (على macOS فقط)، أو حمولة ACME، أو ملف شهادة هوية PKCS #12 (.p12 أو .pfx) في حمولة الشهادات، أو حمولة SCEP. بشكل افتراضي، تستخدم أطراف طلب المصادقة في iOS و iPadOS و macOS اسم هوية الشهادة الشائع لهوية استجابة EAP المرسَلة إلى خادم RADIUS أثناء تفاوض 802.1X. لمزيد من المعلومات، انظر طرق نشر الشهادات باستخدام حمولات MDM.
هام: في iOS 17 و iPadOS 17 و macOS 14، تدعم الأجهزة الآن الاتصالات بشبكات 802.1X باستخدام EAP-TLS مع TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: يستخدم الـ iPad المشترك بيانات اعتماد EAP نفسها لكل مستخدم.
الثقة:
Trusted certificates: إذا كانت الشهادة الطرف لخادم RADIUS متوفرة في حمولة شهادات في ملف التعريف نفسه الذي يحتوي على تكوين 802.1X، يمكن للمسؤول تحديدها هنا. بذلك يتم تكوين طالب المصادقة العميل بحيث لا يتصل إلا بشبكة 802.1X من خلال خادم RADIUS يقدم إحدى الشهادات المدرجة في القائمة. عند التكوين بهذه الطريقة، يتم تثبيت اتصال 802.1X بشكل مشفر على شهادات معينة.
Trusted server certificate names: استخدم هذه المصفوفة لتكوين طالب المصادقة بحيث لا يتصل إلا بخوادم RADIUS التي تقدم شهادات تتطابق مع تلك الأسماء. يدعم هذا الحقل أحرف البدل؛ على سبيل المثال، يتوقع *.betterbag.com اسمي الشهادة الشائعين radius1.betterbag.com و radius2.betterbag.com. توفر أحرف البدل للمسؤولين مزيدًا من المرونة عند حدوث تغييرات على خوادم RADIUS أو خوادم المرجع المصدق المتوفرة.
تكوينات 802.1X على Mac
يمكنك أيضًا استخدام مصادقة WPA/WPA2/WPA3 على مستوى المؤسسة في نافذة تسجيل الدخول في macOS؛ بحيث يقوم المستخدم بتسجيل الدخول للمصادقة على الشبكة. يدعم مساعد إعداد macOS أيضًا مصادقة 802.1X ببيانات اعتماد اسم المستخدم وكلمة السر باستخدام TTLS أو PEAP. لمزيد من المعلومات، انظر مقال دعم Apple استخدام وضع نافذة تسجيل الدخول لمصادقة 802.1X مع شبكة.
فيما يلي أنواع تكوينات 802.1X:
User Mode: يُستخدم هذا النمط، وهو التكوين الأبسط، عندما ينضم مستخدم إلى الشبكة من قائمة Wi-Fi ويقوم بالمصادقة عند المطالبة. يجب أن يقبل المستخدم شهادة X.509 لخادم RADIUS ويثق في اتصال Wi-Fi.
System Mode: يُستخدم نمط النظام لمصادقة الكمبيوتر. تتم المصادقة باستخدام نمط النظام قبل أن يُسجّل المستخدم الدخول إلى الكمبيوتر. يتم تكوين نمط النظام بشكل عام لتوفير المصادقة باستخدام شهادة X.509 الخاصة بالكمبيوتر (EAP-TLS) الصادرة عن جهة إصدار شهادات محلية.
System+User Mode: غالبًا ما يكون تكوين النظام+المستخدم جزءًا من عملية نشر جهاز لكل فرد تتم فيها مصادقة الكمبيوتر باستخدام شهادة X.509 الخاصة به (EAP-TLS). بعد أن يسجل المستخدم الدخول إلى الكمبيوتر، يمكنه الانضمام إلى شبكة Wi-Fi من قائمة Wi-Fi وإدخال بيانات الاعتماد الخاصة به. قد تكون بيانات اعتماد المستخدم عبارة عن اسم مستخدم وعبارة مرور (EAP-PEAP أو EAP-TTLS) أو شهادة مستخدم (EAP-TLS). بعد اتصال المستخدم بالشبكة، يتم تخزين بيانات اعتماده في سلسلة مفاتيح تسجيل الدخول واستخدامها للانضمام إلى الشبكة في أي اتصالات مستقبلية.
Login Window Mode: يُستخدم هذا النمط عندما يكون الكمبيوتر مرتبطًا بخدمة دليل محلية مثل Active Directory. عند تكوين نمط نافذة تسجيل الدخول وإدخال المستخدم اسم المستخدم وعبارة المرور في نافذة تسجيل الدخول، تتم مصادقة المستخدم على الكمبيوتر ثم على الشبكة باستخدام مصادقة 802.1X. يمرر نمط نافذة تسجيل الدخول بيانات اعتماد اسم المستخدم وكلمة السر عند ظهور نافذة تسجيل الدخول فقط. إذا دخل Mac في وضع الإسبات وانتهى وقت جلسة جهاز تحكم WLAN الخاملة، فيلزم إعادة تشغيل Mac مكوَّن بنمط نافذة تسجيل الدخول فقط أو تسجيل خروج المستخدم. يمكن للمستخدم بعد ذلك إدخال اسم المستخدم وكلمة السر مجددًا.
ملاحظة: يتطلب نمط النظام ونمط النظام+المستخدم (المطلوب لتكوين نمط النظام) ونمط نافذة تسجيل الدخول تكوينًا بواسطة حل MDM. يمكنك تكوين إعدادات حمولة الشبكة باستخدام إعدادات شبكة Wi-Fi المطلوبة، وتطبيقها في النطاق على جهاز أو مجموعة أجهزة في نمط النظام.
شبكات 802.1X مع iPad المشترك
يمكنك استخدام iPad المشترك مع شبكات 802.1X. لمزيد من المعلومات، انظر iPad المشترك وشبكات 802.1X.