Apple-eszközök csatlakoztatása 802.1X hálózatokhoz
Biztonságosan csatlakoztathat Apple-eszközöket az adott szervezet 802.1X hálózatához. Ez tartalmazza a Wi-Fi- és Ethernet-kapcsolatokat.
Eszköz | Kapcsolódás módja | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 vagy újabb) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 vagy újabb) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3. generáció) Wi-Fi | Wi-Fi Ethernet (tvOS 17 vagy újabb) | ||||||||||
Apple TV 4K (3. generáció) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 vagy újabb) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
A 802.1X egyeztetés során a RADIUS-szerver automatikusan bemutatja a tanúsítványát az eszközügyfélnek. A RADIUS-szerver tanúsítványát megbízhatóként kell megjelölnie az ügyfélnek úgy, hogy megbízhatóságot rögzít egy adott tanúsítványhoz vagy a tanúsítvány hosztjával megegyező, várt hosztnevek listájához. Függetlenül attól, hogy a tanúsítványt ismert CA bocsájtja ki és felsorolásra került az eszköz megbízható gyökéráruházában, az adott célra való felhasználás szempontjából is megbízhatónak kell lennie. Ebben az esetben a szerver tanúsítványának megbízhatónak kell minősülnie a RADIUS-szolgáltatás számára. Ez manuálisan (vállalati hálózathoz történő csatlakozáskor, amikor a rendszer felszólítja a felhasználót, hogy bízzon meg a Wi-Fi-hálózat tanúsítványában) vagy egy konfigurációs profilban végezhető el.
Nem szükséges megbízhatósági tanúsítványlánccal rendelkeznie abban a profilban, amely a 802.1X konfigurációt tartalmazza. Az adminisztrátor például úgy dönthet, hogy egy szervezet megbízhatósági tanúsítványát egy különálló profilba telepíti, míg a 802.1X konfigurációt egy másik profilban helyezi el. Ezzel a módszerrel az egyik profilban végrehajtott módosítások a másik profiltól függetlenül kezelhetők.
Más paraméterek mellett, az 802.1X konfiguráció a következőket is meghatározhatja:
EAP types (EAP-típusok):
For user name–based and password-based EAP types (such as PEAP) (Felhasználónév- és jelszóalapú EAP-típusokhoz (például PEAP)): A felhasználónév vagy a jelszó megadható a profilban. Ha nincsenek megadva, a rendszer megkéri a felhasználót, hogy adja meg az adatokat.
For certificate identity–based EAP types (such as EAP-TLS): Válassza ki azt az adatcsomagot, amely a hitelesítendő tanúsítványidentitást tartalmazza. Ez lehet egy Active Directory-tanúsítvány adatcsomag (csak macOS), egy ACME.adatcsomag, egx PKCS #12 identitástanúsítvány (.p12 vagy .pfx) fájl a tanúsítványok adatcsomagban vagy egy SCEP-adatcsomag. Alapértelmezés szerint az iOS-, az iPadOS- és macOS-ügyfelek a tanúsítványidentitás gyakori nevét használják az EAP-válaszazonosítóhoz, amelyet elküld a rendszer a RADIUS-szervernek a 802.1X egyeztetés során. További információkért lásd: Tanúsítványtelepítési módszerek MDM-adatcsomagok használatával.
Fontos: iOS 17, iPadOS 17 és macOS 14 alatt az eszközök már támogatják a kapcsolatokat a 802.1X hálózatokhoz EAP-TLS TLS 1.3-mal (EAP-TLS 1.3) történő használatával.
Shared iPad EAP credentials (Megosztott iPad EAP-hitelesítő adatai): A megosztott iPad minden felhasználó esetében ugyanazokat az EAP-hitelesítő adatokat használja.
Trust (Megbízható):
Trusted certificates (Megbízható tanúsítványok): Ha a RADIUS-szerver levéltanúsítványa egy Tanúsítvány-adatcsomagban található, ugyanabban a profilban, amely tartalmazza a 802.1X-konfigurációt, akkor az adminisztrátor itt választhatja ki. Ezzel úgy konfigurálhatja a kliensügyfelet, hogy csak akkor csatlakozzon 802.1X hálózathoz RADIUS-szerverrel, ha be tudja mutatni a listán szereplő tanúsítványok egyikét. Ha így van konfigurálva, a 802.1X kapcsolat kriptográfiailag megadott tanúsítványokhoz van tűzve.
Trusted server certificate names (Megbízható szervertanúsítvány-nevek): Ezzel a tömbbel úgy konfigurálhatja az ügyfelet, hogy csak akkor csatlakozzon RADIUS-szerverekhez, ha be tudja mutatni az itt megadott nevekkel egyező tanúsítványokat. Ebben a mezőben helyettesítő karakterek használhatók; a *.betterbag.com karakterlánc például a radius1.betterbag.com és radius2.betterbag.com tanúsítványneveket várja. A helyettesítő karakterek nagyobb rugalmasságot biztosítanak az adminisztrátoroknak, amikor módosítás történik az elérhető RADIUS, illetve tanúsítványkibocsátó szerverekben.
802.1X konfigurációk Machez
A WPA/WPA2/WPA3 vállalati hitelesítést a macOS bejelentkezési ablakában is használhatja, így a felhasználó bejelentkezéskor a hálózaton hitelesíti magát. A macOS Beállítási asszisztense szintén támogatja a felhasználónév és jelszó alapú 802.1X hitelesítést TTLS vagy PEAP segítségével. További tudnivalókért tekintse meg az alábbi Apple támogatási cikket: Bejelentkezési ablak mód használata hálózaton történő 802.1X-hitelesítéshez.
A 802.1X konfigurációk típusa:
User Mode (Felhasználói mód): Ez a legegyszerűbben konfigurálható mód, amely akkor van használatban, amikor a felhasználó csatlakozik a hálózathoz a Wi-Fi menüből, és a rendszer kérésére hitelesíti magát. A felhasználónak el kell fogadnia a RADIUS szerver X.509-tanúsítványát és engedélyeznie kell a Wi-Fi kapcsolat megbízhatóságát.
System Mode (Rendszer mód): A Rendszer mód a számítógép hitelesítésére használatos. A Rendszer mód segítségével történő hitelesítés a felhasználó számítógépbe történő bejelentkezését megelőzően megy végbe. A Rendszer mód általában azért kerül konfigurálásra, hogy hitelesítést biztosítson a helyi tanúsítványkiadó központ által kibocsátott X.509-tanúsítvány (EAP-TLS) számára.
System+User Mode (Rendszer+Felhasználói mód): A Rendszer+Felhasználói konfiguráció gyakran képezi egy olyan egyéni üzembe helyezés részét, amely esetében a számítógép az X.509-tanúsítványa (EAP-TLS) használatával kerül hitelesítésre. Miután a felhasználó bejelentkezett a számítógépébe, csatlakozhat a Wi-Fi-hálózathoz a Wi-Fi-menüből és megadhatja a hitelesítő adatait. A felhasználói hitelesítő adatok felhasználónevet és jelszót (EAP-PEAP, EAP-TTLS) vagy felhasználói tanúsítványt (EAP-TLS) tartalmazhatnak. A felhasználó hitelesítő adatai a hálózathoz történő csatlakozást követően a bejelentkezési kulcskarikában kerülnek eltárolásra és a jövőbeni hálózathoz történő csatlakozáshoz lesznek felhasználva.
Login Window Mode (Bejelentkezési ablak mód): Ez a mód akkor van használatban, ha a számítógép egy helyszíni címtárszolgáltatással, például az Active Directory szolgáltatással van összekapcsolva. A Bejelentkezési ablak mód konfigurálását követően a felhasználó megadja a felhasználónevét és a jelmondatát a bejelentkezési ablakban, a rendszer hitelesíti a felhasználót a számítógépen és a hálózaton a 802.1X-hitelesítés segítségével. A Bejelentkezési ablak mód csak akkor adja át a felhasználónevet és a jelszót, amikor a bejelentkezési ablak először megjelenik. Ha a Mac alvó üzemmódra vált, és a WLAN-vezérlő tétlenségi munkamenetének ideje lejár, akkor a kizárólag a Bejelentkezési ablak móddal konfigurált Maceket újra kell indítani, vagy a felhasználónak ki kell jelentkeznie. A felhasználó ezután ismét megadhatja a felhasználónevét és a jelszavát.
Megjegyzés: A Rendszermódhoz, a Rendszer+felhasználó módhoz (a Rendszer mód konfigurációjához szükséges) és a Bejelentkezési ablak módhoz MDM-megoldás általi konfiguráció szükséges. Konfigurálja a Hálózat adatcsomag beállításait a Wi-Fi-hálózat kívánt beállításaival, és alkalmazza őket a hatókörön belül egy eszközre vagy eszközcsoportra a Rendszer módhoz.
802.1X és megosztott iPad
Megosztott iPadeket 802.1X hálózatokkal használhat. További információkért lásd: Megosztott iPad és 802.1X-hálózatok.