802.1X 네트워크에 Apple 기기 연결하기
Apple 기기를 조직의 802.1X 네트워크에 안전하게 연결할 수 있습니다. 이는 Wi-Fi 및 이더넷 연결을 포함합니다.
기기 | 연결 방법 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi 이더넷(iOS 17 이상) | ||||||||||
iPad | Wi-Fi 이더넷(iPadOS 17 이상) | ||||||||||
Mac | Wi-Fi 이더넷 | ||||||||||
Apple TV 4K(3세대) Wi-Fi | Wi-Fi 이더넷(tvOS 17 이상) | ||||||||||
Apple TV 4K(3세대) Wi-Fi + 이더넷 | Wi-Fi 이더넷(tvOS 17 이상) | ||||||||||
Apple Vision Pro | Wi-Fi |
802.1X 협상 중 RADIUS 서버는 인증서를 기기 인증 요청자에게 자동으로 제시합니다. RADIUS 서버 인증서는 특정 인증서 또는 인증서의 호스트와 일치하는 예상 호스트 이름 목록에 신뢰를 고정하여 인증 요청자에 의해 신뢰되어야 합니다. 인증서가 알려진 CA에서 발급되어 기기의 신뢰할 수 있는 루트 저장소에 표시된 경우에도 특정 목적을 위해 신뢰되어야 합니다. 이 경우 서버의 인증서는 RADIUS 서비스에 대해 신뢰되어야 합니다. 이는 연결된 Wi-Fi 네트워크에 대한 인증서를 신뢰하라는 메시지가 사용자에게 표시되어 기업 네트워크에 참여하는 경우에는 수동으로 수행해야 하고, 그 외에는 구성 프로필에서 수행됩니다.
802.1X 구성을 포함하는 동일한 프로필에 인증서 신뢰 체인을 설정할 필요는 없습니다. 예를 들어, 관리자는 독립형 프로필에서 조직의 신뢰할 수 있는 인증서 배포를 선택하고, 별도의 프로필에 802.1X 구성을 추가할 수 있습니다. 이러한 방법으로 각 프로필을 별도로 관리하여 수정할 수 있습니다.
다른 매개변수 중에서 802.1X 구성은 다음을 지정할 수도 있습니다.
EAP 유형:
사용자 이름 기반 및 암호 기반 EAP(예: PEAP) 유형의 경우: 사용자 이름 또는 암호가 프로필에 제공될 수 있습니다. 그렇지 않은 경우, 해당 항목을 사용자에게 요청합니다.
신원 인증서 기반 EAP(예: EAP-TLS) 유형의 경우: 인증을 위한 신원 인증서를 포함한 페이로드를 선택하십시오. Active Directory 인증서 페이로드(macOS만 해당), ACME 페이로드, 인증서 페이로드에 있는 PKCS #12 신원 인증서(.p12 또는 .pfx) 파일 또는 SCEP 페이로드를 예로 들 수 있습니다. 기본적으로 iOS,iPadOS 및 macOS 인증 요청자는 EAP Response Identity에 신원 인증서 공통 이름을 사용하고 이는 802.1X 협상 시 RADIUS 서버에 전송됩니다. 자세한 정보는 MDM 페이로드를 사용한 인증서 배포 방법를 참조하십시오.
중요사항: iOS 17, iPadOS 17 및 macOS 14에서 기기는 이제 EAP-TLS를 TLS 1.3 (EAP-TLS 1.3)와 사용하여 802.1X 네트워크에 대한 연결을 지원합니다.
공유 iPad EAP 자격 증명: 공유 iPad는 각 사용자에 대해 동일한 EAP 자격 증명을 사용합니다.
신뢰:
신뢰할 수 있는 인증서: RADIUS 서버의 리프 인증서가 802.1X 구성을 포함하는 동일한 프로필의 인증서 페이로드에 제공된 경우, 관리자는 여기에서 인증서를 선택할 수 있습니다. 이는 클라이언트 인증 요청자가 이 목록에 있는 인증서 중 하나를 제시하는 RADIUS 서버가 있는 802.1X 네트워크에만 접속하도록 구성합니다. 이러한 방식으로 구성하면 802.1X 연결이 특정 인증서에 암호화되어 고정됩니다.
신뢰할 수 있는 서버 인증서 이름: 이 배열을 사용하여 인증 요청자가 해당 이름과 일치하는 인증서를 제시하는 RADIUS 서버에만 접속하도록 구성합니다. 이 필드는 와일드카드를 지원합니다. 예를 들어, *.betterbag.com으로 인증서 공통 이름인 radius1.betterbag.com 및 radius2.betterbag.com을 예상합니다. 와일드 카드는 사용 가능한 RADIUS 또는 인증 기관 서버를 변경할 때 관리자에게 더 많은 유연성을 제공합니다.
Mac용 802.1X 구성
macOS의 로그인 윈도우에서 기업용 WPA/WPA2/WPA3 인증을 사용하여 사용자가 로그인할 때 네트워크에 인증하도록 할 수 있습니다. macOS 설정 지원은 TTLS 또는 PEAP를 통해 사용자 이름 및 암호 자격 증명을 사용하는 802.1X 인증도 지원합니다. 자세한 정보는 Apple 지원 문서 로그인 윈도우 모드를 사용하여 네트워크에 802.1X 인증하기를 참조하십시오.
802.1X 구성은 다음과 같습니다.
사용자 모드: 이 모드는 가장 간단히 구성할 수 있으며 사용자가 Wi-Fi 메뉴에서 네트워크에 연결하고 메시지의 요청에 따라 인증할 때 사용됩니다. 사용자는 RADIUS 서버의 X.509 인증서를 승인하고 Wi-Fi 연결을 신뢰해야 합니다.
시스템 모드: 시스템 모드는 컴퓨터 인증에 사용됩니다. 시스템 모드를 사용하는 인증은 사용자가 컴퓨터에 로그인하기 전에 실행됩니다. 시스템 모드는 대체로 로컬 인증 기관에서 발급된 컴퓨터의 X.509 인증서(EAP-TLS)로 인증을 제공하려는 목적으로 구성됩니다.
시스템+사용자 모드: 시스템+사용자 구성은 컴퓨터가 X.509 인증서(EAP-TLS)로 인증되는 일대일 배포의 일부인 경우가 많습니다. 사용자는 컴퓨터에 로그인하고 나면 Wi-Fi 메뉴에서 Wi-Fi 네트워크에 연결하고 자격 증명을 입력할 수 있습니다. 사용자 자격 증명은 사용자 이름 및 암호문구(EAP-PEAP, EAP-TTLS) 또는 사용자 인증서(EAP-TLS)가 될 수 있습니다. 사용자가 네트워크에 연결하고 나면 해당 자격 증명은 로그인 키체인에 저장되고 추후에 연결 시 네트워크에 연결하는 데 사용됩니다.
로그인 윈도우 모드: 이 모드는 컴퓨터가 Active Directory와 같은 온프레미스 로컬 디렉토리 서비스에 바인딩되어 있을 때 사용됩니다. 로그인 윈도우 모드가 구성되고 사용자가 로그인 윈도우에서 사용자 이름과 암호문구를 입력하면 사용자는 컴퓨터에서 인증된 다음, 802.1X 인증을 사용하여 네트워크에서 인증됩니다. 로그인 윈도우 모드는 처음 나타날 때만 사용자 이름과 암호 인증서를 통과시킵니다. Mac이 잠자기 상태가 되고 WLAN 컨트롤러 대기 세션 시간이 만료되는 경우, 로그인 윈도우 모드로만 구성된 Mac을 재시동하거나 사용자가 로그아웃해야 합니다. 그런 다음 사용자는 사용자 이름과 암호를 다시 입력할 수 있습니다.
참고: 시스템 모드, 시스템+사용자 모드(시스템 모드 구성에 필요) 및 로그인 윈도우 모드는 MDM 솔루션으로 구성해야 합니다. 원하는 Wi-Fi 네트워크 설정으로 네트워크 페이로드 설정을 구성하고 범위 내 시스템 모드의 기기 또는 기기 그룹에 적용하십시오.
802.1X 및 공유 iPad
802.1X 네트워크에서 공유 iPad를 사용할 수 있습니다. 자세한 정보는 공유 iPad 및 802.1X 네트워크를 참조하십시오.