Під’єднання пристроїв Apple до мереж 802.1X
Ви можете надійно під’єднувати пристрої Apple до мережі 802.1X своєї організації. Це стосується Wi-Fi і з’єднань Ethernet.
Пристрій | Метод під’єднання | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi‑Fi Ethernet (iOS 17 або новіші) | ||||||||||
iPad | Wi‑Fi Ethernet (iPadOS 17 або новіші) | ||||||||||
Mac | Wi‑Fi Ethernet | ||||||||||
Apple TV 4K (3-тє покоління) Wi-Fi | Wi‑Fi Ethernet (tvOS 17 або новіші) | ||||||||||
Apple TV 4K (3-тє покоління) Wi-Fi + Ethernet | Wi‑Fi Ethernet (tvOS 17 або новіші) | ||||||||||
Apple Vision Pro | Wi‑Fi | ||||||||||
Під час обміну даними у 802.1X сервер RADIUS автоматично надає свій сертифікат пристрою, який його запитує. Прохач має позначити сертифікат сервера RADIUS довіреним шляхом закріплення довіри за певним сертифікатом або за списком очікуваних назв хостів, які відповідають хосту сертифіката. Навіть коли сертифікат видає відомий ЦС і зазначає його в сховищі довірених кореневих на пристрої, його все одно потрібно позначати довіреним для певного застосування. У цьому випадку сертифікат сервера має бути довіреним для служби RADIUS. Це можна зробити або вручну під час приєднання до корпоративної мережі, коли користувач отримує запит довіри сертифікату для під’єднаної мережі Wi-Fi, або в профілі конфігурації.
Ланцюжок довірених сертифікатів не обов’язково встановлювати в тому ж профайлі конфігурації, який містить конфігурацію 802.1X. Наприклад, адміністратор може впровадити довірений сертифікат організації в одному профілі, а конфігурацію 802.1X розмістити в іншому. Таким чином зміни в профайли можна вносити незалежно.
Поміж іншими параметрами в конфігурації 802.1X можна також вказати:
EAP types (Типи EAP):
For user name–based and password-based EAP types (such as PEAP) (Для типів EAP на основі імені користувача і пароля (наприклад, PEAP)): Ім’я користувача або пароль можна задати в профайлі. Якщо їх не задано, користувач отримає запит.
Для типів EAP на основі посвідчення сертифіката (наприклад, EAP-TLS). Виберіть набори даних, які містять посвідчення сертифіката для автентифікації. Це може бути набір даних Active Directory Certificate (Сертифікат Active Directory) (тільки macOS), набір даних ACME, файл цифрового сертифікату PKCS #12 (.p12 або .pfx) у наборі даних Certificates (Сертифікати) або набір даних SCEP. Стандартно запитувачі з iOS, iPadOS і macOS використовують загальне ім’я цифрового сертифікату для посвідчення відповіді EAP, яку сервер RADIUS надсилає під час обміну даними з 802.1X. Докладну інформацію наведено в статті Способи розгортання сертифікатів за допомогою набору даних MDM.
Важливо! В iOS 17, iPadOS 17 І macOS 14 пристрої тепер підтримують під’єднання до мереж 802.1X за допомогою EAP-TLS із TLS 1.3 (EAP-TLS 1.3).
Облікові дані EAP спільного iPad (Облікові дані EAP спільного iPad). Спільний iPad використовує однакові облікові дані EAP для кожного користувача.
Trust (Довіряти).
Trusted certificates (Довірені сертифікати). Якщо гілковий сертифікат сервера RADIUS надходить у складі набору даних сертифіката (у тому самому профілі з параметрами 802.1X), адміністратор може вибрати його безпосередньо там. Таким чином клієнт, який подає запит, буде конфігурований під’єднуватися тільки до мережі 802.1X з сервером RADIUS, який надасть один із сертифікатів у списку. Сконфігуроване в такий спосіб з’єднання 802.1X криптографічно прикріплюється до конкретних сертифікатів.
Trusted server certificate names (Імена довірених сертифікатів сервера). Використовуйте цей масив, щоб конфігурувати пристрій, що подає запит, під’єднуватися лише до серверів RADIUS, які пропонують сертифікати з цими іменами. У цьому полі можна використовувати символи підстановки, наприклад запис «*.betterbag.com» передбачає загальні імена сертифікатів «radius1.betterbag.com» і «radius2.betterbag.com». Символи узагальнення забезпечують адміністраторам більше гнучкості, коли відбуваються зміни на доступних серверах центру сертифікації чи RADIUS.
Конфігурації 802.1X для Mac
Також можна використовувати автентифікацію WPA/WPA2/WPA3 Enterprise у вікні входу macOS, щоб користувач під час входу автентифікувався в мережі. Асистент налаштування macOS також підтримує автентифікацію 802.1X з іменем користувача й паролем через TTLS або PEAP. Більше інформації наведено в статті служби підтримки Apple про використання режиму входу в систему для автентифікації 802.1X у мережі.
До типів конфігурацій 802.1X належать:
User Mode (Режим користувача). Цей режим конфігурувати найпростіше. Він використовується, коли користувач приєднується до мережі через меню Wi-Fi і автентифікується на запит. Користувач має прийняти сертифікат X.509 сервера RADIUS і довірити з’єднанню Wi-Fi.
System Mode (Системний режим). Системний режим використовується для автентифікації комп’ютера. Автентифікація за допомогою системного режиму відбувається раніше за вхід користувача в систему. Системний режим зазвичай конфігурують для автентифікації за допомогою сертифіката X.509 (EAP-TLS) комп’ютера, який видає локальний орган сертифікації.
System+User Mode (Системний режим+режим користувача). Ця конфігурація часто є частиною індивідуального розгортання, за якого комп’ютер автентифікується за допомогою свого сертифіката X.509 (EAP-TLS). Після авторизації на комп’ютері користувач може приєднуватися до мережі Wi-Fi через меню Wi-Fi, ввівши свої облікові дані. Облікові дані користувача мають складатися з імені користувача та парольної фрази (EAP-PEAP, EAP-TTLS) або сертифіката користувача (EAP-TLS). Коли користувач приєднується до мережі, його облікові дані зберігаються у в’язці login і використовуються за наступних приєднань до мережі.
Login Window Mode (Режим вікна входу в систему). Цей режим використовується, коли комп’ютер призначений для локальної служби каталогів, як-от Active Directory. Коли конфігуровано режим вікна входу в систему й користувач у вікні входу вводить свої ім’я та парольну фразу, він автентифікується на комп’ютері, а потім і в мережі, шляхом автентифікації 802.1X. Режим вікна входу в систему передає імʼя користувача та пароль лише за першої появи вікна входу. Якщо Mac перейде у режим сну, і якщо завершиться час сеансу бездіяльності контролера WLAN, сконфігурований на використання виключно режиму вікна входу в систему Mac потрібно буде перезапустити або користувач повинен буде вийти із системи. Відтак користувач зможе знову ввести своє ім’я користувача та пароль.
Примітка. Системний режим, режим «Система+Користувач» (необхідний для конфігурації системного режиму) та режим «Вікно входу» вимагають конфігурації за допомогою рішення MDM. Конфігуруйте параметри набору даних Network (Мережа) з потрібними мережевими параметрами Wi-Fi і застосуйте його разом до пристрою або групи пристроїв для системного режиму.
802.1X і спільні iPad
Ви можете використовувати спільні iPad у мережах 802.1X. Докладну інформацію наведено в статті Спільний iPad і мережі 802.1X.