Mã hóa Wi-Fi Enterprise và 802.1X trong Mac OS X

Quản trị mạng – Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình và kết nối các mạng WPA/WPA2-Enterprise trong Leopard và 10.6 Snow Leopard.

Việc kết nối với một mạng 802.1X

Đầu tiên chúng ta hãy đi tìm hiểu cách kết nối với một mạng 802.1X mà không cần tạo profile.

Nếu kiểu EAP được kích hoạt bởi RADIUS server là TLS, khi đó bạn phải cài đặt chứng chỉ bảo mật máy khách cho Mac OS X. Mặc dù vậy, các giao thức PEAP và TTLS không yêu cầu chứng chỉ phía trình khách này.

Lúc này để kết nối, hãy chọn mạng không dây từ menu AirPort ở phía trên desktop như những gì bạn thấy trong bất cứ mạng nào.

Nếu PEAP hoặc TTLS ở trạng thái tích cực, bạn sẽ được nhắc nhở để đăng nhập, như thể hiện trong hình 1 bên dưới. Nhập vào user name và password. Nếu bạn muốn lưu các chứng chỉ đăng nhập của mình để không cần nhập chúng nữa trong các lần đăng nhập kế tiếp, hãy chọn Remember this network. Sau đó kích OK để tiếp tục.

8021xMac Fig1.jpg
Hình 1

Nếu chứng chỉ của máy chủ RADIUS không được phát hành bởi Certification Authority (CA) có sự tin cậy bởi Apple, khi đó bạn sẽ bị nhắc nhở thẩm định chứng chỉ số của máy chủ, như thể hiện trong hình 2. Bảo đảm rằng chứng chỉ được cấp cho đúng miền và được phát hành bởi đúng CA. Vì vậy bạn không phải thực hiện điều này mỗi lần mà chỉ cần kiểm tra tùy chọn tin cậy. Nếu mọi thứ hợp lệ, hãy kích Continue để tin cậy nó và kết nối.

MacWiFi.jpg
Hình 2

Tạo các location mạng

Mac OS X gồm có tính năng location mạng, nơi bạn có thể áp dụng các thiết lập mạng dựa trên location. Điều này đặc biệt hữu dụng với các laptop và nếu bạn sẽ tạo profile đăng nhập Window hoặc System cho các thiết lập 802.1X của mình.

Bạn có thể tìm hiểu thêm về các kiểu profile này trong phần tiếp theo trước khi thực hiện. Nếu sẽ thiết lập một User profile đơn giản, bạn có thể không cần tạo các location mạng.

Nếu bạn cần, đây là cách tạo một location mạng:

  1. Kích Apple > System Preferences > Network.
  2. Từ menu Location sổ xuống ở bên trên, hãy chọn Edit Location.
  3. Kích nút Add (+) ở phía dưới Location, đặt tên cho nó và sau đó kích Done.

Cần thay đổi thủ công location mạng khi bạn chuyển sang location khác.

Tạo 802.1X profile

Việc kết nối với một mạng 802.1X cũng tương tự như những gì chúng ta đã thực hiện, có thể lưu các chứng chỉ đăng nhập (nếu bạn chọn nhở mạng), việc tạo 802.1X profile vẫn có thể cung cấp chức năng bổ sung. Các profile có thể streamline hoặc nâng cao thủ tục đăng nhập, phụ thuộc vào profile mà bạn tạo.

Sau đây chúng ta hãy đi xem xét một số kiểu profile:

  • User Profile: Đây là kiểu profile đơn giản nhất và là kiểu mặc định nếu bạn không biết chọn kiểu profile nào. Có thể có nhiều user profile trên một máy tính và chúng không bị buộc chặt vào các Network Location nào đó. Tuy nhiên bạn không thể sử dụng profile trên các mạng miền có dịch vụ directory, chẳng hạn như Open Directory hoặc Active Directory.
  • Login Window Profile: Profile này không áp dụng cho các tài khoản Mac. Nó chỉ làm việc với các mạng miền có dịch vụ directory. Mac OS X sử dụng cùng một chứng chỉ từ khi người dùng đăng nhập vào tài khoản Mac của họ để thẩm định cho cả mạng 802.1X và cho dịch vụ directory. Bạn có thể có nhiều Login Window profile trên mỗi một Network Location, tuy nhiên chúng sẽ thế chỗ bất cứ User profile nào.
  • System Profile: Profile này không áp dụng cho các tài khoản cục bộ của Mac, chỉ cho các mạng miền. Nó cho phép kết nối với mạng khi không ai đăng nhập vào máy tính, tuyệt vời khi các quản trị viên cần truy cập mạng vào máy tính. Bạn chỉ có một instance cho kiểu profile này trên mỗi một location và nó sẽ thay thế bất cứ User profile và Login Window profile nào.

Cần nhớ rằng, nếu sử dụng EAP kiểu TLS, khi đó bạn phải cài đặt chứng chỉ bảo mật máy khách cho Mac OS X.

Nếu tạo một Login Window profile hoặc System profile, bạn cần phải thẩm định mình được kết nối với Open Directory hoặc Active Directory server. Trong 10.5, sử dụng Directory Utility: kích Go > Utilities và mở Directory Utility. Trong 10.6, kích System Preferences > Accounts > Login Options.

Để bắt đầu việc tạo profile, hãy triệu gọi cửa sổ các thiết lập 802.1X: kích AirPort icon > Open Network Preferences. Trên cửa sổ Network, kích nút Advanced, chọn tab 802.1X.

Trong 10.5, chọn kiểu profile mong muốn bằng menu Domain sổ xuống.

Trong 10.6, kích nút Add (dấu cộng) để chọn kiểu profile mong muốn, nhập vào tên cho cấu hình và nhấn Enter.


Nếu bạn đã chọn một User profile (xem hình 3):

  1. Trong 10.5, kích nút Add (dấu cộng), nhập vào tên cấu hình và nhấn Enter.
  2. Nhập vào User NamePassword của bạn, trừ khi bạn đang sử dụng TLS.
  3. Trong 10.6, chọn Always prompt for password nếu bạn không muốn lưu các chứng chỉ đăng nhập.
  4. Chọn tên mạng, từ danh sách Wireless Network, hoặc nhập vào SSID của một mạng ẩn.
  5. Chọn các giao thức mong muốn từ hộp danh sách Authentication.
  6. Kích OK và sau đó trên cửa sổ Network, kích Apply.
Geier wPA Fig3.jpg
Hình 3

Nếu bạn chọn Login Window profile (xem hình 4):

  1. Chọn tên mạng, từ danh sách Wireless Network, hoặc nhập vào SSID của mạng ẩn.
  2. Chọn giao thức mong muốn từ hộp danh sách Authentication.
  3. Kích nút Enable 802.1X Login
  4. Kích OK và sau đó trên cửa sổ Network kích Apply.
Mac Tutorial - Geier - Fig4.jpg
Hình 4

Nếu bạn muốn vô hiệu hóa profile này, hãy quay trở lại các thiết lập 802.1X và kích nút Disable 802.1X Login.

Nếu bạn tạo System profile (xem hình 5):

  1. Nhập vào User NamePassword của bạn, trừ khi đang sử dụng TLS.
  2. Chọn tên mạng, từ danh sách Wireless Network, hoặc nhập vào SSID của mạng ẩn.
  3. Chọn giao thức mong muốn từ hộp danh sách Authentication.
  4. Kích nút Enable 802.1X.
  5. Kích Ok, sau đó trên cửa sổ Network kích Apply.
Tutorial - Geier WPA Fig5.jpg
Hình 5

Mặc định, bạn sẽ được nhắc nhở đăng nhập khi kết nối với mạng, thứ sẽ tự động lưu các chứng chỉ đăng nhập. Để lưu chúng trước, bạn có thể mở mục mạng AirPort ưu thích, nhập vào các chứng chỉ đăng nhập, kích Remember this network, và Add.

Nếu muốn vô hiệu hóa profile này, hãy quay trở lại trang thiết lập 802.1X và kích nút Disable 802.1X.

Một số mẹo trong quá trình thực hiện:

  • Nếu bạn kết nối đến một mạng đơn giản hơn không có dịch vụ directory trung tâm, bạn có thể không cần tạo profile – chỉ cần kết nối giống như chúng ta đã thảo luận bên trên.
  • Liên tục cập nhật Mac OS X, có nhiều nâng cấp liên quan đến việc quản lý nhận thực 802.1X.
  • Kiểu Profile mà bạn sử dụng không thay đổi thuộc tính và lưu lượng RADIUS thực; chúng chỉ đặc trưng cho Mac OS X.
  • Nếu gặp phải vấn đề gì, cần bảo đảm remove bất cứ entry mạng ưu thích trước kia, , 802.1X profile, các chứng chỉ 802.1X ra khỏi Keychain (TLS), và sau đó bắt đầu lại.
Thứ Hai, 06/09/2010 12:04
31 👨 976
0 Bình luận
Sắp xếp theo