Σύνδεση συσκευών Apple σε δίκτυα 802.1X
Μπορείτε να συνδέσετε με ασφάλεια συσκευές Apple στο δίκτυο 802.1X του οργανισμού σας. Αυτό περιλαμβάνει συνδέσεις Wi-Fi και Ethernet.
Συσκευή | Μέθοδος σύνδεσης | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 ή μεταγενέστερη έκδοση) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 ή μεταγενέστερη έκδοση) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3ης γενιάς) Wi-Fi | Wi-Fi Ethernet (tvOS 17 ή μεταγενέστερη έκδοση) | ||||||||||
Apple TV 4K (3ης γενιάς) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 ή μεταγενέστερη έκδοση) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Κατά τη διαπραγμάτευση 802.1X, ο διακομιστής RADIUS παρουσιάζει το πιστοποιητικό του αυτόματα στην αίτηση άδειας πρόσβασης της συσκευής. Το πιστοποιητικό διακομιστή RADIUS πρέπει να σημανθεί ως αξιόπιστο από την αίτηση άδειας πρόσβασης αγκυρώνοντας την αξιοπιστία είτε σε ένα συγκεκριμένο πιστοποιητικό είτε σε μια λίστα αναμενόμενων ονομάτων υπολογιστή υπηρεσίας που αντιστοιχούν με τον υπολογιστή υπηρεσίας του πιστοποιητικού. Ακόμη κι όταν ένα πιστοποιητικό έχει εκδοθεί από μια γνωστή αρχή πιστοποίησης και παρατίθεται στη λίστα αξιόπιστων πιστοποιητικών ρίζας στη συσκευή, πρέπει επίσης να σημανθεί ως αξιόπιστο για έναν συγκεκριμένο σκοπό. Σε τέτοια περίπτωση, το πιστοποιητικό του διακομιστή πρέπει να είναι αξιόπιστο για την υπηρεσία RADIUS. Αυτό γίνεται είτε χειροκίνητα, κατά την είσοδο σε ένα επιχειρηματικό δίκτυο καθώς ο χρήστης καλείται να σημάνει ως αξιόπιστο το πιστοποιητικό για το συνδεδεμένο δίκτυο Wi-Fi ή σε ένα προφίλ διαμόρφωσης.
Δεν είναι απαραίτητο να καθορίσετε μια αλυσίδα αξιοπιστίας πιστοποιητικών στο ίδιο προφίλ που περιέχει τη ρύθμιση παραμέτρων 802.1X. Για παράδειγμα, ο διαχειριστής μπορεί να επιλέξει να αναπτύξει το πιστοποιητικό αξιοπιστίας ενός οργανισμού σε ανεξάρτητο προφίλ και να τοποθετήσει τη ρύθμιση παραμέτρων 802.1X σε ξεχωριστό προφίλ. Με αυτόν τον τρόπο, οι τροποποιήσεις οποιουδήποτε προφίλ μπορούν να υποβάλλονται σε διαχείριση ανεξάρτητα από το άλλο προφίλ.
Μεταξύ άλλων παραμέτρων, η ρύθμιση παραμέτρων 802.1X μπορεί επίσης να προσδιορίσει τα εξής:
EAP types:
For user name–based and password-based EAP types (such as PEAP): Το όνομα χρήστη ή το συνθηματικό μπορούν να παρασχεθούν στο προφίλ. Εάν δεν παρασχεθούν, ζητούνται από τον χρήστη.
Για τύπους EAP που βασίζονται σε πιστοποιητικών ταυτότητας (όπως το EAP-TLS): Επιλέξτε το φορτίο που περιέχει την ταυτότητα πιστοποιητικού για έλεγχο ταυτότητας. Αυτό μπορεί να είναι φορτίο Πιστοποιητικού Active Directory (μόνο σε macOS), φορτίο ACME, αρχείο ταυτότητας πιστοποιητικού PKCS 12 (.p12 ή .pfx) στο φορτίο «Πιστοποιητικά», ή φορτίο SCEP. Από προεπιλογή, οι αιτήσεις άδειας πρόσβασης iOS, iPadOS και macOS χρησιμοποιούν το κοινό όνομα της ταυτότητας πιστοποιητικού για την ταυτότητα απόκρισης EAP που αποστέλλει στον διακομιστή RADIUS κατά τη διαπραγμάτευση 802.1X. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Μέθοδοι ανάπτυξης πιστοποιητικών με χρήση φορτίων MDM.
Σημαντικό: Σε iOS 17, iPadOS 17 και macOS 14, οι συσκευές υποστηρίζουν πλέον συνδέσεις σε δίκτυα 802.1X μέσω EAP-TLS με TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: Το Κοινόχρηστο iPad χρησιμοποιεί τα ίδια διαπιστευτήρια EAP για κάθε χρήστη.
Αξιοπιστία:
Trusted certificates: Αν το πιστοποιητικό φύλλου του διακομιστή RADIUS παρέχεται σε ένα φορτίο πιστοποιητικού στο ίδιο προφίλ που περιέχει τη ρύθμιση παραμέτρων 802.1X, ο διαχειριστής μπορεί να το επιλέξει εδώ. Με αυτόν τον τρόπο, ο πελάτης κάνει αίτηση για άδεια σύνδεσης με στο δίκτυο 802.1X ενός διακομιστή RADIUS που παρουσιάζει ένα από τα πιστοποιητικά στη λίστα. Όταν διαμορφώνεται με αυτόν τον τρόπο, η σύνδεση 802.1X είναι κρυπτογραφικά συνδεδεμένη με συγκεκριμένα πιστοποιητικά.
Trusted server certificate names: Χρησιμοποιήστε αυτήν τη συστοιχία για ρύθμιση παραμέτρων της αίτησης για άδεια σύνδεσης μόνο σε διακομιστές RADIUS που παρουσιάζουν πιστοποιητικά που αντιστοιχούν σε αυτά τα ονόματα. Αυτό το πεδίο υποστηρίζει μπαλαντέρ. Για παράδειγμα, το *.betterbag.com αναμένει τα κοινά ονόματα πιστοποιητικού radius1.betterbag.com και radius2.betterbag.com. Τα μπαλαντέρ παρέχουν περισσότερη ευελιξία στους διαχειριστές όταν προκύπτουν αλλαγές στους διαθέσιμους διακομιστές RADIUS ή αρχής έκδοσης πιστοποιητικών.
Ρυθμίσεις παραμέτρων 802.1X για Mac
Μπορείτε επίσης να χρησιμοποιήσετε εταιρικό έλεγχο ταυτότητας WPA/WPA2/WPA3 στο παραθύρου εισόδου του macOS, έτσι ώστε ο χρήστης να πραγματοποιεί είσοδο για έλεγχο ταυτότητάς του στο δίκτυο. Ο Βοηθός διαμόρφωσης macOS υποστηρίζει επίσης έλεγχο ταυτότητας 802.1X με διαπιστευτήρια ονόματος χρήστη και συνθηματικού με χρήση TTLS ή PEAP. Για περισσότερες πληροφορίες, δείτε το άρθρο της Υποστήριξης Apple Χρήση της Λειτουργίας παραθύρου εισόδου για έλεγχο ταυτότητας 802.1X σε ένα δίκτυο.
Οι τύποι ρυθμίσεων παραμέτρων 802.1X είναι:
User Mode: Αυτή η λειτουργία, που είναι η απλούστερη για διαμόρφωση, χρησιμοποιείται όταν ένας χρήστης εισέρχεται στο δίκτυο από το μενού Wi-Fi και πραγματοποιεί έλεγχο ταυτότητας όταν του ζητηθεί. Ο χρήστης πρέπει να αποδεχτεί το πιστοποιητικό X.509 του διακομιστή RADIUS και να θεωρήσει αξιόπιστη τη σύνδεση Wi-Fi.
System Mode: Η Λειτουργία συστήματος χρησιμοποιείται για έλεγχο ταυτότητας υπολογιστή. Ο έλεγχος ταυτότητας με χρήση της Λειτουργίας συστήματος γίνεται πριν ο χρήστης πραγματοποιήσει είσοδο στον υπολογιστή. Η Λειτουργία συστήματος συνήθως διαμορφώνεται για να παρέχει έλεγχο ταυτότητας με το πιστοποιητικό X.509 (EAP-TLS) του υπολογιστή που έχει εκδοθεί από μια τοπική αρχή έκδοσης πιστοποιητικών.
System+User Mode: Μια ρύθμιση παραμέτρων Συστήματος+Χρήστη συχνά αποτελεί μέρος μιας ατομικής ανάπτυξης όπου γίνεται έλεγχος ταυτότητας του υπολογιστή με το πιστοποιητικό X.509 (EAP-TLS). Μόλις ο χρήστης πραγματοποιήσει είσοδο στον υπολογιστή, μπορεί να εισέλθει στο δίκτυο Wi-Fi από το μενού Wi-Fi και να εισαγάγει τα διαπιστευτήριά του. Τα διαπιστευτήρια χρήστη μπορεί να είναι ένα όνομα χρήστη και μια συνθηματική φράση (EAP-PEAP, EAP-TTLS) ή ένα πιστοποιητικό χρήστη (EAP-TLS). Μόλις ο χρήστης συνδεθεί στο δίκτυο, τα διαπιστευτήριά του αποθηκεύονται στην κλειδοθήκη εισόδου και χρησιμοποιούνται για είσοδο στο δίκτυο σε μελλοντικές συνδέσεις.
Login Window Mode: Αυτή η λειτουργία χρησιμοποιείται όταν ο υπολογιστής είναι συνδεδεμένος σε μια επιτόπια τοπική υπηρεσία καταλόγου, όπως το Active Directory. Όταν έχει διαμορφωθεί η Λειτουργία παραθύρου εισόδου και ένας χρήστης εισαγάγει το όνομα χρήστη και τη συνθηματική φράση στο παράθυρο εισόδου, γίνεται έλεγχος ταυτότητας του χρήστη στον υπολογιστή και μετά στο δίκτυο με έλεγχο ταυτότητας 802.1X. Η Λειτουργία παραθύρου εισόδου διαβιβάζει τα διαπιστευτήρια ονόματος χρήστη και συνθηματικού μόνο όταν εμφανίζεται για πρώτη φορά το Παράθυρο εισόδου. Αν το Mac μεταβεί σε κατάσταση ύπνου και λήξει ο χρόνος αδράνειας του ελεγκτή WLAN, πρέπει να γίνει επανεκκίνηση ενός Mac που έχει διαμορφωθεί μόνο με τη Λειτουργία παραθύρου εισόδου ή πρέπει να πραγματοποιήσει έξοδο ο χρήστης. Στη συνέχεια, ο χρήστης μπορεί να εισαγάγει ξανά το όνομα χρήστη και το συνθηματικό του.
Σημείωση: Η Λειτουργία συστήματος, η Λειτουργία συστήματος+χρήστη (απαιτείται για τη ρύθμιση παραμέτρων της Λειτουργίας συστήματος) και η Λειτουργία παραθύρου εισόδου απαιτούν ρύθμιση παραμέτρων από μια λύση MDM. Διαμορφώστε τις ρυθμίσεις του φορτίου «Δίκτυο» με τις επιθυμητές ρυθμίσεις δικτύου Wi-Fi και εφαρμόστε εντός εύρους σε μια συσκευή ή ομάδα συσκευών για τη Λειτουργία συστήματος.
802.1X και Κοινόχρηστο iPad
Μπορείτε να χρησιμοποιήσετε το Κοινόχρηστο iPad με δίκτυα 802.1X. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Κοινόχρηστο iPad και δίκτυα 802.1x.