Applen laitteiden yhdistäminen 802.1X-verkkoihin
Voit yhdistää Apple-laitteita turvallisesti organisaatiosi 802.1X-verkkoon. Yhteydet voivat olla Wi-Fi- ja Ethernet-yhteyksiä.
Laite | Yhteystapa | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 tai uudempi) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 tai uudempi) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3. sukupolvi) Wi-Fi | Wi-Fi Ethernet (tvOS 17 tai uudempi) | ||||||||||
Apple TV 4K (3. sukupolvi) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 tai uudempi) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
802.1X-neuvottelun aikana RADIUS-palvelin esittää varmenteensa automaattisesti laitteen supplicantille. Supplicantin täytyy luottaa RADIUS-palvelinvarmenteeseen, ja luottamuksen täytyy perustua joko tiettyyn varmenteeseen tai varmenteen isännän kanssa täsmäävien odotettujen palvelinnimien luetteloon. Vaikka varmenteen olisi myöntänyt tunnettu varmentaja ja se olisi luetteloitu laitteen luotettujen juurien varastossa, sen täytyy myös olla luotettu tiettyyn tarkoitukseen. Tässä tapauksessa palvelimen varmenteen täytyy olla luotettu RADIUS-palveluun. Se tehdään joko käsin, kun yritysverkkoon liityttäessä käyttäjää kehotetaan luottamaan yhdistetyn Wi-Fi-verkon varmenteeseen, tai asetusprofiilissa.
Luotettua varmenneketjua ei tarvitse käyttää samassa profiilissa, joka sisältää 802.1X-määrityksen. Ylläpitäjä voi esimerkiksi käyttää jonkin organisaation luotettua varmennetta yhdessä profiilissa ja 802.1X-määritystä toisessa profiilissa. Näin kummankin profiilin muutoksia voidaan hallita erikseen.
802.1X-määritys voi sisältää muiden parametrien ohessa myös seuraavat:
EAP types:
For user name–based and password-based EAP types (such as PEAP): Käyttäjätunnus tai salasana voidaan toimittaa profiilissa. Jos niitä ei toimiteta, käyttäjää pyydetään antamaan ne.
Henkilövarmennepohjaisille EAP-tyypeille (kuten EAP-TLS): Valitse tietosisältö, joka sisältää henkilövarmenteen todentautumista varten. Tämä voi olla Active Directory ‑varmenne ‑tietosisältö (vain macOS), ACME-tietosisältö, PKCS #12 ‑henkilövarmennetiedosto (.p12 tai .pfx) Varmenteet-tietosisällössä tai SCEP-tietosisältö. Oletuksena iOS-, iPadOS- ja macOS-supplicantit käyttävät varmenneidentiteetin yleistä nimeä EAP Response Identitylle, jonka se lähettää RADIUS-palvelimelle 802.1X-neuvottelun yhteydessä. Jos haluat lisätietoja, katso Varmenteiden käyttönottotavat, kun käytetään MDM-tietosisältöjä.
Tärkeää: iOS 17:ää, iPadOS 17:ää ja macOS 14:ää käyttävät laitteet tukevat nyt yhteyksiä 802.1X-verkkoihin käyttäen EAP-TLS:ää TLS 1.3:lla (EAP-TLS 1.3).
Shared iPad EAP credentials: Jaettu iPad käyttää samoja EAP-tunnistetietoja jokaiselle käyttäjälle.
Trust:
Trusted certificates: Jos RADIUS-palvelimen lehtivarmenne annetaan varmennetietosisällössä samassa profiilissa, jossa on 802.1X-määritys, ylläpitäjä voi valita sen tässä. Tämä määrittää asiakas-supplicantin liittymään 802.1X-verkkoon vain sellaisella RADIUS-palvelimella, joka edustaa yhtä luettelossa olevaa varmennetta. Tällä määrityksellä 802.1X-yhteys on kryptografisesti sidottu tiettyihin varmenteisiin.
Trusted server certificate names: Käytä tätä sarjaa määrittämään supplicant liittymään vain RADIUS-palvelimiin, joiden varmenteet vastaavat näitä nimiä. Tämä kenttä tukee jokerimerkkejä; esimerkiksi *.betterbag.com odottaa sellaisia varmenteen yleisiä nimiä kuten radius1.betterbag.com ja radius2.betterbag.com. Jokerimerkit tarjoavat ylläpitäjille enemmän joustoa, kun saatavilla oleviin RADIUS-palvelimiin tai varmentajan palvelimiin tulee muutoksia.
802.1X-määritykset Macille
Voit myös käyttää WPA/WPA2/WPA3 Enterprise ‑todentamista macOS:n sisäänkirjautumisikkunassa, jolloin käyttäjä todentautuu verkkoon kirjautumalla sisään. macOS:n Käyttöönottoapuri tukee myös 802.1X-todentamista käyttäjätunnuksella ja salasanalla TTLS:ää tai PEAP:tä käytettäessä. Lisätietoja saat Applen tukiartikkelista Use Login Window Mode for 802.1X authentication to a network.
802.1X-määritysten tyypit ovat:
User Mode: Tämä tila on yksinkertaisin määrittää. Sitä käytetään, kun käyttäjä liittyy verkkoon Wi-Fi-valikon kautta ja todentautuu kehotuksen saatuaan. Käyttäjän on hyväksyttävä RADIUS-palvelimen X.509-varmenne ja luottamus Wi-Fi-yhteyttä varten.
System Mode: Järjestelmätilaa käytetään, kun halutaan todentaa tietokone. Järjestelmätilaa käytettäessä todentaminen tapahtuu ennen kuin käyttäjä kirjautuu sisään tietokoneelle. Järjestelmätilaa käytettäessä todentaminen tapahtuu tavallisesti käyttäen tietokoneen X.509-varmennetta (EAP-TLS), jonka on antanut paikallinen varmentaja.
System+User Mode: Järjestelmä+käyttäjä-määritys on usein osa 1:1-käyttöönottoja, joissa tietokoneen todentamiseen käytetään sen X.509-varmennetta (EAP-TLS). Kun käyttäjä on kirjautunut sisään tietokoneelle, hän voi liittyä Wi-Fi-verkkoon Wi-Fi-valikon kautta ja syöttää tunnistetietonsa. Käyttäjän tunnistetietoina voivat toimia käyttäjätunnus ja salauslause (EAP-PEAP, EAP-TTLS) tai käyttäjän varmenne (EAP-TLS). Kun käyttäjä on yhdistetty verkkoon, hänen tunnistetietonsa tallennetaan sisäänkirjautumisavainnippuun ja niitä käytetään myöhemmin liityttäessä uudelleen samaan verkkoon.
Login Window Mode: Tätä tilaa käytetään, kun tietokone on sidottu paikalliseen hakemistopalveluun, kuten Active Directoryyn. Kun käyttöön on määritetty sisäänkirjautumisikkunatila ja käyttäjä syöttää käyttäjätunnuksensa ja salauslauseensa sisäänkirjautumisikkunassa, käyttäjä todennetaan tietokoneelle ja sen jälkeen verkkoon käyttäen 802.1X-todentamista. Sisäänkirjautumisikkunatila välittää käyttäjän nimen ja salasanan käsittävät tunnistetiedot vain, kun sisäänkirjautumisikkuna tulee ensimmäisen kerran näkyviin. Jos Mac menee nukkumaan ja WLAN-ohjaimen toimettoman istunnon aika kuluu loppuun, Mac, johon on määritetty ainoastaan sisäänkirjautumisikkunatila, täytyy käynnistää uudelleen, tai käyttäjän on kirjauduttava ulos. Käyttäjä voi sitten syöttää käyttäjätunnuksensa ja salasanansa uudelleen.
Huomaa: System Mode, System+User Mode (vaaditaan System Mode ‑tilan määrittämiseen) ja Login Window Mode vaativat määrityksen MDM-ratkaisulla. Määritä verkkotietosisällön asetuksiin halutut Wi-Fi-verkkoasetukset ja käytä laitteelle tai laiteryhmälle järjestelmätilaa varten.
802.1X ja jaettu iPad
Voit käyttää jaettua iPadia 802.1X-verkoissa. Jos haluat lisätietoja, katso Jaettu iPad ja 802.1X-verkot.