Sambung peranti Apple ke rangkaian 802.1X
Anda boleh menyambungkan peranti Apple secara selamat ke rangkaian 802.1X organisasi anda. Ini termasuk sambungan Wi-Fi dan Ethernet.
Peranti | Kaedah sambungan | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 atau lebih baharu) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 atau lebih baharu) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (generasi ke-3) Wi-Fi | Wi-Fi Ethernet (tvOS 17 atau lebih baharu) | ||||||||||
Apple TV 4K (generasi ke-3) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 atau lebih baharu) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Semasa rundingan 802.1X, pelayan RADIUS mempersembahkan sijilnya ke perayu peranti secara automatik. Sijil pelayar RADIUS mesti dipercayai oleh perayu sama ada dengan menyauhkan kepercayaan ke sijil tertentu atau ke senarai nama hos dijangka yang sepadan dengan hos sijil. Walaupun apabila sijil telah dikeluarkan oleh CA yang diketahui dan disenaraikan dalam kedai akar yang dipercayai pada peranti, ia juga mesti dipercayai untuk tujuan khusus. Dalam kes ini, sijil pelayan mesti dipercayai untuk perkhidmatan RADIUS. Ini dilakukan sama ada secara manual, apabila menyertai rangkaian perusahaan semasa pengguna digesa untuk mempercayai sijil bagi rangkaian Wi-Fi yang disambungkan, atau dalam profil konfigurasi.
Ia tidak diperlukan untuk mewujudkan rantau kepercayaan sijil dalam profil yang sama yang mengandungi konfigurasi 802.1X. Sebagai contoh, pentadbir boleh memilih untuk mengerahkan sijil kepercayaan organisasi dalam profil kendiri dan boleh meletakkan konfigurasi 802.1X dalam profil berasingan. Dengan cara ini, pengubahsuaian ke mana-mana profil boleh diuruskan secara bebas daripada satu sama lain.
Antara parameter yang lain, konfigurasi 802.1X juga boleh menentukan:
Jenis EAP:
Untuk jenis EAP berdasarkan nama pengguna dan berdasarkan kata laluan (seperti PEAP): Nama pengguna atau kata laluan boleh dibekalkan dalam profil. Jika ia tidak dibekalkan, pengguna digesa untuknya.
Untuk jenis EAP berdasarkan identiti (seperti EAP-TLS): Pilih muat beban yang mengandungi identiti sijil untuk pengesahan. Ini mungkin muat beban Sijil Active Directory (macOS sahaja), muat beban ACME, fail sijil identiti PKCS #12 (.p12 atau .pfx) dalam muat beban Sijil atau muat beban SCEP. Secara lalai, perayu iOS, iPadOS dan macOS menggunakan nama biasa identiti sijil untuk Identiti Maklum Balas EAP yang ia hantar ke pelayan RADIUS semasa perundingan 802.1X. Untuk mendapatkan maklumat lanjut, lihat Kaedah pengerahan sijil menggunakan muat beban MDM.
Penting: Dalam iOS 17, iPadOS 17 dan macOS 14, peranti kini menyokong sambungan ke rangkaian 802.1X menggunakan EAP-TLS dengan TLS 1.3 (EAP-TLS 1.3).
Kelayakan EAP iPad Dikongsi: iPad Dikongsi menggunakan kelayakan EAP untuk setiap pengguna.
Kepercayaan:
Sijil dipercayai: Jika sijil dedaun pelayan RADIUS dibekalkan dalam muat beban Sijil dalam profil sama yang mengandungi konfigurasi 802.1X, pentadbir boleh memilihnya di sini. Ini mengkonfigurasikan perayu klien untuk bersambung hanya pada rangkaian 802.1X dengan pelayan RADIUS mempersembahkan salah satu sijil dalam senarai ini. Apabila dikonfigurasikan dengan cara ini, sambungan 802.1X dipinkan secara kriptografi ke sijil khusus.
Nama sijil pelayan yang dipercayai: Gunakan tatasusunan ini untuk mengkonfigurasikan perayu untuk bersambung hanya pada pelayan RADIUS yang mempersembahkan sijil yang sepadan dengan nama ini. Medan ini menyokong kad bebas; sebagai contoh, *.betterbag.com menjangkakan nama biasa sijil radius1.betterbag.com dan radius2.betterbag.com. Kad bebas memberikan pentadbir lebih banyak kefleksibelan apabila bertukar ke RADIUS yang tersedia atau pelayan autoriti sijil berlaku.
Konfigurasi 802.1X untuk Mac
Anda juga boleh menggunakan pengesahan Perusahaan WPA/WPA2/WPA3 di tetingkap log masuk macOS, oleh itu pengguna log masuk untuk mengesahkan ke rangkaian. Pembantu Persediaan macOS juga menyokong pengesahan 802.1X dengan nama pengguna dan kelayakan kata laluan menggunakan TTLS atau PEAP. Untuk mendapatkan maklumat lanjut, lihat artikel Sokongan Apple Gunakan Mod Tetingkap Log Masuk untuk pengesahan 802.1X pada rangkaian.
Jenis konfigurasi 802.1X ialah:
Mod Pengguna: Mod ini yang paling mudah dikonfigurasi digunakan apabila pengguna menyertai rangkaian daripada menu Wi-Fi dan mengesahkan apabila digesa. Pengguna mesti menerima sijil X.509 pelayan dan mempercayainya untuk sambungan Wi-Fi.
Mod Sistem: Mod Sistem digunakan untuk pengesahan komputer. Pengesahan menggunakan mod Sistem berlaku sebelum pengguna melog masuk ke komputer. Mod Sistem biasanya dikonfigurasi untuk membekalkan pengesahan dengan sijil X.509 komputer (EAP-TLS) yang dikeluarkan oleh autoriti sijil setempat.
Mod Sistem+Pengguna: Konfigurasi Sistem+Pengguna biasanya ialah sebahagian daripada pengerahan satu ke satu iaitu komputer disahkan dengan sijil X.509 (EAP-TLS). Selepas pengguna dilog masuk ke komputer, mereka boleh menyertai rangkaian Wi-Fi daripada menu Wi-Fi dan memasukkan kelayakan mereka. Kelayakan pengguna boleh menjadi nama pengguna dan frasa laluan (EAP-PEAP, EAP-TTLS) atau sijil pengguna (EAP-TLS). Selepas pengguna bersambung ke rangkaian, kelayakan mereka disimpan dalam rantai kunci log masuk dan digunakan untuk menyertai rangkaian pada sambungan masa hadapan.
Mod Tetingkap Log Masuk: Mod ini digunakan apabila komputer terikat kepada perkhidmatan direktori setempat pada premis seperti Active Directory. Apabila Mod Tetingkap Log Masuk dikonfigurasi dan pengguna memasukkan nama pengguna dan frasa laluan mereka di tetingkap log masuk, pengguna disahkan ke komputer dan kemudian ke rangkaian menggunakan pengesahan 802.1X. Mod Tetingkap Log Masuk menyerahkan kelayakan nama pengguna dan kata laluan hanya apabila Tetingkap Log Masuk kelihatan dahulu. Jika Mac tidur dan masa sesi melahu pengawal WLAN tamat tempoh, Mac dikonfigurasi hanya dengan Mod Tetingkap Log Masuk mesti dimulakan semula atau pengguna mesti log keluar. Pengguna kemudian boleh memasukkan nama pengguna dan kata laluan mereka lagi.
Nota: Mod Sistem, Mod Sistem+Pengguna (diperlukan untuk konfigurasi Mod Sistem) dan Mod Tetingkap Log Masuk memerlukan konfigurasi oleh penyelesaian MDM. Konfigurasi seting muat beban Rangkaian dengan seting rangkaian Wi-Fi yang diingini dan gunakan dalam skop pada peranti atau kumpulan peranti untuk Mod Sistem.
802.1X dan iPad Dikongsi
Anda boleh menggunakan iPad Dikongsi dengan rangkaian 802.1X. Untuk mendapatkan maklumat lanjut, lihat iPad Dikongsi dan rangkaian 802.1X.