Připojování zařízení Apple k sítím 802.1X
Zařízení Apple můžete bezpečně připojit k síti 802.1X dané organizace. Můžete použít připojení přes Wi-Fi a Ethernet.
Zařízení | Metoda připojení | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 nebo novější) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 nebo novější) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K 3. generace Wi-Fi | Wi-Fi Ethernet (tvOS 17 nebo novější) | ||||||||||
Apple TV 4K 3. generace Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 nebo novější) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Server RADIUS během navazování spojení prostřednictvím protokolu 802.1X automaticky předloží žadatelskému zařízení svůj certifikát. Žadatel musí certifikátu serveru RADIUS důvěřovat, přičemž tato důvěra může být ukotvena buď ke konkrétnímu certifikátu nebo k seznamu očekávaných hostitelských názvů, kterému musí hostitel certifikátu vyhovět. I když certifikát vystavila známá CA a je uvedený v důvěryhodném kořenovém úložišti na zařízení, musí být navíc považován za důvěryhodný pro konkrétní účel. V tomto případě musí být certifikát serveru označen jako důvěryhodný pro účely služby RADIUS. To lze provést buďto ručně, když je uživatel při připojování k podnikové síti dotázán, zda důvěřuje certifikátu pro připojenou Wi‑Fi síť, nebo v konfiguračním profilu.
Řetězec certifikátů důvěryhodnosti není nutné ustavit ve stejném profilu, ve kterém je obsažena konfigurace 802.1X. Správce se například může rozhodnout, že certifikát důvěryhodnosti organizace nasadí v samostatném profilu a konfiguraci 802.1X vloží do odděleného profilu. Tato metoda umožňuje vzájemně nezávislou správu změn v obou profilech.
Konfigurace 802.1X může kromě jiných parametrů také určovat:
EAP types:
For user name–based and password-based EAP types (such as PEAP): Jméno uživatele nebo heslo lze vložit do profilu. Pokud je profil neobsahuje, bude k jejich zadání vyzván uživatel.
Pro typy EAP založené na certifikační identitě (například EAP-TLS): Vyberte datovou část, která obsahuje certifikační identitu pro ověřování. Můžete použít datovou část Active Directory Certificate (jen na macOS), datovou část ACME, soubor certifikátu identity PKCS #12 (.p12 or .pfx) v datové části Certificates nebo datovou část SCEP. Jako identitu odezvy EAP, kterou zasílají serveru RADIUS během vyjednávání protokolu 802.1X, systémy iOS, iPadOS a macOS při odesílání požadavků standardně používají obecný název certifikační identity. Další informace najdete v části Metody nasazení certifikátů pomocí datových částí MDM.
Důležité: Zařízení se systémy iOS 17, iPadOS 17 a macOS 14 nyní podporují připojení k sítím 802.1X pomocí protokolu EAP-TLS s TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: Sdílený iPad používá pro každého uživatele stejné přístupové údaje EAP.
Trust:
Trusted certificates: Pokud je v datové části Certificates v témže profilu, který obsahuje konfiguraci 802.1X, obsažen listový certifikát serveru RADIUS, administrátor ho zde může vybrat. Tím nakonfiguruje žádajícího klienta tak, aby se připojil jen k síti 802.1X se serverem RADIUS, který předloží některý z certifikátů uvedených v tomto seznamu. Při takové konfiguraci bude připojení 802.1X kryptograficky připnuto k určitým certifikátům.
Trusted server certificate names: Toto pole slouží k nakonfigurování žadatele tak, aby se připojil jen k serverům RADIUS, které předloží certifikáty odpovídající těmto názvům. Toto pole podporuje použití zástupných znaků. Zápis *.betterbag.com například odpovídá očekávaným obecným názvům certifikátu radius1.betterbag.com a radius2.betterbag.com. Zástupné znaky poskytují správcům větší flexibilitu v případě, že se vyskytnou změny v souvislosti se servery RADIUS nebo servery certifikační autority.
Konfigurace 802.1X pro Mac
V přihlašovacím okně systému macOS můžete také použít zabezpečení WPA/WPA2/WPA3 Enterprise, takže uživatel potvrdí svoji totožnost při přihlášení k síti. Průvodce nastavením macOS podporuje také ověřování 802.1X pomocí uživatelského jména a hesla s použitím protokolu TTLS nebo PEAP. Další informace najdete v článku podpory Apple Use Login Window Mode for 802.1X authentication to a network (Použití režimu přihlašovacího okna pro ověřování 802.1X v síti).
Existující typy konfigurací 802.1X:
User Mode: Tento režim umožňuje velmi snadnou konfiguraci a používá se v případech, kdy se uživatel připojí k síti z nabídky Wi‑Fi sítí a pak na výzvu zadá své ověřovací údaje. Uživatel musí přijmout certifikát X.509 serveru RADIUS a potvrdit důvěryhodnost připojení Wi-Fi.
System Mode: Systémový režim se používá k ověřování totožnosti počítačů. Ověřování totožnosti v systémovém režimu proběhne ještě před přihlášením uživatele k počítači. Systémový režim se obvykle konfiguruje tak, že zajišťuje ověření totožnosti pomocí certifikátu X.509 (EAP-TLS) vydaného místní certifikační autoritou.
System+User Mode: Kombinovaná konfigurace „systém+uživatel“ je obvykle součástí implementace s individuálním přiřazením, kdy se totožnost počítače ověřuje pomocí jeho certifikátu X.509 (EAP-TLS). Po přihlášení k počítači se může uživatel připojit k Wi-Fi síti z nabídky Wi-Fi sítí a pak zadá své přihlašovací údaje. Těmito přihlašovacími údaji může být uživatelské jméno a přístupové heslo (EAP-PEAP, EAP-TTLS) nebo uživatelský certifikát (EAP-TLS). Jakmile se uživatel přihlásí k síti, budou jeho přístupové údaje uloženy do svazku klíčů „přihlášení“ a mohou se používat pro budoucí připojení.
Login Window Mode: Tento režim se používá v případě, kdy má počítač vazbu na místní interní adresářovou službu, například Active Directory. Je‑li nakonfigurován režim přihlašovacího okna a uživatel v tomto okně zadá své uživatelské jméno a přístupové heslo, ověří se jeho totožnost pro počítač i síť metodou ověřování 802.1X. Režim přihlašovacího okna předá přihlašovací údaje – uživatelské jméno a heslo – jen při prvním zobrazení přihlašovacího okna. Pokud Mac přejde do režimu spánku a vyprší čas nečinnosti řadiče WLAN, bude nutné Mac nakonfigurovaný jen pomocí režimu přihlašovacího okna restartovat nebo se uživatel bude muset odhlásit. Potom může uživatel znovu zadat své uživatelské jméno a heslo.
Poznámka: Systémový režim, Systémový + uživatelský režim (vyžadovaný pro konfiguraci systémového režimu) a režim přihlašovacího okna vyžadují konfiguraci ve službě MDM. Nakonfigurujte nastavení datové části Network s použitím požadovaných parametrů Wi-Fi sítě a aplikujte je v relevantním rozsahu na zařízení nebo skupinu zařízení pro systémový režim.
802.1X a sdílené iPady
V sítích 802.1X je možné používat sdílené iPady. Další informace najdete v části Sdílený iPad a sítě 802.1X.