Pripojenie Apple zariadení k sieťam 802.1X
Apple zariadenia môžete bezpečne pripájať k sieťam štandardu 802.1X vašej organizácie. Môžete použiť pripojenie cez Wi-Fi a Ethernet.
Profil zariadenia | Spôsob pripojenia | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 alebo novší) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 alebo novší) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3. generácia) Wi-Fi | Wi-Fi Ethernet (tvOS 17 alebo novší) | ||||||||||
Apple TV 4K (3. generácia) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 alebo novší) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Počas vyjednávania 802.1X server RADIUS automaticky predloží svoj certifikát žiadajúcemu zariadeniu. Žiadateľ musí certifikátu servera RADIUS dôverovať, pričom táto dôvera môže byť ukotvená buď ku konkrétnemu certifikátu, alebo k zoznamu očakávaných hostiteľských názvov, ktorému musí hostiteľ certifikátu vyhovieť. Aj keď certifikát vystavila známa certifikačná autorita a je uvedený v dôveryhodnom koreňovom úložisku na zariadení, musí byť tiež považovaný za dôveryhodný na konkrétny účel. V tomto prípade musí byť certifikát servera označený ako dôveryhodný pre účely služby RADIUS. To je možné vykonať buď manuálne, keď sa užívateľovi pri pripájaní k podnikovej sieti zobrazí otázka, či dôveruje certifikátu pre pripojenú Wi-Fi sieť, alebo v konfiguračnom profile.
Reťazec dôvery certifikátov nie je potrebné vytvoriť v rovnakom profile, aký obsahuje konfiguráciu 802.1X. Správca sa môže napríklad rozhodnúť implementovať certifikát dôvery danej organizácie v samostatnom profile a konfiguráciu 802.1X v ďalšom samostatnom profile. Týmto spôsobom je možné spravovať úpravy v niektorom z týchto profilov nezávisle od seba.
Konfigurácia 802.1X môže okrem iných parametrov tiež určovať:
EAP types:
For user name–based and password-based EAP types (such as PEAP): Užívateľské meno alebo heslo je možné poskytnúť v profile. Ak tam nie sú poskytnuté, užívateľ bude vyzvaný na ich zadanie.
Pre typy EAP založené na identite certifikátov (napríklad EAP-TLS): Vyberte objem dát, ktorý obsahuje identitu certifikátu na overenie. Môžete použiť objem dát Certifikát Active Directory (len v systéme macOS), objem dát ACME, súbor certifikátu identity PKCS #12 (.p12 alebo .pfx) v objeme dát Certifikáty alebo objem dát SCEP. Ako identitu odozvy EAP, ktorú zasielajú serveru RADIUS počas vyjednávania protokolu 802.1X, systémy iOS, iPadOS a macOS pri odosielaní požiadaviek štandardne používajú všeobecný názov certifikačnej identity. Viac informácií nájdete v téme Spôsoby nasadenia certifikátov pomocou objemov dát MDM.
Dôležité: Zariadenia so systémami iOS 17, iPadOS 17 a macOS 14 teraz podporujú pripojenie k sieťam 802.1X pomocou protokolu EAP-TLS s TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: Zdieľaný iPad používa rovnaké prihlasovacie údaje protokolu EAP pre všetkých užívateľov.
Trust:
Trusted certificates: Ak bol listový certifikát servera RADIUS dodaný v objeme dát Certifikáty v rovnakom profile, aký obsahuje aj konfiguráciu 802.1X, správca ho tu môže vybrať. Klient-žiadateľ sa tým nastaví na pripojenie len k sieti 802.1X, pričom server RADIUS poskytne v tomto zozname jeden z certifikátov. Pri takejto konfigurácii je pripojenie 802.1X kryptograficky spojené s konkrétnymi certifikátmi.
Trusted server certificate names: Toto pole použite na konfiguráciu žiadateľa na pripojenie len k serverom RADIUS poskytujúcim certifikáty zhodné s týmito názvami. Toto pole podporuje náhradné znaky; napríklad *.betterbag.com bude očakávať všeobecná názvy radius1.betterbag.com a radius2.betterbag.com. Náhradné znaky poskytujú správcom viac flexibility v prípade zmien serverov RADIUS alebo certifikačných autorít.
802.1X konfigurácie pre Mac
V prihlasovacom okne systému macOS môžete tiež použiť autentifikáciu WPA/WPA2/WPA3 Enterprise, takže užívateľ sa prihlási, aby sa autentifikoval do siete. Sprievodca nastavením systému macOS podporuje aj autentifikáciu 802.1X, pričom prihlasovacie meno užívateľa a heslo používajú protokoly TTLS alebo PEAP. Ďalšie informácie nájdete v článku podpory Apple Používanie režimu prihlasovacieho okna pre autentifikáciu 802.1X v sieti.
Typy 802.1X konfigurácií:
User Mode: Tento režim, ktorý má najjednoduchšiu konfiguráciu, sa používa vtedy, keď sa užívateľ pripojí k sieti z menu Wi-Fi a po zobrazení výzvy sa autentifikuje. Užívateľ musí prijať certifikát X.509 servera RADIUS a nastaviť Wi-Fi pripojenie ako dôveryhodné.
System Mode: Režim systému sa používa na autentifikáciu počítačov. Autentifikácia používajúca režim systému sa zobrazí ešte pred prihlásením užívateľa do počítača. Režim systému sa bežne konfiguruje na poskytovanie autentifikácie pomocou X.509 certifikátu počítača (EAP-TLS), ktorý vydala miestna certifikačná autorita.
System+User Mode: Konfigurácia systém+užívateľ je často súčasťou nasadenia jeden na jedného, kedy sa počítač autentifikuje pomocou X.509 certifikátu (EAP-TLS). Po prihlásení užívateľa do počítača sa užívateľ môže pripojiť k Wi-Fi sieti z menu Wi-Fi a zadať svoje prihlasovacie údaje. Prihlasovacími údajmi môžu byť užívateľské meno a heslo (EAP-PEAP, EAP-TTLS) alebo užívateľský certifikát (EAP-TLS). Po prihlásení užívateľa k sieti sa jeho prihlasovacie údaje uložia do kľúčenky prihlásenia a budú použité pri prihlásení do siete v budúcnosti.
Login Window Mode: Tento režim sa používa vtedy, keď je počítač previazaný s lokálne hostenou službou adresára, napríklad s Active Directory. Keď je nakonfigurovaný režim prihlasovacieho okna, autentifikácia užívateľa na prístup do počítača a do siete prebehne s použitím autentifikácie 802.1X. Režim prihlasovacieho okna poskytne užívateľské meno a heslo len pri prvom zobrazení prihlasovacieho okna. Ak Mac prejde do režimu spánku a vyprší čas nečinnosti ovládača WLAN siete, Mac nakonfigurovaný len do režimu prihlasovacieho okna sa musí reštartovať alebo sa musí užívateľ odhlásiť. Užívateľ môže potom znova zadať svoje užívateľské meno a heslo.
Poznámka: Systémový režim, režim systém+užívateľ (vyžadované pre konfiguráciu Systémový režim) a Režim prihlasovacieho okna vyžadujú konfiguráciu riešením MDM. Nakonfigurujte nastavenie objemu dát Sieť s použitím požadovaných parametrov Wi-Fi siete a aplikujte ich v relevantnom rozsahu na zariadenie alebo skupinu zariadení pre režim systému.
802.1X a zdieľané iPady
V sieťach 802.1X je možné používať zdieľané iPady. Viac informácií nájdete v téme Zdieľaný iPad a siete 802.1X.