Mac OS X 10.5：如何配置 802.1X 的网络偏好设置.docx

Mac OS X 10.5：如何配置 802.1X 的网络偏好设置 上次修改时间: 15 一月, 2010 文章: HT3326摘要802.1X 标准设计用于通过防止未经授权的设备访问网络，来增强局域网的安全性。该标准支持多种鉴定方法，包括 TLS、EAPFAST、TTLS、LEAP、MD5 和 PEAP（MSCHAPv2、MD5、GTC）。如果您身处教育或商业环境，就可能需要连接受 802.1X 标准保护的无线 (IEEE 802.11) 或以太网 (IEEE 802.3) 网络。在受 802.1X 保护的环境中，电脑在通过鉴定后才能访问网络服务（例如，电子邮件或 Internet）。受影响的产品AirPort, Mac OS X 10.5在配置 Mac OS X 中的 802.1X 设置之前，可能需要先了解下列信息。 用户名 密码 无线网络名称（区分大小写） 鉴定方法和选项 如果使用的是 TLS，还需要有用户证书/专用密钥对，这通常以 .p12 文件 (PKCS12) 形式提供。在此情况下，应让 IT 部门来为您配置电脑。如果不是很清楚，请询问网络管理员来了解配置 802.1X 时要知道上述哪些信息。我应该使用哪个 802.1X 描述文件？“网络”偏好设置中共有三个 802.1X 描述文件选项： 用户描述文件 登录窗口描述文件 系统描述文件注：负责电脑鉴定的 802.1X RADIUS 服务器并不知道您所使用的 802.1X 描述文件类型。用户、登录窗口和系统描述文件对 RADIUS 服务器是透明的，而且是 Mac OS X 所特有的。不论使用的是何种描述文件，电脑和 RADIUS 服务器之间所进行的处理都是相同的。需要注意的是，802.1X 描述文件存在一个优先顺序。如果有多种描述文件类型，则系统描述文件优先于登录窗口描述文件，而后者又优先于用户描述文件。如果已在所在位置配置了系统描述文件，则请勿向相同位置添加用户描述文件或登录窗口描述文件。关于“用户”描述文件选项如果不清楚要添加哪种描述文件，请使用此选项（视为默认选项）。此模式之所以称作“用户”，是因为 802.1X 会话是以用户的身份运行的，并可与用户进行交互来提示输入缺失信息，如证书信任和名称和/或密码。关于“登录窗口”描述文件选项此模式之所以称作“登录窗口”，是因为 802.1X 会话起源于登录窗口，并且使用的是在登录窗口输入的凭证。进行网络鉴定和目录服务用户鉴定时使用的都是同一凭证。在登录屏幕中，用户输入用户名和密码。如果“登录窗口”找不到使用该用户名的本地用户帐户，即会使用同一用户名和密码启动 802.1X 会话，而在使用 802.11 网络时，则会关联到无线网络。802.1X 鉴定完成后，“登录窗口”会对用户就目录服务进行鉴定。如果鉴定成功，用户即会登录。用户注销时，“登录窗口”会检查其启动的是否是 802.1X 会话；如果是，则会停止 802.1X 会话，而如果是 802.11 网络，则会取消与该网络的关联。如果无任何人登录，则不会运行任何 802.1X 会话，也不会加入任何 802.11 网络。该 Mac 在经过鉴定的网络上不可用。此模式通常为企业环境所青睐，以便通过受管理的计算技术和一项或多项目录服务来远程掌控和管理电脑和用户帐户。注：登录窗口描述文件仅支持网络、外部或移动帐户。本地帐户忽略任何登录窗口描述文件，因此将不会连接到 802.1X 保护的网络。每个位置可配置多个登录窗口描述文件。关于“系统”描述文件选项此模式之所以称作“系统”，是因为只要启用此模式，Mac OS X 即会自动进行网络鉴定。也就是说，即使无任何人登录，电脑也将进行网络鉴定，而不论之后登录的是何种用户帐户。如果不管是否有人登录，电脑都需要连接网络，那么这将非常有用。在电脑实验室以及其他类似环境中，系统管理员需要同时更新大量电脑，此时这可能是最佳方法。每个位置只能配置系统描述文件的一个实例。如果向同一位置添加用户描述文件或登录窗口描述文件，系统将会忽略，因为系统描述文件具有最高优先级。关于证书的说明证书必须满足服务器和客户端上的特定要求，才能实现成功鉴定。802.1X 所涉及的证书类型有两种：服务器证书和用户证书。服务器证书连接 802.1X 网络时，可能会跳出一个证书信任对话框，询问是否要继续进行服务器鉴定。在该对话框中，可选择永久信任该证书，或仅点按“继续”以进行单次鉴定。证书信任对话框的用途之一就是在服务器提交未明确信任的证书时通知用户。其另一用途就是可以让用户检查证书，以确保证书适用于所进行鉴定的网络。请务必仔细检查证书，而不可盲目接受。他人有可能利用其自己的证书设置欺骗访问点；这时如果继续进行鉴定，欺骗访问点则可从鉴定交换取得用户密码。证书包含有 SHA-1 和 MD-5 指纹，用于对证书进行唯一标识。验证列表中的各证书；如果对证书的有效性非常确定，请选择信任证书。如果对此并不确定，请向系统管理员咨询，然后再继续。用户证书证书的类型有很多种，包括： Safari（SSL/TLS 客户端鉴定） Mail（签名/加密邮件） iChat（加密聊天） MobileMe 和回到我的 Mac（文件和屏幕共享） Xcode（代码签名） Kerberos（本地 KDC 签名）和 802.1X（服务器和客户端鉴定）。在为 802.1X 配置选择证书时，必须确保证书是专用于访问该 RADIUS 服务器的。如何判断此位置上用于 802.1X 网络的是哪个证书（许可证）？您必须使用该位置上针对 802.1X 网络而专门安装或提供用于安装的证书。随 EAP/TLS 使用的证书必须是鉴定基础结构已知的，且通常与鉴定域内的用户相关联。如何获取 802.1X 许可证？网络管理员将会告诉您怎样获取证书。获取证书的方式有多种，无法一一加以说明。有些方法使用基于 Web 的界面来获取与用户帐户相关联的证书。有些方法则包括发送电子邮件到证书代理的电子邮件地址。无论是使用 Web 还是电子邮件，该过程都包括： 从 Mac OS X 的证书助理中生成专用密钥和证书签名请求 (CSR) 等 将 CSR 提交给 CA CA 给 CSR 加上签名并颁发证书 将证书导入到钥匙串中以在专用密钥和证书之间建立连接请务必注意拥有专用密钥的证书（通常称作“身份证书”）与一般证书之间的区别。证书是公共密钥基础结构的公共部分，可让他人验证您是否持有专用密钥。专用密钥则仅由相当于证书主体的实体持有，且必须存储在安全位置。此外，您也可能已持有 PKCS12（.p12、.pfx）文件形式的身份证书（证书 + 专用密钥）。此文件可通过连按来直接导入到钥匙串中。关于 EAPOL 鉴定类型Mac OS X 共支持六种 EAPOL 鉴定类型，具体如下。除非得到系统管理员的指示，否则不应对下列类型的可用选项进行更改。TTLS MSCHAPv2 MSCHAP CHAP PAPPEAP 外部身份（可选）TLS 需要一个证书EAPFAST 外部身份（可选） 使用保护访问凭证 (PAC) 自动预置 PAC 允许匿名 PAC 预置LEAP 无MD5 有线以太网连接的鉴定类型如何连接受 802.1X 保护的网络从下列 802.1X 描述文件中进行选取，然后按说明在所需网络服务的“网络”偏好设置中输入信息。管理员（电脑上任何具有管理员级别特权的用户帐户）可创建有效的 802.1X 描述文件。虽然没有必要为用户描述文件创建网络位置，但这在登录窗口和系统 802.1X 配置中将非常有用。如果真的创建了位置，请记住在位于该位置时将其选中。在下方示例中，可以看到某用户已为纽约和伦敦办公室创建了位置。每个位置都有其自身针对该特定位置而配置的 802.1X 描述文件。如果 802.1X 网络的现有配置不起作用1. 如果使用的是登录窗口描述文件或系统描述文件，请连接到网络，然后使用“目录实用工具”来确保已绑定到网络个人和鉴定所需的适用服务器，如 Open Directory (OD) 或 Active Directory (AD)。 这通常由 IT 系统管理员通过有线以太网网络连接来完成。 对于 Open Directory，则可能不需要进行绑定，因为 Mac OS X 支持匿名绑定，而 OD 信息可通过 DHCP 进行发送。这意味着只要 802.1X 鉴定能成功而又配置使用 DHCP 服务器来发送 OD 服务器数据，则可使用 OD 帐户创建连接和登录。2. 删除所有之前的 802.1X 描述文件。3. 从描述文件钥匙串条目中删除所有现有的 802.1X 证书。4. 对于 802.1X 无线网络，请从“网络系统偏好设置”下的“首选网络”列表中删除之前的 AirPort 网络。5. 然后，选取并按照下列步骤添加相应的 802.1X 描述文件。添加用户描述文件添加 802.1X 用户描述文件的推荐方法如果将使用 TLS 鉴定，则在进行其他操作之前需先安装用户证书/专用密钥对。建议由系统管理员来执行此操作。1. 选取 Apple 系统偏好设置 网络。2. 从网络连接服务列表中选择相应的网络服务（如以太网或 AirPort）进行设置，然后点按“高级”。3. 点按“802.1X”标签。4. 点按描述文件列表底部的“添加 (+)”，然后选取“添加用户描述文件”。（如果需要，可将默认描述文件名称重命名为其他名称。）5. 除非使用的是 TLS，否则请输入系统管理员提供的帐户用户名和密码。6. 如果设置的是“无线”802.1X 连接，请从“无线网络”弹出式菜单中选取一个网络。如果无线网络名称 (SSID) 是隐藏的，则需手动将其准确键入。名称区分大小写。7. 为网络选择并配置相应的 EAP 鉴定类型。默认配置为 PEAP 和 TTLS。8. 点按“好”以存储该描述文件。9. 点按“应用”以存储 802.1X 配置。10. 如果证书是由不受信任的 CA 颁发的，则系统可能会提示您信任来自服务器的证书；在此情况下，您将会看到登录钥匙串中添加了一个新条目。11. 系统将会要求您输入管理员密码，以便为该证书设置所需级别的信任。12. 如果希望系统能在从睡眠状态唤醒后重新加入网络，则还需确保在“首选网络”列表中将该网络选中（或者选中“记住网络”选项）。注：请勿添加登录窗口描述文件或系统描述文件，因为其优先级要高于用户描述文件。用户描述文件无位置区别，而按用户进行区分。可根据需要添加更多用户描述文件。添加登录窗口描述文件添加 802.1X 登录窗口描述文件的推荐方法如果将使用 TLS 鉴定，则在进行其他操作之前需先安装用户证书/专用密钥对。建议由系统管理员来执行此操作。1. 连接到网络，然后使用“目录实用工具”来确保已绑定到网络个人和鉴定所需的适用服务器，如 Open Directory (OD) 或 Active Directory (AD)。 这通常通过有线以太网网络连接来完成。 对于 Open Directory，则可能不需要进行绑定，因为 Mac OS X 支持匿名绑定，而 OD 信息可通过 DHCP 进行发送。这意味着只要 802.1X 鉴定能成功而又配置使用 DHCP 服务器来发送 OD 服务器数据，则可使用 OD 帐户创建连接和登录。2. 选取 Apple 系统偏好设置 网络。3. 从“位置”弹出式菜单中，选择“编辑位置”。4. 点按“位置”底部的“添加 (+)”，创建新位置并进行命名以方便记忆此位置的代表意义，然后点按“完成”。5. 从网络连接服务列表中选择相应的网络服务（如以太网或 AirPort）进行设置，然后点按“高级”。6. 点按“802.1X”标签。7. 点按描述文件列表底部的“添加 (+)”，然后选取“添加登录窗口描述文件”。（如果需要，可对未命名描述文件进行重命名。）8. 将“用户名”或“密码”留为空白。虽然设置用户名和密码并不会影响连接，但那完全是多余的。若点按“应用”，则系统将会在首次连接服务器时要求输入用户名和密码，而之后将不再需要。9. 从“无线网络”弹出式菜单中选取一个网络。如果设置的是“无线”802.1X 连接，而无线网络名称 (SSID) 是隐藏的，则需手动将其准确键入。名称区分大小写。10. 为网络选择并配置相应的 EAP 鉴定类型。默认配置为 PEAP 和 TTLS。请注意，EAP-FAST 与登录窗口模式不兼容。11. 点按“好”以存储该描述文件。12. 点按“应用”以存储 802.1X 配置。13. 如果证书是由不受信任的 CA 颁发的，则系统可能会提示您信任来自服务器的证书；在此情况下，您将会看到登录钥匙串中添加了一个新条目。14. 系统将会要求您输入管理员密码，以便为该证书设置所需级别的信任。15. 如果希望系统能在从睡眠状态唤醒后重新加入网络，则还需确保在“首选网络”列表中将该网络选中（或者选中“记住网络”选项）。注：请勿向此位置添加用户描述文件或系统描述文件。不过，可根据需要添加更多登录窗口描述文件。添加系统描述文件添加 802.1X 系统描述文件的推荐方法如果将使用 TLS 鉴定，则在进行其他操作之前需先酌情安装用户或系统证书/专用密钥对。建议由系统管理员来执行此操作。1. 连接到网络，然后使用“目录实用工具”来确保已绑定到网络个人和鉴定所需的适用服务器，如 Open Directory (OD) 或 Active Directory (AD)。 这通常通过有线以太网网络连接来完成。 对于 Open Directory，则可能不需要进行绑定，因为 Mac OS X 支持匿名绑定，而 OD 信息可通过 DHCP 进行发送。这意味着只要 8