Podkast 23T13 802.1x na MacOS

WERSJA TEKSTOWA

Cześć, witam cię w dzisiejszym odcinku mojego podcastu. Temat to podłączanie urządzeń z macOS czyli na przykład MacBooków do sieci 802.1x. Jeżeli realizujesz u siebie w firmie taki poziom zabezpieczenia jak system NAC z uwierzytelnianiem 800x i masz w swojej sieci urządzenia iOS to oczywiście w przypadku sieci bezprzewodowej to nie jest jakiś większy problem tam jest to domyślnie włączone. Wystarczy tylko odpowiednio skonfigurować dane użytkownika żeby się podłączyć, to o tyle w przypadku laptopów i interfejsów LAN czyli takiego kablowego podłączenia. Nie da się tego skonfigurować od razu z punktu widzenia użytkownika.

Jakie są więc opcje? W Apple wymyślono coś takiego jak profile konfiguracyjne i to są pliki xml’owe, które mówią urządzeniu czy systemowi operacyjnemu jak powinien być podłączony dany komputer do sieci żeby można było się podłączyć. Tych profili oczywiście można mieć wiele, tak samo jak w przypadku sieci bezprzewodowej ale nie można takiego profilu stworzyć bezpośrednio z konfiguracji interfejsu. Czyli jak wejdziemy w macOS w konfiguracji interfejsu i chcielibyśmy dodać jakieś dane, tak jak w Windowsie to robimy z punktu widzenia użytkownika, to nie ma takiej możliwości.

Trzeba albo zainstalować specjalny program Apple Configurator i on jest dostępny bezpłatnie. Pobierzesz go w Apple Store. To jest rozwiązanie, które się dobrze sprawdza w przypadku takich sytuacji, gdzie mamy jeden komputer lub cztery komputery na firmę i możemy je ręcznie skonfigurować. Tak, żeby nam to odpowiadało do konfiguracji naszej sieci 802.1x. Jeżeli tego nie zrobimy to pozostaje nam jedynie Mac authentication, ewentualnie z jakimś profilowaniem, co nie jest bez wątpienia najlepsze rozwiązanie. Jeżeli już mamy wdrożone to 802.1x to wtedy najlepiej wykorzystywać ten mechanizm do wszystkich urządzeń, które mamy w sieci.

Oczywiście ponieważ nie jest to specjalnie popularne to firma Apple stwierdziła, że jeżeli chodzi o komputery to takiej możliwości, przynajmniej takiej bardzo prostej, nie daje. Jeżeli chcielibyśmy to zarządzać, te rozwiązania macOS’a, w takiej formie bardziej zorganizowanej, grupowej, to jest oczywiście taka możliwość. Wtedy trzeba korzystać z jakiegoś rozwiązania MDM’owego i kiedyś była taka możliwość, że był menager ze strony Apple ale on już nie jest kontynuowany, nie jest rozwijany. W związku z tym bezpośrednie zarządzanie grupą urządzeń końcowych i dodawanie tych profili jest konieczne przez dodawanie narzędzia MDM’owego.

Są to różne narzędzia – od bezpłatnych w jakimś podstawowym zakresie – do płatnych. Tu z tego co tak szybko sprawdziłem, to mniej więcej waha się ta cena za urządzenie około 10 dolarów na miesiąc. Tak to często jest wyceniany, jeżeli chodzi o zarządzanie tymi urządzeniami. Jeżeli mamy takie rozwiązanie, to najczęściej logujemy się gdzieś do jakiegoś systemu, często chmurowego aczkolwiek są też systemy on-premis. W zależności od tego jakie są twoje oczekiwania. Wtedy mając te pliki przygotowane xml’owe, możemy na poszczególne urządzenia je wysyłać za pośrednictwem tych urządzeń czy tych rozwiązań MDM’owych.

Cała koncepcja dostępu 802.1x jest oparta najczęściej o użytkownika i hasło albo certyfikaty. Tutaj jest troszeczkę inaczej w przypadku macOS’u w stosunku do Windowsów. W Windowsie jest tak, że jest uwierzytelnienie maszyny i jest uwierzytelnianie użytkownika. Nie musimy oczywiście wszystkiego używać ale używanie obu tych trybów jest najczęściej najbardziej korzystne. Dlatego, że jeżeli chcemy aktualizować na przykład z domeny system Windowsowy i nie ma tam żadnego zalogowanego użytkownika, to przy logowaniu maszyną jesteśmy w stanie w jakimś ograniczonym profilu aktualizować ustawienia domenowe.

Po to został wymyślony ten tryb uwierzytelnia maszyny w przypadku rozwiązań Microsoftu. W przypadku rozwiązań Apple nie ma czegoś takiego, w związku z tym najczęściej też będziemy potrzebować stworzenia nowego serwisu w naszym systemie Radiusowym, który będzie obsługiwał ten typ zachowania się urządzenia końcowego. Jeżeli chodzi o Windows’y to oczywiście rekomenduje używanie tipa albo odpowiednika tej metody. Czyli w jednej takiej sesji uwierzytelniania mamy jednocześnie zrealizowaną sesję uwierzyteleniania maszyny i użytkownika.

W zależności od tego jaki wynik tych uwierzytelnień dwuetapowych będzie, to taki profil możemy przypisać. W przypadku Maca nie mamy takiej możliwości w związku z tym nie możemy wykorzystać tej samej metody, musimy stworzyć inny serwis i przypisać inną metodę albo w tym samym serwisie spróbować przypisać inną metodę. Moje doświadczenie pokazuje, że lepiej to zrobić w osobnym serwisie, tak żeby mieć większą jasność tego, co się dzieje na wypadek debagowania ewentualnego problemu.

Więc jeżeli chcesz podłączyć te urządzenia Mac’owe a najczęściej to są takie sytuacje, że większość jest końcówek w oparciu o Windowsa a część tych maszyn, tych laptopów jest MacOS dla jakiegoś zarządu, dla jakiegoś prezesa i kilku osób i w zależności od wielkości firmy jeżeli to jest mała ilość tych końcówek, to można to zrobić po prostu na każdym laptopie osobno, ręcznie a jeżeli tych końcówek jest więcej i chcielibyśmy to zarządzać grupowo, wspólnie, to wtedy jakieś rozwiązanie MDM’owe.

Jeżeli oczywiście mamy takie rozwiązanie MDM’owe, to możemy nim zarządzać również Windows’y i jest to rozwiązanie najbardziej korzystne, tak żebyśmy mieli jeden system zarządzania end point’ami wszelkiego rodzaju. Czyli telefonami komórkowymi, komputerami z Windowsem, komputerami z MacOS’em. Wszystko co potrzebujemy w jednym miejscu, tylko inne oczywiście przygotowujemy konfigurację i inne przygotowujemy profile tak, żeby nam odpowiednio pasowały do serwisów które mamy skonfigurowane na naszym serwerze Radius. Na dzisiaj to tyle, dziękuję ci za uwagę i do usłyszenia już za tydzień.