Wyse Management Suiteでの802.1x有線環境のベスト プラクティス

対象製品：

• Wyse Management Suite

影響を受けるプラットフォーム:

• OptiPlex 3000シン クライアント
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070シン クライアント
• Wyse 5470 All-in-Oneシン クライアント
• Wyse 5470モバイル シン クライアント

対象オペレーティング システム：

• Dell ThinOS

EAPネゴシエーションを成功させるために証明書が必要になることが多いため、802.1x有線環境へのエンドポイントの導入は困難になる場合があります。工場出荷時の状態にリセットすると、お客様がインストールした証明書を含む暗号化されたNVR参加のすべてのデータが消去されるため、ThinOSを使用する場合は、これがさらに複雑になります。以下は、802.1x有線環境でThinOSクライアントの自動導入または設定を有効にするための推奨戦略です。

セットアップ - お客様の環境の設定

リストされているデバイスは、次の動作を行うように設定する必要があります。

• スイッチ - Ciscoまたはその他のスイッチを使用している場合、セキュアvLANまたは非セキュアvLANを設定する必要があります。クライアントがEAPネゴシエーションを完了し、セキュアなvLANに接続するために必要な証明書がないかまたは設定になっていない場合、そのスイッチはクライアントを非セキュアvLANに接続する必要があります。
• WMSサーバー - お客様は、セキュアvLANと非セキュアvLANの両方からWMSサーバーにアクセスできることを確認する必要があります。パブリック クラウドのインストールではなくオンサイトを使用している場合、お客様は2台のWMSサーバーをセットアップすることができます。

• DHCP設定およびDNS設定 - セキュアvLANと非セキュアvLANの両方で、ThinOSをWMSサーバーおよび登録グループに接続するために必要な設定（DHCPオプションまたはDNSレコード）を有効にする必要があります。

ワークフロー - 工場出荷時のデフォルトの動作

1. ThinOSクライアントが初めてオンになったとき、または工場出荷時の状態にリセットした後に起動します
2. 802.1x EAPネゴシエーションが失敗する（設定または証明書がない）
3. スイッチは、ThinOSを非セキュアvLANにルーティングします。
4. ThinOSはDHCPを完了し、環境変数（DHCPオプション、DNSレコード）からWMS情報を取得します。
5. WMSサーバーおよび登録グループに接続されたThinOSは、セキュアなvLANに接続するために必要な802.1x構成と証明書を取得します
6. ThinOSが再起動します
7. 802.1x EAPネゴシエーションが成功します。
8. ThinOSはDHCPを完了し、環境変数（DHCPオプション、DNSレコード）からWMS情報を取得します。
9. WMSサーバーおよび登録グループに接続されたThinOSは、完全なクライアント設定と必要なすべてのサーバー証明書を取得します
10. 処理が完了します。
    
    注：Simple Certificate Enrollment Protocol (SCEP)は、この処理に統合できますが、自動導入では、SCEPサーバーがセキュアvLANと非セキュアvLANの両方に存在する必要があります。

ThinOS 9.x WMSグループ構成のSCEP設定

ThinOS 9.xを使用する場合、Wyse Management Suite for SCEPを設定するには、次の手順を実行します。

1. ［Enable Auto Enrollment］を［On］に設定します。
2. 必要に応じて、［Enable Auto Renew］を［On］に設定します。
3. ［Select Install CA Certificate］を［On］に設定します。
4. ［Country Name］を入力します。
5. ［State］を入力します。
6. 必要に応じて、［Location］を入力します。
7. 必要に応じて、［Organization］を入力します。
8. 必要に応じて、［Organization Unit］を入力します。
9. 必要に応じて、［Email Address］を入力します。
10. 電子署名の［Key Encipherment］と［Key Encipherment］を選択します。
11. ［Key Length］を選択します。
12. 必要に応じて、［Sub Alt Name］を入力します。
13. ［Common Name］を入力します。
14. ［Request URL］を入力します。
15. ［CA Certificate Hash Type］を選択します。
16. ［CA Certificate Hash］を入力します。
17. 必要に応じて、［Enrollment Password］を入力します。
18. ［Administrator URL］を入力します。
19. 必要に応じて、［Ignore Server Certificate Check］を［On］に設定します。
20. ［Admin User］を入力します。
21. ［Admin User Password］を入力します。
22. ［Admin User Domain］を入力します。
    
    注：

    • この画像は、$TN_Machine.localを共通名の例として示しています。$TNは、ThinOSのシステム環境変数です。$TNは、代替として端末名をマシン証明書に挿入し$SN使用することもできます。これにより、証明書名にサービス タグが追加されます。
    • ［Request URL］には、ご使用の環境内のSCEPサーバーへのパスを入力する必要があります。
    • ［CA Certificate Hash］の値は、[SCEPSERVER]/CertSrv/MSCEP_admin/ページにあります。
    • ［Administrator URL］は[SCEPSERVER]/CertSrv/MSCEP_admin/ページです。
    • ［Admin User］は、SCEPサービス アカウントです。

ThinOS 9.x 802.1x有線環境の設定 WMSグループ設定

WMSの場合:

1. [Advanced>Network Configuration] > [Ethernet Settings] > [802.1X Authentication Settings] > [Add Row] を選択します
2. 必要なものを選択します EAP 種類 > EAP-TLS
3. 正しいクライアント証明書ファイル名を入力してください
4. クライアント証明書の種類 [ユーザー] または [マシン] を選択します (通常、マシンに発行されます)
   • サーバー名 はオプションです(Radiusサーバー 名を使用する必要があります)
   • サーバー名を検証するには、[サーバーの検証]オプションと[サーバーのチェック]オプションを有効にする必要があります。
      
     注：

     • クライアント証明書ファイル名 には、次のものを含める必要があります scep_cert_ と .crt
     • 入力内容を誤ると、ログインできません。