Vzorové postupy pro kabelová prostředí 802.1x v sadě Wyse Management Suite

Dotčené produkty:

• Wyse Management Suite

Dotčené platformy:

• Tenký klient OptiPlex 3000
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Tenký klient Wyse 5070
• Tenký klient Wyse 5470 All-in-One
• Mobilní tenký klient Wyse 5470

Dotčené operační systémy:

• Dell ThinOS

Nasazení koncových bodů do kabelového prostředí 802.1x může být náročné, protože k úspěšnému vyjednávání EAP jsou často vyžadovány certifikáty. Při použití systému ThinOS je to dále komplikované, protože obnovení továrního provozu vymaže všechna data v šifrované účasti NVR včetně certifikátů nainstalovaných zákazníkem. Níže je uvedena doporučená strategie pro povolení automatického nasazení nebo konfigurace klientů ThinOS v kabelovém prostředí 802.1x.

Nastavení – konfigurace prostředí zákazníka

Uvedená zařízení by měla být nakonfigurována tak, aby měla následující chování:

• PŘEPÍNAČ – Pokud používáte přepínač Cisco nebo jiný, je třeba nakonfigurovat zabezpečenou a nezabezpečenou síť vLAN. Pokud klient nemá požadované certifikáty nebo konfigurace potřebné k dokončení vyjednávání EAP a připojení k zabezpečené síti vLAN, pak by měl přepínač směrovat připojení klienta na nezabezpečenou síť vLAN.
• Server WMS – Zákazníci by měli zajistit, aby k jejich serverům WMS bylo možné přistupovat ze zabezpečené i nezabezpečené sítě vLAN. Pokud používá místní instalaci namísto instalace veřejného cloudu, může se zákazník rozhodnout nastavit dva servery WMS.

• Konfigurace DHCP a DNS – Na zabezpečené i nezabezpečené síti vLAN by zákazníci měli povolit požadované konfigurace (možnosti DHCP nebo záznamy DNS), které systému ThinOS umožňují připojení k serveru WMS a registrační skupině.

Pracovní postup – výchozí tovární chování

1. Při prvním zapnutí klienta se systémem ThinOS nebo po obnovení továrního nastavení dojde ke spuštění
2. Vyjednávání 802.1x EAP selže (žádná konfigurace nebo certifikáty).
3. Přepínač nasměruje systém ThinOS na nezabezpečenou síť vLAN.
4. Systém ThinOS dokončí DHCP a získá informace WMS z proměnných prostředí (možnosti DHCP, záznamy DNS).
5. Systém ThinOS se připojí k serveru WMS a registrační skupině a načte konfigurace 802.1x a certifikáty, které jsou nutné k připojení k zabezpečené síti vLAN.
6. ThinOS se restartuje.
7. Vyjednávání 802.1x EAP proběhlo úspěšně.
8. Systém ThinOS dokončí DHCP a získá informace WMS z proměnných prostředí (možnosti DHCP, záznamy DNS).
9. Systém ThinOS se připojí k serveru WMS a registrační skupině a načte úplné konfigurace klienta a všechny požadované certifikáty serveru.
10. Proces je dokončen.
    
    Poznámka: Do tohoto procesu lze integrovat protokol SCEP (Simple Certificate Enrollment Protocol), automatické nasazení však vyžaduje, aby byl server SCEP přítomný na zabezpečené i nezabezpečené síti vLAN.

Nastavení SCEP pro konfiguraci skupiny systému ThinOS 9.x WMS

Konfigurace sady Wyse Management Suite pro SCEP při používání systému ThinOS 9.x:

1. Nastavte možnost Enable Auto Enrollment na hodnotu On.
2. Volitelně nastavte možnost Enable Auto Renew na hodnotu On.
3. Nastavte možnost Install CA Certificate na hodnotu On.
4. Vyplňte pole Country Name.
5. Vyplňte pole State.
6. Volitelně vyplňte pole Location.
7. Volitelně vyplňte pole Organization.
8. Volitelně vyplňte pole Organization Unit.
9. Volitelně vyplňte pole Email Address.
10. Jako Key Usage vyberte možnost Digital Signature a Key Encipherment.
11. Zvolte z výběru možnosti Key Length.
12. Volitelně vyplňte pole Sub Alt Name.
13. Vyplňte pole Common Name.
14. Vyplňte pole Request URL.
15. Zvolte z výběru možnosti CA Certificate Hash Type.
16. Vyplňte pole CA Certificate Hash.
17. Volitelně vyplňte pole Enrollment Password.
18. Vyplňte pole Administrator URL.
19. Volitelně nastavte možnost Ignore Server Certificate Check na hodnotu On.
20. Vyplňte pole Admin User.
21. Vyplňte pole Admin User Password.
22. Vyplňte pole Admin User Domain.
    
    Poznámka:

    • Obrázek zobrazuje $TN_Machine.local jako příklad hodnoty Common Name. $TN je systémová proměnná prostředí systému ThinOS. $TN vloží název terminálu do certifikace stroje jako alternativu$SN lze také použít; Tím se k názvu certifikátu přidá výrobní číslo.
    • Adresa URL požadavku by měla poskytnout cestu k serveru SCEP ve vašem prostředí.
    • Hodnota hash certifikátu CA se nachází na stránce [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Adresa URL správce je stránka [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Admin User je servisní účet SCEP.

Nastavení drátového prostředí ThinOS 9.x 802.1x Konfigurace skupiny WMS

Ve WMS:

1. Zvolte možnost Upřesnit>konfiguraci> sítě, Nastavení> sítě Ethernet, Nastavení ověřování> 802.1X , Přidat řádek.
2. Vyberte potřebné EAP typ > EAP-TLS
3. Zadejte správný název souboru klientského certifikátu.
4. Vyberte typ klientského certifikátu : Uživatel nebo počítač (obvykle vydaný počítači)
   • Název serveru je volitelný (měl by být použit název serveru Radius ).
   • Pro ověření názvu serveru musí být povoleny možnosti Ověřit server a Zkontrolovat server.
      
     Poznámka:

     • Název souboru certifikátu klienta musí obsahovat scep_cert_ a .crt
     • Pokud jsou údaje zadány chybně, přihlášení není možné.