Bedste praksis for kabelforbundne 802.1x-miljøer i Wyse Management Suite

Berørte produkter:

• Wyse Management Suite

Berørte platforme:

• OptiPlex 3000 tynd klient
• OptiPlex 5400 All-in-One
• OptiPlex 7410 all-in-one
• OptiPlex 7420 all-in-one
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 all-in-one tynde klienter
• Wyse 5470 mobil tynd klient

Påvirkede operativsystemer:

• Dell ThinOS

Udrulning af slutpunkter i et kabelforbundet 802.1x-miljø kan være udfordrende, da certifikater ofte kræves for at gennemføre en vellykket EAP-forhandling. Dette kompliceres yderligere, når du bruger ThinOS, da en nulstilling til fabriksdrift sletter alle data i den krypterede NVR-deltagelse, herunder kundeinstallerede certifikater. Nedenfor er en anbefalet strategi til at aktivere automatisk implementering eller konfiguration af ThinOS-klienter i et 802.1x-kabelbaseret miljø.

Opsætning – Konfiguration af kundemiljø

De anførte enheder skal konfigureres til at have følgende funktionsmåder:

• SWITCH - Hvis du bruger en Cisco eller anden switch, skal der konfigureres en sikker og usikker vLAN. Hvis klienten ikke har de nødvendige certifikater eller konfigurationer, der kræves for at fuldføre EAP-forhandlingen og tilslutte til det sikre vLAN, skal switchen vedhæfte dirigere klienten til et usikkert vLAN.
• WMS-server – Kunderne skal sikre, at der er adgang til deres WMS-servere fra både den sikre og den usikre vLAN. Hvis du bruger en onsite-installation i stedet for en offentlig cloud-installation, kan kunden vælge at installere to WMS-servere.

• DHCP- og DNS-konfigurationer – På både den sikre og den usikre vLAN skal kunderne aktivere de nødvendige konfigurationer (DHCP-indstillinger eller DNS-poster), som gør det muligt for ThinOS at tilslutte til WMS-serveren og -registreringsgruppen.

Arbejdsforløb – Fabriksstandardfunktionsmåde

1. Når en ThinOS-klient tændes for første gang eller efter en fabriksnulstilling, starter den op
2. 802.1x EAP-forhandling mislykkes (ingen konfiguration eller certifikater)
3. Skift ruter ThinOS til et usikkert vLAN.
4. ThinOS fuldfører DHCP og henter WMS-oplysninger fra miljøvariabler (DHCP-indstillinger, DNS-poster).
5. ThinOS er tilknyttet WMS-serveren og registreringsgruppen og henter 802.1x-konfigurationer og de certifikater, der skal tilsluttes det sikre vLAN
6. ThinOS genstarter
7. 802.1x EAP-forhandling lykkes.
8. ThinOS fuldfører DHCP og henter WMS-oplysninger fra miljøvariabler (DHCP-indstillinger, DNS-poster).
9. ThinOS er tilknyttet WMS-serveren og registreringsgruppen og henter komplette klientkonfigurationer og alle nødvendige servercertifikater
10. Processen er nu fuldført.
    
    Bemærk: SCEP (Simple Certificate Enrollment Protocol) kan integreres i denne proces, men automatisk implementering kræver, at SCEP-serveren findes på både det sikre og det usikre vLAN.

SCEP-indstillinger for ThinOS 9.x WMS-gruppekonfiguration

Sådan konfigureres Wyse Management Suite til SCEP, når du bruger ThinOS 9.x:

1. Angiv Aktivér automatisk tilmelding til Til.
2. Du kan også indstille Aktivér automatisk fornyelse til Til.
3. Angiv Vælg Installer CA-certifikat til Til.
4. Udfyld et landenavn.
5. Befolke en stat.
6. Du kan også udfylde en placering.
7. Du kan også udfylde en organisation.
8. Du kan også udfylde en organisationsenhed.
9. Du kan også udfylde en mailadresse.
10. Vælg en nøgleanvendelse af digital signatur og nøglekryptering.
11. Vælg nøglens længde.
12. Du kan også udfylde et Sub Alt-navn.
13. Udfyld et almindeligt navn.
14. Udfyld en anmodningswebadresse.
15. Vælg en CA-certifikathashtype.
16. Udfyld CA-certifikathashen.
17. Du kan også udfylde en tilmeldingsadgangskode.
18. Udfyld administratorens URL-adresse.
19. Du kan også indstille Ignore Server Certificate Check til Til.
20. Udfyld administratorbrugeren.
21. Udfyld administratorbrugeradgangskoden.
22. Udfyld administratorbrugerdomænet.
    
    Bemærk:

    • På billedet vises $TN_Machine.local som eksempel på Common Name. $TN er en systemmiljøvariabel for ThinOS. $TN indsætter terminalnavnet i maskincertificeringen som et alternativ $SN også kan anvendes; Dette vil føje servicekoden til certifikatnavnet.
    • URL-adressen til anmodningen bør angive en sti til SCEP-serveren i dit miljø.
    • CA Certificate Hash-værdien findes på siden [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Administratorens URL-adresse er siden [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Administratorbrugeren er SCEP-tjenestekontoen.

ThinOS 9.x 802.1x-indstillinger for kablet miljø WMS-gruppekonfiguration

I WMS:

1. Vælg avanceret>netværkskonfiguration>Ethernet-indstillinger>802.1X-godkendelsesindstillinger>Tilføj række
2. Vælg det ønskede EAP slags > EAP-TLS
3. Indtast det korrekte filnavn på klientcertifikatet
4. Vælg klientcertifikattype bruger eller maskine (udstedes normalt til maskine)
   • Servernavn er valgfrit (Radius-servernavn skal bruges)
   • Indstillingerne Valider server og Kontroller server skal være aktiveret for validering af servernavn.
      
     Bemærk:

     • Klientcertifikatfilnavnet skal indeholde scep_cert_ og .crt
     • Hvis oplysninger indtastes forkert, er login ikke muligt.