Best Practices für kabelgebundene 802.1x-Umgebungen in der Wyse Management Suite

Betroffene Produkte:

• Wyse Management Suite

Betroffene Plattformen:

• OptiPlex 3000 Thin Client
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 All-in-One Thin Client
• Mobiler Wyse 5470 Thin Client

Betroffene Betriebssysteme:

• Dell ThinOS

Die Bereitstellung von Endpunkten in einer kabelgebundenen 802.1x-Umgebung kann eine Herausforderung darstellen, da oft Zertifikate erforderlich sind, um eine EAP erfolgreich auszuhandeln. Dies ist bei der Verwendung von ThinOS noch komplizierter, da ein Zurücksetzen auf den Werksbetrieb alle Daten in der verschlüsselten NVR-Teilnahme einschließlich der vom Kunden installierten Zertifikate löscht. Im Folgenden finden Sie eine empfohlene Strategie für die automatische Bereitstellung oder Konfiguration von ThinOS-Clients in einer kabelgebundenen 802.1x-Umgebung.

Setup – Konfiguration der Kundenumgebung

Die aufgelisteten Geräte sollten so konfiguriert werden, dass sie die folgenden Funktionsweisen aufweisen:

• SWITCH – Wenn Sie einen Cisco- oder anderen Switch verwenden, sollte ein gesichertes und ein ungesichertes vLAN konfiguriert werden. Wenn der Client nicht über die erforderlichen Zertifikate oder Konfigurationen für eine erfolgreiche EAP-Aushandlung und die Verbindung mit dem sicheren vLAN verfügt, sollte der Switch den Client an ein ungesichertes vLAN weiterleiten.
• WMS-Server – KundInnen sollten sicherstellen, dass auf ihre WMS-Server sowohl über das gesicherte als auch über das ungesicherte vLAN zugegriffen werden kann. Bei Verwendung einer Vor-Ort-Installation anstelle einer Public-Cloud-Installation kann der Kunde zwei WMS-Server einrichten.

• DHCP- und DNS-Konfigurationen – Auf dem gesicherten und ungesicherten vLAN sollten KundInnen die erforderlichen Konfigurationen (DHCP-Optionen oder DNS-Datensätze) aktivieren, über die ThinOS eine Verbindung zum WMS-Server und zur Registrierungsgruppe herstellen kann.

Workflow – Werkseitiges Standardverhalten

1. Wenn ein ThinOS-Client zum ersten Mal eingeschaltet wird oder nachdem er auf die Werkseinstellungen zurückgesetzt wurde, wird er gestartet
2. 802.1x EAP-Aushandlung schlägt fehl (keine Konfiguration oder Zertifikate)
3. Der Switch leitet ThinOS an ein ungesichertes vLAN weiter.
4. ThinOS schließt DHCP ab und ruft WMS-Informationen von Umgebungsvariablen ab (DHCP-Optionen, DNS-Datensätze).
5. ThinOS ist mit dem WMS-Server und der Registrierungsgruppe verbunden und ruft 802.1x-Konfigurationen und die Zertifikate ab, die zum Anhängen an den sicheren vLAN erforderlich sind.
6. ThinOS startet neu
7. 802.1x EAP-Aushandlung erfolgreich.
8. ThinOS schließt DHCP ab und ruft WMS-Informationen von Umgebungsvariablen ab (DHCP-Optionen, DNS-Datensätze).
9. ThinOS ist mit dem WMS-Server und der Registrierungsgruppe verbunden und ruft vollständige Clientkonfigurationen und alle erforderlichen Serverzertifikate ab.
10. Der Vorgang ist abgeschlossen.
    
    Hinweis: Das Simple Certificate Enrollment Protocol (SCEP) kann in diesen Prozess integriert werden, aber für die automatische Bereitstellung muss der SCEP-Server sowohl auf dem gesicherten als auch auf dem ungesicherten vLAN vorhanden sein.

SCEP-Einstellungen für ThinOS 9.x WMS-Gruppenkonfiguration

So konfigurieren Sie Wyse Management Suite fuer SCEP bei Verwendung von ThinOS 9.x:

1. Setzen Sie Enable Auto Enrollment auf On.
2. Optional können Sie Enable Auto Renew auf On setzen.
3. Legen Sie Select Install CA Certificate auf On fest.
4. Geben Sie einen Ländernamen ein.
5. Geben Sie einen Status ein.
6. Geben Sie optional einen Speicherort ein.
7. Geben Sie optional eine Abteilung ein.
8. Geben Sie optional eine Organisationseinheit ein.
9. Geben Sie optional eine E-Mail-Adresse ein.
10. Wählen Sie eine Schlüsselnutzung der digitalen Signatur und Schlüsselchiffrierung aus.
11. Wählen Sie die Schlüssellänge aus.
12. Geben Sie optional einen Sub-Alt-Namen ein.
13. Geben Sie einen allgemeinen Namen ein.
14. Geben Sie eine Anfrage-URL ein.
15. Wählen Sie einen CA-Zertifikat-Hash-Typ aus.
16. Geben Sie den Hash des CA-Zertifikats ein.
17. Geben Sie optional ein Registrierungskennwort ein.
18. Geben Sie die Administrator-URL ein.
19. Optional können Sie „Ignore Server Certificate Check“ auf On setzen.
20. Geben Sie den Administratornutzer ein.
21. Geben Sie das Administratornutzerkennwort ein.
22. Geben Sie die Adminnutzerdomain ein.
    
    Hinweis:

    • Die Abbildung zeigt $TN_Machine.local als Beispiel für den allgemeinen Namen. $TN ist eine Systemumgebungsvariable für ThinOS. $TN fügt alternativ den Klemmennamen in die Maschinenzertifizierung ein $SN auch verwendet werden kann; Dadurch wird die Service-Tag-Nummer zum Zertifikatnamen hinzugefügt.
    • Die Anfrage-URL sollte einen Pfad zum SCEP-Server in Ihrer Umgebung bereitstellen.
    • Der Hash-Wert des CA-Zertifikats befindet sich auf der Seite [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Die Administrator-URL ist die Seite [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Der Administratornutzer ist das SCEP-Servicekonto.

Einstellungen für die kabelgebundene Umgebung ThinOS 9.x 802.1x WMS-Gruppenkonfiguration

Im WMS:

1. Wählen Sie Advanced>Network Configuration>Ethernet Settings802.1X> Authentication Settings >Add Row aus.
2. Wählen Sie die erforderliche EAP Art > EAP-TLS
3. Geben Sie den korrekten Dateinamen für das Client-Zertifikat ein
4. Client-Zertifikattyp: Nutzer oder Computer auswählen (wird in der Regel an Computer ausgegeben)
   • Der Servername ist optional (der Name des RADIUS-Servers sollte verwendet werden)
   • Die Optionen "Server validieren " und "Check Server" müssen für die Validierung des Servernamens aktiviert sein.
      
     Hinweis:

     • Der Dateiname des Clientzertifikats muss Folgendes enthalten: scep_cert_ und .crt
     • Bei falscher Eingabe ist keine Anmeldung möglich.