Wyse Management Suiten langallisten 802.1x-ympäristöjen parhaat käytännöt

Tuotteet, joita asia koskee:

• Wyse Management Suite

Ympäristöt, joita tämä koskee:

• OptiPlex 3000 Thin Client
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 All-in-One Thin Client
• Wyse 5470 Mobile Thin Client

Käyttöjärjestelmät, joita asia koskee:

• Dell ThinOS

Päätepisteiden käyttöönotto langallisessa 802.1x-ympäristössä voi olla haastavaa, koska onnistuneisiin EAP-neuvotteluihin tarvitaan usein sertifikaatteja. Tämä on entistä monimutkaisempaa ThinOS:ää käytettäessä, sillä tehdasasetusten palautus poistaa kaikki salatun NVR-osallistumisen tiedot, mukaan lukien asiakkaan asentamat varmenteet. Alla suositellaan strategiaa ThinOS-työasemien automaattisen käyttöönoton tai määrityksen käyttöönottoon langallisessa 802.1x-ympäristössä.

Määritys – asiakasympäristön määritys

Luetellut laitteet on määritettävä toimimaan seuraavasti:

• KYTKIN - Jos käytät Cisco-kytkintä tai muuta kytkintä, määritä suojattu ja suojaamaton vLAN. Jos asiakkaalla ei ole tarvittavia varmenteita tai määrityksiä, joita tarvitaan EAP-neuvottelujen loppuun saattamiseen ja liittämiseen suojattuun vLAN-verkkoon, kytkimen on liitettävä reititä asiakas suojaamattomaan vLAN-verkkoon.
• WMS-palvelin - Asiakkaiden tulee varmistaa, että WMS-palvelimia voidaan käyttää sekä suojatun että suojaamattoman vLAN-verkon kautta. Jos asiakas käyttää paikan päällä tehtävää asennusta julkisen pilviasennuksen sijaan, hän voi halutessaan asentaa kaksi WMS-palvelinta.

• DHCP- ja DNS-määritykset – sekä suojatussa että suojaamattomassa vLAN-verkossa asiakkaiden on otettava käyttöön tarvittavat määritykset (DHCP-asetukset tai DNS-tietueet), joiden avulla ThinOS voi muodostaa yhteyden WMS-palvelimeen ja rekisteröintiryhmään.

Työnkulku - tehdasasetusten toiminta

1. Kun ThinOS-työasema käynnistetään ensimmäisen kerran tai kun se on palautettu tehdasasetuksiin, se käynnistyy
2. 802.1x EAP -neuvottelu epäonnistuu (ei määrityksiä tai varmenteita)
3. Kytkin reitittää ThinOS:n suojaamattomaan vLAN-verkkoon.
4. ThinOS suorittaa DHCP:n ja hakee WMS-tiedot ympäristömuuttujista (DHCP-asetukset, DNS-tietueet).
5. ThinOS liitetään WMS-palvelimeen ja rekisteröintiryhmään ja hakee 802.1x-kokoonpanot ja varmenteita, jotka on liitettävä suojattuun vLAN-verkkoon
6. ThinOS käynnistyy uudelleen
7. 802.1x EAP -neuvottelut onnistuvat.
8. ThinOS suorittaa DHCP:n ja hakee WMS-tiedot ympäristömuuttujista (DHCP-asetukset, DNS-tietueet).
9. ThinOS liitetään WMS-palvelimeen ja rekisteröintiryhmään ja hakee täydelliset asiakasmääritykset ja kaikki tarvittavat palvelinvarmenteet
10. Prosessi on valmis.
    
    Huomautus: SCEP (Simple Certificate Enrollment Protocol) voidaan integroida tähän prosessiin, mutta automaattinen käyttöönotto edellyttää, että SCEP-palvelin on sekä suojatussa että suojaamattomassa vLAN-verkossa.

ThinOS 9.x:n SCEP-asetukset WMS-ryhmäkokoonpano

Wyse Management Suiten määrittäminen SCEP:lle ThinOS 9.x -käyttöjärjestelmää käytettäessä:

1. Määritä Ota automaattinen rekisteröinti käyttöön -asetukseksi Käytössä.
2. Määritä tarvittaessa Enable Auto Renew -asetukseksi On.
3. Määritä Select Install CA certificate -asetukseksi On.
4. Kirjoita Country Name.
5. Kirjoita State.
6. Kirjoita tarvittaessa Location.
7. Kirjoita tarvittaessa Organization.
8. Lisää halutessasi Organisaatioyksikkö.
9. Kirjoita tarvittaessa Email Address.
10. Valitse digitaalisen allekirjoituksen ja avaimen salauksen avainkäyttö.
11. Valitse näppäimen pituus.
12. Kirjoita halutessasi Sub Alt Name.
13. Kirjoita Common Name.
14. Lisää pyynnön URL-osoite.
15. Valitse CA-varmenteen hajautustyyppi.
16. Kirjoita CA-varmenteen hajautusarvo.
17. Kirjoita tarvittaessa Enrollment Password.
18. Kirjoita Administrator URL.
19. Halutessasi voit määrittää Ohita palvelimen varmennetarkistus -asetukseksi Käytössä.
20. Kirjoita Admin User.
21. Kirjoita Admin User Password.
22. Kirjoita Admin User Domain.
    
    Huomautus:

    • Kuvan yleisnimenä näkyy $TN_Machine.local. $TN on ThinOS-käyttöjärjestelmän järjestelmäympäristömuuttuja. $TN lisää terminaalin nimen koneen sertifiointiin vaihtoehtoisena $SN voitaisiin myös käyttää; Tällöin palvelutunnus lisätään varmenteen nimeen.
    • Pyynnön URL-osoitteen pitäisi sisältää polku ympäristön SCEP-palvelimeen.
    • CA Certificate Hash -arvo löytyy [SCEPSERVER]/CertSrv/MSCEP_admin/-sivulta.
    • Järjestelmänvalvojan URL-osoite on [SCEPSERVER]/CertSrv/MSCEP_admin/-sivu.
    • Pääkäyttäjä on SCEP-palvelutili.

ThinOS 9.x 802.1x langallisen ympäristön asetukset WMS-ryhmän määritykset

WMS:ssä:

1. Valitse Verkon lisämääritykset>>Ethernet-asetukset>802.1X-todennusasetukset>Lisää rivi
2. Valitse tarvittava EAP tyyppi > EAP-TLS
3. Anna oikea asiakasvarmenteen tiedostonimi
4. Valitse asiakasvarmenteen tyyppi, käyttäjä tai laite (myönnetään yleensä koneelle)
   • Palvelimen nimi on valinnainen (käytä Radius-palvelimen nimeä)
   • Palvelimen nimen vahvistus ja Check Server -asetukset on otettava käyttöön.
      
     Huomautus:

     • Asiakasvarmenteen tiedostonimen on sisällettävä scep_cert_ ja .crt
     • Jos tiedot on syötetty väärin, kirjautuminen ei ole mahdollista.