Best practice per ambienti cablati 802.1x in Wyse Management Suite

Prodotti interessati:

• Wyse Management Suite

Piattaforme interessate:

• OptiPlex 3000 Thin Client
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 All-in-One Thin Client
• Wyse 5470 Mobile Thin Client

Sistemi operativi interessati:

• Dell ThinOS

L'implementazione degli endpoint in un ambiente cablato 802.1x può risultare difficile, poiché spesso sono necessari certificati per completare una negoziazione EAP. Ciò risulta ulteriormente complicato quando si utilizza ThinOS, poiché un ripristino del funzionamento di fabbrica cancella tutti i dati nella partecipazione NVR crittografata, inclusi i certificati installati dal cliente. Di seguito è riportata una strategia consigliata per abilitare il deployment o la configurazione automatica dei client ThinOS in un ambiente cablato 802.1x.

Configurazione dell'ambiente del cliente

È necessario configurare i dispositivi elencati in modo che presentino i seguenti comportamenti:

• SWITCH: se si utilizza uno switch Cisco o di altro tipo, è necessario configurare una vLAN protetta e non protetta. Se il client non dispone dei certificati o delle configurazioni richieste per completare la negoziazione EAP ed eseguire la connessione alla vLAN protetta, lo switch deve instradare il client a una vLAN non protetta.
• Server WMS: i clienti devono assicurarsi che sia possibile accedere ai propri server WMS dalla vLAN protetta e non protetta. Se si utilizza un'installazione on-site anziché su public cloud, il cliente può scegliere di configurare due server WMS.

• Configurazioni DHCP e DNS: sulla vLAN protetta e su quella non protetta, i clienti devono abilitare le configurazioni richieste (opzioni DHCP o record DNS) che consentono a ThinOS di collegarsi al server WMS e al gruppo di registrazione.

Flusso di lavoro - Comportamento predefinito di fabbrica

1. Quando un client ThinOS viene acceso per la prima volta o dopo un ripristino delle impostazioni di fabbrica, si avvia
2. La negoziazione EAP 802.1x non riesce (nessuna configurazione o certificato).
3. Lo switch instrada ThinOS a una vLAN non protetta.
4. ThinOS completa DHCP e ottiene le informazioni su WMS dalle variabili di ambiente (opzioni DHCP, record DNS).
5. ThinOS si connette al server WMS e al gruppo di registrazione e recupera le configurazioni 802.1x e i certificati necessari per la connessione alla vLAN protetta.
6. ThinOS si riavvia.
7. La negoziazione EAP 802.1x ha esito positivo.
8. ThinOS completa DHCP e ottiene le informazioni su WMS dalle variabili di ambiente (opzioni DHCP, record DNS).
9. ThinOS si connette al server WMS e al gruppo di registrazione e recupera le configurazioni client complete e tutti i certificati server necessari.
10. Il processo di installazione è completato.
    
    Nota: è possibile integrare Simple Certificate Enrollment Protocol (SCEP) in questo processo, ma il deployment automatico richiede che il server SCEP si trovi sia sulla vLAN protetta sia su quella non protetta.

Impostazioni SCEP per la configurazione del gruppo WMS ThinOS 9.x

Per configurare Wyse Management Suite per SCEP quando si utilizza ThinOS 9.x:

1. Impostare Enable Auto Enrollment su On.
2. Opzionalmente, impostare Enable Auto Renew su On.
3. Impostare Select Install CA Certificate su On.
4. Compilare il campo Country Name.
5. Compilare il campo State.
6. Opzionalmente, compilare il campo Location.
7. Opzionalmente, compilare il campo Organization.
8. Opzionalmente, compilare il campo Organization Unit.
9. Opzionalmente, compilare il campo Email Address.
10. Selezionare Digital Signature e Key Encipherment per Key Usage.
11. Selezionare un valore per Key Length.
12. Opzionalmente, compilare il campo Sub Alt Name.
13. Compilare il campo Common Name.
14. Compilare il campo Request URL.
15. Selezionare un valore per CA Certificate Hash Type.
16. Compilare il campo CA Certificate Hash.
17. Opzionalmente, compilare il campo Enrollment Password.
18. Compilare il campo Administrator URL.
19. Opzionalmente, impostare Ignore Server Certificate Check su On.
20. Compilare il campo Admin User.
21. Compilare il campo Admin User Password.
22. Compilare il campo Admin User Domain.
    
    Nota:

    • L'immagine mostra $TN_Machine.local come esempio per Common Name. $TN è una variabile d'ambiente del sistema per ThinOS. $TN inserisce il nome del terminale nella certificazione della macchina in alternativa $SN potrebbe anche essere utilizzato; In questo modo viene aggiunto il codice di matricola al nome del certificato.
    • Il campo Request URL deve includere il percorso al server SCEP nell'ambiente in uso.
    • Il valore di CA Certificate Hash si trova nella pagina [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Il valore di Administrator URL è la pagina [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Il valore di Admin User è l'account di servizio SCEP.

Impostazioni dell'ambiente cablato ThinOS 9.x 802.1x Configurazione gruppo WMS

In WMS:

1. Selezionare Configurazione di rete avanzata>Impostazioni>di autenticazione > Ethernet >Impostazioni autenticazione 802.1XAggiungi riga
2. Selezionare l'opzione necessaria EAP digitare > EAP-TLS
3. Immettere il nome file del certificato client corretto
4. Selezionare Client Certificate Type User o Machine (generalmente rilasciato a Machine)
   • Il nome del server è facoltativo (è necessario utilizzare il nome del server RADIUS )
   • Per la convalida del nome del server è necessario abilitare le opzioni Validate Server e Check Server.
      
     Nota:

     • Il nome file del certificato client deve includere scep_cert_ e .crt
     • Se i dati vengono immessi in modo errato, l'accesso non è possibile.