Wyse Management Suite의 802.1x 유선 환경에 대한 모범 사례

영향을 받는 제품:

• Wyse Management Suite

해당되는 플랫폼:

• OptiPlex 3000 씬 클라이언트
• OptiPlex 5400 올인원
• OptiPlex 올인원 7410
• OptiPlex 올인원 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 씬 클라이언트
• Wyse 5470 올인원 씬 클라이언트
• Wyse 5470 모바일 씬 클라이언트

영향을 받는 운영 체제:

• Dell ThinOS

EAP 협상을 성공적으로 완료하려면 인증서가 필요한 경우가 많기 때문에 802.1x 유선 환경에 엔드포인트를 배포하는 것은 어려울 수 있습니다. ThinOS를 사용할 때는 공장 운영으로 재설정하면 고객이 설치한 인증서를 포함하여 암호화된 NVR 참여의 모든 데이터가 지워지기 때문에 이 작업은 더욱 복잡합니다. 다음은 802.1x 유선 환경에서 ThinOS 클라이언트의 자동 배포 또는 구성을 활성화하기 위해 권장되는 전략입니다.

설정 - 고객 환경 구성

나열된 디바이스는 다음과 같은 동작을 하도록 구성해야 합니다.

• 스위치 - Cisco 또는 다른 스위치를 사용하는 경우 보안 및 비보안 VLAN을 구성해야 합니다. 클라이언트에 EAP 협상을 완료하고 보안 VLAN에 연결하는 데 필요한 인증서 또는 구성이 없는 경우 스위치는 클라이언트를 비보안 VLAN으로 라우팅해야 합니다.
• WMS 서버 - 고객은 보안 VLAN과 비보안 VLAN 모두에서 WMS 서버에 액세스할 수 있는지 확인해야 합니다. 퍼블릭 클라우드 설치 대신 현장 설치를 사용하는 경우 고객은 두 개의 WMS 서버를 설정할 수 있습니다.

• DHCP 및 DNS 구성 - 보안 및 비보안 VLAN에서 고객은 ThinOS가 WMS 서버 및 등록 그룹에 연결할 수 있도록 하는 필수 구성(DHCP 옵션 또는 DNS 레코드)을 활성화해야 합니다.

워크플로 - 출고 시 기본 동작

1. ThinOS 클라이언트를 처음 켜거나 출고 시 설정으로 재설정한 후 켜면 부팅됩니다
2. 802.1x EAP 협상 실패(구성 또는 인증서 없음)
3. 스위치는 ThinOS를 비보안 VLAN으로 라우팅합니다.
4. ThinOS는 DHCP를 완료하고 환경 변수(DHCP 옵션, DNS 레코드)에서 WMS 정보를 가져옵니다.
5. ThinOS는 WMS 서버 및 등록 그룹에 연결되어 있으며 802.1x 구성 및 보안 VLAN에 연결하는 데 필요한 인증서를 검색합니다.
6. ThinOS 재부팅
7. 802.1x EAP 협상이 성공합니다.
8. ThinOS는 DHCP를 완료하고 환경 변수(DHCP 옵션, DNS 레코드)에서 WMS 정보를 가져옵니다.
9. WMS 서버 및 등록 그룹에 연결된 ThinOS가 전체 클라이언트 구성 및 필요한 모든 서버 인증서를 검색합니다.
10. 프로세스가 완료되었습니다.
    
    참고: SCEP(Simple Certificate Enrollment Protocol)를 이 프로세스에 통합할 수 있지만 자동 배포를 위해서는 보안 VLAN과 비보안 VLAN 모두에 SCEP 서버가 있어야 합니다.

ThinOS 9.x WMS 그룹 구성에 대한 SCEP 설정

ThinOS 9.x를 사용할 때 SCEP에 맞게 Wyse Management Suite를 구성하려면 다음을 수행합니다.

1. Enable Auto Enrollment를 On으로 설정합니다.
2. 필요에 따라 Enable Auto Renew를 On으로 설정합니다.
3. Select Install CA Certificate를 On으로 설정합니다.
4. Country Name을 입력합니다.
5. State를 입력합니다.
6. 필요에 따라 Location을 입력합니다.
7. 필요에 따라 Organization을 입력합니다.
8. 필요에 따라 Organization Unit을 입력합니다.
9. 필요에 따라 Email Address를 입력합니다.
10. Digital Signature 및Key Encipherment의 주요 사용법을 선택합니다.
11. Key Length를 선택합니다.
12. 필요에 따라 Sub Alt Name을 입력합니다.
13. Common Name을 입력합니다.
14. Request URL을 입력합니다.
15. CA Certificate Hash Type을 선택합니다.
16. CA Certificate Hash를 입력합니다.
17. 필요에 따라 Enrollment Password를 입력합니다.
18. Administrator URL을 입력합니다.
19. 필요에 따라 Ignore Server Certificate Check를 On으로 설정합니다.
20. Admin User를 입력합니다.
21. Admin User Password를 입력합니다.
22. Admin User Domain을 입력합니다.
    
    참고:

    • 이 이미지에서는 $TN_Machine.local을 Common Name 예시로 보여줍니다. $TN은 ThinOS에 대한 시스템 환경 변수입니다. $TN는 대체 $SN 사용할 수도 있는 기계 인증에 터미널 이름을 삽입합니다. 이렇게 하면 인증서 이름에 서비스 태그가 추가됩니다.
    • Request URL은 사용자 환경의 SCEP 서버에 대한 경로를 제공해야 합니다.
    • CA Certificate Hash 값은 [SCEPSERVER]/CertSrv/MSCEP_admin/ 페이지에서 찾을 수 있습니다.
    • Administrator URL은 [SCEPSERVER]/CertSrv/MSCEP_admin/ 페이지입니다.
    • Admin User는 SCEP 서비스 계정입니다.

ThinOS 9.x 802.1x 유선 환경 설정 WMS 그룹 구성

WMS에서:

1. 고급>네트워크 구성>이더넷 설정>802.1X 인증 설정>행 추가를 선택합니다.
2. 필요한 항목을 선택합니다. EAP 형 > EAP-TLS
3. 올바른 클라이언트 인증서 파일 이름을 입력하십시오.
4. 클라이언트 인증서 유형 선택 사용자 또는 컴퓨터(일반적으로 컴퓨터에 발급됨)
   • 서버 이름은 선택 사항입니다(Radius 서버 이름을 사용해야 함).
   • 서버 이름 검증을 위해 Validate Server 및 Check Server 옵션을 활성화해야 합니다.
      
     참고:

     • 클라이언트 인증서 파일 이름 에 다음이 포함되어야 합니다. scep_cert_ 및 .crt
     • 세부 정보를 잘못 입력하면 로그인할 수 없습니다.