Beste praksis for 802.1x kablede miljøer i Wyse Management Suite

Berørte produkter:

• Wyse Management Suite

Berørte plattformer:

• OptiPlex 3000 tynnklient
• OptiPlex 5400 alt-i-ett
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 tynn klient
• Wyse 5470 alt-i-ett-tynnklient
• Wyse 5470 mobil tynnklient

Berørte operativsystemer:

• Dell ThinOS

Det kan være utfordrende å distribuere endepunkter i et kablet 802.1x-miljø, siden sertifikater ofte kreves for å fullføre en vellykket EAP-forhandling. Dette kompliseres ytterligere når du bruker ThinOS, siden en tilbakestilling til fabrikkdrift sletter alle data i den krypterte NVR-deltakelsen, inkludert kundeinstallerte sertifikater. Nedenfor finner du en anbefalt strategi for å aktivere automatisk implementering eller konfigurering av ThinOS-klienter i et kablet 802.1x-miljø.

Oppsett – konfigurasjon av kundemiljø

De oppførte enhetene bør konfigureres til å ha følgende virkemåter:

• SWITCH – Hvis du bruker en Cisco-svitsj eller en annen svitsj, bør du konfigurere en sikker og usikker vLAN. Hvis klienten ikke har de nødvendige sertifikatene eller konfigurasjonene som kreves for å fullføre EAP-forhandlingen og koble til det sikre vLAN, skal svitsjen feste klienten til et usikkert vLAN.
• WMS-server - Kunder bør sørge for at WMS-serverne deres kan nås fra både det sikre og usikre vLAN. Hvis kunden bruker en installasjon på stedet i stedet for en offentlig nettskyinstallasjon, kan kunden velge å sette opp to WMS-servere.

• DHCP- og DNS-konfigurasjoner – på både sikker og usikker vLAN bør kundene aktivere konfigurasjonene som kreves (DHCP-alternativer eller DNS-poster) som tillater ThinOS å koble til WMS-serveren og registreringsgruppen.

Arbeidsflyt – standard fabrikkatferd

1. Når en ThinOS-klient slås på for første gang eller etter en tilbakestilling til fabrikkinnstillinger, starter den opp
2. 802.1x EAP-forhandling mislykkes (ingen konfigurasjon eller sertifikater)
3. Svitsj ruter ThinOS til et usikkert vLAN.
4. ThinOS fullfører DHCP og henter WMS-informasjon fra miljøvariabler (DHCP-alternativer, DNS-poster).
5. ThinOS koblet til WMS-serveren og registreringsgruppen og henter 802.1x-konfigurasjoner og sertifikatene som kreves for å koble til det sikre VLAN-et
6. ThinOS starter på nytt
7. 802.1x EAP-forhandlinger lykkes.
8. ThinOS fullfører DHCP og henter WMS-informasjon fra miljøvariabler (DHCP-alternativer, DNS-poster).
9. ThinOS koblet til WMS-serveren og registreringsgruppen og henter komplette klientkonfigurasjoner og alle nødvendige serversertifikater
10. Prosessen er fullført.
    
    Merk: SCEP (Simple Certificate Enrollment Protocol) kan integreres i denne prosessen, men automatisk implementering krever at SCEP-serveren finnes på både det sikre og usikre vLAN-nettverket.

SCEP-innstillinger for ThinOS 9.x WMS-gruppekonfigurasjon

Slik konfigurerer du Wyse Management Suite for SCEP når du bruker ThinOS 9.x:

1. Sett Aktiver automatisk registrering til På.
2. Alternativt kan du angi Aktiver automatisk fornyelse til På.
3. Sett Velg Installer CA-sertifikat til På.
4. Fyll ut et landnavn.
5. Befolke en delstat.
6. Du kan også fylle ut en plassering.
7. Du kan eventuelt fylle ut en organisasjon.
8. Du kan også fylle ut en organisasjonsenhet.
9. Du kan også fylle ut en e-postadresse.
10. Velg en nøkkelbruk for digital signatur og nøkkelchiffrering.
11. Velg tastelengde.
12. Eventuelt kan du fylle ut et Sub Alt-navn.
13. Fyll ut et vanlig navn.
14. Fyll ut en URL-adresse for forespørsel.
15. Velg en CA-sertifikathashtype.
16. Fyll ut CA-sertifikathashen.
17. Du kan også fylle ut et registreringspassord.
18. Fyll ut URL-adressen for administrator.
19. Du kan også angi Ignorer sertifikatkontroll for server til På.
20. Fyll ut administratorbrukeren.
21. Fyll ut administratorbrukerpassordet.
22. Fyll ut administratorbrukerdomenet.
    
    Merk:

    • Bildet viser $TN_Machine.local som et eksempel på et vanlig navn. $TN er en systemmiljøvariabel for ThinOS. $TN setter inn terminalnavnet i maskinsertifiseringen som et alternativt $SN også kan brukes; Dette legger til service-ID-en i sertifikatnavnet.
    • URL-adressen for forespørselen skal gi en bane til SCEP-serveren i miljøet ditt.
    • Du finner CA Certificate Hash-verdien på siden [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • URL-adressen til administrator er siden [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Administratorbrukeren er SCEP-tjenestekontoen.

Innstillinger for kablet ThinOS 9.x 802.1x-kablet miljø WMS-gruppekonfigurasjon

I WMS:

1. Velg avansert>nettverkskonfigurasjon>Ethernet-innstillinger>802.1X-godkjenningsinnstillinger>Legg til rad
2. Velg ønsket EAP type > EAP-TLS
3. Skriv inn riktig filnavn for klientsertifikat
4. Velg klientsertifikattype , bruker eller maskin (utstedt til maskin vanligvis)
   • Servernavn er valgfritt (Radius-servernavn bør brukes)
   • Alternativene for validering av server og kontroll av server må aktiveres for validering av servernavn.
      
     Merk:

     • Filnavnet for klientsertifikatet må inneholde scep_cert_ og .crt
     • Hvis detaljer er skrevet feil, er pålogging ikke mulig.