Najlepsze praktyki dotyczące środowisk przewodowych 802.1x w pakiecie Wyse Management Suite

Dotyczy produktów:

• Wyse Management Suite

Dotyczy platform:

• Terminal kliencki OptiPlex 3000
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Terminal Wyse 5070
• Terminal kliencki All-in-One Wyse z serii 5470
• Terminal kliencki Wyse 5470 Extended

Dotyczy systemów operacyjnych:

• Dell ThinOS

Wdrażanie punktów końcowych w środowisku przewodowym 802.1x może być wyzwaniem, ponieważ certyfikaty są często wymagane do zakończenia pomyślnej negocjacji EAP. Jest to dodatkowo skomplikowane w przypadku korzystania z systemu ThinOS, ponieważ przywrócenie ustawień fabrycznych powoduje usunięcie wszystkich danych z zaszyfrowanego rejestratora NVR, w tym certyfikatów zainstalowanych przez klienta. Poniżej przedstawiono zalecaną strategię umożliwiającą automatyczne wdrażanie lub konfigurację klientów ThinOS w środowisku przewodowym 802.1x.

Konfiguracja – konfiguracja środowiska klienta

Wymienione urządzenia powinny być skonfigurowane tak, aby działały w następujący sposób:

• SWITCH — w przypadku korzystania z Cisco lub innego przełącznika należy skonfigurować zabezpieczoną i niezabezpieczoną sieć vLAN. Jeśli klient nie ma wymaganych certyfikatów lub konfiguracji niezbędnych do dokończenia negocjacji EAP i dołączenia do bezpiecznej sieci vLAN, przełącznik powinien przekierować klienta do niezabezpieczonej sieci vLAN.
• Serwer WMS — klienci powinni upewnić się, że ich serwery WMS są dostępne zarówno dla zabezpieczonej, jak i niezabezpieczonej sieci vLAN. W przypadku korzystania z instalacji na miejscu zamiast instalacji w chmurze publicznej klient może zdecydować się na konfigurację dwóch serwerów WMS.

• Konfiguracje DHCP i DNS — zarówno w bezpiecznych, jak i niezabezpieczonych sieciach vLAN klienci powinni włączyć wymagane konfiguracje (opcje DHCP lub rekordy DNS), które umożliwiają systemowi ThinOS dołączenie do serwera WMS i grupy rejestracji.

Przepływ pracy — działanie fabrycznych ustawień domyślnych

1. Uruchamia się po pierwszym włączeniu klienta ThinOS lub po przywróceniu ustawień fabrycznych
2. Negocjacja EAP 802.1x nie powiodła się (brak konfiguracji lub certyfikatów)
3. Przełącznik przekierowuje ThinOS do niezabezpieczonej sieci vLAN.
4. System ThinOS wypełnia protokół DHCP i uzyskuje informacje WMS ze zmiennych środowiskowych (opcje DHCP, rekordy DNS).
5. ThinOS podłączony do serwera WMS i grupy rejestracji pobiera konfiguracje 802.1x i certyfikaty wymagane do podłączenia do bezpiecznej sieci vLAN
6. Ponowne uruchamianie ThinOS
7. Negocjacja EAP 802.1x zakończona powodzeniem.
8. System ThinOS wypełnia protokół DHCP i uzyskuje informacje WMS ze zmiennych środowiskowych (opcje DHCP, rekordy DNS).
9. System ThinOS podłączony do serwera WMS i grupy rejestracji pobiera kompletne konfiguracje klienta i wszystkie wymagane certyfikaty serwera
10. Proces został zakończony.
    
    Uwaga: Protokół SCEP (Certificate Enrollment Protocol) może być zintegrowany z tym procesem, ale automatyczne wdrażanie wymaga obecności serwera SCEP zarówno w zabezpieczonej, jak i niezabezpieczonej sieci vLAN.

Ustawienia SCEP dla konfiguracji grupy ThinOS 9.x WMS

Aby skonfigurować pakiet Wyse Management Suite dla SCEP podczas korzystania z systemu ThinOS 9.x:

1. Ustaw opcję Automatyczna rejestracja na Wł.
2. Opcjonalnie ustaw opcję Włącz automatyczne odnawianie na Wł.
3. Ustaw opcję Wybierz instalację certyfikatu CA na Wł.
4. Wypełnij pole Nazwa kraju.
5. Wypełnij pole Kraj.
6. Opcjonalnie wypełnij pole Lokalizacja.
7. Opcjonalnie wypełnij pole Organizacja.
8. Opcjonalnie wypełnij pole Jednostka organizacyjna.
9. Opcjonalnie wypełnij pole Adres e-mail.
10. Wybierz użycie klucza Podpisu cyfrowego i Szyfrowania kluczy.
11. Wybierz Długość klawisza.
12. Opcjonalnie wypełnij pole Podrzędna nazwa alternatywna.
13. Wypełnij pole Wspólna nazwa.
14. Wypełnij pole Adres URL żądania.
15. Wybierz opcję Typ skrótu certyfikatu urzędu certyfikacji.
16. Wypełnij pole Skrót certyfikatu CA.
17. Opcjonalnie wypełnij pole Hasło rejestracji.
18. Wypełnij pole Adres URL administratora.
19. Opcjonalnie ustaw opcję Zignoruj kontrolę certyfikatu serwera na Wł.
20. Wypełnij pole Użytkownik z uprawnieniami administratora.
21. Wypełnij pole Hasło użytkownika z uprawnieniami administratora.
22. Wypełnij pole Domena użytkownika z uprawnieniami administratora.
    
    Uwaga:

    • Ilustracja przedstawia $TN_Machine.local jako przykładową wspólną nazwę. $TN to zmienna środowiskowa systemu ThinOS. $TN wstawia nazwę terminala do certyfikacji maszyny jako alternatywny $SN może być również użyty; spowoduje to dodanie kodu Service Tag do nazwy certyfikatu.
    • Adres URL żądania powinien zawierać ścieżkę do serwera SCEP w danym środowisku.
    • Wartość skrótu certyfikatu urzędu certyfikacji znajduje się na stronie [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Adres URL administratora to strona [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Użytkownik z uprawnieniami administratora to konto usługi SCEP.

Ustawienia środowiska przewodowego ThinOS 9.x 802.1x Konfiguracja grupy WMS

W WMS:

1. Wybierz opcję Zaawansowana>konfiguracja> sieci Ustawienia sieci Ethernet> Ustawienia uwierzytelniania> 802.1X Dodaj wiersz
2. Wybierz żądany EAP typ > EAP-TLS
3. Wprowadź prawidłową nazwę pliku certyfikatu klienta
4. Wybierz typ certyfikatu klienta , użytkownika lub maszynę (zwykle wystawiany dla komputera)
   • Nazwa serwera jest opcjonalna (należy użyć nazwy serwera Radius )
   • W celu weryfikacji nazwy serwera wymagane jest włączenie opcji Validate Server i Check Server.
      
     Uwaga:

     • Nazwa pliku certyfikatu klienta musi zawierać scep_cert_ i .crt
     • Jeśli dane zostaną wprowadzone niepoprawnie, logowanie nie będzie możliwe.