Передовые подходы для проводных сред 802.1x в Wyse Management Suite

Затронутые продукты:

• Wyse Management Suite

Затронутые платформы:

• Тонкий клиент OptiPlex 3000
• OptiPlex 5400 All-in-One
• Моноблок OptiPlex 7410
• Моноблок OptiPlex 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Тонкий клиент Wyse 5070
• Тонкий клиент-моноблок Wyse 5470
• Мобильный тонкий клиент Wyse 5470

Затронутые операционные системы:

• Dell ThinOS

Развертывание конечных точек в проводной среде 802.1x может быть сложной задачей, поскольку для успешного согласования EAP часто требуются сертификаты. Этот процесс еще больше усложняется при использовании ThinOS, так как операция сброса до заводских настроек стирает все данные в зашифрованном участии NVR, включая сертификаты, установленные клиентом. Ниже приведена рекомендуемая стратегия автоматического развертывания или конфигурации клиентов ThinOS в проводной среде 802.1x.

Установка — конфигурация среды заказчика

Перечисленные устройства должны иметь следующие режимы работы:

• КОММУТАТОР — если используется коммутатор Cisco или другой коммутатор, необходимо настроить защищенную и незащищенную vLAN. Если у клиента нет сертификатов или конфигураций, необходимых для завершения согласования EAP и подключения к защищенной vLAN, коммутатор должен перенаправить клиент на незащищенную vLAN.
• Сервер WMS — заказчики должны обеспечить доступ к своим серверам WMS как из защищенной, так и из незащищенной сети vLAN. При использовании установки на месте, а не из общедоступного облака, заказчик может выбрать установку двух серверов WMS.

• Конфигурации DHCP и DNS — в защищенной и незащищенной vLAN клиенты должны включить требуемые конфигурации (параметры DHCP или записи DNS), которые позволяют ThinOS присоединяться к серверу WMS и группе регистрации.

Рабочий процесс — поведение по умолчанию

1. При первом включении клиента ThinOS или после сброса до заводских настроек он загружается
2. происходит сбой согласования 802.1x EAP (нет конфигурации или сертификатов).
3. Коммутатор маршрутизирует ThinOS в незащищенную vLAN.
4. ThinOS выполняет DHCP и получает информацию WMS из переменных среды (параметры DHCP, записи DNS).
5. ThinOS, подключенная к серверу WMS и группе регистрации, извлекает конфигурации 802.1x и сертификаты, необходимые для подключения к защищенной vLAN
6. Выполняется перезагрузка ThinOS,
7. согласование 802.1x EAP завершается успешно.
8. ThinOS выполняет DHCP и получает информацию WMS из переменных среды (параметры DHCP, записи DNS).
9. ThinOS, подключенная к серверу WMS и группе регистрации, получает полные конфигурации клиента и все необходимые сертификаты сервера.
10. Процесс завершен.
    
    Примечание. Простой протокол регистрации сертификатов (SCEP) может быть интегрирован в этот процесс, но для автоматического развертывания требуется, чтобы сервер SCEP присутствовал как в защищенной, так и в незащищенной vLAN.

Настройки SCEP для конфигурации группы WMS в ThinOS 9.x

Чтобы настроить Wyse Management Suite для SCEP при использовании ThinOS 9.x, выполните следующие действия.

1. Установите для параметра «Enable Auto Enrollment» значение On.
2. При необходимости установите для параметра «Enable Auto Renew» значение On.
3. Установите для параметра «Select Install CA Certificate» значение On.
4. Заполните поле Country Name.
5. Заполните поле State.
6. При необходимости заполните поле Location.
7. При необходимости заполните поле Organization.
8. При необходимости заполните поле Organization Unit.
9. При необходимости заполните поле Email Address.
10. Выберите использование ключа Digital Signature и Key Encipherment.
11. Выберите значение Key Length.
12. При необходимости заполните поле Sub Alt Name.
13. Заполните поле Common Name.
14. Заполните поле Request URL.
15. Выберите значение CA Certificate Hash Type.
16. Заполните поле CA Certificate Hash.
17. При необходимости заполните поле Enrollment Password.
18. Заполните поле Administrator URL.
19. При необходимости установите для параметра «Ignore Server Certificate Check» значение On.
20. Заполните поле Admin User.
21. Заполните поле Admin User Password.
22. Заполните поле Admin User Domain.
    
    Примечание.

    • На рисунке в качестве примера общего имени указано $TN_Machine.local. $TN — переменная системной среды для ThinOS. $TN вставляет название терминала в сертификацию машины в качестве альтернативы $SN также может быть использовано; В этом случае к имени сертификата будет добавлен сервисный код.
    • Параметр «Request URL» должен предоставить путь к серверу SCEP в вашей среде.
    • Значение «CA Certificate Hash» можно найти на странице [SCEPERVER]/CertSrv/MSCEP_admin/.
    • «Administrator URL» — это страница [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • «Admin User» — это служебная учетная запись SCEP.

Параметры среды проводной связи 802.1x ThinOS 9.x Конфигурация группы WMS

В WMS:

1. Выберите Расширенная>конфигурация>сети Параметры>аутентификации Ethernet 802.1X,>добавить строку
2. Выберите необходимые EAP тип > EAP-TLS
3. Введите правильное имя файла сертификата клиента
4. Выберите тип сертификата клиента: «Пользователь» или «Машина» (обычно выдается машине)
   • Имя сервера необязательно (следует использовать имя сервера Radius )
   • Для валидации имени сервера должны быть активированы параметры Validate Server и Check Server.
      
     Примечание.

     • Имя файла сертификата клиента должно включать следующие scep_cert_ и .crt
     • Если данные введены неправильно, вход в систему невозможен.