Bästa praxis för trådbundna 802.1x-miljöer i Wyse Management Suite

Berörda produkter:

• Wyse Management Suite

Berörda plattformar:

• OptiPlex 3000 tunn klient
• OptiPlex 5400 allt-i-ett
• OptiPlex allt-i-ett 7410
• OptiPlex allt-i-ett 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 tunn klient
• Tunna allt-i-ett-Wyse-klienten 5470
• Wyse 5470 mobil tunn klient

Berörda operativsystem:

• Dell ThinOS

Det kan vara svårt att distribuera slutpunkter i en trådbunden 802.1x-miljö eftersom certifikat ofta krävs för att slutföra en framgångsrik EAP-förhandling. Detta är ytterligare komplicerat när du använder ThinOS, eftersom en återställning till fabriksdrift raderar alla data i det krypterade NVR-deltagandet, inklusive kundinstallerade certifikat. Nedan finns en rekommenderad strategi för att möjliggöra automatisk distribution eller konfiguration av ThinOS-klienter i en kabelansluten 802.1x-miljö.

Konfiguration av kundmiljö

De listade enheterna bör konfigureras för att ha följande beteenden:

• SWITCH – Om du använder en Cisco eller annan switch ska ett säkert och osäkert vLAN konfigureras. Om klienten inte har de certifikat eller konfigurationer som krävs för att slutföra EAP-förhandlingen och ansluta till det säkra vLAN-nätverket, ska switchen ansluta dirigera klienten till ett osäkert virtuellt LAN.
• WMS-server – Kunder bör se till att deras WMS-servrar kan nås från både det säkra och osäkra vLAN-nätverket. Om du använder en installation på plats istället för offentligt moln kan kunden välja att konfigurera två WMS-servrar.

• DHCP- och DNS-konfigurationer – på både det säkra och osäkra vLAN bör kunderna aktivera de konfigurationer som krävs (DHCP-alternativ eller DNS-poster) som gör att ThinOS kan ansluta till WMS-servern och registreringsgruppen.

Arbetsflöde – fabriksstandardbeteende

1. När en ThinOS-klient slås på för första gången eller efter en fabriksåterställning startar den
2. 802.1x EAP-förhandling misslyckas (ingen konfiguration eller certifikat)
3. Växla dirigerar ThinOS till ett osäkert vLAN.
4. ThinOS slutför DHCP och hämtar WMS-information från miljövariabler (DHCP-alternativ, DNS-poster).
5. ThinOS är anslutet till WMS-servern och registreringsgruppen och hämtar 802.1x-konfigurationer och de certifikat som krävs för att ansluta till det säkra vLAN
6. ThinOS-omstarter
7. 802.1x EAP-förhandling lyckas.
8. ThinOS slutför DHCP och hämtar WMS-information från miljövariabler (DHCP-alternativ, DNS-poster).
9. ThinOS är anslutet till WMS-servern och registreringsgruppen och hämtar fullständiga klientkonfigurationer och alla nödvändiga servercertifikat
10. Processen är slutförd.
    
    Obs! SCEP (Simple Certificate Enrollment Protocol) kan integreras i den här processen, men automatisk distribution kräver att SCEP-servern finns på både det säkra och det osäkra vLAN-nätverket.

SCEP-inställningar för ThinOS 9.x WMS-gruppkonfiguration

Så här konfigurerar du Wyse Management Suite för SCEP när du använder ThinOS 9.x:

1. Ställ in Aktivera automatisk registrering på På.
2. Du kan också ställa in Aktivera automatisk förnyelse på På.
3. Ställ in Välj Installera CA-certifikat på På.
4. Ange ett landsnamn.
5. Ange en delstat.
6. Du kan också ange en plats.
7. Du kan även ange en organisation.
8. Du kan även ange en organisationsenhet.
9. Du kan även ange en mejladress.
10. Välj en nyckelanvändning för digital signatur och nyckelchiffrering.
11. Välj nyckellängd.
12. Du kan även ange ett underalternativt namn.
13. Ange ett nätverksnamn.
14. Ange en URL för begäran.
15. Välj en hashtyp för CA-certifikat.
16. Ange certifikatutfärdarens certifikathash.
17. Du kan även ange ett registreringslösenord.
18. Ange administratörens URL-adress.
19. Du kan också ange Ignorera servercertifikatkontroll till På.
20. Ange administratörsanvändaren.
21. Ange administratörsanvändarlösenordet.
22. Ange administratörsanvändardomänen.
    
    Obs!

    • Bilden visar $TN_Machine.local som ett exempel på eget namn. $TN är en systemmiljövariabel för ThinOS. $TN infogar terminalnamnet i maskincertifieringen som ett alternativt $SN också skulle kunna användas. Då läggs service tag-numret till i certifikatnamnet.
    • URL:en för begäran ska ange en sökväg till SCEP-servern i din miljö.
    • CA-certifikatets hashvärde finns på sidan [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Administratörens URL är sidan [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Administratörsanvändaren är SCEP-tjänstkontot.

Inställningar för ThinOS 9.x 802.1x trådbunden miljö, WMS-gruppkonfiguration

I WMS:

1. Välj Avancerad>nätverkskonfiguration>Ethernet-inställningar>802.1X-autentiseringsinställningar>Lägg till rad
2. Välj de produkter som behövs EAP typ > EAP-TLS
3. Ange rätt filnamn för klientcertifikatet
4. Välj klientcertifikattyp , användare eller dator (utfärdas vanligtvis till maskinen)
   • Servernamn är valfritt (Radius-servernamn ska användas)
   • Alternativen Validera server och Kontrollera server måste aktiveras för verifiering av servernamn.
      
     Obs!

     • Klientcertifikatets filnamn måste innehålla scep_cert_ och .crt
     • Om uppgifter anges felaktigt är inloggning inte möjlig.