Wyse Management Suite'te 802.1x Kablolu Ortamlar İçin En İyi Uygulamalar

Etkilenen Ürünler:

• Wyse Management Suite

Etkilenen Platformlar:

• OptiPlex 3000 İnce İstemci
• OptiPlex 5400 Hepsi Bir Arada
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 Hepsi Bir Arada İnce İstemci
• Wyse 5470 Mobil İnce İstemci

Etkilenen İşletim Sistemleri:

• Dell ThinOS

Sertifikalar genellikle başarılı bir EAP anlaşması tamamlamak için gerekli olduğundan uç noktaları bir 802.1x kablolu ortamda dağıtmak zor olabilir. Fabrika ayarlarına sıfırlama işlemi, müşteri tarafından yüklenen sertifikalar da dahil olmak üzere şifrelenmiş NVR katılımındaki tüm verileri sildiğinden, ThinOS kullanırken bu durum daha da karmaşıklaşır. Aşağıda, bir 802.1x kablolu ortamda ThinOS istemcilerinin otomatik dağıtımını veya yapılandırmasını etkinleştirmek için önerilen bir strateji verilmiştir.

Kurulum - Müşteri Ortamı Yapılandırması

Belirtilen aygıtlar, aşağıdaki davranışlara sahip olacak şekilde yapılandırılmalıdır:

• ANAHTAR: Cisco veya başka bir anahtar kullanıyorsanız güvenli olan ve olmayan vLAN yapılandırılmalıdır. İstemci, EAP anlaşmasını tamamlamak ve güvenli vLAN'a bağlamak için gerekli sertifikalara veya yapılandırmalara sahip değilse anahtarın istemciyi güvenli olmayan bir vLAN'a yönlendirecek şekilde bağlanması gerekir.
• WMS Sunucusu: Müşteriler, WMS sunucularının hem güvenli olan hem de güvenli olmayan vLAN'dan erişilebilir olmasını sağlamalıdır. Müşteri, genel bulut kurulumu yerine yerinde bir kurulum kullanıyorsa iki WMS sunucusu kurmayı tercih edebilir.

• DHCP ve DNS yapılandırmaları: Hem güvenli hem de güvenli olmayan vLAN'da müşteriler, ThinOS'nin WMS sunucusuna ve kayıt grubuna bağlanmasını sağlarken gerekli yapılandırmaları (DHCP seçenekleri veya DNS kayıtları) etkinleştirmelidir.

İş Akışı - Fabrika varsayılan davranışı

1. Bir ThinOS istemcisi ilk kez açıldığında veya fabrika ayarlarına sıfırlandıktan sonra açılır
2. 802.1x EAP anlaşması başarısız olur (yapılandırma veya sertifika yok)
3. Anahtar, ThinOS'yi güvenli olmayan bir vLAN'a yönlendirir.
4. ThinOS, DHCP'yi tamamlar ve ortam değişkenlerinden WMS bilgilerini alır (DHCP seçenekleri, DNS kayıtları).
5. ThinOS, WMS sunucusuna ve kayıt grubuna bağlanır ve güvenli vLAN'a bağlamak için gereken 802.1x yapılandırmalarını ve sertifikaları alır
6. ThinOS yeniden başlatılır
7. 802.1x EAP anlaşması başarılı olur.
8. ThinOS, DHCP'yi tamamlar ve ortam değişkenlerinden WMS bilgilerini alır (DHCP seçenekleri, DNS kayıtları).
9. WMS sunucusuna ve kayıt grubuna bağlı ThinOS, tam istemci yapılandırmalarını ve gerekli tüm sunucu sertifikalarını alır
10. İşlem tamamlanır.
    
    Not: Basit Sertifika Kayıt Protokolü (SCEP) bu işleme entegre edilebilir ancak otomatik dağıtım, SCEP sunucusunun hem güvenli hem de güvenli olmayan vLAN'da mevcut olması gerekir.

ThinOS 9.x WMS Grup Yapılandırması için SCEP ayarları

ThinOS 9.x kullanırken SCEP için Wyse Management Suite'i yapılandırmak üzere:

1. Enable Auto Enrollment'ı (Otomatik Kaydı Etkinleştir) On (Açık) olarak ayarlayın.
2. İsteğe bağlı olarak Enable Auto Renew (Otomatik Yenilemeyi Etkinleştir) öğesini On (Açık) olarak ayarlayın.
3. Select Install CA Certificate (CA Sertifikasını Yüklemeyi Seç) öğesini On (Açık) olarak ayarlayın.
4. Country Name (Ülke Adı) girin.
5. State (Durum) alanını doldurun.
6. İsteğe bağlı olarak bir Location (Konum) kısmını doldurun.
7. İsteğe bağlı olarak Organization (Kuruluş) kısmını doldurun.
8. İsteğe bağlı olarak Organization Unit (Kuruluş Birimi) kısmını doldurun.
9. İsteğe bağlı olarak Email Address (E-posta Adresi) alanını doldurun.
10. Digital Signature (Dijital İmza) ve Key Encipherment (Anahtar Şifreleme) için bir Key Usage (Anahtar Kullanımı) seçin.
11. Key Length'i (Anahtar Uzunluğu) seçin.
12. İsteğe bağlı olarak Sub Alt Name (Alt Ad) kısmını doldurun.
13. Common Name (Ortak Ad) kısmını doldurun.
14. Request URL (İstek URL'si) kısmını doldurun.
15. CA Certificate Hash Type'ı (CA Sertifikası Karma Türü) seçin.
16. CA Certificate Hash (CA Sertifika Karması) alanını doldurun.
17. İsteğe bağlı olarak bir Enrollment Password (Kayıt Parolası) girin.
18. Administrator URL (Yönetici URL'si) kısmını doldurun.
19. İsteğe bağlı olarak, Ignore Server Certificate Check (Sunucu Sertifikası Denetimi Yoksay) öğesini On (Açık) olarak ayarlayın.
20. Admin User (Yönetici Kullanıcı) bilgisini doldurun.
21. Admin User Password (Yönetici Kullanıcı Parolası) alanını doldurun.
22. Admin User Domain (Yönetici Kullanıcı Etki Alanı) alanını doldurun.
    
    Not:

    • Görüntüde, Common Name (Ortak Ad) örneği olarak $TN_Machine.local yer almaktadır. $TN, ThinOS için bir sistem ortamı değişkenidir. $TN, alternatif olarak makine sertifikasına terminal adını ekler $SN de kullanılabilir; bu, Servis Etiketini sertifika adına ekler.
    • Request URL (İstek URL'si) kısmı, ortamınızdaki SCEP sunucusuna bir yol sağlamalıdır.
    • CA Certificate Hash (CA Sertifika Karması) değeri [SCEPSERVER]/CertSrv/MSCEP_admin/ sayfasında bulunur.
    • Administrator URL (Yönetici URL'si) kısmı, [SCEPSERVER]/CertSrv/MSCEP_admin/ sayfasıdır.
    • Admin User (Yönetici Kullanıcı) kısmı, SCEP hizmet hesabıdır.

ThinOS 9.x 802.1x kablolu ortam ayarları WMS Grup Yapılandırması

WMS'de:

1. Gelişmiş>Ağ Yapılandırması>Ethernet Ayarları>802.1X Kimlik Doğrulama Ayarları>Satır Ekle'yi seçin
2. Gerekli olanı seçin EAP tür > EAP-TLS
3. Doğru Client Certificate Filename değerini girin
4. İstemci Sertifika Türü: Kullanıcı veya Makine seçin (genellikle Makineye verilir)
   • Sunucu Adı isteğe bağlıdır (Radius sunucu adı kullanılmalıdır)
   • Sunucu adı doğrulaması için Sunucuyu Doğrula ve Sunucuyu Denetle seçeneklerinin etkinleştirilmesi gerekir.
      
     Not:

     • İstemci Sertifikası Dosya adı şunları içermelidir scep_cert_ ve .crt
     • Ayrıntılar yanlış girilirse, giriş yapılamaz.