Найкращі практики для дротових середовищ 802.1x у Wyse Management Suite

Продукти, на які вплинули:

• Wyse Management Suite

Платформи, на які це вплинуло:

• Тонкий клієнт OptiPlex 3000
• OptiPlex 5400 Моноблок
• Моноблок OptiPlex 7410
• OptiPlex Моноблок 7420
• Широта 3420
• Широта 3440
• Широта 5440
• Широта 5450
• Тонкий клієнт Wyse 5070
• Тонкий клієнт Wyse 5470 «все в одному»
• Wyse 5470 Мобільний тонкий клієнт

Операційні системи, яких це стосується:

• Dell ThinOS

Розгортання кінцевих точок у дротовому середовищі стандарту 802.1x може бути складним завданням, оскільки для успішного узгодження EAP часто потрібні сертифікати. Це ще більше ускладнюється при використанні ThinOS, оскільки скидання до заводської роботи стирає всі дані в зашифрованій участі NVR, включаючи встановлені клієнтом сертифікати. Нижче наведено рекомендовану стратегію для забезпечення автоматичного розгортання або конфігурації клієнтів ThinOS у дротовому середовищі 802.1x.

Setup - Конфігурація середовища клієнта

Перелічені пристрої мають бути налаштовані на таку поведінку:

• SWITCH - Якщо використовується комутатор Cisco або інший комутатор, слід налаштувати безпечний і незахищений vLAN. Якщо клієнт не має потрібних сертифікатів або конфігурацій, необхідних для завершення узгодження EAP і приєднання до захищеної vLAN, то комутатор повинен приєднати маршрут клієнта до незахищеної vLAN.
• Сервер WMS - Клієнти повинні переконатися, що доступ до їхніх WMS-серверів можна отримати як з безпечної, так і з незахищеної віртуальної мережі. Якщо ви використовуєте локальне встановлення замість загальнодоступної хмари, клієнт може налаштувати два сервери WMS.

• Конфігурації DHCP і DNS - Як на безпечній, так і на незахищеній vLAN клієнти повинні включити необхідні конфігурації (параметри DHCP або DNS-записи), що дозволяє ThinOS підключатися до сервера WMS і групи реєстрації.

Робочий процес - Заводська поведінка за замовчуванням

1. Коли клієнт ThinOS включається вперше або після скидання до заводських налаштувань, він завантажується
2. Не вдається виконати узгодження щодо EAP 802.1x (немає конфігурації та сертифікатів)
3. Переключіть маршрути ThinOS на незахищену vLAN.
4. ThinOS завершує DHCP і отримує інформацію WMS зі змінних середовища (параметри DHCP, записи DNS).
5. ThinOS підключається до WMS сервера та групи реєстрації та отримує конфігурації 802.1x та сертифікати, які необхідні для підключення до захищеної vLAN
6. Перезавантаження ThinOS
7. Переговори щодо 802.1x EAP увінчалися успіхом.
8. ThinOS завершує DHCP і отримує інформацію WMS зі змінних середовища (параметри DHCP, записи DNS).
9. ThinOS підключається до WMS сервера та групи реєстрації та отримує повні конфігурації клієнта та всі необхідні сертифікати сервера
10. Процес завершено.
    
    Примітка: Простий протокол реєстрації сертифікатів (SCEP) може бути інтегрований у цей процес, але автоматичне розгортання вимагає, щоб сервер SCEP був присутній як на безпечній, так і на незахищеній vLAN.

Налаштування SCEP для конфігурації групи ThinOS 9.x WMS

Щоб налаштувати Wyse Management Suite для SCEP при використанні ThinOS 9.x:

1. Встановіть для параметра Увімкнути автоматичну реєстрацію значення Увімк.
2. За бажанням встановіть для параметра Увімкнути автоматичне поновлення значення Увімкнено.
3. Установіть для параметра Вибрати інсталяцію сертифіката ЦС значення Увімк.
4. Введіть назву країни.
5. заселити державу.
6. За бажанням можна заповнити місце розташування.
7. За бажанням можна заповнити організацію.
8. За бажанням можна заповнити одиницю організації.
9. За бажанням можна заповнити адресу електронної пошти.
10. Виберіть ключове використання цифрового підпису та шифрування ключа.
11. Виберіть довжину клавіші.
12. За бажанням можна заповнити ім'я Sub alt.
13. Введіть загальну назву.
14. Заповніть URL-адресу запиту.
15. Виберіть тип хешу сертифіката ЦС.
16. Заповніть хеш сертифіката ЦС.
17. За бажанням можна ввести пароль для реєстрації.
18. Заповніть URL-адресу адміністратора.
19. За бажанням встановіть для параметра Ігнорувати перевірку сертифіката сервера значення Увімкнено.
20. Надішліть запит адміністратора користувача.
21. Введіть пароль користувача адміністратора.
22. Заповніть домен користувача адміністратора.
    
    Примітка:

    • На зображенні зображено $TN_Machine.local як приклад Common Name. $TN — змінна системного оточення для ThinOS. $TN вставляє назву терміналу в сертифікацію машини як альтернативний $SN також може бути використаний; це додасть сервісний тег до назви сертифіката.
    • URL-адреса запиту має містити шлях до сервера SCEP у вашому середовищі.
    • Хеш-значення сертифіката ЦС знаходиться на сторінці [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • URL-адреса адміністратора – це сторінка [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • Користувач Адміністратора – це обліковий запис служби SCEP.

Налаштування дротового середовища ThinOS 9.x 802.1x Конфігурація групи WMS

У WMS:

1. Виберіть Розширена>конфігурація> мережі Налаштування автентифікації Ethernet 802.1X Додати>рядок>
2. Виберіть потрібне EAP тип > EAP-TLS
3. Введіть правильне ім'я файлу сертифіката клієнта
4. Виберіть Тип сертифіката клієнта : Користувач або Апарат (зазвичай видається Machine)
   • Ім'я сервера не є обов'язковим (слід використовувати ім'я сервера Radius )
   • Для перевірки імені сервера потрібно ввімкнути опції «Перевірити сервер» і «Перевірити сервер».
      
     Примітка:

     • Ім'я файлу сертифіката клієнта має містити scep_cert_ і .crt
     • Якщо дані введені невірно, вхід неможливий.