Wyse Management Suite 中 802.1x 有线环境的最佳实践

Summary: 以下文章包含有关 802.1x 有线环境中 Wyse Management Suite (WMS) 网络配置的建议。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

受影响的产品:

  • Wyse Management Suite

受影响的平台:

  • OptiPlex 3000 瘦客户端
  • OptiPlex 5400 一体机
  • OptiPlex 7410 一体机
  • OptiPlex 7420 一体机
  • Latitude 3420
  • Latitude 3440
  • Latitude 5440
  • Latitude 5450
  • Wyse 5070 瘦客户端
  • Wyse 5470 一体式瘦客户端
  • Wyse 5470 移动瘦客户端

受影响的操作系统:

  • Dell ThinOS

由于通常需要证书才能完成成功的 EAP 协商,因此将端点部署到 802.1x 有线环境可能具有一定挑战性。在使用 ThinOS 时,这会更加复杂,因为重置为出厂设置操作会擦除加密 NVR 参与中的所有数据,包括客户安装的证书。以下是在 802.1x 有线环境中启用 ThinOS 客户端自动部署或配置的推荐策略。

设置 - 客户环境配置

警告:网络建议基于最佳实践。如果客户没有戴尔保修权利,那么戴尔技术支持无法协助配置设备网络设置或对其进行故障处理。

列出的设备应配置为具有以下行为:

  • 交换机 - 如果使用 Cisco 或其他交换机,则应配置安全和不安全的 vLAN。如果客户端没有那些完成 EAP 协商和连接到安全 vLAN 所需的证书或配置,则交换机应将客户端连接到不安全的 vLAN。
  • WMS 服务器 - 客户应确保可以从安全和不安全的 vLAN 访问其 WMS 服务器。如果使用现场安装而不是公有云安装,客户可以选择设置两台 WMS 服务器。
提醒:可从不安全的 vLAN 访问的 WMS 服务器(服务器组)不必完成客户端配置 - 它只需要网络 802.1x 配置(其中包括加载任何所需的证书)。
  • DHCP 和 DNS 配置 - 在安全和不安全的 vLAN 上,客户都应启用允许 ThinOS 连接到 WMS 服务器和注册组所需的配置(DHCP 选项或 DNS 记录)。

工作流 - 出厂默认行为

  1. 首次或在恢复出厂设置后打开 ThinOS 客户端时,它会启动
  2. 802.1x EAP 协商失败(无配置或证书)
  3. 交换机将 ThinOS 路由到不安全的 vLAN。
  4. ThinOS 完成 DHCP,并从环境变量(DHCP 选项、DNS 记录)中获取 WMS 信息。
  5. ThinOS 连接到 WMS 服务器和注册组,并检索连接到安全 vLAN 所需的 802.1x 配置和证书
  6. ThinOS 重新启动
  7. 802.1x EAP 协商成功。
  8. ThinOS 完成 DHCP,并从环境变量(DHCP 选项、DNS 记录)中获取 WMS 信息。
  9. ThinOS 连接到 WMS 服务器和注册组,并检索完整的客户端配置和所有必需的服务器证书
  10. 该过程完成。
    网络配置
    提醒:简单证书注册协议 (SCEP) 可以集成到此过程中,但自动部署要求 SCEP 服务器同时存在于安全和不安全的 vLAN 中。

适用于 ThinOS 9.x WMS 组配置的 SCEP 设置

要在使用 ThinOS 9.x 时为 SCEP 配置 Wyse Management Suite:

  1. 将“Enable Auto Enrollment”设置为 On
  2. (可选)将“Enable Auto Renew”设置为 On
  3. 将“Select Install CA Certificate”设置为 On
  4. 填充国家/地区名称
  5. 填充省/自治区/直辖市
  6. (可选)填充位置
  7. (可选)填充组织
  8. (可选)填充组织单位
  9. (可选)填充电子邮件地址
  10. 选择数字签名密钥加密的密钥用法。
  11. 选择密钥长度
  12. (可选)填充备用替代名称
  13. 填充通用名称
  14. 填充请求 URL
  15. 选择 CA 证书哈希类型
  16. 填充 CA 证书哈希
  17. (可选)填充注册密码
  18. 填充管理员 URL
  19. (可选)将“Ignore Server Certificate Check”设置为 On
  20. 填充管理员用户
  21. 填充管理员用户密码
  22. 填充管理员用户域
    SCEP 设置
    提醒:
    • 此图将 $TN_Machine.local 作为通用名称示例进行展示。$TN 是 ThinOS 的系统环境变量。$TN将终端名称插入机器认证中,作为也可以使用的替代$SN;这会将服务编号添加到证书名称中。
    • 请求 URL 应提供您环境中 SCEP 服务器的路径。
    • CA 证书哈希值可在 [SCEPSERVER]/CertSrv/MSCEP_admin/ 页面中找到。
    • 管理员 URL 是 [SCEPSERVER]/CertSrv/MSCEP_admin/ 页面。
    • 管理员用户是 SCEP 服务帐户。

ThinOS 9.x 802.1x 有线环境设置 WMS 组配置

在 WMS 中:

  1. 选择 高级>网络配置>以太网设置>802.1X 身份验证设置>添加行
  2. 选择所需的 EAP 类型 > EAP-TLS
  3. 输入正确的 客户端证书文件名
  4. 选择 客户端证书类型 :用户或计算机(通常颁发给计算机)
    • 服务器名称 是可选的(应使用 Radius 服务器 名称)
    • 需要为服务器名称验证启用验证服务器检查服务器选项。
      802.1X 身份验证设置 
      提醒:
      • 客户端证书文件名 必须包括 scep_cert_.crt
      • 如果输入的详细信息不正确,则无法登录。

Affected Products

Latitude 3420, Latitude 3440, Latitude 5440, Latitude 5450, OptiPlex 3000 Thin Client, OptiPlex 5400 All-In-One, OptiPlex All-In-One 7410, OptiPlex All-in-One 7420, Wyse 5070 Thin Client, Wyse 5470 All-In-One, Wyse 5470, Dell ThinOS , Wyse Management Suite ...
Article Properties
Article Number: 000195180
Article Type: How To
Last Modified: 19 Apr 2025
Version:  15
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.