Preciso aprender como configurar o macOS para usar a autenticação EAP-TLS sem usar um MDM.
Só tenho um dispositivo Mac na rede, que é usado pelo proprietário. Não quero usar software de terceiros.
Só preciso saber como importar os certificados e como configurar manualmente uma conexão EAP-TLS sem fio.
Minha rede suporta apenas Windows, usa AD CS para criar certificados e provisionar as estações via política. Como é um Mac, farei essa rotina manualmente.
Histórico: configurações como essa precisam ser configuradas com um "Perfil de configuração" - basicamente, um arquivo XML com configurações em um formato específico e uma extensão .mobileconfig. Normalmente, você registraria o dispositivo em um serviço MDM e, em seguida, enviaria perfis de configuração para ele pela Internet, mas você também pode simplesmente colocar o arquivo diretamente em um Mac (ou iPhone ou iPad) e instalá-lo manualmente .
Não tenho como testar isso adequadamente, mas acho que o procedimento a seguir funcionará. Para começar, você precisará do aplicativo Apple Configurator, do certificado do cliente que deseja usar (geralmente um arquivo .p12 ou .pfx, ou seja, incluindo a chave privada) e do certificado do servidor de autenticação (um arquivo .crt ou .cer, não incluindo a chave privada). Se você já instalou esses certificados nas chaves do Mac, pode ser necessário removê-los (com o utilitário Keychain Access) para evitar conflitos. Não creio que haja problema, mas como não posso testar isso... talvez seja mais seguro removê-los, por precaução.
Você também precisará de um programa que possa editar arquivos XML para ajustar o perfil antes de instalá-lo. Geralmente, editores de texto orientados à programação são bons para isso (ou seja, algo que não adiciona "útil" lixo de formatação ao arquivo ou fica chateado com aquela estranha extensão ".mobileconfig"). Editores de linha de comando Unix gostam
nanoevisão boas opções. Se você preferir um editor GUI, recomendo o BBEdit - mesmo no modo de demonstração gratuito, é ótimo para coisas como esta (mas obtenha a versão para download na web, não a versão da App Store, que tem alguns recursos removidos para ficar em conformidade com a App Store políticas de segurança).Para começar, execute o Apple Configurator. A maior parte de sua interface tem a ver com o gerenciamento de iPhones e similares, atuando essencialmente como um MDM somente local. Ignore tudo isso. No menu Arquivo, escolha Novo perfil.
Você verá uma janela com várias categorias diferentes de definições de configuração na barra lateral esquerda. Você só precisará de três deles: Geral (que na verdade são propriedades do próprio perfil), Certificados e Wi-Fi.
Na seção Geral, insira um nome apropriado para o perfil (este perfil será específico para este cliente Mac, portanto, provavelmente deve incluir o nome do dispositivo/número de série/etiqueta de ativo/outro ID exclusivo do dispositivo Mac). Se você estiver criando no Mac ao qual ele será aplicado, o identificador padrão provavelmente será adequado; caso contrário, escolha algo igualmente único. Coloque o nome da sua organização (ou seja, empresa) e qualquer descrição e mensagem de consentimento desejada.
Selecione Certificados na barra lateral e clique no botão Configurar no painel direito. Isso deve fornecer uma caixa de diálogo Abrir arquivo. Abra os certificados do cliente e do servidor. Se você não conseguir selecionar os dois ao mesmo tempo, abra um, clique no botão “+” no canto superior direito do painel e adicione o segundo. Se o certificado do cliente estiver protegido por senha, haverá um campo abaixo dele solicitando a senha; é mais seguro deixá-lo em branco (ele será solicitado mais tarde, quando você instalar o perfil).
Selecione Wi-Fi na barra lateral e clique em Configurar. Insira o SSID (nome da rede) da rede, faça quaisquer outras alterações relevantes e, no menu pop-up Tipo de segurança, escolha uma opção Empresarial apropriada. Uma seção "Configurações empresariais" aparecerá abaixo dela, com as guias Protocolos e Confiança.
Na guia Protocolos, selecione o tipo TLS EAP e você obterá uma opção de Certificado de Identidade. Escolha o certificado do cliente no menu pop-up.
Mude para a guia Confiança e, em Certificados Confiáveis, marque a caixa do certificado do servidor. Não acho que você precise inserir nada em Nomes de certificados de servidores confiáveis.
Observação: deve haver um "1" vermelho próximo a Certificados na barra lateral, pois a senha do certificado do cliente não foi inserida. Isso não é um problema. Se houver um número maior ou números vermelhos em qualquer uma das outras seções de configuração, isso significa que há algo importante faltando e você deve voltar e verificar. Ele indicará as configurações ausentes com setas vermelhas.
Neste ponto, o perfil de configuração deve estar tão feito quanto o Apple Configurator pode fazer. Escolha o menu Arquivo > Salvar, salve o arquivo onde quiser (nota: a extensão .mobileconfig ficará oculta por padrão, mas está lá). Ele reclamará que há um erro e pode não funcionar (de novo, por causa da senha perdida), mas pedirá para salvar mesmo assim.
Há uma coisa importante faltando no perfil neste momento: o escopo da carga útil. No macOS, os perfis de configuração podem ser aplicados a apenas um usuário ou a todo o sistema. O Apple Configurator tem como objetivo configurar dispositivos iOS e tvOS, que não possuem essa distinção, portanto não há como especificá-la. O macOS terá como padrão aplicá-lo ao escopo do usuário, mas pela sua descrição você deseja que ele se aplique ao escopo do sistema (computador inteiro). Então você precisa editar o arquivo.
Abra o arquivo .mobileconfig no editor escolhido e adicione
<key>PayloadScope</key><string>System</string>no nível superior. Deve ser algo assim:[EDIT:] Parece que você também precisa dizer para aplicar a configuração de Wi-Fi no nível do sistema, não apenas enquanto os usuários estão logados. Isso envolverá encontrar a parte do arquivo XML que contém essa parte da configuração . A maneira mais simples é procurar a
SSID_STRchave (e seu valor de string) e adicionar uma nova<key>SetupModes</key><array><string>System</string></array>entrada logo abaixo dela. Deve ser algo assim:(Observação: quando testei isso, o
SSID_STRitem era a última coisa nasdictconfigurações de Wi-Fi, então havia umadictetiqueta próxima logo abaixo dele. O seu pode estar em uma ordem diferente, caso em que haveria maiskeyentradas abaixo. Isso não é um problema, apenas as mesmas coisas em uma ordem diferente.)Agora o perfil de configuração está pronto. Abra Configurações do sistema (no menu Apple). A seção Perfis pode não ser mostrada por padrão, então você precisará escolhê-la no menu Exibir ou usar o campo Pesquisar para encontrá-la. De qualquer forma, selecione as configurações de Perfis.
Na lista de perfis instalados (que provavelmente estará vazia), clique no botão “+” e escolha o perfil de configuração que você acabou de criar. Mostrarei um resumo do que o perfil contém e lhe darei várias chances de desistir de instalá-lo. Clique em Continuar/Instalar/etc quantas vezes forem necessárias. Em algum momento, ele deverá solicitar a senha ausente do certificado do cliente e também a senha da conta do administrador local; insira-os e continue.
Quando terminar de avisá-lo, o perfil deverá estar listado em "Dispositivo" na lista de perfis instalados (se estiver em "Usuário", a mudança de escopo não funcionou; remova-o com o botão "-", verifique sua edição, e tente novamente). Se ele não se conectar à rede Wi-Fi imediatamente, pode ser necessário reiniciar o Mac para que as novas configurações tenham efeito total.
Aliás, acho que existe uma maneira de fazer com que o Mac extraia seu próprio certificado de cliente do serviço de certificado do Active Directory e aplique-o automaticamente à configuração do Wi-Fi. Mas não sei exatamente como configurar isso e, para um único Mac (para o qual você já criou um certificado de cliente), provavelmente não vale a pena se preocupar.