Jamf e RADIUS: autenticazione WiFi basata su certificati per flotte di dispositivi Apple

Questa guida di riferimento tecnico fornisce a IT manager, architetti di rete e CTO i passaggi operativi per implementare l'autenticazione WiFi 802.1X basata su certificati per le flotte di dispositivi Apple utilizzando Jamf Pro e RADIUS. Copre l'intero flusso di lavoro di provisioning dei certificati SCEP, la struttura del profilo di configurazione WiFi, i requisiti di integrazione RADIUS e scenari di implementazione reali in ambienti sanitari e aziendali. La guida è essenziale per qualsiasi organizzazione che desideri eliminare le vulnerabilità del WiFi basato su password, ridurre i costi di gestione dell'helpdesk e garantire la conformità agli standard di accesso alla rete PCI DSS e GDPR.

📖 9 minuti di lettura📝 2,102 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e oggi approfondiremo un tema infrastrutturale critico per gli ambienti Apple aziendali: la distribuzione dell'autenticazione WiFi basata su certificati utilizzando Jamf Pro e RADIUS.

Se sei un IT manager, un network architect o un direttore delle operazioni di una sede, conosci bene i problemi del WiFi basato su password. Gli utenti cambiano le loro password di Active Directory e improvvisamente i loro iPhone, iPad e MacBook si disconnettono dalla rete. I ticket di assistenza aumentano vertiginosamente. La sicurezza è compromessa perché le password possono essere condivise, oggetto di phishing o intercettate.

La soluzione di livello enterprise è 802.1X EAP-TLS. Si tratta dell'autenticazione basata su certificati. Niente password. Il dispositivo si autentica autonomamente utilizzando un certificato crittografico. E quando gestisci una flotta di dispositivi Apple, il modo standard del settore per distribuire tali certificati e le relative configurazioni WiFi è tramite il Mobile Device Management, nello specifico Jamf Pro.

Analizziamo l'architettura. All'edge, hai i tuoi Access Point aziendali. Dietro di essi, il tuo server RADIUS, ad esempio FreeRADIUS, Cisco ISE o Microsoft NPS. E a gestire i dispositivi, hai Jamf Pro.

La magia avviene attraverso un protocollo chiamato SCEP (Simple Certificate Enrollment Protocol). Lo SCEP consente a Jamf di indicare a un dispositivo Apple di comunicare con questa Certificate Authority e ottenere un certificato univoco.

Ecco il flusso passo dopo passo. Per prima cosa, configuri un Profilo di Configurazione in Jamf Pro. Questo profilo contiene due payload fondamentali. Il primo è il payload SCEP. Questo comunica al dispositivo macOS o iOS l'URL del tuo server SCEP e fornisce una password di verifica dinamica. Il dispositivo genera una Certificate Signing Request (o CSR) e la invia al server SCEP. Il server SCEP convalida la verifica, firma il certificato e lo rilascia al dispositivo.

Ora il dispositivo possiede un certificato univoco legato alla propria identità. Ma deve sapere cosa farsene. È qui che entra in gioco il secondo payload: il payload WiFi. In Jamf, configuri il payload WiFi per WPA2 o WPA3 Enterprise. Selezioni EAP-TLS come tipo di EAP accettato. E, aspetto cruciale, colleghi questo payload WiFi al payload SCEP appena creato. Stai dicendo al dispositivo: quando ti connetti all'SSID aziendale, usa il certificato ottenuto da questo processo SCEP per autenticarti.

Quando l'utente entra in ufficio, il MacBook rileva l'SSID. Avvia una connessione 802.1X. L'Access Point inoltra la richiesta al server RADIUS. Il server RADIUS e il MacBook si scambiano i certificati per stabilire una fiducia reciproca. Il server RADIUS convalida il certificato del MacBook confrontandolo con la Certificate Authority. Se è valido, non revocato e soddisfa i criteri richiesti, il server RADIUS invia un messaggio di Access-Accept all'Access Point e il dispositivo è in rete. In modo trasparente. Senza alcuna interazione da parte dell'utente.

Parliamo degli errori di implementazione più comuni. Il problema principale che riscontriamo riguarda i fallimenti della catena di attendibilità dei certificati. Affinché EAP-TLS funzioni, il dispositivo Apple deve considerare attendibile il certificato del server RADIUS e il server RADIUS deve considerare attendibile il certificato del dispositivo. Nel profilo WiFi di Jamf, è necessario definire esplicitamente i nomi dei certificati server attendibili e includere il certificato della Root CA nel profilo. Se si salta questo passaggio, iOS e macOS interromperanno la connessione in modo silenzioso o chiederanno all'utente di considerare attendibile il certificato manualmente, il che vanifica l'intero scopo dell'implementazione tramite MDM.

Un altro errore comune riguarda la richiesta di registrazione SCEP iniziale. Se il dispositivo tenta di ottenere il proprio certificato SCEP tramite la stessa rete WiFi a cui deve accedere con quel certificato, si crea un problema di tipo "uovo e gallina". È necessaria una rete di onboarding, oppure i dispositivi devono ricevere i propri profili tramite Ethernet o dati cellulari prima di connettersi al WiFi aziendale.

Ora, analizziamo uno scenario reale. Una grande rete ospedaliera stava distribuendo cinquemila iPad per il personale clinico. Utilizzavano PEAP con nomi utente e password. Ogni novanta giorni, le password di Active Directory scadevano. La mattina successiva alla scadenza, centinaia di infermieri non riuscivano ad accedere alle cartelle cliniche dei pazienti perché i loro iPad si disconnettevano dal WiFi. Passando a SCEP gestito da Jamf ed EAP-TLS, hanno eliminato completamente la rotazione delle password per l'accesso alla rete. I certificati erano validi per un anno e Jamf li rinnovava automaticamente a trenta giorni dalla scadenza tramite SCEP. I ticket di assistenza per problemi di WiFi sono diminuiti dell'ottantacinque percento.

Passiamo a una rapida sessione di domande e risposte. Domanda: Posso usare PEAP con Jamf invece di EAP-TLS? Tecnicamente sì, ma si perde il vantaggio principale dell'autenticazione senza password. EAP-TLS è lo standard consigliato. Domanda: Ho bisogno di una CA interna o posso usarne una pubblica? Per l'autenticazione RADIUS, si raccomanda vivamente una CA interna perché consente di controllare l'emissione e la revoca dei certificati dei dispositivi. Domanda: Cosa succede quando un dispositivo viene rimosso da Jamf? Il certificato deve essere revocato a livello di CA e il server RADIUS deve controllare la Certificate Revocation List per negare l'accesso.

Quali sono quindi i punti chiave da ricordare? Primo: abbandonare PEAP e le password. EAP-TLS è il gold standard per le flotte Apple. Secondo: sfruttare i payload SCEP dinamici di Jamf Pro per emettere certificati univoci e vincolati al dispositivo senza interventi manuali. Terzo: assicurarsi che le catene di attendibilità dei certificati siano definite esplicitamente nei profili di configurazione per evitare errori silenziosi. Quarto: pianificare attentamente la rete di onboarding; i dispositivi hanno bisogno di un percorso verso il server SCEP prima di potersi connettere al WiFi sicuro. E quinto: utilizzare certificati basati sul dispositivo per l'hardware condiviso e certificati basati sull'utente per le distribuzioni individuali.

Questo è il nostro approfondimento tecnico su Jamf e RADIUS per oggi. Per passaggi di configurazione più dettagliati e diagrammi di architettura, consultare la guida scritta completa sulla piattaforma Purple. Grazie per l'ascolto.

Punti chiave

✓EAP-TLS è lo standard di riferimento per l'autenticazione WiFi aziendale: elimina completamente le password e richiede che sia il dispositivo sia il server RADIUS dimostrino la propria identità tramite certificati digitali.
✓Jamf Pro automatizza la distribuzione dei certificati su scala per le flotte Apple utilizzando il protocollo SCEP, con password di verifica dinamiche per singolo dispositivo che garantiscono che solo i dispositivi gestiti possano registrarsi.
✓Una corretta implementazione del WiFi con Jamf richiede due payload collegati in un unico profilo di configurazione: un payload SCEP per ottenere il certificato e un payload WiFi che fa riferimento a tale certificato come identità.
✓Il fallimento di implementazione più comune è una catena di attendibilità del certificato incompleta: il profilo WiFi di Jamf deve includere esplicitamente la Root CA e specificare il CN del server RADIUS nel campo Trusted Server Certificate Names.
✓I certificati basati sul dispositivo (SAN = indirizzo MAC) sono essenziali per l'hardware condiviso, poiché garantiscono la connettività di rete all'avvio prima che qualsiasi utente effettui l'accesso.
✓Pianifica attentamente la rete di onboarding: i dispositivi hanno bisogno di un percorso di rete verso il server SCEP prima di poter ricevere il certificato e connettersi al SSID sicuro 802.1X.
✓Il rinnovo automatico del certificato (configurato a 30 giorni prima della scadenza) e la revoca immediata al momento della dismissione del dispositivo sono requisiti operativi non negoziabili per un'implementazione sicura e resiliente.

Executive Summary

La gestione dell'accesso sicuro alla rete WiFi per una flotta di dispositivi Apple in un ambiente aziendale rappresenta una sfida operativa e di sicurezza significativa quando ci si affida alla tradizionale autenticazione basata su password. Gli utenti cambiano le proprie credenziali di Active Directory e, immediatamente, i loro iPhone, iPad e MacBook si disconnettono dalla rete, generando ticket di assistenza, interrompendo i flussi di lavoro ed esponendo l'organizzazione ad attacchi basati sulle credenziali.

Per IT manager, network architect e CTO di hotel, catene retail, stadi e organizzazioni del settore pubblico, la soluzione è l'autenticazione 802.1X basata su certificati tramite EAP-TLS. Sfruttando Jamf Pro per distribuire certificati crittografici univoci via SCEP (Simple Certificate Enrollment Protocol) e integrandolo con un server RADIUS, le organizzazioni possono ottenere un accesso WiFi fluido e senza password per ogni dispositivo Apple gestito. Questa guida fornisce un approccio pratico e indipendente dai vendor per implementare l'autenticazione dei certificati WiFi Jamf RADIUS, garantendo una sicurezza robusta, la conformità a standard come PCI DSS e GDPR e una riduzione misurabile dei costi di supporto.

Approfondimento Tecnico

L'Architettura 802.1X EAP-TLS

La base dell'autenticazione WiFi basata su certificati è lo standard IEEE 802.1X combinato con il protocollo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Per un'introduzione dettagliata allo standard 802.1X, consulta la nostra guida su Autenticazione 802.1X: Proteggere l'Accesso alla Rete sui Dispositivi Moderni .

A differenza di PEAP (Protected EAP), che si affida a nome utente e password, l'EAP-TLS richiede che sia il dispositivo client sia il server di autenticazione dimostrino la propria identità utilizzando certificati digitali. Questa autenticazione reciproca è ciò che rende l'EAP-TLS il gold standard per le implementazioni aziendali. Il modello a tre parti è composto dai seguenti elementi.

Componente	Ruolo	Esempi
Supplicant	Il dispositivo Apple che richiede l'accesso alla rete	MacBook, iPhone, iPad
Authenticator	Il dispositivo di rete periferico che applica il controllo degli accessi	Access Point WiFi, WLC
Authentication Server	Valida i certificati e autorizza l'accesso	FreeRADIUS, Cisco ISE, Microsoft NPS

L'Access Point funge da gatekeeper, bloccando tutto il traffico fino a quando il server RADIUS non invia un messaggio di Access-Accept. Questo è il cuore del modello di Network Access Control (PNAC) basato su porte IEEE 802.1X.

SCEP e Jamf Pro: Distribuzione Scalabile dei Certificati

La sfida con EAP-TLS su larga scala è la distribuzione dei certificati. Installare manualmente un certificato univoco su 500 iPad non è un'operazione praticabile. È qui che l'integrazione tra Jamf Pro e SCEP Jamf diventa il fattore abilitante fondamentale.

SCEP (Simple Certificate Enrollment Protocol) è un protocollo leggero che consente a un dispositivo di richiedere e ricevere automaticamente un certificato firmato da un'Autorità di Certificazione (CA). Jamf Pro funge da orchestratore, inviando un Profilo di Configurazione a ciascun dispositivo Apple. Questo profilo contiene un payload SCEP che indica al dispositivo di contattare il server SCEP, fornisce una password di verifica dinamica e specifica gli attributi del certificato richiesti, come il Subject Alternative Name (SAN), che in genere è mappato sul codice MAC address o sul numero di serie del dispositivo.

Il meccanismo della password di verifica dinamica è particolarmente importante. In una distribuzione SCEP integrata con Jamf, Jamf genera una password di verifica univoca e monouso per ciascun dispositivo. Ciò garantisce che solo i dispositivi registrati in Jamf Pro — e quindi gestiti a livello aziendale — possano ottenere con successo un certificato dalla CA. Si tratta di un controllo di sicurezza fondamentale che impedisce la registrazione di dispositivi non autorizzati.

Attributi RADIUS per l'Autenticazione dei Dispositivi Apple

Quando il server RADIUS riceve un Access-Request dall'Access Point, valuta diversi attributi per prendere la sua decisione di autorizzazione. Per le distribuzioni Apple 802.1X, gli attributi RADIUS più rilevanti sono i seguenti.

Attributo RADIUS	Descrizione	Rilevanza Apple
`User-Name` (Attr 1)	L'identità presentata dal supplicant	In genere il Subject CN o il SAN del certificato
`NAS-IP-Address` (Attr 4)	L'IP dell'Access Point	Utilizzato per policy specifiche per AP
`Called-Station-Id` (Attr 30)	Il BSSID e l'SSID dell'AP	Consente l'applicazione di policy basate su SSID
`EAP-Message` (Attr 79)	Il pacchetto EAP incapsulato	Contiene i dati dell'handshake TLS
`Tunnel-Type` (Attr 64)	Specifica il tipo di assegnazione VLAN	Utilizzato per l'assegnazione dinamica della VLAN post-autenticazione
`Tunnel-Medium-Type` (Attr 65)	Specifica il mezzo per il tunnel	Richiesto per il tagging VLAN 802.1Q
`Tunnel-Private-Group-Id` (Attr 81)	L'ID della VLAN da assegnare	Consente la segmentazione della rete basata sui ruoli

L'attributo Tunnel-Private-Group-Id è particolarmente potente nelle distribuzioni aziendali. Restituendo diversi ID VLAN in base agli attributi del certificato (ad es. reparto, tipo di dispositivo), il server RADIUS può segmentare dinamicamente la rete senza richiedere SSID separati.

Guida all'Implementazione

La distribuzione dell'autenticazione WiFi con certificato per i dispositivi Apple tramite Jamf Pro segue una sequenza strutturata. Deviare da questo ordine è la causa principale dei fallimenti nelle distribuzioni.

Passaggio 1: Configurare l'Infrastruttura dell'Autorità di Certificazione

Prima di intervenire su Jamf, la tua infrastruttura CA deve essere già attiva. Per gli ambienti Microsoft, si tratta in genere di Active Directory Certificate Services (AD CS) con il ruolo Network Device Enrollment Service (NDES), che funge da server SCEP. Per gli ambienti non Microsoft, le opzioni includono EJBCA, HashiCorp Vault PKI o CA basate su cloud come AWS Private CA.

Assicurati che la gerarchia della tua CA sia chiara: una Root CA che viene mantenuta offline e una o più Issuing CA che firmano i certificati dei dispositivi. Il server RADIUS avrà bisogno di un proprio certificato firmato da questa stessa gerarchia di CA.

Passaggio 2: Configura il payload SCEP in Jamf Pro

Naviga su Computers (o Mobile Devices) > Configuration Profiles > New. Aggiungi un payload Certificate e seleziona SCEP come origine del certificato. I campi critici sono i seguenti.

URL: L'endpoint SCEP (ad es. http://ndes.yourdomain.com/certsrv/mscep/mscep.dll).
Name: Un nome descrittivo che apparirà nel Portachiavi del dispositivo.
Subject: Il Distinguished Name del certificato. Utilizza le variabili Jamf come CN=$COMPUTERNAME per i computer o CN=$JSSID per i dispositivi mobili.
Subject Alternative Name (SAN): Imposta il tipo di SAN su RFC 822 Name con il valore $MACADDRESS@yourdomain.com, oppure DNS Name con $COMPUTERNAME.yourdomain.com. Questo è ciò che il server RADIUS leggerà per identificare il dispositivo.
Challenge Type: Seleziona Dynamic per utilizzare il proxy SCEP integrato di Jamf, che genera password di verifica dinamiche per singolo dispositivo.
Key Size: Minimo RSA a 2048 bit. Si consiglia 4096 bit per le nuove distribuzioni.
Key Usage: Abilita sia Signing che Encryption.

Passaggio 3: Configura il payload WiFi

Nello stesso Profilo di Configurazione, aggiungi un payload Wi-Fi. Le impostazioni chiave per Apple 802.1X sono le seguenti.

SSID: Il nome esatto del tuo SSID aziendale sicuro.
Security Type: WPA2 Enterprise o WPA3 Enterprise (consigliato dove supportato dall'hardware).
Protocols — Accepted EAP Types: Seleziona solo TLS. Deseleziona PEAP, TTLS e tutti gli altri tipi per imporre esclusivamente EAP-TLS.
Authentication — Identity Certificate: Seleziona il payload SCEP creato al Passaggio 2. Questo è il collegamento fondamentale tra il certificato e la connessione WiFi.
Trust — Trusted Server Certificate Names: Inserisci il Common Name (CN) esatto del certificato del tuo server RADIUS (ad es. radius.yourdomain.com). Questo è l'elemento di configurazione che viene dimenticato più spesso.
Trust — Trusted Certificates: Carica la Root CA e gli eventuali certificati delle CA intermedie che hanno firmato il certificato del server RADIUS.

Passaggio 4: Configura il server RADIUS

Sul tuo server RADIUS, crea un criterio di rete che corrisponda agli attributi del certificato definiti in Jamf. Per Microsoft NPS, ciò significa creare un Connection Request Policy che corrisponda all'SSID tramite l'attributo Called-Station-Id e un Network Policy che convalidi il certificato rispetto alla tua CA e, facoltativamente, assegni una VLAN tramite gli attributi Tunnel.

Per FreeRADIUS, configura il modulo eap per utilizzare tls e indirizzalo al tuo certificato CA, al certificato del server e alla chiave privata. Il file users o il backend SQL devono essere configurati per far corrispondere il SAN del certificato con l'inventario dei tuoi dispositivi.

Passaggio 5: Definizione dell'ambito e distribuzione del profilo

In Jamf Pro, definisci l'ambito del Profilo di Configurazione per i gruppi di dispositivi appropriati, ad esempio tutti i dispositivi nello Smart Group "Corporate Fleet". Il profilo verrà inviato automaticamente tramite MDM. I dispositivi online lo riceveranno entro pochi minuti; i dispositivi offline lo riceveranno al successivo check-in.

Best Practice

Implementa WPA3 Enterprise dove possibile. WPA3 Enterprise con modalità a 192 bit offre una sicurezza crittografica avanzata utilizzando GCMP-256 e HMAC-SHA-384, garantendo una protezione significativamente più forte rispetto a WPA2 Enterprise. Per gli ambienti del settore Hospitality e le organizzazioni del settore Healthcare che gestiscono dati sensibili, questo aggiornamento è sempre più un requisito di conformità piuttosto che una semplice best practice.

Sfrutta i certificati basati sul dispositivo per l'hardware condiviso. Per i dispositivi condivisi, come gli iPad per i punti vendita retail, i tablet per la reception degli hotel o i dispositivi clinici, utilizza certificati associati al dispositivo anziché all'utente. Ciò garantisce che il dispositivo si connetta alla rete all'avvio, prima che qualsiasi utente acceda, consentendo il corretto funzionamento dei check-in MDM, degli aggiornamenti delle app e delle notifiche push. Questa è una considerazione critica per le distribuzioni nel settore Retail in cui i dispositivi possono essere condivisi tra più turni.

Integra l'accesso alla rete con la tua strategia di sicurezza complessiva. Mentre il personale utilizza lo standard 802.1X per l'accesso interno sicuro, assicurati che le tue reti pubbliche siano gestite tramite una solida soluzione di Guest WiFi per mantenere una chiara separazione del traffico. La combinazione dell'autenticazione del personale basata su certificati con WiFi Analytics offre una visibilità completa sia sul comportamento dei dispositivi autenticati sia sull'attività della rete guest.

Automatizza il rinnovo dei certificati. Configura il payload SCEP in Jamf per attivare il rinnovo automatico quando un certificato si trova a 14-30 giorni dalla scadenza. Ciò evita lo scenario in cui un dispositivo perde silenziosamente l'accesso alla rete perché il suo certificato è scaduto durante la notte. In Jamf Pro, questo aspetto viene controllato tramite l'impostazione Soglia di rinnovo nel payload SCEP.

Mantieni un elenco di revoca dei certificati (CRL) o un risponditore OCSP. Quando un dispositivo viene dismesso, rubato o rimosso da Jamf, il suo certificato deve essere revocato a livello di CA. Configura il tuo server RADIUS per controllare l'endpoint CRL o OCSP a ogni tentativo di autenticazione. Senza questo controllo, un dispositivo rubato con un certificato valido potrebbe comunque autenticarsi sulla rete. Per ulteriori approfondimenti sulle decisioni relative alle moderne infrastrutture di rete, la guida The Core SD WAN Benefits for Modern Businesses fornisce un contesto utile su come l'autenticazione basata su certificati si integri con le architetture overlay SD-WAN.

Risoluzione dei problemi e mitigazione dei rischi

Il problema di provisioning dell'uovo e della gallina. I dispositivi hanno bisogno di una connessione di rete per raggiungere il server SCEP e scaricare il proprio certificato, ma hanno bisogno del certificato per accedere alla rete WiFi protetta. Questo è il blocco alla distribuzione più comune. Le strategie di mitigazione raccomandate sono: provisioning tramite Ethernet utilizzando adattatori da USB-C o Lightning a Ethernet; utilizzo dei dati cellulari su iPhone e iPad dotati di connettività cellulare; oppure creazione di un SSID di onboarding temporaneo e limitato con regole di firewall che consentano solo il traffico SCEP e MDM.

Errori EAP-TLS silenziosi su macOS. Se la catena di attendibilità è incompleta, macOS potrebbe non riuscire a connettersi in modo silenzioso, senza mostrare un errore significativo nell'interfaccia utente. L'unica indicazione è presente nel registro di sistema. Utilizza log stream --predicate 'subsystem == "com.apple.network"' per acquisire gli eventi di autenticazione in tempo reale. Verifica sempre che l'array Trusted Server Certificate Names nel profilo Jamf corrisponda esattamente al CN nel certificato del server RADIUS.

Timeout RADIUS durante eventi ad alto carico. In ambienti come stadi o centri congressi, le richieste di autenticazione simultanee da parte di centinaia di dispositivi possono sovraccaricare il server RADIUS. Mitiga questo problema distribuendo RADIUS in una coppia ad alta disponibilità, ottimizzando il parametro max_requests in FreeRADIUS e assicurando che il server RADIUS disponga di CPU e memoria sufficienti per il carico di autenticazione simultaneo previsto. Per installazioni in grandi spazi, consulta la nostra guida su Wireless Access Points Definition Your Ultimate 2026 Guide per considerazioni sulla pianificazione della capacità.

Mancata corrispondenza degli attributi del certificato. Se il SAN nel certificato del dispositivo non corrisponde a quanto previsto dalla Network Policy di RADIUS, l'autenticazione fallirà. Questo accade di frequente quando si migra da una CA all'altra o quando le variabili di Jamf si risolvono in modo diverso dal previsto. Esegui sempre un test con un singolo dispositivo e ispeziona i log del server RADIUS per confermare l'esatta stringa di identità presentata prima di procedere alla distribuzione sull'intera flotta.

ROI e impatto aziendale

Il passaggio all'autenticazione tramite certificati WiFi Jamf RADIUS offre un valore aziendale misurabile su diversi fronti.

Metrica	Risultato tipico
Riduzione dei ticket di helpdesk	Riduzione del 60–85% delle richieste di supporto relative al WiFi
Tempo di onboarding per dispositivo	Ridotto da 15–30 minuti a meno di 2 minuti (zero-touch)
Rischio di incidenti di sicurezza	Quasi totale eliminazione degli attacchi WiFi basati su credenziali
Livello di conformità	Soddisfa i requisiti PCI DSS 1.3 e i controlli di rete dell'Articolo 32 del GDPR
Ciclo di vita del certificato	Il rinnovo automatizzato elimina la gestione manuale dei certificati
Il fattore di ROI più significativo è l'eliminazione delle interruzioni dovute alla rotazione delle password. In una flotta di 500 dispositivi in cui il 10% dei dispositivi si disconnette dalla rete ogni trimestre a causa del cambio password, e ogni incidente richiede 20 minuti di intervento IT per essere risolto, il solo risparmio sui costi di supporto annuali può giustificare l'investimento di implementazione già entro il primo anno.

Per gli operatori del settore Transport e per i grandi spazi ed eventi, il business case è ulteriormente rafforzato dalla capacità di applicare l'assegnazione dinamica delle VLAN, garantendo che i dispositivi operativi, i dispositivi del personale e i sistemi di gestione siano segmentati automaticamente senza riconfigurazioni manuali della rete.

Definizioni chiave

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Il metodo di autenticazione 802.1X più sicuro, che richiede sia al dispositivo client che al server RADIUS di autenticarsi a vicenda tramite certificati digitali. Non viene scambiata o trasmessa alcuna password.

Quando i team IT devono eliminare il WiFi basato su password e applicare una rigida conformità dei dispositivi, lo standard obbligatorio è EAP-TLS. È l'unico tipo di EAP che fornisce l'autenticazione reciproca.

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di richiedere in modo sicuro e automatico certificati digitali a un'Autorità di Certificazione utilizzando un meccanismo di challenge-response.

Essenziale per scalare le distribuzioni di certificati tramite Jamf Pro senza richiedere al personale IT di installare manualmente i certificati su migliaia di dispositivi. Il proxy SCEP dinamico di Jamf genera password di verifica per singolo dispositivo.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce la gestione centralizzata di Autenticazione, Autorizzazione e Accounting (AAA) per i dispositivi che si connettono a un servizio di rete.

Il motore decisionale centrale che indica all'Access Point WiFi se un dispositivo gestito da Jamf è autorizzato ad accedere alla rete e, facoltativamente, quale VLAN assegnare.

Configuration Profile

Un file XML (.mobileconfig) distribuito da Jamf Pro che contiene uno o più payload per gestire le impostazioni sui dispositivi Apple, inclusi certificati, WiFi, VPN e restrizioni.

Questo è lo strumento utilizzato per inviare le impostazioni SCEP, la configurazione del SSID WiFi e la catena di attendibilità del certificato a iPhone, iPad o Mac.

CSR (Certificate Signing Request)

Un blocco di testo codificato generato dal dispositivo Apple contenente la chiave pubblica e le informazioni sull'identità, inviato all'Autorità di Certificazione per richiedere un certificato digitale firmato.

Il primo passo nel processo SCEP. Il dispositivo genera la CSR localmente, garantendo che la chiave privata non lasci mai il dispositivo: un principio fondamentale della sicurezza PKI.

Subject Alternative Name (SAN)

Un'estensione di un certificato X.509 che consente di associare più valori di identità al certificato, come indirizzi e-mail, nomi DNS, indirizzi IP o indirizzi MAC.

Cruciale per l'autenticazione RADIUS. Il server RADIUS legge la SAN per identificare il dispositivo o l'utente. Nelle distribuzioni Jamf, la SAN è solitamente impostata sull'indirizzo MAC del dispositivo o sull'UPN dell'utente.

Root CA (Certificate Authority)

Il certificato di livello più alto in una gerarchia PKI, la cui chiave privata viene utilizzata per firmare i certificati delle CA subordinate. Il certificato della Root CA deve essere considerato attendibile da tutte le parti coinvolte nella catena di autenticazione.

Deve essere distribuita ai dispositivi Apple tramite Jamf in modo che considerino attendibili i certificati presentati dal server RADIUS durante l'handshake EAP-TLS. Senza di essa, l'handshake fallisce.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC), che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN prima che venga concesso l'accesso alla rete.

La struttura generale che blocca il traffico di rete sull'Access Point finché il server RADIUS non convalida il certificato fornito da Jamf. Tutta la sicurezza WiFi aziendale si basa su questo standard.

Dynamic VLAN Assignment

Una funzionalità RADIUS che assegna un dispositivo di connessione a una VLAN specifica in base agli attributi di policy restituiti nel messaggio Access-Accept, utilizzando gli attributi RADIUS Tunnel 64, 65 e 81.

Consente la segmentazione della rete senza richiedere più SSID. Un singolo SSID aziendale può inserire automaticamente gli iPad clinici nella VLAN 20, i MacBook dei dirigenti nella VLAN 30 e i dispositivi degli ospiti nella VLAN 100.

Esempi pratici

Un ospedale da 500 posti letto deve distribuire 1.200 iPad condivisi per il personale clinico. Attualmente utilizzano PEAP con credenziali Active Directory, il che comporta la disconnessione di centinaia di dispositivi ogni 90 giorni alla scadenza delle password. Come dovrebbero riprogettare la loro architettura di autenticazione?

L'ospedale dovrebbe migrare a EAP-TLS utilizzando certificati basati su dispositivo gestiti tramite Jamf Pro. L'implementazione prevede quattro passaggi chiave. Primo, distribuire AD CS con il ruolo NDES per fungere da server SCEP, emettendo certificati da un modello di certificato dedicato "Clinical Device". Secondo, configurare un profilo di configurazione Jamf con un payload SCEP che utilizzi $MACADDRESS come SAN e un payload WiFi destinato all'SSID clinico solo con EAP-TLS, impostando esplicitamente la attendibilità del certificato del server RADIUS. Terzo, configurare Microsoft NPS con un criterio di rete che corrisponda al modello di certificato "Clinical Device" e assegni i dispositivi alla VLAN clinica (Tunnel-Private-Group-Id = 20). Quarto, impostare la soglia di rinnovo SCEP a 30 giorni per garantire il rinnovo automatico del certificato senza l'intervento dell'IT. I dispositivi dovrebbero essere configurati tramite Ethernet durante il rollout iniziale per risolvere il problema della rete di onboarding.

Commento dell'esaminatore: Questo approccio elimina completamente il problema della rotazione delle password ogni 90 giorni. Utilizzando certificati basati su dispositivo anziché su utente, gli iPad rimangono connessi alla rete anche quando si trovano su un carrello di ricarica, garantendo la ricezione degli aggiornamenti MDM critici e delle notifiche push prima che un medico li prenda in mano. L'assegnazione dinamica della VLAN tramite RADIUS assicura che i dispositivi clinici vengano inseriti automaticamente nel segmento di rete corretto, soddisfacendo i requisiti di segmentazione della rete HIPAA senza configurazione manuale.

Un'agenzia creativa con 300 MacBook si sta trasferendo in un nuovo ufficio. Desiderano un provisioning WiFi zero-touch: i nuovi MacBook dovrebbero connettersi automaticamente all'SSID aziendale sicuro quando vengono disimballati dagli utenti finali alla loro scrivania, senza alcun intervento da parte dell'IT. Come possono ottenere questo risultato?

L'agenzia deve combinare l'Automated Device Enrollment (ADE) di Apple con Jamf Pro e un profilo di configurazione accuratamente sequenziato. Durante l'Impostazione Assistita di macOS, il MacBook si connette a Internet tramite un SSID di onboarding temporaneo aperto (limitato dal firewall per consentire solo il traffico di attivazione Apple, Jamf MDM e SCEP). Contatta Apple, riconosce di appartenere all'agenzia tramite ADE e si registra automaticamente in Jamf Pro. Jamf Pro invia immediatamente un profilo di configurazione pre-configurato contenente il payload SCEP e il payload WiFi aziendale. La registrazione SCEP si completa tramite l'SSID di onboarding, il certificato viene installato nel Portachiavi e il payload WiFi si attiva. Il MacBook passa quindi automaticamente all'SSID aziendale sicuro 802.1X. Dal punto di vista dell'utente, è sufficiente completare l'Impostazione Assistita e il laptop è connesso alla rete aziendale.

Commento dell'esaminatore: Questo scenario evidenzia l'importanza fondamentale della rete di onboarding nelle distribuzioni zero-touch. Il payload SCEP e il payload WiFi devono trovarsi nello stesso profilo di configurazione ed essere associati al gruppo Prestage Enrollment in modo da essere inviati immediatamente al momento della registrazione MDM, prima che l'utente raggiunga la scrivania. Se il profilo è associato a uno Smart Group che richiede che il dispositivo sia prima completamente registrato, potrebbe verificarsi un ritardo durante il quale il dispositivo non ha accesso alla rete, interrompendo l'esperienza zero-touch.

Domande di esercitazione

Q1. Hai distribuito un Profilo di Configurazione Jamf con un payload SCEP e un payload WiFi a 50 MacBook. I certificati SCEP sono installati correttamente nel Portachiavi, ma sui MacBook compare una finestra di dialogo 'Verifica certificato' quando gli utenti tentano di connettersi al SSID aziendale. Quale elemento di configurazione è mancante o errato?

Suggerimento: Pensa a quali informazioni il dispositivo Apple ha bisogno per considerare attendibile in modo automatico l'identità del server RADIUS senza l'interazione dell'utente.

Visualizza risposta modello

Nel payload WiFi del Profilo di Configurazione Jamf manca la voce 'Nomi dei certificati server attendibili' (che deve corrispondere esattamente al CN nel certificato del server RADIUS), oppure i certificati della CA radice e della CA intermedia che hanno firmato il certificato del server RADIUS non sono inclusi nel payload Trust del profilo. Senza un'attendibilità esplicita definita dall'MDM, macOS e iOS richiedono che l'utente verifichi e accetti manualmente il certificato del server RADIUS durante l'handshake EAP-TLS. Entrambi i campi devono essere compilati: l'array dei Certificati Attendibili (contenente la catena della CA) e l'array dei Nomi dei Certificati Server Attendibili (contenente il CN del server RADIUS).

Q2. Una catena di negozi desidera che i propri iPad per i punti vendita si connettano al WiFi aziendale sicuro immediatamente all'avvio, prima che qualsiasi membro del personale acceda all'applicazione POS. L'attuale distribuzione utilizza certificati utente associati ai singoli UPN dei dipendenti. I dispositivi spesso non riescono a connettersi all'inizio di un turno. Qual è la causa principale e quale è la corretta modifica architetturale?

Suggerimento: Considera quando i diversi tipi di certificati diventano disponibili per lo stack di rete iOS rispetto al ciclo di vita dell'autenticazione dell'utente.

Visualizza risposta modello

La causa principale è che i certificati utente (associati a un UPN) sono memorizzati nel portachiavi dell'utente e sono accessibili solo dopo che l'utente si è autenticato sul dispositivo. All'avvio o nella schermata di blocco di iOS, il portachiavi dell'utente è bloccato, quindi lo stack WiFi non può accedere al certificato per eseguire l'EAP-TLS. La modifica architetturale corretta consiste nel passare ai certificati di dispositivo, in cui il SAN è impostato sull'indirizzo MAC o sul numero di serie del dispositivo. I certificati di dispositivo sono memorizzati nel portachiavi di sistema, accessibile all'avvio prima dell'accesso di qualsiasi utente. I Criteri di rete RADIUS devono essere aggiornati per corrispondere ai certificati di dispositivo anziché a quelli utente, e il payload Jamf SCEP deve essere aggiornato per utilizzare variabili a livello di dispositivo come $MACADDRESS o $SERIALNUMBER come SAN.

Q3. La tua organizzazione utilizza Microsoft NPS come server RADIUS. Stai configurando un nuovo payload Jamf SCEP per 200 MacBook. I Criteri di rete NPS sono configurati per richiedere che il Subject Alternative Name (SAN) del certificato corrisponda a un account computer in Active Directory. Quale valore SAN dovresti configurare nel payload Jamf SCEP e quale formato si aspetta NPS?

Suggerimento: L'autenticazione del certificato computer di NPS richiede che il SAN corrisponda all'identità del computer in Active Directory in un formato specifico.

Visualizza risposta modello

Per l'autenticazione del certificato computer di NPS, il SAN deve essere impostato sul tipo DNS Name con il valore $COMPUTERNAME.yourdomain.com (utilizzando la variabile Jamf per l'hostname del computer). NPS si aspetta che il DNS Name del SAN corrisponda al nome di dominio completo (FQDN) del computer così come appare in Active Directory. In alternativa, se si utilizza il tipo SAN User Principal Name, il formato deve essere host/$ COMPUTERNAME@YOURDOMAIN.COM . La condizione dei Criteri di rete NPS deve essere impostata per corrispondere all'attributo 'Client Certificate SAN'. Assicurati che i MacBook siano associati ad Active Directory o che i nomi dei computer in Jamf corrispondano agli oggetti computer in AD, altrimenti la ricerca NPS fallirà anche se il certificato è valido.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.