跳至主要內容
繁體中文

Jamf 與 RADIUS:適用於 Apple 裝置群的憑證式 WiFi 驗證

本技術參考指南為 IT 經理、網路架構師和 CTO 提供實用步驟,以使用 Jamf Pro 和 RADIUS 為 Apple 裝置群部署憑證式 802.1X WiFi 驗證。內容涵蓋完整的 SCEP 憑證佈署工作流程、WiFi 設定描述檔結構、RADIUS 整合需求,以及來自醫療保健和企業環境的實際部署案例。對於任何希望消除密碼式 WiFi 安全漏洞、降低技術支援中心開銷,並符合 PCI DSS 和 GDPR 網路存取標準的組織而言,本指南皆不可或缺。

📖 9 分鐘閱讀📝 2,102 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 技術簡報。我是您的主持人,今天我們將深入探討企業級 Apple 環境中一項關鍵的基礎架構主題:使用 Jamf Pro 和 RADIUS 部署基於憑證的 WiFi 驗證。 如果您是 IT 經理、網路架構師或場域營運總監,您一定深知使用密碼進行 WiFi 驗證的痛點。使用者更改了他們的 Active Directory 密碼,他們的 iPhone、iPad 和 MacBook 就會突然斷開網路連線。技術支援工單隨之激增。此外,由於密碼可能會被分享、遭受網路釣魚或被攔截,安全性也會大打折扣。 企業級的解決方案是 802.1X EAP-TLS。這是一種基於憑證的驗證方式。不需要密碼。裝置會使用加密憑證來驗證自身身份。當您管理大量的 Apple 裝置時,部署這些憑證及相應 WiFi 設定的業界標準方法,就是透過行動裝置管理(Mobile Device Management)——特別是 Jamf Pro。 讓我們來剖析一下這個架構。在邊緣端,您有企業級的 Access Point。在它們背後,是您的 RADIUS 伺服器——可能是 FreeRADIUS、Cisco ISE 或 Microsoft NPS。而負責管理裝置的,則是 Jamf Pro。 這一切的奧妙在於一個名為 SCEP(簡單憑證註冊協定)的協定。SCEP 允許 Jamf 告訴 Apple 裝置:去與這個憑證授權單位(Certificate Authority)進行通訊,並為自己取得一個專屬的憑證。 以下是逐步的流程。首先,您在 Jamf Pro 中設定一個設定描述檔(Configuration Profile)。此描述檔包含兩個關鍵的承載資料(payload)。第一個是 SCEP 承載資料。這會告訴 macOS 或 iOS 裝置您的 SCEP 伺服器 URL,並提供一個動態盤問密碼。裝置會產生一個憑證簽署要求(CSR),並將其傳送到 SCEP 伺服器。SCEP 伺服器會驗證該盤問,簽署憑證,然後將其核發回裝置。 現在,該裝置已擁有一個專屬且與身份綁定的憑證。但它需要知道該如何使用它。這就是第二個承載資料發揮作用的地方:WiFi 承載資料。在 Jamf 中,您將 WiFi 承載資料設定為 WPA2 或 WPA3 企業級。您選擇 EAP-TLS 作為接受的 EAP 類型。至關重要的一點是,您要將此 WiFi 承載資料連結到您剛剛建立的 SCEP 承載資料。您是在告訴裝置:當您連線到企業 SSID 時,請使用您從此 SCEP 程序中取得的憑證進行驗證。 當使用者走進辦公室時,MacBook 會偵測到 SSID。它會發起 802.1X 連線。Access Point 會將此請求傳遞給 RADIUS 伺服器。RADIUS 伺服器和 MacBook 會交換憑證以建立雙向信任。RADIUS 伺服器會根據憑證授權單位驗證 MacBook 的憑證。如果憑證有效、未被撤銷且符合所需的原則,RADIUS 伺服器就會向 Access Point 傳送 Access-Accept 訊息,裝置便能順利連上網路。整個過程無縫接軌,完全不需要使用者進行任何操作。 讓我們來談談導入時常見的陷阱。我們最常遇到的第一大問題是憑證信任鏈失敗。要讓 EAP-TLS 正常運作,Apple 裝置必須信任 RADIUS 伺服器的憑證,且 RADIUS 伺服器也必須信任該裝置的憑證。在您的 Jamf WiFi 設定檔中,您必須明確定義信任的伺服器憑證名稱,並在設定檔中包含根憑證授權單位(Root CA)憑證。如果您遺漏了這一點,iOS 和 macOS 將會無聲無息地連線失敗,或者提示使用者手動信任憑證——這完全違背了部署 MDM 的初衷。 另一個常見的陷阱是初始 SCEP 註冊挑戰。如果裝置試圖透過其需要憑證才能存取的同一個 WiFi 網路來取得其 SCEP 憑證,您就會遇到「先有雞還是先有蛋」的問題。您需要一個引導上網(onboarding)網路,或者裝置在連線到企業 WiFi 之前,必須先透過乙太網路或行動數據接收其設定檔。 現在,讓我們來看一個真實世界的案例。一家大型醫院網路當時正在為臨床人員部署五千台 iPad。他們使用的是需要使用者名稱和密碼的 PEAP。每隔九十天,Active Directory 密碼就會過期。密碼過期後的隔天早上,數百名護理人員因為 iPad 斷開 WiFi 連線而無法存取病患病歷。透過改用 Jamf 管理的 SCEP 和 EAP-TLS,他們完全免除了網路存取的密碼輪替。憑證的有效期為一年,Jamf 會在到期前三十天透過 SCEP 自動更新憑證。因 WiFi 問題產生的客服工單減少了百分之八十五。 讓我為您進行快速問答。問題:我可以在 Jamf 中使用 PEAP 代替 EAP-TLS 嗎?技術上是可以的,但您會失去無密碼驗證的核心優勢。EAP-TLS 是推薦的標準。問題:我需要內部 CA,還是可以使用公開 CA?對於 RADIUS 驗證,強烈建議使用內部 CA,因為您可以控制裝置憑證的核發與撤銷。問題:當裝置從 Jamf 取消註冊時會發生什麼事?憑證應在 CA 層級被撤銷,且 RADIUS 伺服器應檢查憑證撤銷清單(CRL)以拒絕存取。 那麼,有哪些關鍵要點?第一:捨棄 PEAP 和密碼。EAP-TLS 是 Apple 裝置群的黃金標準。第二:利用 Jamf Pro 的動態 SCEP 負載,在無需手動干預的情況下,核發唯一的、綁定裝置的憑證。第三:確保在您的組態設定檔中明確定義憑證信任鏈,以防止無聲無息的失敗。第四:仔細規劃您的引導上網網路——裝置在加入安全 WiFi 之前,需要有一條通往 SCEP 伺服器的路徑。第五:對共享硬體使用基於裝置的憑證,對一對一的部署使用基於使用者的憑證。 這就是我們今天針對 Jamf 和 RADIUS 的技術深度探討。如需更詳細的設定步驟和架構圖,請參閱 Purple 平台上的完整書面指南。感謝您的收聽。

header_image.png

執行摘要

在企業環境中,如果依賴傳統的密碼驗證方式,為大量的 Apple 裝置管理安全的 WiFi 存取,將會面臨重大的營運與安全挑戰。當使用者變更其 Active Directory 認證時,他們的 iPhone、iPad 和 MacBook 會立即斷開網路連線,進而產生技術支援工單、中斷工作流程,並使組織暴露於憑證型攻擊的風險中。

對於飯店、零售連鎖店、體育場館和公共部門組織的 IT 經理、網路架構師和 CTO 而言,解決方案是使用 EAP-TLS憑證型 802.1X 驗證。透過利用 Jamf Pro 經由 SCEP(簡單憑證註冊協定)分發唯一的加密憑證,並與 RADIUS 伺服器整合,組織可以為每台受管理的 Apple 裝置實現無縫、免密碼的 WiFi 存取。本指南提供了一種實用且不綁定特定廠商的方法來部署 Jamf RADIUS WiFi 憑證驗證,以確保強大的安全性、符合 PCI DSS 和 GDPR 等標準,並顯著減少支援開銷。

技術深度解析

802.1X EAP-TLS 架構

憑證型 WiFi 驗證的基礎是 IEEE 802.1X 標準與 EAP-TLS(可延伸驗證協定-傳輸層安全)協定的結合。如需 802.1X 標準本身的詳細入門知識,請參閱我們的指南: 802.1X 驗證:保障現代裝置上的網路存取安全

與依賴使用者名稱和密碼的 PEAP(受保護的 EAP)不同,EAP-TLS 要求用戶端裝置和驗證伺服器雙方都必須使用數位憑證來證明其身分。這種雙向驗證正是使 EAP-TLS 成為企業部署黃金標準的原因。此三方模型由以下元件組成。

元件 角色 範例
Supplicant(用戶端) 請求網路存取的 Apple 裝置 MacBook, iPhone, iPad
Authenticator(驗證器) 執行存取控制的網路邊緣裝置 WiFi 存取點 (AP), WLC
Authentication Server(驗證伺服器) 驗證憑證並授權存取 FreeRADIUS, Cisco ISE, Microsoft NPS

存取點扮演守門人的角色,在 RADIUS 伺服器傳送 Access-Accept 訊息之前,會阻擋所有流量。這是 IEEE 802.1X 埠型網路存取控制 (PNAC) 核心模型的運作方式。

radius_architecture_overview.png

SCEP 與 Jamf Pro:可擴充的憑證分發

大規模部署 EAP-TLS 的挑戰在於憑證分發。手動在 500 台 iPad 上安裝不重複的憑證並非可行的做法。這正是 Jamf Pro 與 SCEP Jamf 整合發揮關鍵作用之處。

SCEP(簡單憑證註冊協定)是一種輕量級協定,允許裝置自動向憑證授權單位 (CA) 請求並接收已簽署的憑證。Jamf Pro 扮演協調者的角色,將設定描述檔推送到每台 Apple 裝置。此描述檔包含一個 SCEP 承載資料,指示裝置與 SCEP 伺服器聯絡,提供動態驗證密碼,並指定所需的憑證屬性 — 例如主體替代名稱 (SAN),這通常會對應到裝置的 MAC 位址或序號。

scep_flow_diagram.png

動態驗證密碼機制尤為重要。在與 Jamf 整合的 SCEP 部署中,Jamf 會為每台裝置產生一個專屬且單次使用的驗證密碼。這可確保只有在 Jamf Pro 中註冊(即受企業管理)的裝置才能成功從 CA 取得憑證。這是一項關鍵的安全控制措施,可防止未經授權的裝置進行註冊。

用於 Apple 裝置驗證的 RADIUS 屬性

當 RADIUS 伺服器從存取點(Access Point)收到 Access-Request 時,它會評估多個屬性以做出授權決定。對於 Apple 802.1X 部署,最相關的 RADIUS 屬性如下。

RADIUS 屬性 說明 Apple 相關性
User-Name (Attr 1) 請求端提供的身分識別 通常為憑證的主體 CN 或 SAN
NAS-IP-Address (Attr 4) 存取點的 IP 用於特定 AP 的原則
Called-Station-Id (Attr 30) AP 的 BSSID 與 SSID 啟用基於 SSID 的原則強制執行
EAP-Message (Attr 79) 封裝的 EAP 封包 包含 TLS 握手資料
Tunnel-Type (Attr 64) 指定 VLAN 指派類型 用於驗證後的動態 VLAN 指派
Tunnel-Medium-Type (Attr 65) 指定通道的媒介 802.1Q VLAN 標記所需
Tunnel-Private-Group-Id (Attr 81) 要指派的 VLAN ID 啟用基於角色的網路分段

Tunnel-Private-Group-Id 屬性在企業部署中特別強大。透過根據憑證屬性(例如部門、裝置類型)傳回不同的 VLAN ID,RADIUS 伺服器可以動態分割網路,而無需設定多個 SSID。

實作指南

透過 Jamf Pro 部署憑證 WiFi Apple 驗證遵循結構化的順序。偏離此順序是導致部署失敗的主要原因。

步驟 1:建立您的憑證授權單位基礎架構

在開始設定 Jamf 之前,您的 CA 基礎架構必須先準備就緒。對於 Microsoft 環境,這通常是具有網路裝置註冊服務 (NDES) 角色的 Active Directory 憑證服務 (AD CS),該角色充當 SCEP 伺服器。對於非 Microsoft 環境,可選擇 EJBCA、HashiCorp Vault PKI 或雲端 CA(例如 AWS Private CA)。

確保您的 CA 層級結構清晰:一個保持離線的根 CA (Root CA),以及一個或多個用於簽署裝置憑證的發行 CA (Issuing CA)。RADIUS 伺服器將需要其專屬的憑證,且該憑證須由同一個 CA 層級結構簽署。

步驟 2:在 Jamf Pro 中設定 SCEP 承載資料

導覽至 電腦(或 行動裝置)> 設定描述檔 > 新增。新增 憑證 承載資料,並選擇 SCEP 作為憑證來源。關鍵欄位如下:

  • URL: SCEP 端點(例如 http://ndes.yourdomain.com/certsrv/mscep/mscep.dll)。
  • 名稱: 將顯示在裝置「鑰匙圈」中的描述性名稱。
  • 主體: 憑證的辨識名稱 (Distinguished Name)。電腦請使用 Jamf 變數如 CN=$COMPUTERNAME,行動裝置請使用 CN=$JSSID
  • 主體替代名稱 (SAN): 將 SAN 類型設定為 RFC 822 Name,值為 $MACADDRESS@yourdomain.com,或設定為 DNS Name,值為 $COMPUTERNAME.yourdomain.com。這是 RADIUS 伺服器用來識別裝置的資訊。
  • 盤問類型: 選擇 動態 以使用 Jamf 內建的 SCEP 代理,該代理會為每台裝置產生專屬的盤問密碼。
  • 金鑰大小: 至少 2048 位元 RSA。新部署建議使用 4096 位元。
  • 金鑰用途: 同時啟用 簽署加密

步驟 3:設定 WiFi 承載資料

在同一個設定描述檔中,新增 Wi-Fi 承載資料。Apple 802.1X 的關鍵設定如下:

  • SSID: 您企業安全 SSID 的確切名稱。
  • 安全性類型: WPA2 企業級或 WPA3 企業級(建議在硬體支援的情況下使用)。
  • 協定 — 接受的 EAP 類型: 僅選擇 TLS。取消勾選 PEAP、TTLS 和所有其他類型,以強制僅使用 EAP-TLS。
  • 驗證 — 身分憑證: 選擇您在步驟 2 中建立的 SCEP 承載資料。這是憑證與 WiFi 連線之間的關鍵連結。
  • 信任 — 受信任的伺服器憑證名稱: 輸入您 RADIUS 伺服器憑證的確切一般名稱 (CN)(例如 radius.yourdomain.com)。這是最常被遺漏的設定項目。
  • 信任 — 受信任的憑證: 上傳簽署了 RADIUS 伺服器憑證的根 CA 以及任何中介 CA 憑證。

步驟 4:設定 RADIUS 伺服器

在您的 RADIUS 伺服器上,建立一個與您在 Jamf 中定義的憑證屬性相匹配的網路原則。對於 Microsoft NPS,這意味著要建立一個透過 Called-Station-Id 屬性與 SSID 匹配的 連線要求原則,以及一個向您的 CA 驗證憑證並可選擇透過通道屬性指派 VLAN 的 網路原則

針對 FreeRADIUS,請設定 eap 模組以使用 tls,並指向您的 CA 憑證、伺服器憑證和私鑰。users 檔案或 SQL 後端應設定為將憑證的 SAN 與您的裝置清單進行比對。

步驟 5:限定範圍並部署設定檔

在 Jamf Pro 中,將「設定檔」的範圍限定至適當的裝置群組 — 例如「企業機隊」智慧群組中的所有裝置。該設定檔將透過 MDM 自動推送。在線的裝置將在幾分鐘內收到;離線的裝置則會在下次簽到時收到。

最佳實踐

盡可能實施 WPA3 Enterprise。 具備 192 位元模式的 WPA3 Enterprise 使用 GCMP-256 和 HMAC-SHA-384 提供增強的加密強度,提供比 WPA2 Enterprise 顯著更強的保護。對於處理敏感資料的 旅宿業 環境和 醫療保健 機構而言,此升級日益成為合規性要求,而不僅僅是最佳實踐。

針對共享硬體利用基於裝置的憑證。 對於共享裝置 — 例如零售收銀點 (POS) iPad、飯店接待處平板電腦或臨床裝置 — 請使用綁定裝置的憑證,而非綁定使用者的憑證。這可確保裝置在開機時、任何使用者登入之前即連線至網路,從而使 MDM 簽到、應用程式更新和推送通知能夠正常運作。對於可能跨班次共享裝置的 零售業 部署而言,這是一個關鍵的考量因素。

將網路存取與您更廣泛的安全態勢相整合。 雖然員工使用 802.1X 進行安全的內部存取,但請確保您的公開網路透過強大的 Guest WiFi 解決方案進行管理,以保持清晰的流量隔離。將基於憑證的員工驗證與 WiFi Analytics 相結合,可完整掌握已驗證的裝置行為和訪客網路活動。

自動化憑證更新。 在 Jamf 中設定 SCEP 承載資料,以便在憑證即將到期的 14 至 30 天內觸發自動更新。這可以防止裝置因憑證在一夜之間過期而默默失去網路存取權限的情況。在 Jamf Pro 中,這是透過 SCEP 承載資料中的 Renewal Threshold(更新閾值)設定來控制的。

維護憑證撤銷清單 (CRL) 或 OCSP 回應程式。 當裝置退役、遭竊或從 Jamf 取消註冊時,必須在 CA 層級撤銷其憑證。將您的 RADIUS 伺服器設定為在每次驗證嘗試時檢查 CRL 或 OCSP 端點。若無此設定,即使是含有有效憑證的遭竊裝置仍可向網路進行驗證。 若要深入瞭解現代網路基礎架構決策的背景資訊, The Core SD WAN Benefits for Modern Businesses 指南提供了憑證驗證如何與 SD-WAN 覆蓋架構整合的實用背景資訊。

疑難排解與風險緩釋

雞生蛋、蛋生雞的配置問題。 裝置需要網路連線才能連線至 SCEP 伺服器並下載其憑證,但它們又需要憑證才能加入安全的 WiFi。這是最常見的部署阻礙。建議的緩釋策略包括:使用 USB-C 或 Lightning 轉乙太網路轉接器透過乙太網路進行配置;在 iPhone 和支援行動網路的 iPad 上使用行動數據;或者建立一個暫時的、受限制的引導上網 SSID,並設定僅允許 SCEP 和 MDM 流量的防火牆規則。

macOS 上的無聲 EAP-TLS 失敗。 如果信任鏈不完整,macOS 可能會無聲地連線失敗,而不會在使用者介面上顯示有意義的錯誤。唯一的跡象會出現在系統記錄中。使用 log stream --predicate 'subsystem == "com.apple.network"' 來擷取即時驗證事件。請務必驗證 Jamf 設定檔中的 Trusted Server Certificate Names 陣列是否與 RADIUS 伺服器憑證中的 CN 完全相符。

高負載事件期間的 RADIUS 逾時。 在體育場或會議中心等環境中,來自數百台裝置的同時驗證請求可能會使 RADIUS 伺服器過載。緩釋此問題的方法包括:將 RADIUS 部署為高可用性對、調整 FreeRADIUS 中的 max_requests 參數,並確保 RADIUS 伺服器具有足夠的 CPU 和記憶體以因應預期的並行驗證負載。對於大型場館部署,請參閱我們關於 Wireless Access Points Definition Your Ultimate 2026 Guide 的指南以進行容量規劃考量。

憑證屬性不相符。 如果裝置憑證中的 SAN 與 RADIUS 網路原則所預期的不符,驗證將會失敗。這在從一個 CA 遷移到另一個 CA 時,或者當 Jamf 變數的解析結果與預期不同時特別常見。在部署到整個裝置群之前,請務必先使用單一裝置進行測試,並檢查 RADIUS 伺服器記錄以確認所呈現的確切身分識別字串。

投資報酬率與業務影響

過渡到 Jamf RADIUS WiFi 憑證驗證可在多個維度上帶來可衡量的業務價值。

指標 典型結果
支援服務台工單減少 與 WiFi 相關的支援請求減少 60–85%
每台裝置的引導上網時間 從 15–30 分鐘縮短至 2 分鐘以下(零接觸)
安全性事件風險 幾近消除基於憑證的 WiFi 攻擊
合規態勢 符合 PCI DSS 要求 1.3 和 GDPR 第 32 條網路控制規範
憑證生命週期 自動更新消除手動憑證管理的需求
最顯著的 ROI 驅動因素是消除因密碼輪替所造成的中斷。在一個擁有 500 台裝置的機隊中,如果每季有 10% 的裝置因密碼變更而與網路斷開連線,且每次事件需要 IT 人員花費 20 分鐘來解決,那麼光是每年節省的支援成本,就能在第一年內證實該導入投資的合理性。

對於 Transport 營運商和大型場館環境而言,強制執行動態 VLAN 分配的能力進一步強化了其商業案例 — 確保營運裝置、員工裝置和管理系統自動進行區隔,而無需手動重新設定網路。

關鍵定義

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

最安全的 802.1X 驗證方法,要求用戶端裝置與 RADIUS 伺服器使用數位憑證進行雙向驗證。此過程不交換或傳輸任何密碼。

當 IT 團隊需要消除基於密碼的 WiFi 並強制執行嚴格的裝置合規性時,EAP-TLS 是強制性的標準。它是唯一提供雙向驗證的 EAP 類型。

SCEP (Simple Certificate Enrollment Protocol)

一種允許裝置使用挑戰應答機制,安全且自動地向憑證授權單位申請數位憑證的協定。

這對於透過 Jamf Pro 大規模部署憑證至關重要,無需 IT 人員手動在數千台裝置上安裝憑證。Jamf 的動態 SCEP 代理會為每台裝置產生挑戰密碼。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接到網路服務的裝置提供集中式的驗證、授權和計費(AAA)管理。

核心決策引擎,用於告知 WiFi 存取點(Access Point)是否允許受 Jamf 管理的裝置進入網路,並可選擇性地指派要分配的 VLAN。

Configuration Profile (設定描述檔)

由 Jamf Pro 部署的 XML 檔案(.mobileconfig),包含一個或多個承載資料(Payload),用於管理 Apple 裝置上的設定,包括憑證、WiFi、VPN 和限制。

這是用於將 SCEP 設定、WiFi SSID 設定和憑證信任鏈推送到 iPhone、iPad 或 Mac 的媒介。

CSR (Certificate Signing Request)

由 Apple 裝置產生的編碼文字區塊,其中包含公鑰和身分資訊,發送至憑證授權單位以申請已簽署的數位憑證。

SCEP 流程的第一步。裝置在本地端產生 CSR,確保私鑰永遠不會離開裝置 — 這是 PKI 安全性的基本原則。

Subject Alternative Name (SAN)

X.509 憑證的擴充屬性,允許將多個身分值與該憑證關聯,例如電子郵件地址、DNS 名稱、IP 位址或 MAC 位址。

這對 RADIUS 驗證至關重要。RADIUS 伺服器會讀取 SAN 以識別裝置或使用者。在 Jamf 部署中,SAN 通常設定為裝置的 MAC 位址或使用者的 UPN。

Root CA (根憑證授權單位)

PKI 階層架構中最高層級的憑證,其私鑰用於簽署下級 CA 憑證。根 CA 憑證必須受到驗證鏈中所有參與方的信任。

必須透過 Jamf 部署到 Apple 裝置,以便它們信任 RADIUS 伺服器在 EAP-TLS 握手期間提供的憑證。若沒有它,握手將會失敗。

IEEE 802.1X

一項用於基於連接埠的網路存取控制(PNAC)的 IEEE 標準,在授予網路存取權限之前,為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

這是一個全域性的架構,在 RADIUS 伺服器驗證 Jamf 佈建的憑證之前,它會在存取點阻斷網路流量。所有企業級 WiFi 安全性皆建立在此標準之上。

Dynamic VLAN Assignment (動態 VLAN 指派)

一種 RADIUS 功能,可根據 Access-Accept 訊息中傳回的原則屬性(使用 RADIUS 隧道屬性 64、65 和 81),將連線的裝置指派到特定的 VLAN。

無需多個 SSID 即可實現網路分割。單一企業 SSID 即可自動將臨床用的 iPad 劃分到 VLAN 20、主管的 MacBook 劃分到 VLAN 30,並將訪客裝置劃分到 VLAN 100。

範例

一間擁有 500 張床位的醫院需要為臨床工作人員部署 1,200 台共享的 iPad。他們目前使用 PEAP 搭配 Active Directory 認證,導致每 90 天密碼過期時,就有數百台裝置斷開連線。他們應該如何重新設計其驗證架構?

該醫院應移轉至 EAP-TLS,並使用透過 Jamf Pro 管理的裝置端憑證。實作包含四個關鍵步驟。第一,部署啟用 NDES 角色的 AD CS 以作為 SCEP 伺服器,並從專屬的「Clinical Device」憑證範本核發憑證。第二,設定 Jamf 設定描述檔,其中包含使用 $MACADDRESS 作為 SAN 的 SCEP 承載資料,以及一個僅針對臨床 SSID 且僅限 EAP-TLS 的 WiFi 承載資料,並明確信任 RADIUS 伺服器憑證。第三,設定 Microsoft NPS,其網路原則需符合「Clinical Device」憑證範本,並將裝置分配至臨床 VLAN (Tunnel-Private-Group-Id = 20)。第四,將 SCEP 更新閾值設定為 30 天,以確保在無需 IT 干預的情況下自動更新憑證。在初始部署期間,應透過乙太網路配置裝置,以解決註冊網路的挑戰。

考官評語: 此方法完全解決了 90 天密碼輪替的問題。透過使用裝置端憑證而非使用者端憑證,iPad 即使放在充電推車上也能保持網路連線,確保其在臨床醫生取用前,就能接收到關鍵的 MDM 更新和推播通知。透過 RADIUS 進行的動態 VLAN 分配可確保臨床裝置自動置於正確的網路區段中,在無需手動設定的情況下滿足 HIPAA 網路分段要求。

一間擁有 300 台 MacBook 的創意代理商正在搬遷至新辦公室。他們希望實現零接觸 WiFi 佈署 — 終端使用者在辦公桌前拆封全新的 MacBook 時,裝置應自動連線至安全的企業 SSID,無需任何 IT 干預。他們該如何實現這一點?

該代理商必須將 Apple 自動裝置註冊 (ADE) 與 Jamf Pro 以及精心編排順序的設定描述檔相結合。在 macOS 設定輔助程式期間,MacBook 會透過暫時的開放式註冊 SSID 連線至網際網路(該 SSID 受防火牆限制,僅允許 Apple 啟用、Jamf MDM 和 SCEP 流量)。裝置會聯絡 Apple,透過 ADE 識別出其屬於該代理商,並自動註冊至 Jamf Pro。Jamf Pro 會立即推播預先準備好的設定描述檔,其中包含 SCEP 承載資料和企業 WiFi 承載資料。SCEP 註冊會在該註冊 SSID 上完成,憑證會安裝至鑰匙圈中,隨後 WiFi 承載資料啟用。接著,MacBook 會自動轉換至安全的 802.1X 企業 SSID。從使用者的角度來看,他們只需完成設定輔助程式,筆記型電腦就已連上企業網路。

考官評語: 此情境突顯了註冊網路在零接觸部署中的關鍵重要性。SCEP 承載資料和 WiFi 承載資料必須位於同一個設定描述檔中,並將範圍限定在「預先階段註冊」群組,以便在 MDM 註冊後立即推播 — 也就是在使用者進入桌面之前。如果描述檔的範圍限定在需要裝置先完成完整註冊的「智慧型群組」,則可能會出現延遲,在此期間裝置將無法存取網路,從而破壞了零接觸體驗。

練習題

Q1. 您已將包含 SCEP 承載資料和 WiFi 承載資料的 Jamf 設定描述檔部署到 50 台 MacBook。SCEP 憑證已成功安裝在鑰匙圈中,但 MacBook 在嘗試連線到企業 SSID 時,卻向使用者顯示「驗證憑證」對話框。缺少或設定錯誤的設定元素是什麼?

提示:思考 Apple 裝置需要哪些資訊,才能在沒有使用者互動的情況下,自動信任 RADIUS 伺服器的身分。

查看標準答案

Jamf 設定描述檔中的 WiFi 承載資料缺少「信任的伺服器憑證名稱」項目(該項目必須與 RADIUS 伺服器憑證中的 CN 完全一致),或者簽署 RADIUS 伺服器憑證的根 CA 和中間 CA 憑證未包含在描述檔的「信任」承載資料中。在沒有 MDM 定義明確信任的情況下,macOS 和 iOS 會要求使用者在 EAP-TLS 握手期間手動驗證並接受 RADIUS 伺服器的憑證。這兩個欄位都必須填寫:信任的憑證陣列(包含 CA 鏈)和信任的伺服器憑證名稱陣列(包含 RADIUS 伺服器的 CN)。

Q2. 某零售連鎖店希望其收銀點(POS)iPad 在開機後立即連線到安全的企業 WiFi,且必須在任何員工登入 POS 應用程式之前完成。目前的部署使用與個別員工 UPN 綁定的使用者憑證。裝置經常在排班開始時無法連線。根本原因是什麼?正確的架構變更又是什麼?

提示:考量不同類型的憑證相對於使用者驗證生命週期,何時可供 iOS 網路堆疊使用。

查看標準答案

根本原因在於使用者憑證(與 UPN 綁定)儲存在使用者的鑰匙圈中,只有在使用者對裝置進行驗證後才能存取。在開機或 iOS 鎖定畫面時,使用者鑰匙圈處於鎖定狀態,因此 WiFi 堆疊無法存取憑證以執行 EAP-TLS。正確的架構變更是切換為裝置憑證,其中 SAN 設定為裝置的 MAC 位址或序號。裝置憑證儲存在系統鑰匙圈中,在任何使用者登入之前的開機時間即可存取。RADIUS 網路原則必須更新以比對裝置憑證而非使用者憑證,且 Jamf SCEP 承載資料必須更新為使用裝置級變數(例如 $MACADDRESS 或 $SERIALNUMBER)作為 SAN。

Q3. 您的組織使用 Microsoft NPS 作為 RADIUS 伺服器。您正在為 200 台 MacBook 設定新的 Jamf SCEP 承載資料。NPS 網路原則設定為要求憑證的「主體替代名稱」(SAN)與 Active Directory 中的電腦帳戶相符。您應該在 Jamf SCEP 承載資料中設定什麼 SAN 值?NPS 預期的格式又是什麼?

提示:NPS 電腦憑證驗證要求 SAN 必須以特定格式與 Active Directory 中的電腦身分相符。

查看標準答案

對於 NPS 電腦憑證驗證,SAN 必須設定為 DNS 名稱類型,其值為 $COMPUTERNAME.yourdomain.com(使用 Jamf 變數代表電腦的主機名稱)。NPS 預期 SAN DNS 名稱與電腦在 Active Directory 中顯示的完整網域名稱(FQDN)相符。或者,如果使用使用者主體名稱(UPN)SAN 類型,格式應為 host/$ COMPUTERNAME@YOURDOMAIN.COM 。NPS 網路原則的條件應設定為比對「用戶端憑證 SAN」屬性。請確保 MacBook 已加入 Active Directory,或者 Jamf 中的電腦名稱與 AD 中的電腦物件相符,否則即使憑證有效,NPS 查詢也會失敗。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →