Konfigurieren des Elements WLAN-Library

  • nP
  • EF

Was ist die 802.1X-Authentifizierung?

802.1X ist ein Standard zur Steuerung des Zugriffs auf ein Netzwerk. Es stellt sicher, dass nur autorisierte Geräte eine Verbindung herstellen können, was Ihr Netzwerk sicherer macht. Dieses Protokoll wird sowohl in kabelgebundenen (Ethernet) als auch in drahtlosen Netzwerken verwendet.

Funktionsweise der 802.1X-Authentifizierung

Die 802.1X-Authentifizierung besteht aus drei Hauptteilen:

  • Supplicant - Dies ist das Gerät (z. B. der Mac Ihres Benutzers), das dem Netzwerk beitreten möchte. Er stellt Anmeldeinformationen für den Authentifikator bereit.

  • Authentifikator - Hierbei handelt es sich um ein Netzwerkgerät, z. B. einen Switch oder Access Point, das den Zugriff auf das Netzwerk steuert. Es überprüft die Anmeldeinformationen und entscheidet, ob das Gerät eine Verbindung herstellen darf.

  • Authentifizierungsserver - In der Regel ein RADIUS-Server, überprüft die vom Supplicant bereitgestellten Anmeldeinformationen und teilt dem Authentifikator mit, ob der Zugriff gewährt werden soll.

Kandji verwendet MDM Steuerelemente, um Ihre Macintosh-Computer mit den erforderlichen Anmeldeinformationen zu konfigurieren, die dem Authentifizierungsserver und den Authentifizierungsservern zur Verfügung gestellt werden.  Bitte arbeiten Sie intern mit Ihrem Netzwerkteam zusammen, um Ihre Netzwerkanforderungen zu ermitteln, bevor Sie dieses Library Item konfigurieren und bereitstellen.

Hinzufügen eines WLAN- Library

  1. Navigieren Sie in der linken Navigationsleiste zu Library.

  2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie WLAN aus.

  3. Klicken Sie auf Hinzufügen und Konfigurieren , um eine neue WLAN- Library Item zur Bearbeitung zu erstellen und anzuzeigen.

  4. Geben Sie dem neuen WLAN- Library Item einen Titel. Verwenden Sie den Titel, um dieses Library Item von anderen Wi-Fi- Library Itemszu unterscheiden. Verwenden Sie einen Namen, der das Element identifiziert, z. B. kann der Titel die SSID oder den Standort enthalten, an dem die WLAN-Konfiguration verwendet wird.

  5. Weisen Sie diese Library Item Blueprints Geräten zu, auf denen Sie sie bereitstellen möchten.

Allgemeine Einstellungen konfigurieren

Die allgemeinen Einstellungen beschreiben das Netzwerk- und Geräteverhalten, das nichts mit der Authentifizierung zu tun hat.

  1. Geben Sie die SSID (Service Set Identifier) an, die auch als Name des Netzwerks bezeichnet wird.

  2. Wenn Sie möchten, dass Geräte automatisch mit diesem Netzwerk verbunden werden, wenn es verfügbar ist, wählen Sie Automatisch mit Netzwerk verbinden aus. Wenn Sie nicht die Option Automatisch dem Netzwerk beitreten auswählen, wissen die Geräte, wie sie eine Verbindung mit dem Netzwerk herstellen können, aber der Benutzer muss sich dafür entscheiden.

  3. Wenn das Netzwerk ausgeblendet ist, d. h. seine SSID nicht sendet, wählen Sie Verstecktes Netzwerk aus. Versteckte Netzwerke sind nicht standardkonform und werden nicht empfohlen.

  4. Um IPv6 in diesem Netzwerk zu verwenden, wählen Sie IPv6 aus.

  5. Wenn Sie den Captive Network Assistant von Apple in diesem Netzwerk nicht verwenden möchten, wählen Sie Captive Network Detection deaktivieren aus.

  6. Wenn Sie die Randomisierung von MAC-Adressen deaktivieren möchten, wählen Sie Randomisierung von MAC-Adressen deaktivieren aus.

Konfigurieren der Authentifizierungseinstellungen

Das WLAN- Library Item unterstützt die Authentifizierung mit vorinstallierten Schlüsseln (PSK, "persönlich") und die Authentifizierung mit dem 802.1X Extensible Authentication Protocol (EAP) (oft als "Unternehmens-WLAN" bezeichnet). Die meisten EAP-Typen verfügen über zusätzliche Einstellungen, die Sie konfigurieren müssen. Diese Einstellungen werden verfügbar, wenn Sie einen EAP-Typ auswählen. Ein Netzwerk kann mehrere Authentifizierungstypen unterstützen, sodass Sie bei der Konfiguration der Unternehmensauthentifizierung mehr als einen EAP-Typ auswählen können.

Viele ältere Verschlüsselungsprotokolle gelten nicht mehr als sicher. Verwenden Sie die aktuellste Authentifizierung und Verschlüsselung, die von Ihrem Netzwerk unterstützt wird.

Nichts

Verwenden Sie den Authentifizierungstyp Keine, wenn kein Kennwort für die Verbindung zum Netzwerk erforderlich ist. Wenn ein Netzwerk mit der angegebenen SSID verfügbar ist und keine Authentifizierung erforderlich ist, versucht das Gerät, sich mit diesem zu verbinden.

Jeder kann ohne Passwort einem Netzwerk beitreten.

Vorinstallierter Schlüssel

Die PSK-Authentifizierung wird häufig in Heim- und kleinen Unternehmensumgebungen verwendet. Jeder, der über das gemeinsame Passwort des Netzwerks verfügt, kann dem Netzwerk beitreten.

  1. Wählen Sie für Authentication type (Authentifizierungstyp) die Option WEP, WPA Personal, WPA2 Personal, WPA3 Personal oder Any Personal (Beliebiges Personal) aus. Any Personal funktioniert mit jeder der oben genannten Methoden und ist nützlich, wenn an einigen Standorten WPA2 und an anderen WPA3 verwendet wird.

  2. Geben Sie das Kennwort an. Wenn Sie kein Kennwort eingeben, fordert das Gerät den Benutzer auf, ein Kennwort einzugeben, wenn eine Verbindung zum Netzwerk hergestellt wird.

Enterprise-Authentifizierung

Bei der Unternehmensauthentifizierung wird 802.1X verwendet, um sicherere Authentifizierungsoptionen bei der Verbindung mit Wi-Fi-Netzwerken bereitzustellen. Zu den Authentifizierungstypen für Unternehmen gehören Dynamic WEP, WPA Enterprise, WPA2 Enterprise und WPA3 Enterprise.

  1. Wählen Sie für Authentication type (Authentifizierungstyp) die Option Dynamic WEP, WPA Enterprise, WPA2 Enterprise oder WPA3 Enterprise aus.

  2. Wenn Sie sich in macOSals der Benutzer authentifizieren möchten, der sich am Anmeldefenster anmeldet, wählen Sie Als Konfiguration für das Anmeldefenster verwenden aus. Andernfalls wird die Konfiguration als Systemkonfiguration betrachtet, und Mac-Systeme können sich beim Netzwerk authentifizieren, wenn sich ein Benutzer nicht angemeldet hat. Sie können diese Option auch in Verbindung mit EAP-TLS verwenden, sodass eine Zertifikatsidentität verwendet wird, um das System vor der Anmeldung zu authentifizieren, aber dann die Anmeldeinformationen für das Anmeldefenster verwendet werden, um den Benutzer zu authentifizieren.

    Die Verwendung dieser Konfiguration erfordert die Integration mit einem Verzeichnisdienst. Weitere Informationen findest du in diesem Apple-Support-Artikel .

  3. Wählen Sie die akzeptierten EAP-Typen aus, die Ihr Netzwerk unterstützt. Sie können mehr als einen auswählen und müssen alle erforderlichen Einstellungen für die ausgewählten EAP-Typen vornehmen. Weitere Informationen zum Konfigurieren bestimmter EAP-Typen finden Sie unter Konfigurieren von Wi-Fi-Authentifizierungsprotokollen für Unternehmen.

Konfigurieren eines Identitätszertifikats

Sie können ein Identitätszertifikat mithilfe von AD CS, SCEP oder durch Hochladen einer PKCS #12-Datei konfigurieren. Anweisungen zum Konfigurieren von Identitätszertifikaten finden Sie in unserem Supportartikel Verwenden von Identitätszertifikaten für die 802.1X-Authentifizierung .

Konfigurieren der Einstellungen für die Zertifikatsvertrauenswürdigkeit

Das Angeben vertrauenswürdiger Zertifikate im WLAN- Library Item wird nicht empfohlen. Wenn Zertifikate erneuert oder geändert werden, müssen Sie das gesamte WLAN-Profil erneut bereitstellen, was möglicherweise dazu führt, dass Geräte die Verbindung zum WLAN-Netzwerk trennen. Installieren Sie stattdessen die vertrauenswürdige Zertifikatkette für Ihre RADIUS-Server mit einem separaten Element in der Zertifikatbibliothek. Geben Sie dann den Namen dieser Zertifikate im Element WLAN-Bibliothek unter Serverzertifikatnamen angeben an. Weitere Informationen finden Sie unter Bereitstellung der Apple-Plattform .

Die meisten Wi-Fi-Umgebungen in Unternehmen erfordern, dass Geräte den 802.1X-Authentifizierungsservern vertrauen, in der Regel einem Remote Access Dial-In User Server (RADIUS). Mit den Einstellungen für die Zertifikatsvertrauenswürdigkeit können Sie konfigurieren, welchen Zertifikaten, die von den Servergeräten präsentiert werden, vertraut wird. Wenn ein Gerät den/die Authentifizierungsserver(n) nicht vertraut, wird der Benutzer aufgefordert, ihm zu vertrauen.

  1. Wählen Sie Vertrauenswürdige Zertifikate angeben aus, wenn Sie Zertifikate für die konfigurierten Geräte als vertrauenswürdig bereitstellen möchten. Laden Sie dann die Zertifikate im .cer- oder .crt-Format hoch.

  2. Wählen Sie Serverzertifikatnamen angeben aus, wenn Sie DNS-Namen von Zertifikaten angeben möchten, denen Geräte vertrauen sollen. Geben Sie dann ihre DNS-Namen ein – Platzhalter werden akzeptiert.

  3. Wählen Sie Vertrauensausnahmen zulassen aus, wenn Sie den Benutzer fragen möchten, ob er dem Authentifizierungsserver vertrauen soll, wenn das vorgelegte Zertifikat die Validierung nicht besteht. Diese Option ist in neueren Versionen von macOS und iOSveraltet.

Konfigurieren der Proxy-Einstellungen

Konfigurieren Sie Geräte für die Verwendung eines Netzwerkproxys, indem Sie die Einstellungen im Abschnitt Proxy konfigurieren.

  1. Um die Netzwerkproxy-Einstellungen zu konfigurieren, schalten Sie den Abschnitt Proxy auf Verwaltet um.

  2. Um Geräte für die Verwendung einer PAC-Datei (Proxy Auto-Configuration) zu konfigurieren, wählen Sie Automatisch als Proxy-Typ aus.

    1. Geben Sie die Proxy-PAC-URL an, unter der Geräte die PAC-Datei finden können.

    2. Wenn Sie möchten, dass Geräte versuchen, eine direkte Verbindung zu Zielen herzustellen, wenn die PAC-Datei nicht verfügbar ist, wählen Sie Proxy-PAC-Fallback zulässig aus.  

  3. Um Geräte für die Verwendung eines bestimmten Proxys zu konfigurieren, wählen Sie Manuell für Proxy-Typ aus.

    1. Geben Sie den Proxy-Server und den Port an.

    2. Wenn für den Proxy eine Authentifizierung erforderlich ist, geben Sie den Proxy-Benutzernamen und das Proxy-Kennwort an.

Konfigurieren der Fast-Lane-Markierung

Verwenden Sie Fast Lane in Netzwerken und Geräten, die QoS-Kennzeichnung (Quality of Service) unterstützen, um den Datenverkehr von Apps auf verbundenen Geräten als Sprach-, Video- oder Echtzeitdaten zu priorisieren. Weitere Informationen zu Fast Lane finden Sie unter iOS Kompatibilität mit Cisco QoS Fastlane & Adaptive 802.11r.

Fast Lane wird nicht von allen Netzwerken oder Geräten unterstützt.

  1. Wenn Sie die Markierung der Überholspur verwalten möchten, schalten Sie den Abschnitt Markierung der Überholspur auf Verwaltet um.

  2. Um Fast Lane zu deaktivieren, wählen Sie Fast Lane für alle Apps deaktivieren aus.

  3. Um Fast Lane zu aktivieren, wählen Sie Allow specific apps (Bestimmte Apps zulassen) aus.

  4. Fast Lane gilt für den Netzwerkverkehr von bestimmten Apps. Klicken Sie auf Anwendung hinzufügen, um Apps zur Zulassungsliste hinzuzufügen.

  5. Wenn Sie Apps aus Ihrer Kandji -Mediathek hinzufügen möchten, geben Sie den Namen der App unter Nach Namen suchen ein. Wählen Sie die Apps aus, denen Sie die Verwendung von Fast Lane erlauben möchten.

  6. Sie können Apps auch nach Bundle-ID angeben. Klicken Sie auf Bundle-ID hinzufügen

  7. Geben Sie den App-Namen und die Bundle-ID an, und klicken Sie auf Hinzufügen. Sie können mehrere Bundle-IDs hinzufügen.

  8. Klicken Sie auf Fertig.