Como obter o OS X 10.9 para salvar as senhas do WPA2 Enterprise no System keychain?

Navegue suas respostas
1

Estou usando o OS X Keychain como meu gerenciador de senhas. Para torná-lo razoavelmente seguro, tenho uma senha diferente nas minhas chaves de login do que na minha conta de usuário, e tenho o conjunto de chaves para bloquear automaticamente após 5 minutos ou no modo de suspensão.

No geral, isso funciona bem, com uma exceção. Em casa, meu wireless funciona sem precisar desbloquear o keychain de login, já que a senha é armazenada no keychain "system", que tem a mesma senha da minha conta de usuário. No entanto, no trabalho, a senha sem fio é armazenada no chaveiro "login" e, portanto, exige que eu digite a senha do conjunto de chaves antes de se conectar. A diferença entre os dois parece ser que o sistema doméstico é WPA2 Personal e o trabalho é WPA2 Enterprise.

Este problema foi agravado desde a atualização para o OSX 10.9. Agora, o acesso sem fio no trabalho exige que eu digite a senha do chaveiro DUAS VEZES: uma vez para que o "eapolclient" possa acessar as chaves de login e uma segunda vez para que o Acesso às Chaves possa acessar as chaves de login.

Eu tentei mover o item de senha do WPA2 Enterprise do keychain de login para o keychain do sistema, mas parece ignorá-lo. Então minha pergunta é:

  • Existe alguma maneira de persuadir o OS X a ler uma senha sem fio WPA2 Enterprise do conjunto de chaves do sistema, em vez de usar as chaves de login?

  • Se não, existe alguma maneira de evitar a necessidade de digitar a senha das chaves duas vezes, como no OS X 10.8 e anteriores?

por Richard Garner 18.11.2013 / 00:11

2 respostas

2

Parece haver uma maneira oficial da Apple de fazê-lo, mas é um processo extremamente complicado. Vou postar aqui, mas espero que alguém possa lhe fornecer uma maneira muito mais sensata de fazê-lo.

O aparente modo oficial da Apple requer acesso a uma versão recente do Mac OS X Server; qualquer uma das versões que foram vendidas por apenas US $ 20 na Mac App Store deve fazê-lo:

  • 10.7 "Servidor Lion"
  • 10.8 "Servidor do Mountain Lion"
  • 3.0 (corresponde ao Mac OS X 10.9 Mavericks).

Aqui vai:

  1. Faça com que o seu Mac faça login na rede WPA2-Enterprise uma vez e confie no (s) certificado (s). Em seguida, localize os certificados relevantes no keychain do Sistema (via Keychain Access) e exporte-os como arquivos .cer separados. Pode ser um único certificado de servidor assinado automaticamente ou pode ser um certificado de servidor com zero ou mais CERs intermediários da CA, além de um certificado de CA raiz.
  2. Configure o serviço "Profile Manager" do Mac OS X Server, se ainda não o fez.
  3. Crie um "Perfil do dispositivo" de espaço reservado que defina uma rede Wi-Fi para ingressar e o tipo de segurança e credenciais a serem usados.
    1. Use um navegador da web para ir para a URL /profilemanager/ em sua máquina Mac OS X Server e faça logon usando uma conta de administrador do sistema.
    2. Na lista "Biblioteca", na coluna mais à esquerda, selecione "Dispositivos".
    3. Na segunda coluna, pressione o botão + e "Adicionar espaço reservado" para criar um novo perfil de dispositivo de espaço reservado. Dê a ele algum nome como "Meu WPA2-Enterprise Network Login Profile" e digite qualquer porcaria aleatória (talvez "Placeholder") como o número de série do espaço reservado. Clique em "Adicionar".
    4. Na terceira coluna, vá para a guia "Configurações" e clique em "Editar".
    5. Na folha grande que aparece, selecione a seção "Geral" e alterne o Tipo de distribuição de perfil para Download manual.
    6. Vá para a seção "Certificados" e use a interface do usuário para importar cada um dos arquivos .cer da sua rede que você exportou por meio do Acesso às Chaves antes de começar.
    7. Vá para a seção "Rede" e crie uma carga útil para sua rede Wi-Fi. Certifique-se de digitar o SSID perfeitamente corretamente (letras maiúsculas, pontuação e espaços são importantes).
      1. Digite seu SSID. Certifique-se de que você está exatamente certo.
      2. Defina o Tipo de segurança como WPA/WPA2 Enterprise .
      3. Em Protocolos > Tipos de EAP aceitos, marque as caixas dos tipos de EAP em uso na sua rede.
      4. Digite seu nome de usuário e senha nos campos relevantes.
      5. Na guia "Confiar", marque as caixas de seleção ao lado dos certificados importados, para que sejam confiáveis.
      6. Clique em "OK".
  4. Pressione "Salvar"
  5. Clique em "Download". Você estará baixando um arquivo .mobileconfig. Copie este arquivo .mobileconfig para qualquer máquina na qual você precise instalá-lo. AVISO : este perfil conterá seu nome de usuário e senha como texto não criptografado , portanto, tenha cuidado com o modo de transporte e onde você o deixa.
  6. Clique duas vezes no arquivo .mobileconfig para importá-lo no painel Perfis das Preferências do Sistema. Você será solicitado a fornecer uma senha de administrador.

Se o perfil foi instalado corretamente, ele deve aparecer como um perfil dispositivo , e não como um perfil usuário . Agora você pode reinicializar sua máquina e ver se ela consegue entrar na rede sem muita solicitação.

Observe também que esta configuração permitirá que sua máquina permaneça na rede mesmo quando ninguém estiver conectado à máquina (como quando a máquina está em uma janela de login sem ninguém logado). Dependendo de suas necessidades, isso pode ser um ótimo bônus ou pode ser uma preocupação de segurança. Apenas pensei que deveria informar você.

P.S. Usar o antigo iOS Configuration Utility ou o aplicativo mais moderno do Apple Configurator para criar esses perfis não permitirá a criação de perfis de escopo do sistema com permissão para colocar coisas no keychain do sistema. Os formatos .mobileconfig plist são os mesmos, mas os criados pelo aplicativo da Web do Profile Manager do Mac OS X Server contêm alguns pares extras de chave / valor adicionais que permitem que ele seja definido como escopo do Sistema.

    
por 19.11.2013 / 02:39
0

Como alternativa, você pode baixar o Apple Configurator 2 da loja de aplicativos (gratuito) e, em seguida, configurar um perfil apenas com Wifi. Depois salve-o e, em seguida, abra com > Preferências do sistema.

    
por 14.04.2016 / 21:15

Tags

Como posso gerenciar uma sessão do tmux usando o supervisord? Formata automaticamente a moeda com base na coluna adjacente - Excel