Copyright © 2012, Oracle et/ou ses affiliés. Tous droits réservés. Legal Notices
La fonction d'authentification de 802.1x du microprogramme du client Sun Ray repose sur un projet Open Source appelé wpa_supplicant, décrit à l'adresse suivante : http://hostap.epitest.fi/wpa_supplicant/. Cette fonction permet de configurer les clients Sun Ray avec des informations d'identification propres en vue d'une authentification réussie et de fournir un accès au réseau local grâce au contrôle d'accès 802.1x. Les clients Sun Ray prennent en charge les modes Extensible Authentication Protocol : MD5, TLS, MSCHAPV2, PEAP, TTLS, GTC et OTP.
wpa_supplicant prend en charge l'implémentation du protocole WPA supplicant pour l'authentification sans fil qui inclut le protocole d'authentification du port 802.1x. Par conséquent, la configuration de 802.1x dépend des mécanismes et du format de fichier de configuration fourni par wpa_supplicant.
Bien que le protocole WPA supplicant soit majoritairement orienté vers l'authentification sans fil, actuellement, les opérations sans fil ne sont pas prises en charge par les clients Sun Ray.
wpa_supplicant utilise un fichier de configuration principal pour configurer l'authentification du 802.1x ainsi qu'un petit nombre de fichiers secondaires contenant des certificats et des paires publiques/privées. Le fichier de configuration principal utilisé avec Sun Ray Software est nommé wired.conf. Afin que wpa_supplicant puisse accéder aux fichiers de configuration, vous devez les copier vers le système de fichiers TFS du microprogramme du client Sun Ray à l'aide des entrées de copie de fichiers situées dans un fichier de configuration distant. Pour plus de détails, consultez Tableau 14.3, « Valeurs clés du fichier de configuration distant ».
Le fichier wired.conf doit être présent sur un client Sun Ray Client afin de démarrer le composant wpa_supplicant et de tenter l'authentification du 802.1x. La présence ou l'absence de ce fichier de configuration est le principal mécanisme utilisé pour activer ou désactiver wpa_supplicant. L'élément de menu Configuration du 802.1x de l'interface graphique de configuration permet de gérer le fichier wired.conf qui utilise uniquement un ensemble réduit des valeurs de configuration requises pour les différents modes d'authentification de 802.1x. Les options de configuration sont définies de façon plus détaillée en fonction du mode EAP (Extended Authentication Protocol) sélectionné. Pour plus de détails, consultez Tableau 14.1, « Eléments du menu principal de l'Interface graphique de configuration ».
Actuellement, les clés privées ne peuvent pas être générées sur le client Sun Ray lui-même, vous devez donc générer les clés privées et les certificats correspondants par d'autres biais et les fournir via le fichier de configuration distant.
Si vous créez et modifiez le fichier wired.conf en dehors de l'interface graphique de configuration, assurez-vous que les champs appropriés sont renseignés et que le fichier est correctement formaté. Le fichier doit inclure définition de réseau unique de ssid="wired". Si le fichier wired.conf ne suit pas le format attendu, wpa_supplicant ne pourra pas fonctionner correctement. Reportez-vous au contenu du fichier wired.conf dans l'exemple suivant.
Cette procédure décrit comment configurer et activer l'authentification du 802.1x sur un client Sun Ray. Les étapes incluent des exemples de configuration d'une authentification de 802.1x à l'aide du mode d'opération EAP-TLS.
Les fichiers de configuration répertoriées dans la procédure doivent être disponibles au même emplacement que le fichier de configuration distant, il s'agit généralement du serveur du microprogramme défini dans la configuration locale.
Créez les fichiers de configuration pour wpa_supplicant, y compris le fichier de configuration principal, wired.conf, et les fichiers secondaires contenant les certificats et les clés publiques/privées.
Pour connaître la liste des valeurs wired.conf valides, reportez-vous aux descriptions du menu Configuration du 802.1x dans le Tableau 14.1, « Eléments du menu principal de l'Interface graphique de configuration ».
Voici quelques exemples de fichiers secondaires ainsi que le fichier wired.conf.
someca_cert.pem - un certificat racine d'une autorité de certification délivré par "someca"
-----BEGIN CERTIFICATE----- MIID3DCCA0WgAwIBAgIBADANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... CkS0he0fm5xVRd6D+nQQAbUkFy0MZO39QjXbopBxaY5Vm5hg2U+O0JJ5UHQXGGMk sxyGuzhrnu09oYF7Zje1BlO2fGhC/JrSJhKFQtgqNBQ= -----END CERTIFICATE-----
sunray_key.pem - une paire de clés RSA pour le client Sun Ray
-----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQCvGwBJjv/Uzp81QAd9B9uqehZqmS9BVA9xcfJtNf6Feou3FnKE 8tHcCISAXFdujYZSqhzcInzn/ZWnKk2cRQl8//IupuMcwPi10QebBmXhxfrTTW5L .... FEmkooUWFa6mUpAcpQJBANCe64twQ3RjNfIc3n4LpCEPgw7y5pgk8xmKIDiSZ/+U XwJQ4gpzmsakaZWBEcdxrJWkK6chvcFcwcfAN7rkOBc= -----END RSA PRIVATE KEY-----
sunray_cert.pem - un certificat client pour la clé RSA du client Sun Ray, signé par "someca"
-----BEGIN CERTIFICATE----- MIIE+TCCBGKgAwIBAgIBCTANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... vv7TQOtlSlwPessnDJOFJ+oYoAMbc3f8bmvVOMvqQ98zZGdJ/VDK+siFJKeTpkoL ocRIJUFegNu4W0+pvgPY/ZBsbUchBA2rpdhwWnc= -----END CERTIFICATE-----
wired.conf - fichier de configuration wpa_supplicant pour 802.1x/EAP-TLS
network={
ssid="wired"
key_mgmt=IEEE8021X
eap=TLS
ca_cert="/certs/someca.pem"
identity="john.doe@oracle.com"
private_key="/keys/sunray.pem"
client_cert="/certs/sunray.pem"
}Créez un fichier de configuration distant avec les entrées d'affectation de fichier requises qui seront utilisées pour copier les fichiers de configuration wpa_supplicant vers le client Sun Ray.
Ci-après, un exemple de fichier de configuration à distance :
/certs/someca.pem=someca_cert.pem /keys/sunray.pem=sunray_key.pem /certs/sunray.pem=sunray_cert.pem /wpa/wired.conf=wired.conf
L'entrée /wpa/wired.conf=wired.conf est requise.
Téléchargez le fichier de configuration distant vers un client Sun Ray en sélectionnant Avancé->Télécharger la configuration dans l'interface graphique de configuration.
Une fois le fichier wired.conf chargé, l'authentification du 802.1x est automatiquement activée lorsque la clé key_mgmt est définie sur IEEE8021X.
(Facultatif) Apportez des modifications au fichier wired.conf en sélectionnant Configuration du 802.1x dans l'interface graphique de configuration.
Branchez le client Sun Ray dans un port offrant l'authentification du 802.1x et testez l'authentification.
Consultez la Section 16.12, « (20) Icône Authentification de 802.1x » pour obtenir des informations relatives aux codes d'erreur ou aux messages d'état.
Copyright © 2012, Oracle et/ou ses affiliés. Tous droits réservés. Legal Notices