Sun Ray Client 固件中的 802.1x 验证功能基于名为 wpa_supplicant 的开源项目(在 http://hostap.epitest.fi/wpa_supplicant/ 中有介绍)。使用 802.1x 验证功能,可以将 Sun Ray Client 配置为提供适当的凭证以在 802.1x 访问控制之下成功验证并获得局域网的访问权限。Sun Ray Client 支持可扩展验证协议模式:MD5、TLS、MSCHAPV2、PEAP、TTLS、GTC 和 OTP。
wpa_supplicant 支持实施 WPA 请求者协议以进行无线验证,这包括 802.1x 端口验证协议。因此,802.1x 的配置取决于 wpa_supplicant 提供的机制和配置文件格式。
尽管 WPA 请求者协议主要针对无线验证,但是 Sun Ray Client 当前不支持无线操作。
wpa_supplicant 使用主配置文件以及一些包含证书和公钥/私钥对的辅助文件配置 802.1x 验证。Sun Ray Software 使用的主配置文件名为 wired.conf
。为了使 wpa_supplicant 能够访问配置文件,您需要使用远程配置文件中的文件复制条目将其复制到 Sun Ray Client 固件的简单文件系统中。有关详细信息,请参见表 14.3 “远程配置文件键值”。
要启动 wpa_supplicant 组件并尝试 802.1x 验证,wired.conf
文件必须位于 Sun Ray Client 上。存在或缺少此配置文件是用于启用或禁用 wpa_supplicant 的主要机制。配置 GUI 中的 "802.1x Configuration"(802.1x 配置)菜单项允许您管理 wired.conf
文件,它仅使用各种 802.1x 验证模式所需的一组精简的配置值。配置选项将根据所选的特定扩展验证协议 (Extended Authentication Protocol, EAP) 模式进一步细化。有关详细信息,请参见表 14.1 “配置 GUI 主菜单项”。
当前,Sun Ray Client 自身无法生成私钥,所以您必须通过其他方式生成私钥和相应的证书,并通过远程配置文件来提供。
如果您通过配置 GUI 以外的方式创建和修改 wired.conf
文件,请确保提供了正确的字段并且正确设置了文件格式。该文件必须包含单一网络定义,即 ssid="wired"
。如果 wired.conf
文件不遵循预期的格式,那么 wpa_supplicant 将无法正常运行。请参见以下示例中 wired.conf
文件的内容。
此过程介绍如何在 Sun Ray Client 上配置和启用 802.1x 验证。这些步骤包括使用 EAP-TLS 运行模式设置 802.1x 验证的示例。
此过程中列出的配置文件必须与远程配置文件位于相同的位置,这通常是本地配置中定义的固件服务器。
为 wpa_supplicant 创建配置文件,包括主配置文件 wired.conf
以及包含证书和公钥/私钥的辅助文件。
有关有效的 wired.conf
值列表,请参见表 14.1 “配置 GUI 主菜单项”中的 "802.1x Configuration"(802.1x 配置)菜单说明。
下面是辅助文件和 wired.conf
文件的一些示例。
someca_cert.pem
-"someca" 的证书颁发机构根证书
-----BEGIN CERTIFICATE----- MIID3DCCA0WgAwIBAgIBADANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... CkS0he0fm5xVRd6D+nQQAbUkFy0MZO39QjXbopBxaY5Vm5hg2U+O0JJ5UHQXGGMk sxyGuzhrnu09oYF7Zje1BlO2fGhC/JrSJhKFQtgqNBQ= -----END CERTIFICATE-----
sunray_key.pem
-Sun Ray Client 的 RSA 密钥对
-----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQCvGwBJjv/Uzp81QAd9B9uqehZqmS9BVA9xcfJtNf6Feou3FnKE 8tHcCISAXFdujYZSqhzcInzn/ZWnKk2cRQl8//IupuMcwPi10QebBmXhxfrTTW5L .... FEmkooUWFa6mUpAcpQJBANCe64twQ3RjNfIc3n4LpCEPgw7y5pgk8xmKIDiSZ/+U XwJQ4gpzmsakaZWBEcdxrJWkK6chvcFcwcfAN7rkOBc= -----END RSA PRIVATE KEY-----
sunray_cert.pem
-"someca" 签名的 Sun Ray Client RSA 密钥的客户端证书
-----BEGIN CERTIFICATE----- MIIE+TCCBGKgAwIBAgIBCTANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... vv7TQOtlSlwPessnDJOFJ+oYoAMbc3f8bmvVOMvqQ98zZGdJ/VDK+siFJKeTpkoL ocRIJUFegNu4W0+pvgPY/ZBsbUchBA2rpdhwWnc= -----END CERTIFICATE-----
wired.conf
-802.1x/EAP-TLS 的 wpa_supplicant 配置文件
network={ ssid="wired" key_mgmt=IEEE8021X eap=TLS ca_cert="/certs/someca.pem" identity="john.doe@oracle.com" private_key="/keys/sunray.pem" client_cert="/certs/sunray.pem" }
使用所需的文件分配条目创建远程配置文件,以便将 wpa_supplicant 配置文件复制到 Sun Ray Client。
下面是远程配置文件的示例:
/certs/someca.pem=someca_cert.pem /keys/sunray.pem=sunray_key.pem /certs/sunray.pem=sunray_cert.pem /wpa/wired.conf=wired.conf
/wpa/wired.conf=wired.conf
条目是必需的。
通过在配置 GUI 中选择 "Advanced"(高级)-> "Download Configuration"(下载配置)将远程配置文件下载到 Sun Ray Client。
装入 wired.conf
文件后,如果 key_mgmt
键设置为 IEEE8021X
,则会自动启用 802.1x 验证。
(可选)通过在配置 GUI 中选择 "802.1x Configuration"(802.1x 配置)来更改 wired.conf
文件。
将 Sun Ray Client 插入提供 802.1x 验证的端口,然后测试验证。
有关可能的错误代码或状态消息的信息,请参见第 16.12 节 “(20) 802.1x 验证图标”。