Mac OS X 10.5 Leopard: cómo configurar las preferencias de red para 802.1X

El estándar 802.1X está diseñado para mejorar la seguridad de las redes de área local, ya que evita que los dispositivos no autorizados puedan acceder a la red. Admite un amplio rango de métodos de autenticación, como TLS, EAP–FAST, TTLS, LEAP, MD5 y PEAP (MSCHAPv2, MD5, GTC). Quizás necesites conectarte a una red inalámbrica (IEEE 802.11) o Ethernet (IEEE 802.3) que esté protegida por el estándar 802.1X si te encuentras en un entorno educativo o empresarial.

En un entorno 802.1X asegurado, un ordenador no podrá acceder a servicios de red, como correo electrónico o Internet, hasta que se haya autenticado.

Deberías tener en cuenta esta información antes de configurar los ajustes de 802.1X en Mac OS X.

Si no estás seguro, pregunta a tu administrador de red qué necesitas saber de lo anterior para configurar 802.1X.

¿Qué perfil 802.1X debería utilizar?

Hay tres opciones de perfil 802.1X en las preferencias de red:

Nota: el servidor 802.1X RADIUS al que tu ordenador autentica no sabe qué tipo de perfil 802.1X estás utilizando. Los perfiles Usuario, Ventana de inicio de sesión y Sistema son transparentes para el servidor RADIUS y específicos de Mac OS X. Independientemente del perfil utilizado, se producirán las mismas transacciones entre el ordenador y el servidor RADIUS.

Es importante tener en cuenta que hay un orden de precedencia para los perfiles 802.1X. Si tienes múltiples tipos de perfil, Sistema tiene precedencia sobre Ventana de inicio de sesión y Ventana de inicio de sesión tiene precedencia sobre Usuario. Si has configurado un perfil Sistema en tu ubicación, no añadas un perfil Usuario o Ventana de inicio de sesión a la misma ubicación.

Acerca de la opción de perfil "Usuario"

Utiliza esta opción si no estás seguro de cuál añadir (considérala como predeterminada). Este modo se llama Usuario porque la sesión 802.1X opera como el usuario y tiene la capacidad de interactuar con el usuario para solicitar información que falte, como la confianza del certificado y el nombre y/o contraseña.

Acerca de la opción de perfil "Ventana de inicio de sesión"

Este modo se llama Ventana de inicio de sesión porque la sesión 802.1X se origina a partir de la ventana de inicio de sesión mediante credenciales introducidas en dicha ventana. Se utilizan las mismas credenciales para autenticar en la red y autenticar al usuario en un servicio de directorio.

En la pantalla de inicio de sesión, se introduce un nombre y una contraseña. Si la Ventana de inicio de sesión no puede encontrar una cuenta de usuario local con ese nombre, inicia una sesión 802.1X con el mismo nombre y contraseña y, en el caso de una red 802.11, se asocia a la red inalámbrica. Después de completarse la autenticación 802.1X, la Ventana de inicio de sesión autentica al usuario respecto al servicio de directorio. Si esa autenticación tiene éxito, el usuario está conectado.

Cuando el usuario se desconecte, la Ventana de inicio de sesión comprueba si la sesión 802.1X está iniciada; de ser así, la interrumpe y, en el caso de una red 802.11, se disocia de la red.

Si nadie está conectado, no hay sesión 802.1X en funcionamiento y no se unirá a ninguna red 802.11. Mac no está disponible en la red autenticada.

Este modo resulta muy interesante en entornos empresariales que utilizan tecnologías informáticas gestionadas junto con uno o más servicios de directorio para administrar y controlar remotamente tanto el ordenador como las cuentas del usuario.

Puedes tener múltiples perfiles de Ventana de inicio de sesión por Ubicación.

Acerca de la opción de perfil "Sistema"

Este modo se denomina Sistema porque Mac OS X se autentica en la red automáticamente mientras este modo esté activado. Esto significa que el ordenador se autenticará en la red incluso cuando no haya nadie conectado, con independencia de qué cuenta de usuario inicie sesión más tarde.

Es útil si el ordenador necesita estar conectado a la red, haya alguien conectado o no.

En laboratorios informáticos y otros entornos similares donde un administrador del sistema necesita actualizar grandes grupos de ordenadores al mismo tiempo, éste puede constituir el mejor método.

Sólo puedes tener una instancia de un perfil Sistema configurada para tu ubicación. Si añades un perfil Usuario o Ventana de inicio de sesión a la misma ubicación, no se tendrán en cuenta, ya que perfil Sistema tiene precedencia.

Nota acerca de los certificados

Los certificados deben cumplir con los requisitos específicos del servidor y del cliente para una autenticación de éxito.

Hay dos tipos de certificados con los que 802.1X está relacionado: certificados del servidor y certificados del usuario.

Certificados del servidor
Cuando te conectas a una red 802.1X, te puedes encontrar con un cuadro de diálogo de confianza de certificado que te preguntará si quieres continuar con la autenticación en el servidor. Puedes confiar permanentemente en el certificado, o hacer clic en "Continuar" para autenticar una sola vez.

Un objetivo del diálogo de confianza del certificado es informarte de si un servidor presenta un certificado en el que no se ha confiado explícitamente. Otro objetivo es darte la oportunidad de examinar el certificado para garantizar que es adecuado para la red en la que te estás autenticando. Es importante examinar con cuidado el certificado, no lo aceptes a ciegas. Es posible que alguien configure un punto de acceso rogue con su propio certificado; si continúas con la autenticación, el punto de acceso rogue podría coger tu contraseña de los intercambios de autenticación.

El certificado contendrá huellas dactilares SHA-1 y MD-5 que lo identifican de forma única. Verifica cada certificado de la lista y, si confías en su validez, admítelos. Si no estás seguro, consulta con el administrador del sistema antes de continuar.

Certificados del usuario

Existen muchos tipos de certificados, como:

Cuando selecciones un certificado para la configuración de 802.1X, es esencial que sea el específico para acceder a ese servidor RADIUS.

¿Cómo puedo determinar qué certificado (certificado de autoridad) es para la red 802.1X en esta ubicación?

Debes utilizar el certificado específico que se instaló o que se te dio para que lo instalaras en la red 802.1X en dicha ubicación. El certificado utilizado con EAP/TLS debe conocerse en la infraestructura de autenticación; se asocia normalmente con un usuario dentro de un dominio de autenticación.

¿Cómo puedo obtener un certificado de autoridad 802.1X?

El administrador de la red te informará acerca de lo que debes hacer para obtener un certificado. Existen muchas maneras de obtener uno; es imposible documentar todas. Algunos métodos utilizan una interfaz basada en web para obtener un certificado asociado con tu cuenta de usuario. Otros métodos consisten en enviar un correo electrónico a una dirección de correo electrónico de una autoridad de certificación.

Independientemente de que se utilice la web o el correo electrónico, el proceso implica:

Es importante tener en cuenta la distinción entre un certificado para el que tienes la clave privada, normalmente conocido como "identidad", y simplemente un certificado. Un certificado es la parte pública de la infraestructura de clave pública y permite verificar que tienes la clave privada. Una clave privada sólo se mantiene por la entidad que se corresponde con el asunto del certificado; debe almacenarse con seguridad.

También es posible que ya tengas la identidad (certificado + clave privada) en la forma de un archivo PKCS12 (.p12, .pfx). Este archivo puede importarse en el llavero directamente haciendo doble clic sobre él.

Acerca de los tipos de autenticación EAPOL

Como se detalló a continuación, Mac OS X admite seis tipos de autenticación EAPOL. A menos que te lo indique el administrador del sistema, no necesitas hacer cambios en las opciones disponibles para estos tipos.

TTLS

PEAP

TLS

EAP–FAST

LEAP

MD5

Cómo conectarse a una red que está protegida por 802.1X

Elige entre los siguientes perfiles 802.1X y sigue las instrucciones para introducir la información en Preferencias de red para el servicio de red que requieras. Un administrador (cualquier cuenta de usuario con privilegios de nivel de administrador en el ordenador) puede crear un perfil 802.1X válido.

Aunque no es necesario crear una ubicación de red para un perfil Usuario, es útil en la configuración 802.1X de la Ventana de inicio de sesión y Sistema. Si creas una ubicación, recuerda asegurarte de que está seleccionada cuando estés en dicha ubicación. A continuación, puedes ver que se ha creado una ubicación para una oficina de ejemplo de Nueva York y Londres. Cada una de estas ubicaciones tiene sus propios perfiles 802.1X configurados para ese lugar específico.

Si ya dispones de una configuración existente para la red 802.1X que no está funcionando

1. Si estás utilizando un perfil Ventana de inicio de sesión o Sistema, conéctate a la red y usa Utilidad de directorios para asegurarte de que estás vinculado a un servidor aplicable, como Open Directory (OD), o Active Directory (AD), necesario para las carpetas de inicio y autenticación de la red.
   Esto se hará normalmente por el administrador del sistema TI en una conexión de red Ethernet con cable.
   En Open Directory no necesitas estar vinculado, ya que Mac OS X admite la vinculación Anónima y la información OD puede enviarse mediante DHCP. Esto significa que puedes crear la conexión e iniciar sesión con una cuenta OD, siempre que la autenticación de 802.1X se realice con éxito primero y que el servidor DHCP esté configurado para enviar los datos del servidor OD.
2. Elimina cualquier perfil de 802.1X previo.
3. Elimina cualquier certificado de 802.1X existente de las entradas de llavero de perfil.
4. En una red inalámbrica 802.1X, elimina la red AirPort previa de la lista Redes preferidas en las Preferencias del sistema de red.
5. Ahora selecciona y sigue los pasos para añadir el perfil 802.1X adecuado.

Añadir un perfil Usuario: el método recomendado para añadir un perfil 802.1X Usuario

Si vas a utilizar la autenticación TLS, en primer lugar deberás instalar un certificado de usuario/par de claves privadas. Recomendamos que sea tu administrador del sistema quien realice esto.

1. Selecciona Apple > Preferencias del sistema > Red.
2. Selecciona el servicio de red apropiado para configurarlo, como Ethernet o AirPort, desde la lista de servicios de conexión de red y haz clic en Avanzado.
3. Haz clic en la pestaña 802.1X.
4. Haz clic en Añadir (+) al final de la lista de perfiles y selecciona el perfil Añadir usuario. (Si lo deseas, cambia el nombre del perfil predeterminado).
5. A no ser que estés utilizando TLS, introduce el nombre de usuario y la contraseña suministrados por el administrador del sistema para tu cuenta.
6. Selecciona una red desde el menú desplegable Red inalámbrica si estás configurando una conexión 802.1X "inalámbrica". Si el nombre de la red inalámbrica (SSID) está oculto, deberás teclearlo manualmente con exactitud. (distingue entre mayúsculas y minúsculas).
7. Selecciona y configura los tipos de Autenticación EAP adecuados para la red. Los predeterminados son PEAP y TTLS.
8. Haz clic en Aceptar para guardar el perfil.
9. Haz clic en Aplicar para guardar la configuración 802.1X.
10. Es posible que se te pida confiar en un certificado del servidor si se emitió desde un CA no fiable, en cuyo caso verás una nueva entrada añadida en el llavero Inicio de sesión.
11. Se te pedirá tu contraseña del administrador para que puedas configurar el nivel requerido de confianza en ese certificado.
12. Si deseas poder acceder de nuevo a la red después de salir del reposo, también tienes que asegurarte de que la red está seleccionada en la lista Red preferida (o que la opción Recordar redes está seleccionada).

Nota: no añadas un perfil Ventana de inicio de sesión o Sistema, ya que tendrán preferencia sobre Usuario. Los perfiles Usuario no distinguen la ubicación. Son por usuario. Puedes añadir los perfiles de usuario adicionales si fuera necesario.

Añadir un perfil Ventana de inicio de sesión: método recomendado para añadir un perfil Ventana de inicio de sesión 802.1X

Si vas a utilizar la autenticación TLS, en primer lugar deberás instalar un certificado de usuario/par de claves privadas. Recomendamos que sea tu administrador del sistema quien realice esto.

1. Conéctate a la red y utiliza Utilidad de directorios para asegurarte de que estás vinculado a un servidor aplicable, como Open Directory (OD) o Active Directory (AD), necesario para las carpetas de inicio y la autenticación de la red.
   Esto se hará normalmente en una conexión de red Ethernet con cable.
   En Open Directory no necesitas estar vinculado, ya que Mac OS X admite la vinculación Anónima y la información OD puede enviarse mediante DHCP. Esto significa que puedes crear la conexión e iniciar sesión con una cuenta OD, siempre que la autenticación de 802.1X se realice con éxito primero y que el servidor DHCP esté configurado para enviar los datos del servidor OD.
2. Selecciona Apple > Preferencias del sistema > Red.
3. Desde el menú desplegable Ubicación, selecciona Editar ubicaciones.
4. Haz clic en Añadir (+) al final de Ubicaciones, crea una nueva ubicación y nómbrala para recordar su uso; a continuación, haz clic en Hecho.
5. Selecciona el servicio de red apropiado para configurarlo, como Ethernet o AirPort, desde la lista de servicios de conexión de red y haz clic en Avanzado.
6. Haz clic en la pestaña 802.1X.
7. Haz clic en Añadir (+) al final de la lista de perfiles y selecciona el perfil Añadir ventana de inicio de sesión. (Si lo deseas, modifica el nombre del perfil Sin título).
8. Deja Nombre de usuario o Contraseña en blanco. Aunque no afectará a la conexión si lo haces, es superfluo. Se te pedirá el nombre de usuario y la contraseña durante la conexión inicial al servidor cuando hagas clic en Aplicar; no se volverá a utilizar con posterioridad.
9. Selecciona una red desde el menú desplegable Red inalámbrica. Si estás configurando una conexión 802.1X "inalámbrica" y el nombre de la red inalámbrica (SSID) está oculto, deberás teclearlo manualmente con exactitud (distingue entre mayúsculas y minúsculas).
10. Selecciona y configura los tipos de Autenticación EAP adecuados para la red. Los predeterminados son PEAP y TTLS. Ten en cuenta que EAP-FAST no es compatible con el modo Ventana de inicio de sesión.
11. Haz clic en Aceptar para guardar el perfil.
12. Haz clic en Aplicar para guardar la configuración 802.1X.
13. Es posible que se te pida confiar en un certificado del servidor si se emitió desde un CA no fiable, en cuyo caso verás una nueva entrada añadida en el llavero Inicio de sesión.
14. Se te pedirá tu contraseña del administrador para que puedas configurar el nivel requerido de confianza en ese certificado.
15. Si deseas poder acceder de nuevo a la red después de salir del reposo, también tienes que asegurarte de que la red está seleccionada en la lista Red preferida (o que la opción Recordar redes está seleccionada).

Nota: no añadas un perfil Usuario o Sistema a esta ubicación. Sin embargo, puedes añadir perfiles de ventana de inicio de sesión si fuera necesario.

Añadir un perfil Sistema: método recomendado para añadir un perfil Sistema 802.1X

Si vas a utilizar autenticación TLS, en primer lugar deberás instalar un certificado/par de claves privadas de usuario o sistema como sea apropiado. Recomendamos que sea tu administrador del sistema quien realice esto.

1. Conéctate a la red y utiliza Utilidad de directorios para asegurarte de que estás vinculado a un servidor aplicable, como Open Directory (OD) o Active Directory (AD), necesario para las carpetas de inicio y autenticación de la red.
   Esto se hará normalmente en una conexión de red Ethernet con cable.
   En Open Directory no necesitas estar vinculado, ya que Mac OS X admite la vinculación Anónima y la información OD puede enviarse mediante DHCP. Esto significa que puedes crear la conexión e iniciar sesión con una cuenta OD, siempre que la autenticación de 802.1X se realice con éxito primero y que el servidor DHCP esté configurado para enviar los datos del servidor OD.
2. Selecciona Apple > Preferencias del sistema > Red.
3. Desde el menú desplegable Ubicación, selecciona Editar ubicaciones.
4. Haz clic en Añadir (+) al final de Ubicaciones, crea una nueva ubicación y nómbrala para recordar su uso; a continuación, haz clic en Hecho.
5. Selecciona el servicio de red apropiado para configurarlo, como Ethernet o AirPort, desde la lista de servicios de conexión de red y haz clic en Avanzado.
6. Haz clic en la pestaña 802.1X.
7. Haz clic en Añadir (+) al final de la lista de perfiles y selecciona Añadir perfil Sistema. (Si lo deseas, modifica el nombre del perfil Sin título).
8. Introduce el nombre de usuario y la contraseña.
9. Selecciona una red desde el menú desplegable Red inalámbrica. Si estás configurando una conexión 802.1X "inalámbrica" y el nombre de la red inalámbrica (SSID) está oculto, deberás teclearlo manualmente con exactitud (distingue entre mayúsculas y minúsculas).
10. Selecciona y configura los tipos de Autenticación EAP adecuados para la red. Los predeterminados son PEAP y TTLS.
11. Haz clic en Aceptar para guardar el perfil.
12. Haz clic en Aplicar para guardar la configuración 802.1X.
13. Es posible que se te pida confiar en un certificado del servidor si se emitió desde un CA no fiable, en cuyo caso verás una nueva entrada añadida en el llavero Inicio de sesión.
14. Se te pedirá tu contraseña del administrador para que puedas configurar el nivel requerido de confianza en ese certificado.
15. Si deseas poder acceder de nuevo a la red después de salir del reposo, también tienes que asegurarte de que la red está seleccionada en la lista de Red preferida (o que la opción Recordar redes está seleccionada).

Nota: no añadas un perfil Usuario o Ventana de inicio de sesión a esta ubicación. Se reemplazarán por el perfil Sistema si lo haces.

Información adicional

Para obtener información sobre cómo configurar 802.1X en Mac OS 10.4, consulta este artículo.

Fuente: Apple