Как получить OS X 10.9 для сохранения паролей WPA2 Enterprise в системной связке ключей?

Question

Я использую OS X Keychain в качестве моего менеджера паролей. Чтобы сделать его достаточно безопасным, у меня есть другой пароль в моей цепочке для ключей входа в систему, чем в моей учетной записи пользователя, и мне нужно установить автоматическую блокировку для цепочки для ключей через 5 минут или в спящем режиме.

В целом это работает хорошо, за одним исключением. Дома мой беспроводной работает без необходимости разблокировать цепочку для ключей входа в систему, поскольку пароль хранится в "системной" цепочке для ключей, которая имеет тот же пароль, что и моя учетная запись пользователя. Тем не менее, на работе беспроводной пароль хранится в цепочке для ключей входа в систему, и поэтому требует, чтобы я ввел пароль цепочки для ключей, прежде чем он подключится. Разница между ними заключается в том, что домашняя система - WPA2 Personal, а рабочая - WPA2 Enterprise.

Эта проблема усугубляется с момента обновления до OSX 10.9. Теперь для беспроводного доступа на работе мне нужно ввести пароль цепочки ключей ДВАЖДЫ: один раз, чтобы "eapolclient" мог получить доступ к цепочке ключей входа в систему, и второй раз, чтобы Keychain Access мог получить доступ к цепочке ключей входа в систему.

Я попытался переместить элемент пароля WPA2 Enterprise из цепочки для ключей входа в систему в цепочку для ключей системы, но, похоже, это игнорируется. Итак, мой вопрос:

• Есть ли способ убедить OS X прочитать беспроводной пароль WPA2 Enterprise из системной цепочки для ключей, а не из цепочки для ключей входа в систему?

• Если нет, есть ли способ избежать необходимости дважды вводить пароль цепочки для ключей, как в OS X 10.8 и более ранних версиях?

Answer 1

Кажется, есть официальный способ Apple сделать это, но это чрезвычайно запутанный процесс. Я опубликую это здесь, но надеюсь, что кто-то еще может предоставить вам более разумный способ сделать это.

Очевидный официальный путь Apple требует доступа к последней версии Mac OS X Server; любая из версий, которые были проданы всего за 20 долларов в Mac App Store, должна делать это:

• 10.7 "Lion Server"
• 10.8 "Сервер Mountain Lion"
• 3.0 (соответствует Mac OS X 10.9 Mavericks).

Вот оно:

1. Пусть ваш Mac один раз войдет в сеть WPA2-Enterprise и будет доверять сертификатам. Затем найдите соответствующие сертификаты в системной цепочке для ключей (через Keychain Access) и экспортируйте их каждый в виде отдельных файлов .cer . Это может быть один самозаверяющий серверный сертификат или серверный сертификат плюс ноль или более промежуточных сертификатов CA плюс сертификат корневого CA.
2. Настройте службу "Диспетчер профилей" на Mac OS X Server, если вы этого еще не сделали.
3. Создайте заполнитель "Профиль устройства", который определяет сеть Wi-Fi для подключения, а также тип безопасности и учетные данные для использования.
   1. С помощью веб-браузера перейдите по /profilemanager/ URL на компьютере Mac OS X Server и войдите в систему, используя учетную запись системного администратора.
   2. В списке "Библиотека" в крайнем левом столбце выберите "Устройства".
   3. Во втором столбце нажмите кнопку « +» и "Добавить заполнитель", чтобы создать новый профиль устройства заполнителя. Дайте ему какое-нибудь имя, например «Мой профиль входа в сеть WPA2-Enterprise», и введите любой случайный код (возможно, "Заполнитель") в качестве серийного номера заполнителя. Нажмите "Добавить".
   4. В третьем столбце перейдите на вкладку "Настройки" и нажмите "Изменить".
   5. В появившемся большом листе выберите раздел "Общие" и переключите Тип распространения профиля на Загрузка вручную.
   6. Перейдите в раздел "Сертификаты" и используйте пользовательский интерфейс для импорта каждого из файлов .cer для своей сети, которые вы экспортировали с помощью Keychain Access до того, как начали.
   7. Перейдите в раздел "Сеть" и создайте полезную нагрузку для вашей сети Wi-Fi. Убедитесь, что SSID введен правильно (прописные буквы, знаки препинания и пробелы имеют значение).
      1. Введите свой SSID. Убедитесь, что вы правильно поняли.
      2. Установите тип безопасности WPA/WPA2 Enterprise .
      3. В разделе "Протоколы"> "Принятые типы EAP" установите флажки для типов EAP, используемых в вашей сети.
      4. Введите свое имя пользователя и пароль в соответствующих полях.
      5. На вкладке "Доверие" установите флажки рядом с импортированными сертификатами, чтобы они были доверенными.
      6. Хит "ОК".
4. Хит "Сохранить"
5. Нажмите "Скачать". Вы будете загружать файл .mobileconfig. Скопируйте этот файл .mobileconfig на любой компьютер, на котором вам нужно его установить. ВНИМАНИЕ: Этот профиль будет содержать ваше имя пользователя и пароль в виде открытого текста, поэтому будьте осторожны с тем, как вы его транспортируете и где вы его оставляете.
6. Дважды щелкните .mobileconfig, чтобы импортировать его на панель "Профили" в Системных настройках. Вам будет предложено ввести пароль администратора.

Если профиль установлен правильно, он должен отображаться как профиль устройства , а не как профиль пользователя . Теперь вы можете перезагрузить компьютер и посмотреть, сможет ли он подключиться к сети без особого запроса.

Также обратите внимание, что эта настройка позволит вашей машине оставаться в сети, даже когда никто не вошел в нее (например, когда машина сидит в окне входа в систему, когда никто не вошел в систему). В зависимости от ваших потребностей, это может быть хорошим бонусом или проблемой безопасности. Просто подумал, что я должен дать тебе знать.

PS Использование старой утилиты настройки iOS или более современного приложения Apple Configurator для создания этих профилей не позволит вам создавать профили системной области, которые позволяют помещать вещи в системную цепочку для ключей. Форматы .mobileconfig plist такие же, но те, которые созданы веб-приложением Profile Manager для Mac OS X Server, содержат несколько дополнительных пар ключ / значение plist, которые позволяют задавать его в качестве области действия системы.

Answer 2

В качестве альтернативы вы можете загрузить Apple Configurator 2 из магазина приложений (бесплатно), а затем настроить профиль с полезной нагрузкой только для Wi-Fi. Затем сохраните его, затем откройте с помощью> Системные настройки.