Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar el dispositivo cliente para la autenticación EAP-TTLS

Para proteger su red a través de la autenticación EAP-TTLS, siga estos pasos de configuración en el dispositivo cliente.

Juniper Mist Access Assurance admite la autenticación EAP-TTLS solo con PAP como método interno. De forma predeterminada, la mayoría de los dispositivos cliente, como Apple iOS/macOS y Windows, intentan usar PEAP-MSCHAPv2 o EAP-TTLS/MSCHAPv2 cuando un usuario escribe credenciales en el símbolo del inicio de sesión del SSID. Estos métodos se basan en el hash de contraseñas (como MSCHAPv2) y no son compatibles con los proveedores de identidad (IdP) modernos basados en la nube. Para permitir una incorporación exitosa, los dispositivos cliente deben estar configurados explícitamente para usar EAP-TTLS con PAP. En las implementaciones de producción, esta configuración generalmente se aplica a través de soluciones de administración de dispositivos móviles (MDM). Sin embargo, para la validación o las pruebas de laboratorio, el método también se puede configurar manualmente en el dispositivo siguiendo los pasos a continuación

Requisitos previos

  1. Descargue el certificado de AC de Juniper Mist Org:

    Los dispositivos cliente deben confiar en el servidor de Mist Access Assurance. El certificado de AC de la organización de Mist debe incluirse en el perfil inalámbrico que configure.

    1. En el portal Juniper Mist, vaya a Organización > Acceso > certificados. En la página Autoridades de certificado, haga clic en Ver certificado de Mist para mostrar los detalles del certificado.
      Figura 1: Descargar certificado Download Juniper Mist CA Certificate de Juniper Mist AC

    2. Haga clic en Descargar certificado para descargar el certificado en el dispositivo cliente.

      Nota: Si utiliza un certificado de servidor personalizado, utilice la AC raíz del certificado de servidor en lugar de la AC de organización Mist.
  2. Configure el proveedor de identidad (DPI): En Juniper panel de control de Mist, vaya a Organización > Acceso > proveedores de identidades > Agregar DPI y configure los detalles de IdP necesarios. Para obtener más información, consulte Agregar proveedores de identidad para Juniper Mist Access Assurance.
    Figura 2: Configurar el proveedor de Configure the Identity Provider identidad
  3. Cree una regla de política de autenticación: En Políticas de > acceso de la organización> defina una regla de política de autenticación adecuada que permita que los dispositivos cliente EAP-TTLS se conecten a la red. Para obtener más información, consulte Configurar política de autenticación.
    Figura 3: Crear una política Create an Auth Policy de autenticación

Configurar el dispositivo Apple para la autenticación EAP-TTLS

Hemos descrito la configuración con el dispositivo Apple macOS.

Para esta tarea, cree un perfil de red EAP-TTLS utilizando una herramienta gratuita de Apple Configurator.

Crea un perfil en tu dispositivo cliente Apple:

  1. En su cliente macOS, abra su herramienta Apple Configurator y haga clic en Archivo > nuevo perfil
    Figura 4: Configuración del perfil de Wi-Fi para el cliente Wi-Fi Profile Configuration for Apple Client de Apple

    Se abrirá un nuevo documento de perfil de configuración.

  2. En la barra de navegación izquierda de la página de Apple Configurator, haga clic en Certificados > Configurar. Seleccione y cargue el certificado de Mist que descargó (como se menciona en Requisitos previos). Para que los dispositivos cliente confíen en el servidor de Juniper Mist Access Assurance, debe incluirlo en el perfil inalámbrico.
    Figura 5: Cargue el certificado de Juniper Mist AC en la configuración Upload Juniper Mist CA Certificate in Wi-Fi Profile Configuration del perfil de Wi-Fi
  3. En la barra de navegación izquierda de la herramienta Apple Configurator, seleccione Wi-Fi y haga clic en Configurar.
    Figura 6: Configuración Wi-Fi Profile Configuration del perfil de Wi-Fi

    Ingrese las siguientes opciones para la configuración de Wi-Fi:

    • SSID: el SSID de su red. Asegúrese de ingresar el SSID correcto, incluidas las letras mayúsculas.
    • Tipo de seguridad: WPA2/WPA 3 para empresas
    • Tipos de EAP aceptados: TTLS y seleccione Contraseña por conexión.
    • Autenticación interna: PAP
    Figura 7: Configuración Wi-Fi Profile Configuration Settings del perfil de Wi-Fi
  4. En la misma página, en Configuración de la empresa , junto a Protocolos, haga clic en Confiar. La página muestra una lista de certificados cargados.

    Seleccione el Juniper Mist AC certificado e introduzca auth.mist.com en Nombre de certificado de servidor de confianza. Este paso permite que el dispositivo del cliente confíe en el servidor de Juniper Mist Access Assurance.

    Figura 8: Confíe en el certificado de AC de Juniper Mist en el perfil Trust Juniper Mist CA Certificate in Wi-Fi Profile de Wi-Fi
  5. Guarde la configuración del perfil.
    Figura 9: Guardar la configuración Save Wi-Fi Profile Configuration del perfil de Wi-Fi
  6. Para firmar el perfil, necesitas un certificado de confianza de Apple. Este paso es necesario para su uso en producción.

Ahora puede instalar el perfil en su dispositivo macOS y conectarse a SSID a través de EAP-TTLS.

Para iOS y iPadOS

Para probar EAP-TTLS en un iPhone o iPad, puede exportar los perfiles Wi-Fi configurados desde su dispositivo macOS y compartirlos a través de AirDrop. Una vez recibidos, instale estos perfiles en el dispositivo iOS para conectarse mediante EAP-TTLS con autenticación PAP.

  1. En su dispositivo iOS, abra la aplicación Configuración y toque Perfil descargado.
    Figura 10: Localizar perfil iPhone Settings screen in dark mode showing options for Start Using iCloud, Finish Setting Up Your iPhone, Profile Downloaded, Airplane Mode, Wi-Fi, Bluetooth, Mobile Service, and Battery.
  2. Toca Instalar en la esquina superior derecha de la pantalla.
    Figura 11: Perfil de Prompt to install unsigned profile named Corp-NET with Wi-Fi certificate. Options: Cancel, Install, Remove Downloaded Profile. instalación

  3. Siga las instrucciones que aparecen en pantalla para completar el proceso de instalación.

  4. Ingrese el nombre de usuario y la contraseña y haga clic en Unirse a la red inalámbrica.

    Figura 12: Conectar la red Wi-Fi login screen prompting for username and password to connect to network Corp-NET with Mode set to Automatic. inalámbrica

Configurar el dispositivo Windows para la autenticación EAP-TTLS

Siga estos pasos para configurar un dispositivo Windows para la autenticación EAP-TTLS.

  1. Descargue el certificado Juniper Mist Org AC (como se menciona en Requisitos previos) e importe el certificado Mist Org AC a su dispositivo Windows en Administrar certificados de equipo > Autoridades de certificación raíz de confianza.
    Figura 13: Certificados raíz de confianza en dispositivos Microsoft Management Console displaying the Certificates snap-in with a list of trusted root certificates, including columns for Issued To, Issued By, Expiration Date, and Intended Purposes. Windows
  2. En su dispositivo Windows, vaya al Panel de control > Centro de redes y recursos compartidos > Configurar una nueva conexión o red , seleccione Conectarse manualmente a una red inalámbrico y haga clic en Siguiente.
    Figura 14: Configuración de la nueva conexión Network and Sharing Center in Windows showing Airtel_Home 4 as the active public network and a setup window with Manually connect to a wireless network option highlighted.
  3. En el Escriba la información de la red inalámbrica que desea agregar, proporcione los siguientes detalles:

    • Nombre de red: proporcione un nombre SSID.

    • Tipo de seguridad: seleccione la opción WPA2-Enterprise o WPA3-Enterprise.

    Figura 15: Ingrese la información de la red Manually connecting to a wireless network in Windows Control Panel. Network name is MGMT-SSID with WPA2-Enterprise security and AES encryption. Security key field is empty. Options to start connection automatically and connect if not broadcasting are shown. inalámbrica

    Al hacer clic en Siguiente, aparece un mensaje de confirmación que indica que su SSID se ha agregado correctamente.

    Figura 16: Configurar red inalámbrica: ajustes de Network and Sharing Center showing current active network Airtel_Home 4 as public. Pop-up confirms MGMT-SSID added. Options to change settings, set up new connection, or troubleshoot. conexión

    Haga clic en Cambiar configuración de conexión.

  4. Vaya a la pestaña Seguridad y, en Elegir un método de autenticación de red, seleccione Microsoft: EAP-TTLS y haga clic en Configuración.
    Figura 17: Configurar las propiedades Wireless network properties dialog on the Security tab showing WPA2-Enterprise, AES encryption, and EAP-TTLS authentication settings with credentials checkbox checked. Network and Sharing Center options visible in the background. de la red inalámbrica

  5. En la ventana Propiedades de TTLS , realice las siguientes acciones:

    • Desactive la opción Habilitar privacidad de identidad .

    • En Conectarse a estos servidores, escriba auth.mist.com

    • En Autoridades de certificación raíz de confianza, seleccione el certificado de AC de organización Mist o el AC raíz de su certificado de servidor de RADIUS personalizado.

    • En Seleccionar un método que no sea EAP para la autenticación, seleccione Contraseña sin cifrar (PAP)

      .
    Figura 18: Configurar red inalámbrica: propiedades Network and Sharing Center showing Airtel_Home 4 as a public network and TTLS Properties dialog with anonymous identity, auth.mist.com server, trusted root authorities, and PAP authentication. TTLS

    Haga clic en Aceptar.

  6. De nuevo en la pestaña Seguridad, haga clic en Configuración avanzada.

    • Marque Especificar modo de autenticación y seleccione la opción Autenticación de usuario .
    • Haga clic en Aceptar y, a continuación, en Cerrar para completar la configuración.
    Figura 19: Configurar red inalámbrica: Configuración Windows Control Panel Network and Sharing Center showing Airtel_Home 4 as a public network and options for wireless network properties configuration. avanzada

Configurar el dispositivo Android para la autenticación EAP-TTLS

Siga estos pasos para configurar un dispositivo Android para la autenticación EAP-TTLS. Los pasos de navegación pueden variar ligeramente según el modelo del dispositivo; el ejemplo proporcionado aquí se basa en un Google Pixel 9.

  1. Descargue el certificado de AC de Mist Org y guárdelo en el almacenamiento de su dispositivo.
  2. Abra la aplicación Configuración en su dispositivo Android y navegue hasta Configuración > Red e Internet> Internet > Preferencias de red. Haga clic en Instalar certificados.
    Figura 20: Certificado Smartphone screen showing Network preferences menu with options for enabling Wi-Fi auto-on, public network notifications, WEP networks, installing certificates, Wi-Fi Direct, and a message about installed Wi-Fi certificate. de instalación

  3. Desde el almacenamiento interno, cargue el certificado de AC de Mist Org e ingrese el nombre del certificado. Si está utilizando un certificado de servidor RADIUS personalizado, elija el AC raíz correspondiente a ese servidor en lugar del AC de organización Mist.

    Figura 21: Ingrese el nombre Mobile device screen showing network preferences: options to turn on Wi-Fi automatically, notify for public networks, and allow WEP networks. Pop-up window for naming a certificate with Mist-Org-CA-Cert being entered, options to cancel or confirm. del certificado

  4. Una vez descargado e instalado el certificado AC, haga clic en el SSID y configure la conexión de la siguiente manera:

    • Método EAP: TTLS
    • Autenticación de fase 2: PAP
    • Certificado AC: Seleccione el certificado de AC de la organización
    • Dominio: Ingreseauth.mist.com .
    • Credenciales: Ingrese el nombre de usuario y la contraseña.
      Figura 22: Configurar red Wi-Fi setup screen for Corp-NET with enterprise authentication. EAP TTLS, PAP, Mist-Org-CA-Cert, TLS v1.0, auth.mist.com, identity jack@89mistilbs.org, password hidden. inalámbrica

      Haga clic en Conectar para completar la configuración.

Configurar dispositivo Linux para autenticación EAP-TTLS

Siga estos pasos para configurar la autenticación EAP-TTLS en un dispositivo Linux (Ubuntu):

  1. Abra la configuración de red y haga clic en el SSID para conectarse.
    Figura 23: Configuración Wi-Fi authentication dialog on Linux prompting credentials for Corp-NET with WPA WPA2 Enterprise, username jack at 9mistlibs dot org, and hidden password. de la red inalámbrica
  2. En Seguridad Wi-Fi, elija WPA y WPA2 Enterprise.
  3. En Autenticación, seleccione TLS en túnel (EAP-TTLS).
  4. Establezca el campo Dominio en: auth.mist.com
  5. Para el certificado de AC, seleccione el certificado de AC de Mist Org que se descargó anteriormente. Si está utilizando un certificado de servidor RADIUS personalizado, elija el AC raíz correspondiente a ese servidor en lugar del AC de organización Mist.
  6. Establezca Autenticación interna (o autenticación de fase 2) en PAP.
  7. Introduzca el nombre de usuario y la contraseña proporcionados para la autenticación.
  8. Haga clic en Conectar para completar la configuración.

Conexión y verificación del cliente

  1. Conecte su dispositivo cliente a la red con el nombre de usuario y la contraseña.
  2. En el portal de Juniper Mist, vaya a Supervisar > niveles de servicio > información. En la sección Eventos de cliente, consulte los eventos de autenticación de cliente de NAC.
    Figura 24: Eventos NAC Client Authentication Events de autenticación de cliente NAC

Documentación relacionada