¿Hay una buena manera de distribuir claves WPA2 dentro de la 'empresa'


5

Debido a todo esto de la nube, hemos comenzado a terminar con más y más macs dentro de nuestra red empresarial. Y, como la mayoría de las empresas, tenemos una red inalámbrica interna a la que preferiríamos no distribuir la contraseña. Actualmente, tenemos técnicos que visitan a las personas e ingresan sus claves de wifi, pero nos gustaría poder enviarles a las personas un archivo que puedan importar. ¿Hay alguna herramienta nativa en OSX que maneje esto? ¿O algún paquete de terceros que podamos usar?

Si está familiarizado con las conexiones de acceso de Lenovo y los archivos clave que se pueden enviar para eso, estamos buscando una versión para macbook de eso.

Aclaraciones:

  • La clonación de direcciones MAC no es una opción. Además de ser una seguridad falsa, tenemos un ecosistema existente que utiliza el esquema WPA2-PSK actual y no queremos romperlo. La cuestión no es cómo podemos rediseñar nuestra seguridad inalámbrica para que se ajuste a algunos valores atípicos, sino cómo podemos incluir los valores atípicos en el esquema actual.

Respuestas:


2

Entonces, resulta que Loin es compatible con los perfiles .mobileConfig de estilo iOS, por lo que la respuesta es "distribuir los archivos de MobileConfig como si el macbook fuera un iPad".

No puedo afirmar que he descubierto esto. La historia fue más como:

Helpdesk Guy: hey, el CEO me acaba de llamar, ¿puede alguien poner su Mac en el wifi ahora?
Yo: Sí, todavía estoy en la oficina, ¿dónde está?
Sysadmin Guy: Amigo, no necesitas visitarlo, solo envíale el archivo de configuración móvil de iOS que usamos para los iPads.
¿Yo que? ¿Eso funciona?
Sysadmin Guy: Sí, te hace doofus amante de la PC
Yo: [pruebas, abre una nueva ventana y Holy Fuma mi mac tiene wifi de empresa] Wow, eso funciona, permítame enviarlo por correo electrónico al CEO.

De todos modos, hice un poco buscando documentación. Encontré alguna verificación de que otras personas están haciendo esto, y también encontré este doc de entrenamiento de la manzana que puede ser lo que buscas


Suena interesante. ¿Puede elaborar un poco más sobre cómo se crean estos archivos y qué tiene que ver un usuario con ellos?
nohillside

+1 por querer más información sobre esto. ¿Un enlace a un documento de Apple?
Ian C.

No soy muy experto en estas cosas, pero debería haber mucha documentación en el sitio de Apple. Estos archivos .mobileConfig se usan normalmente para dispositivos iOS, no para dispositivos OSX. Publiqué un enlace a un documento de entrenamiento de Apple que probablemente explica más de lo que puedo.
Wyatt Barnett

1

Lo siento si esto no es un tema importante, pero una mejor solución para su problema sería configurar un "portal cautivo".

Básicamente, las personas pueden unirse libremente a su red, pero necesitan un nombre de usuario y una contraseña para salir del puerto (es decir, para conectarse a Internet).

Lo bueno de esto es que puede mantener una base de datos central de usuarios o usar una base de datos existente como LDAP. Además, esto le permitiría realizar cuentas de invitado con caducidad automática.

Lo mejor de todo es que esto se puede configurar de forma gratuita con el conocimiento adecuado.


Oh, tenemos uno de esos para los invitados. Pero a nuestra gente le gusta poder entrar a una sala de reuniones, abrir el macbook y utilizar el wifi.
Wyatt Barnett

Si ya lo tiene para invitados, puede configurarlo para verificar las direcciones MAC del cliente.
edude05

Punto justo, pero realmente no queremos confiar en las direcciones de mac y queremos tener una red encriptada para que todo el ángulo esté fuera. LDAP podría ser una solución sin embargo. . .
Wyatt Barnett

1

No sé la respuesta exacta, PERO al leer este How-to - http://www.felipe-alfaro.org/blog/2006/01/29/wpa2-eap-tls/ - Parece unos pasos de configuraciones.

Creo que debería ser posible, p. Ej. un AppleScript que realice todos los pasos necesarios para que pueda empaquetar, p. ej. un archivo zip (archivo clave y AppleScript), el usuario luego descomprime e instala / configura la conexión.


Esto parece que es nuestro boleto, gracias Rene.
Wyatt Barnett

1

Sugeriría usar algo como Cerca del paquete . Solíamos estar en una situación similar en la que los empleados necesitaban un acceso rápido y discreto a Internet y los invitados necesitaban algún tipo de autenticación simple.

Packet Fence es un sistema gratuito basado en la web. Nuestra implementación incluyó el almacenamiento de todas las direcciones MAC de los empleados dentro de Packet Fence para que puedan abrir sus computadoras portátiles y comenzar a trabajar sin necesidad de autenticarse.

Para nuestros visitantes, podían acceder a nuestro wifi, pero necesitaban abrir un navegador y autenticarse con una contraseña simple. También podríamos iniciar sesión cuando accedieran a nuestra red.


Gracias, voy a ver en eso. No podemos usar solo las direcciones MAC por varias razones, principalmente nos gusta la seguridad de la capa de transporte en redes inalámbricas.
Wyatt Barnett
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.