[MacOSX10.5：如何配置802.1X的网络偏好设置.docxVIP

Mac OS X 10.5：如何配置 802.1X 的网络偏好设置上次修改时间: 15 一月, 2010文章: HT3326摘要802.1X 标准设计用于通过防止未经授权的设备访问网络，来增强局域网的安全性。该标准支持多种鉴定方法，包括 TLS、EAP–FAST、TTLS、LEAP、MD5 和 PEAP（MSCHAPv2、MD5、GTC）。如果您身处教育或商业环境，就可能需要连接受 802.1X 标准保护的无线 (IEEE 802.11) 或以太网 (IEEE 802.3) 网络。在受 802.1X 保护的环境中，电脑在通过鉴定后才能访问网络服务（例如，电子邮件或 Internet）。?受影响的产品AirPort, Mac OS X 10.5在配置 Mac OS X 中的 802.1X 设置之前，可能需要先了解下列信息。用户名密码无线网络名称（区分大小写）鉴定方法和选项如果使用的是 TLS，还需要有用户证书/专用密钥对，这通常以 .p12 文件 (PKCS12) 形式提供。在此情况下，应让 IT 部门来为您配置电脑。如果不是很清楚，请询问网络管理员来了解配置 802.1X 时要知道上述哪些信息。我应该使用哪个 802.1X 描述文件？“网络”偏好设置中共有三个 802.1X 描述文件选项：用户描述文件登录窗口描述文件系统描述文件注：负责电脑鉴定的 802.1X RADIUS 服务器并不知道您所使用的 802.1X 描述文件类型。用户、登录窗口和系统描述文件对 RADIUS 服务器是透明的，而且是 Mac OS X 所特有的。不论使用的是何种描述文件，电脑和 RADIUS 服务器之间所进行的处理都是相同的。需要注意的是，802.1X 描述文件存在一个优先顺序。如果有多种描述文件类型，则系统描述文件优先于登录窗口描述文件，而后者又优先于用户描述文件。如果已在所在位置配置了系统描述文件，则请勿向相同位置添加用户描述文件或登录窗口描述文件。?关于“用户”描述文件选项如果不清楚要添加哪种描述文件，请使用此选项（视为默认选项）。此模式之所以称作“用户”，是因为 802.1X 会话是以用户的身份运行的，并可与用户进行交互来提示输入缺失信息，如证书信任和名称和/或密码。?关于“登录窗口”描述文件选项此模式之所以称作“登录窗口”，是因为 802.1X 会话起源于登录窗口，并且使用的是在登录窗口输入的凭证。进行网络鉴定和目录服务用户鉴定时使用的都是同一凭证。在登录屏幕中，用户输入用户名和密码。如果“登录窗口”找不到使用该用户名的本地用户帐户，即会使用同一用户名和密码启动 802.1X 会话，而在使用 802.11 网络时，则会关联到无线网络。802.1X 鉴定完成后，“登录窗口”会对用户就目录服务进行鉴定。如果鉴定成功，用户即会登录。?用户注销时，“登录窗口”会检查其启动的是否是 802.1X 会话；如果是，则会停止 802.1X 会话，而如果是 802.11 网络，则会取消与该网络的关联。如果无任何人登录，则不会运行任何 802.1X 会话，也不会加入任何 802.11 网络。该 Mac 在经过鉴定的网络上不可用。此模式通常为企业环境所青睐，以便通过受管理的计算技术和一项或多项目录服务来远程掌控和管理电脑和用户帐户。注：登录窗口描述文件仅支持网络、外部或移动帐户。本地帐户忽略任何登录窗口描述文件，因此将不会连接到 802.1X 保护的网络。每个位置可配置多个登录窗口描述文件。?关于“系统”描述文件选项此模式之所以称作“系统”，是因为只要启用此模式，Mac OS X 即会自动进行网络鉴定。也就是说，即使无任何人登录，电脑也将进行网络鉴定，而不论之后登录的是何种用户帐户。如果不管是否有人登录，电脑都需要连接网络，那么这将非常有用。在电脑实验室以及其他类似环境中，系统管理员需要同时更新大量电脑，此时这可能是最佳方法。每个位置只能配置系统描述文件的一个实例。如果向同一位置添加用户描述文件或登录窗口描述文件，系统将会忽略，因为系统描述文件具有最高优先级。?关于证书的说明证书必须满足服务器和客户端上的特定要求，才能实现成功鉴定。802.1X 所涉及的证书类型有两种：服务器证书和用户证书。服务器证书连接 802.1X 网络时，可能会跳出一个证书信任对话框，询问是否要继续进行服务器鉴定。在该对话框中，可选择永久信任该证书，或仅点按“继续”以进行单次鉴定。证书信任对话框的用途之一就是在服务器提交未明确信任的证书时通知用户。其另一用途就是可以让用户检查证书，以确保证书适用于所进行鉴定的网络。请务必仔细检查证书，而不可盲目接受。他人有可能利用其自己的证书设置欺骗访问点；这时如果继续进行鉴定，欺骗访问点则可从鉴定交换取得用户密码。证书包含有 SHA-1 和 MD-5