Gibt es eine gute Möglichkeit, WPA2-Schlüssel innerhalb des Unternehmens zu verteilen?

5

Aufgrund dieser ganzen Cloud-Sache landen immer mehr Macs in unserem Unternehmensnetzwerk. Und wie die meisten Unternehmen verfügen wir über ein internes drahtloses Netzwerk, an das wir das Kennwort lieber nicht weitergeben möchten. Momentan haben wir Techniker, die Leute besuchen und ihre WLAN-Schlüssel eingeben, aber wir möchten den Leuten gerne eine Datei schicken, die sie importieren können. Gibt es ein Tool in OSX, das dies erledigt? Oder ein Paket von Drittanbietern, das wir verwenden können?

Wenn Sie mit Lenovo Access Connections und den dazugehörigen Schlüsseldateien vertraut sind, suchen wir nach einer MacBook-Version.

Klarstellungen:

  • Das Klonen von MAC-Adressen ist keine Option. Abgesehen davon, dass es sich um Scheinsicherheit handelt, haben wir ein vorhandenes Ökosystem, das das aktuelle WPA2-PSK-Schema verwendet, und das wollen wir nicht brechen. Die Frage ist nicht, wie wir unsere drahtlose Sicherheit neu gestalten können, um einige Ausreißer zu berücksichtigen, sondern wie wir die Ausreißer in das aktuelle Schema einbeziehen können.
Wyatt Barnett
quelle

Antworten:

2

Es stellt sich also heraus, dass Loin .mobileConfig-Profile im iOS-Stil unterstützt. Die Antwort lautet also "mobileConfig-Dateien verteilen, als wäre das Macbook ein iPad."

Ich kann nicht behaupten, das herausgefunden zu haben. Die Geschichte ging eher so:

Helpdesk Guy: Hey, der CEO hat mich gerade angerufen. Kann jemand seinen Mac jetzt über das WLAN beziehen?
Ich: Ja, ich bin immer noch im Büro, wo ist er?
Sysadmin Guy: Alter, du musst ihn nicht besuchen, schick ihm einfach die iOS Mobile Konfigurationsdatei, die wir für die iPads verwenden.
Was bin ich? Das funktioniert?
Sysadmin Guy: Ja, Sie lieben Doofus
Ich: [testet, es öffnet ein neues Fenster und mein Mac raucht heilig.

Jedenfalls habe ich mich ein wenig nach Unterlagen umgesehen. Ich fand eine Bestätigung, dass andere Leute dies tun, und ich fand es auch dieser Apfeltraining doc was könnte das sein, wonach du suchst.

Wyatt Barnett
quelle
Hört sich interessant an. Können Sie etwas genauer erläutern, wie diese Dateien erstellt werden und was ein Benutzer damit zu tun hat?
nohillside
+1 für weitere Informationen zu diesem Thema. Ein Link zu einem Apple-Dokument?
Ian C.
Ich bin nicht sehr erfahren in diesen Dingen, aber es sollte eine Menge Dokumentation auf der Apple-Site geben. Diese .mobileConfig-Dateien werden normalerweise für iOS-Geräte und nicht für OSX-Geräte verwendet. Ich habe einen Link zu einem Apple-Trainingsdokument gepostet, der wahrscheinlich mehr davon erklärt, als ich kann.
Wyatt Barnett
1

Es tut uns leid, wenn dies nicht zum Thema gehört, aber eine bessere Lösung für Ihr Problem wäre die Einrichtung eines "Captive-Portals".

Grundsätzlich können Personen sich frei in Ihr Netzwerk einloggen, benötigen jedoch einen Benutzernamen und ein Passwort, um den Port zu verlassen (dh um eine Verbindung zum Internet herzustellen).

Das Schöne daran ist, dass Sie eine zentrale Benutzerdatenbank führen oder eine vorhandene Datenbank wie LDAP verwenden können. Außerdem können Sie auf diese Weise automatisch ablaufende Gastkonten einrichten.

Das Beste ist, dass dies mit dem richtigen Know-how kostenlos eingerichtet werden kann.

edude05
quelle
Oh, wir haben eine für die Gäste. Aber unsere Leute mögen es, in einen Besprechungsraum zu gehen, das Macbook zu öffnen und direkt ins WLAN zu springen.
Wyatt Barnett
Wenn Sie es bereits für Gäste haben, kann es eingerichtet werden, um die MAC-Adressen des Clients zu überprüfen.
edude05
Das stimmt, aber wir möchten uns wirklich nicht auf Mac-Adressen verlassen und ein verschlüsseltes Netzwerk haben, damit der gesamte Blickwinkel ausfällt. LDAP könnte jedoch eine Lösung sein. . .
Wyatt Barnett
1

Ich kenne die genaue Antwort nicht - ABER ich lese diese Anleitung - http://www.felipe-alfaro.org/blog/2006/01/29/wpa2-eap-tls/ - Es sieht aus wie ein paar Konfigurationsschritte.

Ich denke, es sollte möglich sein, z. ein AppleScript, das alle erforderlichen Schritte ausführt, die Sie dann als z. eine zip-datei (key-datei und apple-script), die der benutzer dann entpackt und installiert / einrichtet.

Rene Larsen
quelle
Das sieht so aus, als wäre es unser Ticket, danke Rene.
Wyatt Barnett
1

Ich würde vorschlagen, etwas wie Paket-Zaun . Früher befanden wir uns in einer ähnlichen Situation, in der Mitarbeiter einen schnellen, unauffälligen Internetzugang und Gäste eine einfache Authentifizierung benötigten.

Packet Fence ist ein kostenloses webbasiertes System. Unsere Implementierung umfasste das Speichern aller Mitarbeiter-MAC-Adressen in Packet Fence, damit diese ihre Laptops öffnen und ohne Authentifizierung mit der Arbeit beginnen können.

Für unsere Besucher konnten sie auf unser WLAN zugreifen, mussten jedoch einen Browser öffnen und sich mit einem einfachen Passwort authentifizieren. Wir könnten uns auch anmelden, wenn sie auf unser Netzwerk zugreifen.

sfaruque
quelle
Danke, ich werde das untersuchen. Mac-Adressen können nicht nur aus verschiedenen Gründen verwendet werden. Hauptsächlich mögen wir die Sicherheit der Transportschicht bei drahtlosen Verbindungen.
Wyatt Barnett