Verwenden eines Configurator-Profils zum „Drehen“ von Wi-Fi-Kennwörtern

1

Ich verwalte das Design, den Bau / das Testen und die Bereitstellung von 3.500 iOS-Geräten in unserem Unternehmen in diesem Herbst. Wir haben die .mobileconfig-Profile von Configurator verwendet, um Wi-Fi-Nutzdaten in einem drahtlosen WPA2 Enterprise-Netzwerk zu verwalten. Die iPods sind in MobileIron MDM registriert und verwenden iOS 7.1.2. Ich habe ein Problem mit der Wi-Fi-Authentifizierung und der langfristigen Verwaltung des Verbindungsprozesses. Ich hoffe nur, dass ich die Geschichte von der Arbeit, die ich geleistet habe, um sie selbst auszuprobieren, gut genug erzähle!

Wir verwenden ein Active Directory-Dienstkonto, um eine Verbindung zu Cisco Wireless Controllern herzustellen. Daher sind Domäne \ Konto und Kennwort in der .mobileconfig fest codiert und befinden sich auf dem Gerät. Wir könnten diese Einstellungen genauso einfach direkt in MobileIron (MI) angeben, anstatt sie zum Pushen dieses importierten Profils zu verwenden, aber ich denke, das Problem ist dasselbe.

Angenommen, ich möchte (oder muss sogar) das mit diesem Dienstkonto verknüpfte Kennwort ändern und habe ein neues Profil in MI geladen, das für die Übertragung an die Geräte bereit ist. Jedes Gerät hat zu einem bestimmten Zeitpunkt einen anderen Bereitschaftszustand, oder? Mit anderen Worten, manche werden verwendet, manche sind gesperrt, manche sind tot und befinden sich im Ladegerät. Ich kann mich also nicht darauf verlassen, dass Geräte einen neuen Profil-Push von MI erhalten, wenn dieser für diese Gerätegruppe "veröffentlicht" wird.

Durch Ändern des Kennworts trenne ich die Fähigkeit des Geräts, eine Verbindung zum MI-Server herzustellen, und erhalte das Profil mit den neuen Anmeldeinformationen (auch wenn möglicherweise kein Caching auf der iOS-Seite vorhanden ist, ist dies nicht zuverlässig). Sicher, bei einer kleineren Population könnten Sie diesen Prozess sorgfältig aussetzen, sodass das Profil mit dem neuen Kennwort gesendet und empfangen wird, bevor Sie es in AD ändern. Dies ist jedoch nahezu unmöglich, um Tausende von Geräten zu überwachen.

Nachdem ich dies von einem Senior Engineer bei Apple ausgeführt hatte, auf den ich Zugriff habe, dachte ich, ich würde ein Profil erstellen, das aus den folgenden Elementen besteht:

SSID: BananaStand
WPA2 Unternehmen: EAP / TLS
Benutzername: Domain \ GOB
Passwort: Segway01

SSID: BananaStand
WPA2 Unternehmen: EAP / TLS
Benutzername: Domain \ GOB
Passwort: Marta143

SSID: BananaStand
WPA2 Unternehmen: EAP / TLS
Benutzername: Domain \ GOB
Passwort: T0nyW0nd3r!

Wenn der iPod unter Verwendung des ersten Kennworts verbunden wäre, würde das Profil, sobald ich es in Active Directory geändert habe, ein "Failover" auf nachfolgende Einträge für diese SSID durchführen, bis eine Verbindung hergestellt werden konnte.

Ich habe diesen Prozess mit einem Verizon-Hotspot (über den ich die Umgebung problemlos steuern kann) getestet und den iPod dreimal ausprobiert und aufgegeben. Das Umschalten von Wi-Fi und Power-Cycling hatte keine Auswirkung.

Hat jemand irgendwelche Gedanken darüber, wie ich in der Lage sein könnte, Kennwörter (fast wie eine Liste von "Sicherungscodes" für Evernote / Google / etc) in einem Profil oder einer MI "vorzuladen", damit das iOS-Gerät bereits über die nächsten Bescheid weiß Passwort, bevor es aus dem Netzwerk gebootet wird?

Übrigens sind wir möglicherweise in Zukunft für die zertifikatbasierte WAP-Authentifizierung bereit, aber nicht heute.

Paul B
quelle
Hast du das jemals gelöst? Ich stehe vor einem ähnlichen Problem.
01.
Nein - aber ich glaube nicht, dass eine Antwort da draußen war und niemand eingegriffen hat. Ich denke, dass die Methode zum Authentifizieren eines iOS-Geräts bei einem drahtlosen Unternehmensnetzwerk mithilfe eines AD-Dienstkontos (oder eines beliebigen Benutzerobjekts) am besten kurz verwendet wird -term, wenn überhaupt. Wir mussten diesen Ansatz aufgeben (zum Glück - jeder wusste, dass es sich um eine Krücke handelte) und uns die von MDM verwalteten Maschinenzertifikate ansehen und Cisco ISE als Front-End verwenden, um zu steuern, wer eine Verbindung herstellen darf (dh nur unternehmenseigene Assets) , für Starter).
Paul B