Conectar dispositivos Apple a redes 802.1X
Puedes conectar dispositivos Apple de forma segura a la red 802.1X de tu organización. Esto incluye conexiones Wi-Fi y Ethernet.
Dispositivo | Método de conexión | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 o posterior) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 o posterior) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (tercera generación) con Wi-Fi | Wi-Fi Ethernet (tvOS 17 o posterior) | ||||||||||
Apple TV 4K (tercera generación) con Wi-Fi y Ethernet | Wi-Fi Ethernet (tvOS 17 o posterior) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Durante la negociación 802.1X, el servidor RADIUS muestra su certificado al dispositivo que lo solicita de forma automática. El solicitante debe confiar en el certificado del servidor RADIUS, ya sea estableciendo la confianza en un certificado concreto o en una lista de nombres de host esperados que coincidan con el host del certificado. Incluso cuando un certificado es emitido por una CA conocida y aparece en el almacén raíz de confianza del dispositivo, también debe ser de confianza para un propósito concreto. En este caso, el certificado del servidor debe ser de confianza para el servicio RADIUS. Esto se hace de forma manual, al conectarse a una red empresarial, ya que se pide al usuario que confíe en el certificado para la red Wi-Fi conectada, o en un perfil de configuración.
No es necesario establecer una cadena de certificados de confianza en el mismo perfil que contiene la configuración 802.1X. Por ejemplo, un administrador puede decidir implementar un certificado de confianza de la organización en un perfil individual y guardar la configuración 802.1X en un perfil aparte. De esta forma, las modificaciones de cualquiera de los perfiles pueden administrarse de forma independiente.
Entre otros parámetros, la configuración 802.1X también puede especificar:
Tipos de EAP:
Para tipos EAP basados en nombres y en contraseña (como PEAP): el nombre de usuario o la contraseña pueden incluirse en el perfil. De no ser así, se solicitarán al usuario.
Para tipos EAP basados en identidad de certificado (como EAP-TLS): selecciona la carga útil que contiene la identidad de certificado para su autenticación. Esto puede ser una carga útil Certificado de Active Directory (sólo macOS), una carga útil ACME, un archivo de certificado de identidad PKCS #12 (.p12 o .pfx) en la carga útil Certificados, o una carga útil SCEP. De forma predeterminada, los solicitantes de iOS, iPadOS y macOS utilizan el nombre común de la identidad del certificado para la identidad de respuesta EAP que se envía al servidor RADIUS durante la negociación 802.1X. Para obtener más información, consulta Métodos de implementación de certificados mediante cargas útiles de MDM.
Importante: En iOS 17, iPadOS 17 y macOS 14, los dispositivos ahora son compatibles con las conexiones a redes 802.1X usando EAP-TLS con TLS 1.3 (EAP-TLS 1.3).
Credenciales EAP de iPad compartido: iPad compartido utiliza las mismas credenciales EAP para todos los usuarios.
Confiar:
Certificados de confianza: si el certificado de hoja del servidor RADIUS se suministra en una carga útil Certificados en el mismo perfil que contiene la configuración 802.1X, el administrador puede seleccionarlo aquí. Esto permite configurar el solicitante cliente para que se conecte sólo con una red 802.1X con un servidor RADIUS que incluya uno de los certificados de la lista. Si se configura de esta forma, la conexión 802.1X se fija criptográficamente a certificados concretos.
Nombres de certificados de servidor de confianza: utiliza este arreglo para configurar el solicitante de forma que sólo se conecte con servidores RADIUS que muestren certificados que coincidan con estos nombres. Este campo admite comodines. Por ejemplo, *.betterbag.com espera los nombres comunes de certificados radius1.betterbag.com y radius2.betterbag.com. Los comodines les proporcionan a los administradores más flexibilidad cuando se produzcan cambios en los servidores RADIUS o de autoridad de certificado disponibles.
Configuraciones 802.1X para Mac
También puedes utilizar la autenticación WPA/WPA2/WPA3 Empresa en la ventana de inicio de sesión de macOS, de modo que el usuario inicie sesión para autenticarse en la red. Asistente de Configuración de macOS también es compatible con la autenticación 802.1X mediante el uso de credenciales con nombre de usuario y contraseña utilizando TTLS o PEAP. Para obtener más información, consulta el artículo de soporte de Apple Uso del modo de ventana de inicio de sesión para la autenticación 802.1X en una red.
Los tipos de configuraciones 802.1X son los siguientes:
Modo Usuario: este modo, que es el más sencillo de configurar, se utiliza cuando un usuario se conecta a la red desde el menú Wi-Fi y se autentica cuando se le solicita. El usuario debe aceptar el certificado X.509 del servidor RADIUS de la conexión Wi-Fi y marcarlo como de confianza.
Modo Sistema: el modo Sistema se utiliza para la autenticación de computadoras, la cual ocurre antes de que un usuario inicie sesión en la computadora. El modo Sistema se configura comúnmente para proporcionar autenticación con el certificado X.509 (EAP-TLS) de la computadora emitido por una autoridad certificadora local.
Modo Sistema y usuario: una configuración del tipo Sistema y usuario suele ser parte de una implementación de modelo 1 a 1 en donde la computadora se autentica con su certificado X.509 (EAP-TLS). Después de que el usuario inicia sesión en la computadora, puede conectarse a la red Wi-Fi desde el menú Wi-Fi y luego ingresar sus credenciales. Las credenciales del usuario pueden ser un nombre de usuario y una contraseña (EAP-PEAP, EAP-TTLS), o bien un certificado de usuario (EAP-TLS). Una vez que el usuario se conecta a la red, sus credenciales se almacenan en el llavero de inicio de sesión y se utilizan para conectarse a la red en el futuro.
Modo Ventana de inicio de sesión: este modo se utiliza cuando la computadora está vinculada a un servicio de directorio local, como Active Directory. Si se configura el modo Ventana de inicio de sesión, al momento en que un usuario ingresa su nombre de usuario y contraseña en la ventana de inicio de sesión, el usuario se autentica en la computadora y luego en la red mediante la autenticación 802.1X. El modo “Ventana de inicio de sesión” pasa las credenciales de nombre de usuario y contraseña sólo cuando aparece por primera vez la ventana de inicio de sesión. Si la Mac entra en reposo y expira el tiempo de sesión inactiva del controlador WLAN, la Mac configurada con sólo el modo “Ventana de inicio de sesión” deberá reiniciarse o el usuario deberá cerrar sesión. Después, el usuario puede ingresar su nombre de usuario y contraseña otra vez.
Nota: el modo Sistema, el modo Sistema y usuario (requerido para la configuración del modo Sistema), y el modo Ventana de inicio de sesión requieren la configuración mediante una solución de MDM. Configura los parámetros de la carga útil Red con la configuración de red Wi-Fi deseada y aplícala a un dispositivo o grupo de dispositivos para el modo Sistema.
802.1X y iPad compartido
Puedes usar iPad compartido con redes 802.1X. Para obtener más información, consulta iPad compartido y redes 802.1X.