Como posso gerar um lote de perfis e certificados para o OS X Server Profile Manager?

0

Estou usando o Profile Manager no OS X Server (Mavericks). Eu executei um script que importou nossos ~ 20 usuários para o Open Directory do CSV. Eu configurei o Radius com EAP-TLS e configurei o 802.1x para que nossos APs e roteadores WiFi se autentiquem no servidor Radius.

Eu criei uma CA autoassinada para Radius e um certificado de cliente para mim, usando o Acesso às Chaves. Consegui exportar meu certificado de cliente, carregá-lo na interface da web do Profile Manager, carregar o certificado confiável do servidor Radius, definir todas as configurações de rede como cargas, baixar e instalar meu perfil e conectar-se ao nosso WiFi.

Tenho que configurar mais de 20 perfis, e é uma enorme PITA gerar manualmente todos esses certificados, carregá-los e definir as configurações de WiFi para cada usuário individual.

Eu sei que posso gerar programaticamente os certificados de cliente com openssl na linha de comando. Eu costumava dscltrabalhar com o Open Directory, mas existe uma ferramenta de linha de comando que pode enviar cargas úteis para o Profile Manager?

Ou seria mais fácil se eu gerasse programaticamente os arquivos XML .mobileconfig e os enviasse por e-mail / AirDrop para cada usuário?

Quero saber como uma pessoa comum de TI para pequenas empresas lança configurações e perfis de rede para um escritório, mas é realmente difícil encontrar documentação sobre esse tópico. Também tenho algumas perguntas de acompanhamento:

  • Como você gerencia uma PKI no Mac Server e como a usa com o Profile Manager?
  • Eu defini uma senha temporária para os usuários, mas como posso permitir que eles entrem e alterem a senha do Open Directory?
ndbroadbent
fonte

Respostas:

1

Você deve poder fazer toda a configuração por grupo.

Adicione todos os usuários a um grupo de OD e defina todas as preferências de WiFi lá. Você também deve poder definir um certificado para o grupo e permitir que o grupo inteiro se autentique no servidor Radius.

Quando se trata de configurar a PKI, você entra nos reinos sombrios do Kerberos. (Tenha muito cuidado com seu DNS ou você nunca retornará.)

Este é um bom guia http://yesdevnull.net/2013/10/os-x-mavericks-server-open-directory-master/

Ler tudo o que Charles Edge escreve sempre vale a pena: - http://krypted.com/guides/mavericks-server/ - ele literalmente escreveu o livro sobre Macs na empresa.

Se você ativar o servidor da Web (que suponho ter para o Profile Manager), a primeira página fornece um link interessante para alterar senhas para usuários de OD.

Tony Williams
fonte
Olá Tony, obrigado pela sua resposta! Eu acredito que é mais seguro usar certificados de cliente por usuário, por isso não tenho certeza sobre um único certificado de grupo. Por exemplo, eu configurei o RADIUS para verificar o CN do certificado em uma string que inclui o nome de usuário do usuário e acho que é uma abordagem mais segura.
Ndbroadbent
Bem, sim. Mais seguro, mas nesse caso, eu enviaria a todos um arquivo mobileconfig por e-mail.
Tony Williams