如何让 OS X 10.9 在系统钥匙串中保存 WPA2 Enterprise 密码?

如何让 OS X 10.9 在系统钥匙串中保存 WPA2 Enterprise 密码?

我使用 OS X Keychain 作为密码管理器。为了确保其安全性,我的登录钥匙串上的密码与我的用户帐户上的密码不同,并将钥匙串设置为 5 分钟后或睡眠时自动锁定。

总体来说,这种方法效果不错,但有一个例外。在家里,我的无线网络无需解锁登录钥匙串即可工作,因为密码存储在“系统”钥匙串中,该钥匙串的密码与我的用户帐户相同。但是,在工作场所,无线网络密码存储在“登录”钥匙串中,因此需要我输入钥匙串密码才能连接。两者之间的区别似乎是家庭系统是 WPA2 Personal,而工作系统是 WPA2 Enterprise。

自从升级到 OSX 10.9 以来,这个问题变得更加严重。现在,工作中的无线访问需要我输入两次钥匙串密码:第一次是为了让“eapolclient”可以访问登录钥匙串,第二次是为了让钥匙串访问可以访问登录钥匙串。

我尝试将 WPA2 Enterprise 密码项从登录钥匙串移至系统钥匙串,但似乎忽略了它。所以我的问题是:

  • 有什么方法可以让 OS X 从系统钥匙串而不是登录钥匙串中读取 WPA2 Enterprise 无线密码?

  • 如果没有,有什么方法可以避免需要输入两次钥匙串密码,就像在 OS X 10.8 及更早版本中一样?

答案1

Apple 似乎有官方方法可以做到这一点,但这是一个极其复杂的过程。我会在这里发布它,但希望其他人可以为您提供更合理的方法。

显然,Apple 官方的方法需要访问最新版本的 Mac OS X Server;Mac App Store 上任何仅售 20 美元的版本都可以做到这一点:

  • 10.7 “狮子服务器”
  • 10.8 “Mountain Lion 服务器”
  • 3.0(对应 Mac OS X 10.9 Mavericks)。

开始:

  1. 让您的 Mac 登录 WPA2-Enterprise 网络一次,并信任证书。然后在系统钥匙串中找到相关证书(通过钥匙串访问),并将它们分别导出为单独的.cer文件。这可能是一个自签名的服务器证书,也可能是一个服务器证书加上零个或多个中间 CA 证书,再加上一个根 CA 证书。
  2. 如果尚未设置,请设置 Mac OS X Server 的“配置文件管理器”服务。
  3. 创建一个占位符“设备配置文件”,定义要加入的 Wi-Fi 网络以及要使用的安全类型和凭据。
    1. 使用 Web 浏览器转到/profilemanager/Mac OS X Server 计算机上的 URL,然后使用系统管理员帐户登录。
    2. 在最左侧的“库”列表中,选择“设备”。
    3. 在第二列中,点击+按钮“添加占位符”以创建新的占位符设备配置文件。为其命名,例如“我的 WPA2-企业网络登录配置文件”,然后输入任意内容(可能是“占位符”)作为占位符序列号。点击“添加”。
    4. 在第三列中,转到“设置”选项卡并点击“编辑”。
    5. 在出现的大表中,选择“常规”部分,然后将配置文件分发类型切换为手动下载。
    6. 转到“证书”部分,然后使用 UI 导入您在开始之前通过 Keychain Access 导出的网络的每个 .cer 文件。
    7. 转到“网络”部分,为您的 Wi-Fi 网络创建有效负载。确保正确输入 SSID(大写、标点和空格均适用)。
      1. 输入您的 SSID。确保输入完全正确。
      2. 将安全类型设置为WPA/WPA2 Enterprise
      3. 在协议 > 接受的 EAP 类型下,选中网络上使用的 EAP 类型的复选框。
      4. 在相关字段中输入您的用户名和密码。
      5. 在“信任”选项卡上,选中您导入的证书旁边的复选框,以便它们受到信任。
      6. 点击“确定”。
  4. 点击“保存”
  5. 点击“下载”。您将下载一个 .mobileconfig 文件。将此 .mobileconfig 文件复制到您需要安装它的任何机器上。警告:此个人资料将包含您的用户名和密码作为明文,因此在运输和放置时要小心谨慎。
  6. 双击 .mobileconfig 将其导入“系统偏好设置”的“配置文件”窗格。系统将提示您输入管理员密码。

如果配置文件安装正确,它应该显示为设备个人资料,而不是用户配置文件。现在您可以重新启动计算机,并查看它是否能够在没有太多提示的情况下接入网络。

另请注意此设置将允许您的机器在无人登录时(例如当机器处于无人登录的登录窗口时)仍留在网络上。根据您的需要,这可能是一个不错的奖励,也可能是一个安全问题。我只是觉得我应该让你知道。

PS 使用旧版 iOS 配置实用程序或更现代的 Apple Configurator 应用程序创建这些配置文件将不允许您创建允许将内容放入系统钥匙串中的系统范围配置文件。 .mobileconfig plist 格式相同,但 Mac OS X Server 的 Profile Manager Web 应用程序创建的 plist 包含一些额外的 plist 键/值对,允许将其设置为系统范围。

答案2

另外,您可以从应用商店下载 Apple Configurator 2(免费),然后配置仅限 Wifi 有效负载的配置文件..然后保存它,然后打开方式>系统偏好设置。

Apple Configurator 2 WPA2 Enterprise .mobileconfig 配置文件示例

相关内容