Mac OS X Lion 上使用 TTLS/PAP 访问 Wi-Fi

我们实验室的 Wi-Fi 更改了认证方式,不再采用简单的 WPA2/PSK (Pre-Shared Key),这种方式的弊端显而易见,所有人都知道 Wi-Fi 密码,大家容易把这个 “共用” 密码传给外人,如果是 “个人” 密码的话会好一些,所以我们打算通过 LDAP 把这个密码和个人的邮件密码连在一起,这样会有效的阻止密码扩散(不会有人轻易告诉别人自己的邮件密码),还减轻了管理员经常换密码的痛苦。除了密码管理方面的好处外,还可以通过 Radius 对用户进行统计、对通讯加密等等。我们采用了 DD-WRT + Radius + LDAP 这种方式和现有的基础设施连在一起,用户通过 Linksys WRT 54GS 无线 AP 输入自己内部的 LDAP 帐号就可以登陆 Wi-Fi,和我们其他服务一样 “一次登陆到处使用”。

Mac OS X Lion (10.7) 上默认使用的是 TTLS/MSCHAPv2 方式,如果使用 TTLS/PAP 的话就需要更改配置,问题是 Mac OS X Lion 的配置文件页面没有提供任何方式更改或新建配置来支持 PAP. 打开 Apple > System Preferences … > Network > Wi-Fi > Advanced … > 802.1X 后会发现是空的列表,没有新建按钮也没有导人,怎么增加一个 Profile 呢?我记得 Mac OS X Snow Leopard (10.6) 是有个新建按钮的,不知道为啥 Apple 把这个按钮去掉了,官方给的解释是通常这个 .mobileconfig 配置文件都是由网络管理员提供的,用户拿到这个文件双击就可以完成配置,不需要自己动手配置。

解决这个问题有两个办法:第一个是下载一个别人配置好的.mobileconfig 文件,其实就是一个 xml,然后调整一下后双击使用;第二个是下载 iPhone Configuration Utility 工具自己创建一个 .mobileconfig 文件。办法一可以直接到这里下载 .mobileconfig 后修改,这里不详细介绍了。这里采用办法二:

1、下载和安装 iPhone Configuration Utility 3.5 for Mac OS X 工具
2、打开 Applications > Utilities > iPhone Configuration Utility.app 选择左边列表的 Configurations Profiles;
3、按照下图在 General 页面填写信息;

ttls/pap on mac os x

4、按照下图在 Wi-Fi 页面填写必要的信息,比如 SSID 等,注意选择 WPA/WPA2 Enterprise, TTLS 和 PAP;

ttls/pap on mac os x

5、点击菜单的 Export 配置到某个文件,然后双击这个后缀名为 .mobileconfig 的文件就会自动导入到上面的 802.1X 页面,会提示输入 Radius 服务器的登陆信息等;
6、最后切换无线网络测试一下。