[iPhone] 4S zentral verwalten und mittels WPA2 Enterprise ins Firmennetz holen

Die Anforderung war wie folgt: die Firmen-iPhones sollen sich mit einem RADIUS-authentifiziertem Firmen-WLAN verbinden. Der RADIUS-Server ist ein Netzwerkrichtlinienserver auf Basis eines Windows Server 2008R2.

Zusätzlich stand mir eine PKI (Personal Key Infrastructure) zur Verfügung, genauer gesagt, eine Active-Directory-integrierte Zertifikatsstelle. Alle AD-Benutzer erhalten per automatischer Registrierung ein Zertifikat.

Der RADIUS ist entsprechend eingerichtet, dass eine bestimmte AD-Sicherheitsgruppe (in meinem Fall G_WLAN-Benutzer) das Recht erhält, sich am RADIUS authentifizieren zu können. Soviel zu den Vorbereitungen.

Im Anschluß habe ich mir das iPhone-Konfigurationsprogramm für Windows von der Apple-Website heruntergeladen. Hierüber können iPhones zentral verwaltet werden, mittels Konfigurationsprofilen können Einstellungen einfach und kontrolliert auf die Firmengeräte verteilt werden. Unter anderem besteht hier die Möglichkeit, Zertifikate in den Gerätespeicher zu laden und auch WLAN-Profile einzurichten.

Also, schwupps mein eigenes Benutzerzertifikat angegeben sowie das Root-Zertifikat (Authentifizierung des RADIUS UND des iPhones mittels Zertifikat) und entsprechend zugeordnet. Sollte das Benutzerzertifikat (beispielsweise für andere Benutzer) nicht verfügbar sein puttygen ssh , so muss das Zertifikat exportiert werden und in den Zertifikatsspeicher “Andere Personen” gespeichert werden (genutzt werden kann dazu die Microsoft Management Shell, MMC).

 Über das iPhone-Konfigurationsprogramm werden nun die Zertifikate angegeben. Das sieht dann in etwa so aus:

Nun noch schnell das WLAN-Profil erstellen. Mein WLAN ist abgesichert mittels WPA2, daher ergeben sich dann folgende Einstellungen:

Die Einstellungen können entweder per iTunes auf das Gerät geschrieben werden, oder aber, meiner Meinung nach sehr komfortabel, per eMail an den entsprechenden Besitzer des iPhones gesandt werden. Dieser bestätigt nur die Installation des Konfigurationsprofils auf seinem iPhone, sollte dies bereits über ein eMail-(Active-Sync-) Konto verfügen, direkt aus der eMail. Ein Löschen des Profils kann mittels Passwortvergabe (im Konfigurationsprogramm) verhindert werden. Die Einstellungen des Profils können somit durch den Benutzer nicht übergangen werden.

Mit diesen Einstellungen im iPhone und der korrekten Konfiguration des Netzwerkrichtlinienservers (folgt hier in den kommenden Tagen) verbindet sich das iPhone vollkommen automatisch mit dem gewünschten WLAN. Illinois 779510 phone

[TrendMicro] Bug in TrendMicro Worry-Free Business Agent

Fast zeitgleich haben sich zwei unserer Systeme im Unternehmen verabschiedet und ließen sich nicht mehr starten. Nach der Anmeldung am System startete die explorer.exe nicht mehr, der Desktop blieb leer. Der manuelle Start über den Taskmanager scheiterte mit einer Fehlermeldung: “Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können”

Ursache unbekannt. Betroffene Systeme: Windows xp Professional und Windows 7 Professional (32bit). Nach einem Tag recherche und verschiedensten Tests (HiJackThis, diverse Online-Scans im abgesicherten Modus) entschied ich mich für eine Neuinstallation des Windows xp Clients. Nach der Einrichtung des neuen Systems: gleiches Problem!

Die Lösung folgte dank msconfig. Gestartet werden kann das Programm über Ausführen.. aus dem Startmenü (Windows 7: Programme/Dateien durchsuchen im Startmenü). Alternativ öffnet sich das Ausführen-Fenster auch mit der Tastenkombination Windows+R. Nachdem alle Nicht-Microsoft-Dienste für den nächsten Systemstart deaktiviert waren https://putty-ssh.com , funktionierten die Systeme wie gewohnt. Die Ursache war somit auf einem frisch installierten PC schnell gefunden. Man beendet die Dienste über die Registerkarte Dienste, setzt die Option Alle Microsoft-Dienste ausblenden und klickt im Anschluss auf Alle Deaktivieren.

msconfig: Nicht-Microsoft-Dienste beenden

Ist das Problem behoben, startet man msconfig erneut und wählt auf der ersten Registerkarte des Programms die Option Normaler Systemstart.

Beide Systeme wurden auf die aktuelle Version des TrendMicro-Agent aktualisiert und das Problem war behoben. Scheinbar handelt es sich um ein Problem des 32bit-Agents, denn auf unseren anderen Systemen (alle 64bit) ist dieses Problem nicht aufgetreten. Ein netter Vorteil: der neue Agent ist schneller und somit ist auch der Internet Explorer schneller geworden.

Versionsnummern

  California 626258