Estoy gestionando el diseño, la creación / prueba y la implementación de 3,500 dispositivos iOS en nuestra empresa este otoño. Hemos estado utilizando el configurador .mobileconfig perfiles para administrar las cargas útiles de Wi-Fi en una red inalámbrica WPA2 Enterprise. Los iPods están inscritos en MobileIron MDM y ejecutan iOS 7.1.2. Tengo un problema de "pollo y huevo" relacionado con la autenticación Wi-Fi y la administración a largo plazo del proceso de conexión. ¡Solo espero que esté haciendo un trabajo lo suficientemente bueno como para contar la historia del trabajo que he hecho para tratar de solucionarlo por mi cuenta!
Utilizamos una cuenta de servicio de Active Directory para conectar con los controladores inalámbricos de Cisco. Por lo tanto, el dominio \ cuenta y la contraseña están codificados en el archivo .mobileconfig y residen en el dispositivo. Podríamos especificar estas configuraciones directamente en MobileIron (MI) en lugar de usarlo para impulsar este perfil importado, pero creo que el problema es el mismo.
Para los fines de las mejores prácticas, suponga que quiero (o incluso que necesito) cambiar la contraseña asociada con esta cuenta de servicio y tener un nuevo perfil cargado en MI listo para enviarlo a los dispositivos. Cada dispositivo tiene un estado diferente de "preparación" en un momento dado, ¿verdad? En otras palabras, algunos pueden estar en uso, otros pueden estar bloqueados, otros pueden estar muertos y en el cargador ... por lo que no puedo confiar en que los dispositivos reciban un nuevo empuje de perfil desde MI cuando se "publica" para ese grupo de dispositivos.
Al cambiar la contraseña, corté la capacidad de ese dispositivo para conectarse al servidor de MI y recibir ese perfil con las nuevas credenciales (sin ningún almacenamiento en caché del lado de iOS que pueda persistir, esto tampoco es confiable). Claro, con un número menor de personas, puede suspender cuidadosamente este proceso para que el perfil con la nueva contraseña se envíe y reciba antes de cambiarlo en AD, pero esto sería casi imposible de monitorear para miles de dispositivos.
Después de ejecutar esto por un Ingeniero Sr. en Apple al que tengo acceso, pensé que crearía un perfil que constaría de lo siguiente:
SSID: BananaStand
WPA2 Enterprise: EAP / TLS
Nombre de usuario: dominio \ GOB
Contraseña: Segway01SSID: BananaStand
WPA2 Enterprise: EAP / TLS
Nombre de usuario: dominio \ GOB
Contraseña: Marta143SSID: BananaStand
WPA2 Enterprise: EAP / TLS
Nombre de usuario: dominio \ GOB
Contraseña: T0nyW0nd3r!
Pensando, si el iPod estuviera conectado con la primera contraseña, una vez que lo cambiara en Active Directory, el perfil "cambiaría" a las entradas subsiguientes de este SSID hasta que se conectara con éxito.
Probé este proceso con un punto de acceso de Verizon (donde podía controlar fácilmente el entorno) y el iPod lo intentó tres veces y se rindió. La conmutación de Wi-Fi y el ciclo de energía no tuvieron efecto.
¿Alguien tiene alguna idea sobre cómo puedo "precargar" las contraseñas (casi como una lista de "códigos de respaldo" para Evernote / Google / etc) en un perfil o MI para permitir que el dispositivo iOS ya tenga conocimiento? de la siguiente contraseña ANTES de que se inicie desde la red?
Por cierto, es posible que estemos listos para la autenticación WAP basada en certificados en el futuro, pero no hoy.