Կորպորատիվ WiFi-ի կազմակերպման որոշ օրինակներ արդեն նկարագրվել են։ Այստեղ ես կնկարագրեմ, թե ինչպես եմ ես իրականացրել նմանատիպ լուծում և ինչ խնդիրների եմ հանդիպել տարբեր սարքերին միանալիս։ Մենք կօգտագործենք ստեղծված օգտատերերի հետ առկա LDAP-ը, կկարգավորենք FreeRadius-ը և կկարգավորենք WPA2-Enterprise-ը Ubnt կառավարիչի վրա։ Թվում է, թե պարզ է։ Եկեք տեսնենք…
Մի փոքր EAP մեթոդների մասին
Նախքան առաջադրանքը սկսելը, մենք պետք է որոշենք, թե որ նույնականացման մեթոդն ենք օգտագործելու մեր լուծման մեջ։
Վիքիպեդիայից՝
EAP-ը նույնականացման շրջանակ է, որը հաճախ օգտագործվում է անլար ցանցերում և կետից կետ կապերում։ Ձևաչափն առաջին անգամ նկարագրվել է RFC 3748-ում և թարմացվել է RFC 5247-ում։
EAP-ն օգտագործվում է նույնականացման մեթոդ ընտրելու, բանալիները փոխանցելու և այդ բանալիները EAP մեթոդներ կոչվող միացվող մոդուլների միջոցով մշակելու համար։ Կան բազմաթիվ EAP մեթոդներ, որոնք թե՛ սահմանված են EAP-ի միջոցով, թե՛ թողարկված են առանձին արտադրողների կողմից։ EAP-ը չի սահմանում տվյալների կապի շերտ, այն միայն սահմանում է հաղորդագրության ձևաչափը։ EAP օգտագործող յուրաքանչյուր արձանագրություն ունի իր սեփական EAP հաղորդագրությունների ինկապսուլյացիայի արձանագրությունը։
Մեթոդներն իրենք են.
- LEAP-ը CISCO-ի կողմից մշակված սեփական արձանագրություն է։ Հայտնաբերվել են խոցելիություններ։ Այս պահին խորհուրդ չի տրվում օգտագործել։
- EAP-TLS-ը լավ աջակցություն է ստանում անլար կապի մատակարարների կողմից։ Այն անվտանգ արձանագրություն է, քանի որ այն SSL ստանդարտների իրավահաջորդն է։ Հաճախորդի տեղադրումը բավականին բարդ է։ Գաղտնաբառից բացի պահանջվում է նաև հաճախորդի վկայական։ Աջակցվում է բազմաթիվ համակարգերի վրա
- EAP-TTLS - լայնորեն աջակցվում է բազմաթիվ համակարգերում, առաջարկում է լավ անվտանգություն՝ օգտագործելով PKI վկայականները միայն նույնականացման սերվերի վրա։
- EAP-MD5-ը ևս մեկ բաց ստանդարտ է։ Առաջարկում է նվազագույն անվտանգություն։ Խոցելի է, չի աջակցում փոխադարձ նույնականացմանը և բանալու ստեղծմանը
- EAP-IKEv2 - հիմնված է Ինտերնետային բանալիների փոխանակման արձանագրության 2-րդ տարբերակի վրա: Ապահովում է փոխադարձ նույնականացում և սեսիայի բանալու հաստատում հաճախորդի և սերվերի միջև:
- PEAP-ը CISCO-ի, Microsoft-ի և RSA Security-ի համատեղ լուծում է որպես բաց ստանդարտ։ Լայնորեն մատչելի է սննդամթերքներում, ապահովում է շատ լավ անվտանգություն։ Նման է EAP-TTLS-ին, պահանջում է միայն վկայական սերվերի կողմից
- PEAPv0/EAP-MSCHAPv2-ը աշխարհում երկրորդ ամենատարածված ստանդարտն է EAP-TLS-ից հետո։ Այն օգտագործվում է Microsoft-ի, Cisco-ի և Apple-ի կողմից հաճախորդ-սերվեր հաղորդակցության համար։ Linux
- PEAPv1/EAP-GTC - Ստեղծվել է Cisco-ի կողմից որպես PEAPv0/EAP-MSCHAPv2-ի այլընտրանք: Ոչ մի կերպ չի պաշտպանում նույնականացման տվյալները: Չի աջակցվում Windows OS
- EAP-FAST-ը Cisco-ի կողմից մշակված մեթոդ է՝ LEAP-ի թերությունները լուծելու համար։ Օգտագործում է պաշտպանված մուտքի վկայական (PAC): Լիովին մշակված չէ
Այս ամբողջ բազմազանությամբ հանդերձ, ընտրությունը դեռևս սահմանափակ է։ Պահանջվող նույնականացման մեթոդը՝ լավ անվտանգություն, աջակցություն բոլոր սարքերում (Windows 10, macOS, Linux, Android, iOS) և, ըստ էության, որքան պարզ, այնքան լավ։ Հետևաբար, ընտրությունը կանգ առավ EAP-TTLS-ի վրա՝ PAP արձանագրության հետ համատեղ։
Կարող է հարց առաջանալ՝ ինչո՞ւ օգտագործել PAP-ը։ չէ՞ որ այն գաղտնաբառերը փոխանցում է պարզ տեքստով։
Այո, ճիշտ է։ FreeRadius-ի և FreeIPA-ի միջև հաղորդակցությունը տեղի կունենա հենց այսպես։ Վրիպազերծման ռեժիմում կարող եք հետևել, թե ինչպես են ուղարկվում օգտանունը և գաղտնաբառը։ Թող գնան, միայն դու ունես FreeRadius սերվերին մուտք գործելու հնարավորություն։
EAP-TTLS-ի աշխատանքի մասին ավելին կարող եք կարդալ այստեղ։
FreeRADIUS
Մենք կբարձրացնենք FreeRadius-ը մինչև CentOS 7.6. Այստեղ բարդ բան չկա, մենք այն տեղադրում ենք սովորական եղանակով։
yum install freeradius freeradius-utils freeradius-ldap -y3.0.13 տարբերակը տեղադրված է փաթեթներից։ Վերջինը կարելի է վերցնել
Դրանից հետո FreeRadius-ը արդեն աշխատում է։ Դուք կարող եք հանել մեկնաբանությունը տողից /etc/raddb/users ֆայլում։
steve Cleartext-Password := "testing"Աշխատեցնել սերվերի վրա վրիպազերծման ռեժիմում
freeradius -XԵվ մենք փորձարկման կապ ենք հաստատում localhost-ից
radtest steve testing 127.0.0.1 1812 testing123Ստացել է պատասխան Ստացվել է մուտքի ընդունման նույնականացուցիչ 115՝ 127.0.0.1:1812-ից մինչև 127.0.0.1:56081, երկարությունը՝ 20, ապա ամեն ինչ լավ է։ Եկեք շարունակենք։
Մոդուլի միացումը լադապ.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapԵվ մենք անմիջապես կփոխենք այն։ Մեզ անհրաժեշտ է FreeRadius-ը՝ FreeIPA-ի հետ կապվելու համար։
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Վերագործարկեք radius սերվերը և ստուգեք LDAP օգտատերերի համաժամեցումը։
radtest user_ldap password_ldap localhost 1812 testing123 Խմբագրում eap-ում մոդերատորներով/eap
Այստեղ մենք կավելացնենք eap-ի երկու օրինակ։ Դրանք կտարբերվեն միայն վկայագրերով և բանալիներով։ Ստորև կբացատրեմ, թե ինչու է դա այդպես։
մոդերատորներով/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Հաջորդը մենք խմբագրում ենք կայքի կողմից միացված/լռելյայն. Ինձ հետաքրքրում են լիազորման և նույնականացման բաժինները։
կայքի կողմից միացված/լռելյայն
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}«Հաստատել» բաժնում մենք հեռացնում ենք բոլոր այն մոդուլները, որոնք մեզ պետք չեն։ Մենք թողնում ենք միայն ldap-ը։ Հաճախորդի ստուգման ավելացում օգտատիրոջ անունով։ Հենց այդ պատճառով էլ մենք վերևում ավելացրինք eap-ի երկու օրինակ։
Բազմակի EAPԲանն այն է, որ որոշ սարքեր միացնելիս մենք կօգտագործենք համակարգի վկայականներ և կնշենք դոմեյնը: Մենք ունենք վստահելի վկայագրման մարմնի վկայական և բանալի: Անձամբ ես կարծում եմ, որ այս միացման ընթացակարգն ավելի պարզ է, քան յուրաքանչյուր սարքի վրա ինքնաստորագրված վկայական տեղադրելը: Բայց մենք դեռ չկարողացանք խուսափել ինքնաստորագրված վկայականներից: Samsung սարքերը և Android 6-րդ տարբերակը չի կարող օգտագործել համակարգի վկայականներ։ Հետևաբար, մենք ստեղծում ենք առանձին eap-guest օրինակ՝ ինքնաստորագրված վկայականներով։ Բոլոր մյուս սարքերի համար մենք կօգտագործենք eap-client-ը՝ վստահելի վկայականով։ Սարքը միանալիս օգտագործողի անունը որոշվում է «Անանուն» դաշտով։ Թույլատրվում են միայն երեք արժեք՝ հյուր, հաճախորդ և դատարկ դաշտ։ Մնացած ամեն ինչ մերժվում է։ Սա կարգավորված է քաղաքականություններում։ Ես օրինակ կբերեմ ավելի ուշ։
Եկեք խմբագրենք «հաստատել» և «հաստատել» բաժինները կայքի կողմից միացված/ներքին թունել
կայքի կողմից միացված/ներքին թունել
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Հաջորդը, դուք պետք է քաղաքականության մեջ նշեք, թե որ անունները կարող են օգտագործվել անանուն մուտք գործելու համար։ Խմբագրում policy.d/filter.
Դուք պետք է գտնեք նմանատիպ տողեր՝
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Եվ ներքևում elsif-ում ավելացրեք անհրաժեշտ արժեքները.
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Հիմա մենք պետք է տեղափոխվենք գրացուցակ սերտիֆիկատներ. Այստեղ դուք պետք է տեղադրեք բանալին և վկայականը վստահելի վկայագրման մարմնից, որն արդեն ունենք, և դուք պետք է ստեղծեք ինքնաստորագրված վկայականներ eap-guest-ի համար։
Ֆայլում պարամետրերի փոփոխություն ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = admin@admin.ru
commonName = "CA FreeRadius"Մենք նույն արժեքները գրում ենք ֆայլում սերվեր.cnf. Մենք միայն փոխվում ենք
ընդհանուր անուն:
սերվեր.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = admin@admin.ru
commonName = "Server Certificate FreeRadius"Մենք ստեղծում ենք՝
makeՊատրաստ է։ Ստացված է server.crt и server.key Մենք նրանց արդեն գրանցված ենք eap-guest-ում վերևում։
Եվ վերջապես, եկեք մեր մուտքի կետերը ավելացնենք ֆայլին client.conf. Ես դրանցից 7-ն ունեմ։ Որպեսզի յուրաքանչյուր կետը առանձին չավելացնենք, մենք կգրանցենք միայն այն ցանցը, որտեղ դրանք գտնվում են (իմ մուտքի կետերը գտնվում են առանձին VLAN-ում):
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti-ի կառավարիչ
Մենք առանձին ցանց ենք ստեղծել կառավարիչի վրա։ Թող լինի 192.168.2.0/24
Անցեք կարգավորումներ -> պրոֆիլ։ Եկեք ստեղծենք նորը.
Մենք գրում ենք radius սերվերի հասցեն և պորտը, ինչպես նաև ֆայլում գրված գաղտնաբառը։ clients.conf:
Ստեղծեք նոր անլար ցանցի անուն։ Որպես նույնականացման մեթոդ, ընտրեք WPA-EAP (Enterprise) և նշեք ստեղծված շառավղային պրոֆիլը.
Մենք ամեն ինչ պահպանում ենք, կիրառում ենք այն և շարունակում ենք առաջ շարժվել։
Հաճախորդների կարգավորում
Եկեք սկսենք ամենադժվար մասից։
Windows 10
Դժվարությունը կայանում է նրանում, որ Windows Այն դեռևս չի կարողանում միանալ կորպորատիվ WiFi-ին դոմեյնի միջոցով։ Այսպիսով, մենք պետք է ձեռքով ավելացնենք մեր վկայականը վստահելի վկայականների պահոցին։ Դուք կարող եք օգտագործել կամ ինքնաստորագրված վկայական, կամ վկայականի հավաստագիր։ Ես կօգտագործեմ վերջինս։
Հաջորդը, դուք պետք է ստեղծեք նոր կապ։ Դա անելու համար անցեք «Ցանցի և ինտերնետի կարգավորումներ» -> «Ցանցի և համօգտագործման կենտրոն» -> «Ստեղծել և կարգավորել նոր կապ կամ ցանց» բաժինը։
Մենք ձեռքով մուտքագրում ենք ցանցի անունը և փոխում անվտանգության տեսակը։ Այնուհետև սեղմեք փոխել կապի կարգավորումները և «Անվտանգություն» ներդիրում ընտրեք ցանցի նույնականացում - EAP-TTLS:
Մենք անցնում ենք պարամետրերին, նշում ենք նույնականացման գաղտնիությունը - հաճախորդ. Որպես վստահելի հավաստագրման մարմին, մենք ընտրում ենք ավելացված վկայականը, նշում ենք «Մի՛ հարցրեք օգտատիրոջը, եթե սերվերը չի կարող լիազորվել» վանդակը և ընտրում ենք նույնականացման մեթոդը՝ չգաղտնագրված գաղտնաբառ (PAP):
Հաջորդը, անցեք լրացուցիչ կարգավորումներ և նշեք «Նշեք նույնականացման ռեժիմը» վանդակը: Ընտրեք «Օգտատիրոջ նույնականացում» կետը և սեղմեք պահպանել մուտքային տվյալները. Այստեղ դուք պետք է մուտքագրեք username_ldap և password_ldap
Մենք ամեն ինչ պահպանում ենք, կիրառում ենք և փակում։ Դուք կարող եք միանալ նոր ցանցին։
Linux
Ես ստուգեցի Ubuntu 18.04, 18.10, Ֆեդորա 29, 30։
Նախ, ներբեռնեք վկայականը։ Ես այն չգտա Linux, հնարավո՞ր է օգտագործել համակարգի վկայականներ, և արդյո՞ք այնտեղ ընդհանրապես կա նման պահեստ։
Մենք կապ կհաստատենք դոմեյնի միջոցով։ Հետևաբար, մեզ անհրաժեշտ է վկայական այն հավաստագրման մարմնից, որտեղից մեր վկայականը գնվել է։
Բոլոր կապերը կատարվում են մեկ պատուհանում։ Ընտրեք մեր ցանցը՝
անանուն — հաճախորդ
դոմեյն — դոմեյնը, որի համար տրվել է վկայականը
Android
ոչ Samsung-ի
7-րդ տարբերակից սկսած, WiFi-ին միանալիս կարող եք օգտագործել համակարգի վկայականներ՝ նշելով միայն դոմեյնը։
դոմեյն — դոմեյնը, որի համար տրվել է վկայականը
անանուն — հաճախորդ
Samsung
Ինչպես վերևում գրեցի, Samsung սարքերը չեն կարող օգտագործել համակարգի վկայականներ WiFi-ին միանալիս, և նրանք չունեն դոմեյնի միջոցով միանալու հնարավորություն։ Հետևաբար, դուք պետք է ձեռքով ավելացնեք հավաստագրման մարմնի արմատային վկայականը (ca.pem, վերցված Radius սերվերից): Այստեղ կօգտագործվի ինքնաստորագրվածը։
Ներբեռնեք վկայականը ձեր սարքին և տեղադրեք այն։
Վկայականի տեղադրում
Այս դեպքում, դուք պետք է սահմանեք էկրանի ապակողպման ձևանմուշ, PIN կոդ կամ գաղտնաբառ, եթե այն դեռ չի սահմանվել։
Ես ցույց տվեցի վկայականի տեղադրման բարդ տարբերակը։ Սարքերի մեծ մասում պարզապես սեղմեք ներբեռնված վկայականի վրա։
Վկայականը տեղադրվելուց հետո կարող եք անցնել միացմանը.
վկայական - մենք նշում ենք տեղադրվածը
անանուն օգտատեր - հյուր
macOS
Apple սարքերը կարող են միանալ միայն EAP-TLS-ին, բայց դուք դեռ պետք է դրանց վրա վերբեռնեք վկայական։ Այլ միացման եղանակ նշելու համար անհրաժեշտ է օգտագործել Apple Configurator 2-ը: Համապատասխանաբար, նախ անհրաժեշտ է այն ներբեռնել ձեր Mac-ի վրա, ստեղծել նոր պրոֆիլ և ավելացնել բոլոր անհրաժեշտ WiFi կարգավորումները:
Apple կոնֆիգուրատոր
Այստեղ մենք նշում ենք մեր ցանցի անունը
Անվտանգության տեսակ՝ WPA2 Enterprise
Ընդունված EAP տեսակներ — TTLS
Օգտատիրոջ անուն և գաղտնաբառ - թողեք դատարկ
Ներքին նույնականացում - PAP
Արտաքին ինքնություն — հաճախորդ
Վստահության ներդիր։ Այստեղ մենք նշում ենք մեր տիրույթը
Բոլորը։ Պրոֆիլը կարող է պահպանվել, ստորագրվել և տարածվել սարքերում։
Երբ պրոֆիլը պատրաստ լինի, այն պետք է ներբեռնվի ձեր Mac-ում և տեղադրվի։ Տեղադրման գործընթացի ընթացքում դուք պետք է նշեք օգտատիրոջ username_ldap և password_ldap անունները՝
iOS
Գործընթացը նման է macOSԴուք պետք է օգտագործեք պրոֆիլ (կարող եք օգտագործել նույնը, ինչ macOS(Տես վերևում՝ ինչպես ստեղծել պրոֆիլ Apple Configurator-ում):
Ներբեռնեք պրոֆիլը, տեղադրեք այն, մուտքագրեք ձեր մուտքային տվյալները և միացեք՝
Այսքանը։ Մենք ստեղծեցինք Radius սերվեր, համաժամեցրինք այն FreeIPA-ի հետ և Ubiquiti մուտքի կետերին ասացինք օգտագործել WPA2-EAP:
Հնարավոր հարցեր
IN: Ինչպե՞ս փոխանցել պրոֆիլը/վկայականը աշխատակցին։
Մասին: Ես բոլոր վկայականները/պրոֆիլները պահում եմ FTP-ում՝ վեբ մուտքով։ Ես ստեղծել եմ հյուրերի ցանց՝ արագության սահմանափակումներով և միայն ինտերնետին մուտք գործելու հնարավորությամբ, բացառությամբ FTP-ի։
Նույնականացումը տևում է 2 օր, որից հետո այն վերագործարկվում է, և հաճախորդը մնում է առանց ինտերնետի։ Դա։ Երբ աշխատակիցը ցանկանում է միանալ WiFi-ին, նա նախ միանում է հյուրերի ցանցին, մտնում է FTP, ներբեռնում է իրեն անհրաժեշտ վկայականը կամ պրոֆիլը, տեղադրում դրանք, ապա կարող է միանալ կորպորատիվ ցանցին։
IN: Ինչու՞ չօգտագործել սխեմա MSCHAPv2-ի հետ։ դա ավելի անվտանգ է!
Մասին: Նախ, այս սխեման լավ է աշխատում NPS-ի համար (Windows Մեր իրականացումը պահանջում է LDAP (FreeIpa) լրացուցիչ կարգավորում և գաղտնաբառի հեշերի պահպանում սերվերի վրա: Լրացուցիչ կարգավորումը խորհուրդ չի տրվում, քանի որ դա կարող է հանգեցնել հաշիվների համաժամեցման տարբեր խնդիրների: Երկրորդ, հեշը MD4 է, ուստի այն էապես չի բարձրացնում անվտանգությունը:
IN: Հնարավո՞ր է սարքերը լիազորել MAC հասցեներով։
Մասին: ՈՉ, դա անվտանգ չէ, հարձակվողը կարող է փոխարինել MAC հասցեները, և ավելին, MAC հասցեներով թույլտվությունը շատ սարքերի վրա չի աջակցվում։
IN: Ինչո՞ւ օգտագործել այս բոլոր վկայականները ընդհանրապես։ կարող եք կապվել առանց դրանց
Մասին: Սերվերը լիազորելու համար օգտագործվում են վկայականներ։ Դրանք։ Միանալիս սարքը ստուգում է, թե արդյոք սա վստահելի սերվեր է, թե ոչ։ Եթե այո, ապա նույնականացումը շարունակվում է, եթե ոչ, ապա կապը փակվում է։ Դուք կարող եք միանալ առանց վկայականների, բայց եթե ներխուժողը կամ հարևանը տանը տեղադրի radius սերվեր և մուտքի կետ՝ մեր անունով, նա կկարողանա հեշտությամբ խլել օգտատիրոջ մուտքի տվյալները (մի մոռանանք, որ դրանք փոխանցվում են պարզ տեքստով): Եվ երբ օգտագործվում է վկայական, թշնամին իր գրանցամատյաններում կտեսնի միայն մեր հորինված օգտատիրոջ անունը՝ հյուր կամ հաճախորդ, և սխալ, օրինակ՝ «Անհայտ CA վկայական»։
մի փոքր ավելին macOSՍովորաբար միացված է macOS Համակարգի վերատեղադրումը կատարվում է ինտերնետի միջոցով: Վերականգնման ռեժիմում Mac-ը պետք է միացված լինի WiFi-ին, և ո՛չ մեր կորպորատիվ WiFi-ը, ո՛չ էլ հյուրի ցանցը չեն աշխատի: Ես անձամբ կարգավորել եմ մեկ այլ ցանց՝ սովորական WPA2-PSK ցանց, թաքնված, միայն տեխնիկական գործողությունների համար: Այլընտրանքորեն, կարող եք ստեղծել բեռնվող USB սկավառակ՝ նախապես տեղադրված համակարգով: Այնուամենայնիվ, եթե ձեր Mac-ը 2015 թվականից հետո է, ապա ձեզ անհրաժեշտ կլինի ադապտեր գտնել այս USB սկավառակի համար:
Source: www.habr.com
