Байгууллагын WiFi-г зохион байгуулах зарим жишээг аль хэдийн тайлбарласан болно. Би ийм шийдлийг хэрхэн хэрэгжүүлсэн, өөр өөр төхөөрөмж дээр холбогдоход тулгарч байсан асуудлуудыг энд тайлбарлах болно. Бид одоо байгаа LDAP-г тогтсон хэрэглэгчидтэй ашиглаж, FreeRadius суулгаж, Ubnt хянагч дээр WPA2-Enterprise-г тохируулах болно. Бүх зүйл энгийн юм шиг санагддаг. Харцгаая…
EAP аргуудын талаар бага зэрэг
Даалгаврыг эхлүүлэхийн өмнө бид шийдэлдээ ямар баталгаажуулалтын аргыг ашиглахаа шийдэх хэрэгтэй.
Википедиагаас:
EAP нь утасгүй сүлжээ болон цэгээс цэгийн холболтод ихэвчлэн ашиглагддаг баталгаажуулалтын хүрээ юм. Энэ форматыг анх RFC 3748-д тайлбарлаж, RFC 5247-д шинэчилсэн.
EAP нь баталгаажуулалтын аргыг сонгох, түлхүүрүүдийг шилжүүлэх, эдгээр түлхүүрүүдийг EAP аргууд гэж нэрлэгддэг залгаасуудаар боловсруулахад ашиглагддаг. EAP өөрөө болон хувь нийлүүлэгчдийн гаргасан олон EAP аргууд байдаг. EAP нь холбоосын давхаргыг тодорхойлдоггүй, зөвхөн мессежийн форматыг тодорхойлдог. EAP ашигладаг протокол бүр өөрийн гэсэн EAP мессежийн протоколтой байдаг.
Аргууд нь өөрөө:
- LEAP нь CISCO-ийн боловсруулсан өмчийн протокол юм. Эмзэг байдал илэрсэн. Одоогоор хэрэглэхийг зөвлөдөггүй
- EAP-TLS нь утасгүй үйлдвэрлэгчдийн дунд сайн дэмжигддэг. Энэ нь SSL стандартын залгамжлагч учраас аюулгүй протокол юм. Үйлчлүүлэгчийг тохируулах нь нэлээд төвөгтэй юм. Нууц үгээс гадна танд үйлчлүүлэгчийн гэрчилгээ хэрэгтэй. Олон систем дээр дэмжигддэг
- EAP-TTLS - олон систем дээр өргөн дэмжигддэг, зөвхөн баталгаажуулалтын сервер дээр PKI сертификатыг ашиглан сайн хамгаалалтыг санал болгодог.
- EAP-MD5 бол өөр нэг нээлттэй стандарт юм. Хамгийн бага аюулгүй байдлыг санал болгодог. Эмзэг, харилцан баталгаажуулалт болон түлхүүр үүсгэхийг дэмждэггүй
- EAP-IKEv2 - Интернэт Түлхүүр Солилцооны Протоколын хувилбар 2 дээр суурилсан. Үйлчлүүлэгч болон серверийн хооронд харилцан нэвтрэлт танилт болон сессийн түлхүүрийг бий болгодог.
- PEAP бол CISCO, Microsoft болон RSA Security-ийн хамтарсан шийдэл бөгөөд нээлттэй стандарт юм. Бүтээгдэхүүнд өргөн тархсан, маш сайн аюулгүй байдлыг хангадаг. EAP-TTLS-тэй төстэй, зөвхөн сервер талын гэрчилгээ шаарддаг
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS-ийн дараа энэ нь дэлхийд өргөн хэрэглэгддэг хоёр дахь стандарт юм. Microsoft, Cisco, Apple, Linux дээр үйлчлүүлэгч-серверийн харилцааг ашигласан
- PEAPv1/EAP-GTC - Cisco PEAPv0/EAP-MSCHAPv2 хувилбарын хувилбараар бүтээгдсэн. Баталгаажуулалтын өгөгдлийг ямар ч байдлаар хамгаалахгүй. Windows үйлдлийн систем дээр дэмжигдээгүй
- EAP-FAST бол LEAP-ийн дутагдлыг засахын тулд Cisco-оос боловсруулсан арга юм. Хамгаалагдсан хандалтын итгэмжлэл (PAC) ашигладаг. Бүрэн дуусаагүй
Энэ олон төрөл зүйлээс сонголт нь тийм ч сайн биш хэвээр байна. Баталгаажуулах арга нь шаардлагатай: сайн хамгаалалт, бүх төхөөрөмж дээрх дэмжлэг (Windows 10, macOS, Linux, Android, iOS) ба үнэн хэрэгтээ энгийн байх тусмаа сайн. Тиймээс сонголт нь PAP протоколтой хамт EAP-TTLS дээр унасан.
Асуулт гарч ирж магадгүй - Яагаад PAP ашигладаг вэ? Эцсийн эцэст энэ нь нууц үгийг тодорхой текстээр дамжуулдаг уу?
Тиймээ зөв. FreeRadius болон FreeIPA хоорондын харилцаа яг үүнтэй адил явагдана. Дибаг хийх горимд та хэрэглэгчийн нэр, нууц үг хэрхэн илгээгдэж байгааг хянах боломжтой. Тиймээ, тэднийг явуулаарай, зөвхөн танд FreeRadius серверт хандах боломжтой.
Та EAP-TTLS хэрхэн ажилладаг талаар дэлгэрэнгүй уншиж болно
FreeRADIUS
Бид FreeRadius-ийг CentOS 7.6 болгон шинэчлэх болно. Энд ямар ч төвөгтэй зүйл байхгүй, бид үүнийг ердийн аргаар суулгадаг.
yum install freeradius freeradius-utils freeradius-ldap -yБагцуудаас 3.0.13 хувилбарыг суулгасан байна. Сүүлд нь авч болно
Үүний дараа FreeRadius аль хэдийн ажиллаж байна. Та /etc/raddb/users доторх мөрийн тайлбарыг арилгаж болно
steve Cleartext-Password := "testing"Дибаг хийх горимд серверт ажиллуулна уу
freeradius -XМөн localhost-оос туршилтын холболт хийгээрэй
radtest steve testing 127.0.0.1 1812 testing123Бид хариулт авсан 115:127.0.0.1-с 1812:127.0.0.1 урт 56081 хүртэлх Хандалтын-Хүлээн авах Id 20-ыг хүлээн авсан, бүх зүйл хэвийн байна гэсэн үг. Үргэлжлүүл.
Модулийг холбож байна лдап.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapТэгээд бид нэн даруй өөрчлөх болно. FreeIPA-д хандахын тулд бидэнд FreeRadius хэрэгтэй
mods-ийг идэвхжүүлсэн/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Радиус серверийг дахин эхлүүлж, LDAP хэрэглэгчдийн синхрончлолыг шалгана уу:
radtest user_ldap password_ldap localhost 1812 testing123
Засварлах mods-идэвхжүүлсэн/eap
Энд бид eap-ийн хоёр тохиолдлыг нэмэх болно. Тэд зөвхөн гэрчилгээ, түлхүүрээр ялгаатай байх болно. Энэ яагаад үнэн болохыг би доор тайлбарлах болно.
mods-идэвхжүүлсэн/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Дараа нь бид засварлана сайтыг идэвхжүүлсэн/өгөгдмөл. Би эрх олгох, баталгаажуулах хэсгүүдийг сонирхож байна.
сайтыг идэвхжүүлсэн/өгөгдмөл
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Зөвшөөрөх хэсэгт бид шаардлагагүй бүх модулийг устгадаг. Бид зөвхөн лдап үлдээдэг. Хэрэглэгчийн баталгаажуулалтыг хэрэглэгчийн нэрээр нэмнэ үү. Ийм учраас бид дээрх хоёр eap жишээг нэмсэн.
Олон EAPЗарим төхөөрөмжийг холбохдоо бид системийн гэрчилгээг ашиглаж, домэйныг зааж өгөх болно. Бид итгэмжлэгдсэн гэрчилгээний байгууллагаас гэрчилгээ, түлхүүртэй. Миний бодлоор энэ холболтын процедур нь төхөөрөмж бүр дээр өөрөө гарын үсэг зурсан гэрчилгээ хаяхаас хамаагүй хялбар юм. Гэхдээ өөрөө гарын үсэг зурсан гэрчилгээгүй байсан ч явах боломжгүй хэвээр байв. Samsung төхөөрөмжүүд болон Android =< 6 хувилбарууд нь системийн гэрчилгээг хэрхэн ашиглахаа мэдэхгүй байна. Тиймээс бид өөрсдөө гарын үсэг зурсан гэрчилгээтэй тэдэнд зориулсан eap-guest-ийн тусдаа жишээг бий болгодог. Бусад бүх төхөөрөмжүүдийн хувьд бид итгэмжлэгдсэн гэрчилгээтэй eap-client-г ашиглах болно. Төхөөрөмжийг холбох үед хэрэглэгчийн нэрийг Anonymous талбараар тодорхойлно. Зөвхөн 3 утгыг зөвшөөрнө: Зочин, Үйлчлүүлэгч болон хоосон талбар. Үлдсэнийг нь бүгдийг нь хаясан. Үүнийг бодлогод тохируулж болно. Би жаахан дараа жишээ хэлье.
Зөвшөөрөх, баталгаажуулах хэсгүүдийг засъя сайтыг идэвхжүүлсэн/дотоод хонгил
сайтыг идэвхжүүлсэн/дотоод хонгил
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Дараа нь та ямар нэрсийг үл мэдэгдэх нэвтрэхэд ашиглаж болохыг бодлогод зааж өгөх хэрэгтэй. Засварлах бодлого.d/filter.
Та үүнтэй төстэй мөрүүдийг олох хэрэгтэй:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Мөн доор elsif-д шаардлагатай утгыг нэмнэ:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Одоо бид лавлах руу шилжих хэрэгтэй цэргүүд. Энд бид аль хэдийн байгаа итгэмжлэгдсэн баталгаажуулалтын байгууллагын түлхүүр болон гэрчилгээг оруулах шаардлагатай бөгөөд eap-guest-д зориулж өөрөө гарын үсэг зурсан гэрчилгээг бий болгох хэрэгтэй.
Файл дахь параметрүүдийг өөрчлөх ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Бид файлд ижил утгуудыг бичдэг server.cnf. Бид зөвхөн өөрчлөгддөг
нийтлэг нэр:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Бид бүтээдэг:
makeБэлэн. Хүлээн авсан server.crt и server.key Бид eap-guest дээр аль хэдийн бүртгүүлсэн.
Эцэст нь файлд хандах цэгээ нэмье client.conf. Надад 7 ширхэг бий. Цэг бүрийг тусад нь нэмэхгүйн тулд бид зөвхөн тэдгээрийн байгаа сүлжээг бүртгэх болно (миний хандалтын цэгүүд тусдаа VLAN-д байдаг).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti хянагч
Бид хянагч дээр тусдаа сүлжээг босгодог. 192.168.2.0/24 байх болтугай
Тохиргоо -> профайл руу очно уу. Шинээр үүсгэцгээе:
Бид радиус серверийн хаяг, порт, файлд бичигдсэн нууц үгээ бичдэг clients.conf:
Утасгүй сүлжээний шинэ нэр үүсгэнэ үү. Баталгаажуулах арга болгон WPA-EAP (Enterprise)-ийг сонгоод үүсгэсэн радиусын профайлыг зааж өгнө үү.
Бид бүгдийг хэмнэж, хэрэгжүүлээд цаашаа явна.
Үйлчлүүлэгчдийг тохируулах
Хамгийн хэцүү хэсгээс эхэлцгээе!
Windows 10
Асуудал нь Windows нь домэйноор корпорацийн WiFi-тай хэрхэн холбогдох талаар хараахан мэдэхгүй байгаатай холбоотой юм. Тиймээс бид гэрчилгээгээ итгэмжлэгдсэн гэрчилгээний дэлгүүрт гараар байршуулах ёстой. Энд та өөрөө гарын үсэг зурсан эсвэл баталгаажуулалтын байгууллагаас аль нэгийг ашиглаж болно. Би хоёр дахьийг нь ашиглах болно.
Дараа нь та шинэ холболт үүсгэх хэрэгтэй. Үүнийг хийхийн тулд Сүлжээ ба Интернетийн тохиргоо -> Сүлжээ ба Хуваалцах Төв -> Шинэ холболт эсвэл сүлжээ үүсгэж тохируулна уу.
Бид сүлжээний нэрийг гараар оруулаад хамгаалалтын төрлийг өөрчилнө. Дараа нь товшино уу холболтын тохиргоог өөрчлөх болон Аюулгүй байдлын таб дээрээс сүлжээний баталгаажуулалтыг сонгоно уу - EAP-TTLS.
Тохиргоо руу очиж, баталгаажуулалтын нууцлалыг тохируулна уу - үйлчлүүлэгч. Итгэмжлэгдсэн баталгаажуулалтын байгууллагын хувьд бидний нэмсэн гэрчилгээг сонгоод, "Хэрэв серверт зөвшөөрөл өгөх боломжгүй бол хэрэглэгчдэд урилга өгөхгүй" гэсэн нүдийг чагталсны дараа баталгаажуулах аргыг сонгоно уу - энгийн нууц үг (PAP).
Дараа нь нэмэлт параметрүүд рүү очоод "Баталгаажуулалтын горимыг зааж өгөх" хайрцгийг чагтална уу. "Хэрэглэгчийн баталгаажуулалт" -ыг сонгоод товшино уу итгэмжлэлийг хадгалах. Энд та username_ldap болон password_ldap оруулах шаардлагатай
Бид бүгдийг хэмнэж, хэрэглэж, хаадаг. Та шинэ сүлжээнд холбогдох боломжтой.
Linux
Би Ubuntu 18.04, 18.10, Fedora 29, 30 дээр туршиж үзсэн.
Эхлээд гэрчилгээг өөртөө татаж аваарай. Системийн гэрчилгээг ашиглах боломжтой эсэх, эсвэл ийм дэлгүүр байдаг эсэхийг би Линукс дээр олж чадаагүй байна.
Бид домэйнээр холбогдоно. Тиймээс манай гэрчилгээг худалдаж авсан гэрчилгээжүүлэх байгууллагаас гэрчилгээ авах шаардлагатай.
Бүх холболтыг нэг цонхонд хийдэг. Манай сүлжээг сонгоно уу:
нэргүй - үйлчлүүлэгч
домэйн — гэрчилгээ олгосон домэйн
Android
Samsung бус
7-р хувилбараас WiFi-г холбохдоо та зөвхөн домайныг зааж өгөх замаар системийн гэрчилгээг ашиглаж болно.
домэйн — гэрчилгээ олгосон домэйн
нэргүй - үйлчлүүлэгч
Samsung
Миний дээр бичсэнчлэн, Samsung төхөөрөмжүүд WiFi-г холбохдоо системийн гэрчилгээг хэрхэн ашиглахаа мэддэггүй бөгөөд домэйноор холбогдох боломжгүй байдаг. Тиймээс та баталгаажуулалтын байгууллагын үндсэн гэрчилгээг гараар нэмэх хэрэгтэй (ca.pem, үүнийг Radius серверээс аваарай). Энд өөрөө гарын үсэг зурахыг ашиглах болно.
Сертификатыг төхөөрөмждөө татаж аваад суулгана уу.
Сертификат суулгаж байна
Энэ тохиолдолд та дэлгэцийн түгжээ тайлах загвар, ПИН код эсвэл нууц үгээ тохируулаагүй байгаа бол тохируулах шаардлагатай.
Би гэрчилгээ суулгах нарийн төвөгтэй сонголтыг үзүүлэв. Ихэнх төхөөрөмж дээр татаж авсан сертификат дээр дарахад л хангалттай.
Сертификат суулгасны дараа та холболтыг үргэлжлүүлж болно:
гэрчилгээ - таны суулгасан гэрчилгээг заана уу
нэргүй хэрэглэгч - зочин
MacOS
Apple-ийн төхөөрөмжүүд нь зөвхөн EAP-TLS-д холбогдох боломжтой боловч та тэдэнд гэрчилгээ өгөх шаардлагатай хэвээр байна. Өөр холболтын аргыг зааж өгөхийн тулд та Apple Configurator 2-г ашиглах хэрэгтэй. Үүний дагуу та эхлээд Mac дээрээ татаж аваад шинэ профайл үүсгэж, шаардлагатай бүх WiFi тохиргоог нэмэх хэрэгтэй.
Apple-ийн тохируулагч
Энд бид сүлжээнийхээ нэрийг зааж өгнө
Хамгаалалтын төрөл - WPA2 Enterprise
Хүлээн зөвшөөрөгдсөн EAP төрлүүд - TTLS
Хэрэглэгчийн нэр, нууц үг - хоосон орхи
Дотоод баталгаажуулалт - PAP
Гадаад таних тэмдэг - үйлчлүүлэгч
Итгэлцлийн таб. Энд бид өөрсдийн домайныг зааж өгнө
Бүгд. Профайлыг хадгалж, гарын үсэг зурж, төхөөрөмжүүдэд тарааж болно
Профайл бэлэн болсны дараа та үүнийг Mac дээрээ татаж аваад суулгах хэрэгтэй. Суулгах явцад та хэрэглэгчийн usernmae_ldap болон password_ldap-г зааж өгөх шаардлагатай:
Тагийн
Процесс нь macOS-тэй төстэй. Та профайл ашиглах хэрэгтэй (та macOS-тэй ижил профайл ашиглаж болно. Apple Configurator дээр профайл хэрхэн үүсгэх талаар дээрээс үзнэ үү).
Профайлыг татаж авах, суулгах, итгэмжлэл оруулах, холбогдох:
Тэгээд л болоо. Бид Radius серверийг тохируулж, FreeIPA-тай синк хийж, Ubiquiti хандалтын цэгүүдэд WPA2-EAP ашиглахыг хэлсэн.
Боломжит асуултууд
Дотор нь: Профайл / гэрчилгээг ажилтанд хэрхэн шилжүүлэх вэ?
ТУХАЙ: Би бүх гэрчилгээ/профайлыг вэбээр нэвтрэх боломжтой FTP дээр хадгалдаг. Би FTP-ээс бусад тохиолдолд хурдны хязгаартай, зөвхөн интернетэд нэвтрэх боломжтой зочны сүлжээг бий болгосон.
Баталгаажуулалт нь 2 хоног үргэлжилдэг бөгөөд дараа нь дахин тохируулагдаж, үйлчлүүлэгч интернетгүй болно. Тэр. Ажилтан WiFi-д холбогдохыг хүсвэл эхлээд зочны сүлжээнд холбогдож, FTP руу нэвтэрч, өөрт хэрэгтэй сертификат эсвэл профайлыг татаж аваад суулгаж, дараа нь корпорацийн сүлжээнд холбогдож болно.
Дотор нь: MSCHAPv2-тэй схемийг яагаад ашиглаж болохгүй гэж? Энэ нь илүү аюулгүй!
ТУХАЙ: Нэгдүгээрт, энэ схем нь NPS (Windows Network Policy System) дээр сайн ажилладаг бөгөөд бидний хэрэгжилтэд LDAP (FreeIpa) -ийг нэмэлт тохиргоо хийх, нууц үгийн хэшийг сервер дээр хадгалах шаардлагатай байна. Нэмэх. Тохиргоо хийхийг зөвлөдөггүй, учир нь Энэ нь хэт авианы системийг синхрончлоход янз бүрийн асуудал үүсгэж болно. Хоёрдугаарт, хэш нь MD4 тул хамгаалалтыг төдийлөн нэмдэггүй
Дотор нь: Mac хаяг ашиглан төхөөрөмжүүдэд зөвшөөрөл олгох боломжтой юу?
ТУХАЙ: ҮГҮЙ, энэ нь аюулгүй биш, халдагчид MAC хаягийг хууран мэхлэх боломжтой, үүнээс ч илүүтэйгээр MAC хаягаар зөвшөөрөл олгохыг олон төхөөрөмж дэмждэггүй.
Дотор нь: Яагаад эдгээр бүх гэрчилгээг ашигладаг вэ? Та тэдэнгүйгээр холбогдож болно
ТУХАЙ: Сертификатуудыг серверт зөвшөөрөл олгоход ашигладаг. Тэдгээр. Холбох үед төхөөрөмж нь найдвартай сервер мөн эсэхийг шалгадаг. Хэрэв тийм бол баталгаажуулалт үргэлжилж, үгүй бол холболт хаагдана. Та гэрчилгээгүйгээр холбогдож болно, гэхдээ халдагч эсвэл хөрш нь гэртээ манайхтай ижил нэртэй радиус сервер болон хандалтын цэгийг суулгавал тэр хэрэглэгчийн итгэмжлэлийг хялбархан таслан зогсоож чадна (тэдгээрийг тодорхой текстээр дамжуулдаг гэдгийг бүү мартаарай) . Сертификат ашиглах үед дайсан өөрийн бүртгэлдээ зөвхөн бидний зохиомол хэрэглэгчийн нэр - зочин эсвэл үйлчлүүлэгч болон төрлийн алдаа - үл мэдэгдэх CA гэрчилгээг харах болно.
macOS-ийн талаар бага зэрэг дэлгэрэнгүйЕрөнхийдөө macOS дээр системийг дахин суулгах нь интернетээр хийгддэг. Сэргээх горимд Mac нь WiFi-д холбогдсон байх ёстой бөгөөд манай байгууллагын WiFi болон зочны сүлжээ энд ажиллахгүй. Би хувьдаа өөр сүлжээг суулгасан, ердийн WPA2-PSK, зөвхөн техникийн үйл ажиллагаанд зориулж далдлагдсан. Эсвэл та системтэй хамт ачаалах боломжтой USB флаш дискийг урьдчилан хийж болно. Хэрэв таны Mac 2015 оноос хойш байгаа бол та энэ флаш дискний адаптер олох хэрэгтэй болно)
Эх сурвалж: www.habr.com