1 votes

La vérification OCSP/CRL de Safari provoque un échec de la connectivité

Je suis en train de mettre en œuvre un système d'authentification réseau 802.1X à l'aide de Cisco ISE pour l'un de nos clients.

Notre solution exige que les utilisateurs (avec leurs appareils personnels) se connectent à un réseau SSID ouvert, soient redirigés par HTTP vers notre portail de connexion (https, signé en interne) et se voient attribuer un profil sans fil.

Cela fonctionne bien en général, mais nous avons un cas spécifique avec les machines OS X (jusqu'à présent, cela n'a été vu que sur Mavericks) où la navigation vers un site Web et la redirection ne fonctionnent pas. Cela ne se produit que dans Safari, dans Firefox cela fonctionne bien.

Nous avons autorisé le trafic vers les serveurs OCSP et CRL spécifiés dans notre certificat de serveur HTTPS. Cependant, dans une capture de paquets du Mac, je peux voir qu'il envoie des requêtes DNS AAAA pour les noms des serveurs OCSP et CRL (qui échouent, car IPv6 n'est pas configuré/pris en charge sur ce réseau), mais la machine ne semble pas se replier sur des requêtes IPv4 (A).

D'autres requêtes DNS (safari recherchant google.com.au) envoient des requêtes AAAA et A simultanées.

Est-ce un bug connu ? Y a-t-il quelque chose que nous pouvons faire du côté du réseau pour résoudre ce problème ?

Je suis intéressé de savoir s'il existe un changement de configuration sur le Mac que nous pouvons faire pour résoudre ce problème, mais ce n'est pas une solution, car nous devons faire un changement aussi minimal que possible sur les appareils personnels des utilisateurs.

Merci.

2voto

andri Points 8237

Donc... Il y avait une autre chose causant mon portail à ne pas charger (ACL de redirection). Le DNS était un hareng rouge, et la seule raison pour laquelle nous avons vu des requêtes AAAA et non A était parce que la machine avait déjà mis en cache la réponse pour l'enregistrement A.

Découvrir cela m'a rendu humble... quelle erreur stupide !

Quoi qu'il en soit, il n'y a pas de problème avec le Mac ici, mais si vous voyez un comportement similaire, videz votre cache DNS et essayez à nouveau !

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X