802.1X pro Linux

Instalace a konfigurace

Autentizaci protokolem IEEE 802.1X v Linuxu řeší program WPA Supplicant. Můžete jej stáhnout z uvedené adresy, ve většině současných distribucí však je k dispozici balíček. Doporučujeme dát přednost této variantě a instalovat jej stejně jako standardní software vašeho systému.

Instalace v Linuxu

Následně jej musíte konfigurovat. Jednou z možností je využít grafické uživatelské rozhraní pro konfiguraci sítě. Tyto prostředky se liší systém od systému, proto nelze poskytnout konkrétní radu. Obecně je třeba nastavit pro rozhraní Ethernet (zpravidla eth0) tyto parametry:

  • zapnout autentizaci protokolem IEEE 802.1X
  • protokol pro správu klíčů: WPA EAP
  • autentizační protokol: PEAP
  • šifrovací protokol: CCMP TKIP

Alternativou je upravit konfigurační soubor WPA Supplicantu ručně. Standardně bývá umístěn v /etc/wpa_supplicant.conf, ale cesta k němu se může lišit v závislosti na distribuci. Jeho obsah by měl být následující:

 ctrl_interface=/var/run/wpa_supplicant 
 network={ 
      key_mgmt=IEEE8021X 
      eap=PEAP 
      pairwise=CCMP TKIP 
      group=CCMP TKIP 
      identity="jmeno.prijmeni@tul.cz" 
      password="xxxx" 
      ca_cert="/etc/certificates/AddTrust_External_Root.pem" 
      phase1="peaplabel=0" 
      phase2="auth=MSCHAPV2"

Obsah souboru můžete zkopírovat, je třeba změnit tři položky: do identity zapište své uživatelské jméno, do password své heslo pro vzdálený přístup. Heslo je bohužel zapsáno v otevřeném tvaru, nicméně soubor wpa_supplicant.conf je čitelný pouze pro správce systému. Tím se omezuje možnost jeho zneužití. A konečně do položky ca_cert uveďte cestu k certifikátu AddTrust External CA Root, který si předtím stáhnete z adresy http://pki.cesnet.cz/cs/ch-tcs-crt-crl.html. Díky přítomnosti uživatelského jména a hesla proběhne autentizace automaticky při staru počítače, nemusíte se o nic starat.

Tím je připravena konfigurace. Následně je zapotřebí zajistist spuštění WPA Supplicantu při startu systému. Pokud jste pro konfiguraci použili grafické uživatelské rozhraní, mělo by být vše hotovo. Jestliže jste konfigurovali wpa_supplicant.conf ručně, musíte ještě do příslušného startovacího souboru vložit příkaz

 wpa_supplicant -Dwired -ieth0 -c/etc/wpa_supplicant.conf

Hodnotou volby -i je název rozhraní, pro něž má být pogram spuštěn, volba -c pak obsahuje cestu ke konfiguračnímu souboru. Tento parametr pravděpodobně lze vynechat, program by měl být konfigurován tak, aby standardně načetl implicitní konfigurační soubor.

Kdy jste naposledy četli Provozní řád počítačové sítě LIANE? Už ani nepamatujete? Tak to honem napravte.

Najdete nás

Kancelář 315 Budova A, Hálkova 6 Liberec

liane@tul.cz

Rychlé odkazy

Úřední hodiny

Pondělí a středa 10:00–11:00 a 14:00–15:00,
úterý a čtvrtek 9:00–11:00,
v pátek 10:00–11:00.