Výpočetní centrumTento návod popisuje připojení osobního počítače s operačním systémem Linux do počítačové sítě VŠCHT Praha v kategorii Osobní počítače uživatelů (kategorie 3) pomocí pevné sítě (Ethernet).
Počítač se ověřuje s využitím přihlašovacího jména a hesla uživatele.
Cílem tohoto návodu není poskytnout step by step návod pro všechny linuxové distribuce, ale spíše obecný postup, který je nutné upravit pro Vaši konkrétní distribuci.
Nastavení z GUI - NetworkManager
Většina moderních linuxových distribucí používá jako nástroj pro správu připojení k síti NetworkManager. Zde je nastavení velice jednoduché. Většinou je již v systémové části panelu ikonka NetworkManageru, kde stačí kliknout na Spravovat připojení. Zde je možné spravovat jak drátové, tak bezdrátové připojení. V obou případech je důležitá záložka 802.1x zabezpečení, kde je třeba změnit tyto položky:
Autentizace: PEAP
Vnitřní autentizace (někdy autentizace druhé fáze): MSCHAPv2
Jméno: Vaše uživatelské jméno zadane jako login@vscht.cz
Heslo: Vaše heslo
CA certifikát: soubor obsahující certifikát autority USERTrust RSA Certification Authority
Nastavení v CLI
Popis nastavení z příkazové řádky uvádíme pouze pro úplnost. Uživatelům jinak doporučujeme využít k nastavení ověřování NetworkManager.
Pro ověřování pomocí 802.1x v OS Linux je nutné mít nainstalovaný program, který tuto funkcionalitu zajišťuje, např. wpa_supplicant, kterým se bude dále zabývat tento návod.
Po instanci programu je nutné upravit jeho konfigurační soubor, který se obvykle nachází v /etc/wpa_supplicant.conf
Obsah pro použití v síti VŠCHT by měl vypadat takto:
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=0
fast_reauth=1
network={
eapol_flags=0
key_mgmt=IEEE8021X
eap=PEAP
identity="uzivatel"
password="heslo"
ca_cert="/etc/pki/tls/certs/ca-bundle.crt"
phase1="peaplabel=0 peapver=1 include_tls_length=1"
phase2="auth=MSCHAPV2"
}
Do hodnot identity a password napište Vaše uživatelské jméno a heslo.
Dále je třeba upravit položku ca_cert tak, aby ukazovala na certifikát certifikační autority USERTrust RSA Certification Authority. Uložení tohoto souboru je závislé na distribuci a v některých bude nutné vyrobit nový soubor obsahující dotyčný certifikát.
Poté je možné spustit program pomocí příkazu
wpa_supplicant -Dwired -iIFACE -c/etc/wpa_supplicant.conf –B
kde místo IFACE napíšete název příslušného síťového rozhraní(např. eth0) a aktuální cestu ke konfiguračnímu souboru za parametr –c.
Pokud vše proběhlo správně, je možné v tuto chvíli požádat dhcp server o přidělení IP adresy, např. příkazem dhclinet. DHCP klient si musí požádat o přidělení IP adresy až poté co proběhne ověření 802.1x, jinak hrozí, že dostane IP ze špatné sítě, takže bude mít nesprávnou IP a nebude fungovat spojení přes bránu. V běžných konfiguracích obvykle postačuje, aby dhclinet startoval až po suplikantovi, ale pokud by DHCP klient byl příliš rychlý a neopakoval požadavek, tak může být potřeba počkat se startem na dokončení 802.1x ověřování.
Stav ověření je možné sledovat např. pomocí utility wpa_cli a příkazu status.