Prosím počkejte chvíli...
Nepřihlášený uživatel
Výpočetní centrum
iduzel: 26931
idvazba: 34147
šablona: stranka
čas: 28.3.2024 15:20:03
verze: 5351
uzivatel:
remoteAPIs:
branch: trunk
Server: 147.33.89.153
Obnovit | RAW
iduzel: 26931
idvazba: 34147
---Nová url--- (newurl_...)
domena: 'vc.vscht.cz'
jazyk: 'cs'
url: '/navody/sit/8021x/linux'
iduzel: 26931
path: 1/4136/1413/1802/1850/26692/26921/26931
CMS: Odkaz na newurlCMS
branch: trunk
Obnovit | RAW

Nastavení ověřování 802.1x v OS Linux

Tento návod popisuje připojení osobního počítače s operačním systémem Linux do počítačové sítě VŠCHT Praha v kategorii Osobní počítače uživatelů (kategorie 3) pomocí pevné sítě (Ethernet).
Počítač se ověřuje s využitím přihlašovacího jména a hesla uživatele.

Cílem tohoto návodu není poskytnout step by step návod pro všechny linuxové distribuce, ale spíše obecný postup, který je nutné upravit pro Vaši konkrétní distribuci.

Nastavení z GUI - NetworkManager

Většina moderních linuxových distribucí používá jako nástroj pro správu připojení k síti NetworkManager. Zde je nastavení velice jednoduché. Většinou je již v systémové části panelu ikonka NetworkManageru, kde stačí kliknout na Spravovat připojení. Zde je možné spravovat jak drátové, tak bezdrátové připojení. V obou případech je důležitá záložka 802.1x zabezpečení, kde je třeba změnit tyto položky:

Autentizace: PEAP
Vnitřní autentizace (někdy autentizace druhé fáze): MSCHAPv2
Jméno: Vaše uživatelské jméno zadane jako login@vscht.cz
Heslo: Vaše heslo
CA certifikát: soubor obsahující certifikát autority USERTrust RSA Certification Authority

Nastavení NetworkManageru

Nastavení v CLI

Popis nastavení z příkazové řádky uvádíme pouze pro úplnost. Uživatelům jinak doporučujeme využít k nastavení ověřování NetworkManager.

Pro ověřování pomocí 802.1x v OS Linux je nutné mít nainstalovaný program, který tuto funkcionalitu zajišťuje, např. wpa_supplicant, kterým se bude dále zabývat tento návod.

Po instanci programu je nutné upravit jeho konfigurační soubor, který se obvykle nachází v /etc/wpa_supplicant.conf

Obsah pro použití v síti VŠCHT by měl vypadat takto:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=0
fast_reauth=1

network={
eapol_flags=0
key_mgmt=IEEE8021X
eap=PEAP
identity="uzivatel"
password="heslo"
ca_cert="/etc/pki/tls/certs/ca-bundle.crt"
phase1="peaplabel=0 peapver=1 include_tls_length=1"
phase2="auth=MSCHAPV2"
}

Do hodnot identity a password napište Vaše uživatelské jméno a heslo.
Dále je třeba upravit položku ca_cert tak, aby ukazovala na certifikát certifikační autority USERTrust RSA Certification Authority. Uložení tohoto souboru je závislé na distribuci a v některých bude nutné vyrobit nový soubor obsahující dotyčný certifikát.

Poté je možné spustit program pomocí příkazu

wpa_supplicant -Dwired -iIFACE -c/etc/wpa_supplicant.conf –B

kde místo IFACE napíšete název příslušného síťového rozhraní(např. eth0) a aktuální cestu ke konfiguračnímu souboru za parametr –c.

Pokud vše proběhlo správně, je možné v tuto chvíli požádat dhcp server o přidělení IP adresy, např. příkazem dhclinet. DHCP klient si musí požádat o přidělení IP adresy až poté co proběhne ověření 802.1x, jinak hrozí, že dostane IP ze špatné sítě, takže bude mít nesprávnou IP a nebude fungovat spojení přes bránu. V běžných konfiguracích obvykle postačuje, aby dhclinet startoval až po suplikantovi, ale pokud by DHCP klient byl příliš rychlý a neopakoval požadavek, tak může být potřeba počkat se startem na dokončení 802.1x ověřování.

Stav ověření je možné sledovat např. pomocí utility wpa_cli a příkazu status.

Aktualizováno: 11.4.2022 18:58, Autor: Antonín Mareš


VŠCHT Praha
Technická 5
166 28 Praha 6 – Dejvice
IČO: 60461373
DIČ: CZ60461373

Datová schránka: sp4j9ch

Copyright VŠCHT Praha 2014
Za informace odpovídá Výpočetní centrum, technický správce Výpočetní centrum
zobrazit plnou verzi