802.1x: Różnice pomiędzy wersjami

Z KdmWiki
Skocz do: nawigacji, wyszukiwania
m
Linia 1: Linia 1:
Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to wymagana aby użytkownik miał dostęp do wewnętrznych zasobów WCSS i był traktowany inaczej niż "reszta świata" czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) z poza terenu WCSS.
+
Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to metoda wymagana, aby użytkownik uzyskał dostęp do wewnętrznych zasobów i usług WCSS i był traktowany inaczej niż "reszta świata", czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) spoza terenu WCSS.
  
  

Wersja z 12:18, 10 paź 2014

Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to metoda wymagana, aby użytkownik uzyskał dostęp do wewnętrznych zasobów i usług WCSS i był traktowany inaczej niż "reszta świata", czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) spoza terenu WCSS.


Konta pwr.wroc.pl i nova.wcss.wroc.pl

Windows

Należy zdobyć supplicanta obsługującego EAP-TTLS-PAP. Jeśli posiadamy już działającą sieć eduroam to możliwe jest skonfigurowanie tego samego supplicanta tak by łączył się do sieci przewodowych WCSS. Ta instrukcja obejmuje postępowanie w przypadku supplicanta W2Secure. Nowego można pobrać pod adresem: https://cat.eduroam.org/ podając jako instytucję macierzystą Politechnikę Wrocławską i pomijając etap konfiguracji podczas instalacji.

W2Secure

Po zainstalowaniu supplicanta wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce uwierzytelnianie wybieramy metodę "Secure W2" i otwieramy jej ustawienia:

w2 3.PNG

Wybieramy profil i otwieramy jego właściwości:

w2 4.PNG

Ustawiamy anonimową tożsamość na anonymous:

w2 5.PNG

W kolejnej zakładce wyłączamy sprawdzanie certyfikatu serwera (certyfikat dla serwera pojawi się w najbliższym czasie):

w2 6.PNG

Wybieramy jako metodę drugiej fazy PAP:

w2 7.PNG

Podajemy nazwę użytkownika, hasło i domenę:

w2 8.PNG

Linux

CLI - konfiguracja ręczna

Należy zainstalować wpa-supplicanta i stworzyć plik konfiguracyjny:

 orcus:~ # cat /etc/wpa_supplicant/wpa_supplicant.conf
 ctrl_interface=/var/run/wpa_supplicant
 ctrl_interface_group=wheel
 ap_scan=0
 fast_reauth=1
 network={
 ssid=""
 scan_ssid=""
 key_mgmt=IEEE8021X
 eap=TTLS
 phase2="auth=PAP"
 identity="username@domena"
 password="plaintextpassword"
 }

Obsługiwane domeny to:

  • nova.wcss.wroc.pl - baza użytkowników KDM.
  • pwr.wroc.pl - baza użytkowników poczty w domenach pwr.wroc.pl i pwr.edu.pl - jako domenę należy podać pwr.wroc.pl.

Następnie należy skonfigurować interfejs tak aby:

  • po podniesieniu interfejsu ale przed uruchomieniem DHCP uruchomił wpa_supplicanta
  • korzystał z serwera DHCP

Dla opensuse należy stworzyć skrypt:

 orcus:~ # cat /etc/sysconfig/network/scripts/ifup-802.1x-eth0
 #!/bin/bash
 /usr/sbin/wpa_supplicant -D wired -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -d -f /var/log/wpa_supp_wired.log -B
 echo "wpa_supplicant for eth0 started"
 sleep 10

Dodanie na końcu sleep powoduje zaczekanie aż wpa_supplicant uruchomiony jako daemon zakończy uwierzytelnienie przed dalszą konfigurację interfejsu.

Następnie należy wskazać odpowiednie parametry w konfiguracji interfejsu - dla opensuse: orcus:~ # cat /etc/sysconfig/network/ifcfg-eth0

 BOOTPROTO='dhcp4'
 STARTMODE='auto'
 PRE_UP_SCRIPT='/etc/sysconfig/network/scripts/ifup-802.1x-eth0'
 DHCLIENT_SET_DEFAULT_ROUTE="yes"

NetowrkManager

Otwieramy okno Network Managera (w większości systemów klikamy lewym klawiszem myszki na ikonce komputera/wifi na panelu i wybieramy "Modyfikuj połączenia").

Następnie dodajemy nowe połączenie przewodowe:

8021x-nm1.png

Ustawiamy je tak by pobierało adres z serwera DHCP:

8021x-nm2.png

Wybieramy typ połączenia EAP-TTLS z metodą 2 fazy PAP i wpisujemy pełny login (nazwa_użytkownika@nova.wcss.wroc.pl lub nazwa_użytkownika@pwr.wroc.pl):

8021x-nm3.png

Konta guest.wcss.pl

UWAGA: Konta guest.wcss.pl można skonfigurować zgodnie z instrukcją dotyczącą kont pwr.wroc.pl i nova.wcss.wroc.pl. Dodatkowo dostępne jest uwierzytelnianie PEAP-MSCHAPv2 - wspierane natywnie przez system windows.

Windows

Wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce "Uweirzytelnianie" odznaczamy wybieramy metodę PEAP i wchodzimy w jej ustawienia:

peap-1.PNG

Wyłączamy weryfikację certyfikatu serwera i wybieramy metodę uwierzytelniania drugiej fazy - MSCHAPv2:

peap-2.PNG

W konfiguracji MSCHAPv2 odznaczmy "Automatycznie użyj mojej nazwy logowania..." - w przeciwnym wypadku system będzie próbował używać przy próbie połączenia danych za pomocą których zalogowaliśmy się do komputera:

peap-3.PNG

Po podłączeniu kabla powinna pojawić się prośba o podanie użytkownika (zadziała tu tylko konto w domenie guest.wcss.pl) i hasła:

peap-4.PNG

Linux

CLI

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl, poza dwoma zmianami w konfiguracji wpa_supplicanta:

 eap=PEAP
 phase2="autheap=MSCHAPV2"

NetowrkManager

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl poza wyborem protokołów - fazy 1 - PEAP, fazy 2 - MSCHAPv2 oraz nazwą użytkownika z domeny guset.wcss.pl:

8021x-nm4.png