802.1x

Z KdmWiki
Przejdź do nawigacji Przejdź do wyszukiwania
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to metoda wymagana, aby użytkownik uzyskał dostęp do wewnętrznych zasobów i usług WCSS i był traktowany inaczej niż "reszta świata", czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) spoza terenu WCSS.


Konta pwr.wroc.pl i nova.wcss.wroc.pl

Windows

Należy zdobyć supplicanta obsługującego EAP-TTLS-PAP. Jeśli posiadamy już działającą sieć eduroam to możliwe jest skonfigurowanie tego samego supplicanta tak by łączył się do sieci przewodowych WCSS. Ta instrukcja obejmuje postępowanie w przypadku supplicanta W2Secure. Nowego można pobrać pod adresem: https://cat.eduroam.org/ podając jako instytucję macierzystą Politechnikę Wrocławską i pomijając etap konfiguracji podczas instalacji.

W2Secure

Po zainstalowaniu supplicanta wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce uwierzytelnianie wybieramy metodę "Secure W2" i otwieramy jej ustawienia:

w2 3.PNG

Wybieramy profil i otwieramy jego właściwości:

w2 4.PNG

Ustawiamy anonimową tożsamość na anonymous:

w2 5.PNG

W kolejnej zakładce włączamy sprawdzanie certyfikatu serwera i wybieramy CA AddTrust External (certyfikat można pobrać pod adresem: http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem):

w2 6.PNG

Wybieramy jako metodę drugiej fazy PAP:

w2 7.PNG

Podajemy nazwę użytkownika, hasło i domenę (pwr.wroc.pl lub nova.wcss.wroc.pl):

w2 8.PNG

Linux

CLI - konfiguracja ręczna

Należy zainstalować wpa-supplicanta i stworzyć plik konfiguracyjny: 

 orcus:~ # cat /etc/wpa_supplicant/wpa_supplicant.conf
 ctrl_interface=/var/run/wpa_supplicant
 ctrl_interface_group=wheel
 ap_scan=0
 fast_reauth=1
 network={
 ssid=""
 scan_ssid=""
 key_mgmt=IEEE8021X
 eap=TTLS
 phase2="auth=PAP"
 identity="username@domena"
 password="plaintextpassword"
 }

Obsługiwane domeny to:

  • nova.wcss.wroc.pl - baza użytkowników KDM.
  • pwr.wroc.pl - baza użytkowników poczty w domenach pwr.wroc.pl i pwr.edu.pl - jako domenę należy podać pwr.wroc.pl.

Następnie należy skonfigurować interfejs tak aby:

  • po podniesieniu interfejsu ale przed uruchomieniem DHCP uruchomił wpa_supplicanta
  • korzystał z serwera DHCP

Dla opensuse należy stworzyć skrypt: 

 orcus:~ # cat /etc/sysconfig/network/scripts/ifup-802.1x-eth0
 #!/bin/bash
 /usr/sbin/wpa_supplicant -D wired -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -d -f /var/log/wpa_supp_wired.log -B
 echo "wpa_supplicant for eth0 started"
 sleep 10

Dodanie na końcu sleep powoduje zaczekanie aż wpa_supplicant uruchomiony jako daemon zakończy uwierzytelnienie przed dalszą konfigurację interfejsu.

Następnie należy wskazać odpowiednie parametry w konfiguracji interfejsu - dla opensuse: orcus:~ # cat /etc/sysconfig/network/ifcfg-eth0 

 BOOTPROTO='dhcp4'
 STARTMODE='auto'
 PRE_UP_SCRIPT='/etc/sysconfig/network/scripts/ifup-802.1x-eth0'
 DHCLIENT_SET_DEFAULT_ROUTE="yes"

NetowrkManager

Otwieramy okno Network Managera (w większości systemów klikamy lewym klawiszem myszki na ikonce komputera/wifi na panelu i wybieramy "Modyfikuj połączenia").

Następnie dodajemy nowe połączenie przewodowe:

8021x-nm1.png

Ustawiamy je tak by pobierało adres z serwera DHCP:

8021x-nm2.png

Wybieramy

  • typ połączenia EAP-TTLS,
  • podajemy anonimową tożsamość (anonymous@pwr.wroc.pl lub anonymous@nova.wcss.wroc.pl),
  • wskazujemy certyfikat CA z dysku (można go pobrać z adresu http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem),
  • wybieramy metodę drugiej fazy - PAP
  • wpisujemy pełny login (nazwa_użytkownika@nova.wcss.wroc.pl lub nazwa_użytkownika@pwr.wroc.pl)
  • w zależności czy chcemy by nasze hasło leżało na dysku wpisujemy je w pole, w przeciwnym wypadku zaznaczamy "Pytanie o hasło za każdym razem".

8021x-nm3.png

Konta guest.wcss.pl

UWAGA: Konta guest.wcss.pl można skonfigurować zgodnie z instrukcją dotyczącą kont pwr.wroc.pl i nova.wcss.wroc.pl. Dodatkowo dostępne jest uwierzytelnianie PEAP-MSCHAPv2 - wspierane natywnie przez system windows.

Windows

Wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce "Uweirzytelnianie" odznaczamy wybieramy metodę PEAP i wchodzimy w jej ustawienia:

peap-1.PNG

Włączamy weryfikację certyfikatu serwera, odznaczamy "łącz tylko z serwerami", wybieramy certyfikat AddTrust External, wybieramy metodę PEAP i klikamy w konfigurację:

peap-2.PNG

W konfiguracji MSCHAPv2 odznaczmy "Automatycznie użyj mojej nazwy logowania..." - w przeciwnym wypadku system będzie próbował używać przy próbie połączenia danych za pomocą których zalogowaliśmy się do komputera:

peap-3.PNG

Po podłączeniu kabla powinna pojawić się prośba o podanie użytkownika (zadziała tu tylko konto w domenie guest.wcss.pl) i hasła:

peap-4.PNG

Linux

CLI

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl, poza dwoma zmianami w konfiguracji wpa_supplicanta: 

 eap=PEAP
 phase2="autheap=MSCHAPV2"

NetowrkManager

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl poza wyborem protokołów - fazy 1 - PEAP, fazy 2 - MSCHAPv2 oraz nazwą użytkownika z domeny guset.wcss.pl: Wybieramy

  • typ połączenia PEAP
  • podajemy anonimową tożsamość (anonymous@guest.wcss.pl),
  • wskazujemy certyfikat CA z dysku (można go pobrać z adresu http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem),
  • wybieramy metodę drugiej fazy - MSCHAPv2
  • wpisujemy pełny login (nazwa_użytkownika@guest.wcss.pl)
  • w zależności czy chcemy by nasze hasło leżało na dysku wpisujemy je w pole, w przeciwnym wypadku zaznaczamy "Pytanie o hasło za każdym razem".


8021x-nm4.png

Wszystkie konta z użyciem certyfikatów klienta

Certyfikat musi zostać wystawiony przez nie oficjalne CA WCSS. Można się po niego zgłosić do Daniela Dobrijałowskiego lub Franciszka Klajna. Klucze są generowane przez pracowników WCSS a certyfikat jest uznawany tylko i wyłącznie przy łączeniu się z sieciami WCSS. Pole CN musi zgadzać się z nazwą zarejestrowanego użytkownika w domenach pwr.wroc.pl, nova.wcss.wroc.pl lub guest.wcss.pl.

YMMV

Network Manager

8021x-nm5.png

Źródło: „https://kdm.wcss.pl/w/index.php?title=802.1x&oldid=4986