802.1x

Z KdmWiki
Przejdź do nawigacji Przejdź do wyszukiwania

Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to metoda wymagana, aby użytkownik uzyskał dostęp do wewnętrznych zasobów i usług WCSS i był traktowany inaczej niż "reszta świata", czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) spoza terenu WCSS.


Konta pwr.wroc.pl i nova.wcss.wroc.pl

Windows

Należy zdobyć supplicanta obsługującego EAP-TTLS-PAP. Jeśli posiadamy już działającą sieć eduroam to możliwe jest skonfigurowanie tego samego supplicanta tak by łączył się do sieci przewodowych WCSS. Ta instrukcja obejmuje postępowanie w przypadku supplicanta W2Secure. Nowego można pobrać pod adresem: https://cat.eduroam.org/ podając jako instytucję macierzystą Politechnikę Wrocławską i pomijając etap konfiguracji podczas instalacji.

W2Secure

Po zainstalowaniu supplicanta wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce uwierzytelnianie wybieramy metodę "Secure W2" i otwieramy jej ustawienia:

w2 3.PNG

Wybieramy profil i otwieramy jego właściwości:

w2 4.PNG

Ustawiamy anonimową tożsamość na anonymous:

w2 5.PNG

W kolejnej zakładce włączamy sprawdzanie certyfikatu serwera i wybieramy CA AddTrust External (certyfikat można pobrać pod adresem: http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem):

w2 6.PNG

Wybieramy jako metodę drugiej fazy PAP:

w2 7.PNG

Podajemy nazwę użytkownika, hasło i domenę (pwr.wroc.pl lub nova.wcss.wroc.pl):

w2 8.PNG

Linux

CLI - konfiguracja ręczna

Należy zainstalować wpa-supplicanta i stworzyć plik konfiguracyjny: 

 orcus:~ # cat /etc/wpa_supplicant/wpa_supplicant.conf
 ctrl_interface=/var/run/wpa_supplicant
 ctrl_interface_group=wheel
 ap_scan=0
 fast_reauth=1
 network={
 ssid=""
 scan_ssid=""
 key_mgmt=IEEE8021X
 eap=TTLS
 phase2="auth=PAP"
 identity="username@domena"
 password="plaintextpassword"
 }

Obsługiwane domeny to:

  • nova.wcss.wroc.pl - baza użytkowników KDM.
  • pwr.wroc.pl - baza użytkowników poczty w domenach pwr.wroc.pl i pwr.edu.pl - jako domenę należy podać pwr.wroc.pl.

Następnie należy skonfigurować interfejs tak aby:

  • po podniesieniu interfejsu ale przed uruchomieniem DHCP uruchomił wpa_supplicanta
  • korzystał z serwera DHCP

Dla opensuse należy stworzyć skrypt: 

 orcus:~ # cat /etc/sysconfig/network/scripts/ifup-802.1x-eth0
 #!/bin/bash
 /usr/sbin/wpa_supplicant -D wired -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -d -f /var/log/wpa_supp_wired.log -B
 echo "wpa_supplicant for eth0 started"
 sleep 10

Dodanie na końcu sleep powoduje zaczekanie aż wpa_supplicant uruchomiony jako daemon zakończy uwierzytelnienie przed dalszą konfigurację interfejsu.

Następnie należy wskazać odpowiednie parametry w konfiguracji interfejsu - dla opensuse: orcus:~ # cat /etc/sysconfig/network/ifcfg-eth0 

 BOOTPROTO='dhcp4'
 STARTMODE='auto'
 PRE_UP_SCRIPT='/etc/sysconfig/network/scripts/ifup-802.1x-eth0'
 DHCLIENT_SET_DEFAULT_ROUTE="yes"

NetowrkManager

Otwieramy okno Network Managera (w większości systemów klikamy lewym klawiszem myszki na ikonce komputera/wifi na panelu i wybieramy "Modyfikuj połączenia").

Następnie dodajemy nowe połączenie przewodowe:

8021x-nm1.png

Ustawiamy je tak by pobierało adres z serwera DHCP:

8021x-nm2.png

Wybieramy

  • typ połączenia EAP-TTLS,
  • podajemy anonimową tożsamość (anonymous@pwr.wroc.pl lub anonymous@nova.wcss.wroc.pl),
  • wskazujemy certyfikat CA z dysku (można go pobrać z adresu http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem),
  • wybieramy metodę drugiej fazy - PAP
  • wpisujemy pełny login (nazwa_użytkownika@nova.wcss.wroc.pl lub nazwa_użytkownika@pwr.wroc.pl)
  • w zależności czy chcemy by nasze hasło leżało na dysku wpisujemy je w pole, w przeciwnym wypadku zaznaczamy "Pytanie o hasło za każdym razem".

8021x-nm3.png

Konta guest.wcss.pl

UWAGA: Konta guest.wcss.pl można skonfigurować zgodnie z instrukcją dotyczącą kont pwr.wroc.pl i nova.wcss.wroc.pl. Dodatkowo dostępne jest uwierzytelnianie PEAP-MSCHAPv2 - wspierane natywnie przez system windows.

Windows

Wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:

w2 1.PNG

Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:

w2 2.PNG

W zakładce "Uweirzytelnianie" odznaczamy wybieramy metodę PEAP i wchodzimy w jej ustawienia:

peap-1.PNG

Włączamy weryfikację certyfikatu serwera, odznaczamy "łącz tylko z serwerami", wybieramy certyfikat AddTrust External, wybieramy metodę PEAP i klikamy w konfigurację:

peap-2.PNG

W konfiguracji MSCHAPv2 odznaczmy "Automatycznie użyj mojej nazwy logowania..." - w przeciwnym wypadku system będzie próbował używać przy próbie połączenia danych za pomocą których zalogowaliśmy się do komputera:

peap-3.PNG

Po podłączeniu kabla powinna pojawić się prośba o podanie użytkownika (zadziała tu tylko konto w domenie guest.wcss.pl) i hasła:

peap-4.PNG

Linux

CLI

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl, poza dwoma zmianami w konfiguracji wpa_supplicanta: 

 eap=PEAP
 phase2="autheap=MSCHAPV2"

NetowrkManager

Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl poza wyborem protokołów - fazy 1 - PEAP, fazy 2 - MSCHAPv2 oraz nazwą użytkownika z domeny guset.wcss.pl: Wybieramy

  • typ połączenia PEAP
  • podajemy anonimową tożsamość (anonymous@guest.wcss.pl),
  • wskazujemy certyfikat CA z dysku (można go pobrać z adresu http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem),
  • wybieramy metodę drugiej fazy - MSCHAPv2
  • wpisujemy pełny login (nazwa_użytkownika@guest.wcss.pl)
  • w zależności czy chcemy by nasze hasło leżało na dysku wpisujemy je w pole, w przeciwnym wypadku zaznaczamy "Pytanie o hasło za każdym razem".


8021x-nm4.png

Wszystkie konta z użyciem certyfikatów klienta

Certyfikat musi zostać wystawiony przez nie oficjalne CA WCSS. Można się po niego zgłosić do Daniela Dobrijałowskiego lub Franciszka Klajna. Klucze są generowane przez pracowników WCSS a certyfikat jest uznawany tylko i wyłącznie przy łączeniu się z sieciami WCSS. Pole CN musi zgadzać się z nazwą zarejestrowanego użytkownika w domenach pwr.wroc.pl, nova.wcss.wroc.pl lub guest.wcss.pl.

YMMV

Network Manager

8021x-nm5.png

Źródło: „https://kdm.wcss.pl/w/index.php?title=802.1x&oldid=4986