Upload
pietro-cristofoli
View
43
Download
0
Embed Size (px)
Citation preview
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 1/8
Autenticazione di accesso alla rete secondo lo standard IEEE 802.1x (NAC) nei sistemi Ubuntu Linux i
Accesso mediante Network Manager
Il metodo più semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo
standard 802.1x nei sistemi Ubuntu è quello che prevede l'utilizzo di NetworkManager. Si tratta di
un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni
Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e
ad una serie di tool e plugin (dbus, udev, ModemManager, ifupdown ...) che lavorano dietro le
quinte:
sito web ufficiale del progetto
http://projects.gnome.org/NetworkManager/
wiki ufficiale
http://live.gnome.org/NetworkManager
Ecco la semplice sequenza di operazioni richieste per accedere alla rete cablata mediante Network
Manager su Ubuntu 11.04 “Natty Narwhal”:
Selezionate la voce "Modifica" e siaprirà la finestra Connessioni di Rete
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 2/8
A questo punto il sistema potrebbechiedervi di inserire le credenziali di un
utente con priviliegi di amministratore
Si aprirà una nuova finestra che
consente di effettuare o modificare laconfigurazione della connessione di rete
selezionata
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 3/8
Selezionate la scheda "Sicurezza 802.1x"
e configuratela come in questa
immagine (nei campi "Nome utente" e"Password" dovrete inserire le vostre
credenziali GIA, naturalmente)
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 4/8
La configurazione della connessione di
rete è terminata: cliccate su "Salva" echiudete la finestra Connessioni di Rete
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 5/8
Accesso mediante wpa_supplicant (per utenti esperti)
Normalmente, l'autenticazione via NetworkManager funziona senza problemi con il nostro sistema
di NAC ma è sempre possibile ricorrere alle procedure “legacy”. Per impostazione predefinita,
infatti, l'autenticazione 802.1x su reti wireless e cablate in Ubuntu si basa su wpa_supplicant:
“Linux WPA/WPA2/IEEE 802.1X Supplicant”
http://hostap.epitest.fi/wpa_supplicant/
Il daemon wpa_supplicant cerca i parametri di configurazione nel file /etc/wpa_supplicant.conf
“wpa_supplicant - Wi-Fi Protected Access client and IEEE 802.1X supplicant” (da
Ubuntu Manuals)
http://tinyurl.com/6zwlpsa
Il front-end a linea di comando predefinito è wpa_cli
“wpa_cli - WPA command line client” (da Ubuntu Manuals)
http://tinyurl.com/5veyhmz
Il corrispondente front-end grafico (QT-based) è wpagui (non lo trovate pre-installato ma è
disponibile nei repository ufficiali):
“wpa_gui - WPA Graphical User Interface” (da Ubuntu Manuals)
http://tinyurl.com/69h39t3
Tra i supplicant di terze parti segnaliamo il progetto Open1xii con il suo XSupplicant (free e
disponibile per Windows e Linux nelle versioni a 32 e 64 bit):
“Open1x: free, open source 802.1X/WPA/WPA2/IEEE802.11i implementation”
http://open1x.sourceforge.net/
Segnaliamo, infine, una panoramicaiii delle soluzioni 802.1x di terze parti pubblicata sul sito
enterprisenetworkingplanet.com:
“Using Third-Party 802.1X Clients on Windows, Linux or Mac”
http://tinyurl.com/64hxdnd
How-to
Il seguente esempio di configurazione del file wpa_supplicant.conf è basato sugli appunti redatti da
Jouni Malinen:
http://hostap.epitest.fi/gitweb/gitweb.cgi?
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 6/8
p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf
--
Per modificare il file wpa_supplicant.conf (l'ipotesi è quella di effettuare l'autenticazione 802.1x su
rete cablata) dovete digitare:
sudo gedit /etc/wpa_supplicant.conf
e compilarlo secondo l'esempio seguente:
# Where is the control interface located? This is the default path:
ctrl_interface=/var/run/wpa_supplicant
# Who can use the WPA frontend? Replace "0" with a group name if you
# want other users besides root to control it.
# There should be no need to chance this value for a basic configuration:
ctrl_interface_group=4# 4 è l'ID del gruppo ADM, 115 del gruppo ADMIN, 0 è ROOT ...
# When configuring WPA-Supplicant for use on a wired network, we don’t need to
# scan for wireless access points. See the wpa-supplicant documentation if
# you are authenticating through 802.1x on a wireless network:
ap_scan=0
#Network access authentication through IEEE 802.1x
network={
key_mgmt=IEEE8021X
eap=PEAP
identity="nome utente GIA"
password="password GIA"
ca_cert="/etc/ssl/certs/wifi.univr.it.cer"
phase1="peapver=0"
phase2="auth=MSCHAPV2"
eapol_flags=0
}
Cambiate quindi i permessi di /etc/wpa_supplicant/wpa_supplicant.conf (il valore 000 impedisce a
qualsiasi utente di poter effettuare operazioni di lettura o scrittura):
chmod 000 /etc/wpa_supplicant/wpa_supplicant.conf
Per testare il processo di autenticazione 802.1x utilizzando il nuovo wpa_supplicant.conf digitate
sudo wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0
Se l'autenticazione ha avuto luogo correttamente, possiamo impostare l'esecuzione automatica del
supplicant a livello globale (in questo modo indichiamo al sistema che intendiamo utilizzare sempre
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 7/8
l'autenticazione 802.1x). Digitate:
sudo gedit /etc/network/interfaces
ed editate il file di configurazione secondo quanto indicato nel seguente esempio:
# se vi siete sempre affidati a NetworkManager per gestire le connessioni cablate e wireless,
#dovreste vedere unicamente le seguenti due righe di configurazione (relative, ovviamente,
alla sola interfaccia di loopback)
auto lo
iface lo inet loopback
# sostituire eventualmente “eth0” con la propria interfaccia Ethernet
auto eth0
iface eth0 inet dhcp
wpa-driver wired
# questa riga indica al sistema che intendiamo utilizzare WPA-Supplicant a livello globale
wpa-conf /etc/wpa_supplicant.conf
Prima di salvare il nuovo file di configurazione è necessario stoppare i servizi di rete rete :
sudo /etc/init.d/networking stop
Una volta salvato il file etc/network/interfaces possiamo finalmente restartare i servizi di rete:
sudo /etc/init.d/networking start
e verificare che tutto funzioni correttamente.
(… resta da completare la parte relativa a NetworkManager)
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 8/8
i Documentazione redatta in seguito a test effettuati su Ubuntu 10.010 “Maverick Meerkat” x86_64
ii Lo sviluppo è sponsorizzato da OpenSEA Alliance, un consorzio che comprende – tra gli altri - Nortel, Symantec e
TippingPoint.
iii Nell'articolo si cita anche XpressConnect di Cloudpath Networks, una soluzione commerciale per il provisioning
automatico della configurazione 802.1x nelle reti aziendali (Mac OS X, Ubuntu e Windows) utilizzata spesso nei
campus che aderiscono ad EDUROAM