Soy estudiante en una universidad que tiene eduroam, una red inalámbrica WPA2-Enterprise. En mi cuenta esto se configura usando NetworkManager. Este es el resumen de nm-connection-editor:
He marcado que se trata de una conexión del sistema diciendo "Todos los usuarios pueden conectarse a esta red". En la práctica esto no funciona:
Cuando inicio sesión automáticamente en mi sesión de Awesome WM, mi llavero (¿GNOME?) no está desbloqueado. Me pide mi contraseña antes de intentar conectarse. Esto es molesto, mi disco está cifrado de todos modos. Entonces me gustaría almacenar la contraseña como
root, por así decirlo.Cuando inicio sesión en otra cuenta con KDE, la conexión no funciona allí.
Entonces creo que hay dos problemas potenciales aquí:
El archivo del certificado está en mi directorio de inicio. Otras cuentas de usuario no pueden leer mi directorio personal. Si moviera ese certificado a un lugar central (¿como
/usr/share/supongo?), otras cuentas podrían usarlo ya que el certificado ya no faltaría.La contraseña se almacena en mi conjunto de claves local en mi directorio de inicio. La contraseña debería almacenarse en todo el sistema.
De todos modos, no veo ningún archivo de configuración. De quéYo leo, NetworkManager almacena sus datos en algún servicio con el que se comunica a través de D-Bus. Por lo tanto los datos se almacenanen algún lugar.
¿Cómo puedo hacer que esta sea una configuración para todo el sistema que funcione automáticamente para cada usuario del sistema?
Si es de su preocupación la distribución es Fedora 24.
Respuesta1
Para conectarse aEDUROAM, (una confederación académica mundial de redes Wifi con roaming de usuarios entre instituciones/federaciones) en Linux, necesitarás configurar wpa_supplicant.
Las instrucciones y archivos a menudo pueden ser un poco específicos para la facultad y/o el nivel superior de EDUROAM del país. Así que vincularé a una página en alemán con la configuración de EDUROAM para802.1Xen la federación DE.
Debería /etc/wpa_supplicant.confser algo similar a esto:
red={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identidad="[correo electrónico protegido]" # su dominio de inicio de
sesión_suffix_match="radius.lrz.de" # su servidor RADIUS local
sujeto_match="radius.lrz.de" # su servidor RADIUS local
anónimo_identity="[correo electrónico protegido]" # su inicio de sesión, o una contraseña de inicio de sesión genérica anónima
="XXXX" # su contraseña ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
Phase2="auth=PAP"
}
domain_suffix_matchy subject_matchestán ahí por razones de seguridad, por ejemplo, para garantizar que se conecte al servidor RADIUS real y no a uno falso. Si no conoce el nombre de su servidor RADIUS local, intente ponerlo wpa_supplicanta trabajar sin esas dos directivas.
También puede tener un instalador automático en elGATO(Herramienta Asistente de Configuración de eduroam) de tu facultad, que puede serte de ayuda o no. (siempre que la facultad haya creado una página CAT)
Consulte a su experto residente local de RADIUS/EDUROAM de su facultad para obtener más detalles.
Descargo de responsabilidad: Soy el mantenedor RADIUS/EDUROAM de una facultad, y elRadio libreasesor para elfederación del PT.
Respuesta2
Respecto a "todos los usuarios podrán conectarse a esta Red"
Esto configura la opción "connection.permissions" en man nm-settings. Controla que sólo el usuario de tu sistema pueda modificar, ver y utilizar la conexión. También significa que la conexión solo se conecta automáticamente si el usuario ha iniciado sesión. En un sistema habitual de un solo usuario, la configuración no importa mucho (a menos que desee que la conexión se conecte automáticamente antes de iniciar sesión).
Respecto a las contraseñas
Para cada propiedad de contraseña (por ejemplo, WPA PSK, secretos de VPN, etc.), NetworkManager admite un atributo de "banderas" que permite almacenar la contraseña en todo el sistema (en texto sin formato, en un archivo al que solo puede acceder la raíz), recuperarla de la sesión del usuario y preguntar siempre. , o no es necesario. Ver secretssección en man nm-setttings. En cualquier caso, siempre que NM necesite una contraseña que no tiene, deberá solicitarla a otro programa para obtenerla. Ese programa es el llamado "agente secreto" que puede solicitar la contraseña al usuario o recuperarla del conjunto de claves, o lo que sea. Un programa de este tipo es, por ejemplo nm-applet, nmcli, gnome-shell, plama-nm. Por lo tanto, normalmente cuando ejecuta una sesión gráfica como KDE o Gnome, dicho agente se está ejecutando. También significa que, si desea conectarse automáticamente antes de iniciar sesión, debe almacenar la contraseña en todo el sistema (en texto sin formato), o tendrá que configurar de alguna manera un agente secreto que recupere el secreto de algún lugar (esto último requeriría que usted hackear algo usted mismo, pero de todos modos, no está claro de dónde obtendría la contraseña ya que nadie ha iniciado sesión).
En cuanto a cómo configurar los indicadores de contraseña y, por lo tanto, la ubicación de la contraseña, puede hacerlo con varios clientes NM. Si usa nm-connection-editorcomo en la captura de pantalla anterior, verá un pequeño icono en el campo de entrada de contraseña. Haz clic en él y selecciona lo que quieras.
Tenga en cuenta que, por ejemplo, en Gnome3, si configura su conjunto de claves con la misma contraseña que su contraseña de usuario, el conjunto de claves puede pasar desapercibido automáticamente cuando el usuario inicia sesión. Dicha configuración le permite almacenar la contraseña en el conjunto de claves y conectarse automáticamente. al iniciar su sesión de gnome. Los detalles pueden variar y probablemente algo similar también funcione con KDE.
Saludos archivos de certificados
Todos los certificados en NetworkManager se pueden almacenar en línea o como una ruta. Inline no es genial y, de hecho, nm-connection-editor solo le permite especificar una ruta. El uso de rutas también es problemático, porque NetworkManager (y wpa-supplicant y los complementos VPN) se ejecutan como un usuario diferente, por lo que usted mismo debe asegurarse de que NetworkManager pueda acceder a los archivos. En la práctica, eso significa, por ejemplo, asegurarse de que tengan el etiquetado SELinux correcto, lo que a su vez significa copiar los certificados en ~/.cert. Algún día esto mejorará al tener un administrador de certificados (fuera de NetworkManager) y, en lugar de pasar el archivo (ruta), usando las URL pkcs11 para hacer referencia a los certificados en el almacén.
En cuanto a dónde se almacenan sus conexiones
Eso depende de su complemento de configuración configurado (ver pluginsen man NetworkManager.conf). En Fedora eso significa ifcfg-rh,keyfilepor defecto. Por lo tanto, preferiblemente las conexiones están en ifcfg-rhformato (ver man nm-settings-ifcfg-rh, /etc/sysconfig/networking-scripts/ifcfg-rh*) y en segundo lugar en formato de archivo clave (ver man nm-settings-keyfile, /etc/NetworkManager/system-connections).
No está claro por qué KDE se comportaría de manera diferente a Gnome. Probablemente algo con el agente secreto ( gnome-shellvs. plasma-nm) y la configuración del llavero.