저는 WPA2-Enterprise 무선 네트워크인 eduroam을 사용하는 대학에 다니는 학생입니다. 내 계정에서는 NetworkManager를 사용하여 구성되었습니다. 개요는 다음과 같습니다 nm-connection-editor.
"모든 사용자가 이 네트워크에 연결할 수 있습니다"라고 말하여 이것이 시스템 연결임을 표시했습니다. 실제로는 작동하지 않습니다.
Awesome WM 세션에 자동으로 로그인하면 (GNOME?) 키링이 잠금 해제되지 않습니다. 연결을 시도하기 전에 비밀번호를 묻습니다. 짜증나는 일이군요. 어쨌든 내 디스크는 암호화되어 있습니다.
root그래서 말하자면 비밀번호를 로 저장하고 싶습니다 .KDE를 사용하여 다른 계정에 로그인하면 연결이 작동하지 않습니다.
그래서 여기에는 두 가지 잠재적인 문제가 있다고 생각합니다.
인증서 파일은 내 홈 디렉터리에 있습니다. 다른 사용자 계정은 내 홈 디렉터리를 읽을 수 없습니다. 해당 인증서를 중앙 위치로 옮기면(
/usr/share/제 생각에는요?) 인증서가 더 이상 누락되지 않으므로 다른 계정에서 이를 사용할 수 있습니다.비밀번호는 내 홈 디렉토리의 로컬 키링에 저장되어 있습니다. 암호는 시스템 전체에 저장되어야 합니다.
어쨌든 구성 파일이 표시되지 않습니다. 에서 무엇을나는 읽었다, NetworkManager는 D-Bus를 통해 통신하는 일부 서비스에 데이터를 저장합니다. 따라서 데이터가 저장됩니다.어딘가에.
시스템의 모든 사용자에 대해 자동으로 작동하는 시스템 전체 구성을 어떻게 만들 수 있습니까?
걱정된다면 배포판은 Fedora 24 입니다.
답변1
연결을 위해에듀롬, (기관/연맹 간 사용자 로밍이 가능한 Wi-Fi 네트워크의 전세계 학술 연맹)을 Linux에서 설정해야 합니다 wpa_supplicant.
지침과 파일은 종종 교수진 및/또는 EDUROAM 국가 수준에 따라 다소 구체적일 수 있습니다. 그래서 EDUROAM 설정이 포함된 독일어 페이지로 링크하겠습니다.802.1XDE 연맹에서.
/etc/wpa_supplicant.conf다음과 유사해야 합니다 .
네트워크={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
정체성="[이메일 보호됨]" # 귀하의 로그인
domain_suffix_match="radius.lrz.de" # 귀하의 로컬 RADIUS 서버
subject_match="radius.lrz.de" # 귀하의 로컬 RADIUS 서버
anonymous_identity="[이메일 보호됨]" # 귀하의 로그인 또는 익명의 일반 로그인
비밀번호="XXXX" # 귀하의 비밀번호 ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
Phase2="auth=PAP"
}
domain_suffix_matchsubject_match보안상의 이유로 존재합니다. 예를 들어 스푸핑된 서버가 아닌 실제 RADIUS 서버에 연결하는지 확인하기 위한 것입니다 . 로컬 RADIUS 서버의 이름을 모르는 경우 wpa_supplicant해당 두 지시어 없이 작동해 보십시오.
다음 위치에 자동 설치 프로그램이 있을 수도 있습니다.고양이(eduroam Configuration Assistant Tool) 교수진 설정은 도움이 될 수도 있고 그렇지 않을 수도 있습니다. (교수진이 CAT 페이지를 만든 경우)
자세한 내용은 해당 지역 교수진의 RADIUS/EDUROAM 상주 전문가에게 문의하세요.
면책조항: 저는 교수진의 RADIUS/EDUROAM 관리자입니다.FreeRadius고문PT 연맹.
답변2
"모든 사용자가 이 네트워크에 연결할 수 있습니다"에 관하여
NET Framework에서 "connection.permissions" 옵션을 설정합니다 man nm-settings. 이는 시스템 사용자만 연결을 수정, 확인 및 사용할 수 있도록 제어합니다. 이는 또한 사용자가 로그인한 경우에만 연결이 자동 연결된다는 것을 의미합니다. 일반적인 단일 사용자 시스템에서는 설정이 크게 중요하지 않습니다(로그인하기 전에 자동 연결을 원하지 않는 한).
비밀번호에 관하여
각 비밀번호 속성(예: WPA PSK, VPN 비밀 등)에 대해 NetworkManager는 비밀번호를 시스템 전체에 저장하고(일반 텍스트로, 루트에서만 액세스할 수 있는 파일로) 사용자 세션에서 검색하고 항상 물어볼 수 있는 "플래그" 속성을 지원합니다. 또는 필요하지 않습니다. secrets의 섹션을 참조하세요 man nm-setttings. 어떤 경우든 NM이 갖고 있지 않은 암호가 필요할 때마다 다른 프로그램에 이를 요청해야 합니다. 해당 프로그램은 사용자에게 비밀번호를 묻는 메시지를 표시하거나 키링에서 비밀번호를 검색하는 등의 작업을 수행할 수 있는 소위 "비밀 에이전트"입니다. 이러한 프로그램은 예를 들어 nm-applet, nmcli, 입니다 gnome-shell. plama-nm따라서 일반적으로 KDE 또는 Gnome과 같은 그래픽 세션을 실행할 때 이러한 에이전트가 실제로 실행 중입니다. 이는 또한 로그인하기 전에 자동 연결을 원할 경우 비밀번호를 시스템 전반에 걸쳐(일반 텍스트로) 저장해야 하거나 어딘가에서 비밀을 검색하는 비밀 에이전트를 어떻게든 설정해야 함을 의미합니다(후자는 사용자가 필요함). 스스로 무언가를 해킹할 수 있지만 어쨌든 아무도 로그인되어 있지 않기 때문에 비밀번호를 어디서 얻을 수 있는지 불분명합니다.
비밀번호 플래그 및 비밀번호 위치를 구성하는 방법은 다양한 NM 클라이언트를 사용하여 수행할 수 있습니다. 위 스크린샷과 같이 사용하시면 nm-connection-editor비밀번호 입력란에 작은 아이콘이 보입니다. 그것을 클릭하고 원하는 것을 선택하십시오.
예를 들어 Gnome3에서 사용자 비밀번호와 동일한 비밀번호로 키링을 구성하면 사용자가 로그인할 때 키링이 자동으로 표시되지 않을 수 있습니다. 이러한 설정을 사용하면 키링에 비밀번호를 저장하고 자동으로 연결할 수 있습니다. 그놈 세션을 시작할 때. 세부 사항은 다를 수 있으며 KDE에서도 비슷한 기능이 작동할 수 있습니다.
인증서 파일 관련
NetworkManager의 모든 인증서는 인라인으로 저장되거나 경로로 저장될 수 있습니다. 인라인은 좋지 않으며 실제로 nm-connection-editor에서는 경로 지정만 허용합니다. NetworkManager(및 wpa-supplicant 및 VPN 플러그인)가 다른 사용자로 실행되기 때문에 경로를 사용하는 것도 문제가 됩니다. 따라서 파일이 NetworkManager에 액세스할 수 있는지 직접 확인해야 합니다. 실제로 이는 예를 들어 올바른 SELinux 레이블이 지정되어 있는지 확인하고 인증서를 ~/.cert. 이는 언젠가 인증서 관리자(NetworkManager 외부)를 갖고 파일(경로)을 전달하는 대신 pkcs11 URL을 사용하여 저장소의 인증서를 참조함으로써 개선될 것입니다.
연결이 저장되는 위치에 관해서
이는 구성된 설정 플러그인에 따라 다릅니다(참조 plugins) man NetworkManager.conf. 페도라에서는 ifcfg-rh,keyfile기본적으로 이를 의미합니다. 따라서 연결은 ifcfg-rh형식( man nm-settings-ifcfg-rh, 참조 /etc/sysconfig/networking-scripts/ifcfg-rh*)으로 되어 있고 두 번째로 키 파일 형식( man nm-settings-keyfile, 참조 /etc/NetworkManager/system-connections)으로 되어 있는 것이 좋습니다.
KDE가 Gnome과 다르게 동작하는 이유는 명확하지 않습니다. 아마도 비밀요원( gnome-shellvs. plasma-nm)과 열쇠고리 설정에 관한 것일 겁니다.