Я студент университета, в котором есть eduroam, беспроводная сеть WPA2-Enterprise. В моем аккаунте это настроено с помощью NetworkManager. Это обзор nm-connection-editor:
Я отметил, что это системное подключение, сказав «Все пользователи могут подключаться к этой сети». На практике это не работает:
Когда я автоматически вхожу в свою сессию Awesome WM, моя (GNOME?) связка ключей не разблокируется. Она запрашивает мой пароль перед попыткой подключения. Это раздражает, мой диск в любом случае зашифрован. Поэтому я хотел бы сохранить пароль как
root, так сказать.Когда я вхожу в другую учетную запись с помощью KDE, соединение там не работает.
Поэтому я думаю, что здесь есть две потенциальные проблемы:
Файл сертификата находится в моем домашнем каталоге. Другие учетные записи пользователей не могут прочитать мой домашний каталог. Если бы я переместил этот сертификат в центральное место (как
/usr/share/я предполагаю?), другие учетные записи могли бы использовать его, поскольку сертификат больше не отсутствовал бы.Пароль хранится в моей локальной связке ключей в моем домашнем каталоге. Пароль должен храниться во всей системе.
Я вообще не вижу никаких файлов конфигурации. Из чегоЯ читаю, NetworkManager хранит свои данные в некоторой службе, с которой он общается через D-Bus. Поэтому данные хранятсягде-то.
Как сделать так, чтобы эта конфигурация работала автоматически для каждого пользователя системы?
Если это вызывает беспокойство, то дистрибутив — Fedora 24.
решение1
Для подключения кЭДУРОАМ, (всемирная академическая конфедерация сетей Wi-Fi с роумингом пользователей между учреждениями/федерациями) в Linux, вам необходимо настроить wpa_supplicant.
Инструкции и файлы часто могут быть немного специфичными для факультета и/или верхнего уровня страны EDUROAM. Поэтому я дам ссылку на страницу на немецком языке с настройкой EDUROAM для802.1Xв федерации DE.
У вас /etc/wpa_supplicant.confдолжно получиться что-то похожее на это:
сеть={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS-
идентификация="[email protected]" # ваш логин
domain_suffix_match="radius.lrz.de" # ваш локальный сервер RADIUS
subject_match="radius.lrz.de" # ваш локальный сервер RADIUS
anonymous_identity="[email protected]" # ваш логин или анонимный общий
пароль для входа = "XXXX" # ваш пароль ca_cert = "/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
phase2 = "auth=PAP"
}
domain_suffix_matchи subject_matchсуществуют из соображений безопасности - например, чтобы убедиться, что вы подключаетесь к настоящему серверу RADIUS, а не к поддельному. Если вы не знаете имя вашего локального сервера RADIUS, попробуйте запустить его wpa_supplicantбез этих двух директив.
У вас также может быть автоматизированный установщик вКОТ(Инструмент помощника по настройке eduroam) настройка вашего факультета, которая может быть вам полезна или нет. (при условии, что факультет создал страницу CAT)
Для получения более подробной информации обратитесь к местному эксперту RADIUS/EDUROAM вашего факультета.
Отказ от ответственности: Я являюсь ответственным за поддержку RADIUS/EDUROAM на факультете, иFreeRadiusсоветник поФедерация физкультуры.
решение2
Относительно «все пользователи могут подключаться к этой сети»
Это устанавливает опцию "connection.permissions" в man nm-settings. Она контролирует, что только ваш системный пользователь может изменять, видеть и использовать подключение. Это также означает, что подключение автоматически подключается только в том случае, если пользователь вошел в систему. В обычной однопользовательской системе настройка не имеет большого значения (если только вы не хотите, чтобы подключение автоматически подключалось перед входом в систему).
О паролях
Для каждого свойства пароля (например, WPA PSK, секреты VPN и т. д.) NetworkManager поддерживает атрибут «флаги», который позволяет хранить пароль в масштабах всей системы (в виде обычного текста, в файле, доступном только пользователю root), извлекать из сеанса пользователя, всегда спрашивать или не требовать. См. secretsраздел в man nm-setttings. В любом случае, когда NM требуется пароль, которого у него нет, ему нужно попросить другую программу получить его. Эта программа является так называемым «секретным агентом», который может либо запросить у пользователя пароль, либо извлечь его из связки ключей или чего-то еще. Такой программой является, например nm-applet, nmcli, gnome-shell, , plama-nm. Таким образом, обычно, когда вы запускаете графический сеанс, такой как KDE или Gnome, такой агент фактически запущен. Это также означает, что если вы хотите автоматически подключаться перед входом в систему, вам придется либо хранить пароль во всей системе (в виде обычного текста), либо вам придется каким-то образом настроить секретного агента, который откуда-то извлекает секрет (в последнем случае вам придется что-то взломать самостоятельно, но в любом случае непонятно, откуда вы возьмете пароль, поскольку никто не вошел в систему).
Что касается настройки флагов пароля и, следовательно, расположения пароля, вы можете сделать это с помощью различных клиентов NM. Если вы используете, nm-connection-editorкак на снимке экрана выше, вы увидите небольшой значок в поле ввода пароля. Нажмите на него и выберите то, что хотите.
Обратите внимание, что, например, в Gnome3, если вы настроите связку ключей с тем же паролем, что и ваш пароль пользователя, то связка ключей может быть автоматически разблокирована, когда пользователь входит в систему. Такая настройка позволяет вам хранить пароль в связке ключей и автоматически подключаться при запуске сеанса gnome. Детали могут отличаться, и, вероятно, что-то похожее работает и с KDE.
Относительно файлов сертификатов
Все сертификаты в NetworkManager могут храниться либо в строке, либо в виде пути. Встроенный вариант не очень хорош, и, по сути, nm-connection-editor позволяет вам указывать только путь. Использование путей также проблематично, поскольку NetworkManager (и wpa-supplicant, и плагины VPN) запускаются от имени другого пользователя, поэтому вы сами должны убедиться, что файлы доступны для NetworkManager. На практике это означает, например, что нужно убедиться, что они имеют правильную маркировку SELinux, что, в свою очередь, означает, что нужно скопировать сертификаты в ~/.cert. Однажды это будет улучшено за счет менеджера сертификатов (вне NetworkManager) и вместо передачи файла (пути) использования URL-адресов pkcs11 для ссылки на сертификаты в хранилище.
Где хранятся ваши соединения
Это зависит от вашего настроенного плагина настроек (см. pluginsв man NetworkManager.conf). В Fedora это означает ifcfg-rh,keyfileпо умолчанию. Поэтому предпочтительно, чтобы соединения были в ifcfg-rhформате (см. man nm-settings-ifcfg-rh, /etc/sysconfig/networking-scripts/ifcfg-rh*) и, во-вторых, в формате файла ключа (см. man nm-settings-keyfile, /etc/NetworkManager/system-connections).
Почему KDE будет вести себя иначе, чем Gnome, не ясно. Вероятно, что-то с секретным агентом ( gnome-shellvs. plasma-nm) и настройкой keyring.