web-dev-qa-db-ja.com

NetworkManagerのWPA2-EnterpriseEDUROAM接続をシステム接続に変換します

私は、WPA2-Enterpriseワイヤレスネットワークであるeduroamを使用している大学の学生です。私のアカウントでは、これはNetworkManagerを使用して設定されています。これはnm-connection-editorの概要です。

enter image description hereenter image description here

「すべてのユーザーがこのネットワークに接続できます」と言って、これがシステム接続であることを示しました。実際には、これは機能しません。

  • Awesome WMセッションに自動的にログインすると、(GNOME?)キーリングのロックが解除されません。接続を試みる前にパスワードを要求されます。これは面倒です、とにかく私のディスクは暗号化されています。つまり、パスワードをrootとして保存したいと思います。

  • KDEで別のアカウントにログインすると、そこで接続が機能しません。

したがって、ここには2つの潜在的な問題があると思います。

  1. 証明書ファイルは私のホームディレクトリにあります。他のユーザーアカウントは私のホームディレクトリを読み取ることができません。その証明書を中央の場所(/usr/share/のように)に移動すると、証明書が失われなくなるため、他のアカウントでこれを使用できます。

  2. パスワードは、ホームディレクトリのローカルキーリングに保存されています。パスワードはシステム全体に保存する必要があります。

とにかく設定ファイルが表示されません。 私が読んだ から、NetworkManagerはD-Busを介して通信するサービスにデータを保存します。したがって、データはどこかに保存されます

これをシステムのすべてのユーザーに対して自動的に機能するシステム全体の構成にするにはどうすればよいですか?


懸念がある場合、ディストリビューションはFedora24です。

3
Martin Ueding

Linuxで [〜#〜] eduroam [〜#〜] (Wifiネットワークの世界的な学術連合と機関/連合間でのユーザーのローミング)に接続するには、wpa_supplicantを設定する必要があります。

指示とファイルは、多くの場合、教員および/またはEDUROAMのトップ国レベルに少し固有のものである可能性があります。そこで、DEフェデレーションで 802.1X のEDUROAMセットアップを使用してドイツ語のページにリンクします。

/etc/wpa_supplicant.confは次のようになります。

network = {
ssid = "eduroam"
key_mgmt = WPA-EAP
eap = TTLS
identity = "[email protected]"#ログイン
domain_suffix_match = "radius.lrz.de"#ローカルRADIUSサーバー
subject_match = "radius.lrz.de"#ローカルRADIUSサーバー
anonymous_identity = "[email protected]"#ログイン、または匿名の一般的なログイン
password = "XXXX"#パスワードca_cert = "/ etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
phase2 = "auth = PAP"
}

domain_suffix_matchsubject_matchは、セキュリティ上の理由から存在します。なりすましサーバーではなく、実際のRADIUSサーバーに接続するようにします。ローカルRADIUSサーバーの名前がわからない場合は、 wpa_supplicantをこれらの2つのディレクティブなしで機能させる。

教員の [〜#〜] cat [〜#〜] (eduroam Configuration Assistant Tool)セットアップに自動インストーラーがある場合もありますが、これは役立つ場合とそうでない場合があります。 (教員がCATページを作成した場合)

詳細については、最寄りのRADIUS/EDUROAM常駐専門家にご相談ください。

免責事項:私は学部のRADIUS/EDUROAMメンテナーであり、 FreeRadiusPTフェデレーション のアドバイザーです。

3
Rui F Ribeiro

「すべてのユーザーがこのネットワークに接続できる」について

これにより、man nm-settingsの「connection.permissions」オプションが設定されます。これは、システムユーザーのみが接続を変更、表示、および使用できるように制御します。また、ユーザーがログインしている場合にのみ接続が自動接続されることも意味します。通常の1ユーザーシステムでは、設定はそれほど重要ではありません(ログインする前に接続を自動接続する場合を除く)。

パスワードについて

パスワードプロパティ(たとえばWPA PSK、VPNシークレットなど))ごとに、NetworkManagerはパスワードをシステム全体に(プレーンテキストで、rootのみがアクセスできるファイルに)保存できる「flags」属性をサポートします。 )、ユーザーセッションから取得する、常に確認する、または不要。man nm-setttingssecretsセクションを参照してください。いずれの場合も、NMが必要とするパスワードが必要な場合は、そのプログラムは、ユーザーにパスワードの入力を求めるか、キーリングからパスワードを取得するかなど、いわゆる「シークレットエージェント」です。このようなプログラムは、たとえば、 nm-appletnmclignome-Shellplama-nm。したがって、通常、KDEやGnomeなどのグラフィカルセッションを実行すると、そのようなエージェントが実際に実行されます。これは、 、ログインする前に自動接続する場合は、パスワードをシステム全体に(プレーンテキストで)保存するか、どこかからシークレットを取得するシークレットエージェントを設定する必要があります(後者では、somをハックする必要があります)自分で何でもしますが、とにかく、誰もログインしていないので、どこからパスワードを取得するかは不明です)。

パスワードフラグの設定方法、つまりパスワードの場所については、さまざまなNMクライアントで設定できます。上のスクリーンショットのようにnm-connection-editorを使用すると、次のようになります。パスワード入力フィールドの小さなアイコンをクリックして、必要なものを選択します。

たとえばGnome3では、ユーザーパスワードと同じパスワードを使用してキーリングを構成すると、ユーザーがログインしたときにキーリングが自動的に表示されなくなる可能性があることに注意してください。このような設定により、パスワードをキーリングに保存して自動的に接続できます。 gnomeセッションを開始するとき。詳細は異なる場合があり、おそらく同様のことがKDEでも機能します。

証明書ファイルに関して

NetworkManagerのすべての証明書は、インラインまたはパスとして保存できます。インラインは優れていません。実際、nm-connection-editorではパスを指定することしかできません。 NetworkManager(およびwpa-supplicantとVPNプラグイン)は別のユーザーとして実行されるため、パスの使用にも問題があります。そのため、NetworkManagerがファイルにアクセスできることを確認する必要があります。実際には、これは、たとえば、適切なSELinuxラベルが付いていることを確認することを意味します。つまり、証明書を~/.certにコピーします。これは、いつか証明書マネージャー(NetworkManagerの外部)を持ち、ファイル(パス)を渡す代わりに、pkcs11URLを使用してストア内の証明書を参照することで改善されます。

接続が保存されている場所について

これは、構成された設定プラグインによって異なります(man NetworkManager.confpluginsを参照)。 Fedoraでは、これはデフォルトでifcfg-rh,keyfileを意味します。したがって、接続はifcfg-rh形式(man nm-settings-ifcfg-rh/etc/sysconfig/networking-scripts/ifcfg-rh*を参照)で、次にキーファイル形式(man nm-settings-keyfile/etc/NetworkManager/system-connectionsを参照)であることが望ましい。

KDEがGnomeと異なる動作をする理由については明らかではありません。おそらくシークレットエージェント(gnome-Shell vs. plasma-nm)とキーリングの設定に関するものです。

2
thaller