تم إهمال هذا المستودع بموجب هذا، وسيتم إزالته بعد وقت قصير من 22 أغسطس 2018 AOE. وهذا يعني أن التكوين المقدم سيصبح غير متاح لمصلحة عدم نشر الممارسات الأمنية الخاطئة بشكل أكبر.
تقوم أداة مساعد تكوين eduroam (CAT) بالمهمة التي كان من المفترض أن يقوم بها هذا المستودع، ولكن بشكل أفضل. بالنسبة لنظام التشغيل Linux، فإنهم يقدمون أدوات تثبيت shellscript التي ستقوم بإنشاء تكوين wpa_supplicant لك، إذا فشلوا في العثور على Network Manager مثبتًا.
تقوم CAT بعمل أفضل لأنها تزودك أيضًا بشهادة يمكنك استخدامها للتحقق من خادم RADIUS الخاص بمؤسستك المنزلية قبل التحدث إليها. التكوين المقدم هنا لم يفعل ذلك، وهذه ممارسة سيئة - ربما تكون قد كشفت كلمة المرور الخاصة بك لأطراف غير مقصودة.
إن استخدام CAT، بدلاً من هذا التكوين، يعني أيضًا أنه يجب عليك من الآن فصاعدًا مراقبة متى يكون التكوين أو الشهادة في مؤسستك المنزلية عرضة للتغيير، وترقية التكوين الخاص بك وفقًا لذلك.
يوصى بتغيير كلمة المرور الخاصة بك إذا استخدمت هذا التكوين.
وانظر أيضًا المسائل رقم 23 ورقم 24 ورقم 25.
تلدر؛ يبدو أن تكوين wpa_supplicant لـ eduroam قوي إلى حد ما.
Eduroam هي خدمة وصول لاسلكية آمنة متاحة لمجتمع التعليم والبحث من قبل العديد من المؤسسات التعليمية حول العالم. لقد تم تصميمه بحيث يتعين عليك كطالب أو باحث بذل الحد الأدنى من الجهد للاتصال بشبكة لاسلكية آمنة، بغض النظر عن المؤسسة التعليمية التي تتواجد بها اليوم. وهذا يشجع التبادل التعليمي والتعاون العلمي في جميع أنحاء العالم. (هذا الفيديو يشرح eduroam باستخدام الرسوم الكاريكاتورية!)
wpa_supplicant هو "متوسل IEEE 802.1X" عام (أي الأداة التي يمكنها التأكد من أمان اتصالك اللاسلكي). يستخدم معظم مديري الشبكات المستندة إلى Linux wpa_supplicant خلف الكواليس. بالطبع، wpa_supplicant لديه واجهة سطر أوامر، ومن السهل جدًا ممارسة التحكم الكبير في التكوين الخاص بك. (لا توجد رسوم كاريكاتورية حول wpa_supplicant ☹.)
ولتحقيق هذه الغاية، من المؤسف أن موقع الويب eduroam العام على ما يبدو (على سبيل المثال، صحح لي إذا كنت مخطئًا) لا يقدم أي وثائق حول كيفية إعداد wpa_supplicant . بدلاً من ذلك، يقدمون أدوات التثبيت للمستخدمين النهائيين، بما في ذلك برنامج shell-script لمستخدمي Linux (والذي يمكن اعتباره توثيقًا بدائيًا ولكنه صادق). تقدم بعض المؤسسات وثائق wpa_supplicant الأولية، ولكنها تفعل ذلك بطريقة مخصصة - دون أي ضمان بأن التكوين سيعمل في أي مؤسسة أخرى، مما يتعارض مع غرض Eduroam .
هذه محاولة لإنشاء تكوين wpa_supplicant موحد يعمل في جميع المجالات. ومع ذلك، في الوقت الحالي، هذا مجرد تكوين wpa_supplicant غير موثق والذي يبدو أنه يعمل بشكل جيد عبر عدد من المؤسسات. مد يد المساعدة، وقم بتوثيقها، أو أخبرني فقط إذا كان هذا التكوين مناسبًا لك أيضًا.
identity إلى [email protected] ، إذا كان اسم المستخدم الخاص بك هو abc123 ، وكان نطاق جامعتك الأصلية هو ku.dkanonymous_identity إما [email protected] أو ببساطة @ku.dk . إن استخدام هوية مجهولة لا يكشف عن هويتك لأي شخص باستثناء الجامعة المحلية - يتصل eduroam بالمنزل للتحقق من هويتك وكلمة المرور في كل مرة تقوم فيها بتسجيل الدخول من موقع آخر. يجب أن تكون تجزئة كلمة المرور عبارة عن تجزئة MD4 لترميز UTF16 ذو النهاية الصغيرة لكلمة المرور الخاصة بك. على سبيل المثال، إذا كانت كلمة المرور الخاصة بك هي hamster ، فيمكنك تجزئتها على النحو التالي:
$ echo -n 'hamster' | iconv -t utf16le | openssl md4
(لاحظ استخدام علامات الاقتباس المفردة لتجنب الهروب في الصدفة.)
(راجع أيضًا متغير bash HISTCONTROL لإبعاد الأوامر عن ~/.bash_history .)
إذا كنت تستخدم pass أو مدير كلمات مرور آخر بواجهة سطر أوامر، فقد تفكر في إنشاء مسار مثل هذا بدلاً من ذلك:
$ pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4
بمجرد حصولك على تجزئة MD4، اكتبها في التكوين الخاص بك كما يلي:
password=hash:2fd23a...456cef
ملحوظة! MD4 عبارة عن خوارزمية تجزئة قديمة ولا ينبغي اعتبارها آمنة.
إذا كنت تفضل التشغيل بدون مدير شبكة، فإليك الطريقة السريعة والقذرة لتشغيل wpa_supplicant باستخدام هذا التكوين:
$ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B
حيث nl80211 هو برنامج تشغيل kernel المطلوب استخدامه. nl80211 هي واجهة netlink الافتراضية الجديدة 802.11، والتي تهدف إلى استبدال واجهة wext القديمة (الامتدادات اللاسلكية). إذا لم يكن لديك nl80211 ، فيمكنك تجربة wext ، ولكن قد يفشل wext بسبب الخطأ ioctl[SIOCGIWSCAN]: Argument list too long في مواجهة عدد كبير جدًا من نقاط الوصول. إذا كان لديك بطاقة Intel، البديل الآخر هو iwlwifi .
إحدى الطرق للعثور على برنامج التشغيل الذي تحتاجه هي استخدام lspci :
$ lspci -k
wlp3s0 هو اسم واجهة الشبكة لبطاقتك اللاسلكية. يمكنك العثور على هذا باستخدام ip link :
$ ip link
اختياريًا، استخدم الخيار -B لنقل عملية wpa_supplicant إلى الخلفية. ومع ذلك، فإن تركها يوفر لك رؤى مفيدة إذا لم تتمكن من الاتصال.
بالإضافة إلى ذلك، قم ببدء تشغيل dhcpcd إذا لم يبدأ تشغيله تلقائيًا.
في Raspbian Stretch، سيتعين عليك أيضًا إضافة الأسطر التالية (بإذن من @patrick-nits):
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>
ctrl_interface لأن Raspbian Stretch يستخدم wpa_cli بشكل افتراضي. هناك حاجة إلى ctrl_interface عندما تستخدم wpa_cli .country مطلوب "لأغراض تنظيمية". على وجه الخصوص، يؤدي هذا إلى تغيير نطاقات التردد التي سيستخدمها wpa_supplicant . يجب أن يكون رمز البلد هو رمز ISO 3166-1 Alpha-2.
