Por la presente, este repositorio queda obsoleto y se eliminará poco después del 22 de agosto de 2018 AOE. Es decir, la configuración proporcionada dejará de estar disponible para no difundir aún más las malas prácticas de seguridad.
La herramienta asistente de configuración (CAT) de eduroam realiza la tarea que este repositorio debía realizar, pero mejor. Para Linux, ofrecen instaladores de shellscript que generarán una configuración wpa_supplicant para usted, si no encuentran Network Manager instalado.
CAT hace un mejor trabajo porque también le proporciona un certificado que puede utilizar para verificar el servidor RADIUS de su institución de origen antes de hablar con él. La configuración proporcionada aquí no hizo eso, y esto es una mala práctica: es posible que haya expuesto su contraseña a personas no deseadas.
Usar CAT, en lugar de esta configuración, también significa que a partir de ahora debe estar atento a cuándo la configuración o el certificado de su institución de origen está sujeto a cambios y actualizar su configuración en consecuencia.
Se recomienda que cambie su contraseña si utilizó esta configuración.
Consulte también los números 23, 24 y 25.
TLDR; Esta configuración wpa_supplicant para eduroam parece ser bastante sólida.
Eduroam es un servicio de acceso inalámbrico seguro puesto a disposición de la comunidad educativa y de investigación por muchas instituciones educativas de todo el mundo. Fue diseñado para que usted, como estudiante o investigador, tenga que hacer un esfuerzo mínimo para conectarse a una red inalámbrica segura, sin importar en qué institución educativa se encuentre hoy. Esto fomenta el intercambio educativo y la colaboración científica en todo el mundo. (¡Este video explica eduroam usando dibujos animados!)
wpa_supplicant es un "suplicante IEEE 802.1X" genérico (es decir, la herramienta que puede garantizar que su conexión inalámbrica sea segura). La mayoría de los administradores de redes basados en Linux usan wpa_supplicant detrás de escena. Por supuesto, wpa_supplicant tiene una interfaz de línea de comandos y es bastante sencillo ejercer un gran control sobre su configuración. (No hay dibujos animados sobre wpa_supplicant ☹.)
Con este fin, es una pena que el sitio web genérico de eduroam aparentemente (es decir, corríjanme si me equivoco) no ofrezca documentación sobre cómo configurar su wpa_supplicant . En cambio, ofrecen instaladores a los usuarios finales, incluido un script de shell para usuarios de Linux (que podría considerarse una documentación primitiva pero honesta). Algunas instituciones ofrecen documentación wpa_supplicant sin procesar, pero lo hacen de forma ad hoc, sin ninguna garantía de que la configuración funcionará en cualquier otra institución, lo que frustra el propósito de Eduroam .
Este es un intento de establecer una configuración wpa_supplicant unificada, que funcione en todos los ámbitos. Por ahora, sin embargo, esto es sólo una configuración wpa_supplicant no documentada que parece funcionar bastante bien en varias instituciones. Eche una mano y documentelo, o simplemente avíseme si esta configuración también funciona para usted.
identity en [email protected] , si su nombre de usuario es abc123 y el dominio de su universidad de origen es ku.dkanonymous_identity en [email protected] o simplemente @ku.dk . El uso de una identidad anónima no revela su identidad a nadie más que a la universidad de origen: eduroam llama a su hogar para verificar su identidad y contraseña cada vez que inicia sesión desde otra ubicación. El hash de la contraseña debe ser un hash MD4 de la codificación little-endian UTF16 de su contraseña. Por ejemplo, si su contraseña es hamster , puede codificarla de la siguiente manera:
$ echo -n 'hamster' | iconv -t utf16le | openssl md4
(Tenga en cuenta el uso de comillas simples para evitar escapar en el shell).
(Consulte también la variable bash HISTCONTROL para mantener los comandos fuera de su ~/.bash_history ).
Si está utilizando pass u otro administrador de contraseñas con una interfaz de línea de comandos, podría considerar una canalización como esta:
$ pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4
Una vez que tengas el hash MD4, escríbelo en tu configuración de la siguiente manera:
password=hash:2fd23a...456cef
¡NÓTESE BIEN! MD4 es un algoritmo hash obsoleto y no debe considerarse seguro.
Si prefiere funcionar sin un administrador de red, esta es la forma rápida y sucia de ejecutar wpa_supplicant con esta configuración:
$ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B
Donde nl80211 es el controlador del kernel a utilizar. nl80211 es la nueva interfaz netlink 802.11 predeterminada, destinada a reemplazar la antigua wext (Extensiones inalámbricas). Si no tiene nl80211 por ahí, puede probar con wext , pero wext puede fallar con el error ioctl[SIOCGIWSCAN]: Argument list too long frente a demasiados puntos de acceso. Si tienes una tarjeta Intel, otra alternativa es iwlwifi .
Una forma de encontrar el controlador que necesita es usando lspci :
$ lspci -k
wlp3s0 es el nombre de la interfaz de red de su tarjeta inalámbrica. Puedes encontrar esto usando ip link :
$ ip link
Opcionalmente, use la opción -B para mover el proceso wpa_supplicant al fondo. Sin embargo, dejarlo fuera le proporciona información útil si de otro modo no puede conectarse.
Además, inicie dhcpcd si no se inicia automáticamente.
En Raspbian Stretch también tendrías que agregar las siguientes líneas (cortesía de @patrick-nits):
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>
ctrl_interface porque Raspbian Stretch usa wpa_cli de forma predeterminada. ctrl_interface es necesario siempre que uses wpa_cli .country es necesario "para fines regulatorios". En particular, esto altera las bandas de frecuencia que utilizará wpa_supplicant . El código de país debe ser un código ISO 3166-1 Alfa-2.
