eduroam wpa_supplicant

Repositori ini tidak digunakan lagi, dan akan segera dihapus setelah 22 Agustus 2018 AOE. Artinya, konfigurasi yang disediakan tidak akan tersedia demi mencegah penyebaran malpraktek keamanan lebih lanjut.

Alat Asisten Konfigurasi (CAT) eduroam melakukan tugas yang seharusnya dilakukan oleh repositori ini, tetapi lebih baik. Untuk Linux, mereka menawarkan penginstal shellscript yang akan menghasilkan konfigurasi wpa_supplicant untuk Anda, jika mereka gagal menemukan Network Manager terinstal.

CAT melakukan tugasnya dengan lebih baik karena ia juga memberi Anda sertifikat yang dapat Anda gunakan untuk memverifikasi server RADIUS dari institusi asal Anda sebelum berbicara dengannya. Konfigurasi yang diberikan di sini tidak melakukan hal tersebut, dan ini adalah praktik yang buruk—Anda mungkin telah mengungkapkan kata sandi Anda kepada pihak yang tidak dikehendaki.

Menggunakan CAT, bukan konfigurasi ini, juga berarti bahwa Anda mulai sekarang harus memperhatikan kapan konfigurasi atau sertifikat di institusi asal Anda dapat berubah, dan tingkatkan konfigurasi Anda sesuai dengan itu.

Disarankan agar Anda mengubah kata sandi jika Anda menggunakan konfigurasi ini.

Lihat juga edisi #23, #24, dan #25.

TLDR; Konfigurasi wpa_supplicant untuk eduroam ini tampaknya cukup kuat.

Eduroam adalah layanan akses nirkabel aman yang disediakan untuk komunitas pendidikan dan penelitian oleh banyak institusi pendidikan di seluruh dunia. Ini dirancang agar Anda sebagai pelajar atau peneliti harus melakukan upaya minimal untuk terhubung ke jaringan nirkabel yang aman, di institusi pendidikan mana pun Anda berada saat ini. Hal ini mendorong pertukaran pendidikan dan kolaborasi ilmiah di seluruh dunia. (Video ini menjelaskan eduroam menggunakan kartun!)

wpa_supplicant adalah "pemohon IEEE 802.1X" generik (yaitu, alat yang dapat memastikan koneksi nirkabel Anda aman). Kebanyakan pengelola jaringan berbasis Linux menggunakan wpa_supplicant di belakang layar. Tentu saja, wpa_supplicant memiliki antarmuka baris perintah, dan cukup mudah untuk memberikan kendali besar atas konfigurasi Anda. (Tidak ada kartun tentang wpa_supplicant ☹.)

Untuk tujuan ini, sangat disayangkan bahwa situs web eduroam umum (yaitu, koreksi saya jika saya salah) tidak memberikan dokumentasi tentang cara mengatur wpa_supplicant Anda. Sebaliknya, mereka menawarkan installer kepada pengguna akhir, termasuk skrip shell untuk pengguna Linux (yang dapat dianggap sebagai dokumentasi primitif namun jujur). Beberapa institusi memang menawarkan dokumentasi wpa_supplicant mentah, tetapi melakukannya secara ad-hoc — tanpa jaminan apa pun bahwa konfigurasi tersebut akan berfungsi di institusi lain mana pun, sehingga menggagalkan tujuan Eduroam .

Ini adalah upaya untuk membuat konfigurasi wpa_supplicant terpadu, yang berfungsi secara menyeluruh. Namun untuk saat ini, ini hanyalah konfigurasi wpa_supplicant tidak terdokumentasi yang tampaknya berfungsi cukup baik di sejumlah institusi. Bantulah, dan dokumentasikan, atau beri tahu saya jika konfigurasi ini juga cocok untuk Anda.

• Universitas Federal Santa Catarina, Florianópolis, Brasil: Agustus 2018 (@gus9182)
• University of Canterbury, Christchurch, Selandia Baru: Juli 2018 (@huba)
• Universitas Waikato, Hamilton, Selandia Baru: Juli 2018 (@huba)
• Perpustakaan Universitas Amsterdam, Belanda: Juli 2018 (@oleks)
• Universitas Politeknik Hong Kong, Hong Kong: Juni 2018 (@tobychui)
• TU Wien, Wina, Austria: Juni 2018 (@thrau)
• Universitas York, Inggris Raya: Mei 2018 (@bendudson)
• Polisi Grenoble, Prancis: Mei 2018 (Frédéric Pétrot)
• Universitas Glasgow, Skotlandia: April 2018 (@manaratz)
• ESEO Angers, Prancis: Maret 2018 (@gondyb)
• Universitas Teknologi Kaunas (KTU), Lituania: Maret 2018 (@Mark-Weston)
• Universitas Brighton, Inggris Raya: Maret 2018 (@DavidAveryUoB)
• Universitas Aalto, Finlandia: Februari 2018 (@Niketin)
• Universitas Cape Town, Afrika Selatan: Februari 2018 (@riazarbi)
• Universitas Cambridge, Inggris: Februari 2018 (@rspencer01)
• Universitas Sheffield, Inggris: Januari 2018 (@ewnh)
• INSA Lyon, Prancis: Januari 2018 (@sfrenot)
• Universitas Oslo, Norwegia: Januari 2018 (@oleks)
• Universitas Kopenhagen, Denmark: Januari 2018 (@oleks)
• California State University, Sacramento, AS: Desember 2017 (@leaptthroughtime)
• Universitas California, Berkeley, AS: Agustus 2017 (@wizh)
• Bandara Malmö, Swedia: Juli 2017 (@oleks)
• Universitas Budapest, Hongaria: Mei 2017 (@oleks)
• Bandara Oslo, Norwegia: April 2017 (@oleks)
• Sapienza, Universitas Roma, Italia: November 2016 (@Enrico204)
• Institut RISC, Pond Building, Hagenberg, Austria: September 2016 (@oleks)
• Den Sorte Diamant, Kopenhagen, Denmark: September 2016 (@oleks)
• DTU, Lyngby, Denmark: Agustus 2016 (@oleks)
• Universitas Stanford, Palo Alto, AS: Juni 2016 (@oleks)
• Universitas Oregon, Eugene, AS: Juni 2016 (@oleks)
• Oxford, Inggris Raya: Juli 2015 (@oleks)
• ITU, Kopenhagen, Denmark: Mei 2015 (@oleks)

1. Lihat pemohon.conf.
2. Tetapkan identity ke [email protected] , jika nama pengguna Anda adalah abc123 , dan domain universitas asal Anda adalah ku.dk .
3. Demikian pula, atur anonymous_identity menjadi [email protected] atau cukup @ku.dk . Menggunakan identitas anonim tidak mengungkapkan identitas Anda kepada siapa pun kecuali universitas asal — eduroam menelepon ke rumah untuk memverifikasi identitas dan kata sandi Anda setiap kali Anda masuk dari lokasi lain.
4. Atur hash kata sandi agar sesuai dengan kata sandi universitas Anda (lihat di bawah).

Hash kata sandi harus berupa hash MD4 dari pengkodean UTF16 little-endian kata sandi Anda. Misalnya, jika kata sandi Anda adalah hamster , Anda dapat melakukan hash sebagai berikut:

 $  echo -n 'hamster' | iconv -t utf16le | openssl md4

(Perhatikan penggunaan tanda kutip tunggal untuk menghindari escape di shell.)

(Lihat juga variabel bash HISTCONTROL untuk mencegah perintah ~/.bash_history Anda.)

Jika Anda menggunakan pass , atau pengelola kata sandi lain dengan antarmuka baris perintah, Anda dapat mempertimbangkan saluran seperti ini:

 $  pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4

Setelah Anda memiliki hash MD4, tuliskan ke dalam konfigurasi Anda sebagai berikut:

  password=hash:2fd23a...456cef

Catatan! MD4 adalah algoritma hashing yang sudah ketinggalan zaman dan tidak boleh dianggap aman.

Jika Anda lebih suka melakukan roll tanpa manajer jaringan, berikut adalah cara cepat dan kotor untuk menjalankan wpa_supplicant dengan konfigurasi ini:

 $ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B

Dimana nl80211 adalah driver kernel yang akan digunakan. nl80211 adalah antarmuka netlink 802.11 default baru, yang dimaksudkan untuk menggantikan wext (Ekstensi Nirkabel) yang lebih lama. Jika Anda tidak memiliki nl80211 , Anda dapat mencoba wext , tetapi wext bisa gagal dengan kesalahan ioctl[SIOCGIWSCAN]: Argument list too long in the face of too many access points. Jika Anda memiliki kartu Intel, alternatif lain adalah iwlwifi .

Salah satu cara untuk menemukan driver yang Anda perlukan adalah menggunakan lspci :

 $ lspci -k

wlp3s0 adalah nama antarmuka jaringan untuk kartu nirkabel Anda. Anda dapat menemukannya menggunakan ip link :

 $ ip link

Secara opsional, gunakan opsi -B untuk memindahkan proses wpa_supplicant ke latar belakang. Namun, mengabaikannya akan memberi Anda wawasan yang berguna jika Anda tidak dapat terhubung.

Selain itu, jalankan dhcpcd jika tidak dimulai secara otomatis.

Di Raspbian Stretch Anda juga harus menambahkan baris berikut (milik @patrick-nits):

 ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>

• ctrl_interface diperlukan karena Raspbian Stretch menggunakan wpa_cli secara default. ctrl_interface diperlukan setiap kali Anda menggunakan wpa_cli .
• country diperlukan "untuk tujuan regulasi". Secara khusus, ini mengubah pita frekuensi yang akan digunakan wpa_supplicant . Kode negara harus berupa Kode ISO 3166-1 Alpha-2.