このリポジトリはこれにより非推奨となり、2018 年 8 月 22 日の AOE の直後に削除される予定です。つまり、セキュリティ不正行為がさらに広がらないようにするために、提供された構成は利用できなくなります。
eduroam 構成アシスタント ツール (CAT) は、このリポジトリが行う予定のタスクを実行しますが、それよりも優れています。 Linux の場合、インストールされている Network Manager が見つからない場合に、wpa_supplicant 構成を生成するシェルスクリプト インストーラーが提供されています。
CAT は、通信する前に自宅の教育機関の RADIUS サーバーを検証するために使用できる証明書もプロビジョニングするため、より優れた機能を果たします。ここで提供されている構成ではそのようなことは行われておらず、これは悪い習慣です。パスワードが意図しない相手に公開されている可能性があります。
この構成ではなく CAT を使用するということは、今後、所属機関の構成や証明書がいつ変更される可能性があるかを常に監視し、それに応じて構成をアップグレードする必要があることも意味します。
この構成を使用した場合は、パスワードを変更することをお勧めします。
問題 #23、#24、および #25 も参照してください。
TLDR; eduroam 用のこのwpa_supplicant構成はかなり堅牢であるようです。
Eduroam は、世界中の多くの教育機関によって教育および研究コミュニティに提供されている安全な無線アクセス サービスです。これは、学生や研究者が、現在どこの教育機関にいても、最小限の労力で安全なワイヤレス ネットワークに接続できるように設計されています。これにより、世界中で教育交流と科学協力が促進されます。 (eduroamをマンガで解説する動画です!)
wpa_supplicant 、汎用の「IEEE 802.1X サプリカント」(つまり、ワイヤレス接続が安全であることを確認できるツール)です。ほとんどの Linux ベースのネットワーク管理者は、舞台裏でwpa_supplicantを使用します。もちろん、 wpa_supplicantはコマンドライン インターフェイスがあり、構成を完全に制御するのは非常に簡単です。 ( wpa_supplicant ☹ に関する漫画はありません。)
この点で、一般的な eduroam Web サイトがwpa_supplicant設定方法に関するドキュメントを提供していないように見えるのは残念です (つまり、間違っている場合は訂正してください)。代わりに、Linux ユーザー向けのシェル スクリプト (原始的だが誠実なドキュメントと見なすことができます) を含むインストーラーをエンド ユーザーに提供します。一部の教育機関は生のwpa_supplicantドキュメントを提供していますが、それはその場限りの方法であり、構成が他の教育機関で機能するという保証はなく、Eduroam の目的に反しています。
これは、全体的に機能する統一されたwpa_supplicant構成を確立する試みです。ただし今のところ、これは文書化されていない単なるwpa_supplicant設定であり、多くの機関でかなりうまく機能しているようです。手を貸して文書化するか、この構成でも機能するかどうかをお知らせください。
abc123で、出身大学のドメインがku.dkの場合は、 identity [email protected]に設定します。anonymous_identity [email protected]または単に@ku.dkに設定します。匿名の ID を使用すると、あなたの身元が出身大学以外に公開されることはありません。別の場所からログインするたびに、eduroam が自宅に電話して、あなたの身元とパスワードを確認します。パスワード ハッシュは、パスワードのリトル エンディアン UTF16 エンコードの MD4 ハッシュである必要があります。たとえば、パスワードがhamster場合、次のようにハッシュできます。
$ echo -n 'hamster' | iconv -t utf16le | openssl md4
(シェル内でのエスケープを避けるために一重引用符を使用していることに注意してください。)
( ~/.bash_historyにコマンドを入れないようにするためのHISTCONTROL bash 変数も参照してください。)
pass 、またはコマンドライン インターフェイスを備えた別のパスワード マネージャーを使用している場合は、代わりに次のようなパイプラインを検討することをお勧めします。
$ pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4
MD4 ハッシュを取得したら、次のように構成に書き込みます。
password=hash:2fd23a...456cef
注意! MD4 は時代遅れのハッシュ アルゴリズムであるため、安全であると考えるべきではありません。
ネットワーク マネージャーを使用せずに実行したい場合は、この構成でwpa_supplicant実行する簡単で汚い方法を次に示します。
$ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B
ここで、 nl80211は使用するカーネル ドライバーです。 nl80211 、古いwext (Wireless-Extensions) を置き換えることを目的とした、新しいデフォルトの 802.11 ネットリンク インターフェイスです。 nl80211が存在しない場合は、 wext試すことができますが、アクセス ポイントが多すぎる場合、 wextエラーioctl[SIOCGIWSCAN]: Argument list too longで失敗する可能性があります。 Intel カードをお持ちの場合、別の代替手段としてiwlwifiがあります。
必要なドライバーを見つける方法の 1 つは、 lspci使用することです。
$ lspci -k
wlp3s0ワイヤレス カードのネットワーク インターフェイス名です。これはip link使用して見つけることができます。
$ ip link
必要に応じて、 -Bオプションを使用して、 wpa_supplicantプロセスをバックグラウンドに移動します。ただし、それを省略しておくと、接続できない場合に役立つ洞察が得られます。
また、dhcpcd が自動的に起動しない場合は、 dhcpcd起動します。
Raspbian Stretch では、次の行も追加する必要があります (@patrick-nits の提供)。
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>
wpa_cli使用するため、 ctrl_interfaceが必要です。 wpa_cli使用する場合は常にctrl_interfaceが必要です。country 「規制上の目的で」必要です。特に、これにより、 wpa_supplicant使用する周波数帯域が変更されます。国コードは ISO 3166-1 Alpha-2 コードである必要があります。
