이 저장소는 이에 따라 더 이상 사용되지 않으며 2018년 8월 22일 AOE 직후 삭제될 예정입니다. 즉, 보안 침해가 더 이상 확산되지 않도록 제공된 구성을 사용할 수 없게 됩니다.
eduroam CAT(Configuration Assistant Tool)은 이 저장소에서 수행해야 했던 작업을 더 잘 수행합니다. Linux의 경우 설치된 Network Manager를 찾지 못한 경우 wpa_supplicant 구성을 생성하는 쉘스크립트 설치 프로그램을 제공합니다.
CAT은 홈 기관과 통신하기 전에 해당 기관의 RADIUS 서버를 확인하는 데 사용할 수 있는 인증서도 제공하므로 더 나은 작업을 수행합니다. 여기에 제공된 구성은 그렇게 하지 않았으며 이는 나쁜 습관입니다. 의도하지 않은 당사자에게 비밀번호가 노출되었을 수 있습니다.
이 구성이 아닌 CAT를 사용한다는 것은 이제부터 홈 기관의 구성이나 인증서가 변경될 때를 주시하고 그에 따라 구성을 업그레이드해야 함을 의미합니다.
이 구성을 사용한 경우 비밀번호를 변경하는 것이 좋습니다.
문제 #23, #24, #25도 참조하세요.
TLDR; eduroam에 대한 이 wpa_supplicant 구성은 다소 견고한 것 같습니다.
Eduroam은 전 세계 많은 교육 기관에서 교육 및 연구 커뮤니티에 제공하는 안전한 무선 액세스 서비스입니다. 이는 학생이나 연구자가 현재 어느 교육 기관에 있든 보안 무선 네트워크에 연결하기 위해 최소한의 노력만 들이면 되도록 설계되었습니다. 이는 전 세계적으로 교육 교류와 과학적 협력을 장려합니다. (이번 영상은 에듀로암을 만화로 설명하고 있어요!)
wpa_supplicant 는 일반적인 "IEEE 802.1X 신청자"(즉, 무선 연결이 안전한지 확인할 수 있는 도구)입니다. 대부분의 Linux 기반 네트워킹 관리자는 뒤에서 wpa_supplicant 사용합니다. 물론 wpa_supplicant 에는 명령줄 인터페이스가 있으며 구성을 전체적으로 제어하는 것이 매우 간단합니다. ( wpa_supplicant ☹에 관한 만화는 없습니다.)
이를 위해 일반적인 eduroam 웹 사이트가 wpa_supplicant 설정 방법에 대한 문서를 제공하지 않는 것처럼 보이는 것은 부끄러운 일입니다. 대신, Linux 사용자를 위한 쉘 스크립트(원시적이지만 정직한 문서로 간주될 수 있음)를 포함하여 최종 사용자에게 설치 프로그램을 제공합니다. 일부 기관에서는 원시 wpa_supplicant 문서를 제공하지만 임시 방식으로 제공합니다. 구성이 다른 기관에서 작동할 것이라는 보장 없이 Eduroam의 목적을 무너뜨립니다 .
이는 전반적으로 작동하는 통합된 wpa_supplicant 구성을 설정하려는 시도입니다. 그러나 현재로서는 이는 여러 기관에서 잘 작동하는 것으로 보이는 문서화되지 않은 wpa_supplicant 구성일 뿐입니다. 도움을 주고 문서화하거나 이 구성이 귀하에게도 적합한지 알려주세요.
abc123 이고 소속 대학 도메인이 ku.dk 인 경우 identity [email protected] 로 설정합니다.anonymous_identity [email protected] 또는 간단히 @ku.dk 로 설정합니다. 익명 신원을 사용해도 귀하의 신원은 소속 대학교 외에 누구에게도 공개되지 않습니다. eduroam은 귀하가 다른 위치에서 로그인할 때마다 집에 전화하여 귀하의 신원과 비밀번호를 확인합니다. 비밀번호 해시는 비밀번호를 리틀 엔디안 UTF16으로 인코딩한 MD4 해시여야 합니다. 예를 들어 비밀번호가 hamster 인 경우 다음과 같이 해시할 수 있습니다.
$ echo -n 'hamster' | iconv -t utf16le | openssl md4
(셸에서 이스케이프를 방지하려면 작은따옴표를 사용하세요.)
( ~/.bash_history 에서 명령을 유지하려면 HISTCONTROL bash 변수도 참조하세요.)
pass 또는 명령줄 인터페이스가 있는 다른 비밀번호 관리자를 사용하는 경우 대신 다음과 같은 파이프라인을 고려할 수 있습니다.
$ pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4
MD4 해시가 있으면 다음과 같이 구성에 기록합니다.
password=hash:2fd23a...456cef
주의! MD4는 더 이상 사용되지 않는 해싱 알고리즘이므로 안전한 것으로 간주되어서는 안 됩니다.
네트워크 관리자 없이 롤업하려는 경우 이 구성으로 wpa_supplicant 실행하는 빠르고 간단한 방법은 다음과 같습니다.
$ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B
여기서 nl80211 은 사용할 커널 드라이버입니다. nl80211 은 이전 wext (Wireless-Extensions)를 대체하기 위한 새로운 기본 802.11 netlink 인터페이스입니다. nl80211 없으면 wext 시도할 수 있지만 wext 액세스 포인트가 너무 많아 ioctl[SIOCGIWSCAN]: Argument list too long 오류로 인해 실패할 수 있습니다. Intel 카드가 있는 경우 다른 대안은 iwlwifi 입니다.
필요한 드라이버를 찾는 한 가지 방법은 lspci 사용하는 것입니다.
$ lspci -k
wlp3s0 은 무선 카드의 네트워크 인터페이스 이름입니다. ip link 사용하여 이를 찾을 수 있습니다.
$ ip link
선택적으로 -B 옵션을 사용하여 wpa_supplicant 프로세스를 백그라운드로 이동합니다. 그러나 이를 그대로 두면 연결할 수 없는 경우 유용한 통찰력을 얻을 수 있습니다.
또한 자동으로 시작되지 않으면 dhcpcd 시작하십시오.
Raspbian Stretch에서는 다음 줄도 추가해야 합니다(@patrick-nits 제공).
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>
wpa_cli 사용하므로 ctrl_interface 필요합니다. ctrl_interface 는 wpa_cli 사용할 때마다 필요합니다.country "규제 목적으로" 필요합니다. 특히 이는 wpa_supplicant 사용할 주파수 대역을 변경합니다. 국가 코드는 ISO 3166-1 Alpha-2 코드여야 합니다.
