Настоящим этот репозиторий устарел и будет закрыт вскоре после 22 августа 2018 г. AOE. То есть предоставленная конфигурация станет недоступной, чтобы не допустить дальнейшего распространения злоупотреблений в сфере безопасности.
Инструмент eduroam Configuration Assistant (CAT) выполняет задачу, для которой предназначен этот репозиторий, но лучше. Для Linux они предлагают установщики сценариев оболочки, которые сгенерируют для вас конфигурацию wpa_supplicant, если им не удастся найти установленный Network Manager.
CAT работает лучше , поскольку он также предоставляет вам сертификат, который вы можете использовать для проверки RADIUS-сервера вашего домашнего учреждения перед подключением к нему. Представленная здесь конфигурация не позволяет этого сделать, и это плохая практика — вы могли раскрыть свой пароль посторонним лицам.
Использование CAT вместо этой конфигурации также означает, что с этого момента вам следует следить за тем, когда конфигурация или сертификат в вашем домашнем учреждении могут быть изменены, и соответствующим образом обновлять свою конфигурацию.
Если вы использовали эту конфигурацию, рекомендуется изменить пароль.
См. также проблемы № 23, № 24 и № 25.
TLDR; Эта конфигурация wpa_supplicant для eduroam кажется довольно надежной.
Eduroam — это безопасная служба беспроводного доступа, доступная образовательному и исследовательскому сообществу многими учебными заведениями по всему миру. Он был разработан таким образом, чтобы вам, как студенту или исследователю, приходилось прилагать минимальные усилия для подключения к защищенной беспроводной сети, независимо от того, в каком учебном заведении вы сегодня находитесь. Это поощряет образовательный обмен и научное сотрудничество во всем мире. (В этом видео объясняется, как использовать эдуроам с помощью мультфильмов!)
wpa_supplicant — это универсальный «запросчик IEEE 802.1X» (т. е. инструмент, который может обеспечить безопасность вашего беспроводного соединения). Большинство сетевых менеджеров на базе Linux незаметно используют wpa_supplicant . Конечно, wpa_supplicant имеет интерфейс командной строки, и с его помощью довольно просто получить полный контроль над вашей конфигурацией. (Мультиков про wpa_supplicant нет ☹.)
В связи с этим обидно, что общий веб-сайт eduroam, по-видимому (т. е. поправьте меня, если я ошибаюсь), не предлагает никакой документации о том, как настроить wpa_supplicant . Вместо этого они предлагают конечным пользователям установщики, включая сценарий оболочки для пользователей Linux (который можно рассматривать как примитивную, но честную документацию). Некоторые учреждения предлагают необработанную документацию wpa_supplicant , но делают это от случая к случаю — без какой-либо гарантии, что конфигурация будет работать в любом другом учреждении, что противоречит целям Eduroam .
Это попытка создать единую конфигурацию wpa_supplicant , которая работает по всем направлениям. Однако на данный момент это всего лишь недокументированная конфигурация wpa_supplicant , которая, похоже, довольно хорошо работает в ряде учреждений. Помогите и задокументируйте это или просто дайте мне знать, подойдет ли эта конфигурация и вам.
identity [email protected] , если ваше имя пользователя — abc123 , а домен вашего домашнего университета — ku.dkanonymous_identity значение [email protected] или просто @ku.dk . Использование анонимной личности не раскрывает вашу личность никому, кроме домашнего университета — eduroam звонит домой, чтобы подтвердить вашу личность и пароль каждый раз, когда вы входите в систему из другого места. Хэш пароля должен быть хешем MD4 кодировки UTF16 с прямым порядком байтов вашего пароля. Например, если ваш пароль — hamster , вы можете хешировать его следующим образом:
$ echo -n 'hamster' | iconv -t utf16le | openssl md4
(Обратите внимание на использование одинарных кавычек, чтобы избежать экранирования в оболочке.)
(См. также переменную HISTCONTROL bash, чтобы исключить команды из ~/.bash_history .)
Если вы используете pass или другой менеджер паролей с интерфейсом командной строки, вы можете вместо этого рассмотреть такой конвейер:
$ pass eduroam | tr -d 'n' | iconv -t utf16le | openssl md4
Получив хэш MD4, запишите его в свою конфигурацию следующим образом:
password=hash:2fd23a...456cef
Внимание! MD4 — устаревший алгоритм хеширования, и его не следует считать безопасным.
Если вы предпочитаете работать без сетевого менеджера, вот быстрый и простой способ запустить wpa_supplicant с этой конфигурацией:
$ sudo wpa_supplicant -Dnl80211 -iwlp3s0 -c supplicant.conf -B
Где nl80211 — используемый драйвер ядра. nl80211 — это новый интерфейс netlink по умолчанию 802.11, предназначенный для замены старого wext (Wireless-Extensions). Если у вас нет nl80211 , вы можете попробовать wext , но wext может завершиться неудачно с ошибкой ioctl[SIOCGIWSCAN]: Argument list too long из-за слишком большого количества точек доступа. Если у вас есть карта Intel, другая альтернатива — iwlwifi .
Один из способов найти нужный драйвер — использовать lspci :
$ lspci -k
wlp3s0 — это имя сетевого интерфейса вашей беспроводной карты. Найти это можно по ip link :
$ ip link
При желании используйте опцию -B , чтобы переместить процесс wpa_supplicant в фоновый режим. Однако если вы этого не сделаете, вы получите полезную информацию, если иначе вы не сможете подключиться.
Кроме того, запустите dhcpcd , если он не запускается автоматически.
В Raspbian Stretch вам также придется добавить следующие строки (любезно предоставлено @patrick-nits):
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
country=<2-letter country code>
ctrl_interface необходим, поскольку Raspbian Stretch по умолчанию использует wpa_cli . ctrl_interface необходим всякий раз, когда вы используете wpa_cli .country нужна «для целей регулирования». В частности, это изменяет диапазоны частот, которые будет использовать wpa_supplicant . Код страны должен представлять собой код ISO 3166-1 Alpha-2.
