Přeskočit příkazy pásu karet
Přejít k hlavnímu obsahu
navod_linux_gen

DOCENDO DISCIMUS

 

navod_linux_gen

Obecný návod pro GNU/Linux (wpa_supplicant)

 

Předpoklady a varování

  • Návod předpokládá základní znalosti a schopnosti uživatele administrovat jím používanou Linuxovou distribuci, tj. administrátorská práva na počítači, schopnost instalovat a konfigurovat software, spouštět příkazy z příkazové řádky a základní schopnost uživatele samostatně se orientovat v této oblasti, a není proto určen úplným začátečníkům.
  • Návod popisuje použití příkazu wpa_supplicant, který přímo zajišťuje automatickou konfiguraci a řízení bezdrátového čipsetu pomocí tzv. wireless extensions API a autentizaci uživatele na bezdrátových AP zapojených v EDUROAM infrastruktuře. Z důvodu použitelnosti na co největším počtu Linuxových distribucí záměrně neobsahuje popis konfigurace v nadstavbových grafických prostředích (např. KDE nebo GNOME, Network Manager), neboť vzhled, verze a konfigurační postupy v těchto prostředích se mohou v jednotlivých Linuxových distribucích zásadně lišit.
  • Upozorňujeme, že notebooky zpravidla mají (často někde na boku) fyzický přepínač, kterým lze zcela zapnout nebo vypnout bezdrátový adaptér v počítači - pokud po zadání příkazu iwconfig nevidíte žádný bezdrátový adaptér, doporučujeme nejprve zkontrolovat nastavení zmíněného přepínače, a ujistit se, že je přepnut do polohy "zapnuto".
  • Je zcela nezbytné, aby na cílovém počítači byl(y):

    1. nainstalovány ovladače pro použitý bezdrátový adaptér (toto zpravidla zajistí sama použitá distribuce Linuxu při instalaci, kdy je automaticky rozpoznáván hardware počítače a instalují se pro něj příslušné ovladače - v opačném případě je nutné překonfigurovat a následně překompilovat moduly ovladačů v jádře tak, aby obsahovaly modul pro čipset požadovaného bezdrátového adaptéru). Adaptér by měl podporovat model zabezpečení WPA2 - tj. mít tzv. WiFi certifikaci (pokud notebook někde obsahuje nálepku si nápisem "WiFi", pak je WPA2 podporované). Adaptéry podporující model zabezpečení WPA jsou podporovány rovněž, ale vždy platí, že musí podporovat konfiguraci pomocí tzv. wireless extensions API, tj. být konfigurovatelné pomocí nástrojů wireless- tools, což je standardní set příkazů pro ovládání bezdrátových čipů v Linuxu. Zda je bezdrátový adaptér rozpoznán, zjistíme zadáním příkazu:

      iwconfig

      Ve výpisu musí být vidět bezdrátové rozhraní s názvem wlanX (kde X je číslo). Musíme však mít již nainstalovaný balík wireless- tools, jehož je iwconfig součástí. Současně tím také ověříme, zda náš bezdrátový adaptér podporuje konfiguraci pomocí wireless extensions API: pokud za rozhraním wlanX nenásleduje text no wireless extensions, pak je vše v pořádku.
    2. nainstalován a spuštěn klient služby DHCP (software dhcpcd), který po připojení do bezdrátové sítě získá IP adresu počítače a IP adresy DNS serverů ze serveru DHCP. Doporučujeme zadáním

      dhcpcd --version

      zkontrolovat, že instalovaný dhcpcd je verze 5.X.X nebo vyšší z důvodu podpory tzv. carrier detection.
      Že dhcpcd běží, ověříme příkazem

      ps w -C dhcpcd

      Ten v kladném případě ukáže údaje o běžícím procesu dhcpcd, včetně argumentů, se kterými byl spuštěn.
    3. nainstalován software wpa_supplicant (doporučujeme verzi 0.7.3 nebo vyšší, rovněž níže uvedená konfigurace byla testována právě s uvedenou verzí). Po instalaci balíku wpa_supplicant z naší distribuce můžeme použitou verzi zkontrolovat příkazem

      wpa_supplicant -v

    4. neběží vysokoúrovňový grafický správce síťových připojení NetworkManager. V případě, kdy běží, se můžete pokusit nakonfigurovat síťové připojení s údaji uvedenými na stránce Návody dole. Pokud nemáte NetworkManager nainstalován nebo jej používat nechcete, pak pokračujte dále dle tohoto návodu. Nejprve je nejprve potřeba zajistit, aby neběžel - pokud totiž běží, pak okupuje komunikační socket wpa_supplicanta, takže byste wpa_supplicant nemohli přímo použít - proto musíte nejprve zajistit vypnutí NetworkManageru. To se liší v závislosti na typu inicializačního systému použitého ve vaší Linuxové distribuci (upstart, systemd, sysvinit, BSD), a proto pro jeho vypnutí budete muset vyhledat způsob, jak toto na vaší konkrétní distribuci provést. Typicky lze použít některé z těchto příkazů:

      u distribucí s upstart/systemV (starší RedHaty, Debiany a klony):

      sudo stop network-manager

      u distribucí se systemd (současný RedHat, Debian 8 a novější + klony):

      sudo systemctl stop NetworkManager.service
      sudo systemctl disable NetworkManager.service

      u distribucí s BSD boot skripty (Slackware):

      /etc/rc.d/rc.networkmanager stop
      chmod a-x /etc/rc.d/rc.networkmanager

    Postup nastavení

    Poznámka před vlastním postupem nastavení. Níže uvedené příkazy je potřeba spouštět v příkazové řádce linuxu s právy uživatele root. Většina současných distribucí však nedovoluje jejich přímé spouštění, ale dovolí obyčejnému, neprivilegovanému uživateli spouštět příkazy s právy roota pomocí příkazu sudo. Pokud se nejste schopni přilogovat se jako root, pak pravděpodobně před uvedené příkazy budete muset předřadit příkaz sudo, např. sudo cp ..., sudo chmod ... atd.

    1. Stáhněte si soubor s kořenovým a mezilehlým certifikátem ve formátu PEM pro ověření autenticity RADIUS serverů a uložte jej do adresáře /etc/ssl/certs.
    2. Stáhněte si konfigurační soubor wpa_supplicant.conf a uložte jej do adresáře /etc.
      Protože tento soubor bude obsahovat vaše autorizační údaje s heslem v čitelné podobě, zajistěte, aby jej mohl číst pouze uživatel root, zadáním příkazů

      chown root:root /etc/wpa_supplicant.conf

      chmod 0700 /etc/wpa_supplicant.conf

    3. Otevřete soubor wpa_supplicant.conf v textovém editoru a změňte v něm údaje LOGIN a HESLO na své autentizační údaje do ISUO, přitom se řiďte instrukcemi uvedenými v souboru.
    4. Ověřte, že se nacházíte v dosahu bezdrátové sítě UO zadáním příkazů

      ip link set wlan0 up

      iwlist wlan0 scan | grep eduroam

      Ve výsledném výpisu by se měl objevit alespoň 1krát identifikátor sítě (ESSID) eduroam. Tyto příkazy lze provést kdykoliv, kdy neběží wpa_supplicant. Doporučujeme je použít při prvotním odlaďování, aby byla jistota, že je vůbec možné se s AP spojit.
    5. Zahajte vlastní proces spojení s AP a autentizaci spuštěním příkazu wpa_supplicant s parametry:

      wpa_supplicant -D wext -i wlan0 -c /etc/wpa_supplicant.conf

      (wext znamená "použij wireless extensions", wlan0 je název rozhraní vaší bezdrátové karty a parametr -c určuje cestu ke konfiguračnímu souboru).
      Pokud autentizace proběhne úspěšně, měl by se nejpozději do asi půl minuty objevit následující výpis podobný tomuto (důležité části jsou červeně zvýrazněny):

      Trying to associate with 00:23:89:d2:13:f0 (SSID='eduroam' freq=2347 MHz)

      Association request to the driver failed

      Associated with 00:23:89:d2:13:f0

      CTRL-EVENT-EAP-STARTED EAP authentication started

      CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25

      CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected

      CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/C=US/ST=New Jersey,L=Jersey City,O=The USERTRUST Network/CN=USERTrust RSA Certification Authority'

      CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=GEANT Vereniging/CN=GEANT OV RSA CA 4'

      CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=CZ/L=Brno/O=Univerzita obrany/CN=radius1.unob.cz'

      CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:radius1.unob.cz

      EAP-MSCHAPV2: Authentication succeeded

      EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed

      CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully

      WPA: Key negotiation completed with 00:23:89:d2:13:f0 [PTK=CCMP GTK=CCMP]

      CTRL-EVENT-CONNECTED - Connection to 00:23:89:d2:13:f0 completed (auth) [id=0 id_str=]

      Důležitý je zejména poslední řádek - v případě úspěchu vždy začíná tagem CTRL-EVENT-CONNECTED.
      Příkaz přitom zůstane běžet. Jeho běh (a tím i odpojení od bezdrátové sítě) lze ukončit kdykoliv stisknutím CTRL+C.
      Pokud Váš DHCP klient funguje správně, měli byste do několika sekund nato získat IP adresu z DHCP serveru, což lze ověřit na jiném terminálu zadáním příkazu

      ip addr show dev wlan0 nebo příkazem ifconfig wlan0

      Ve výpisu by měla být obsažena IP adresa začínající na 160.216.
      V případě neúspěšného spojení bude wpa_supplicant zkoušet proces nalezení vhodného AP a následného pokusu o autentizaci stále dokola. Kromě neustále pokračujícího výpisu bez CTRL-EVENT-CONNECTED je typickým příznakem (mimo jiné) následující skupina řádků, která se ve výpisu objevuje vždy na konci konkrétního neúspěšného pokusu o spojení:

      EAP-TLV: TLV Result - Failure

      CTRL-EVENT-EAP- FAILURE EAP authentication failed

      CTRL-EVENT-DISCONNECTED bssid=00:23:89:d2:13:f0 reason=0

      V takovém případě se ujistěte, že se nacházíte v dosahu bezdrátové sítě UO (viz výše), že jste zadali správné autorizační údaje do wpa_supplicant.conf a že nevypršela doba platnosti hesla, které jste zadali.

    V případě potíží s konfigurací dle tohoto postupu se zaměstnanci Univerzity obrany mohou obrátit o radu na Bc. Jana Rafaje, tel. 44 3548.

   
© 2021 Univerzita obrany | Kounicova 65, 662 10 Brno, Czech Republic
  • Videokanál Univerzity obrany na Youtube
  • Tweetujeme
  • Videokanál Univerzity obrany na Youtube
  • Jsme na Facebooku
  • Webová alba Picasa