Page 1
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 1/8
Autenticazione di accesso alla rete secondo lo standard IEEE 802.1x (NAC) nei sistemi Ubuntu Linux i
Accesso mediante Network Manager
Il metodo più semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo
standard 802.1x nei sistemi Ubuntu è quello che prevede l'utilizzo di NetworkManager. Si tratta di
un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni
Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e
ad una serie di tool e plugin (dbus, udev, ModemManager, ifupdown ...) che lavorano dietro le
quinte:
sito web ufficiale del progetto
http://projects.gnome.org/NetworkManager/
wiki ufficiale
http://live.gnome.org/NetworkManager
Ecco la semplice sequenza di operazioni richieste per accedere alla rete cablata mediante Network
Manager su Ubuntu 11.04 “Natty Narwhal”:
Selezionate la voce "Modifica" e siaprirà la finestra Connessioni di Rete
Page 2
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 2/8
A questo punto il sistema potrebbechiedervi di inserire le credenziali di un
utente con priviliegi di amministratore
Si aprirà una nuova finestra che
consente di effettuare o modificare laconfigurazione della connessione di rete
selezionata
Page 3
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 3/8
Selezionate la scheda "Sicurezza 802.1x"
e configuratela come in questa
immagine (nei campi "Nome utente" e"Password" dovrete inserire le vostre
credenziali GIA, naturalmente)
Page 4
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 4/8
La configurazione della connessione di
rete è terminata: cliccate su "Salva" echiudete la finestra Connessioni di Rete
Page 5
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 5/8
Accesso mediante wpa_supplicant (per utenti esperti)
Normalmente, l'autenticazione via NetworkManager funziona senza problemi con il nostro sistema
di NAC ma è sempre possibile ricorrere alle procedure “legacy”. Per impostazione predefinita,
infatti, l'autenticazione 802.1x su reti wireless e cablate in Ubuntu si basa su wpa_supplicant:
“Linux WPA/WPA2/IEEE 802.1X Supplicant”
http://hostap.epitest.fi/wpa_supplicant/
Il daemon wpa_supplicant cerca i parametri di configurazione nel file /etc/wpa_supplicant.conf
“wpa_supplicant - Wi-Fi Protected Access client and IEEE 802.1X supplicant” (da
Ubuntu Manuals)
http://tinyurl.com/6zwlpsa
Il front-end a linea di comando predefinito è wpa_cli
“wpa_cli - WPA command line client” (da Ubuntu Manuals)
http://tinyurl.com/5veyhmz
Il corrispondente front-end grafico (QT-based) è wpagui (non lo trovate pre-installato ma è
disponibile nei repository ufficiali):
“wpa_gui - WPA Graphical User Interface” (da Ubuntu Manuals)
http://tinyurl.com/69h39t3
Tra i supplicant di terze parti segnaliamo il progetto Open1xii con il suo XSupplicant (free e
disponibile per Windows e Linux nelle versioni a 32 e 64 bit):
“Open1x: free, open source 802.1X/WPA/WPA2/IEEE802.11i implementation”
http://open1x.sourceforge.net/
Segnaliamo, infine, una panoramicaiii delle soluzioni 802.1x di terze parti pubblicata sul sito
enterprisenetworkingplanet.com:
“Using Third-Party 802.1X Clients on Windows, Linux or Mac”
http://tinyurl.com/64hxdnd
How-to
Il seguente esempio di configurazione del file wpa_supplicant.conf è basato sugli appunti redatti da
Jouni Malinen:
http://hostap.epitest.fi/gitweb/gitweb.cgi?
http://tmp/Ubuntu%20utilizza%20di%20default%20wpa_supplicant%20per%20l'autenticazione%20sia%20su%20reti%20wireless%20che%20wired:%20%20%20%20Linux%20WPA/WPA2/IEEE%20802.1X%20Supplicant%20%20%20%20http://hostap.epitest.fi/wpa_supplicant/Il%20daemon%20wpa_supplicant%20in%20Ubuntu%20%C3%A8%20installato%20di%20default%20e%20cerca%20i%20parametri%20di%20configurazione%20nel%20file%20/etc/wpa_supplicant.conf%20%20%20%20wpa_supplicant%20%20%20-%20%20Wi-Fi%20%20Protected%20%20Access%20%20client%20%20and%20%20IEEE%20%20802.1X%20supplicant%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/6zwlpsaIl%20front-end%20a%20linea%20di%20comando%20%C3%A8%20wpa_cli%20%20%20%20wpa_cli%20-%20WPA%20command%20line%20client%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/5veyhmzIl%20front-end%20grafico%20(QT)%20%C3%A8%20wpagui%20(non%20pre-installato%20ma%20disponibile%20nei%20repo%20ufficiali):%20%20%20%20wpa_gui%20-%20WPA%20Graphical%20User%20Interface%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/69h39t3Ci%20sarebbe%20anche%20il%20progetto%20Open1x%20con%20il%20suo%20XSupplicant%20...%20free%20e%20disponibile%20per%20Win%20e%20Linux%20(32%20e%2064%20bit):%20%20%20%20Open1x:%20free,%20open%20source%20802.1X/WPA/WPA2/IEEE802.11i%20implementation%20%20%20%20http://open1x.sourceforge.net/So%20che%20lo%20sviluppo%20%C3%A8%20sponsorizzato%20da%20OpenSEA%20Alliance%20(Nortel,%20Symantec,%20TippingPoint,%20...%20)%20ma%20non%20mi%20sembra%20particolarmente%20attivo%20...Infine,%20segnalo%20una%20bella%20panoramica%20delle%20soluzioni%20802.1x%20di%20terze%20parti%20su%20enterprisenetworkingplanet.com:%20%20%20%20Using%20Third-Party%20802.1X%20Clients%20on%20Windows,%20Linux%20or%20Mac%20%20%20%20http://tinyurl.com/64hxdndNell'articolo%20si%20cita%20anche%20XpressConnect%20di%20Cloudpath%20Networks,%20una%20soluzione%20di%20provisioning%20della%20configurazione%20802.1x%20nelle%20reti%20aziendali:%3E%20XpressConnect%20from%20Cloudpath%20Networks%20isn't%20an%20802.1X%20supplicant,%20but%20enhances%20the%20built-in%20clients%20of%20operating%20systems.%20It%20helps%20configure%20and%20distribute%20the%20802.1X%20authentication%20settings%20among%20Windows,%20Mac%20OS%20X,%20Ubuntu,%20and%20handheld%20devices,%20including%20iPhone.%20It%20even%20helps%20you%20manage%20the%20firewall%20settings,%20Windows%20Automatic%20Updates,%20and%20the%20deployment%20of%20hotfixes.%3E%3E%20XpressConnect%20uses%20unique%20techniques%20to%20provision%20the%20configuration,%20which%20includes%20using%20an%20open%20SSID,%20a%20CD,%20a%20USB%20flash%20drive,%20or%20Group%20Policy%20(GPO).%20It%20will%20create%20the%20wireless%20profile,%20resolve%20third-party%20wireless%20utility%20conflicts,%20and%20configure%20the%20802.1X%20supplicant.%20It's%20wizard-based%20and%20easily%20guides%20the%20user%20through%20the%20802.1X%20process.Ho%20notato%20che%20XpressConnect%20e%20Open1x%20sono%20frequentemente%20usati%20nei%20campus%20americani%20e%20inglesi%20che%20aderiscono%20a%20EDUROAM%20... http://tmp/Ubuntu%20utilizza%20di%20default%20wpa_supplicant%20per%20l'autenticazione%20sia%20su%20reti%20wireless%20che%20wired:%20%20%20%20Linux%20WPA/WPA2/IEEE%20802.1X%20Supplicant%20%20%20%20http://hostap.epitest.fi/wpa_supplicant/Il%20daemon%20wpa_supplicant%20in%20Ubuntu%20%C3%A8%20installato%20di%20default%20e%20cerca%20i%20parametri%20di%20configurazione%20nel%20file%20/etc/wpa_supplicant.conf%20%20%20%20wpa_supplicant%20%20%20-%20%20Wi-Fi%20%20Protected%20%20Access%20%20client%20%20and%20%20IEEE%20%20802.1X%20supplicant%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/6zwlpsaIl%20front-end%20a%20linea%20di%20comando%20%C3%A8%20wpa_cli%20%20%20%20wpa_cli%20-%20WPA%20command%20line%20client%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/5veyhmzIl%20front-end%20grafico%20(QT)%20%C3%A8%20wpagui%20(non%20pre-installato%20ma%20disponibile%20nei%20repo%20ufficiali):%20%20%20%20wpa_gui%20-%20WPA%20Graphical%20User%20Interface%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/69h39t3Ci%20sarebbe%20anche%20il%20progetto%20Open1x%20con%20il%20suo%20XSupplicant%20...%20free%20e%20disponibile%20per%20Win%20e%20Linux%20(32%20e%2064%20bit):%20%20%20%20Open1x:%20free,%20open%20source%20802.1X/WPA/WPA2/IEEE802.11i%20implementation%20%20%20%20http://open1x.sourceforge.net/So%20che%20lo%20sviluppo%20%C3%A8%20sponsorizzato%20da%20OpenSEA%20Alliance%20(Nortel,%20Symantec,%20TippingPoint,%20...%20)%20ma%20non%20mi%20sembra%20particolarmente%20attivo%20...Infine,%20segnalo%20una%20bella%20panoramica%20delle%20soluzioni%20802.1x%20di%20terze%20parti%20su%20enterprisenetworkingplanet.com:%20%20%20%20Using%20Third-Party%20802.1X%20Clients%20on%20Windows,%20Linux%20or%20Mac%20%20%20%20http://tinyurl.com/64hxdndNell'articolo%20si%20cita%20anche%20XpressConnect%20di%20Cloudpath%20Networks,%20una%20soluzione%20di%20provisioning%20della%20configurazione%20802.1x%20nelle%20reti%20aziendali:%3E%20XpressConnect%20from%20Cloudpath%20Networks%20isn't%20an%20802.1X%20supplicant,%20but%20enhances%20the%20built-in%20clients%20of%20operating%20systems.%20It%20helps%20configure%20and%20distribute%20the%20802.1X%20authentication%20settings%20among%20Windows,%20Mac%20OS%20X,%20Ubuntu,%20and%20handheld%20devices,%20including%20iPhone.%20It%20even%20helps%20you%20manage%20the%20firewall%20settings,%20Windows%20Automatic%20Updates,%20and%20the%20deployment%20of%20hotfixes.%3E%3E%20XpressConnect%20uses%20unique%20techniques%20to%20provision%20the%20configuration,%20which%20includes%20using%20an%20open%20SSID,%20a%20CD,%20a%20USB%20flash%20drive,%20or%20Group%20Policy%20(GPO).%20It%20will%20create%20the%20wireless%20profile,%20resolve%20third-party%20wireless%20utility%20conflicts,%20and%20configure%20the%20802.1X%20supplicant.%20It's%20wizard-based%20and%20easily%20guides%20the%20user%20through%20the%20802.1X%20process.Ho%20notato%20che%20XpressConnect%20e%20Open1x%20sono%20frequentemente%20usati%20nei%20campus%20americani%20e%20inglesi%20che%20aderiscono%20a%20EDUROAM%20... Page 6
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 6/8
p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf
--
Per modificare il file wpa_supplicant.conf (l'ipotesi è quella di effettuare l'autenticazione 802.1x su
rete cablata) dovete digitare:
sudo gedit /etc/wpa_supplicant.conf
e compilarlo secondo l'esempio seguente:
# Where is the control interface located? This is the default path:
ctrl_interface=/var/run/wpa_supplicant
# Who can use the WPA frontend? Replace "0" with a group name if you
# want other users besides root to control it.
# There should be no need to chance this value for a basic configuration:
ctrl_interface_group=4# 4 è l'ID del gruppo ADM, 115 del gruppo ADMIN, 0 è ROOT ...
# When configuring WPA-Supplicant for use on a wired network, we don’t need to
# scan for wireless access points. See the wpa-supplicant documentation if
# you are authenticating through 802.1x on a wireless network:
ap_scan=0
#Network access authentication through IEEE 802.1x
network={
key_mgmt=IEEE8021X
eap=PEAP
identity="nome utente GIA"
password="password GIA"
ca_cert="/etc/ssl/certs/wifi.univr.it.cer"
phase1="peapver=0"
phase2="auth=MSCHAPV2"
eapol_flags=0
}
Cambiate quindi i permessi di /etc/wpa_supplicant/wpa_supplicant.conf (il valore 000 impedisce a
qualsiasi utente di poter effettuare operazioni di lettura o scrittura):
chmod 000 /etc/wpa_supplicant/wpa_supplicant.conf
Per testare il processo di autenticazione 802.1x utilizzando il nuovo wpa_supplicant.conf digitate
sudo wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0
Se l'autenticazione ha avuto luogo correttamente, possiamo impostare l'esecuzione automatica del
supplicant a livello globale (in questo modo indichiamo al sistema che intendiamo utilizzare sempre
Page 7
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 7/8
l'autenticazione 802.1x). Digitate:
sudo gedit /etc/network/interfaces
ed editate il file di configurazione secondo quanto indicato nel seguente esempio:
# se vi siete sempre affidati a NetworkManager per gestire le connessioni cablate e wireless,
#dovreste vedere unicamente le seguenti due righe di configurazione (relative, ovviamente,
alla sola interfaccia di loopback)
auto lo
iface lo inet loopback
# sostituire eventualmente “eth0” con la propria interfaccia Ethernet
auto eth0
iface eth0 inet dhcp
wpa-driver wired
# questa riga indica al sistema che intendiamo utilizzare WPA-Supplicant a livello globale
wpa-conf /etc/wpa_supplicant.conf
Prima di salvare il nuovo file di configurazione è necessario stoppare i servizi di rete rete :
sudo /etc/init.d/networking stop
Una volta salvato il file etc/network/interfaces possiamo finalmente restartare i servizi di rete:
sudo /etc/init.d/networking start
e verificare che tutto funzioni correttamente.
(… resta da completare la parte relativa a NetworkManager)
Page 8
5/12/2018 NAC & Linux - slidepdf.com
http://slidepdf.com/reader/full/nac-linux 8/8
i Documentazione redatta in seguito a test effettuati su Ubuntu 10.010 “Maverick Meerkat” x86_64
ii Lo sviluppo è sponsorizzato da OpenSEA Alliance, un consorzio che comprende – tra gli altri - Nortel, Symantec e
TippingPoint.
iii Nell'articolo si cita anche XpressConnect di Cloudpath Networks, una soluzione commerciale per il provisioning
automatico della configurazione 802.1x nelle reti aziendali (Mac OS X, Ubuntu e Windows) utilizzata spesso nei
campus che aderiscono ad EDUROAM