802.1x
Instrukcja dotyczy logowania się do sieci przewodowych WCSS za pomocą protokołu 802.1X. Jest to metoda wymagana, aby użytkownik uzyskał dostęp do wewnętrznych zasobów i usług WCSS i był traktowany inaczej niż "reszta świata", czyli użytkownicy łączący się bezpośrednio (bez VPN czy tuneli SSH) spoza terenu WCSS.
Konta pwr.wroc.pl i nova.wcss.wroc.pl
Windows
Należy zdobyć supplicanta obsługującego EAP-TTLS-PAP. Jeśli posiadamy już działającą sieć eduroam to możliwe jest skonfigurowanie tego samego supplicanta tak by łączył się do sieci przewodowych WCSS. Ta instrukcja obejmuje postępowanie w przypadku supplicanta W2Secure. Nowego można pobrać pod adresem: https://cat.eduroam.org/ podając jako instytucję macierzystą Politechnikę Wrocławską i pomijając etap konfiguracji podczas instalacji.
W2Secure
Po zainstalowaniu supplicanta wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:
Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:
W zakładce uwierzytelnianie wybieramy metodę "Secure W2" i otwieramy jej ustawienia:
Wybieramy profil i otwieramy jego właściwości:
Ustawiamy anonimową tożsamość na anonymous:
W kolejnej zakładce wyłączamy sprawdzanie certyfikatu serwera (certyfikat dla serwera pojawi się w najbliższym czasie):
Wybieramy jako metodę drugiej fazy PAP:
Podajemy nazwę użytkownika, hasło i domenę:
Linux
CLI - konfiguracja ręczna
Należy zainstalować wpa-supplicanta i stworzyć plik konfiguracyjny:
orcus:~ # cat /etc/wpa_supplicant/wpa_supplicant.conf ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=wheel ap_scan=0 fast_reauth=1 network={ ssid="" scan_ssid="" key_mgmt=IEEE8021X eap=TTLS phase2="auth=PAP" identity="username@domena" password="plaintextpassword" }
Obsługiwane domeny to:
- nova.wcss.wroc.pl - baza użytkowników KDM.
- pwr.wroc.pl - baza użytkowników poczty w domenach pwr.wroc.pl i pwr.edu.pl - jako domenę należy podać pwr.wroc.pl.
Następnie należy skonfigurować interfejs tak aby:
- po podniesieniu interfejsu ale przed uruchomieniem DHCP uruchomił wpa_supplicanta
- korzystał z serwera DHCP
Dla opensuse należy stworzyć skrypt:
orcus:~ # cat /etc/sysconfig/network/scripts/ifup-802.1x-eth0 #!/bin/bash /usr/sbin/wpa_supplicant -D wired -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -d -f /var/log/wpa_supp_wired.log -B echo "wpa_supplicant for eth0 started" sleep 10
Dodanie na końcu sleep powoduje zaczekanie aż wpa_supplicant uruchomiony jako daemon zakończy uwierzytelnienie przed dalszą konfigurację interfejsu.
Następnie należy wskazać odpowiednie parametry w konfiguracji interfejsu - dla opensuse: orcus:~ # cat /etc/sysconfig/network/ifcfg-eth0
BOOTPROTO='dhcp4' STARTMODE='auto' PRE_UP_SCRIPT='/etc/sysconfig/network/scripts/ifup-802.1x-eth0' DHCLIENT_SET_DEFAULT_ROUTE="yes"
NetowrkManager
Otwieramy okno Network Managera (w większości systemów klikamy lewym klawiszem myszki na ikonce komputera/wifi na panelu i wybieramy "Modyfikuj połączenia").
Następnie dodajemy nowe połączenie przewodowe:
Ustawiamy je tak by pobierało adres z serwera DHCP:
Wybieramy
- typ połączenia EAP-TTLS,
- podajemy anonimową tożsamość (anonymous@pwr.wroc.pl lub anonymous@nova.wcss.wroc.pl),
- wskazujemy certyfikat CA z dysku (można go pobrać z adresu http://www.terena.org/activities/tcs/repository/AddTrust_External_CA_Root.pem),
- wybieramy metodę drugiej fazy - PAP
- wpisujemy pełny login (nazwa_użytkownika@nova.wcss.wroc.pl lub nazwa_użytkownika@pwr.wroc.pl)
- w zależności czy chcemy by nasze hasło leżało na dysku wpisujemy je w pole, w przeciwnym wypadku zaznaczamy "Pytanie o hasło za każdym razem".
Konta guest.wcss.pl
UWAGA: Konta guest.wcss.pl można skonfigurować zgodnie z instrukcją dotyczącą kont pwr.wroc.pl i nova.wcss.wroc.pl. Dodatkowo dostępne jest uwierzytelnianie PEAP-MSCHAPv2 - wspierane natywnie przez system windows.
Windows
Wchodzimy do "Centrum sieci i udostępniania" w panelu starowania i wybieramy opcję "zmień ustawienia karty sieciowej" z lewej strony okna:
Wybieramy nasze kablowe połączenie i w jego menu konktekstowym wybieramy właściwości:
W zakładce "Uweirzytelnianie" odznaczamy wybieramy metodę PEAP i wchodzimy w jej ustawienia:
Wyłączamy weryfikację certyfikatu serwera i wybieramy metodę uwierzytelniania drugiej fazy - MSCHAPv2:
W konfiguracji MSCHAPv2 odznaczmy "Automatycznie użyj mojej nazwy logowania..." - w przeciwnym wypadku system będzie próbował używać przy próbie połączenia danych za pomocą których zalogowaliśmy się do komputera:
Po podłączeniu kabla powinna pojawić się prośba o podanie użytkownika (zadziała tu tylko konto w domenie guest.wcss.pl) i hasła:
Linux
CLI
Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl, poza dwoma zmianami w konfiguracji wpa_supplicanta:
eap=PEAP phase2="autheap=MSCHAPV2"
NetowrkManager
Należy wykonać wszystkie kroki jak w przypadku pwr.wroc.pl i nova.wcss.wroc.pl poza wyborem protokołów - fazy 1 - PEAP, fazy 2 - MSCHAPv2 oraz nazwą użytkownika z domeny guset.wcss.pl: