Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
it:linux:wpa-eap [2012/08/15 09:05] – berni | it:linux:wpa-eap [2020/12/22 15:31] (aktuell) – [wpa_supplicant] admin | ||
---|---|---|---|
Zeile 13: | Zeile 13: | ||
===== Freeradius Konfiguration ===== | ===== Freeradius Konfiguration ===== | ||
- | Will ein Client (in unserem Beispiel ein AP) eine Verbindung zum Radiusserver aufbauen, benötigt man einen entsprechenden Eintrag in der Datei "/ | + | ==== / |
+ | |||
+ | Will ein Client (in unserem Beispiel ein AP) eine Verbindung zum Radiusserver aufbauen, benötigt man einen entsprechenden Eintrag in der Datei "/ | ||
<code bash> | <code bash> | ||
... | ... | ||
Zeile 23: | Zeile 25: | ||
... | ... | ||
</ | </ | ||
+ | |||
+ | ==== / | ||
+ | |||
Des Weiteren ist EAP zu konfigurieren. | Des Weiteren ist EAP zu konfigurieren. | ||
Zeile 65: | Zeile 70: | ||
} | } | ||
</ | </ | ||
+ | |||
+ | ==== / | ||
+ | <code bash> | ||
+ | authorize { | ||
+ | preprocess | ||
+ | if(" | ||
+ | update control { | ||
+ | EAP-TLS-Require-Client-Cert = Yes | ||
+ | } | ||
+ | eap | ||
+ | } | ||
+ | |||
+ | if(" | ||
+ | files | ||
+ | eap | ||
+ | } | ||
+ | } | ||
+ | |||
+ | authenticate { | ||
+ | eap | ||
+ | } | ||
+ | |||
+ | preacct { | ||
+ | preprocess | ||
+ | acct_unique | ||
+ | suffix | ||
+ | files | ||
+ | } | ||
+ | |||
+ | accounting { | ||
+ | detail | ||
+ | unix | ||
+ | radutmp | ||
+ | exec | ||
+ | attr_filter.accounting_response | ||
+ | } | ||
+ | |||
+ | session { | ||
+ | radutmp | ||
+ | } | ||
+ | |||
+ | post-auth { | ||
+ | exec | ||
+ | Post-Auth-Type REJECT { | ||
+ | attr_filter.access_reject | ||
+ | } | ||
+ | } | ||
+ | |||
+ | pre-proxy { | ||
+ | } | ||
+ | |||
+ | post-proxy { | ||
+ | eap | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Das hier ist die zentrale Konfig des Radiusservers. | ||
+ | Es wird zwischen zwei NAS-Identifier unterschieden: | ||
+ | Beim Anmelden im " | ||
+ | |||
+ | Config aktivieren: | ||
+ | <code bash> | ||
+ | cd / | ||
+ | rm sites-enabled/ | ||
+ | ln -s sites-available/ | ||
+ | </ | ||
+ | |||
===== PKI ===== | ===== PKI ===== | ||
Zeile 99: | Zeile 171: | ||
</ | </ | ||
- | ==== Dateien für Radiusserver ==== | + | ==== Dateien für den Radiusserver ==== |
* ca.crt: Das Certificate-Authority Zertifikat | * ca.crt: Das Certificate-Authority Zertifikat | ||
* freeradius.key: | * freeradius.key: | ||
Zeile 105: | Zeile 177: | ||
* dh1024.pem: [[http:// | * dh1024.pem: [[http:// | ||
+ | Diese Dateien werden unter "/ | ||
+ | |||
+ | ==== Dateien für den Client ==== | ||
+ | * ca.crt: Das Certificate-Authority Zertifikat | ||
+ | * client01.key: | ||
+ | * client01.crt: | ||
+ | |||
+ | Im Falle einer PKCS12 Datei, muss nur diese verteilt werden. | ||
+ | |||
+ | ===== Accesspoints ===== | ||
+ | Nach dem Installieren von OpenWRT muss noch das Paket " | ||
+ | |||
+ | <code bash> | ||
+ | opkg update | ||
+ | opkg remove wpad-mini | ||
+ | opkg install wpad | ||
+ | </ | ||
+ | |||
+ | ==== / | ||
+ | <code bash> | ||
+ | |||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | |||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | |||
+ | #VLAN ID 4 shall be the guestnet | ||
+ | #VLAN is tagged for CPU (@5) and WAN Port (@0) | ||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | |||
+ | #VLAN ID 5 shall be the homenet | ||
+ | #VLAN is tagged for CPU (@5) and WAN Port (@0) | ||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | | ||
+ | #IP config for homenet | ||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | |||
+ | #IP config for guestnet | ||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | </ | ||
+ | |||
+ | ==== / | ||
+ | <code bash> | ||
+ | ... | ||
+ | |||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | |||
+ | config ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | option ' | ||
+ | </ | ||
+ | |||
+ | **HINWEISE: | ||
+ | * Der Radiusserver ist unter der IP 10.0.3.1 zu erreichen. | ||
+ | * Der gemeinsame Schlüssel zwischen Radiusserver und Client ist " | ||
+ | * Der NAS-Identifier für das " | ||
+ | |||
+ | ==== wpa_supplicant ==== | ||
+ | |||
+ | === / | ||
+ | <code bash> | ||
+ | ... | ||
+ | auto wlan0 | ||
+ | allow-hotplug wlan0 | ||
+ | iface wlan0 inet dhcp | ||
+ | wpa-driver wext | ||
+ | wpa-conf / | ||
+ | ... | ||
+ | </ | ||
+ | === EAP-TLS === | ||
+ | |||
+ | <code bash> | ||
+ | ctrl_interface=DIR=/ | ||
+ | update_config=1 | ||
+ | country=DE | ||
+ | fast_reauth=1 | ||
+ | p2p_disabled=1 | ||
+ | |||
+ | network={ | ||
+ | ssid="< | ||
+ | eap=TLS | ||
+ | key_mgmt=WPA-EAP | ||
+ | pairwise=CCMP TKIP | ||
+ | proto=RSN | ||
+ | group=CCMP TKIP | ||
+ | identity="< | ||
+ | ca_cert="/ | ||
+ | client_cert="/ | ||
+ | private_key="/ | ||
+ | private_key_passwd="< | ||
+ | |||
+ | } | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | ====== Links ====== | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||