Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 17. Autenticación de un cliente RHEL en la red mediante el estándar 802.1X

Los administradores utilizan con frecuencia el Control de Acceso a la Red (NAC) basado en el estándar IEEE 802.1X para proteger una red de clientes LAN y Wi-Fi no autorizados. Los procedimientos de esta sección describen diferentes opciones para configurar la autenticación de la red.

17.1. Configuración de la autenticación de red 802.1X en una conexión Ethernet existente mediante nmcli

Utilizando la utilidad nmcli, puede configurar el cliente para que se autentique en la red. Este procedimiento describe cómo configurar la autenticación del Protocolo de Autenticación Extensible Protegido (PEAP) con el Protocolo de Autenticación Microsoft Challenge-Handshake versión 2 (MSCHAPv2) en un perfil de conexión Ethernet existente de NetworkManager llamado enp1s0.

Requisitos previos

  1. La red debe tener autenticación de red 802.1X.
  2. El perfil de conexión Ethernet existe en NetworkManager y tiene una configuración IP válida.
  3. Si el cliente debe verificar el certificado del autentificador, el certificado de la Autoridad de Certificación (CA) debe estar almacenado en el directorio /etc/pki/ca-trust/source/anchors/.
  4. El paquete wpa_supplicant está instalado.

Procedimiento

  1. Establezca el Protocolo de Autenticación Extensible (EAP) en peap, el protocolo de autenticación interna en mschapv2, y el nombre de usuario: 

    # nmcli connection modify enp1s0 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    Tenga en cuenta que debe establecer los parámetros 802-1x.eap, 802-1x.phase2-auth, y 802-1x.identity en un solo comando.

  2. Opcionalmente, guarde la contraseña en la configuración: 

    # nmcli connection modify enp1s0 802-1x.password password
    Importante

    Por defecto, NetworkManager almacena la contraseña en texto claro en el archivo /etc/sysconfig/network-scripts/keys-connection_name que sólo puede leer el usuario de root. Sin embargo, las contraseñas en texto claro en un archivo de configuración pueden ser un riesgo para la seguridad.

    Para aumentar la seguridad, establezca el parámetro 802-1x.password-flags a 0x1. Con esta configuración, en los servidores con el entorno de escritorio GNOME o el nm-applet en ejecución, NetworkManager recupera la contraseña de estos servicios. En otros casos, NetworkManager solicita la contraseña.

  3. Si se requiere que el cliente verifique el certificado del autentificador, establezca el parámetro 802-1x.ca-cert en el perfil de conexión a la ruta del certificado de la CA: 

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    Nota

    Por razones de seguridad, Red Hat recomienda utilizar el certificado del autentificador para permitir a los clientes validar la identidad del autentificador.

  4. Activar el perfil de conexión: 

    # nmcli connection up enp1s0

Pasos de verificación

  • Acceder a los recursos de la red que requieren autenticación de red.

Recursos adicionales

  • Para más detalles sobre cómo añadir un perfil de conexión Ethernet de NetworkManager, consulte Capítulo 8, Configurar una conexión Ethernet.
  • Para otros parámetros relacionados con 802.1X y sus descripciones, consulte la sección 802-1x settings en la página de manual nm-settings(5).
  • Para más detalles sobre la utilidad nmcli, consulte la página de manual nmcli(1).