Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 17. Autenticación de un cliente RHEL en la red mediante el estándar 802.1X
Los administradores utilizan con frecuencia el Control de Acceso a la Red (NAC) basado en el estándar IEEE 802.1X para proteger una red de clientes LAN y Wi-Fi no autorizados. Los procedimientos de esta sección describen diferentes opciones para configurar la autenticación de la red.
17.1. Configuración de la autenticación de red 802.1X en una conexión Ethernet existente mediante nmcli
Utilizando la utilidad nmcli
, puede configurar el cliente para que se autentique en la red. Este procedimiento describe cómo configurar la autenticación del Protocolo de Autenticación Extensible Protegido (PEAP) con el Protocolo de Autenticación Microsoft Challenge-Handshake versión 2 (MSCHAPv2) en un perfil de conexión Ethernet existente de NetworkManager llamado enp1s0
.
Requisitos previos
- La red debe tener autenticación de red 802.1X.
- El perfil de conexión Ethernet existe en NetworkManager y tiene una configuración IP válida.
-
Si el cliente debe verificar el certificado del autentificador, el certificado de la Autoridad de Certificación (CA) debe estar almacenado en el directorio
/etc/pki/ca-trust/source/anchors/
. -
El paquete
wpa_supplicant
está instalado.
Procedimiento
Establezca el Protocolo de Autenticación Extensible (EAP) en
peap
, el protocolo de autenticación interna enmschapv2
, y el nombre de usuario:#
nmcli connection modify enp1s0 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name
Tenga en cuenta que debe establecer los parámetros
802-1x.eap
,802-1x.phase2-auth
, y802-1x.identity
en un solo comando.Opcionalmente, guarde la contraseña en la configuración:
#
nmcli connection modify enp1s0 802-1x.password password
ImportantePor defecto, NetworkManager almacena la contraseña en texto claro en el archivo
/etc/sysconfig/network-scripts/keys-connection_name
que sólo puede leer el usuario deroot
. Sin embargo, las contraseñas en texto claro en un archivo de configuración pueden ser un riesgo para la seguridad.Para aumentar la seguridad, establezca el parámetro
802-1x.password-flags
a0x1
. Con esta configuración, en los servidores con el entorno de escritorio GNOME o elnm-applet
en ejecución, NetworkManager recupera la contraseña de estos servicios. En otros casos, NetworkManager solicita la contraseña.Si se requiere que el cliente verifique el certificado del autentificador, establezca el parámetro
802-1x.ca-cert
en el perfil de conexión a la ruta del certificado de la CA:#
nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
NotaPor razones de seguridad, Red Hat recomienda utilizar el certificado del autentificador para permitir a los clientes validar la identidad del autentificador.
Activar el perfil de conexión:
#
nmcli connection up enp1s0
Pasos de verificación
- Acceder a los recursos de la red que requieren autenticación de red.
Recursos adicionales
- Para más detalles sobre cómo añadir un perfil de conexión Ethernet de NetworkManager, consulte Capítulo 8, Configurar una conexión Ethernet.
-
Para otros parámetros relacionados con 802.1X y sus descripciones, consulte la sección
802-1x settings
en la página de manualnm-settings(5)
. -
Para más detalles sobre la utilidad
nmcli
, consulte la página de manualnmcli(1)
.