Red Hat Training

A Red Hat training course is available for RHEL 8

17.3. Configuración de la autenticación de red 802.1X en una conexión Wi-Fi existente mediante nmcli

Utilizando la utilidad nmcli, puede configurar el cliente para que se autentique en la red. Este procedimiento describe cómo configurar la autenticación del Protocolo de Autenticación Extensible Protegido (PEAP) con el Protocolo de Autenticación Microsoft Challenge-Handshake versión 2 (MSCHAPv2) en un perfil de conexión Wi-Fi existente de NetworkManager llamado wlp1s0.

Requisitos previos

  1. La red debe tener autenticación de red 802.1X.
  2. El perfil de conexión Wi-Fi existe en NetworkManager y tiene una configuración IP válida.
  3. Si el cliente debe verificar el certificado del autentificador, el certificado de la Autoridad de Certificación (CA) debe estar almacenado en el directorio /etc/pki/ca-trust/source/anchors/.
  4. El paquete wpa_supplicant está instalado.

Procedimiento

  1. Establezca el modo de seguridad Wi-Fi en wpa-eap, el protocolo de autenticación extensible (EAP) en peap, el protocolo de autenticación interna en mschapv2, y el nombre de usuario:

    # nmcli connection modify wpl1s0 802-11-wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    Tenga en cuenta que debe establecer los parámetros 802-11-wireless-security.key-mgmt, 802-1x.eap, 802-1x.phase2-auth, y 802-1x.identity en un solo comando.

  2. Opcionalmente, guarde la contraseña en la configuración:

    # nmcli connection modify wpl1s0 802-1x.password password
    Importante

    Por defecto, NetworkManager almacena la contraseña en texto claro en el archivo /etc/sysconfig/network-scripts/keys-connection_name que sólo puede leer el usuario de root. Sin embargo, las contraseñas en texto claro en un archivo de configuración pueden ser un riesgo para la seguridad.

    Para aumentar la seguridad, establezca el parámetro 802-1x.password-flags a 0x1. Con esta configuración, en los servidores con el entorno de escritorio GNOME o el nm-applet en ejecución, NetworkManager recupera la contraseña de estos servicios. En otros casos, NetworkManager solicita la contraseña.

  3. Si se requiere que el cliente verifique el certificado del autentificador, establezca el parámetro 802-1x.ca-cert en el perfil de conexión a la ruta del certificado de la CA:

    # nmcli connection modify wpl1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    Nota

    Por razones de seguridad, Red Hat recomienda utilizar el certificado del autentificador para permitir a los clientes validar la identidad del autentificador.

  4. Activar el perfil de conexión:

    # nmcli connection up wpl1s0

Pasos de verificación

  • Acceder a los recursos de la red que requieren autenticación de red.

Recursos adicionales

  • Para más detalles sobre cómo añadir un perfil de conexión Ethernet de NetworkManager, consulte Capítulo 9, Gestión de las conexiones Wi-Fi.
  • Para otros parámetros relacionados con 802.1X y sus descripciones, consulte la sección 802-1x settings en la página de manual nm-settings(5).
  • Para más detalles sobre la utilidad nmcli, consulte la página de manual nmcli(1).