Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 17. Autenticação de um cliente RHEL para a rede usando a norma 802.1X

Os administradores freqüentemente usam o Controle de Acesso à Rede (NAC) baseado no padrão IEEE 802.1X para proteger uma rede contra clientes LAN e Wi-Fi não autorizados. Os procedimentos nesta seção descrevem diferentes opções para configurar a autenticação da rede.

17.1. Configuração da autenticação de rede 802.1X em uma conexão Ethernet existente usando nmcli

Usando o utilitário nmcli, é possível configurar o cliente para se autenticar na rede. Este procedimento descreve como configurar a autenticação do Protocolo de Autenticação Extensível Protegida (PEAP) com o Microsoft Challenge-Handshake Authentication Protocol versão 2 (MSCHAPv2) em um perfil de conexão Ethernet NetworkManager existente chamado enp1s0.

Pré-requisitos

  1. A rede deve ter uma autenticação de rede 802.1X.
  2. O perfil de conexão Ethernet existe no NetworkManager e tem uma configuração IP válida.
  3. Se o cliente for obrigado a verificar o certificado do autenticador, o certificado da Autoridade Certificadora (CA) deve ser armazenado no diretório /etc/pki/ca-trust/source/anchors/.
  4. O pacote wpa_supplicant está instalado.

Procedimento

  1. Defina o Protocolo de Autenticação Extensível (EAP) para peap, o protocolo de autenticação interna para mschapv2, e o nome do usuário:

    # nmcli connection modify enp1s0 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    Observe que você deve definir os parâmetros 802-1x.eap, 802-1x.phase2-auth, e 802-1x.identity em um único comando.

  2. Opcionalmente, armazenar a senha na configuração:

    # nmcli connection modify enp1s0 802-1x.password password
    Importante

    Por padrão, o NetworkManager armazena a senha em texto claro no /etc/sysconfig/network-scripts/keys-connection_name que só pode ser lido pelo usuário do root. Entretanto, senhas de texto claras em um arquivo de configuração podem ser um risco de segurança.

    Para aumentar a segurança, defina o parâmetro 802-1x.password-flags para 0x1. Com esta configuração, em servidores com o ambiente desktop GNOME ou o nm-applet em execução, o NetworkManager recupera a senha destes serviços. Em outros casos, o NetworkManager solicita a senha.

  3. Se o cliente for obrigado a verificar o certificado do autenticador, defina o parâmetro 802-1x.ca-cert no perfil de conexão para o caminho do certificado da CA:

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    Nota

    Por razões de segurança, a Red Hat recomenda o uso do certificado do autenticador para permitir que os clientes validem a identidade do autenticador.

  4. Ativar o perfil de conexão:

    # nmcli connection up enp1s0

Etapas de verificação

  • Acessar recursos na rede que requerem autenticação da rede.

Recursos adicionais

  • Para detalhes sobre como adicionar um perfil de conexão NetworkManager Ethernet, veja Capítulo 8, Configuração de uma conexão Ethernet.
  • Para mais parâmetros relacionados a 802.1X e suas descrições, consulte a seção 802-1x settings na página de manual nm-settings(5).
  • Para mais detalhes sobre a utilidade nmcli, consulte a página de manual nmcli(1).