Red Hat Training

A Red Hat training course is available for RHEL 8

17.3. Configuração da autenticação da rede 802.1X em uma conexão Wi-Fi existente usando nmcli

Usando o utilitário nmcli, é possível configurar o cliente para se autenticar na rede. Este procedimento descreve como configurar a autenticação do Protocolo de Autenticação Extensível Protegida (PEAP) com o Microsoft Challenge-Handshake Authentication Protocol versão 2 (MSCHAPv2) em um perfil de conexão Wi-Fi NetworkManager existente chamado wlp1s0.

Pré-requisitos

  1. A rede deve ter uma autenticação de rede 802.1X.
  2. O perfil de conexão Wi-Fi existe no NetworkManager e tem uma configuração IP válida.
  3. Se o cliente for obrigado a verificar o certificado do autenticador, o certificado da Autoridade Certificadora (CA) deve ser armazenado no diretório /etc/pki/ca-trust/source/anchors/.
  4. O pacote wpa_supplicant está instalado.

Procedimento

  1. Configurar o modo de segurança Wi-Fi para wpa-eap, o Protocolo de Autenticação Extensível (EAP) para peap, o protocolo de autenticação interna para mschapv2, e o nome do usuário:

    # nmcli connection modify wpl1s0 802-11-wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    Observe que você deve definir os parâmetros 802-11-wireless-security.key-mgmt, 802-1x.eap, 802-1x.phase2-auth, e 802-1x.identity em um único comando.

  2. Opcionalmente, armazenar a senha na configuração:

    # nmcli connection modify wpl1s0 802-1x.password password
    Importante

    Por padrão, o NetworkManager armazena a senha em texto claro no /etc/sysconfig/network-scripts/keys-connection_name que só pode ser lido pelo usuário do root. Entretanto, senhas de texto claras em um arquivo de configuração podem ser um risco de segurança.

    Para aumentar a segurança, defina o parâmetro 802-1x.password-flags para 0x1. Com esta configuração, em servidores com o ambiente desktop GNOME ou o nm-applet em execução, o NetworkManager recupera a senha destes serviços. Em outros casos, o NetworkManager solicita a senha.

  3. Se o cliente for obrigado a verificar o certificado do autenticador, defina o parâmetro 802-1x.ca-cert no perfil de conexão para o caminho do certificado da CA:

    # nmcli connection modify wpl1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    Nota

    Por razões de segurança, a Red Hat recomenda o uso do certificado do autenticador para permitir que os clientes validem a identidade do autenticador.

  4. Ativar o perfil de conexão:

    # nmcli connection up wpl1s0

Etapas de verificação

  • Acessar recursos na rede que requerem autenticação da rede.

Recursos adicionais

  • Para detalhes sobre como adicionar um perfil de conexão NetworkManager Ethernet, veja Capítulo 9, Gerenciando conexões Wi-Fi.
  • Para mais parâmetros relacionados a 802.1X e suas descrições, consulte a seção 802-1x settings na página de manual nm-settings(5).
  • Para mais detalhes sobre a utilidade nmcli, consulte a página de manual nmcli(1).