Red Hat Training

A Red Hat training course is available for RHEL 8

3.8. 使用 nmcli 在现有 Wi-Fi 连接中配置 802.1X 网络身份验证

使用 nmcli 工具,您可以将客户端配置为向网络进行身份验证。例如,您可以在名为 wlp1s0 的 NetworkManager wifi 连接配置文件中使用 Microsoft Challenge-Handshake Authentication Protocol 版本 2 (MSCHAPv2)配置保护扩展验证协议(PEAP)身份验证。

前提条件

  1. 网络必须具有 802.1X 网络身份验证。
  2. Wi-Fi 连接配置集存在于 NetworkManager 中,且具有有效的 IP 配置。
  3. 如果需要客户端验证验证方的证书,则证书颁发机构(CA)证书必须存储在 /etc/pki/ca-trust/source/anchors/ 目录中。
  4. wpa_supplicant 软件包已安装。

流程

  1. 将 Wi-Fi 安全模式设为 wpa-eap、将可扩展验证协议(EAP)设为 peap,将内部验证协议设为 mschapv2,和用户名:

    # nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    请注意,您必须在单个命令中设置 wireless-security.key-mgmt802-1x.eap802-1x.phase2-auth802-1x.identity 参数。

  2. 另外,还可将该密码存储在配置中:

    # nmcli connection modify wlp1s0 802-1x.password password
    重要

    默认情况下,NetworkManager 在 /etc/sysconfig/network-scripts/keys-connection_name 文件中以明文形式保存密码,该文件只对 root 用户可读。但是,在配置文件中清除文本密码会有安全隐患。

    要提高安全性,请将 802-1x.password-flags 参数设为 0x1。有了这个设置,在具有 GNOME 桌面环境或运行 nm-applet 的服务器上,NetworkManager 从这些服务中检索密码。在其他情况下,NetworkManager 会提示输入密码。

  3. 如果需要客户端验证验证方的证书,请将连接配置文件中的 802-1x.ca-cert 参数设为 CA 证书的路径:

    # nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    注意

    为了安全起见,红帽建议使用验证程序证书来使客户端能够验证验证器的身份。

  4. 激活连接配置集:

    # nmcli connection up wlp1s0

验证步骤

  • 访问需要网络身份验证的网络上的资源。

其他资源