11.8. 使用 nmcli 在现有配置文件中配置具有 802.1X 网络身份验证的 wifi 连接

使用 nmcli 工具,您可以将客户端配置为向网络进行身份验证。例如,您可以在名为 wlp1s0 的 NetworkManager wifi 连接配置文件中使用 Microsoft Challenge-Handshake Authentication Protocol 版本 2 (MSCHAPv2)配置 Protected Extensible Authentication Protocol(PEAP)身份验证。

先决条件

  • 网络必须具有 802.1X 网络身份验证。
  • Wi-Fi 连接配置集存在于 NetworkManager 中,且具有有效的 IP 配置。
  • 如果需要客户端验证验证方的证书,则证书颁发机构(CA)证书必须存储在 /etc/pki/ca-trust/source/anchors/ 目录中。
  • wpa_supplicant 软件包已安装。

流程

  1. 将 Wi-Fi 安全模式设为 wpa-eap、将可扩展验证协议(EAP)设为 peap,将内部验证协议设为 mschapv2,和用户名:

    # nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    请注意,您必须在单个命令中设置 wireless-security.key-mgmt802-1x.eap802-1x.phase2-auth802-1x.identity 参数。

  2. 另外,还可将该密码存储在配置中:

    # nmcli connection modify wlp1s0 802-1x.password password
    重要

    默认情况下,NetworkManager 将密码以纯文本形式存储在 /etc/sysconfig/network-scripts/keys-connection_name 文件中,该文件只对 root 用户可读。但是,配置文件中的纯文本密码可能会造成安全风险。

    要提高安全性,请将 802-1x.password-flags 参数设为 0x1。有了这个设置,在具有 GNOME 桌面环境或运行 nm-applet 的服务器上,NetworkManager 从这些服务中检索密码。在其他情况下,NetworkManager 会提示输入密码。

  3. 如果客户端需要验证验证方的证书,请将连接配置文件中的 802-1x.ca-cert 参数设置为 CA 证书的路径:

    # nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    注意

    为了安全起见,红帽建议使用验证方的证书,使客户端能够验证验证方的身份。

  4. 激活连接配置集:

    # nmcli connection up wlp1s0

验证

  • 访问需要网络身份验证的网络上的资源。

其他资源