Сертификат 802.1х на Debian

ruslan17 · 12 ноября 2015, 08:32:44

Нужна помощь, - остался без сети.
У нас на предприятии на все виндовые машины установили сертификат безопасности для работы в сети, и они работают в сети.
Я под linux-ом, - сети нет. Есть варианты мне установить сертификат 802.1х на debian8? Как?

Malaheenee · 12 ноября 2015, 14:55:59

Дык, указать в настройках подключения. Чем подключаетесь?

ruslan17 · 12 ноября 2015, 18:35:00

Цитата: Malaheenee от 12 ноября 2015, 14:55:59Дык, указать в настройках подключения. Чем подключаетесь?

eth1, если Вы об этом.

Malaheenee · 13 ноября 2015, 03:44:44

Нет. /etc/network/interfaces, systemd-networkd, NetworkManager?

ruslan17 · 13 ноября 2015, 08:32:32

Цитата: Malaheenee от 13 ноября 2015, 03:44:44/etc/network/interfaces

Вот этим.

Malaheenee · 13 ноября 2015, 14:19:07

Мы можем только догадываться о конфигурации Вашей сети, нов общем случае:

Код Выделить

auto wlan0
iface wlan0 inet dhcp
wireless-mode Managed
wpa-ssid ***COOL_SSID***
wpa-ap-scan 1
wpa-proto RSN WPA
wpa-pairwise CCMP TKIP
wpa-group CCMP TKIP
wpa-key-mgmt WPA-EAP
wpa-eap PEAP
wpa-identity ***LOGIN***
wpa-password ***PASSWORD***
wpa-phase1 fast_provisioning=1
wpa-pac-file /path/to/certificate-file/cool.cer

ruslan17 · 16 ноября 2015, 13:58:16

Цитата: Malaheenee от 13 ноября 2015, 14:19:07Мы можем только догадываться о конфигурации Вашей сети, нов общем случае:

А что нужно знать?
Авторизация происходит с помощью сверки сертификатов.
У меня есть файлик сертификата host.p12 запароленный. Пароль есть.
Пытаюсь настроить через wpa_supplicant.

Вот конфиг:

Код Выделить

network={
    ssid="work"
    key_mgmt=IEEE8021X
    eap=TLS
    identity="host"
    private_key="/etc/ca-certificates/file.p12"
    private_key_passwd="password"
    eapol_flags=3
}

Авторизация проходит, но не передается параметр "common name" из сертификата, поэтому я не могу получить IP-адрес по DHCP.

Приведенное выше решение может решить вопрос?
Или подскажите что не правильно в конфиге wpa_supplicant.

Malaheenee · 16 ноября 2015, 14:27:43

Оба способа - одно и то же, только прописаны в разных местах. Даавайте вывод после попытки подключения:

Код Выделить

# grep wpa /var/log/syslog
# grep dhc /var/log/syslog

ruslan17 · 16 ноября 2015, 15:39:29

Цитата: Malaheenee от 16 ноября 2015, 14:27:43Даавайте вывод после попытки подключения:

В syslog-e записей не появляется.

После ввода # wpa_supplicant -c wpa_supplicant.conf -D wired -i eth1

Код Выделить

Successfully initialized wpa_supplicant
eth1: Associated with 01:80:02:00:00:03
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius Root'
eth1: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
eth1: CTRL-EVENT-CONNECTED - Connection to 01:80:02:00:00:03 completed [id=0 id_str=]

После ввода # ifdown eth1 и # ifup eth1

Код Выделить

Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth1/00:04:23:00:13:52
Sending on   LPF/eth1/00:04:23:00:13:52
Sending on   Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 10
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 18
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
No DHCPOFFERS received.
No working leases in persistent database - sleeping.

Malaheenee · 17 ноября 2015, 14:41:55

[ot]Подскажут решение ни unixforum - не забудьте его здесь выложить. И наоборот

[/ot]
У вас не указан еще и корневой сертификат:

Код Выделить

ca_cert="/etc/cert/ca.pem"
client_cert="/etc/cert/user.pem"
private_key="/etc/cert/user.prv"
private_key_passwd="password"

Плюс identitt должно быть вида user@example.com

Cообщение объединено 17 ноября 2015, 14:43:19

Кроме того, согласно ману:

ЦитироватьCERTIFICATES
Some EAP authentication methods require use of certificates. EAP-TLS uses both server side and
client certificates whereas EAP-PEAP and EAP-TTLS only require the server side certificate.
When client certificate is used, a matching private key file has to also be included in config‐
uration. If the private key uses a passphrase, this has to be configured in wpa_supplicant.conf
("private_key_passwd").

wpa_supplicant supports X.509 certificates in PEM and DER formats. User certificate and private
key can be included in the same file.

If the user certificate and private key is received in PKCS#12/PFX format, they need to be con‐
verted to suitable PEM/DER format for wpa_supplicant. This can be done, e.g., with following
commands:

# convert client certificate and private key to PEM format
openssl pkcs12 -in example.pfx -out user.pem -clcerts
# convert CA certificate (if included in PFX file) to PEM format
openssl pkcs12 -in example.pfx -out ca.pem -cacerts -nokeys

ruslan17 · 17 ноября 2015, 15:43:26

Цитата: Malaheenee от 17 ноября 2015, 14:41:55
У вас не указан еще и корневой сертификат:

А где-ж его взять? Других сертификатов не дают.

Цитата: Malaheenee от 17 ноября 2015, 14:41:55
Плюс identitt должно быть вида user@example.com

Я так понял - не обязательно. Вот здесь: http://www.cs.upc.edu/lclsi/Manuales/wireless/files/wpa_supplicant.conf всякие бывают.
Кроме того наш админ говорит что ни параметр identity, ни SSID - не нужны вовсе.

Цитата: Malaheenee от 17 ноября 2015, 14:41:55Cообщение объединено Сегодня в 14:43:19Кроме того, согласно ману:

Видел конфиги и с .р12, т.е. должно работать.
А конвертировать пробовал, но результат хуже чем с р12, - какая-то ошибка, уже не помню.