Сертификат 802.1х на Debian

Автор ruslan17, 12 ноября 2015, 08:32:44

« назад - далее »

0 Пользователи и 4 гостей просматривают эту тему.

ruslan17

Нужна помощь, - остался без сети.
У нас на предприятии на все виндовые машины установили сертификат безопасности для работы в сети, и они работают в сети.
Я под linux-ом, - сети нет. Есть варианты мне установить сертификат 802.1х на debian8? Как?

Malaheenee

Дык, указать в настройках подключения. Чем подключаетесь?
Все мы где-то, когда-то и в чем-то были новичками.

ruslan17

Цитата: Malaheenee от 12 ноября 2015, 14:55:59Дык, указать в настройках подключения. Чем подключаетесь?

eth1, если Вы об этом.

Malaheenee

Нет. /etc/network/interfaces, systemd-networkd, NetworkManager?
Все мы где-то, когда-то и в чем-то были новичками.

ruslan17


Malaheenee

Мы можем только догадываться о конфигурации Вашей сети, нов  общем случае:
auto wlan0
iface wlan0 inet dhcp
wireless-mode Managed
wpa-ssid ***COOL_SSID***
wpa-ap-scan 1
wpa-proto RSN WPA
wpa-pairwise CCMP TKIP
wpa-group CCMP TKIP
wpa-key-mgmt WPA-EAP
wpa-eap PEAP
wpa-identity ***LOGIN***
wpa-password ***PASSWORD***
wpa-phase1 fast_provisioning=1
wpa-pac-file /path/to/certificate-file/cool.cer
Все мы где-то, когда-то и в чем-то были новичками.

ruslan17

Цитата: Malaheenee от 13 ноября 2015, 14:19:07Мы можем только догадываться о конфигурации Вашей сети, нов  общем случае:

А что нужно знать?
Авторизация происходит с помощью сверки сертификатов.
У меня есть файлик сертификата host.p12 запароленный. Пароль есть.
Пытаюсь настроить через wpa_supplicant.

Вот конфиг:
network={
    ssid="work"
    key_mgmt=IEEE8021X
    eap=TLS
    identity="host"
    private_key="/etc/ca-certificates/file.p12"
    private_key_passwd="password"
    eapol_flags=3
}


Авторизация проходит, но не передается параметр  "common name" из сертификата, поэтому я не могу получить IP-адрес по DHCP.

Приведенное выше решение может решить вопрос?
Или подскажите что не правильно в конфиге  wpa_supplicant.

Malaheenee

Оба способа - одно и то же, только прописаны в разных местах. Даавайте вывод после попытки подключения:
# grep wpa /var/log/syslog
# grep dhc /var/log/syslog
Все мы где-то, когда-то и в чем-то были новичками.

ruslan17

Цитата: Malaheenee от 16 ноября 2015, 14:27:43Даавайте вывод после попытки подключения:

В syslog-e записей не появляется.

После ввода # wpa_supplicant -c wpa_supplicant.conf -D wired -i eth1
Successfully initialized wpa_supplicant
eth1: Associated with 01:80:02:00:00:03
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius Root'
eth1: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
eth1: CTRL-EVENT-CONNECTED - Connection to 01:80:02:00:00:03 completed [id=0 id_str=]


После ввода # ifdown eth1 и # ifup eth1
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth1/00:04:23:00:13:52
Sending on   LPF/eth1/00:04:23:00:13:52
Sending on   Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 10
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 18
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
No DHCPOFFERS received.
No working leases in persistent database - sleeping.

Malaheenee

[ot]Подскажут решение ни unixforum - не забудьте его здесь выложить. И наоборот :)[/ot]
У вас не указан еще и корневой сертификат:
ca_cert="/etc/cert/ca.pem"
client_cert="/etc/cert/user.pem"
private_key="/etc/cert/user.prv"
private_key_passwd="password"

Плюс identitt должно быть вида user@example.com

Cообщение объединено 17 ноября 2015, 14:43:19

Кроме того, согласно ману:
ЦитироватьCERTIFICATES
       Some EAP authentication methods require use of certificates. EAP-TLS uses both server side  and
       client  certificates  whereas  EAP-PEAP  and EAP-TTLS only require the server side certificate.
       When client certificate is used, a matching private key file has to also be included in config‐
       uration. If the private key uses a passphrase, this has to be configured in wpa_supplicant.conf
       ("private_key_passwd").

       wpa_supplicant supports X.509 certificates in PEM and DER formats. User certificate and private
       key can be included in the same file.

       If the user certificate and private key is received in PKCS#12/PFX format, they need to be con‐
       verted to suitable PEM/DER format for wpa_supplicant. This can be done,  e.g.,  with  following
       commands:

              # convert client certificate and private key to PEM format
              openssl pkcs12 -in example.pfx -out user.pem -clcerts
              # convert CA certificate (if included in PFX file) to PEM format
              openssl pkcs12 -in example.pfx -out ca.pem -cacerts -nokeys
Все мы где-то, когда-то и в чем-то были новичками.

ruslan17

Цитата: Malaheenee от 17 ноября 2015, 14:41:55
У вас не указан еще и корневой сертификат:
А где-ж его взять? Других сертификатов не дают.

Цитата: Malaheenee от 17 ноября 2015, 14:41:55
Плюс identitt должно быть вида user@example.com
Я так понял - не обязательно. Вот здесь: http://www.cs.upc.edu/lclsi/Manuales/wireless/files/wpa_supplicant.conf всякие бывают.
Кроме того наш админ говорит что ни параметр identity, ни SSID - не нужны вовсе.

Цитата: Malaheenee от 17 ноября 2015, 14:41:55Cообщение объединено Сегодня в 14:43:19Кроме того, согласно ману:
Видел конфиги и с .р12, т.е. должно работать.
А конвертировать пробовал, но результат хуже чем с р12, - какая-то ошибка, уже не помню.