NAC & Linux

8
  Autenticazione di acces so alla rete secondo lo s tandard IEEE 802.1x (NAC) nei sistemi Ubuntu Linux i Accesso mediante Network Manager Il metodo più semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo standard 802.1x nei sistemi Ubuntu è quello che prevede l'utilizzo di NetworkManager . Si tratta di un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e ad una serie di tool e plugin (dbus, udev , ModemManager, ifupdown ...) che lavorano dietro le quinte: sito web ufficiale del progetto http://projects.gnome.org/NetworkManager/ wiki ufficiale http://live.gnome.org/NetworkManager Ecco la semplice sequenza di operazioni richieste per accedere alla rete cablata mediante Network Manager su Ubuntu 11.04 “Natty Narwhal”:  Selezionate la voce "Modifica" e si aprirà la finestra Connessioni di Rete

Transcript of NAC & Linux

Page 1: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 1/8

 

 Autenticazione di accesso alla rete secondo lo standard IEEE 802.1x (NAC) nei sistemi Ubuntu Linux i 

Accesso mediante Network Manager 

Il metodo più semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo

standard 802.1x nei sistemi Ubuntu è quello che prevede l'utilizzo di NetworkManager. Si tratta di

un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni

Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e

ad una serie di tool e plugin (dbus, udev, ModemManager, ifupdown ...) che lavorano dietro le

quinte:

sito web ufficiale del progetto

http://projects.gnome.org/NetworkManager/

wiki ufficiale

http://live.gnome.org/NetworkManager 

Ecco la semplice sequenza di operazioni richieste per accedere alla rete cablata mediante Network 

Manager su Ubuntu 11.04 “Natty Narwhal”:

 

Selezionate la voce "Modifica" e siaprirà la finestra Connessioni di Rete

Page 2: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 2/8

 

 

 A questo punto il sistema potrebbechiedervi di inserire le credenziali di un

utente con priviliegi di amministratore

Si aprirà una nuova finestra che

consente di effettuare o modificare laconfigurazione della connessione di rete

 selezionata

Page 3: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 3/8

 

Selezionate la scheda "Sicurezza 802.1x" 

e configuratela come in questa

immagine (nei campi "Nome utente" e"Password" dovrete inserire le vostre

credenziali GIA, naturalmente)

Page 4: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 4/8

 

 La configurazione della connessione di

rete è terminata: cliccate su "Salva" echiudete la finestra Connessioni di Rete

Page 5: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 5/8

 

Accesso mediante wpa_supplicant (per utenti esperti)

 Normalmente, l'autenticazione via NetworkManager funziona senza problemi con il nostro sistema

di NAC ma è sempre possibile ricorrere alle procedure “legacy”. Per impostazione predefinita,

infatti, l'autenticazione 802.1x su reti wireless e cablate in Ubuntu si basa su wpa_supplicant:

“Linux WPA/WPA2/IEEE 802.1X Supplicant”

http://hostap.epitest.fi/wpa_supplicant/

Il daemon wpa_supplicant cerca i parametri di configurazione nel file /etc/wpa_supplicant.conf 

“wpa_supplicant - Wi-Fi Protected Access client and IEEE 802.1X supplicant” (da

Ubuntu Manuals)

http://tinyurl.com/6zwlpsa

Il front-end a linea di comando predefinito è wpa_cli

“wpa_cli - WPA command line client” (da Ubuntu Manuals)

http://tinyurl.com/5veyhmz

Il corrispondente front-end grafico (QT-based) è wpagui (non lo trovate pre-installato ma è

disponibile nei repository ufficiali):

“wpa_gui - WPA Graphical User Interface” (da Ubuntu Manuals)

http://tinyurl.com/69h39t3

Tra i supplicant di terze parti segnaliamo il progetto Open1xii con il suo XSupplicant (free e

disponibile per Windows e Linux nelle versioni a 32 e 64 bit):

“Open1x: free, open source 802.1X/WPA/WPA2/IEEE802.11i implementation”

http://open1x.sourceforge.net/

Segnaliamo, infine, una panoramicaiii delle soluzioni 802.1x di terze parti pubblicata sul sito

enterprisenetworkingplanet.com:

“Using Third-Party 802.1X Clients on Windows, Linux or Mac”

http://tinyurl.com/64hxdnd

How-to

Il seguente esempio di configurazione del file wpa_supplicant.conf è basato sugli appunti redatti da

Jouni Malinen:

http://hostap.epitest.fi/gitweb/gitweb.cgi?

http://tmp/Ubuntu%20utilizza%20di%20default%20wpa_supplicant%20per%20l'autenticazione%20sia%20su%20reti%20wireless%20che%20wired:%20%20%20%20Linux%20WPA/WPA2/IEEE%20802.1X%20Supplicant%20%20%20%20http://hostap.epitest.fi/wpa_supplicant/Il%20daemon%20wpa_supplicant%20in%20Ubuntu%20%C3%A8%20installato%20di%20default%20e%20cerca%20i%20parametri%20di%20configurazione%20nel%20file%20/etc/wpa_supplicant.conf%20%20%20%20wpa_supplicant%20%20%20-%20%20Wi-Fi%20%20Protected%20%20Access%20%20client%20%20and%20%20IEEE%20%20802.1X%20supplicant%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/6zwlpsaIl%20front-end%20a%20linea%20di%20comando%20%C3%A8%20wpa_cli%20%20%20%20wpa_cli%20-%20WPA%20command%20line%20client%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/5veyhmzIl%20front-end%20grafico%20(QT)%20%C3%A8%20wpagui%20(non%20pre-installato%20ma%20disponibile%20nei%20repo%20ufficiali):%20%20%20%20wpa_gui%20-%20WPA%20Graphical%20User%20Interface%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/69h39t3Ci%20sarebbe%20anche%20il%20progetto%20Open1x%20con%20il%20suo%20XSupplicant%20...%20free%20e%20disponibile%20per%20Win%20e%20Linux%20(32%20e%2064%20bit):%20%20%20%20Open1x:%20free,%20open%20source%20802.1X/WPA/WPA2/IEEE802.11i%20implementation%20%20%20%20http://open1x.sourceforge.net/So%20che%20lo%20sviluppo%20%C3%A8%20sponsorizzato%20da%20OpenSEA%20Alliance%20(Nortel,%20Symantec,%20TippingPoint,%20...%20)%20ma%20non%20mi%20sembra%20particolarmente%20attivo%20...Infine,%20segnalo%20una%20bella%20panoramica%20delle%20soluzioni%20802.1x%20di%20terze%20parti%20su%20enterprisenetworkingplanet.com:%20%20%20%20Using%20Third-Party%20802.1X%20Clients%20on%20Windows,%20Linux%20or%20Mac%20%20%20%20http://tinyurl.com/64hxdndNell'articolo%20si%20cita%20anche%20XpressConnect%20di%20Cloudpath%20Networks,%20una%20soluzione%20di%20provisioning%20della%20configurazione%20802.1x%20nelle%20reti%20aziendali:%3E%20XpressConnect%20from%20Cloudpath%20Networks%20isn't%20an%20802.1X%20supplicant,%20but%20enhances%20the%20built-in%20clients%20of%20operating%20systems.%20It%20helps%20configure%20and%20distribute%20the%20802.1X%20authentication%20settings%20among%20Windows,%20Mac%20OS%20X,%20Ubuntu,%20and%20handheld%20devices,%20including%20iPhone.%20It%20even%20helps%20you%20manage%20the%20firewall%20settings,%20Windows%20Automatic%20Updates,%20and%20the%20deployment%20of%20hotfixes.%3E%3E%20XpressConnect%20uses%20unique%20techniques%20to%20provision%20the%20configuration,%20which%20includes%20using%20an%20open%20SSID,%20a%20CD,%20a%20USB%20flash%20drive,%20or%20Group%20Policy%20(GPO).%20It%20will%20create%20the%20wireless%20profile,%20resolve%20third-party%20wireless%20utility%20conflicts,%20and%20configure%20the%20802.1X%20supplicant.%20It's%20wizard-based%20and%20easily%20guides%20the%20user%20through%20the%20802.1X%20process.Ho%20notato%20che%20XpressConnect%20e%20Open1x%20sono%20frequentemente%20usati%20nei%20campus%20americani%20e%20inglesi%20che%20aderiscono%20a%20EDUROAM%20...
http://tmp/Ubuntu%20utilizza%20di%20default%20wpa_supplicant%20per%20l'autenticazione%20sia%20su%20reti%20wireless%20che%20wired:%20%20%20%20Linux%20WPA/WPA2/IEEE%20802.1X%20Supplicant%20%20%20%20http://hostap.epitest.fi/wpa_supplicant/Il%20daemon%20wpa_supplicant%20in%20Ubuntu%20%C3%A8%20installato%20di%20default%20e%20cerca%20i%20parametri%20di%20configurazione%20nel%20file%20/etc/wpa_supplicant.conf%20%20%20%20wpa_supplicant%20%20%20-%20%20Wi-Fi%20%20Protected%20%20Access%20%20client%20%20and%20%20IEEE%20%20802.1X%20supplicant%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/6zwlpsaIl%20front-end%20a%20linea%20di%20comando%20%C3%A8%20wpa_cli%20%20%20%20wpa_cli%20-%20WPA%20command%20line%20client%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/5veyhmzIl%20front-end%20grafico%20(QT)%20%C3%A8%20wpagui%20(non%20pre-installato%20ma%20disponibile%20nei%20repo%20ufficiali):%20%20%20%20wpa_gui%20-%20WPA%20Graphical%20User%20Interface%20(Ubuntu%20Manuals)%20%20%20%20http://tinyurl.com/69h39t3Ci%20sarebbe%20anche%20il%20progetto%20Open1x%20con%20il%20suo%20XSupplicant%20...%20free%20e%20disponibile%20per%20Win%20e%20Linux%20(32%20e%2064%20bit):%20%20%20%20Open1x:%20free,%20open%20source%20802.1X/WPA/WPA2/IEEE802.11i%20implementation%20%20%20%20http://open1x.sourceforge.net/So%20che%20lo%20sviluppo%20%C3%A8%20sponsorizzato%20da%20OpenSEA%20Alliance%20(Nortel,%20Symantec,%20TippingPoint,%20...%20)%20ma%20non%20mi%20sembra%20particolarmente%20attivo%20...Infine,%20segnalo%20una%20bella%20panoramica%20delle%20soluzioni%20802.1x%20di%20terze%20parti%20su%20enterprisenetworkingplanet.com:%20%20%20%20Using%20Third-Party%20802.1X%20Clients%20on%20Windows,%20Linux%20or%20Mac%20%20%20%20http://tinyurl.com/64hxdndNell'articolo%20si%20cita%20anche%20XpressConnect%20di%20Cloudpath%20Networks,%20una%20soluzione%20di%20provisioning%20della%20configurazione%20802.1x%20nelle%20reti%20aziendali:%3E%20XpressConnect%20from%20Cloudpath%20Networks%20isn't%20an%20802.1X%20supplicant,%20but%20enhances%20the%20built-in%20clients%20of%20operating%20systems.%20It%20helps%20configure%20and%20distribute%20the%20802.1X%20authentication%20settings%20among%20Windows,%20Mac%20OS%20X,%20Ubuntu,%20and%20handheld%20devices,%20including%20iPhone.%20It%20even%20helps%20you%20manage%20the%20firewall%20settings,%20Windows%20Automatic%20Updates,%20and%20the%20deployment%20of%20hotfixes.%3E%3E%20XpressConnect%20uses%20unique%20techniques%20to%20provision%20the%20configuration,%20which%20includes%20using%20an%20open%20SSID,%20a%20CD,%20a%20USB%20flash%20drive,%20or%20Group%20Policy%20(GPO).%20It%20will%20create%20the%20wireless%20profile,%20resolve%20third-party%20wireless%20utility%20conflicts,%20and%20configure%20the%20802.1X%20supplicant.%20It's%20wizard-based%20and%20easily%20guides%20the%20user%20through%20the%20802.1X%20process.Ho%20notato%20che%20XpressConnect%20e%20Open1x%20sono%20frequentemente%20usati%20nei%20campus%20americani%20e%20inglesi%20che%20aderiscono%20a%20EDUROAM%20...
Page 6: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 6/8

 

 p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf 

--

Per modificare il file wpa_supplicant.conf (l'ipotesi è quella di effettuare l'autenticazione 802.1x su

rete cablata) dovete digitare:

sudo gedit /etc/wpa_supplicant.conf 

e compilarlo secondo l'esempio seguente:

# Where is the control interface located? This is the default path:

ctrl_interface=/var/run/wpa_supplicant

# Who can use the WPA frontend? Replace "0" with a group name if you

# want other users besides root to control it.

# There should be no need to chance this value for a basic configuration:

ctrl_interface_group=4# 4 è l'ID del gruppo ADM, 115 del gruppo ADMIN, 0 è ROOT ...

# When configuring WPA-Supplicant for use on a wired network, we don’t need to

# scan for wireless access points. See the wpa-supplicant documentation if 

# you are authenticating through 802.1x on a wireless network:

ap_scan=0

#Network access authentication through IEEE 802.1x

network={

key_mgmt=IEEE8021X

eap=PEAP

identity="nome utente GIA"

 password="password GIA"

ca_cert="/etc/ssl/certs/wifi.univr.it.cer"

 phase1="peapver=0"

 phase2="auth=MSCHAPV2"

eapol_flags=0

}

Cambiate quindi i permessi di /etc/wpa_supplicant/wpa_supplicant.conf (il valore 000 impedisce a

qualsiasi utente di poter effettuare operazioni di lettura o scrittura):

chmod 000 /etc/wpa_supplicant/wpa_supplicant.conf 

Per testare il processo di autenticazione 802.1x utilizzando il nuovo wpa_supplicant.conf digitate

sudo wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0

Se l'autenticazione ha avuto luogo correttamente, possiamo impostare l'esecuzione automatica del

supplicant a livello globale (in questo modo indichiamo al sistema che intendiamo utilizzare sempre

Page 7: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 7/8

 

l'autenticazione 802.1x). Digitate:

sudo gedit /etc/network/interfaces

ed editate il file di configurazione secondo quanto indicato nel seguente esempio:

# se vi siete sempre affidati a NetworkManager per gestire le connessioni cablate e wireless,

#dovreste vedere unicamente le seguenti due righe di configurazione (relative, ovviamente,

alla sola interfaccia di loopback)

auto lo

iface lo inet loopback 

# sostituire eventualmente “eth0” con la propria interfaccia Ethernet

auto eth0

iface eth0 inet dhcp

wpa-driver wired

# questa riga indica al sistema che intendiamo utilizzare WPA-Supplicant a livello globale

wpa-conf /etc/wpa_supplicant.conf 

Prima di salvare il nuovo file di configurazione è necessario stoppare i servizi di rete rete :

sudo /etc/init.d/networking stop

Una volta salvato il file etc/network/interfaces possiamo finalmente restartare i servizi di rete:

sudo /etc/init.d/networking start

e verificare che tutto funzioni correttamente.

(… resta da completare la parte relativa a NetworkManager)

Page 8: NAC & Linux

5/12/2018 NAC & Linux - slidepdf.com

http://slidepdf.com/reader/full/nac-linux 8/8

 

i Documentazione redatta in seguito a test effettuati su Ubuntu 10.010 “Maverick Meerkat” x86_64

ii Lo sviluppo è sponsorizzato da OpenSEA Alliance, un consorzio che comprende – tra gli altri - Nortel, Symantec e

TippingPoint.

iii Nell'articolo si cita anche XpressConnect di Cloudpath Networks, una soluzione commerciale per il provisioning

automatico della configurazione 802.1x nelle reti aziendali (Mac OS X, Ubuntu e Windows) utilizzata spesso nei

campus che aderiscono ad EDUROAM