Autenticazione di accesso alla rete secondo lo standard IEEE 802.1x (NAC) nei sistemi Ubuntu Linuxi

Introduzione

Il metodo più semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo standard 802.1x nei sistemi Ubuntu è quello che prevede l'utilizzo di NetworkManager. Si tratta di un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e ad una serie di tool e plugin (dbus, udev, ModemManager, ifupdown ...) che lavorano dietro le quinte:

sito web ufficiale del progettohttp://projects.gnome.org/NetworkManager/

wiki ufficialehttp://live.gnome.org/NetworkManager

Normalmente, l'autenticazione via NetworkManager funziona senza problemi ma è sempre possibile ricorrere alle procedure “legacy”. Per impostazione predefinita, infatti, l'autenticazione 802.1x su reti wireless e cablate in Ubuntu si basa su wpa_supplicant:

“Linux WPA/WPA2/IEEE 802.1X Supplicant”http://hostap.epitest.fi/wpa_supplicant/

Il daemon wpa_supplicant cerca i parametri di configurazione nel file /etc/wpa_supplicant.conf

“wpa_supplicant - Wi-Fi Protected Access client and IEEE 802.1X supplicant” (da Ubuntu Manuals)http://tinyurl.com/6zwlpsa

Il front-end a linea di comando predefinito è wpa_cli

“wpa_cli - WPA command line client” (da Ubuntu Manuals)http://tinyurl.com/5veyhmz

Il corrispondente front-end grafico (QT-based) è wpagui (non lo trovate pre-installato ma è disponibile nei repository ufficiali):

“wpa_gui - WPA Graphical User Interface” (da Ubuntu Manuals)http://tinyurl.com/69h39t3

Tra i supplicant di terze parti segnaliamo il progetto Open1xii con il suo XSupplicant (free e disponibile per Windows e Linux nelle versioni a 32 e 64 bit):

“Open1x: free, open source 802.1X/WPA/WPA2/IEEE802.11i implementation”http://open1x.sourceforge.net/

Segnaliamo, infine, una panoramicaiii delle soluzioni 802.1x di terze parti pubblicata sul sito enterprisenetworkingplanet.com:

“Using Third-Party 802.1X Clients on Windows, Linux or Mac”http://tinyurl.com/64hxdnd

How-to

Il seguente esempio di configurazione del file wpa_supplicant.conf è basato sugli appunti redatti da Jouni Malinen:

http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf

--

Per modificare il file wpa_supplicant.conf (l'ipotesi è quella di effettuare l'autenticazione 802.1x PEAP/MSCHAPv2 su rete cablata) dovete digitare:

sudo gedit /etc/wpa_supplicant.conf

e compilarlo secondo l'esempio seguente:

# Where is the control interface located? This is the default path: ctrl_interface=/var/run/wpa_supplicant

# Who can use the WPA frontend? Replace "0" with a group name if you # want other users besides root to control it. # There should be no need to chance this value for a basic configuration: ctrl_interface_group=0 # 4 è l'ID del gruppo ADM, 115 l'ID del gruppo ADMIN, 0 è ROOT ...

# When configuring WPA-Supplicant for use on a wired network, we don’t need to # scan for wireless access points. See the wpa-supplicant documentation if # you are authenticating through 802.1x on a wireless network: ap_scan=0

#Network access authentication through IEEE 802.1x network={ key_mgmt=IEEE8021X eap=PEAP identity="nome utente" password="password" ca_cert="/etc/ssl/certs/nomecertificato" phase1="peapver=0"

phase2="auth=MSCHAPV2" eapol_flags=0}

Cambiate quindi i permessi di /etc/wpa_supplicant/wpa_supplicant.conf (il valore 000 impedisce a qualsiasi utente di poter effettuare operazioni di lettura o scrittura):

chmod 000 /etc/wpa_supplicant/wpa_supplicant.conf

Per testare il processo di autenticazione 802.1x utilizzando il nuovo wpa_supplicant.conf digitate

sudo wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0

Se l'autenticazione ha avuto luogo correttamente, possiamo impostare l'esecuzione automatica del supplicant a livello globale (in questo modo indichiamo al sistema che intendiamo utilizzare sempre l'autenticazione 802.1x). Digitate:

sudo gedit /etc/network/interfaces

ed editate il file di configurazione secondo quanto indicato nel seguente esempio:

# se vi siete sempre affidati a NetworkManager per gestire le connessioni cablate e wireless,#dovreste vedere unicamente le seguenti due righe di configurazione (relative, ovviamente, alla sola interfaccia di loopback)auto loiface lo inet loopback

# sostituire eventualmente “eth0” con la propria interfaccia Ethernetauto eth0 iface eth0 inet dhcpwpa-driver wired

# questa riga indica al sistema che intendiamo utilizzare WPA-Supplicant a livello globalewpa-conf /etc/wpa_supplicant.conf

Prima di salvare il nuovo file di configurazione è necessario stoppare i servizi di rete rete :

sudo /etc/init.d/networking stop

Una volta salvato il file etc/network/interfaces possiamo finalmente restartare i servizi di rete:

sudo /etc/init.d/networking start

e verificare che tutto funzioni correttamente.

(… resta da completare la parte relativa a NetworkManager)

i Documentazione redatta in seguito a test effettuati su Ubuntu 10.010 “Maverick Meerkat” x86_64ii Lo sviluppo è sponsorizzato da OpenSEA Alliance, un consorzio che comprende – tra gli altri - Nortel, Symantec e

TippingPoint.iii Nell'articolo si cita anche XpressConnect di Cloudpath Networks, una soluzione commerciale per il provisioning

automatico della configurazione 802.1x nelle reti aziendali (Mac OS X, Ubuntu e Windows) utilizzata spesso nei campus che aderiscono ad EDUROAM