Autenticazione di accesso alla rete secondo lo standard IEEE 802.

1x (NAC) nei sistemi Ubuntu Linuxi

Accesso mediante Network Manager Il metodo pi semplice per configurare ed effettuare l'autenticazione alla rete cablata secondo lo standard 802.1x nei sistemi Ubuntu quello che prevede l'utilizzo di NetworkManager. Si tratta di un set di strumenti messo a punto dal GNOME Project che consente di gestire le connessioni Ethernet, Wi-Fi, 3G e Bluetooth grazie ad una applet facilmente raggiungibile dagli utenti finali e ad una serie di tool e plugin (dbus, udev, ModemManager, ifupdown ...) che lavorano dietro le quinte: sito web ufficiale del progetto http://projects.gnome.org/NetworkManager/ wiki ufficiale http://live.gnome.org/NetworkManager Ecco la semplice sequenza di operazioni richieste per accedere alla rete cablata mediante Network Manager su Ubuntu 11.04 Natty Narwhal:

Selezionate la voce "Modifica" e si aprir la finestra Connessioni di Rete

A questo punto il sistema potrebbe chiedervi di inserire le credenziali di un utente con priviliegi di amministratore

Si aprir una nuova finestra che consente di effettuare o modificare la configurazione della connessione di rete selezionata

Selezionate la scheda "Sicurezza 802.1x" e configuratela come in questa immagine (nei campi "Nome utente" e "Password" dovrete inserire le vostre credenziali GIA, naturalmente)

La configurazione della connessione di rete terminata: cliccate su "Salva" e chiudete la finestra Connessioni di Rete

Accesso mediante wpa_supplicant (per utenti esperti) Normalmente, l'autenticazione via NetworkManager funziona senza problemi con il nostro sistema di NAC ma sempre possibile ricorrere alle procedure legacy. Per impostazione predefinita, infatti, l'autenticazione 802.1x su reti wireless e cablate in Ubuntu si basa su wpa_supplicant: Linux WPA/WPA2/IEEE 802.1X Supplicant http://hostap.epitest.fi/wpa_supplicant/ Il daemon wpa_supplicant cerca i parametri di configurazione nel file /etc/wpa_supplicant.conf wpa_supplicant - Wi-Fi Protected Access client and IEEE 802.1X supplicant (da Ubuntu Manuals) http://tinyurl.com/6zwlpsa Il front-end a linea di comando predefinito wpa_cli wpa_cli - WPA command line client (da Ubuntu Manuals) http://tinyurl.com/5veyhmz Il corrispondente front-end grafico (QT-based) wpagui (non lo trovate pre-installato ma disponibile nei repository ufficiali): wpa_gui - WPA Graphical User Interface (da Ubuntu Manuals) http://tinyurl.com/69h39t3 Tra i supplicant di terze parti segnaliamo il progetto Open1xii con il suo XSupplicant (free e disponibile per Windows e Linux nelle versioni a 32 e 64 bit): Open1x: free, open source 802.1X/WPA/WPA2/IEEE802.11i implementation http://open1x.sourceforge.net/ Segnaliamo, infine, una panoramicaiii delle soluzioni 802.1x di terze parti pubblicata sul sito enterprisenetworkingplanet.com: Using Third-Party 802.1X Clients on Windows, Linux or Mac http://tinyurl.com/64hxdnd How-to

Il seguente esempio di configurazione del file wpa_supplicant.conf basato sugli appunti redatti da Jouni Malinen: http://hostap.epitest.fi/gitweb/gitweb.cgi?

p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf -Per modificare il file wpa_supplicant.conf (l'ipotesi quella di effettuare l'autenticazione 802.1x su rete cablata) dovete digitare: sudo gedit /etc/wpa_supplicant.conf e compilarlo secondo l'esempio seguente: # Where is the control interface located? This is the default path: ctrl_interface=/var/run/wpa_supplicant # Who can use the WPA frontend? Replace "0" with a group name if you # want other users besides root to control it. # There should be no need to chance this value for a basic configuration: ctrl_interface_group=4 # 4 l'ID del gruppo ADM, 115 del gruppo ADMIN, 0 ROOT ... # When configuring WPA-Supplicant for use on a wired network, we dont need to # scan for wireless access points. See the wpa-supplicant documentation if # you are authenticating through 802.1x on a wireless network: ap_scan=0 #Network access authentication through IEEE 802.1x network={ key_mgmt=IEEE8021X eap=PEAP identity="nome utente GIA" password="password GIA" ca_cert="/etc/ssl/certs/wifi.univr.it.cer" phase1="peapver=0" phase2="auth=MSCHAPV2" eapol_flags=0 } Cambiate quindi i permessi di /etc/wpa_supplicant/wpa_supplicant.conf (il valore 000 impedisce a qualsiasi utente di poter effettuare operazioni di lettura o scrittura): chmod 000 /etc/wpa_supplicant/wpa_supplicant.conf Per testare il processo di autenticazione 802.1x utilizzando il nuovo wpa_supplicant.conf digitate sudo wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0 Se l'autenticazione ha avuto luogo correttamente, possiamo impostare l'esecuzione automatica del supplicant a livello globale (in questo modo indichiamo al sistema che intendiamo utilizzare sempre

l'autenticazione 802.1x). Digitate: sudo gedit /etc/network/interfaces ed editate il file di configurazione secondo quanto indicato nel seguente esempio: # se vi siete sempre affidati a NetworkManager per gestire le connessioni cablate e wireless, #dovreste vedere unicamente le seguenti due righe di configurazione (relative, ovviamente, alla sola interfaccia di loopback) auto lo iface lo inet loopback # sostituire eventualmente eth0 con la propria interfaccia Ethernet auto eth0 iface eth0 inet dhcp wpa-driver wired # questa riga indica al sistema che intendiamo utilizzare WPA-Supplicant a livello globale wpa-conf /etc/wpa_supplicant.conf Prima di salvare il nuovo file di configurazione necessario stoppare i servizi di rete rete : sudo /etc/init.d/networking stop Una volta salvato il file etc/network/interfaces possiamo finalmente restartare i servizi di rete: sudo /etc/init.d/networking start e verificare che tutto funzioni correttamente. ( resta da completare la parte relativa a NetworkManager)

i Documentazione redatta in seguito a test effettuati su Ubuntu 10.010 Maverick Meerkat x86_64 ii Lo sviluppo sponsorizzato da OpenSEA Alliance, un consorzio che comprende tra gli altri - Nortel, Symantec e TippingPoint. iii Nell'articolo si cita anche XpressConnect di Cloudpath Networks, una soluzione commerciale per il provisioning automatico della configurazione 802.1x nelle reti aziendali (Mac OS X, Ubuntu e Windows) utilizzata spesso nei campus che aderiscono ad EDUROAM