Tentei seguir um guia eduroam em um site universitário. Que você pode baixar o instalador público em http://www.eduroam.org/ , escolher a universidade e pronto. Para Linux, este era um arquivo Python com o qual eu tinha que começar python eduroam-linux-xyz.pye instalar em ~/.config/cat_installer, mas isso não fez o eduroam funcionar.
A configuração do Network Manager falhou, mas podemos gerar um arquivo de configuração WPA_supplicant se você desejar:
Eu digitei meu ID de usuário ou o e-mail era necessário aqui?
"Instalação bem-sucedida", mas ainda tive que inserir as mesmas configurações de rede abaixo e a internet não funcionou:
A configuração WPA-EAP (mais cara WPA/EAP-TTLS-PAP) requer os seguintes itens:
SSID: eduroam
Encryption: WPA Enterprise | WPA2 Enterprise (recommended)
EAP method: TTLS
Key: TKIP | AES (recommended)
Authentification: PAP
Anonymous identity: [email protected]
Identity: [email protected]
Se você inserir essas configurações, será solicitado um certificado CA (autoridade certificadora), que não está listado nesse guia (por que não???).
Este certificado CA pode ser encontrado em /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem, não há necessidade de download, algo que eu tive que pescar no SSL Certificate Location no UNIX/Linux e Eduroam requer a instalação de um certificado CA - eles podem descriptografar o tráfego TLS? .
Se eu inserir o restante das configurações, ainda não funcionou e também tentei o certificado class_3 como aqui, pois class_2 pode estar desatualizado:
Como fazer eduroam? Para que simplesmente funcione? Ou seja, apenas tendo, a internet?
Eu tenho Linux Mint, mas isso deve ser o mesmo em todos os sistemas operacionais Linux.
Não pode haver um padrão mundial para o certificado CA, pois ele não é usado para conectar-se à própria rede eduroam – é para conectar-se especificamente ao servidor EAP da sua instituição . (Em outras palavras, a configuração do certificado CA pertence ao método específico de "autenticação externa", como PEAP ou EAP-TTLS que sua instituição usa. O handshake TLS ocorre dentro de PEAP/TTLS.)
O único requisito global é que o campo "identidade anônima" (também conhecido como "identidade externa") deve estar no
user@domainformato e o domínio deve corresponder ao domínio da sua organização de origem - é assim que o eduroam encaminha as solicitações de EAP para a organização de origem.(A rede eduroam não valida o nome de usuário externo, portanto, é comum especificar
[email protected]ou mesmo apenas@the.domaincomo a identidade externa - portanto, "identidade anônima".)O campo de identidade interno , por outro lado, é completamente invisível para a organização visitada ou para o eduroam como um todo – ele é enviado criptografado dentro do túnel EAP TLS para sua organização de origem e validado lá. Por isso, também não pode ter um formato "padrão mundial"; cabe a cada organização decidir o que aceita.
Algumas organizações aceitam nomes de usuário sem um sufixo @domain (normalmente se eles usam os mesmos servidores RADIUS para outras finalidades além do eduroam), enquanto outras organizações rejeitam deliberadamente esses nomes de usuário, pois quase sempre indicam que o usuário esqueceu de inserir um @domain ( ou seja, seu campo "outer/anon. identity" também está faltando, e tal configuração pararia de funcionar assim que o usuário visitasse outra organização). Geralmente você deve sempre incluir o domínio.
É possível que a) o guia tenha sido escrito por alguém cuja organização não tinha um requisito @domain (na época), ou b) o guia foi escrito com o Eduroam CAT em mente, que adiciona o domínio automaticamente.
Porque muitos desses guias datam de quando os clientes WPA-EAP padronizavam nenhuma verificação - ou seja, ainda funcionava sem uma CA especificada; a interface do usuário não indicaria nada sobre ser inseguro; portanto, especificar o CA correto era um esforço que a maioria dos alunos não faria de qualquer maneira.
Além disso, sua organização doméstica está usando uma CA pública , portanto, não é muito útil especificá-la aqui de qualquer maneira (já que não há nada que impeça qualquer outro cliente dessa CA de usar literalmente qualquer certificado HTTPS aleatório para executar um ataque MITM).
O que o tutorial deveria ter sugerido é usar CAs do sistema, mas especificar um domínio para corresponder ao certificado "folha" do servidor EAP (semelhante a como a URL é comparada a um certificado HTTPS). Infelizmente, a GUI do NetworkManager em sua captura de tela também é antiga e não oferece isso como uma opção – você precisaria especificar o domínio por meio da CLI. Eduroam CAT faz isso automaticamente.
Há um erro nas entradas das configurações acima. Como um nome de usuário , você deve inserir seu e-mail completo, não apenas o nome de usuário. Isso também estava no guia, mas pode ser mal interpretado nas configurações.
Não tome T-TeleSec_GlobalRoot_Class_3.pem como tentei acima. Com isso, minha internet funcionou apenas por uns 10m. Eu precisava pegar o certificado Class_2 novamente para fazê-lo funcionar.
Lembre-se de que esta é apenas uma configuração de rede eduroam de uma universidade. Outros podem ter outras entradas em:
O Q/A não era sobre o que muda de configuração de rede para configuração de rede, mas sobre as configurações de rede eduroam padrão em todo o mundo de: