linux 802.1x em uma rede com fio do Windows

Más notícias, pessoal! Parece que há um bug não corrigido no Fedora 21: Conexão com fio com 802.1x PEAP/MSCHAPv2 não está funcionando . Portanto, embora a resposta abaixo possa funcionar para outras distros, os usuários do Fedora 21 estão sem sorte.

Nunca tentei isso sozinho, mas esta postagem parece conter um passo a passo bastante detalhado para configurar o 802.1x entre o cliente Linux e o domínio do Windows. Observe a parte da solicitação de certificado: ela deve resolver seu problema de certificado não exportável. As versões do software são bem antigas (o Ubuntu é 8.04 e o Power Broker da Beyond Trust ainda é o mesmo ), mas a ideia básica parece sólida para mim.

Formatei a postagem acima para facilitar a leitura. A citação torna as caixas de código cinza sobre cinza, então desisti, desculpe:

Isenção de responsabilidade: este guia foi escrito a partir da perspectiva da distribuição Linux Ubuntu 8.04. Para que isso funcione com outras distribuições Linux ou Unix, algumas alterações podem ser necessárias.

As duas principais coisas necessárias para que sua máquina Linux seja autenticada em 802.1x são um certificado de cliente e uma conta no domínio do Windows. Durante o processo de autenticação, o cliente Linux apresenta seu certificado de computador ao switch, que por sua vez o apresenta ao servidor RADIUS que verifica o certificado e verifica a conta de computador à qual o certificado está atribuído no Active Directory. Se o certificado e a conta do computador forem válidos, o servidor RADIUS aprova a solicitação de autenticação, enviando-a de volta ao switch, que por sua vez autentica a porta à qual a caixa do Linux está conectada.

A primeira coisa que precisa ser feita é ingressar seu computador Linux no domínio do Windows. Como o Linux não pode ingressar nativamente em um domínio do Windows, devemos baixar o software necessário para nos permitir fazer isso. Da mesma forma, faz software para nos permitir fazer exatamente isso. Para instalar isso no Ubuntu é muito simples, basta seguir estes passos:

1. sudo apt-get update
2. sudo apt-get install igualmente-aberto
3. sudo domainjoin-cli join enter the FQDN of your domain here enter your admin account here, você pode usar o formato [email protected]. Você também deve ser capaz de usar a versão GUI acessandoSystem → Administration → Likewise.
4. sudo update-rc.d padrões da mesma forma abertos
5. sudo /etc/init.d/likewise-open start

Se você não estiver executando o Ubuntu, você pode baixar o software aqui http://www.likewisesoftware.com/products/likewise_open . Agora você pode sair e entrar novamente usando sua conta de domínio. Acredito que o formato [email protected]e o domínio\usuário funcionem. Vou testar isso mais tarde.

Existem três arquivos localizados na máquina Linux que devem ser configurados corretamente para que essa autenticação ocorra. Esses três arquivos são:

1. /etc/wpa_supplicant.conf
2. /etc/network/interfaces
3. /etc/openssl/openssl.cnf

Primeiro vamos configurar o software para permitir que nossa máquina Linux use um certificado de cliente para autenticar em uma rede habilitada para 802.1x; wpa_supplicantserá usado para isso.

Siga estas etapas para configurar seu arquivo wpa_supplicant.conf:

1. sudo gedit /etc/wpa_supplicant.conf

2. Cole o seguinte no arquivo e salve-o:

   # Where is the control interface located? This is the default path:
   ctrl_interface=/var/run/wpa_supplicant
   
   # Who can use the WPA frontend? Replace "0" with a group name if you
   # want other users besides root to control it.
   # There should be no need to chance this value for a basic configuration:
   ctrl_interface_group=0
   
   # IEEE 802.1X works with EAPOL version 2, but the version is defaults 
   # to 1 because of compatibility problems with a number of wireless
   # access points. So we explicitly set it to version 2:
   eapol_version=1
   
   # When configuring WPA-Supplicant for use on a wired network, we don't need to
   # scan for wireless access points. See the wpa-supplicant documentation if you
   # are authenticating through 802.1x on a wireless network:
   ap_scan=0
   
   network={ 
       ssid="<enter any name here, it doesn't matter>" 
       key_mgmt=IEEE8021X 
       eap=TLS 
       identity="<FQDN>/computers/<Linux computer name>" 
       client_cert="/etc/ssl/certs/<your authentication certificate name>.pem" 
       private_key="/etc/ssl/private/<your private key name>.pem" 
   }
   

Agora devemos editar seu arquivo de interfaces. Siga estas etapas para configurar seu arquivo de interfaces:

1. sudo gedit /etc/network/interfaces

2. Cole o seguinte no arquivo sob a eth0interface e salve-o:

   # Configure the system to authenticate with WPA-Supplicant on interface eth0
   wpa-iface eth0
   
   # In this case we have a wired network:
   wpa-driver wired
   
   # Tell the system we want to use WPA-Supplicant with our configuration file:
   wpa-conf /etc/wpa_supplicant.conf
   

A próxima etapa é gerar e instalar seus certificados. Teremos que gerar um certificado autoassinado, gerar uma solicitação de certificado com base no certificado autoassinado que criamos e instalar os certificados.

Observação: Ao criar seus certificados, sempre que for solicitado seu nome, você deverá fornecer o nome do computador que estará autenticando. Por segurança, recomendo fazer com que o nome corresponda à forma como é atribuído ao computador, inclusive diferenciando maiúsculas de minúsculas. Se você não tiver certeza de como ele é atribuído ao seu computador, abra um terminal e digite hostname.

Siga esses passos:

1. sudo openssl req -x509 -nodes -days enter in days how long you want the cert valid for-newkey rsa:1024 -keyout enter a name for your private key/certificate here.pem -out enter a name for your private key/certificate here.pem

   Exemplo: sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout privcert.pem -out privcert.pem

2. openssl req -new -newkey rsa:1024 -nodes -keyout .pem enter a name for your private key here-out enter a name for your certificate request here.pem

   Exemplo: sudo openssl req -new -newkey rsa:1024 -nodes -keyout privkey.pem -out certreq.pem

Todos os certificados criados são colocados em seu diretório inicial ( /home/<username>). A próxima parte é solicitar um certificado de sua CA usando a solicitação de certificado que foi criada na etapa anterior. Isso precisará ser feito em uma máquina Windows, pois por algum motivo Linux e Windows não se dão muito bem ao solicitar e baixar certificados; Acabei de achar mais fácil enviar por e-mail a solicitação de certificado para mim mesmo e executá-la em uma máquina Windows.

Siga estas etapas para concluir a solicitação de certificado:

1. Vá para o diretório inicial na máquina Linux e encontre o arquivo de solicitação de certificado
2. Envie o arquivo por e-mail para você mesmo ou abra o arquivo com um editor de texto (como gedit) e copie e cole a solicitação em um e-mail e envie para você mesmo.
3. Em um cliente Windows, abra uma página da Web usando o IE no site da sua CA (como http://caname/certsrv).
4. Selecione Solicitar um certificado
5. Solicitação de Certificado Avançado
6. Agora abra seu e-mail e obtenha a solicitação de certificado que você mesmo enviou por e-mail.
7. Se você enviou o arquivo por e-mail, abra-o com o bloco de notas e copie e cole o conteúdo na caixa de solicitação de certificado codificado em Base-64. Se você enviou por e-mail o conteúdo do arquivo de solicitação de certificado em vez do arquivo em si, basta copiar e colar a solicitação de lá na caixa de solicitação de certificado codificado em Base-64.
8. Clique em Enviar e baixe o certificado no formato Base-64, não DER.
9. Salve o certificado em sua área de trabalho e nomeie-o como your Linux machine name.pem. O sistema adicionará automaticamente o .cerao final dele, portanto, exclua-o. O Linux usa .pem para extensões de certificado.
10. Pegue este arquivo e envie-o por e-mail para você mesmo.
11. Agora, em sua máquina Linux, pegue seu certificado e salve-o em algum lugar (de preferência em sua pasta pessoal para manter as coisas organizadas e juntas).
12. Agora, precisamos copiar seu certificado que você acabou de receber para sua /etc/ssl/certspasta e precisamos copiar sua chave privada/certificado e chave privada criada anteriormente em sua /etc/ssl/privatepasta. Agora, apenas o root tem permissão para fazer isso, então você pode fazer isso pela linha de comando digitando sudo cp /home/<username>/<certificate>.pem /etc/ssl/privateou /etc/ssl/certs. Isso também pode ser feito a partir da GUI, copiando e colando usando o comando gksudo e digitando nautilus. O Nautilus é o navegador de arquivos da GUI que o Ubuntu usa e o executará como root, permitindo que você copie e cole em diretórios aos quais apenas o root tem acesso.

Agora que nossos certificados estão em vigor, precisamos informar ao openssl como queremos usar os certificados. Para fazer isso, devemos editar o arquivo openssl.cnf e dizer a ele para autenticar nossa máquina Linux como um cliente em vez de um usuário.

Para fazer isso, siga estas etapas:

1. sudo gedit /etc/ssl/openssl.cnf
2. Role para baixo até a metade e você verá uma seção chamada [usr_cert]. Nesta seção, precisamos de onde o nsCertTypeé definido como "Para uso normal do cliente, isso é típico" , e deve ter nsCertType = client, emaile será comentado. Descomente esta linha e exclua o e-mail para que ele apareça nsCertType = client. Agora salve o arquivo.

Agora você deve ter tudo o que precisa configurado corretamente para ter uma máquina Linux rodando em um ambiente de domínio Windows e autenticando usando 802.1x.

Tudo o que resta agora é reiniciar seu serviço de rede para que o Linux use o wpa_supplicant.confarquivo que agora está vinculado à sua eth0interface e autentique. Então é só correr sudo service networking restart. Se você não obtiver um endereço IP depois que sua interface voltar, você pode solicitar manualmente um IP de seu servidor DHCP digitando sudo dhclient.