Chapitre 18. Authentification d'un client RHEL au réseau à l'aide de la norme 802.1X avec un certificat stocké sur le système de fichiers
Les administrateurs utilisent fréquemment le contrôle d'accès au réseau (NAC) basé sur les ports et la norme IEEE 802.1X pour protéger un réseau contre les clients LAN et Wi-Fi non autorisés.
18.1. Configuration de l'authentification réseau 802.1X sur une connexion Ethernet existante à l'aide de nmcli
À l'aide de l'utilitaire nmcli
, vous pouvez configurer le client pour qu'il s'authentifie sur le réseau. Par exemple, configurez l'authentification TLS dans un profil de connexion Ethernet existant de NetworkManager nommé enp1s0
pour s'authentifier sur le réseau.
Conditions préalables
- Le réseau prend en charge l'authentification réseau 802.1X.
- Le profil de connexion Ethernet existe dans NetworkManager et possède une configuration IP valide.
Les fichiers suivants, nécessaires à l'authentification TLS, existent sur le client :
-
La clé client stockée se trouve dans le fichier
/etc/pki/tls/private/client.key
, qui appartient à l'utilisateurroot
et ne peut être lu que par lui. -
Le certificat du client est stocké dans le fichier
/etc/pki/tls/certs/client.crt
. -
Le certificat de l'autorité de certification (CA) est stocké dans le fichier
/etc/pki/tls/certs/ca.crt
.
-
La clé client stockée se trouve dans le fichier
-
Le paquet
wpa_supplicant
est installé.
Procédure
Définissez le protocole d'authentification extensible (EAP) sur
tls
et les chemins d'accès au certificat du client et au fichier clé :# nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key
Notez que vous devez définir les paramètres
802-1x.eap
,802-1x.client-cert
et802-1x.private-key
en une seule commande.Définissez le chemin d'accès au certificat de l'autorité de certification :
# nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt
Définir l'identité de l'utilisateur utilisée dans le certificat :
# nmcli connection modify enp1s0 802-1x.identity user@example.com
Optionnellement, le mot de passe est stocké dans la configuration :
# nmcli connection modify enp1s0 802-1x.private-key-password password
ImportantPar défaut, NetworkManager stocke le mot de passe en clair dans le fichier
/etc/sysconfig/network-scripts/keys-connection_name
qui n'est lisible que par l'utilisateurroot
. Cependant, les mots de passe en texte clair dans un fichier de configuration peuvent présenter un risque pour la sécurité.Pour augmenter la sécurité, définissez le paramètre
802-1x.password-flags
sur0x1
. Avec ce paramètre, sur les serveurs avec l'environnement de bureau GNOME ounm-applet
en cours d'exécution, NetworkManager récupère le mot de passe à partir de ces services. Dans les autres cas, NetworkManager demande le mot de passe.Activer le profil de connexion :
# nmcli connection up enp1s0
Vérification
- Accéder aux ressources du réseau qui nécessitent une authentification réseau.
Ressources supplémentaires
- Configuration d'une connexion Ethernet
-
nm-settings(5)
page de manuel -
nmcli(1)
page de manuel