Rechercher

Chapitre 18. Authentification d'un client RHEL au réseau à l'aide de la norme 802.1X avec un certificat stocké sur le système de fichiers

download PDF

Les administrateurs utilisent fréquemment le contrôle d'accès au réseau (NAC) basé sur les ports et la norme IEEE 802.1X pour protéger un réseau contre les clients LAN et Wi-Fi non autorisés.

18.1. Configuration de l'authentification réseau 802.1X sur une connexion Ethernet existante à l'aide de nmcli

À l'aide de l'utilitaire nmcli, vous pouvez configurer le client pour qu'il s'authentifie sur le réseau. Par exemple, configurez l'authentification TLS dans un profil de connexion Ethernet existant de NetworkManager nommé enp1s0 pour s'authentifier sur le réseau.

Conditions préalables

  • Le réseau prend en charge l'authentification réseau 802.1X.
  • Le profil de connexion Ethernet existe dans NetworkManager et possède une configuration IP valide.
  • Les fichiers suivants, nécessaires à l'authentification TLS, existent sur le client :

    • La clé client stockée se trouve dans le fichier /etc/pki/tls/private/client.key, qui appartient à l'utilisateur root et ne peut être lu que par lui.
    • Le certificat du client est stocké dans le fichier /etc/pki/tls/certs/client.crt.
    • Le certificat de l'autorité de certification (CA) est stocké dans le fichier /etc/pki/tls/certs/ca.crt.
  • Le paquet wpa_supplicant est installé.

Procédure

  1. Définissez le protocole d'authentification extensible (EAP) sur tls et les chemins d'accès au certificat du client et au fichier clé :

    # nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key

    Notez que vous devez définir les paramètres 802-1x.eap, 802-1x.client-cert et 802-1x.private-key en une seule commande.

  2. Définissez le chemin d'accès au certificat de l'autorité de certification :

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt
  3. Définir l'identité de l'utilisateur utilisée dans le certificat :

    # nmcli connection modify enp1s0 802-1x.identity user@example.com
  4. Optionnellement, le mot de passe est stocké dans la configuration :

    # nmcli connection modify enp1s0 802-1x.private-key-password password
    Important

    Par défaut, NetworkManager stocke le mot de passe en clair dans le fichier /etc/sysconfig/network-scripts/keys-connection_name qui n'est lisible que par l'utilisateur root. Cependant, les mots de passe en texte clair dans un fichier de configuration peuvent présenter un risque pour la sécurité.

    Pour augmenter la sécurité, définissez le paramètre 802-1x.password-flags sur 0x1. Avec ce paramètre, sur les serveurs avec l'environnement de bureau GNOME ou nm-applet en cours d'exécution, NetworkManager récupère le mot de passe à partir de ces services. Dans les autres cas, NetworkManager demande le mot de passe.

  5. Activer le profil de connexion :

    # nmcli connection up enp1s0

Vérification

  • Accéder aux ressources du réseau qui nécessitent une authentification réseau.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.