11.8. Configurer une connexion wifi avec l'authentification réseau 802.1X dans un profil existant en utilisant nmcli
À l'aide de l'utilitaire nmcli
, vous pouvez configurer le client pour qu'il s'authentifie sur le réseau. Par exemple, vous pouvez configurer l'authentification PEAP (Protected Extensible Authentication Protocol) avec le Microsoft Challenge-Handshake Authentication Protocol version 2 (MSCHAPv2) dans un profil de connexion wifi NetworkManager existant nommé wlp1s0
.
Conditions préalables
- Le réseau doit disposer d'une authentification réseau 802.1X.
- Le profil de connexion wifi existe dans NetworkManager et possède une configuration IP valide.
-
Si le client doit vérifier le certificat de l'authentificateur, le certificat de l'autorité de certification (CA) doit être stocké dans le répertoire
/etc/pki/ca-trust/source/anchors/
. -
Le paquet
wpa_supplicant
est installé.
Procédure
Réglez le mode de sécurité wifi sur
wpa-eap
, le protocole d'authentification extensible (EAP) surpeap
, le protocole d'authentification interne surmschapv2
, et le nom d'utilisateur :# nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name
Notez que vous devez définir les paramètres
wireless-security.key-mgmt
,802-1x.eap
,802-1x.phase2-auth
et802-1x.identity
en une seule commande.Optionnellement, le mot de passe est stocké dans la configuration :
# nmcli connection modify wlp1s0 802-1x.password password
ImportantPar défaut, NetworkManager stocke le mot de passe en texte clair dans le fichier
/etc/sysconfig/network-scripts/keys-connection_name
qui n'est lisible que par l'utilisateurroot
. Cependant, les mots de passe en texte clair dans un fichier de configuration peuvent présenter un risque pour la sécurité.Pour augmenter la sécurité, définissez le paramètre
802-1x.password-flags
sur0x1
. Avec ce paramètre, sur les serveurs avec l'environnement de bureau GNOME ounm-applet
en cours d'exécution, NetworkManager récupère le mot de passe à partir de ces services. Dans les autres cas, NetworkManager demande le mot de passe.Si le client doit vérifier le certificat de l'authentificateur, le paramètre
802-1x.ca-cert
du profil de connexion doit contenir le chemin d'accès au certificat de l'autorité de certification :# nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
NotePour des raisons de sécurité, Red Hat recommande le certificat de l'authentificateur pour permettre aux clients de valider l'identité de l'authentificateur.
Activer le profil de connexion :
# nmcli connection up wlp1s0
Vérification
- Accéder aux ressources du réseau qui nécessitent une authentification réseau.
Ressources supplémentaires
- Gestion des connexions wifi
-
nm-settings(5)
page de manuel -
nmcli(1)
page de manuel