17.8. Test de l'authentification EAP-TLS contre un serveur ou un authentificateur FreeRADIUS
Pour vérifier si l'authentification à l'aide du protocole d'authentification extensible (EAP) transport layer security (EAP-TLS) fonctionne comme prévu, exécutez la procédure suivante :
- Après avoir configuré le serveur FreeRADIUS
-
Après avoir configuré le service
hostapd
en tant qu'authentificateur pour l'authentification réseau 802.1X.
Les résultats des utilitaires de test utilisés dans cette procédure fournissent des informations supplémentaires sur la communication EAP et vous aident à résoudre les problèmes.
Conditions préalables
Lorsque vous souhaitez vous authentifier auprès de :
Un serveur FreeRADIUS :
-
L'utilitaire
eapol_test
, fourni par le paquetagehostapd
, est installé. - Le client sur lequel vous exécutez cette procédure a été autorisé dans les bases de données clients du serveur FreeRADIUS.
-
L'utilitaire
-
Un authentificateur, l'utilitaire
wpa_supplicant
, fourni par le paquet du même nom, est installé.
-
Vous avez enregistré le certificat de l'autorité de certification (CA) dans le fichier
/etc/pki/tls/certs/ca.pem
. - L'autorité de certification qui a émis le certificat du client est la même que celle qui a émis le certificat du serveur FreeRADIUS.
-
Vous avez stocké le certificat du client dans le fichier
/etc/pki/tls/certs/client.pem
. -
Vous avez stocké la clé privée du client dans le fichier
/etc/pki/tls/private/client.key
Procédure
Créez le fichier
/etc/wpa_supplicant/wpa_supplicant-TLS.conf
avec le contenu suivant :ap_scan=0 network={ eap=TLS eapol_flags=0 key_mgmt=IEEE8021X identity="user@example.org" client_cert="/etc/pki/tls/certs/client.pem" private_key="/etc/pki/tls/private/client.key" private_key_passwd="password_on_private_key" # CA certificate to validate the RADIUS server's identity ca_cert="/etc/pki/tls/certs/ca.pem" }
Pour s'authentifier auprès de :
Un serveur FreeRADIUS, entrez :
# eapol_test -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -a 192.0.2.1 -s client_password ... EAP: Status notification: remote certificate verification (param=success) ... CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ... SUCCESS
L'option
-a
définit l'adresse IP du serveur FreeRADIUS, et l'option-s
spécifie le mot de passe de l'hôte sur lequel vous exécutez la commande dans la configuration client du serveur FreeRADIUS.Un authentificateur, entrez :
# wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -D wired -i enp0s31f6 ... enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ...
L'option
-i
spécifie le nom de l'interface réseau sur laquellewpa_supplicant
envoie des paquets EAPOL (extended authentication protocol over LAN).Pour plus d'informations sur le débogage, ajoutez l'option
-d
à la commande.
Ressources supplémentaires
-
/usr/share/doc/wpa_supplicant/wpa_supplicant.conf
fichier