5.2. 配置 802.1X 安全性
802.1X 安全是用于基于端口的网络访问控制(PNAC )的 IEEE 标准的名称。它也称为 WPA Enterprise。802.1X 安全性是控制从物理网络访问逻辑网络的一种方式。要加入逻辑网络的所有客户端都必须使用正确的 802.1X 身份验证方法与服务器(例如路由器)进行身份验证。
802.1X 安全性最常与保护无线网络(WLAN)相关,但也可用于防止对网络(LAN)具有物理访问权限的入侵者获得进入。
过去,DHCP 服务器不配置为将 IP 地址租给未授权用户,但出于各种原因,这种做法既不现实又不安全,因此不再推荐使用。取而代之,可使用 802.1X 安全性来确保通过基于端口的身份验证实现逻辑安全网络。
802.1X 为 WLAN 和 LAN 访问控制提供了一个框架,并且充当执行一种可扩展验证协议(EAP)类型的信封。EAP 类型是一种协议,用于定义如何在网络上实现安全性。
5.2.1. 使用 nmcli 为 Wi-Fi 配置 802.1X 安全性
流程
- 设置经过身份验证
的 key-mgmt(密钥管理)协议。它为安全Wifi连接配置密钥机制。有关属性的详情,请查看 nm-settings(5) man page。 - 配置 802-1x 身份验证设置。有关传输层安全性(TLS)身份验证,请参阅 “配置 TLS 设置”一节。
| 802-1X 身份验证设置 | 名称 | |
|---|---|---|
| 802-1x.identity | 身份 | |
| 802-1x.ca-cert | CA 证书 | |
| 802-1x.client-cert | 用户证书 | |
| 802-1x.private-key | 私钥 | |
| 802-1x.private-key-password | 私钥密码 |
例如,要使用 EAP-TLS 身份验证方法配置 WPA2 Enterprise,请应用以下设置:
nmcli c add type wifi ifname wlo61s0 con-name 'My Wifi Network' \
802-11-wireless.ssid 'My Wifi' \
802-11-wireless-security.key-mgmt wpa-eap \
802-1x.eap tls \
802-1x.identity identity@example.com \
802-1x.ca-cert /etc/pki/my-wifi/ca.crt \
802-1x.client-cert /etc/pki/my-wifi/client.crt \
802-1x.private-key /etc/pki/my-wifi/client.key \
802-1x.private-key-password s3cr3t
