CONFIGURACIÓN PARA ACCESO A LA RED EDUROAM CON 802.1X
GUIA DE CONFIGURACIÓN PARA SISTEMAS LinuX (Debian)
(probado con SARGE stable y versión de núcleo
2.4.27)
INSTALACIÓN DEL SUPLICANTE (no válida para
todos los modelos de tarjetas WiFi):
Para poder configurar el acceso mediante 802.1x a la red
WiFi de la Universidad es necesario instalar un suplicante con
soporte para el protocolo WPA-EAP/TTLS y un cliente dhcp. En el
caso de Debian SARGE stable, una opción es instalar los
paquetes wpasupplicant y dhcp-client:
|
|
prompt$ apt-get install wpasupplicant prompt$ apt-get
install dhcp-client
|
|
|
|
ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 fast_reauth=1 network={ ssid="eduroam" key_mgmt=WPA-EAP eap=TTLS anonymous_identity="anonymous" identity="mi-login-de-correo" password="mi-password" priority=2 phase2="auth=PAP" }
|
|
Usuarios de otra institución distinta de la UC3M
adscrita al proyecto EDUROAM, deberán sustituir
mi-login-de-correo por el login-de-su-institución@dominio
(por ejemplo: pepe@ugr.es)
Usuarios de la UC3M, es recomendable que añadan al
login de correo, @mi-dominio-de-correo.uc3m.es (p.ej.
perico@di.uc3m.es), de esta forma, cuando viajen a otra
institución adscrita al proyecto EDUROAM, probablemente
no tengan que cambiar nada para conectarse.
Es opcional, aunque altamente recomendable, añadir
a la configuración propuesta, la comprobación de
que el servidor de autenticación que nos valida es
realmente el "legal" de la UC3M: si no, existirá
el peligro de que nuestro login y password puedan ser capturados
de forma ilícita. Para ello recomendamos seguir los
siguientes pasos adicionales:
|
|
1) Descargar el certificado de la CA de RedIris: -
Conectarse con un navegador a http://cert.uc3m.es/ca3/ -
Seleccionar opción "Instalación" -
Colocar puntero del ratón encima del enlace "aquí"
de: "Si desea iniciar el proceso de instalación
ahora, haga click aquí" - Pulsar botón
derecho del ratón. - Seleccionar : "Guardar
destino del enlace como ..." u opción similar
del navegador. - El nombre del fichero propuesto es
iris-pca.cader.crt - Lo guardamos. - Lo copiamos del
directorio donde nos lo haya salvado el navegador al directorio
/etc/cert/ (debe crearse previamente si no existe).
2)
Añadimos al fichero /etc/wpa_supplicant.conf, entre las
opciones "network", la línea señalada en
negrita: network={ ... ca_cert="/etc/cert/iris-pca.cader.crt" ... }
|
|
|
prompt$ wpa_supplicant -h wpa_supplicant v0.3.8 Copyright
(c) 2003-2005, Jouni Malinen and contributors
This program
is free software. You can distribute it and/or modify it under
the terms of the GNU General Public License version
2.
Alternatively, this software may be distributed under
the terms of the BSD license. See README and COPYING for more
details.
This product includes software developed by the
OpenSSL Project for use in the OpenSSL Toolkit
(http://www.openssl.org/)
usage: wpa_supplicant
[-BddehLqqvw] -i -c [-D] \ [-N -i -c [-D]
...]
drivers: hostap = Host AP driver (Intersil
Prism2/2.5/3) prism54 = Prism54.org driver (Intersil Prism
GT/Duette/Indigo) madwifi = MADWIFI 802.11 support (Atheros,
etc.) atmel = ATMEL AT76C5XXx (USB, PCMCIA) wext = Linux
wireless extensions (generic) ndiswrapper = Linux
ndiswrapper ipw = Intel ipw2100/2200 driver options: -B
= run daemon in the background -d = increase debugging
verbosity (-dd even more) -K = include keys (passwords, etc.)
in debug output -t = include timestamp in debug messages -h
= show this help text -L = show license (GPL and BSD) -q =
decrease debugging verbosity (-qq even less) -v = show
version -w = wait for interface to be added, if needed -N =
start describing new interface
|
|
|
|
ifconfig mi-interfaz-wifi up wpa_supplicant -B -i
mi-interfaz-wifi -c /etc/wpa_supplicant.conf -dd -D
mi-driver sleep 5 dhclient mi-interfaz-wifi
|
|
|
|
wpa_supplicant -B -i wlan0 -c /etc/wpa_supplicant.conf -D ipw
|
|
(las opciones -dd son para depuración y si todo va
bien no harán falta).
Si usamos el driver madwifi con tarjetas con chipset
atheros, probablemente encontremos problemas, en ese caso
podemos probar a seguir las instrucciones específicas
para la instalación de una tarjeta PROXIM (AR5212 abg)
(ver más abajo).
Para ver que tarjeta tenemos, su chipset, y el interfaz
que le corresponde podemos usar los comandos lspci y
dmesg. :
|
|
prompt$ lspci ... 0000:03:00.0 Network controller:
RaLink Ralink RT2500 802.11 Cardbus Reference Card (rev
01)
prompt$ dmesg | grep wlan0 wlan0: vendor:
'Conceptronic 54g Wireless PC-Car' wlan0: ndiswrapper ethernet
device 00:80:5a:34:79:33 using driver conrt,
1814:0201:1948:3C00.5.conf wlan0: encryption modes supported:
WEP; TKIP with WPA, WPA2, WPA2PSK; AES/CCMP with WPA, WPA2,
WPA2PSK
|
|
|
prompt$ iwconfig mi-interfaz-wifi
|
|
|
|
prompt$ iwlist <interfaz wifi> scanning
|
|
|
|
prompt$ ifconfig mi-interfaz-wifi
|
|
(si no te ha dado una dirección vuelve a ejecutar
"dhclient mi-interfaz-wifi")
Algunos drivers para Linux de fabricantes tarjetas WiFi
son soportados a través de la opción -D wext
del wpa_supplicant: ver ejemplo para Intel Pro Wireless 2200BG
más abajo.
Si no disponemos de un driver para nuestra tarjeta para
Linux que se ajuste a alguno de los esperados por el
wpa_supplicant podemos probar con el driver genérico
NDISWRAPPER, y la opción -D ndiswrapper del
wpa_supplicant:
INSTALACIÓN CON EL DRIVER GENÉRICO
NDISWRAPPER :
Si el driver que se está utilizando con la tarjeta
(p.ej. el del fabricante), no se acomoda a ninguno de los que
espera el wpa_supplicant, puede optarse por instalar el driver
genérico "ndiswrapper" y siguiendo las
instrucciones de éste, el driver de Windows para la
tarjeta WiFi concreta que tengamos (si está soportado por
NDISWRAPPER). Para ello seguiremos los pasos indicados en :
(no olvides desinstalar el
driver del fabricante de la tarjeta para Linux, si lo tenías
instalado, antes de echar a andar el nuevo).
Como ejemplo desarrollaremos los pasos realizados para
hacer funcionar una tarjeta 802.11g, CONCEPTRONIC C54RC con
chipset RaLink RT2500, (consulta el enlace anterior para
cualquier aclaración):
|
|
Partimos, por supuesto, de que tenemos los fuentes del núcleo,
y en nuestro ejemplo (núcleo 2.4.27) el
directorio: /lib/modules/2.4.27/build
Una vez
descargados los fuentes de ndiswrapper, lo construimos : prompt$
tar zxvf ndiswrapper-1.7.tar.gz prompt$ cd
ndiswrapper-1.7 prompt$ more README prompt$ more
INSTALL prompt$ make distclean prompt$ make prompt$ make
install
Para instalar el driver de Windows, a partir del
CD de la tarjeta : prompt$ mount /cdrom prompt$ ls
/cdrom/driver/WINXP prompt$ ndiswrapper -i
/cdrom/driver/WINXP/ConRT.INF prompt$ ls
/etc/ndiswrapper/conrt prompt$ ndiswrapper -l prompt$
depmod -a
Para que se cargue siempre el driver en el
arranque, en el fichero /etc/modules, añadimos la
línea: ndiswrapper
Para que todo funcione basta
sustituir en el script que activa la conexión,
mi-interfaz-wifi por wlan0 y mi-driver por
ndiswrapper
|
|
|
prompt$ ndiswrapper -i /cdrom/Drivers/Drivers/NetRTUSB.inf
|
|
INSTALACIÓN EN EL CASO DE UNA INTEL Pro Wireless
2200BG:
Si la tarjeta de nuestro portátil es la
especificada, y no funciona con la opción -D ipw
del wpa_supplicant, prueba a seguir los pasos especificados en
este enlace : Guía de
configuración de 802.1x para Intel ProWireless 2200BG
INSTALACIÓN EN EL CASO DE UNA PROXIM (AR5212
802.11abg NIC):
Si la tarjeta para nuestro portátil es la
especificada, prueba a seguir los pasos especificados en este
enlace : Guía de
configuración de 802.1x para tarjeta pcmcia PROXIM
(AR5212 802.11abg NIC)
ALGUNAS ANOTACIONES :
Recuerda, el uso de esta documentación con otras
versiones de Debian, otras distribuciones de Linux, otras
versiones de núcleo, o incluso con configuraciones de
núcleo y de Debian stable particulares, puede requerir
modificaciones sobre lo especificado. También puede
ocurrir que un cambio p.ej. de firmware en un modelo de tarjeta,
requiera de otro driver, o un driver modificado. Son muchos los
factores que pueden influir en que no consigamos hacer funcionar
el "suplicante". Esperemos que, al menos, estas guías
te sirvan de orientación.
ENLACES INTERESANTES:
WPA
supplicant
NDISWRAPPER:
Lista de tarjetas y drivers probados por los desarrolladores y
colaboradores del proyecto NDISWRAPPER
Xsupplicant:
Otro suplicante, a lo mejor tienes más suerte ...
Driver MadWifi para tarjetas con chipset Atheros:
http://madwifi.org
Última modificación: Thu, 06 Apr 2006 12:22:37
+0200 Execution time:
0.003598 secs.
|