Настройка на Linux с помощью Network Manager

  1. Получение корневого сертификата.

    В браузере заходим по ссылке noc.nstu.ru/cert/ и скачиваем “корневой сертификат в формате PEM”.

    root-1 root-2

  2. Получение пользовательского сертификата.

    Каждому пользователю Wi-Fi сети в личном кабинете портала НГТУ будет выдан архив *.zip с персональным сертификатом, в разных форматах для различных операционных систем. Для установки сертификата, необходимо развернуть из архива файл с расширением ".p12".

    Для удобства положите корневой и пользовательский сертификат в одну директорию (в примере /etc/ssl/).

  3. Настройка беспроводного соединения в NetworkManager.

    Запускаем NetworkManager и смотрим видем ли мы какие либо Wifi сети. Если нет, то ищем способ активации вашего Wifi модуля в Linux. Поскольку поддержка оборудования выходит за рамки данной документации, поэтому расматриваться не будет. Если Wifi сети видны, то переходим к настройке подключения.

    Поскольку программа NetworkManager не позволяет правильно настроить работу Wifi с сертификатом через GUI. Нам придется настроить в ручную, подсунув файл с готовыми настройками соединения.

    Прежде всего нам потребуются права суперпользователя. В Ubuntu в любом терминале (приложения Konsole, Xterm) для этого надо выполнить команду: sudo -s

    Копируем наши сертификаты в /etc/ssl/

    ca.crt
    CLIENTLOGIN.p12
    
    Создаем файл /etc/NetworkManager/system-connections/Nstu со следующими настройками:
    [connection]
    id=Nstu
    uuid=fd82c629-f372-4465-9bbc-0d7f55863733
    type=802-11-wireless
    
    [802-11-wireless-security]
    key-mgmt=wpa-eap
    
    [802-11-wireless]
    ssid=Nstu
    mode=infrastructure
    security=802-11-wireless-security
    
    [802-1x]
    eap=tls
    identity=CLIENTLOGIN
    ca-cert=/etc/ssl/ca.crt
    client-cert=/etc/ssl/CLIENTLOGIN.p12
    private-key=/etc/ssl/CLIENTLOGIN.p12
    private-key-password=CLIENTPASSWORD
    system-ca-certs=false
    
    [ipv4]
    method=auto
    
    [ipv6]
    method=auto
    
    CLIENTLOGIN и CLIENTPASSWORD идентичны логину и паролю для входа в личный кабинет портала НГТУ.

    Замените директорию /etc/ssl/ в файле /etc/NetworkManager/system-connections/Nstu, если вы положили ваши сертификаты в другое место.

    Обязательно нужно поменять полномочия, чтение и запись только пользователю, иначе NetworkManager будет игнорировать ваши настройки и их изменение. В журнале событий /var/log/syslog это будет выглядеть так:

    NetworkManager[1062]:    keyfile: updating /etc/NetworkManager/system-connections/Nstu
    NetworkManager[1062]:    keyfile:     error: File permissions (100644) or owner (0) were insecure
    
    Для этого вводим команды:
    chmod 600 /etc/NetworkManager/system-connections/Nstu - изменяем полномочия
    touch /etc/NetworkManager/system-connections/Nstu - собщаем системе, что файл изменился.
    
    В журнале /var/log/syslog появится сообщение, что NetworkManager согласился прочитать наши настройки.
    NetworkManager[1062]:  Auto-activating connection 'Nstu'.
    NetworkManager[1062]:  Activation (wlan0) starting connection 'Nstu'
    
    Если вы не наделали ошибок, то будет активировано соединение с Wifi сетью Nstu. Само соединение Nstu можно увидить в NetworkManager, там же посмотреть скорость и другие параметры соединения. Иначе смотрите в журнале событий /var/log/syslog на что жалуется NetworkManager.

    Ниже несколько скриншотов из NetworkManager.

    wifi-2 wifi-3

    wifi-4 wifi-5

    По команде wpa_cli status мы должны увидеть примерно следующее:

    Selected interface 'wlan0'
    bssid=dc:9f:db:e1:ac:c1
    ssid=Nstu
    id=0
    mode=station
    pairwise_cipher=CCMP
    group_cipher=TKIP
    key_mgmt=WPA2/IEEE 802.1X/EAP
    wpa_state=COMPLETED
    ip_address=10.233.66.187
    p2p_device_address=64:70:02:1e:a8:69
    address=64:70:02:1e:a8:69
    Supplicant PAE state=AUTHENTICATED
    suppPortStatus=Authorized
    EAP state=SUCCESS
    selectedMethod=13 (EAP-TLS)
    EAP TLS cipher=ECDHE-RSA-AES256-SHA
    
Готово, вы подключились к сети Nstu.

Все последующие подключения к Wi-Fi будут происходить автоматически. При получении нового сертификата (раз в год), нужно просто заменить старые сертификаты.

Система Orphus