Configurazione di client Scientific Linux per l'utilizzo della rete dot1x

La configurazione qui riportata è stata testata su piattaforma Scientific Linux 4.1 su un portatile IBM thinkpad. La scheda wireless utilizzata è la Cisco Aironet 802.11.a/b/g con Chipset Aetheros.

1. Pacchetti da installare

Installare i seguenti pacchetti RPM, presenti nella distribuzione SL:

Il secondo pacchetto comprende le utilities per il management dellascheda WiFi iwconfig, iwpriv, iwlist.

Occorre poi installare il driver opportuno che supporti il Chipset Atheros ed 802.1x. Questo si scarica da http://atrpms.net/dist/el4/madwifi/. La rpm è quella relativa alla propria versione di kernel quindi in questo caso madwifi-kmdl-2.6.9-22.0.1.EL-0.9.6.0-18.el4.at.

Bisogna poi installare rispettivamente da http://atrpms.net/dist/el4/pcsclite/ e da http://atrpms.net/dist/el4/wpa_supplicant/" i pacchetti wpa_supplicant-0.3.9-8.el4.at e libpcsclite0-1.2.0-5.el4.at.

Wpa_supplicant è il software che serve per accedere alla rete WiFi utilizzando WPA o WPA2 ed EAP-TTLS. Il file di configurazione è wpa_supplicant.conf. Di seguito è riportata la configurazione EAP-TTLS:

wpa_supplicant.conf:

network={
	ssid="INFN-dot1x"
	proto=RSN WPA
	scan_ssid=1
	key_mgmt=WPA-EAP
	pairwise=CCMP TKIP
	group=CCMP TKIP
	eap=TTLS
	identity="username"
	ca_cert="/path/to/ca/certificate"
	password="********"
	phase2="auth=PAP"
}

In particolare si specifica il protocollo da utilizzare WPA2 (RSN) oppure WPA, il tipo di key management, gli algoritmi di encryption AES-CCMP oppure TKIP, il tipo EAP di default (TTLS), l'username, la password dell'utente e infine il tipo di autenticazione all'interno del tunnel TLS. Se non si specifica alcun tipo il default utilizzato e' EAP-MD5. Nel caso si utilizzi Kerberos per l'autenticazione a livello di radius server occorre utilizzare PAP nella phase2

Una volta configurato wpa_supplicant bisogna dare il comando:

wpa_supplicant -d -w -iath0 -Dmadwifi -c /etc/wpa_supplicant.conf

Il client si associa all'access point previa autenticazione con il radius server.

Ad associazione avvenuta si può attivare al scheda di rete WiFi ath0 per acquisire un indirizzo IP tramite dhcp:

/sbin/dhclient ath0

Sito Commissione Calcolo e Reti

Istruzioni preparate da R. Veraldi