Linux générique

Pour les systèmes Linux, nous recommandons d'utiliser le logiciel WPA_Supplicant pour les cartes réseaux sans fil supportant les protocoles de sécurité CCMP et TKIP.

RemarquePrérequis

Version du kernel : 2.4 et ultérieures

Activer dans le kernel les extensions sans fil. Ex : Pour le noyau 2.6 : Device Drivers -> Networking Support -> Wireless Lan -> Wireless Drivers & extensions.

Installer le pilote de votre carte réseau Wi-Fi.

  • Madwifi pour les cartes basées sur le chipset Atheros. Ce pilote est pré-packagé pour la majorité des distributions Linux. Ou bien alors, télécharger les dernières sources sur http://madwifi.sourceforge.net/ et compilez les à la main.
  • Intel ipw2xxx, Prism, Atmel, Hermes ... à activer dans le kernel.

Installer les dépendances :

  • glibc,
  • Openssl.

Installer les Wireless Tools (packagé pour une majorité de distributions). Vous pourrez utiliser les commandes iwconfig, iwlist...

Une fois le pilote de votre carte réseau sans fil installé, charger les modules du driver (commandes lsmod, modprobe).

ProcédureÉtapes de configuration et de connexion

  1. 1. Installation de WPA_Supplicant

    Un grand nombre de distributions Linux fournissent WPA_Supplicant en version pré-packagée : Ubuntu, Debian, Gentoo, RedHat, Mandriva ...

    Sinon, vous pouvez charger les sources de la dernière version stable ICI et les compiler vous même. Pour que l'installation se déroule correctement, suivre les instructions du fichier README.

    Avant de commencer la compilation de wpa_supplication, il faut créer un fichier de configuration appelé « .config » qui sera mis à la racine des sources. Pour cela, faire une copie du fichier « defconfig » en « .config ».

    Dans ce fichier, vous trouverez des options de configuration du type CONFIG_EAP_TTLS=y.

    Activer l'option qui correspond au driver de votre carte réseau sans fil. Attention, si vous utilisez une carte réseau sans fil dont le driver ne se trouve pas dans le kernel Linux, vous aurez besoin des sources du driver. Vérifier que les chemins des répertoires où se trouvent les sources soient exacts.

    ExempleExemple : pour le driver MadWifi vous aurez dans votre fichier .config :

    CONFIG_DRIVER_MADWIFI=y

    CFLAGS += -I../madwifi #répertoire source de madwifi au même endroit que celui de WPA_Supplicant

    Si vous utilisez toujours la même carte, vous pouvez commenter les lignes qui correspondent aux autres drivers.

    En principe vous n'avez besoin de toucher à rien d'autre dans ce fichier de configuration. Vérifier que vous ayez au moins les options suivantes :

    Exemple

    CONFIG_DRIVER_WEXT=y

    CONFIG_IEEE802X_EAPOL=y

    CONFIG_EAP_TTLS=y

    CONFIG_CTRL_IFACE=y

    Compiler les sources et installer wpa_supplicant et wpa_cli comme indiqué dans le fichier README.

    Télécharger sur votre machine le certificat de l'autorité de certification racine.

  2. 2. Configuration de WPA_Supplicant

    Compiler les sources et installer wpa_supplicant et wpa_cli comme indiqué dans le fichier README.

    ExempleExemple

    # /var/run/wpa_supplicant is the recommended directory

    # for sockets and by default, wpa_cli will use it when trying

    # to connect with wpa_supplicant

    # default, wpa_cli will use it when trying to connect with wpa_supplicant

    ctrl_interface=/var/run/wpa_supplicant

    #ctrl_interface_group=wheel

    #Mettre cette ligne si vous souhaitez lancer wpa_supplicant avec

    #un autre utilisateur que root (appartenant au groupe wheel)

    ctrl_interface_group=0

    # IEEE 802.1X/EAPOL version

    # version (2)

    eapol_version=1

    ap_scan=1

    fast_reauth=1

    network={

    ssid="eduroam"

    proto=WPA2 WPA

    scan_ssid=1

    key_mgmt=WPA-EAP

    # Il se peut que votre carte ne supporte pas CCMP

    # Dans ce cas supprimez l'option CCMP "en VERT"

    pairwise=CCMP TKIP

    group=CCMP TKIP

    eap=TTLS

    # Indiquer l'emplacement du certificat que vous avez télécharger

    ca_cert="/repertoire_comme_vous_voulez/AddTrust_External_CA_Root.pem"

    anonymous_identity="anonymous@unistra.fr"

    # phase2 user authentication

    phase2="auth=PAP"

    identity="user"

    password="password"

    Pour lancer WPA_Supplicant, chercher le nom de l'interface réseau Wi-Fi à l'aide de la commande iwconfig.

  3. 3. Connexion sur le réseau sans fil Osiris avec WPA_Supplicant

    Lancer wpa_supplicant avec la commande :

    wpa_supplicant -i "interface_wifi" -D "nom_du_driver" -c /etc/wpa_supplicant.conf

    ExempleExemple : pour une carte munie d'un chipset Atheros, saisissez :

    wpa_supplicant -iath0 -Dmadwifi -c/etc/wpa_supplicant.conf

    Pour trouver la liste des noms de drivers possibles, saisissez wpa_supplicant -?.

    D'autres options possibles sont :

    -d pour le mode debug (peut être utile) ;

    -B pour mettre en background.

    Une fois authentifié(e), ne pas oublier de lancer le client DHCP sur l'interface Wi-Fi.

  4. 4. Vérification de sa connexion

    Pour vérifier la connexion à un un point d'accès, saisir la commande iwconfig.

    Exemple

    # iwconfig ath0

    ath0 IEEE 802.11g ESSID:"eduroam"

    Mode:Managed Frequency:2.412GHz Access Point: 00:11:20:1B:33:B0

    Bit Rate:36Mb/s Tx-Power:50 dBm Sensitivity=0/3

    Retry:off RTS thr:off Fragment thr:off

    Encryption key:A568-4A03-5B21-2BE8-C90B-5EFD-64CB-630E Security mode:restricted

    Power Management:off

    Link Quality:35/94 Signal level:-60 dBm Noise level:-95 dBm

    Rx invalid nwid:786 Rx invalid crypt:0 Rx invalid frag:0

    Tx excessive retries:0 Invalid misc:0 Missed beacon:0

    La présence d'un identifiant de point d'accès comme sur la ligne 3 (Access Point: 00:11:20:1B:33:B0) indique la réussite de la connexion à un point d'accès.

    Lorsque vous n'êtes associé(e) à aucun point d'accès, la séquence FF:FF:FF:FF:FF:FF remplace cet identifiant.

    Au niveau de la ligne 2 se trouve le ESSID:"eduroam" avec en premier le nom de l'interface (ath0).

    A la ligne 8, l'indication Link Quality permet de vérifier la qualité du signal.

    A la ligne 4 est indiqué le débit négocié avec le point d'accès.

    Assurez vous maintenant que votre client DHCP est lancé sur l'interface Wi-fi. S'il était déjà actif avant que vous soyez authentifié(e), relancer-le afin qu'il récupère immédiatement les nouvelles configurations du réseau.

    ExemplePour vérifier les nouvelles configurations IP saisir la commande ifconfig. Voici un exemple de configuration :

    # ifconfig

    ath0 Lien encap:Ethernet HWaddr 00:0B:CD:5B:ED:77

    inet adr: 130.79.119.75 Bcast:130.79.119.95 Masque:255.255.255.224

    adr inet6: 2001:660:2402:2002:20b:cdff:fe5b:ed77/64 Scope:Global

    adr inet6: fe80::20b:cdff:fe5b:ed77/64 Scope:Lien

    UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1

    RX packets:8157 errors:3667 dropped:0 overruns:0 frame:3665

    TX packets:10865 errors:0 dropped:0 overruns:0 carrier:0

    collisions:0 lg file transmission:199

    RX bytes:1109774 (1.0 Mb) TX bytes:1472872 (1.4 Mb)

    Interruption:5 Mémoire:e0968000-e0978000

    lo Lien encap:Boucle locale

    inet adr:127.0.0.1 Masque:255.0.0.0

    adr inet6: ::1/128 Scope:Hôte

    UP LOOPBACK RUNNING MTU:16436 Metric:1

    RX packets:6 errors:0 dropped:0 overruns:0 frame:0

    TX packets:6 errors:0 dropped:0 overruns:0 carrier:0

    collisions:0 lg file transmission:0

    RX bytes:300 (300.0 b) TX bytes:300 (300.0 b)

    L'adresse IPv4 obtenue est de type 130.79.X.Y. Si le IPv6 est actif sur la machine, un préfixe IPv6 sera également obtenu.

    Pour l'accès sécurisé à Osiris le préfixe est 2001:660:2402:2002.

    De préférence, aucune autre interface ne doit être active à part l'interface sans fil et la loopback. Cela évite les problèmes de route par défaut.

    Truc & astuce

    Pour vérifier les routes, saisir la commande netstat -rn.