Linux générique⚓
Pour les systèmes Linux, nous recommandons d'utiliser le logiciel WPA_Supplicant pour les cartes réseaux sans fil supportant les protocoles de sécurité CCMP et TKIP.
Remarque : Prérequis⚓
Version du kernel : 2.4 et ultérieures
Activer dans le kernel les extensions sans fil. Ex : Pour le noyau 2.6 : Device Drivers -> Networking Support -> Wireless Lan -> Wireless Drivers & extensions.
Installer le pilote de votre carte réseau Wi-Fi.
- Madwifi pour les cartes basées sur le chipset Atheros. Ce pilote est pré-packagé pour la majorité des distributions Linux. Ou bien alors, télécharger les dernières sources sur http://madwifi.sourceforge.net/ et compilez les à la main.
- Intel ipw2xxx, Prism, Atmel, Hermes ... à activer dans le kernel.
Installer les dépendances :
- glibc,
- Openssl.
Installer les Wireless Tools (packagé pour une majorité de distributions). Vous pourrez utiliser les commandes iwconfig, iwlist...
Une fois le pilote de votre carte réseau sans fil installé, charger les modules du driver (commandes lsmod, modprobe).
Procédure : Étapes de configuration et de connexion⚓
1. Installation de WPA_Supplicant
Un grand nombre de distributions Linux fournissent WPA_Supplicant en version pré-packagée : Ubuntu, Debian, Gentoo, RedHat, Mandriva ...
Sinon, vous pouvez charger les sources de la dernière version stable ICI et les compiler vous même. Pour que l'installation se déroule correctement, suivre les instructions du fichier README.
Avant de commencer la compilation de wpa_supplication, il faut créer un fichier de configuration appelé « .config » qui sera mis à la racine des sources. Pour cela, faire une copie du fichier « defconfig » en « .config ».
Dans ce fichier, vous trouverez des options de configuration du type CONFIG_EAP_TTLS=y.
Activer l'option qui correspond au driver de votre carte réseau sans fil. Attention, si vous utilisez une carte réseau sans fil dont le driver ne se trouve pas dans le kernel Linux, vous aurez besoin des sources du driver. Vérifier que les chemins des répertoires où se trouvent les sources soient exacts.
Exemple : Exemple : pour le driver MadWifi vous aurez dans votre fichier .config :⚓
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../madwifi #répertoire source de madwifi au même endroit que celui de WPA_Supplicant
Si vous utilisez toujours la même carte, vous pouvez commenter les lignes qui correspondent aux autres drivers.
En principe vous n'avez besoin de toucher à rien d'autre dans ce fichier de configuration. Vérifier que vous ayez au moins les options suivantes :
Exemple :
CONFIG_DRIVER_WEXT=y
CONFIG_IEEE802X_EAPOL=y
CONFIG_EAP_TTLS=y
CONFIG_CTRL_IFACE=y
Compiler les sources et installer wpa_supplicant et wpa_cli comme indiqué dans le fichier README.
Télécharger sur votre machine le certificat de l'autorité de certification racine.
2. Configuration de WPA_Supplicant
Compiler les sources et installer wpa_supplicant et wpa_cli comme indiqué dans le fichier README.
Exemple : Exemple⚓
# /var/run/wpa_supplicant is the recommended directory
# for sockets and by default, wpa_cli will use it when trying
# to connect with wpa_supplicant
# default, wpa_cli will use it when trying to connect with wpa_supplicant
ctrl_interface=/var/run/wpa_supplicant
#ctrl_interface_group=wheel
#Mettre cette ligne si vous souhaitez lancer wpa_supplicant avec
#un autre utilisateur que root (appartenant au groupe wheel)
ctrl_interface_group=0
# IEEE 802.1X/EAPOL version
# version (2)
eapol_version=1
ap_scan=1
fast_reauth=1
network={
ssid="eduroam"
proto=WPA2 WPA
scan_ssid=1
key_mgmt=WPA-EAP
# Il se peut que votre carte ne supporte pas CCMP
# Dans ce cas supprimez l'option CCMP "en VERT"
pairwise=CCMP TKIP
group=CCMP TKIP
eap=TTLS
# Indiquer l'emplacement du certificat que vous avez télécharger
ca_cert="/repertoire_comme_vous_voulez/AddTrust_External_CA_Root.pem"
anonymous_identity="anonymous@unistra.fr"
# phase2 user authentication
phase2="auth=PAP"
identity="user"
password="password"
Pour lancer WPA_Supplicant, chercher le nom de l'interface réseau Wi-Fi à l'aide de la commande iwconfig.
3. Connexion sur le réseau sans fil Osiris avec WPA_Supplicant
Lancer wpa_supplicant avec la commande :
wpa_supplicant -i "interface_wifi" -D "nom_du_driver" -c /etc/wpa_supplicant.conf
Exemple : Exemple : pour une carte munie d'un chipset Atheros, saisissez :⚓
wpa_supplicant -iath0 -Dmadwifi -c/etc/wpa_supplicant.conf
Pour trouver la liste des noms de drivers possibles, saisissez wpa_supplicant -?.
D'autres options possibles sont :
-d pour le mode debug (peut être utile) ;
-B pour mettre en background.
Une fois authentifié(e), ne pas oublier de lancer le client DHCP sur l'interface Wi-Fi.
4. Vérification de sa connexion
Pour vérifier la connexion à un un point d'accès, saisir la commande iwconfig.
Exemple :
# iwconfig ath0
ath0 IEEE 802.11g ESSID:"eduroam"
Mode:Managed Frequency:2.412GHz Access Point: 00:11:20:1B:33:B0
Bit Rate:36Mb/s Tx-Power:50 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:A568-4A03-5B21-2BE8-C90B-5EFD-64CB-630E Security mode:restricted
Power Management:off
Link Quality:35/94 Signal level:-60 dBm Noise level:-95 dBm
Rx invalid nwid:786 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
La présence d'un identifiant de point d'accès comme sur la ligne 3 (Access Point: 00:11:20:1B:33:B0) indique la réussite de la connexion à un point d'accès.
Lorsque vous n'êtes associé(e) à aucun point d'accès, la séquence FF:FF:FF:FF:FF:FF remplace cet identifiant.
Au niveau de la ligne 2 se trouve le ESSID:"eduroam" avec en premier le nom de l'interface (ath0).
A la ligne 8, l'indication Link Quality permet de vérifier la qualité du signal.
A la ligne 4 est indiqué le débit négocié avec le point d'accès.
Assurez vous maintenant que votre client DHCP est lancé sur l'interface Wi-fi. S'il était déjà actif avant que vous soyez authentifié(e), relancer-le afin qu'il récupère immédiatement les nouvelles configurations du réseau.
Exemple : Pour vérifier les nouvelles configurations IP saisir la commande ifconfig. Voici un exemple de configuration :⚓
# ifconfig
ath0 Lien encap:Ethernet HWaddr 00:0B:CD:5B:ED:77
inet adr: 130.79.119.75 Bcast:130.79.119.95 Masque:255.255.255.224
adr inet6: 2001:660:2402:2002:20b:cdff:fe5b:ed77/64 Scope:Global
adr inet6: fe80::20b:cdff:fe5b:ed77/64 Scope:Lien
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8157 errors:3667 dropped:0 overruns:0 frame:3665
TX packets:10865 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:199
RX bytes:1109774 (1.0 Mb) TX bytes:1472872 (1.4 Mb)
Interruption:5 Mémoire:e0968000-e0978000
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:300 (300.0 b) TX bytes:300 (300.0 b)
L'adresse IPv4 obtenue est de type 130.79.X.Y. Si le IPv6 est actif sur la machine, un préfixe IPv6 sera également obtenu.
Pour l'accès sécurisé à Osiris le préfixe est 2001:660:2402:2002.
De préférence, aucune autre interface ne doit être active à part l'interface sans fil et la loopback. Cela évite les problèmes de route par défaut.
Truc & astuce :
Pour vérifier les routes, saisir la commande netstat -rn.