如何在 Linux 上正确设置 eduroam 网络?有 CA 证书,没有 eduroam 网站的安装程序?

tag-icon tag-icon linux ssl-certificate authentication certificate wireless-networking
如何在 Linux 上正确设置 eduroam 网络?有 CA 证书,没有 eduroam 网站的安装程序?

尝试按照大学网站上的 eduroam 指南操作。您可以从以下网址下载公共安装程序http://www.eduroam.org/,选择大学,就这样。对于 Linux,这是一个 Python 文件,我必须从 开始python eduroam-linux-xyz.py,然后它会安装到~/.config/cat_installer,但这并不能使 eduroam 正常工作。

在此处输入图片描述

在此处输入图片描述

网络管理器配置失败,但如果您愿意,我们可以生成 WPA_supplicant 配置文件:

在此处输入图片描述

我输入了我的用户 ID,或者这里需要邮件吗?

在此处输入图片描述

在此处输入图片描述

在此处输入图片描述

在此处输入图片描述

“安装成功”,但我仍然必须输入如下所示相同的网络设置,并且互联网无法正常工作:

WPA-EAP 配置(更确切地说是 WPA/EAP-TTLS-PAP)需要以下项目:

SSID: eduroam  
Encryption: WPA Enterprise | WPA2 Enterprise (recommended)
EAP method: TTLS
Key: TKIP | AES (recommended)
Authentification: PAP
Anonymous identity: [email protected]
Identity: [email protected]

如果您输入这些设置,系统会要求您提供 CA(证书颁发机构)证书,但该指南中未列出(为什么没有?)。

此 CA 证书可在以下位置找到/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem,无需下载,这是我从中寻找的UNIX/Linux 上的 SSL 证书位置Eduroam 需要安装 CA 证书 - 他们可以解密 TLS 流量吗?

在此处输入图片描述

如果我随后输入其余设置,它仍然不起作用,并且我还尝试了 class_3 证书,就像这里一样,因为 class_2 可能已经过时了:

在此处输入图片描述

如何使用 eduroam?这样它就可以正常工作了?意思是,只要有它,就可以上网?

我有 Linux Mint,但这在所有 Linux 操作系统上应该都是一样的。

答案1

问答不是关于网络设置之间的变化,而是关于全球默认的 eduroam 网络设置:

CA 证书不可能有全球默认证书,因为它不用于连接 eduroam 网络本身,而是用于连接到您所在机构的EAP 服务器。(换句话说,CA 证书设置属于您所在机构使用的特定“外部身份验证”方法,例如 PEAP 或 EAP-TTLS。TLS 握手发生在里面PEAP/TTLS。

仅有的全球要求是“匿名身份”字段(又名“外部身份”)必须是user@domain格式正确的,并且域必须与您的家庭组织的域相匹配 - 这就是 eduroam 将 EAP 请求路由到家庭组织的方式。

(但是,eduroam 网络不验证外部用户名,因此通常指定[email protected]或甚至只是@the.domain作为外部身份 - 因此称为“匿名身份”。)

另一方面,身份字段对于被访问的组织或整个 eduroam 来说完全不可见 - 它会在 EAP TLS 隧道内以加密形式发送到您的主组织并在那里进行验证。因此,它也不能具有“全球默认”格式;每个组织都可以自行决定接受什么格式。

上面的设置条目有误。作为用户名,您必须输入完整的电子邮件,而不仅仅是用户名。指南中也有此说明,但在设置中可能会产生误解。

一些组织接受不带 @domain 后缀的用户名(通常是如果他们将相同的 RADIUS 服务器用于除 eduroam 之外的其他目的),而其他组织则故意拒绝此类用户名,因为它几乎总是表明用户忘记输入 @domain(即他们的“外部/匿名身份”字段也缺少一个,并且一旦用户访问另一个组织,这种配置就会停止工作)。通常,您应该始终包含域。

有可能是 a) 该指南是由其组织当时没有 @domain 要求的人员编写的,或者 b) 该指南是在考虑 Eduroam CAT 的情况下编写的,它会自动添加域。

如果您输入这些设置,系统会要求您提供 CA(证书颁发机构)证书,但该指南中未列出(为什么没有?)。

因为许多此类指南可以追溯到 WPA-EAP 客户端默认使用根本没有验证– 即,即使没有指定 CA 它仍然可以工作;UI 不会指示任何关于它不安全的信息;因此指定正确的 CA 是大多数学生不会经历的努力。

此外,您的家庭组织正在使用民众CA,所以在这里指定它没有什么用(因为没有什么可以阻止该 CA 的任何其他客户使用任何随机的 HTTPS 证书执行 MITM 攻击)。

本教程应该建议使用系统 CA,但指定一个域来匹配 EAP 服务器的“叶”证书(类似于 URL 与 HTTPS 证书的匹配方式)。不幸的是,屏幕截图中的 NetworkManager GUI 是旧版,不提供此选项 - 您需要通过 CLI 指定域。不过 Eduroam CAT 会自动执行此操作。

答案2

上述设置条目有误。作为用户名,您必须输入完整的电子邮件,而不仅仅是用户名。指南中也有这一项,但在设置中可能会产生误解。

别拿T-TeleSec_GlobalRoot_Class_3.pem就像我上面尝试的那样。这样一来,我的网络只能用 10m 左右。我需要类_2再次认证即可使其正常工作。

在此处输入图片描述

注意登录名只能是学号123456,而不能是完整的邮箱[电子邮件保护]您输入作为设置的用户名。

请注意,这只是一所大学的一个 eduroam 网络设置。其他大学可以在以下位置有其他条目:

  • 安全,
  • 身份验证,或
  • 内部验证。

问答不是关于网络设置之间的变化,而是关于全球默认的 eduroam 网络设置:

  • 匿名身份
  • CA 证书
  • 用户名(模式)

相关内容