"모든 사용자가 이 네트워크에 연결할 수 있습니다"에 관하여

"모든 사용자가 이 네트워크에 연결할 수 있습니다"에 관하여

저는 eduroam(WPA2 기업 무선 네트워크)이 있는 대학에 다니는 학생입니다. 내 계정에서는 NetworkManager를 사용하여 구성되었습니다. 개요는 다음과 같습니다 nm-connection-editor.

여기에 이미지 설명을 입력하세요. 여기에 이미지 설명을 입력하세요.

"모든 사용자가 이 네트워크에 연결할 수 있습니다"라고 말하여 이를 시스템 연결로 표시했습니다. 실제로 이것은 작동하지 않습니다.

  • Awesome WM 세션에 자동으로 로그인하면 내 (GNOME?) 키링이 잠금 해제되지 않습니다. 연결을 시도하기 전에 비밀번호를 묻습니다. 짜증나는 일이군요. 어쨌든 내 디스크는 암호화되어 있습니다. root그래서 말하자면 비밀번호를 로 저장하고 싶습니다 .

  • KDE를 사용하여 다른 계정에 로그인하면 연결이 작동하지 않습니다.

따라서 여기에는 두 가지 잠재적인 문제가 있다고 생각합니다.

  1. 인증서 파일은 내 홈 디렉터리에 있습니다. 다른 사용자 계정은 내 홈 디렉터리를 읽을 수 없습니다. 인증서를 중앙 위치로 옮기면( /usr/share/내 추측으로는?) 인증서가 더 이상 손실되지 않으므로 다른 계정에서 사용할 수 있습니다.

  2. 비밀번호는 내 홈 디렉토리의 로컬 키링에 저장되어 있습니다. 암호는 시스템 전체에 저장되어야 합니다.

어쨌든 구성 파일이 표시되지 않습니다. 그거 어디서 났어나는 읽었다, NetworkManager는 D-Bus를 통해 통신하는 일부 서비스에 데이터를 저장합니다. 그래서 데이터가 저장됩니다.어딘가에.

시스템의 모든 사용자에게 자동으로 작동하는 시스템 전체 구성으로 만들려면 어떻게 해야 합니까?


주목할 가치가 있다면 배포판은 Fedora 24입니다.

답변1

연결을 위해교육 로밍, (사용자가 기관/컨소시엄 간에 로밍할 수 있는 글로벌 Wi-Fi 네트워크 학술 컨소시엄)을 설정해야 합니다 wpa_supplicant.

지침과 문서는 강사 및/또는 최고 EDUROAM 국가 수준을 대상으로 하는 경우가 많습니다. 그래서 EDUROAM 설정이 있는 독일어 페이지로 링크하겠습니다.802.1XDE 연맹에서.

당신의 /etc/wpa_supplicant.conf모습은 다음과 같을 것입니다:

네트워크={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLSidentity
="[이메일 보호됨]" # 로그인 이름
domain_suffix_match="radius.lrz.de" # 로컬 RADIUS 서버
subject_match="radius.lrz.de" # 로컬 RADIUS 서버
anonymous_identity="[이메일 보호됨]" # 귀하의 로그인 이름 또는 익명의 범용 로그인 이름
password="XXXX" # 귀하의 비밀번호 ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
stage2="auth=PAP"
}

domain_suffix_match보안상의 이유 때문 입니까 subject_match? 예를 들어 스푸핑된 서버가 아닌 실제 RADIUS 서버에 연결하고 있는지 확인하기 위한 것입니다. 로컬 RADIUS 서버의 이름을 모르는 경우 wpa_supplicant이 두 가지 지시문 없이 작업해 보세요.

자동 설치 프로그램이 있을 수도 있습니다.고양이(eduroam Configuration Assistant Tool) 교사 설정이 도움이 될 수도 있고 그렇지 않을 수도 있습니다. (교사가 CAT 페이지를 만든 경우)

자세한 내용은 해당 부서의 현지 RADIUS/EDUROAM 상주 전문가에게 문의하세요.

면책조항: 저는 교수진의 RADIUS/EDUROAM 관리자입니다.자유 반경컨설턴트PT 연맹.

답변2

"모든 사용자가 이 네트워크에 연결할 수 있습니다"에 관하여

이렇게 하면 "connection.permissions" 옵션이 설정됩니다 man nm-settings. 시스템 사용자만 연결을 수정하고 보고 사용할 수 있도록 제어합니다. 이는 사용자가 로그인할 때만 연결이 자동으로 연결된다는 의미이기도 합니다. 일반적인 단일 사용자 시스템에서는 이 설정이 중요하지 않습니다(로그인하기 전에 자동으로 연결을 원하지 않는 한).

비밀번호에 대하여

각 비밀번호 속성(예: WPA PSK, VPN 비밀 등)에 대해 NetworkManager는 비밀번호를 시스템 전체에 저장할 수 있는 "플래그" 속성을 지원합니다(루트에서만 액세스할 수 있는 파일의 일반 텍스트로). 사용자 세션 검색, 항상 묻기 또는 필요하지 않음. secrets의 섹션을 참조하세요 man nm-setttings. 그럼에도 불구하고 NM이 가지고 있지 않은 암호가 필요할 때마다 이를 얻기 위해 다른 프로그램을 요청해야 합니다. 이 프로그램은 사용자에게 비밀번호를 묻는 메시지를 표시하거나 키링에서 비밀번호를 검색하는 등의 기능을 갖춘 소위 "비밀 에이전트"입니다. 그러한 프로그램의 예는 nm-applet,,,,입니다. 따라서 일반적으로 KDE 또는 Gnome과 같은 그래픽 세션을 실행할 때 이러한 에이전트가 실제로 실행됩니다. 이는 또한 로그인하기 전에 자동으로 연결하려면 시스템 전체에 걸쳐 비밀번호를 (일반 텍스트로) 저장해야 하거나 어딘가에서 비밀을 검색하기 위해 어떻게든 비밀 프록시를 설정해야 함을 의미합니다. 직접 해킹했지만 로그인한 사람이 없기 때문에 비밀번호를 어디서 얻었는지 확실하지 않습니다.)nmclignome-shellplama-nm

비밀번호 플래그와 비밀번호 위치를 구성하는 방법은 다양한 NM 클라이언트를 사용하여 완료할 수 있습니다. 위 스크린샷을 따라 가시면 nm-connection-editor비밀번호 입력란에 작은 아이콘이 보이실 겁니다. 그것을 클릭하고 원하는 것을 선택하십시오.

예를 들어 Gnome3에서 사용자 비밀번호와 동일한 비밀번호로 키링을 구성하면 사용자가 로그인할 때 키링이 자동으로 표시되지 않을 수 있습니다. 이러한 설정을 사용하면 키링에 비밀번호를 저장하고 그놈 세션을 시작할 때 자동으로 연결할 수 있습니다. 세부 사항은 다를 수 있으며 KDE에도 비슷한 내용이 적용될 수 있습니다.

인사말 인증서 파일

NetworkManager의 모든 인증서는 온라인으로 저장하거나 경로로 저장할 수 있습니다. 인라인 처리는 좋지 않습니다. 실제로 nm-connection-editor에서는 경로 지정만 허용합니다. NetworkManager(wpa-supplicant 및 VPN 플러그인 포함)가 다른 사용자로 실행되기 때문에 경로를 사용하는 것도 문제가 됩니다. 따라서 NetworkManager가 이러한 파일에 액세스할 수 있는지 직접 확인해야 합니다. 실제로 이는 예를 들어 올바른 SELinux 레이블이 있는지 확인하는 것을 의미하며 이는 결국 ~/.cert인증서 관리자(NetworkManager 외부)를 사용하고 pkcs11 URL을 사용하여 저장소의 인증서를 참조함으로써 인증서를 . 파일(경로)을 전달하는 대신 개선될 것입니다.

연결이 저장되는 위치는

이는 플러그인을 구성하는 설정에 따라 다릅니다(참조 plugins) man NetworkManager.conf. Fedora에서는 이것이 ifcfg-rh,keyfile기본적으로 의미됩니다. 따라서 연결은 ifcfg-rh형식( man nm-settings-ifcfg-rh, 참조 /etc/sysconfig/networking-scripts/ifcfg-rh*)에서 가장 잘 이루어지며, 두 번째로 키 파일 형식( man nm-settings-keyfile, 참조 /etc/NetworkManager/system-connections)에서 연결됩니다.

KDE가 Gnome과 다르게 동작하는 이유는 확실하지 않습니다. 아마도 비밀 요원( gnome-shellvs. plasma-nm) 및 키체인 설정 과 관련이 있을 것입니다 .

관련 정보