Differences

This shows you the differences between two versions of the page.

--- eduroam [2017/10/03 19:06]
rienspy created
+++ eduroam [2022/05/19 19:06] (current)
midgard [Certificaat]
@@ Line 1: / Line 1: @@
-Config voor netctl:
+====== eduroam ======
+===== Config voor netctl =====
 <code>
 Connection='wireless'
@@ Line 13: / Line 16: @@
     'key_mgmt=WPA-EAP'
     'eap=PEAP'
-    'phase2="auth=MSCHAPV2 password=<PASSWORD>"'
+    'phase2="auth=MSCHAPV2 password=<UGENT_PASSWORD>"'
-    'identity="<USERNAME>@ugent.be"'
+    'identity="<UGENT_EMAIL>"'
-    'password="<PASSWORD>"'
+    'password="<UGENT_PASSWORD>"'
 )
 </code>
+FIXME gebruik certificaat pls
+===== Config voor wpa_supplicant =====
+<code>
+network={
+	priority=10            # naar wens in te stellen, hoger nummer = hogere voorkeur
+	ssid="eduroam"
+	key_mgmt=WPA-EAP
+	eap=PEAP
+	identity="<UGENT_EMAIL>"
+	password="<UGENT_PASSWORD>"
+	phase1="peaplabel=0"
+	phase2="auth=MSCHAPV2"
+	group=CCMP TKIP
+	ca_cert="/etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem"    # zie sectie "Certificaat"
+	altsubject_match="DNS:radius.ugent.be"
+}
+</code>
+==== Wachtwoord obfuscaten ====
+Om ervoor te zorgen dat mensen die meekijken op je scherm je UGent-wachtwoord niet kunnen zien en onthouden, kun je het obfuscaten. Meer beveiliging dan tegen mensen die toevallig meekijken, biedt dit niet: men kan inloggen als jou als men dit geheim kent.
+Voer uit:
+<code>
+printf "password: "; read pass && printf '%s' "$pass" | iconv -t utf16le | openssl md4
+</code>
+Kopieer de hex-string, en plak er "hash:" voor. De lijn in wpa_supplicant.conf moet er dan zo uitzien:
+<code>
+password=hash:6602f435f01b9173889a8d3b9bdcfd0b
+</code>
+===== Certificaat =====
+Certificaten checken is belangrijk om te vermijden dat je verbindt met valse netwerken die je aanmeldgegevens onderscheppen. Voor zover ik weet gaat wpa_supplicant certificaten niet checken tenzij je de optie ca_cert gebruikt.
+Sinds 19 mei 2022 is de certificaatauthoriteit //Sectigo RSA Organization Validation Secure Server CA// (zie https://helpdesk.ugent.be/eduroam/). Met een webzoekopdracht zien we dat dat gecross-signed is door USERTrust. USERTrust is een CA die standaard geïnstalleerd staat op je OS, je kan die in de optie ca_cert zetten. De eduroam-AP's sturen een certificaatketen mee wanneer je wil verbinden, dus het UGent-certificaat zal dan herkend worden.
+In plaats van het USERTrust-rootcertificaat expliciet op te geven, kun je ook alle geïnstalleerde root-certificates aanvaarden door //ca_cert="/etc/ssl/certs/ca-certificates.crt"// te gebruiken.