Table of Contents
eduroam
Config voor netctl
Connection='wireless'
Interface=
Security='wpa-configsection'
Description="eduroam network"
IP='dhcp'
Priority=3
TimeoutWPA=30
WPAConfigSection=(
'ssid="eduroam"'
'proto=WPA2'
'key_mgmt=WPA-EAP'
'eap=PEAP'
'phase2="auth=MSCHAPV2 password=<UGENT_PASSWORD>"'
'identity="<UGENT_EMAIL>"'
'password="<UGENT_PASSWORD>"'
)
gebruik certificaat pls
Config voor wpa_supplicant
network={
priority=10 # naar wens in te stellen, hoger nummer = hogere voorkeur
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
identity="<UGENT_EMAIL>"
password="<UGENT_PASSWORD>"
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
group=CCMP TKIP
ca_cert="/etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem" # zie sectie "Certificaat"
altsubject_match="DNS:radius.ugent.be"
}
Wachtwoord obfuscaten
Om ervoor te zorgen dat mensen die meekijken op je scherm je UGent-wachtwoord niet kunnen zien en onthouden, kun je het obfuscaten. Meer beveiliging dan tegen mensen die toevallig meekijken, biedt dit niet: men kan inloggen als jou als men dit geheim kent.
Voer uit:
printf "password: "; read pass && printf '%s' "$pass" | iconv -t utf16le | openssl md4
Kopieer de hex-string, en plak er “hash:” voor. De lijn in wpa_supplicant.conf moet er dan zo uitzien:
password=hash:6602f435f01b9173889a8d3b9bdcfd0b
Certificaat
Certificaten checken is belangrijk om te vermijden dat je verbindt met valse netwerken die je aanmeldgegevens onderscheppen. Voor zover ik weet gaat wpa_supplicant certificaten niet checken tenzij je de optie ca_cert gebruikt.
Sinds 19 mei 2022 is de certificaatauthoriteit Sectigo RSA Organization Validation Secure Server CA (zie https://helpdesk.ugent.be/eduroam/). Met een webzoekopdracht zien we dat dat gecross-signed is door USERTrust. USERTrust is een CA die standaard geïnstalleerd staat op je OS, je kan die in de optie ca_cert zetten. De eduroam-AP's sturen een certificaatketen mee wanneer je wil verbinden, dus het UGent-certificaat zal dan herkend worden.
In plaats van het USERTrust-rootcertificaat expliciet op te geven, kun je ook alle geïnstalleerde root-certificates aanvaarden door ca_cert=“/etc/ssl/certs/ca-certificates.crt” te gebruiken.