Connection='wireless'
Interface=      
Security='wpa-configsection'
Description="eduroam network"
IP='dhcp'
Priority=3
TimeoutWPA=30
WPAConfigSection=(
    'ssid="eduroam"'
    'proto=WPA2'
    'key_mgmt=WPA-EAP'
    'eap=PEAP'
    'phase2="auth=MSCHAPV2 password=<UGENT_PASSWORD>"'
    'identity="<UGENT_EMAIL>"'
    'password="<UGENT_PASSWORD>"'
)

gebruik certificaat pls

network={
	priority=10            # naar wens in te stellen, hoger nummer = hogere voorkeur
	ssid="eduroam"
	key_mgmt=WPA-EAP
	eap=PEAP
	identity="<UGENT_EMAIL>"
	password="<UGENT_PASSWORD>"
	phase1="peaplabel=0"
	phase2="auth=MSCHAPV2"
	group=CCMP TKIP
	ca_cert="/etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem"    # zie sectie "Certificaat"
	altsubject_match="DNS:ugnps.ugent.be"
}

Om ervoor te zorgen dat mensen die meekijken op je scherm je UGent-wachtwoord niet kunnen zien en onthouden, kun je het obfuscaten. Meer beveiliging dan tegen mensen die toevallig meekijken, biedt dit niet: men kan inloggen als jou als men dit geheim kent.

Voer uit:

read -sp "password: " pass && echo -n "$pass" | iconv -t utf16le | openssl md4

Kopieer de hex-string, en plak er “hash:” voor. De lijn in wpa_supplicant.conf moet er dan zo uitzien:

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

Certificaten checken is belangrijk om te vermijden dat je verbindt met rogue netwerken die een aanval kunnen doen op je account. Voor zover ik weet gaat wpa_supplicant certificaten niet checken tenzij je de optie ca_cert gebruikt.

Sinds 2021 is er een andere certificaatauthoriteit, GEANT OV RSA CA 4 (zie https://helpdesk.ugent.be/eduroam/). Met een webzoekopdracht zien we dat dat uitgevaardigd is door USERTrust. USERTrust is een CA die standaard geïnstalleerd staat op je OS, je kan die in de optie ca_cert zetten. Waarschijnlijk sturen onze eduroam-AP's dus een certificaatketen mee wanneer je wil verbinden.