====== Connexion 802.1X EAP TLS avec Network Manager ======

<note tip>Valable pour les Red Hat et dérivés (CentOS, Fedora etc.)</note>

L'interface de NetworkManager dans GNOME pour se connecter à un réseau protégé par 802.1X en EAP-TLS est....quelque peu buguée.
Le plus simple est de configurer ça à la main

  * Créer le répertoire /etc/NetworkManager/certs (et un sous répertoire pour le profile à créer)
  * Y placer les certificats au format PEM
    * La CA qui a signé le certificat du serveur radius
    * Le certificat client
    * La clé privée du client

<note important>La clé privée **doit** être protégée par un mot de passe</note>
<note important>La clé privée ne doit pas utiliser un chiffrement AES256, si c'est le cas, NetworkManager ne verra même plus le profile de connexion. Utilisez du DES
<code bash>
openssl rsa -des -in client.key -out client.protected.key
</code>
</note>

  * Créer le profile de connexion dans /etc/sysconfig/network-scripts/ifcfg-<SSID>

<code>
HWADDR=74:E5:0B:DB:BA:5A
ESSID=domain_EAPTLS
MODE=Managed
KEY_MGMT=WPA-EAP
SECURITYMODE=open
SSID_HIDDEN=yes
MAC_ADDRESS_RANDOMIZATION=default
TYPE=Wireless
IEEE_8021X_EAP_METHODS=TLS
IEEE_8021X_IDENTITY=client.domain.com
IEEE_8021X_DOMAIN_MATCH=domain.com
IEEE_8021X_CA_CERT=/etc/NetworkManager/certs/domain/radius_ca.crt
IEEE_8021X_PRIVATE_KEY=/etc/NetworkManager/certs/domain/client.domain.com.protected.key
IEEE_8021X_CLIENT_CERT=/etc/NetworkManager/certs/domain/client.domain.com.crt
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=domain_EAPTLS
UUID=083c03e8-e2c7-4821-bda8-3fcf36375f7c
ONBOOT=yes
</code>

  * Recharger les profiles

<code bash>
nmcli conn reload
</code>