Connexion 802.1X EAP TLS avec Network Manager
Valable pour les Red Hat et dérivés (CentOS, Fedora etc.)
L'interface de NetworkManager dans GNOME pour se connecter à un réseau protégé par 802.1X en EAP-TLS est….quelque peu buguée. Le plus simple est de configurer ça à la main
- Créer le répertoire /etc/NetworkManager/certs (et un sous répertoire pour le profile à créer)
- Y placer les certificats au format PEM
- La CA qui a signé le certificat du serveur radius
- Le certificat client
- La clé privée du client
La clé privée doit être protégée par un mot de passe
La clé privée ne doit pas utiliser un chiffrement AES256, si c'est le cas, NetworkManager ne verra même plus le profile de connexion. Utilisez du DES
openssl rsa -des -in client.key -out client.protected.key
- Créer le profile de connexion dans /etc/sysconfig/network-scripts/ifcfg-<SSID>
HWADDR=74:E5:0B:DB:BA:5A ESSID=domain_EAPTLS MODE=Managed KEY_MGMT=WPA-EAP SECURITYMODE=open SSID_HIDDEN=yes MAC_ADDRESS_RANDOMIZATION=default TYPE=Wireless IEEE_8021X_EAP_METHODS=TLS IEEE_8021X_IDENTITY=client.domain.com IEEE_8021X_DOMAIN_MATCH=domain.com IEEE_8021X_CA_CERT=/etc/NetworkManager/certs/domain/radius_ca.crt IEEE_8021X_PRIVATE_KEY=/etc/NetworkManager/certs/domain/client.domain.com.protected.key IEEE_8021X_CLIENT_CERT=/etc/NetworkManager/certs/domain/client.domain.com.crt PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=dhcp DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=no IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no IPV6_ADDR_GEN_MODE=stable-privacy NAME=domain_EAPTLS UUID=083c03e8-e2c7-4821-bda8-3fcf36375f7c ONBOOT=yes
- Recharger les profiles
nmcli conn reload