Eduroam в Софийския университет "Св. Климент Охридски"

Начало > Свързване към Eduroam под Linux в команден ред чрез NetworkManager

Свързване към Eduroam под Linux в команден ред чрез NetworkManager

Съдържание:

  1. Създаване на профил с настройки за свързване
  2. Използване на профила
  3. Как да получите помощ при проблем със свързването с мрежата "eduroam"

 

1. Създаване на профил с настройки за свързване

СТРОГО ПРЕПОРЪЧИТЕЛНО Е ДА ИЗВЪРШИТЕ НАСТРОЙКИТЕ ЗА СВЪРЗВАНЕ КЪМ EDUROAM В МРЕЖАТА НА СУ ПРЕДИ ДА ОТПЪТУВАТЕ В КОМАНДИРОВКА.

Преди да пристъпите към създаването на профила с настройки за свързване решете с кой от университетските си e-mail адреси ще се удостоверяване (вижте списъка с поддържаните пощенски домейни).

Инструментът nmtui все още не е използваем за настройка на WPA2 Enterprise връзки така, че за момента единствения начин за създаване на WPA2 Enterprise настройки в NetworkManager е чрез директно описание на параметрите на връзката като аргументи при изпълнението на nmcli.

За да може да сте сигурни, че ще изпратите потребителското име и парола за валидация до този RADIUS сървър, до който трябва, изтеглете сертификата SU ECC Root CA (необходим е за защита на канала за преноса на потребителското име и парола, заменете username с вашето потребителско име):

$ mkdir /home/username/.cert
$ chcon -t home_cert_t /home/username/.cert
$ cd /home/username/.cert
$ wget https://pki.uni-sofia.bg/crt/SU_ECC_Root_CA.crt

Ако в локалната система не може да бъде инсталиран wget, изтеглянето може да стане и с curl:

$ curl -O https://pki.uni-sofia.bg/crt/SU_ECC_Root_CA.crt

Ако WiFi адаптера не е активиран и видим от NetworkManager, той трябва да бъде активириан.

След това пристъпете към създаването на настройките за свързване към Eduroam:

$ sudo nmcli connection add type wifi con-name "eduroam" ifname wlan0 ssid "eduroam" -- wifi-sec.key-mgmt wpa-eap 802-1x.eap ttls 802-1x.phase2-auth pap 802-1x.identity "user@uni-sofia.bg" 802-1x.anonymous-identity "anonymous@uni-sofia.bg" 802-1x.ca-cert "/home/username/.cert/SU_ECC_Root_CA.crt" 802-1x.password 3423sd3easd32e

За примера, името на WiFi адаптера в системата е wlan0, а потребителското име е user@uni-sofia.bg (сменете го с вашето реално, вижте предварително списъка с поддържаните домейни). Обърнете внимание, че потребитеслкото име за анонимизация е anonymous@uni-sofia.bg (това е формалното име, което виждат посредниците в удостоверяването). ЗАДЪЛЖИТЕЛНО домейнът в този пощенски адрес трябва да съвпада с домейна в потребителското име. Например, ако потребителско име е test@lcpe.uni-sofia.bg, то потребителското име за анонимизация също трябва да съдържа домейна lcpe.uni-sofia.bg. т.е. да е от вида anonymous@lcpe.uni-sofia.bg. Паролата, която е указана след 802-1x.password е в явен вид. За това е добре след изпълнението на командния ред показан по-горе, да го премахнете от историята на интерпретатора (най-често bash).

При успешно изпълнение на горния команден ред ще видите името "eduroam" в списъка с профили с настройки за свързване към мрежи. Този списък може да бъде изведен с изпълнението на следния команден ред:

$ nmcli c s

 

2. Използване на профила

Преди да се свържете към безжичната мрежа "eduroam" за първи път, посетете адрес:

https://eduroam.bg/en/policy

и се запознайте с условията за използване.

След като профила с настройки за свързване към Eduroam е успешно създаден, той може да бъде използван, при условие, че безжичната мрежа с име "eduroam" е достъпна в момента.

$ sudo nmcli c up eduroam

При успешно свързване ще бъде изведено съобщение от вида:

Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/9)

За да проверите дали свързаността към "eduroam" е все още активна, известно време след като е била активирана по метода показан по-горе, изпълнете:

$ nmcli connection show --active

и проверете дали името на профила "eduroam" е в изведения списък. Ако не е, то свързаността към "eduroam" се е разпаднала по някаква причина (най-вероятно компютъра е бил преместен в зона извън обхвата на точката за достъп, появил се е твърде много шум в радио канала, WiFi адаптера има проблеми с драйвера и др).

В случай, че връзката до точката за достъп "eduroam" трябва да бъде нарочно прекратена, това може да стане по следния начин:

$ sudo nmcli c down eduroam

При успешно прекратяване на свързаността ще бъде изведено съобщение подобно на това:

Connection 'eduroam' successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/9)

 

3. Как да получите помощ при проблем със свързването с мрежата "eduroam"

Ако по някаква причина не можете да се свържете към мрежата "eduroam", използвайте алтернативна свързаност към Интернет за да изпратете писмо с описание на проблема до e-mail адрес:

В писмото:

  • опишете симптомите на проблема и ако трябва прикачете снимки от екрана за илюстрация;
  • укажете времето, по което е възникнал проблема с точност до минута и часовата зона, ако сте я променяли и е различна от тази в България;
  • опишете вашето Eduroam потребителско име, който във вашия случай е e-mail адреса, с който сте се удостоверили (НЕ ИЗПРАЩАЙТЕ ПАРОЛАТА!!!);
  • прикачете снимки от екрана (screenshots) с настройките за профила за свързване към безжичната мрежа "eduroam" (виж Приложение A описващо как да генерирате този файл);
  • опишете MAC адреса на вашия Wi-Fi адаптер(и) (виж Приложение B за описание на процедурата по намиране на MAC адреса);
  • (опционално) укажете сградата, в която сте се намирали по време на неуспешния опит за свързване, ако това е сграда в кампус на Софийския университет.

 

Приложение A: Генериране на файл съдържащ настройките за свързване до безжичната мрежа "eduroam"

$ nmcli -p -f general,802-1x,802-11-wireless-security c show eduroam > eduroam.txt

Генерираният файл eduroam.txt съдържа цялата информация относно настройките за свързване към "eduroam" без паролата. По-долу е даден пример за съдържанието, което ще бъде запазаено в този файл:

===============================================================================
                     Connection profile details (eduroam)
===============================================================================
802-1x.eap:                             ttls
802-1x.identity:                        username@uni-sofia.bg
802-1x.anonymous-identity:              anonymous@uni-sofia.bg
802-1x.pac-file:                        --
802-1x.ca-cert:                         /home/username/.cert/SU_ECC_Root_CA.crt
802-1x.ca-cert-password:                <hidden>
802-1x.ca-cert-password-flags:          0 (none)
802-1x.ca-path:                         --
802-1x.subject-match:                   --
802-1x.altsubject-matches:              --
802-1x.domain-suffix-match:             --
802-1x.client-cert:                     --
802-1x.client-cert-password:            <hidden>
802-1x.client-cert-password-flags:      0 (none)
802-1x.phase1-peapver:                  --
802-1x.phase1-peaplabel:                --
802-1x.phase1-fast-provisioning:        --
802-1x.phase1-auth-flags:               0x0 (none)
802-1x.phase2-auth:                     pap
802-1x.phase2-autheap:                  --
802-1x.phase2-ca-cert:                  --
802-1x.phase2-ca-cert-password:         <hidden>
802-1x.phase2-ca-cert-password-flags:   0 (none)
802-1x.phase2-ca-path:                  --
802-1x.phase2-subject-match:            --
802-1x.phase2-altsubject-matches:       --
802-1x.phase2-domain-suffix-match:      --
802-1x.phase2-client-cert:              --
802-1x.phase2-client-cert-password:     <hidden>
802-1x.phase2-client-cert-password-flags:0 (none)
802-1x.password:                        <hidden>
802-1x.password-flags:                  0 (none)
802-1x.password-raw:                    <hidden>
802-1x.password-raw-flags:              0 (none)
802-1x.private-key:                     --
802-1x.private-key-password:            <hidden>
802-1x.private-key-password-flags:      0 (none)
802-1x.phase2-private-key:              --
802-1x.phase2-private-key-password:     <hidden>
802-1x.phase2-private-key-password-flags:0 (none)
802-1x.pin:                             <hidden>
802-1x.pin-flags:                       0 (none)
802-1x.system-ca-certs:                 no
802-1x.auth-timeout:                    0
-------------------------------------------------------------------------------
802-11-wireless-security.key-mgmt:      wpa-eap
802-11-wireless-security.wep-tx-keyidx: 0
802-11-wireless-security.auth-alg:      --
802-11-wireless-security.proto:         --
802-11-wireless-security.pairwise:      --
802-11-wireless-security.group:         --
802-11-wireless-security.pmf:           0 (default)
802-11-wireless-security.leap-username: --
802-11-wireless-security.wep-key0:      <hidden>
802-11-wireless-security.wep-key1:      <hidden>
802-11-wireless-security.wep-key2:      <hidden>
802-11-wireless-security.wep-key3:      <hidden>
802-11-wireless-security.wep-key-flags: 0 (none)
802-11-wireless-security.wep-key-type:  unknown
802-11-wireless-security.psk:           <hidden>
802-11-wireless-security.psk-flags:     0 (none)
802-11-wireless-security.leap-password: <hidden>
802-11-wireless-security.leap-password-flags:0 (none)
802-11-wireless-security.wps-method:    0 (default)
-------------------------------------------------------------------------------

 

Приложение B: Как да откриете MAC адреса на вашия Wi-Fi адаптер

В изхода от изпълнението на следния команден ред:

$ nmcli -p -f general,wifi-properties device show

намерете секциите за устройства, за които GENERAL.NM-TYPE има стойност NMDeviceWifi, например:

===============================================================================
                         Device details (wlp0s18f2u1)
===============================================================================
GENERAL.DEVICE:                         wlp0s18f2u1
GENERAL.TYPE:                           wifi
GENERAL.NM-TYPE:                        NMDeviceWifi
GENERAL.VENDOR:                         ATHEROS
GENERAL.PRODUCT:                        USB2.0 WLAN
GENERAL.DRIVER:                         ath9k_htc
GENERAL.DRIVER-VERSION:                 3.10.0-862.11.6.el7.x86_64
GENERAL.FIRMWARE-VERSION:               1.4
GENERAL.HWADDR:                         96:93:AC:12:EC:20
GENERAL.MTU:                            1500
GENERAL.STATE:                          20 (unavailable)
GENERAL.REASON:                         2 (Device is now managed)
GENERAL.UDI:                            /sys/devices/pci0000:00/0000:00:12.2/usb1/1-1/1-1:1.0/net/wlp0s18f2u1
GENERAL.IP-IFACE:                       --
GENERAL.IS-SOFTWARE:                    no
GENERAL.NM-MANAGED:                     yes
GENERAL.AUTOCONNECT:                    yes
GENERAL.FIRMWARE-MISSING:               no
GENERAL.NM-PLUGIN-MISSING:              no
GENERAL.PHYS-PORT-ID:                   --
GENERAL.CONNECTION:                     --
GENERAL.CON-UUID:                       --
GENERAL.CON-PATH:                       --
GENERAL.METERED:                        unknown
-------------------------------------------------------------------------------
WIFI-PROPERTIES.WEP:                    yes
WIFI-PROPERTIES.WPA:                    yes
WIFI-PROPERTIES.WPA2:                   yes
WIFI-PROPERTIES.TKIP:                   yes
WIFI-PROPERTIES.CCMP:                   yes
WIFI-PROPERTIES.AP:                     yes
WIFI-PROPERTIES.ADHOC:                  yes
WIFI-PROPERTIES.2GHZ:                   yes
WIFI-PROPERTIES.5GHZ:                   no
-------------------------------------------------------------------------------

Броят на тези секции ще е равен на броя WiFi адаптери достъпни в системата. За всеки един от тях, MAC адреса е стойността на полето GENERAL.HWADDR.

 

Приложение C: Активиране на WiFi адаптера за използване от NetworkManager

За да се провери дали в момента WiFi адаптера е активиран и достъпен за NetworkManager, трябва да се изпълнени следния команден ред:

$ nmcli radio wifi

В случай, че WiFi адаптера е активен и достъпен за NetworkManager, резултата от изпълнение на горния команден ред ще е:

enabled

Ако резултатът е:

disabled

WiFi адаптера не е активен и в този случай той може да бъде активиран по следния начин:

$ sudo nmcli radio wifi on

Ако активацията е преминала успешно, следващото изпълнение на:

$ nmcli radio wifi

ще върне статус:

enabled

 

Приложение D: Извеждане на списъка с безжични мрежи, който WiFi адаптерът засича в момента

$ sudo nmcli device wifi rescan

Изчакайте 5-10 секунди и след това изпълнете:

$ nmcli device wifi list

и би следвало да видите списъка със засечените от WiFi адаптера безжични точки за достъп (една безжична мрежа може да е представена в списъка с повече от една точка за достъп):

IN-USE  SSID                            MODE   CHAN  RATE        SIGNAL  BARS  SECURITY
        Vesso's Samsung SM-T905         Infra  6     54 Mbit/s   100     ▂▄▆█  WPA2 802.1X 
        DIRECT-76-HP M452 LaserJet      Infra  6     65 Mbit/s   54      ▂▄__  WPA2
        USC Secure Wireless             Infra  6     65 Mbit/s   52      ▂▄__  WPA2 802.1X
        eduroam                         Infra  6     65 Mbit/s   52      ▂▄__  WPA2 802.1X
        USC Guest Wireless              Infra  6     65 Mbit/s   52      ▂▄__  --
        eduroam                         Infra  11    65 Mbit/s   49      ▂▄__  WPA2 802.1X
        eduroam                         Infra  44    540 Mbit/s  49      ▂▄__  WPA2 802.1X
        USC Secure Wireless             Infra  11    65 Mbit/s   45      ▂▄__  WPA2 802.1X
        eduroam                         Infra  36    540 Mbit/s  44      ▂▄__  WPA2 802.1X
        USC Secure Wireless             Infra  36    540 Mbit/s  44      ▂▄__  WPA2 802.1X
        USC Guest Wireless              Infra  36    540 Mbit/s  44      ▂▄__  --
        eduroam                         Infra  1     65 Mbit/s   37      ▂▄__  WPA2 802.1X
        USC Guest Wireless              Infra  1     65 Mbit/s   37      ▂▄__  --
        USC Secure Wireless             Infra  1     65 Mbit/s   35      ▂▄__  WPA2 802.1X
        HP-Print-0A-Officejet Pro 8610  Infra  11    54 Mbit/s   35      ▂▄__  WPA2
        CHARIOT-2.4GHz                  Infra  9     195 Mbit/s  32      ▂▄__  WPA2
        eduroam                         Infra  60    405 Mbit/s  30      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  1     65 Mbit/s   29      ▂___  --
        eduroam                         Infra  56    405 Mbit/s  29      ▂___  WPA2 802.1X
        USC Secure Wireless             Infra  56    405 Mbit/s  29      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  56    405 Mbit/s  29      ▂___  --
        USC Secure Wireless             Infra  60    405 Mbit/s  29      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  60    405 Mbit/s  29      ▂___  --
        eduroam                         Infra  149   195 Mbit/s  29      ▂___  WPA2 802.1X
        USC Secure Wireless             Infra  149   195 Mbit/s  27      ▂___  WPA2 802.1X
        USC Secure Wireless             Infra  149   195 Mbit/s  25      ▂___  WPA2 802.1X
        eduroam                         Infra  149   195 Mbit/s  24      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  149   195 Mbit/s  24      ▂___  --
        eduroam                         Infra  161   540 Mbit/s  22      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  161   540 Mbit/s  22      ▂___  --
        USC Secure Wireless             Infra  60    540 Mbit/s  20      ▂___  WPA2 802.1X
        USC Secure Wireless             Infra  161   540 Mbit/s  20      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  48    540 Mbit/s  19      ▂___  --
        eduroam                         Infra  52    540 Mbit/s  19      ▂___  WPA2 802.1X
        eduroam                         Infra  60    540 Mbit/s  19      ▂___  WPA2 802.1X
        USC Guest Wireless              Infra  52    540 Mbit/s  17      ▂___  --
        USC Guest Wireless              Infra  60    540 Mbit/s  17      ▂___  --
        USC Guest Wireless              Infra  60    540 Mbit/s  17      ▂___  --

Ако дадена мрежа има "*" пред името си в колоната IN-USE, то това означава, че в момента WiFi адаптера е свързан към нея.

 


Последна актуализация: 29 май 2023

Автор на първоначалната версия на документа: Веселин Колев

2023 УЦИКТ, Софийски университет