Для подключения к EDUROAM (всемирная академическая конфедерация сетей Wi-Fi с роумингом пользователей между учреждениями / федерациями) в Linux вы потребуется настроить wpa_supplicant .

Инструкции и файлы часто могут быть немного специфичными для факультета и / или высшего уровня страны EDUROAM. Поэтому я сделаю ссылку на страницу на немецком языке с настройкой EDUROAM для 802.1X в федерации DE.

Ваш / etc / wpa_supplicant.conf должен выглядеть примерно так:

network = {
ssid = "eduroam"
key_mgmt = WPA-EAP
{{1} } eap = TTLS
(скрыто) # ваш логин
domain_suffix_match = "radius.lrz.de" # ваш локальный сервер RADIUS
subject_match = "radius.lrz.de" # ваш локальный сервер RADIUS
(скрытый) # ваш логин или анонимный общий логин
password = "XXXX" # ваш пароль {{ 1}} ca_cert = "/ etc / ssl / certs / Deutsche_Telekom_Root_CA_2.pem"
phase2 = "auth = PAP"
}

domain_suffix_match и subject_match из соображений безопасности, например чтобы убедиться, что вы подключаетесь к реальному серверу RADIUS, а не к поддельному. Если вы не знаете имя своего локального сервера RADIUS, попробуйте настроить wpa_supplicant для работы без этих двух директив.

У вас также может быть автоматический установщик в настройке CAT (eduroam Configuration Assistant Tool) вашего факультета, который может помочь вам или нет. (при условии, что преподаватели создали CAT-страницу)

Для получения более подробной информации проконсультируйтесь с местным экспертом-резидентом RADIUS / EDUROAM вашего факультета.

Заявление об ограничении ответственности: я поддерживаю RADIUS / EDUROAM факультета и советник FreeRadius федерации PT .

Относительно «все пользователи могут подключаться к этой сети»

Это устанавливает параметр "connection.permissions" в man nm-settings . Он контролирует, что только пользователь вашей системы может изменять, видеть и использовать соединение. Это также означает, что соединение автоматически подключается только в том случае, если пользователь вошел в систему. В обычной однопользовательской системе этот параметр не имеет большого значения (если вы не хотите, чтобы соединение автоматически подключалось перед входом в систему).

Относительно паролей

Для каждого свойства пароля (например, WPA PSK, секреты VPN и т. Д.) NetworkManager поддерживает атрибут «flags», который позволяет хранить пароль в масштабе всей системы (в виде обычного текста, в файле, доступном только пользователю root). , получить из сеанса пользователя, спрашивать всегда или не нужно. См. Раздел секреты в man nm-settings . В любом случае, когда NM нуждается в пароле, которого у него нет, он должен запросить другую программу для получения Это.Эта программа является так называемым «секретным агентом», который может либо запрашивать у пользователя пароль, либо извлекать его из связки ключей, или что-то еще. Такой программой является, например, nm-applet , nmcli , gnome-shell , plama-nm . Итак, обычно, когда вы запускаете графический сеанс, такой как KDE или Gnome, такой агент фактически работает. Это также означает, что если вы хотите автоматически подключиться перед входом в систему, вам либо нужно сохранить пароль в масштабе всей системы (в виде обычного текста), либо вам придется каким-то образом настроить секретный агент, который откуда-то извлекает секрет (последний потребует от вас взломать что-то самому, но в любом случае непонятно, откуда вы взяли пароль, так как никто не авторизован).

Что касается настройки флажков пароля и, следовательно, местоположения пароля, вы можете сделать это с помощью различных клиентов NM. Если вы используете nm-connection-editor , как показано на снимке экрана выше, вы увидите маленький значок в поле ввода пароля. Щелкните по нему и выберите все, что хотите.

Обратите внимание, что, например, в Gnome3, если вы сконфигурируете свою связку ключей с тем же паролем, что и ваш пароль пользователя, связка ключей может автоматически не отображаться, когда пользователь входит в систему. Такая установка позволяет вам сохранить пароль в связке ключей и для автоматического подключения при запуске сеанса gnome. Детали могут отличаться, и, вероятно, что-то подобное работает и с KDE.

Относительно файлов сертификатов

Все сертификаты в NetworkManager могут храниться как в строке, так и в виде пути. Inline не очень хорош, и на самом деле редактор nm-connection позволяет вам указывать только путь.Использование путей также проблематично, потому что NetworkManager (и wpa-supplicant, и плагины VPN) запускаются от имени другого пользователя, поэтому вы сами должны убедиться, что файлы доступны для NetworkManager. На практике это означает, например, убедиться, что они имеют правильную маркировку SELinux, что, в свою очередь, означает копирование сертификатов в ~ / .cert . Когда-нибудь это будет улучшено с помощью диспетчер сертификатов (вне NetworkManager) и вместо передачи файла (пути) использовать URL-адреса pkcs11 для ссылки на сертификаты в магазине.

Что касается того, где хранятся ваши подключения

Это зависит от настроенного вами плагина настроек (см. плагины в man NetworkManager.conf ). В Fedora это означает ifcfg-rh, ключевой файл по умолчанию. Поэтому предпочтительно, чтобы соединения были в формате ifcfg-rh (см. man nm-settings-ifcfg-rh , / etc / sysconfig / network-scripts / ifcfg-rh * ) и, во-вторых, в формате ключевого файла (см. man nm-settings-keyfile , / etc / NetworkManager / system-connections ).

Не ясно, почему KDE ведет себя иначе, чем Gnome. Вероятно, что-то с секретным агентом ( gnome-shell vs. Plasma-nm ) и настройкой связки ключей.