WLAN Zugang mit NetworkManager über Zertifikatsautenthifizierung

[thatgui]

Hallo zusammen,

in meiner Firma wurde das Authentifizierungsverfahren für den WLAN - Zugang von PEAP mit Benutzer/Passwort Übergabe auf Zertifikatsübergabe umgestellt.
Leider habe ich jetzt keinen Plan, wie ich mein Linux-System über den Network Manager ans WLAN bekomme.
Ein exportiertes Zertifikat ist vorhanden, aber ich bin mir nicht sicher ob es funktioniert, da ich schon verschiedene Kombinationen (Authentifizierung / innere Authentifizierung) durchprobiert habe, aber die Schaltfläche zum übernehmen der Einstellungen immer ausgegraut bleibt.

Hat jemand Hinweise ?

 

[z80]

Leider habe ich jetzt keinen Plan, wie ich mein Linux-System über den Network Manager ans WLAN bekomme.

Voraussetzung ist für gewöhnlich ein dynamic override des NetworkManagers nebst WPA-Supplicant über etwaige statische Konfigurationen. Danach sollte ein Network Scan (per Widget oder iwlist) die entsprechende ESSID liefern. Sofern ich die folgenden Zeilen richtig interpretiere, scheinst du über diesen Schritt jedoch bereits hinaus zu sein.

Ein exportiertes Zertifikat ist vorhanden, aber ich bin mir nicht sicher ob es funktioniert, da ich schon verschiedene Kombinationen (Authentifizierung / innere Authentifizierung) durchprobiert habe, aber die Schaltfläche zum übernehmen der Einstellungen immer ausgegraut bleibt.

Das von dir beschriebene Szenario suggeriert folgende Parameter innerhalb von Network Connections → Wireless → Add/Edit → Tab Wireless Security:

• Security: WPA & WPA Enterprise
• Authentication: vermutlich PEAP (laut deiner Angaben); zuweilen kommen hier auch (Tunneled) TLS zum Einsatz
• Anonymous identity: abhängig von der Authentication Entity; zuweilen kann dieses Feld gänzlich leer gelassen werden; andere erwarten den Username (s. u.) mit oder ohne dem FQDN der Authentication Authority, wobei beide durch einen Klammeraffen in RFC822-Nomenklatur zu trennen sind.
• CA certificate: Pfad zu deinem Zertifikat.
• Inner authentication: es bietet sich an, mit MSCHAP V2 zu beginnen und sich im Fehlerfall langsam zu PAP herunter zu arbeiten.
• Username: selbsterklärend.
• Password: dito.

Bei nicht Zustandekommen der Verbindung sollten Authentication und Inner authentication permutiert werden. NetworkManager loggt per default mit mittlerer Verbosity nach /var/log/daemon.log.

Das beschriebene Phänomen des deaktivierten Apply-Buttons bei einigen Versionen des NetworkManagers ist ärgerlich. Hier hilft es zuweilen, die Parameter (willkürlich) zu modifizieren, um das Übernehmen der Daten anschließend erneut zu versuchen, oder den Bearbeitungsvorgang ab Add/Edit zu wiederholen.

 

[thatgui]

Sofern ich die folgenden Zeilen richtig interpretiere, scheinst du über diesen Schritt jedoch bereits hinaus zu sein.

Jupp, essid ist bekannt

Das beschriebene Phänomen des deaktivierten Apply-Buttons bei einigen Versionen des NetworkManagers ist ärgerlich. Hier hilft es zuweilen, die Parameter (willkürlich) zu modifizieren, um das Übernehmen der Daten anschließend erneut zu versuchen, oder den Bearbeitungsvorgang ab Add/Edit zu wiederholen.

In diesem Fall, war es ein Fehler meinerseits, ich hatte das Zertifikat im pfx - Format vorliegen, womit der NetworkManager anscheinen nicht umgehen kann. Ich habe das Zertifikat nun ins cer - Format exportiert, und damit scheint dieses Problem gelöst.

• Username: selbsterklärend.
• Password: dito.

Leider nicht so richtig selbsterklärend, laut Aussage der Admin - Vertretung wird weder Benutzername noch Passwort benötigt, um sich anzumelden. Die Feldprüfung im Verbindungs-Dialog des Network Manager speert aber die Apply Schaltfläche, wenn ich Benutzername und Passwort freilasse. "Dummy" - Einträge brachten leider auch keinen Erfolg.

NetworkManager loggt per default mit mittlerer Verbosity nach /var/log/daemon.log.

Auf meinem System scheint der NetworkManager nicht in diese Datei zu loggen (ist ein modifiziertes Angstrom).

Ich habe theoretisch eine funktionerende Windows - Konfiguration als "Blaupause", allerdings kann ich keine parallelen bei der Konfiguration erkennen.

 

[z80]

In diesem Fall, war es ein Fehler meinerseits, ich hatte das Zertifikat im pfx - Format vorliegen, womit der NetworkManager anscheinen nicht umgehen kann. Ich habe das Zertifikat nun ins cer - Format exportiert, und damit scheint dieses Problem gelöst.

Ja, ein Großteil der Werkzeuge aus dem *ix-Umfeld, insbesondere jene, die sich um OpenSSL scharen, verwenden PEM/CRT als Standard.

Leider nicht so richtig selbsterklärend, laut Aussage der Admin - Vertretung wird weder Benutzername noch Passwort benötigt, um sich anzumelden. Die Feldprüfung im Verbindungs-Dialog des Network Manager speert aber die Apply Schaltfläche, wenn ich Benutzername und Passwort freilasse.

Alle Achtung! Möglicherweise geht die „Authentisierung” ja via MAC-Adresse von statten. Gruselig klingt dies dennoch — beinahe so, als würde man eine Hand voller EC-Karten ohne PIN ausgeben.

Die einzige, mir noch bekannte, Methode ist, den Benutzernamen mit einem Realm in Form eines FQDN zu spezifizieren, wie es oben für die Anonymous identity angegeben ist. Aber auch dies würde die Angabe eines Passworts suggerieren.

"Dummy" - Einträge brachten leider auch keinen Erfolg.

Das klingt, als ob die Verbindung nach wie vor noch nicht erfolgreich aufgebaut werden konnte.

Auf meinem System scheint der NetworkManager nicht in diese Datei zu loggen (ist ein modifiziertes Angstrom).

Unter SuSE 11+ wird /var/log/NetworkManager/* verwendet. Der Ort mag verschieden sein, sollte sich jedoch vergleichsweise einfach ermitteln lassen.

Ein freundlicher Administrator würde überdies einen Blick in die Server-Logs werfen und zusätzliche Hilfestellung geben.

 

[thatgui]

Alle Achtung! Möglicherweise geht die „Authentisierung” ja via MAC-Adresse von statten. Gruselig klingt dies dennoch — beinahe so, als würde man eine Hand voller EC-Karten ohne PIN ausgeben.

Halte ich für unwahrscheinlich, da es mir so erscheint, dass das Zertifikat nicht Maschinenbezogen ist - ich kann mich erinnern, dass unser Admin sich mal tierisch über jemanden aufgeregt hat, der sein privates Notebook damit ins Netz gebracht hat.

Unter SuSE 11+ wird /var/log/NetworkManager/* verwendet. Der Ort mag verschieden sein, sollte sich jedoch vergleichsweise einfach ermitteln lassen.

Kann nichts derartiges finden, aber vielleicht wurde das logging für den NetworkManager ja manuell deaktiviert.

Ein freundlicher Administrator würde überdies einen Blick in die Server-Logs werfen und zusätzliche Hilfestellung geben.

Der überaus freundliche Administrator ist leider noch die nächsten Wochen in Übersee, und die Vertretung hat leider keine tieferliegenden Kenntnisse.


Ich werde dann wohl noch ein paar Wochen auf etwas Komfort verzichten müssen - aber danke für die Hilfe, deine Beiträge haben auf jeden Fall zur Wissenserweiterung angeregt (auch wenn der praktische Nutzen noch ausbleibt).