wpa_supplicant.conf − файл конфигурации для wpa_supplicant
wpa_supplicant настраивается с помощью текстового файла, который перечисляет все разрешенные сети и политики безопасности, включая общие (pre−shared) ключи. За подробной информацией по формату файла конфигурации и поддерживаемым полям обратитесь к примеру, который обычно находится в каталоге в /usr/share/doc/wpa_supplicant/.
Все пути в файле конфигурации должны быть полными путями (абсолютными, не связанными с рабочим каталогом), чтобы была возможность изменить рабочий каталог. Это может произойти, если wpa_supplicant запущен в фоновом режиме.
Изменения в файле конфигурации могут быть перезагружены отправкой сигнала SIGHUP процессу wpa_supplicant (’killall −HUP wpa_supplicant’). Так же перезагрузка может быть инициирована при помощи команды wpa_cli reconfigure.
Файл конфигурации может включать один или более блоков network, то есть по одному для каждого используемого SSID. wpa_supplicant автоматически выберет лучшую сеть, основываясь на порядке блоков network в файле конфигурации, уровне безопасности сети (предпочитаются WPA/WPA2) и мощности сигнала.
|
1. |
WPA−Personal (PSK) в качестве домашней сети и WPA−Enterprise с EAP−TLS в качестве рабочей сети. |
# разрешить использование оболочки (т. е., wpa_cli) всеми пользователями из группы ’wheel’
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
#
# домашняя сеть; разрешить все действительные шифры
network={
|
ssid="home" |
|
|
scan_ssid=1 |
|
|
key_mgmt=WPA−PSK |
|
|
psk="very secret passphrase" |
}
#
# рабочая сеть; использовать EAP−TLS с WPA; разрешить только шифры CCMP и TKIP
network={
|
ssid="work" |
|
|
scan_ssid=1 |
|
|
key_mgmt=WPA−EAP |
|
|
pairwise=CCMP TKIP |
|
|
group=CCMP TKIP |
|
|
eap=TLS |
|
|
identity="user@example.com" |
|
|
ca_cert="/etc/cert/ca.pem" |
|
|
client_cert="/etc/cert/user.pem" |
|
|
private_key="/etc/cert/user.prv" |
|
|
private_key_passwd="password" |
}
|
2. |
WPA−RADIUS/EAP−PEAP/MSCHAPv2 с RADIUS серверами, которые используют старый peaplabel (например, Funk Odyssey и SBR, Meetinghouse Aegis, Interlink RAD−Series) |
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
|
ssid="example" |
|
|
scan_ssid=1 |
|
|
key_mgmt=WPA−EAP |
|
|
eap=PEAP |
|
|
identity="user@example.com" |
|
|
password="foobar" |
|
|
ca_cert="/etc/cert/ca.pem" |
|
|
phase1="peaplabel=0" |
|
|
phase2="auth=MSCHAPV2" |
}
|
3. |
Конфигурация EAP−TTLS/EAP−MD5−Challenge с анонимной идентификацией для незашифрованного соединения. Реальная идентификация посылается только через зашифрованный туннель TLS. |
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
|
ssid="example" |
|
|
scan_ssid=1 |
|
|
key_mgmt=WPA−EAP |
|
|
eap=TTLS |
|
|
identity="user@example.com" |
|
|
anonymous_identity="anonymous@example.com" |
|
|
password="foobar" |
|
|
ca_cert="/etc/cert/ca.pem" |
|
|
phase2="auth=MD5" |
}
|
4. |
IEEE 802.1X (т. е., без WPA) с динамическими ключами WEP (требуют направленного вещания и широковещания); использовать аутентификацию EAP−TLS. |
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
|
ssid="1x−test" |
|
|
scan_ssid=1 |
|
|
key_mgmt=IEEE8021X |
|
|
eap=TLS |
|
|
identity="user@example.com" |
|
|
ca_cert="/etc/cert/ca.pem" |
|
|
client_cert="/etc/cert/user.pem" |
|
|
private_key="/etc/cert/user.prv" |
|
|
private_key_passwd="password" |
|
|
eapol_flags=3 |
}
|
5. |
Сочетание всех примеров, позволяющих большинство режимов конфигурации. Использование настроечных опций основывается на используемой политике безопасности в выбранной SSID. Этот пример предназначен в основном для тестирования и не рекомендуется для обычного использования. |
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
|
ssid="example" |
|
|
scan_ssid=1 |
|
|
key_mgmt=WPA−EAP WPA−PSK IEEE8021X NONE |
|
|
pairwise=CCMP TKIP |
|
|
group=CCMP TKIP WEP104 WEP40 |
|
|
psk="very secret passphrase" # очень секретная ключевая фраза |
|
|
eap=TTLS PEAP TLS |
|
|
identity="user@example.com" |
|
|
password="foobar" |
|
|
ca_cert="/etc/cert/ca.pem" |
|
|
client_cert="/etc/cert/user.pem" |
|
|
private_key="/etc/cert/user.prv" |
|
|
private_key_passwd="password" |
|
|
phase1="peaplabel=0" |
|
|
ca_cert2="/etc/cert/ca2.pem" |
|
|
client_cert2="/etc/cer/user.pem" |
|
|
private_key2="/etc/cer/user.prv" |
|
|
private_key2_passwd="password" |
}
|
6. |
Аутентификация для проводного Ethernet. Может использоваться с проводным интерфейсом или интерфейсом roboswitch (−Dwired или −Droboswitch в командной строке). |
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
ap_scan=0
network={
|
key_mgmt=IEEE8021X |
|
|
eap=MD5 |
|
|
identity="user" |
|
|
password="password" # пароль |
|
|
eapol_flags=0 |
}
Некоторые методы аутентификации EAP требуют использования сертификатов. EAP−TLS использует сертификат сервера и сертификат клиента, в то время как EAP−PEAP и EAP−TTLS требуют только сертификат сервера. При использовании сертификата клиента, соответствующий тайный файл ключа должен быть также указан в настройках. Если тайный ключ использует ключевую фразу, она должна быть настроена в wpa_supplicant.conf ("private_key_passwd").
wpa_supplicant поддерживает сертификаты X.509 в форматах PEM и DER. Сертификат пользователя и тайный ключ могут находиться в одном и том же файле.
Если сертификат пользователя и тайный ключ получены в формате PKCS#12/PFX, их нужно сконвертировать в формат PEM/DER, подходящий для wpa_supplicant. Это может быть сделано, например, следующими командами:
# преобразование сертификата клиента и тайного ключа в формат PEM
openssl pkcs12 −in example.pfx −out user.pem −clcerts
# преобразование сертификата CA (если имеется в файле PFX) в формат PEM
openssl pkcs12 −in example.pfx −out ca.pem −cacerts −nokeys
wpa_supplicant(8) openssl(1)
Перевод выполнен на сайте коллективных переводов http://translated.by. Авторы перевода Олег Безначев aka saturn721, Владимир Ступин <vladimir@stupin.su>.