802.1x网络认证
802.1x 概述
它是一种通过认证保护网络的端口访问协议。 这种类型的验证方法在 Wi-Fi 环境中因该媒体的性质而特别有用。 如果 Wi-Fi 用户通过 802.1x 进行身份验证来访问网络,接入点上会打开个用于通信的虚拟端口。 如果验证不成功,则不会提供虚拟端口,并将阻断通信。
802.1x 验证分为 3 个基本部分:
请求者 在 Wi-Fi 工作站上运行的软件客户端。
身份验证器 的 Wi-Fi 接入点。
身份验证服务器 的验证数据库,通常是一个 Radius 服务器 (例如 Cisco ACS* 、 Funk Steel-Belted RADIUS* 或 Microsoft IAS*) 。
可扩展验证协议 (EAP) 用于在请求方 (Wi-Fi 工作站) 和验证服务器 (Microsoft IAS 或其它) 之间传输验证信息。 实际验证有 EAP 类型定义和处理。 作为验证者的接入点只是一个允许请求者和验证服务器进行通信的代理。
我应该使用哪个?
应用哪一类 EAP 或是否执行 802.1x 取决于根据组织需求、管理开销和功能所需的安全级别。 此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难。
0x01. 设置有线
- 0x01. 打开有线的设置界面
- 0x02. 选择设置
- 0x03. Security选项
- 0x04. 打开802.1x Security选项
- 0x05. Authentication选择Protected EAP(PEAP)
- 0x06. Anonymous identity保持为空
- 0x07. CA certificate选择None
- 0x08. PEAP version 选择Automatic
- 0x09. Inner authentication选择MSCHAPv2
- 0x10. Username填写自己的邮箱前缀
- 0x11. Password填写自己的邮箱密码
0x02. 修改配置文件
网络连接文件的目录
/etc/NetworkManger/system-connections
查看当前的连接配置文件
➜ system-connections ls
D6000 tiger-jeeper ubuntu
hetfy j_pc_test Wired connection 1
iamcxl super_wifi
编辑有线连接
➜ system-connections sudo emacs Wired\ connection\ 1
把CA认证那一行删除(802-1x那一项)
[connection]
id=Wired connection 1
uuid=xxxxxxxx-xxxx-3b16-b385-xxxxxxxxxxxx
type=ethernet
permissions=
secondaries=
timestamp=1513558417
[ethernet]
duplex=full
mac-address=xx:7B:xx:xx:xx:2E
mac-address-blacklist=
[802-1x]
altsubject-matches=
eap=peap;
identity=iamcxl
password-flags=1
phase2-altsubject-matches=
phase2-auth=mschapv2
[ipv4]
dns-search=
method=auto
[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=auto
0x03. 设置无线
配置方式和有线配置类似,主要加入了验证功能(移除掉CA那一行:system-ca-cert=true)
[802-1x]
altsubject-matches=
eap=peap;
identity=iamcxl
password=******
password-flags=1
phase2-altsubject-matches=
phase2-auth=mschapv2