802.1x authentifizierte Netzwerksteckdosen unter SuSE 10.1/10.3/11.0/11.1

Benutzeranleitung

Ausgangspunkt: Sie haben unter SuSE10.1 als Einrichtungsmethode ihrer Ethernetkarte Benutzergesteuert mithilfe von NetworkManager gewählt und die automatische Adressenkonfiguration (mit DHCP) eingeschaltet. Wireless LAN ist deaktiviert:

no WLAN

Das Netzwerkkabel ist noch nicht gesteckt.

Nach Installation von zwei kleinen Shell-Skripten und einer Konfigurationsdatei können Sie dann eine durch IEEE802.1x-Authentizierung geschützte Netzwerk-Steckdose folgendermaßen freischalten:

Starten Sie in einem Kommandofenster das Skript start_auth und geben Sie dass root-Paßwort ein:

start_auth

Bei Einstecken des Netzwerkkabels in die Netzwerksteckdose wird dann die Authentifikation und Freischaltung gemäß Ihrer in einer Konfigurationsdatei (siehe Installation) niedergelegten Userdaten automatisch durchgeführt, wie Sie im zur Kontrolle erschienenen wpa_gui-Fenster mitverfolgen können:

Kontrollfenster

Hinweis: Falls Sie eine Fehlermeldung erhalten, die besagt, dass die EAP-Authentifikation nicht erfolgreich war, schalten Sie Ihr Netzwerk mithilfe des NetworkManagers (unter Optionen) Offline und wieder Online, um den Anmeldevorgang erneut zu starten.

Vor Abschalten des Rechners deaktivieren Sie den Authentifizierungsmechanismus durch Drücken der Tastenkombination CTRL-C in dem Fenster, in dem Sie zuvor start_auth eingetippt haben:

Beenden von start_auth

Installation der Hilfsskripten und Konfigurationsdatei

Erzeugen Sie eine Datei /etc/wpa_supplicant.conf mit dem folgenden Inhalt:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel
ap_scan=0
network={
                key_mgmt=IEEE8021X
                eap=PEAP
                phase2="auth=MSCHAPV2"
                identity="IhrUserName"
                password="IhrPasswort"
                eapol_flags=0
        }

Lassen Sie gemäß dem Hinweis eventuell die Zeile für passwort beziehungsweise die beiden Zeilen für identity und passwort entfallen. Falls die Authentifizierungsdaten in der Datei stehen, so schützen Sie sie durch die Eingabe von: chmod go-xrw /etc/wpa_supplicant.conf

Erzeugen Sie eine Datei /root/bin/root_start_auth mit dem Inhalt:

#!/bin/sh
wpa_gui&
trap "kill -9 $!" 1 2 3 15
wpa_supplicant -c /etc/wpa_supplicant.conf -D wired -i eth0 -d  2>&1 >/dev/null

Sollte Ihre Ethernetkarte einen anderen Gerätenamen als eth0 besitzen, so passen Sie die letzte Zeile bitte entsprechend an.

Abschließend verlassen Sie den Superuser-Modus und legen in Ihrem User-bin-Ordner die Datei $HOME/bin/start_auth mit dem folgenden Inhalt an:

#!/bin/sh
sux -c /root/bin/root_start_auth 1> /dev/null

In openSUSE 11.0 bitte statt dessen "su -c ..." benutzen.

Hinweis:

Wenn Sie in der Konfigurationsdatei die Einträge für passwort beziehungsweise für identity und passwort nicht vornehmen, werden Sie beim Authentifizierungsvorgang mittel Dialogboxen für den Usernamen

start_auth

beziehungsweise das Paßwort

start_auth

zur interaktiven Eingabe aufgefordert. Durch die Nutzung verschiedener Accounts auf dem Authentifizierungsserver der Hochschule können Sie damit in verschiedene Subnetze gelangen. Das kann natürlich auch durch mehrere wpa_supplicant-Konfigurationsdateien und mehrere Startskripte erreicht werden.