Support WPA et WPA2 pour Linux

DIRECTION DES TECHNOLOGIES DE
L’INFORMATION
Division des infrastructures
Configuration 802.1x pour
LINUX
Configuration de la connexion réseau
sans fil ou câblé
Mis à jour le 26 novembre 2009
1- Support WPA et WPA2 pour Linux
Le réseau de l’Université Laval utilise les standards IEEE802.1x et IEEE802.11i
(WPA et WPA2) pour authentifier les utilisateurs. Il est possible de configurer les
postes Linux pour ces standards et ainsi vous permettre de vous connecter au
réseau de l'Université Laval. Les étapes suivantes vous permettront de vous
connecter au réseau de l'Université Laval en sans-fil ou sur les prises libre
service qui demandent de s’authentifier.
2- Logiciels requis
Le site web http://hostap.epitest.fi/wpa_supplicant/ vous offre la possibilité de
télécharger le code source du logiciel WPA_Supplicant et de le compiler sur
votre poste Linux. Cependant, il est possible d'utiliser des paquetages déjà
compilés afin de rendre l'installation plus simple et rapide. Pour ce faire, vous
pouvez utiliser les différents outils de votre distribution tels que « apt-get » sous
Debian, « up2date » sous RedHat, « yum » pour des RPM ou « yast » pour Suse
afin d'obtenir un tel paquetage. Voici quelques exemples :
.deb Debian : apt-get install wpasupplicant
.rpm RedHat : up2date -i wpa_supplicant
.rpm autres : yum install wpa_supplicant
Il est possible que le paquetage ne soit pas disponible à partir du processus
d'installation automatisé. Dans ce cas, vous pouvez vérifier les dépôts de logiciel
que votre poste utilise et en ajouter au besoin. Sous Debian par exemple, vous
pouvez enlever les commentaires du fichier /etc/apt/sources.list, faire un « aptget update » et refaire l'installation du paquetage "wpasupplicant" (sans le
souligné _) et l'installation se fera automatiquement par la suite. Le même
processus peut être fait sous RedHat ou toute autre distribution Linux. Vous
pouvez aussi rechercher un paquetage dans Google et l'installation avec la
commande RPM par la suite, ce qui est tout aussi valide.
3- Configuration du logiciel
Le fichier de configuration du logiciel wpa_supplicant est situé dans le répertoire
/etc/wpa_supplicant/ et porte le nom wpa_supplicant.conf. Vous devez adapter
ce fichier à l'environnement de l'Université Laval afin de vous connecter au
réseau de façon sécuritaire. wpa_supplicant vous permettra de vous connecter
au sans-fil ou aux prises libre service qui demandent une authentification (réseau
câblé).
1
#cat wpa_supplicant.conf
ctrl_interface=/var/run/wpa_supplicant
ap_scan=0
network={
id_str="UL_libre_service"
key_mgmt=IEEE8021X
eap=PEAP
phase2="auth=MSCHAPV2"
identity="IDUL"
password="NIP"
}
network={
id_str="UL_sansfil"
ssid="ulaval-wpa"
key_mgmt=IEEE8021X
eap=PEAP
phase2="auth=MSCHAPV2"
identity="IDUL"
password="NIP"
}
4. Démarrage du logiciel
Lorsque le fichier de configuration est complété, il ne reste qu'à démarrer le
logiciel en mode console afin de vérifier si tout fonctionne bien.
4.1 Pour les prises libre service (réseau câblé)
wpa_supplicant -d -c
/etc/wpa_supplicant/wpa_supplicant.conf -i eth0 -D
wired
l'option -d permet de voir les informations lors de la connexion, mode « debug »;
l'option -c nous spécifie le fichier de configuration;
l'option -i identifie l'interface réseau câblé que nous utilisons;
l'option -D identifie le mode "wired" donc réseau câblé.
Par la suite, vous pouvez enlever l'option -d et utiliser -B pour fonctionner en
"background". De plus, vous pouvez vous monter un petit script qui partira
l'authentification pour vous lors du démarrage de votre poste Linux.
2
4.2 Pour le réseau sans fil
Pour le réseau sans fil, la façon de faire est sensiblement la même à la
différence que l'interface "-i" sera différente et que le module "-D" sera celui
correspondant à votre carte réseau sans fil. Voici un exemple :
wpa_supplicant -d -c
/etc/wpa_supplicant/wpa_supplicant.conf -i wlan0 -D
wext
5. Vérification de la carte sans fil
Il est important aussi de s'assurer que la carte réseau sans fil de votre poste
Linux est bel et bien fonctionnelle avant même de penser utiliser l'authentification
WPA. Pour ce faire, vous pouvez utiliser les commandes suivantes :
#iwlist wlan0 scan
wlan0 est l'interface de la carte sans fil. Cette interface peut être différente sur
votre poste Linux.
Si vous obtenez une liste de réseau sans fil, c'est que votre carte est
fonctionnelle. Par la suite, il vous faudra déterminer le module "-D"
correspondant à votre carte sans fil. wpa_supplicant supporte par défaut
quelques modules dont les cartes ayant les chipset suivants :
pilotes:
hostap = Host AP driver (Intersil Prism2/2.5/3)
madwifi = MADWIFI 802.11 support (Atheros, etc.)
atmel = ATMEL AT76C5XXx (USB, PCMCIA)
wext = Linux wireless extensions (generic)
ndiswrapper = Linux ndiswrapper
ipw = Intel ipw2100/2200 driver
wired = wpa_supplicant wired Ethernet driver
Vous pouvez obtenir le pilote de votre carte sans fil en utilisant la commande
# lspci -v
# lspci -n (pour obtenir l'ID de votre carte sans fil)
Si votre carte ne correspond à aucun module précompilé de wpa_supplicant, il
est possible d'utiliser le mode "ndiswrapper" afin de permettre à votre carte sans
fil de fonctionner en WPA. Pour ce faire, il faudra désactiver le pilote sans fil natif
de Linux qui permet à votre carte de fonctionner et installer le logiciel
3
"ndiswrapper". Ce logiciel utilise par la suite le pilote de Windows XP dans Linux
afin d'activer votre carte sans fil. La commande "iwlist wlan0 scan" vous
permettra de valider que le pilote de Windows XP fonctionne bel et bien dans
votre Linux et alors, vous pourrez utiliser "ndiswrapper" dans wpa_supplicant afin
de vous authentifier au réseau de l'Université Laval.
Il est toujours possible d'ajouter votre propre module correspondant à votre carte
sans fil dans wpa_supplicant et par le fait même, ne pas avoir à utiliser
ndiswrapper mais cette technique demande de recompiler wpa_supplicant et
plusieurs autres modules ce qui peut parfois être complexe.
Si WPA Supplicant ne fonctionne pas en sans-fil, vous pouvez utiliser notre
service d’accès au sans-fil à partir du client VPN (PDF). Voir aussi la page
réseau sans fil de notre site Web.
6. Si vous avez besoin d’aide
Pour toute question ou commentaire, adressez-vous au Centre de soutien
techno.
Par courriel à l’adresse : [email protected]
Par téléphone :
418 656-3111
Sans frais au 1-877-7ULAVAL (1-877-785-2825), poste 3111
4