Переводы страниц руководства

Новости   Список переводов по пакетам   Все переводы   Репозиторий Debian   Как нам помочь   Участники проекта   Словарь терминов

Страницы руководства  - WPA_SUPPLICANT.CONF (5)


НАЗВАНИЕ

wpa_supplicant.conf - файл конфигурации для wpa_supplicant

ОБЩИЙ ОБЗОР

wpa_supplicant настраивается с помощью текстового файла, который перечисляет все разрешенные сети и политики безопасности, включая общие (pre-shared) ключи. Обратитесь к примеру файла конфигурации, возможно в /usr/share/doc/wpa_supplicant/, за подробной информацией по формату конфигурации и поддерживаемым полям.

Все пути в файле конфигурации должны быть полными путями (абсолютными, не связанными с рабочим каталогом), чтобы была возможность изменить рабочий каталог. Это может произойти, если wpa_supplicant запущен в фоновом режиме.

Изменения в файле конфигурации могут быть перезагружены отправкой сигнала SIGHUP процессу wpa_supplicant (’killall -HUP wpa_supplicant’). Так же, перезагрузка может быть запрошена с помощью команды wpa_cli reconfigure.

Файл конфигурации может включать один или более блоков network, то есть, по одному для каждого используемого SSID. wpa_supplicant автоматически выберет лучшую сеть, основываясь на порядке блоков network в файле конфигурации, уровне безопасности сети (предпочитаются WPA/WPA2), и мощности сигнала.

КОРОТКИЕ ПРИМЕРЫ

1. WPA-Personal (PSK) в качестве домашней сети и WPA-Enterprise с EAP-TLS в качестве рабочей сети.
# разрешить использование оболочки (т. е., wpa_cli) всеми пользователями из группы ’wheel’
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
#
# домашняя сеть; разрешить все действительные шифры
network={
        ssid="home"
        scan_ssid=1
        key_mgmt=WPA-PSK
        psk="very secret passphrase"
}
#
# рабочая сеть; использовать EAP-TLS с WPA; разрешить только шифры CCMP и TKIP
network={
        ssid="work"
        scan_ssid=1
        key_mgmt=WPA-EAP
        pairwise=CCMP TKIP
        group=CCMP TKIP
        eap=TLS
        identity="user@example.com"
        ca_cert="/etc/cert/ca.pem"
        client_cert="/etc/cert/user.pem"
        private_key="/etc/cert/user.prv"
        private_key_passwd="password"
}

2. WPA-RADIUS/EAP-PEAP/MSCHAPv2 с RADIUS серверами, которые используют старый peaplabel (например, Funk Odyssey и SBR, Meetinghouse Aegis, Interlink RAD-Series)
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
        ssid="example"
        scan_ssid=1
        key_mgmt=WPA-EAP
        eap=PEAP
        identity="user@example.com"
        password="foobar"
        ca_cert="/etc/cert/ca.pem"
        phase1="peaplabel=0"
        phase2="auth=MSCHAPV2"
}

3. Конфигурация EAP-TTLS/EAP-MD5-Challenge с анонимной идентификацией для незашифрованного соединения. Реальная идентификация посылается только через зашифрованный туннель TLS.
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
        ssid="example"
        scan_ssid=1
        key_mgmt=WPA-EAP
        eap=TTLS
        identity="user@example.com"
        anonymous_identity="anonymous@example.com"
        password="foobar"
        ca_cert="/etc/cert/ca.pem"
        phase2="auth=MD5"
}

4. IEEE 802.1X (т. е., без WPA) с динамическими ключами WEP (требуют направленного вещания и широковещания); использовать аутентификацию EAP-TLS.
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
        ssid="1x-test"
        scan_ssid=1
        key_mgmt=IEEE8021X
        eap=TLS
        identity="user@example.com"
        ca_cert="/etc/cert/ca.pem"
        client_cert="/etc/cert/user.pem"
        private_key="/etc/cert/user.prv"
        private_key_passwd="password"
        eapol_flags=3
}

5. Сочетание всех примеров, позволяющих большинство режимов конфигурации. Использование настроечных опций основывается на используемой политике безопасности в выбранной SSID. Этот пример предназначен в основном для тестирования и не рекомендуется для обычного использования.
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
        ssid="example"
        scan_ssid=1
        key_mgmt=WPA-EAP WPA-PSK IEEE8021X NONE
        pairwise=CCMP TKIP
        group=CCMP TKIP WEP104 WEP40
        psk="very secret passphrase" # очень секретная ключевая фраза
        eap=TTLS PEAP TLS
        identity="user@example.com"
        password="foobar"
        ca_cert="/etc/cert/ca.pem"
        client_cert="/etc/cert/user.pem"
        private_key="/etc/cert/user.prv"
        private_key_passwd="password"
        phase1="peaplabel=0"
        ca_cert2="/etc/cert/ca2.pem"
        client_cert2="/etc/cer/user.pem"
        private_key2="/etc/cer/user.prv"
        private_key2_passwd="password"
}

6. Аутентификация для проводного Ethernet. Может использоваться с проводным интерфейсом (-Dwired в командной строке).
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
ap_scan=0
network={
        key_mgmt=IEEE8021X
        eap=MD5
        identity="user"
        password="password" # пароль
        eapol_flags=0
}

СЕРТИФИКАТЫ

Некоторые методы аутентификации EAP требуют использования сертификатов. EAP-TLS использует сертификат сервера и сертификат клиента, в то время как EAP-PEAP и EAP-TTLS требуют только сертификат сервера. При использовании сертификата клиента, соответствующий тайный файл ключа должен быть также указан в настройках. Если тайный ключ использует ключевую фразу, она должна быть настроена в wpa_supplicant.conf ("private_key_passwd").

wpa_supplicant поддерживает сертификаты X.509 в форматах PEM и DER. Сертификат пользователя и тайный ключ могут находиться в одном и том же файле.

Если сертификат пользователя и тайный ключ получены в формате PKCS#12/PFX, их нужно сконвертировать в формат PEM/DER, подходящий для wpa_supplicant. Это может быть сделано, например, следующими командами:

# преобразование сертификата клиента и тайного ключа в формат PEM
openssl pkcs12 -in example.pfx -out user.pem -clcerts
# преобразование сертификата CA (если имеется в файле PFX) в формат PEM
openssl pkcs12 -in example.pfx -out ca.pem -cacerts -nokeys

СМОТРИ ТАКЖЕ

wpa_supplicant(8) openssl(1)

АВТОРЫ ПЕРЕВОДА

Перевод выполнен на сайте коллективных переводов http://translated.by. Авторы перевода Олег Безначев aka saturn721, Владимир Ступин <wheelof@gmail.com>.


WPA_SUPPLICANT.CONF (5) 02 декабря 2008
Перейти в начало страницы |  Раздел 5 |  Главный указатель.
Сгенерировано manServer 1.07 из /home/stupin/man/man5/wpa_supplicant.conf.5.gz с использованием макросов man.