VII.6 CONFIGURATION D'UN CLIENT
D'ACCÈS WI-FI SOUS LINUX UBUNTU
A. Installation de wpasupplicant
Les cartes Wi-Fi sont de mieux en mieux reconnues et souvent
tout marche directement. Les packages à installer sont néanmoins
les suivants :
F wireless-tools : contient les outils
iwconfig et iwlist permettant une gestion de
la connectivité wireless. iwlist permet de scanner le réseau
Wi-Fi afin de détecter les points d'accès accessibles. iwconfig
est un équivalent "wireless" à la commande ifconfig. Cet
utilitaire nous permet d'afficher et configurer l'adaptateur client sans fil
Wi-Fi.
F wpagui : interface graphique
d'accès aux réseaux Wi-Fi
F wpasupplicant : client d'accès au
supplicant.
Pour installer ces paquets, on tape dans un terminal:
aptitude install wpasupplicant wpagui
wireless-tools
Ensuite, on édite le fichier
/etc/network/interfaces :
sudo nano /etc/network/interfaces
Là dedans on modifie la section correspondant à
la carte Wi-Fi (ici eth1) :
auto eth1
wpa-conf
/etc/wpa_supplicant/wpa_supplicant.conf
Ensuite on va s'assurer que l'adresse MAC de l'interface Wi-Fi
de la machine figure dans la liste d'adresse Mac filtrée du point
d'accès.
Pour connaître son adresse MAC il suffit de taper
ifconfig dans un terminal avec le compte root.
B. Exportation et importation du certificat de
l'autorité de certification
La première étape du paramétrage du poste
client consiste donc en l'exportation du certificat de notre autorité de
certificat ayant certifié le serveur d'authentification et de l'importer
sur le client Linux.
Pour cela authentifions-nous sur le serveur d'authentification
(IAS) du domaine.
1. Cliquer sur Démarrer...
Outils Administratifs... Autorité de certification
2. Cliquer avec le bouton droit sur le nom de
l'autorité de certification puis sélectionner
Propriétés
3. Cliquer sur Voir le Certificat et dans
l'onglet Détails choisir Exporter vers un
fichier
4. Choisir le format PKCS # 7 et cocher
Inclure tous les certificats du chemin de certification si
possible
5. Finir d'exporter ce fichier en le sauvegardant sur un
support amovible.
Une fois ce fichier exporté, on va le copier dans le
répertoire où ont été placés les fichiers de
connexion Wi-Fi de l'utilisateur /home/user2/wifi/ et
procéder à sa conversion de format.
Nous devons convertir notre certificat encodé PKCS7
(Public Key Crypto System) au format PEM (Privacy Enhanced
Mail). Nous réalisons l'opération grâce à
OpenSSL et à la commande :
openssl pkcs7 -in cacert.p7b -out
cacert.pem
Où cacert.p7b représente le fichier que nous
avons récupéré de l'autorité de certification et
cacert.pem est le certificat que nous utiliserons avec wpa_supplicant.
C. Exportation et importation du certificat de
l'utilisateur
La seconde étape du paramétrage consiste en
l'exportation du certificat (clé publique et clé privée)
de l'utilisateur avec lequel nous souhaitons nous connecter sur
l'infrastructure. Pour obtenir les certificats utilisateurs, connectons-nous
sur une machine du domaine avec le compte utilisateur souhaité. Nous
présenterons ici une autre méthode pour exporter un certificat
différente de celles vues ci-dessus :
1. Cliquer sur Démarrer...
Exécuter...
2. Taper mmc puis ok
3. Cliquer sur Ajouter un composant logiciel
enfichable dans le menu Fichier
4. Cliquer sur Aouter puis sur
Certificats. Choisir : Le compte utilisateur
puis valider
5. Effectuer une requête de certificat pour cet
utilisateur si celui-ci n'en dispose pas déjà :
a. Cliquer sur Personnel puis
Certificats avec le bouton droit... Choisir Toutes les
Tâches... Demander un nouveau certificat
b. Choisir le type Authentification du client
c. Cocher : Paramètres
avancés
d. Cocher : Marquer cette clé comme
exportable
e. Finir l'assistant pour obtenir le certificat
6. Cliquer sur le certificat utilisateur avec
le bouton droit et cliquer sur Propriétés
7. Dans l'onglet Détails choisir
Exporter vers un fichier
8. Choisir Oui, exporter la clé
privée
9. Choisir le format PKCS # 12 et
valider
10. Définir un mot de passe pour protéger ces
clés
11. Finir d'exporter ce fichier en le sauvegardant sur un
support amovible.
Comme précédemment nous devons convertir notre
certificat encodé PKCS12 au format PEM. Nous réalisons
l'opération grâce à OpenSSL et à la commande :
openssl pkcs12 -in cert.pfx -out user2cert.pem
-nodes
Où cert.pfx représente le fichier que nous avons
récupéré de l'autorité de certification et
user2cert.pem est le certificat que nous utiliserons avec wpa_supplicant (ici
on a renommé pour l'utilisateur user2).
D. Configuration de wpa_supplicant
La configuration de wpa_supplicant repose sur l'édition
du fichier de configuration wpa_supplicant.conf. Nous
placerons ce fichier de configuration dans un répertoire utilisateur
afin que celui-ci reste confidentiel et ne puisse être utilisé par
un autre utilisateur de la machine. Un bon endroit pour stocker ce fichier
ainsi que les certificats associés peut être le répertoire
/home de l'utilisateur si les droits adéquats sont placés dessus.
L'édition de wpa_supplicant.conf donne :
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=2
ap_scan=1
fast_reauth=1
network={
ssid="wifi-cawad"
proto=WPA
key_mgmt=WPA-EAP
eap=TLS
identity="user2-wifi@cawad.com"
ca_cert="/home/user2/wifi/cacert.pem"
client_cert="/home/user2/wifi/user2cert.pem"
private_key="/home/user2/wifi/user2pk.pem"
private_key_passwd="password"
}
Nous déclarons dans la section network un ensemble de
paramètres relatifs à la connexion comme suit :
Rubrique
|
Paramètre
|
Ssid
|
Nom de notre réseau sans fil
|
key_mgmt
|
Méthode de gestion de la négociation des
clés 802.11
|
Proto
|
Méthode de chiffrement utilisé par le point
d'accès sans fil
|
Eap
|
Nom de la méthode EAP utilisée
|
identity
|
Nom d'utilisateur complet du domaine auquel on souhaite se
connecter. Celui-ci doit coïncider avec le nom déclaré dans
le certificat de l'utilisateur que l'on fourni.
|
ca_cert
|
Certificat de l'autorité de certification ayant
délivré le certificat au serveur authentifiant les clients
|
client_cert
|
Certificat de l'utilisateur
|
private_key
|
Clé privée de l'utilisateur
|
private_key_password
|
Mot de passe d'utilisation de la clé privée
déclaré lors de son importation sur la machine cliente.
|
Maintenant, on va configurer l'interface en lui donnant une
adresse IP, le masque de sous réseau, l'adresse de la passerelle et les
adresses DNS. On va alors éditer le fichier :
/etc/network/interfaces.
Si tout est prêt, on peut directement utiliser
ifup pour connecter l'interface et ifdown
pour déconnecter l'interface: sudo ifup eth1.
La configuration des différents éléments
du réseau effectuée, nous passons aux observations et aux tests
afin de faire part de tous les contours de notre projet.
|