wpa_supplicant

A wpa_supplicant egy kérelmező program. (Kérő, kéregető, szuplikáció, szuplikáns). A Wi-Fi hitelesítést bonyolítja le (ami a Wi-Fi kapcsolatunk létrejötte előtt szokott megtörténni), így ő maga is a teljes hálózatkezelés részét képezi. Opcionálisan képes az interfészek megjelenítésére is.

Telepítés

Előfeltételként előfordulhat olyan eset, hogy a vezeték nélküli támogatást és a szükséges vezeték nélküli eszköz-illesztőprogramokat aktiválni kell a kernelben az IEEE 802.11 szakaszban leírtak szerint.^[1]

USE jelölőzászlók

Emerge

A USE jelölőzászlók áttekintése után telepítse a net-wireless/wpa_supplicant szoftvercsomagot a Portage szoftvercsomag-kezelő emerge segédprogramjával:

Közvetlen kapcsolódás

Gyors kapcsolódás

Csatlakozás kettő interfészhez

A wpa_supplicant több interfészt (rádiót) vezérelhet úgy, hogy minden egyes interfészhez külön-külön egy folyamatot futtat, vagy csak egy folyamatot és opciók listáját futtatja a parancssorban. Minden interfész -N argumentummal van elválasztva. A következő parancs elindítja a wpa_supplicant programot két interfész számára:

Beállítás

Fájlok

Minimális beállítás

A wpa_supplicant magába foglal egy eszközt (wpa_passphrase), amely segítségével a parancssorból gyorsan írhat hálózati blokkot az előre megosztott kulcsú (WPA-PSK, más néven jelszóval védett) hálózatokhoz. A wpa_passphrase használata:

Vezeték nélküli interfész beállítása

Egyetlen vezeték nélküli interfésszel való használathoz csak egy beállításfájlra lesz szükség.

# Allow users in the 'wheel' group to control wpa_supplicant
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
 
# Make this file writable for wpa_gui / wpa_cli
update_config=1

Azért, hogy a jogosultság nélküli felhasználók is kontrollálhassák a kapcsolatot a wpa_gui / wpa_cli segítségével, győződjön meg arról, hogy ezek a felhasználók benne vannak a wheel csoportban.

Ez a fájl alapértelmezés szerint nem létezik. Egy jól dokumentált sablon beállításfájl átmásolható a /usr/share/doc/${P}/wpa_supplicant.conf.bz2 fájlból, ahol a P változó értéke a jelenleg emerge-vel összeállított wpa_supplicant neve és verziója:

WPA2 titkosítás használata a wpa_supplicant programmal

Csatlakozás vezeték nélküli hozzáférési ponthoz, amely az AzÖnSSIDNeve szöveget mutatja:

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
#ap_scan=0
#update_config=1
 
network={
        ssid="Az Ön SSID azonosítója (Wi-Fi router SSID-je ahova Ön felakar csatlakozni)"
        psk="Az Ön titkos Wi-Fi jelszava"
        scan_ssid=1
        proto=RSN
        key_mgmt=WPA-PSK
        group=CCMP TKIP
        pairwise=CCMP TKIP
        priority=5
}

Beállításfájl dinamikus WEP kulcsokkal

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
	ssid="1x-test"
	scan_ssid=1
	key_mgmt=IEEE8021X
	eap=TLS
	identity="user@example.com"
	ca_cert="/etc/cert/ca.pem"
	client_cert="/etc/cert/user.pem"
	private_key="/etc/cert/user.prv"
	private_key_passwd="password"
	eapol_flags=3
}

Többé-kevésbé minden beállításmódot engedélyez

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
	ssid="example"
	scan_ssid=1
	key_mgmt=WPA-EAP WPA-PSK IEEE8021X NONE
	pairwise=CCMP TKIP
	group=CCMP TKIP WEP104 WEP40
	psk="very secret passphrase"
	eap=TTLS PEAP TLS
	identity="user@example.com"
	password="foobar"
	ca_cert="/etc/cert/ca.pem"
	client_cert="/etc/cert/user.pem"
	private_key="/etc/cert/user.prv"
	private_key_passwd="password"
	phase1="peaplabel=0"
	ca_cert2="/etc/cert/ca2.pem"
	client_cert2="/etc/cer/user.pem"
	private_key2="/etc/cer/user.prv"
	private_key2_passwd="password"
}

Vezetékes 802.1x interfész beállítása

A vezetékes kapcsolatokat kezelheti a wpa_supplicant segítségével, ami hasznos a 802.1X-et használó hálózatoknál. Hozzon létre egy külön beállításfájlt, amely tartalmazza a vezetékes beállítást. Az alábbiakban példaként használjon tanúsítványokat a hitelesítéshez, és nézze meg a wpa_supplicant.conf man kézikönyvoldalt, ahol példákat találhat más módszerekre.

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=0
fast_reauth=1
 
network={
	key_mgmt=IEEE8021X
	eap=TLS
	identity="COMPUTERAACT$@DOMAIN"
	ca_cert="/etc/wpa_supplicant/ca.pem"
	client_cert="/etc/wpa_supplicant/COMPUTERACCT.pem"
	private_key="/etc/wpa_supplicant/COMPUTERAACT.key"
	private_key_passwd="secret_password"
	eapol_flags=0
}

Mivel a beállításfájl bizalmas információkat tartalmaz, ezért ennek megfelelően használja a chmod -ot.

A wpa_supplicant programnak szüksége van néhány extra paraméterre azért, hogy a fenti beállítást alkalmazza a vezetékes interfészen (eth0) Vegye figyelembe, hogy az alábbi wpa_supplicant argumentumok feltételezik, hogy a wpa_supplicant verziója >=2.6-r2 (-M, CONFIG_MATCH_IFACE=y)

wpa_supplicant_args="-ieth0 -Dwired -c/etc/wpa_supplicant/wpa_supplicant_wired.conf -M -c/etc/wpa_supplicant/wpa_supplicant.conf"

Hagyja, hogy a wpa_supplicant kezelje az interfészek indítását/leállítását az /etc/init.d fájlból való eltávolítással és a wpa_supplicant szolgáltatás engedélyezésével.

Ellenőrizze a vezetékes interfész állapotát a wpa_cli segítségével.

Csatlakozzon közvetlenül a vezeték nélküli hozzáférési ponthoz a parancssorból:

wpa_cli v2.8
Copyright (c) 2004-2019, Jouni Malinen <j@w1.fi> and contributors
 
This software may be distributed under the terms of the BSD license.
See README for more details.
 
 
Selected interface 'p2p-dev-wlan0'
 
Interactive mode
 
> interface eth0
Connected to interface 'eth0.
> status
bssid=00:00:00:00:00:00
freq=0
ssid=
id=0
mode=station
pairwise_cipher=NONE
group_cipher=NONE
key_mgmt=IEEE 802.1X (no WPA)
wpa_state=COMPLETED
ip_address=10.10.10.100
p2p_device_address=bb:bb:bb:bb:bb:bb
address=aa:aa:aa:aa:aa:aa
Supplicant PAE state=AUTHENTICATED
suppPortStatus=Authorized
EAP state=SUCCESS
selectedMethod=13 (EAP-TLS)
eap_tls_version=TLSv1
EAP TLS cipher=ECDHE-RSA-AES256-SHA
...

Hálózatkezelő beállítása

Feltétlenül válassza ki a megfelelő beállítást.

A dhcpcd beállítása hálózatkezelőként

First follow the setup guide for dhcpcd.

Emerge wpa_supplicant (Version >=2.6-r2 is needed in order to get the CONFIG_MATCH_IFACE option added in April 2017):

Using OpenRC

Complete its conf.d file with the -M option for the wireless network interface:

wpa_supplicant_args="-B -M -c /etc/wpa_supplicant/wpa_supplicant.conf"

In case authentication for the wired interface is needed, this configuration file should look like:

wpa_supplicant_args="-ieth0 -Dwired -c/etc/wpa_supplicant/wpa_supplicant_wired.conf -B -M -c/etc/wpa_supplicant/wpa_supplicant.conf"

With the configuration done, run it as a service:

Using Systemd

Systemd allows a simpler per-device setup without needing to create the above conf.d files. As explained under wpa_supplicant item in the Native services section, a service symlink such as wpa_supplicant@wlan0.service looks for a separate configuration file to manage the device wlan0 in this case.

To configure a specific device this way, first copy or rename the /etc/wpa_supplicant/wpa_supplicant.conf file as /etc/wpa_supplicant/wpa_supplicant-DEVNAME.conf where DEVNAME should be the name of the device, such as wlan0.

Then, navigate to /etc/systemd/system/multi-user.target.wants and create the symlink:

where DEVNAME is same device name as in the conf file above.

Test the system:

Abban az esetben, ha szükség van az elavult WEXT illesztőprogramra, a vezeték nélküli illesztőprogram megváltoztatása segíthet megoldani azokat az eseteket, amikor az összekapcsolódik, majd azonnal megszakad a 3. ok miatt. Futtassa a wpa_supplicant -h parancsot, hogy megtekinthesse a fordításkor felépített, elérhető illesztőprogramok listáját.

wpa_supplicant_args="-D wext"

Beállítás a netifrc számára

A Netifrc beállítása, hogy használja wpa_supplicant programot:

modules_wlan0="wpa_supplicant"
config_wlan0="dhcp"

A fenti beállítást követően érdemes megváltoztatni az engedélyeket, hogy a WiFi jelszavakat ne lássák egyszerű szövegben a számítógépet használók:^[2]

NetworkManager beállítása

A wpa_supplicant WiFi háttérként beállított NetworkManager a D-Bus segítségével szükség esetén elindítja a wpa_supplicant programot. Ezért ajánlott magát a wpa_supplicant szolgáltatást leállítva tartani a rendszerindításkor.

Használat

A wpa_gui használata

A wpa_supplicant használatának legegyszerűbb módja a wpa_gui interfész használata. Az engedélyezéséhez állítsa be a wpa_supplicant programot úgy, hogy a qt5 USE jelölőzászló engedélyezve van.

A wpa_cli használata

A wpa_supplicant program parancssori felhasználói felülettel is rendelkezik. A wpa_cli begépelése a parancssorba elindítja az interaktív módot a tabulátor-kiegészítéssel. Ha ebbe a parancssorba be írja a help parancsot, akkor megjelenik az elérhető parancsok listája. (Kattintson a "Kibontás" gombra a wpa_cli parancs alábbi kimenetének megtekintéséhez):

wpa_cli v2.5
 Copyright (c) 2004-2015, Jouni Malinen <j@w1.fi> and contributors
 
 This software may be distributed under the terms of the BSD license.
 See README for more details.
 
 
 Selected interface 'wlan0'
 
 Interactive mode
 
 > scan
 OK
 > scan_results
 bssid / frequency / signal level / flags / ssid
 01:23:45:67:89:ab       2437    0       [WPA-PSK-CCMP+TKIP][WPA2-PSK-CCMP+TKIP][ESS]    hotel-free-wifi
 > add_network
 0
 > set_network 0 ssid "hotel-free-wifi"
 OK
 > set_network 0 psk "password"
 OK
 > enable_network 0
 OK
 <3>CTRL-EVENT-SCAN-RESULTS 
 <3>WPS-AP-AVAILABLE 
 <3>Trying to associate with 01:23:45:67:89:ab (SSID='hotel-free-wifi' freq=2437 MHz)
 <3>Associated with 01:23:45:67:89:ab
 <3>WPA: Key negotiation completed with 01:23:45:67:89:ab [PTK=CCMP GTK=TKIP]
 <3>CTRL-EVENT-CONNECTED - Connection to 01:23:45:67:89:ab completed [id=0 id_str=]
 > save_config 
 OK
 > quit

Másik Wi-Fi rádióadóra váltáshoz:

wpa_cli v2.5
 Copyright (c) 2004-2015, Jouni Malinen <j@w1.fi> and contributors
 
 This software may be distributed under the terms of the BSD license.
 See README for more details.
> list_networks
network id / ssid / bssid / flags
0	TAMO	any	
1	ORBI705	any	
2	ORBI	any	
3	Tangerine	any	
4	271	any	
5	POCO X3 Pro	any	
6	Orbi Guest	any	
7	hackerspace	any	
8	HUAWEI-25 a-2	any	
9	A1-13	any	
 
> select_network 1

További részletek a kapcsolódásról az Arch Linux wikiben olvashat.^[3]

Szerkesztés manuálisan

Természetesen a /etc/wpa_supplicant/wpa_supplicant.conf beállításfájl manuálisan is szerkeszthető. Ez azonban nagyon munkaigényes lehet, ha a számítógépnek sok különböző hozzáférési ponthoz kell csatlakoznia.

Példák találhatók a wpa_supplicant.conf(5) kézikönyvoldalon és a /usr/share/doc/wpa_supplicant-2.4-r3/wpa_supplicant.conf.bz2-ban.

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
ap_scan=1
 
network={
        bssid=00:50:17:31:1a:11
        ssid="YourSSID"
        psk="your-secret-key"
        scan_ssid=1
        proto=RSN
        key_mgmt=WPA-PSK
        group=CCMP TKIP
        pairwise=CCMP TKIP
        priority=5
}

Automatikus csatlakozás bármely nem biztonságos hálózathoz

network={
        key_mgmt=NONE
        priority=-999
}

Hibaelhárítás

Abban az esetben, ha nem a várt módon működik, akkor próbálkozzon az alábbiakkal, és elemezze a kimenetet.

Ellenőrizze az ismert hibákat

• Gentoo bugtracker: known bugs
• Upstream's mailing list archive

Ellenőrizze az USE jelölőzászlókat

Két USE jelölőzászló alapértelmezés szerint le van tiltva a régebbi wifi protokolloknál az ismert biztonsági hibák miatt: A tkip és a wep. Engedélyezze az USE jelölőzászlók használatát a régebbi Wi-Fi útválasztókhoz, és telepítse újra a wpa_supplicant programot.

rfkill: WLAN soft blocked

Ha az rfkill blokkolja az interfészt, akkor először keresse meg az interfész számát a következővel:

0: ideapad_wlan: Wireless LAN
	Soft blocked: yes
	Hard blocked: no
1: ideapad_bluetooth: Bluetooth
	Soft blocked: yes
	Hard blocked: no
2: hci0: Bluetooth
	Soft blocked: yes
	Hard blocked: no
3: phy0: Wireless LAN
	Soft blocked: yes
	Hard blocked: no

Majd az interfész a következő módon oldható fel:

Futtassa a wpa_supplicant programot hibakeresési módban

Feltétlenül állítsa le a wpa_supplicant minden futó példányát:

A következő opciók használhatók a hibakereséshez (kattintson a "Kibontás" gombra az alábbi kimenet megtekintéséhez):

wpa_supplicant v2.2
random: Trying to read entropy from /dev/random
Successfully initialized wpa_supplicant
Initializing interface 'wlp8s0' conf '/etc/wpa_supplicant/wpa_supplicant.conf' driver 'nl80211' ctrl_interface '/var/run/wpa_supplicant' bridge 'N/A'
Configuration file '/etc/wpa_supplicant/wpa_supplicant.conf' -> '/etc/wpa_supplicant/wpa_supplicant.conf'
Reading configuration file '/etc/wpa_supplicant/wpa_supplicant.conf'
ctrl_interface='DIR=/var/run/wpa_supplicant GROUP=wheel'
update_config=1
Line: 6 - start of a new network block

Naplózás engedélyezése

Naplózás engedélyezése a Gentoo net.* szkriptek számára

modules_wlan0="wpa_supplicant"
wpa_supplicant_wlan0="-Dnl80211 -d -f /var/log/wpa_supplicant.log"
config_wlan0="dhcp"

Most az egyik parancssorban adjon ki egy tail parancsot a kimenet figyeléséhez. Egy másik parancssorban indítsa újra a net.wlan0 eszközt:

Hivatkozások

További olvasnivaló a témában

• iwd — a wireless daemon intended to replace wpa_supplicant

Külső források

• wpa_supplicant / hostapd Developers' documentation for wpa_supplicant and hostapd
• sample config for wpa_supplicant
• HOWTO: Remote access point with wpa_supplicant (Gentoo Forums)
• Extensible Authentication Protocol (Wikipedia)
• Extensible Authentication Protocol (wiki.freeradius.org)
• wpa_supplicant upstream just accepted patch to allow interface matching
• https://www.kb.cert.org/vuls/id/CHEU-AQNN3Z