Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
cs:uzivatel:sw:nix:wpa_supplicant [2017/03/19 11:39] caletka@cesnet.cz [Ukládání hesla ve formě hashe] typo |
cs:uzivatel:sw:nix:wpa_supplicant [2017/03/19 11:57] caletka@cesnet.cz [Správné ověřování identity RADIUS serveru] |
||
---|---|---|---|
Řádek 24: | Řádek 24: | ||
==== Správné ověřování identity RADIUS serveru ==== | ==== Správné ověřování identity RADIUS serveru ==== | ||
- | <note important>**Správné nastavení ověřování identity RADIUS serveru**, se kterým váš suplikant komunikuje, je **nezbytné pro ochranu vašeho hesla**. Věnujte mu proto náležitou pozornost! Další informace nalezne na stránce [[cs:uzivatel:sw:certifikaty]].</note> | + | <note important>**Správné nastavení ověřování identity RADIUS serveru**, se kterým váš suplikant komunikuje, je **nezbytné pro ochranu vašeho hesla** i pro ochranu před únosem Wi-Fi provozu. Věnujte mu proto náležitou pozornost! Další informace naleznete na stránce [[cs:uzivatel:sw:certifikaty]].</note> |
K ověření identity autentizačního serveru je nutný certifikát certifikační autority, která vydala certifikát RADIUS serveru vaší organizace. Program ''wpa_supplicant'' pracuje pouze s certifikáty formátu PEM. Ve výše uvedeném příkladu konfigurace jde o soubor ''/etc/ssl/example_CA.pem''. Pokud organizace používá certifikáty veřejných autorit, důvěryhodné v operačním systému, je možné nastavit důvěru také volbou ''ca_path'', směřující k adresáři obsahujícím veškeré důvěryhodné certifikáty (včetně symbolických odkazů vygenerovaných utilitou [[https://www.openssl.org/docs/man1.1.0/apps/c_rehash.html|c_rehash]]). Například takto: | K ověření identity autentizačního serveru je nutný certifikát certifikační autority, která vydala certifikát RADIUS serveru vaší organizace. Program ''wpa_supplicant'' pracuje pouze s certifikáty formátu PEM. Ve výše uvedeném příkladu konfigurace jde o soubor ''/etc/ssl/example_CA.pem''. Pokud organizace používá certifikáty veřejných autorit, důvěryhodné v operačním systému, je možné nastavit důvěru také volbou ''ca_path'', směřující k adresáři obsahujícím veškeré důvěryhodné certifikáty (včetně symbolických odkazů vygenerovaných utilitou [[https://www.openssl.org/docs/man1.1.0/apps/c_rehash.html|c_rehash]]). Například takto: | ||
Řádek 76: | Řádek 76: | ||
Poskytnuté heslo je rovnou převedeno do 256bitového sdíleného tajemství WPA, takže původní heslo může být z konfigurace odstraněno. | Poskytnuté heslo je rovnou převedeno do 256bitového sdíleného tajemství WPA, takže původní heslo může být z konfigurace odstraněno. | ||
- | <note important>Nikdy do konfigurace WPA suplikanta **nepřidávejte sítě, které nepoužívají žádné šifrování!** Vystavili byste se tak riziku přesměrování na falešný přístupový bod a kompromitace Wi-Fi provozu. V případě, že nešifrovanou síť musíte pravidelně používat, definujte ji s volbou ''disabled=1'' a povolujte za běhu pouze podle potřeby.</note> | + | <note important>Do konfigurace WPA suplikanta **nepřidávejte sítě, které nepoužívají žádné šifrování!** Vystavili byste se tak riziku přesměrování na falešný přístupový bod a kompromitace Wi-Fi provozu. V případě, že nešifrovanou síť musíte pravidelně používat, definujte ji s volbou ''disabled=1'' a povolujte za běhu pouze podle potřeby.</note> |