WPA Supplicant je program, který se v linuxu stará o podporu WPA zabezpečení wi-fi sítí. Je standardní součástí distribucí, které podporují WPA šifrování, a tak je zahrnut i ve standardních spouštěcích skriptech wi-fi rozhraní. Pokud máte grafické rozhraní, pravděpodobně v něm máte i NetworkManager který se postará o konfiguraci wpa_supplikanta z grafického prostředí.

Jednotlivé bedrátové sítě, ke kterým se chceme připojit, se definují v konfiguračním souboru /etc/wpa_supplicant.conf. Je jich možno definovat libovolně mnoho, program se připojí k té, která je dostupná a zároveň má největší prioritu. Následující příklad ukazuje připojení k síti eduroam 802.1x s následným fallbackem lokální síť organizace bez hesla.

network={
        priority=5
        ssid="eduroam"
        scan_ssid=1
        key_mgmt=WPA-EAP
        pairwise=CCMP 
        eap=PEAP
        identity="eduroam_jmeno@realm"
        password="eduroam_heslo"
        ca_cert="/etc/ssl/certs/CERTIFIKAT_CA.pem"
        altsubject_match="DNS:radius1.organizace.cz;DNS:radius2.organizace.cz"
        phase1="peaplabel=0"
        phase2="auth=MSCHAPV2"
}
network={
        ssid="organizace"
        key_mgmt=NONE
        priority=4
}

K úspěšnému připojení k 802.1x síti eduroam je nutný certifikát certifikační autority, která vydala certifikát RADIUS serveru vaší organizace. Program wpa_supplicant pracuje pouze s certifikáty formátu PEM.

Abyste měli jistotu, že se připojujete, a především že posíláte své heslo vašemu domácímu RADIUS serveru, musíte uvést direktivu altsubject_match (Pozor! V řetězci se nesmí vyskytovat mezery). Správné nastavení ověřování identity RADIUS serveru, se kterým váš suplikant komunikuje, je nezbytné pro ochranu vašeho hesla. Věnujte tomu proto náležitou pozornost! Další informace nalezne na stránce „Práce s certifikáty v eduroamu“.

Provozuje-li vaše organizace víc než jeden RADIUS server, je pro správnou funkci nutné používat wpa_supplikant verze minimálně 0.5.6! Předchozí verze nezvládají ověřit více než jeden RADIUS server. wpa_supplikant musí být přeložen s OpenSSL nikoliv GNU TLS.

Po uložení konfiguračního souboru můžeme zkusit připojení přes rozhraní wlan0 s generickým ovladačem příkazem

 # wpa_supplicant -iwlan0 -c/etc/wpa_supplicant.conf -d

Pokud autentifikace proběhla úspěšně, zbývá rozhraní přiřadit IP adresu pomocí DHCP klienta, např. takto:

 # dhcpcd wlan0

To je ovšem zapotřebí pouze pokud vaše distribuce nepodporuje wpa_supplicant ve svých spouštěcích skriptech. V opačném případě obvykle stačí upravit konfigurační soubor a spustit bezdrátovou síť spouštěcím skriptem distribuce. Průběh asociace je možné sledovat na příkazovém řádku programem wpa_cli, nebo v grafickém režimu pomocí programu wpa_gui.