Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Arthur 25. 10. 2019, 11:40:11
-
Ahojte,
Ubuntu 18.04 obsahuje kombinaci wpa_supplicant a openSSL, která se snaží při ověřování EAP použít TLS 1.3, kterou zřejmě radius server, ke kterému se snažím připojit nepodporuje.
Podle googlu se to řeší konfigurací serveru pomocí tls_max_version=1.2, což je mi houby platné, jelikož to není můj server.
Pokusy o downgrade wpa_supplicant a/nebo openSSL skončily vesměs jako broken dependencies.
Je nějaká možnost bezbolestně donutit wpa_supplicant použít TLS 1.2?
-
Nepomohlo by MaxProtocol=TLSv1.2 v /etc/ssl/openssl.cnf?
-
No, něco takového právě hledám :-), díky, vyzkouším.
Jinak, pro info:
celý problém spočívá v přechodu openSSL 1.1.0 -> 1.1.1.
V původní verzi Ubuntu 18.04 to funguje, po updatu odpovídajícím 18.04.3 už ne. V prinicpu stačí ručně downgradovat balíčky openSSL a libSSL na původní verzi 1.1.0g a funguje to. Ale zůstane tam hromada vadných závislostí a nedostane to bezpečnostní updaty...
-
Nepomohlo by MaxProtocol=TLSv1.2 v /etc/ssl/openssl.cnf?
Nebo spíš MinProtocol=TLSv1.2, protože nevidím důvod proč zakazovat vyšší verze, když nejspíš stačí povolit i starší, že? ;)
-
Tak nic z toho nepomohlo, dokonce ani
MinProtocol = TLSv1
CipherString = DEFAULT@SECLEVEL=1
což se po netu vícekrát opakuje jako funkční řešení..
našel jsem i doporučení přidat to do sekce příslušné sítě přímo do wpa_supplicant.conf ve formě
phase2="auth=MSCHAPV2 tls_disable_tlsv1_0=0 tls_disable_tlsv1_1=0 tls_disable_tlsv1_2=0"
openssl_ciphers="DEFAULT@SECLEVEL=1"
ale nevím jak to mám udělat, když se to všechno řeší přes networkmanager a spouští přes systemd a žádný konfigurák se takto nepoužívá...