Ověření Wi-Fi přes Radius server v Ubuntu 18.04

Arthur

  • ***
  • 168
    • Zobrazit profil
    • E-mail
Ověření Wi-Fi přes Radius server v Ubuntu 18.04
« kdy: 25. 10. 2019, 11:40:11 »
Ahojte,

Ubuntu 18.04 obsahuje kombinaci wpa_supplicant a openSSL, která se snaží při ověřování EAP použít TLS 1.3, kterou zřejmě radius server, ke kterému se snažím připojit nepodporuje.
Podle googlu se to řeší konfigurací serveru pomocí tls_max_version=1.2, což je mi houby platné, jelikož to není můj server.
Pokusy o downgrade wpa_supplicant a/nebo openSSL skončily vesměs jako broken dependencies.

Je nějaká možnost bezbolestně  donutit wpa_supplicant použít TLS 1.2?
« Poslední změna: 25. 10. 2019, 11:52:38 od Petr Krčmář »


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Ověření Wi-Fi přes Radius server v Ubuntu 18.04
« Odpověď #1 kdy: 25. 10. 2019, 16:48:39 »
Nepomohlo by MaxProtocol=TLSv1.2 v /etc/ssl/openssl.cnf?

Arthur

  • ***
  • 168
    • Zobrazit profil
    • E-mail
Re:Ověření Wi-Fi přes Radius server v Ubuntu 18.04
« Odpověď #2 kdy: 25. 10. 2019, 21:44:52 »
No, něco takového právě hledám :-), díky, vyzkouším.

Jinak, pro info:
celý problém spočívá v přechodu openSSL 1.1.0 -> 1.1.1.
V původní verzi Ubuntu 18.04 to funguje, po updatu odpovídajícím 18.04.3 už ne. V prinicpu stačí ručně downgradovat balíčky openSSL a libSSL na původní verzi 1.1.0g a funguje to. Ale zůstane tam hromada vadných závislostí a nedostane to bezpečnostní updaty...


ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:Ověření Wi-Fi přes Radius server v Ubuntu 18.04
« Odpověď #3 kdy: 26. 10. 2019, 11:16:13 »
Nepomohlo by MaxProtocol=TLSv1.2 v /etc/ssl/openssl.cnf?

Nebo spíš MinProtocol=TLSv1.2, protože nevidím důvod proč zakazovat vyšší verze, když nejspíš stačí povolit i starší, že? ;)

Arthur

  • ***
  • 168
    • Zobrazit profil
    • E-mail
Re:Ověření Wi-Fi přes Radius server v Ubuntu 18.04
« Odpověď #4 kdy: 31. 10. 2019, 16:24:13 »
Tak nic z toho nepomohlo, dokonce ani

Kód: [Vybrat]
MinProtocol = TLSv1
CipherString = DEFAULT@SECLEVEL=1

což se po netu vícekrát opakuje jako funkční řešení..

našel jsem i doporučení přidat to do sekce příslušné sítě přímo do wpa_supplicant.conf ve formě

Kód: [Vybrat]
phase2="auth=MSCHAPV2 tls_disable_tlsv1_0=0 tls_disable_tlsv1_1=0 tls_disable_tlsv1_2=0"
openssl_ciphers="DEFAULT@SECLEVEL=1"

ale nevím jak to mám udělat, když se to všechno řeší přes networkmanager a spouští přes systemd a žádný konfigurák se takto nepoužívá...