« Wi-Fi » : différence entre les versions

De Wiki Ali(ENS de Lyon)
Aucun résumé des modifications
(Corrections IWD : le champ identité est EAP-PEAP-Phase2-Identity et les nouvelles versions de OpenSSL demandent un drapeau pour calculer un haché MD4)
 
(9 versions intermédiaires par 6 utilisateurs non affichées)
Ligne 8 : Ligne 8 :
{{Note|Il est '''extrêmement conseillé''' d’utiliser ''eduroam'' plutôt qu’''eduspot'' : les données que vous échangez sur le réseau ''eduspot'' peuvent être lues par n’importe qui à portée de votre machine. Par suite, ce guide ne concerne que la configuration d’''eduroam''.|warn}}
{{Note|Il est '''extrêmement conseillé''' d’utiliser ''eduroam'' plutôt qu’''eduspot'' : les données que vous échangez sur le réseau ''eduspot'' peuvent être lues par n’importe qui à portée de votre machine. Par suite, ce guide ne concerne que la configuration d’''eduroam''.|warn}}


{{Note| Votre nom d'utilisateur '''n'est pas''' votre adresse email, il s'agit de votre utilisateur du CAS suffixé par <code>@ens-lyon.fr</code>, par exemple <code>jdupont@ens-lyon.fr</code> <s>et non <code>jean.dupont@ens-lyon.fr</code></s>|warn}}
{{Note| Votre nom d'utilisateur·rice '''n'est pas''' votre adresse email, il s'agit de votre utilisateur·rice du CAS suffixé par <code>@ens-lyon.fr</code>, par exemple <code>jdupont@ens-lyon.fr</code> <s>et non <code>jean.dupont@ens-lyon.fr</code></s>|warn}}


=== Linux ===
=== Linux ===
Ligne 27 : Ligne 27 :
* '''Version de PEAP :''' Automatique
* '''Version de PEAP :''' Automatique
* '''Authentification interne :''' MSCHAPV2
* '''Authentification interne :''' MSCHAPV2
* '''Nom d’utilisateur :''' jdupont@ens-lyon.fr ('''Attention :''' Il ne s’agit pas de votre adresse email mais bien de votre login usuel du CAS, souvent composé de la première lettre de votre prénom puis des 7 premières lettres de votre nom, suivi de ''@ens-lyon.fr'')
* '''Nom d’utilisateur·rice :''' jdupont@ens-lyon.fr ('''Attention :''' Il ne s’agit pas de votre adresse email mais bien de votre login usuel du CAS, souvent composé de la première lettre de votre prénom puis des 7 premières lettres de votre nom, suivi de ''@ens-lyon.fr'')
* '''Mot de passe :''' Votre mot de passe usuel
* '''Mot de passe :''' Votre mot de passe usuel
[[Fichier:Eduroam.png|alt=|centré|400x400px]]
[[Fichier:Eduroam.png|alt=|centré|400x400px]]
{{Note|Pour certaine version de Linux (par exemple la version stable de ArchLinux), il faut activer TLS1.0. Pour ce faire, dans une console, éditez la configuration de Network Manager <code>nmcli connection edit eduroam</code>, puis activez TLS1.0 <code>set 802-1x.phase1-auth-flags tls-1-0-enable</code>, enregistrez <code>save</code> et quittez <code>quit</code>.|info}}


==== wpa_supplicant ====
==== wpa_supplicant ====
Ligne 66 : Ligne 68 :
EAP-PEAP-ServerDomainMask=radius.ens-lyon.fr
EAP-PEAP-ServerDomainMask=radius.ens-lyon.fr
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2=jdupont@ens-lyon.fr
EAP-PEAP-Phase2-Identity=jdupont@ens-lyon.fr
EAP-PEAP-Phase2-Password=motdepasse
EAP-PEAP-Phase2-Password=motdepasse


Ligne 77 : Ligne 79 :
Il est possible de remplacer le champ <code>EAP-PEAP-Phase2-Password</code> par un hash du mot de passe.
Il est possible de remplacer le champ <code>EAP-PEAP-Phase2-Password</code> par un hash du mot de passe.


Pour obtenir le hash, executer <code>iconv -t utf16le | openssl md4</code> et entrer le mot de passe. Ne pas appuyer sur entrée, mais enter un caractère de fin de fichier (<code>EOF</code>, typiquement en entrant <code>Ctrl-D</code>). Remplacer alors le champ <code>EAP-PEAP-Phase2-Password=password</code> par <code>EAP-PEAP-Phase2-Password-Hash=hash_tel_que_donné_par_la_commande_précédente</code>.
Pour obtenir le hash, executer <code>iconv -t utf16le | openssl md4 -provider legacy</code> et entrer le mot de passe. Ne pas appuyer sur entrée, mais enter un caractère de fin de fichier (<code>EOF</code>, typiquement en entrant <code>Ctrl-D</code>). Remplacer alors le champ <code>EAP-PEAP-Phase2-Password=password</code> par <code>EAP-PEAP-Phase2-Password-Hash=hash_tel_que_donné_par_la_commande_précédente</code>.


=== Windows 10 ===
=== Windows 10 ===
Ligne 83 : Ligne 85 :
Le plus simple (et sécurisé) est d'utiliser la solution https://cat.eduroam.org/ qui permet d'automatiser la configuration.
Le plus simple (et sécurisé) est d'utiliser la solution https://cat.eduroam.org/ qui permet d'automatiser la configuration.


Sinon, rentrer le nom d'utilisateur du type jdupont@ens-lyon.fr et le mot de passe suffit, mais ce n'est pas le plus sécurisé.
Sinon, rentrer le nom d'utilisateur·rice du type jdupont@ens-lyon.fr et le mot de passe suffit, mais ce n'est pas le plus sécurisé.


=== Windows 8 ===
=== Windows 8 ===
Ligne 93 : Ligne 95 :
Allez sur [https://cat.eduroam.org/ cat.eduroam.org] et suivez les instructions pour télécharger la configuration pour l'ÉNS de Lyon, pour OS X. Vous devriez obtenir un fichier nommé `eduroam-OS_X-EdL.mobileconfig`.
Allez sur [https://cat.eduroam.org/ cat.eduroam.org] et suivez les instructions pour télécharger la configuration pour l'ÉNS de Lyon, pour OS X. Vous devriez obtenir un fichier nommé `eduroam-OS_X-EdL.mobileconfig`.


Ouvrez-le et vous devriez avoir la fenêtre suivante, où il vous suffit de cliquer sur continuer.
Allez dans "Réglages Système > Confidentialité et Sécurité > Autres > Profils > +" puis choisissez le fichier que vous venez de télécharger.
 
Vous devriez avoir la fenêtre suivante, où il vous suffit de cliquer sur continuer.
[[Fichier:Howtos--osx-wifi-step1.png|alt=|centré|600x600px]]
[[Fichier:Howtos--osx-wifi-step1.png|alt=|centré|600x600px]]


Ligne 109 : Ligne 113 :


==== Installation ====
==== Installation ====
{{Note|Si vous ne parvenez pas à installer le certificat, il reste quand même possible de vous connecter. Si un certificat vous est demandé, sélectionnez par exemple ''Certificats systèmes'' et sélectionnez ''Ne pas valider les certificats'' (ou une option similaire). Ceci devrait configurer votre téléphone pour ne pas utiliser de certificat. Cela reste une option '''moins sécurisée''' (car ne permettant pas de s'assurer de la légitimé du réseau), mais c'est mieux que rien !|warn}}
Pour sécuriser votre connexion,
Pour sécuriser votre connexion,


Ligne 121 : Ligne 126 :
[[File:howtos--ybyz2hw.png|300px|class=align-left]] [[File:howtos--dzbcxl3.png|300px|class=align-left]]
[[File:howtos--ybyz2hw.png|300px|class=align-left]] [[File:howtos--dzbcxl3.png|300px|class=align-left]]


==== En cas d'erreur d'installation du certificat ====
==== Problème de certificat ====
Si vous ne parvenez pas à installer le certificat, il reste quand même possible de vous y connecter. Si un certificat vous est demandé, sélectionnez par exemple "Certificats systèmes" et sélectionnez "Ne pas valider les certificats" (ou une option similaire). Ceci devrait configurer votre téléphone pour ne pas utiliser de certificat. Même si cela reste une option moins sécurisée (car ne permettant pas de s'assurer de la légitimé du réseau), ce n'est mieux que rien !
S'il vous est impossible d'installer le certificat CA, la connexion reste possible en indiquant "None" ou "Aucun" dans le champs correspondant. Votre connexion sera alors moins sécurisé, mais fonctionnelle.
 
[[Catégorie:Service ENS]]

Dernière version du 14 septembre 2024 à 20:42

Configuration Wi-Fi

L’ENS de Lyon fait parti du réseau eduroam, qui vous permet d’avoir une configuration – presque – universelle quelle que soit l’université dans laquelle vous vous situez. Ainsi, si vous configurez de manière correcte votre connexion au Wi-Fi à l’ENS de Lyon, vous pourrez automatiquement vous connecter dans l’ensemble des universités françaises, européennes, et même ailleurs dans le monde. Le réseau Wi-Fi à l’ENS de Lyon est découpé en deux types d’accès :

  • eduspot : connexion de type Hotspot, non sécurisée, avec obligation de renseigner son login et mot de passe dans un portail captif à chaque connexion. Ne donne pas accès aux ressources intranet (accès aux revues scientifiques en ligne, serveur de jeton pour les logiciels sous licence globale…).
  • eduroam : connexion sécurisée de type WPA Entreprise (chiffrement entre votre machine et le point d’accès sans fil) sans obligation de renseigner son login et mot de passe à chaque reconnexion. Accès à toutes les ressources de l’École.
Il est extrêmement conseillé d’utiliser eduroam plutôt qu’eduspot : les données que vous échangez sur le réseau eduspot peuvent être lues par n’importe qui à portée de votre machine. Par suite, ce guide ne concerne que la configuration d’eduroam.


Votre nom d'utilisateur·rice n'est pas votre adresse email, il s'agit de votre utilisateur·rice du CAS suffixé par @ens-lyon.fr, par exemple jdupont@ens-lyon.fr et non jean.dupont@ens-lyon.fr


Linux

Network Manager (Ubuntu, …)

Pour se connecter sous Ubuntu, avec l’outil Network Manager, il faut renseigner dans l’onglet Sécurité Wi-Fi plusieurs paramètres:

  • Sécurité : WPA et WPA2 entreprise
  • Authentification : Protected EAP (PEAP)
  • Identité anonyme : anonymous@ens-lyon.fr
  • Domaine : ens-lyon.fr
  • Certificat du CA : Déplacez vous dans le dossier /etc/ssl/certs/ et sélectionnez le fichier

USERTrust_RSA_Certification_Authority.pem

  • Décochez Aucun certificat de CA n’est requis
  • Version de PEAP : Automatique
  • Authentification interne : MSCHAPV2
  • Nom d’utilisateur·rice : jdupont@ens-lyon.fr (Attention : Il ne s’agit pas de votre adresse email mais bien de votre login usuel du CAS, souvent composé de la première lettre de votre prénom puis des 7 premières lettres de votre nom, suivi de @ens-lyon.fr)
  • Mot de passe : Votre mot de passe usuel
Pour certaine version de Linux (par exemple la version stable de ArchLinux), il faut activer TLS1.0. Pour ce faire, dans une console, éditez la configuration de Network Manager nmcli connection edit eduroam, puis activez TLS1.0 set 802-1x.phase1-auth-flags tls-1-0-enable, enregistrez save et quittez quit.


wpa_supplicant

Attention: les majuscules dans MSCHAPV2 sont importantes !

  network={
      ssid="eduroam"
      key_mgmt=WPA-EAP
      eap=PEAP
      pairwise=CCMP
      ca_cert="/etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem"
      domain_suffix_match="ens-lyon.fr"
      anonymous_identity="anonymous@ens-lyon.fr"
      identity="jdupont@ens-lyon.fr"
      password="motdepasse"
      phase1="peaplabel=0"
      phase2="auth=MSCHAPV2"  
  }

iwd

Des informations supplémentaires sont disponibles sur le wiki d'ArchLinux.

Afin de se connecter de manière sécurisée, il est nécessaire de récupérer le certificat de l'ENS, les certificats standards ne fonctionnant pas.

Pour ce faire, il faut télécharger le script python d'installation d'eduroam sur CAT en sélectionnant l'ENS de Lyon. Ensuite, il faut enregistrer le contenu de la variable Config.CA dans un fichier, par exemple, /var/lib/iwd/cert-eduroam.pem.

Enfin, dans le fichier /var/lib/iwd/eduroam.8021x, écrire:

[Security]
EAP-Method=PEAP
EAP-Identity=anonymous@ens-lyon.fr
EAP-PEAP-CACert=/var/lib/iwd/cert-eduroam.pem
EAP-PEAP-ServerDomainMask=radius.ens-lyon.fr
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Identity=jdupont@ens-lyon.fr
EAP-PEAP-Phase2-Password=motdepasse

[Settings]
AutoConnect=true

La section [Settings] est optionnelle.

Il est possible de remplacer le champ EAP-PEAP-Phase2-Password par un hash du mot de passe.

Pour obtenir le hash, executer iconv -t utf16le | openssl md4 -provider legacy et entrer le mot de passe. Ne pas appuyer sur entrée, mais enter un caractère de fin de fichier (EOF, typiquement en entrant Ctrl-D). Remplacer alors le champ EAP-PEAP-Phase2-Password=password par EAP-PEAP-Phase2-Password-Hash=hash_tel_que_donné_par_la_commande_précédente.

Windows 10

Le plus simple (et sécurisé) est d'utiliser la solution https://cat.eduroam.org/ qui permet d'automatiser la configuration.

Sinon, rentrer le nom d'utilisateur·rice du type jdupont@ens-lyon.fr et le mot de passe suffit, mais ce n'est pas le plus sécurisé.

Windows 8

La Direction des Systèmes d’Information (DSI) de l’ÉNS de Lyon a fait un très bon guide (avec screenshots) disponible à cette adresse.

OS X (Mac)

Allez sur cat.eduroam.org et suivez les instructions pour télécharger la configuration pour l'ÉNS de Lyon, pour OS X. Vous devriez obtenir un fichier nommé `eduroam-OS_X-EdL.mobileconfig`.

Allez dans "Réglages Système > Confidentialité et Sécurité > Autres > Profils > +" puis choisissez le fichier que vous venez de télécharger.

Vous devriez avoir la fenêtre suivante, où il vous suffit de cliquer sur continuer.

Maintenant vous devez remplir vos identifiants, à noter que cet identifiant est en fait votre login ENS maquillé en une adresse e-mail: `jdupont@ens-lyon.fr` où `jdupont` est votre login ENS, à ne pas confondre avec votre vraie adresse e-mail.

Une fois terminée, vous devriez avoir la fenêtre suivante:

Qui vous confirme qu'Eduroam est correctement configurée et la connexion certifiée.

Android

La configuration reste analogue.

Installation

Si vous ne parvenez pas à installer le certificat, il reste quand même possible de vous connecter. Si un certificat vous est demandé, sélectionnez par exemple Certificats systèmes et sélectionnez Ne pas valider les certificats (ou une option similaire). Ceci devrait configurer votre téléphone pour ne pas utiliser de certificat. Cela reste une option moins sécurisée (car ne permettant pas de s'assurer de la légitimé du réseau), mais c'est mieux que rien !

Pour sécuriser votre connexion,

1. Fichier:USERTrustRSACertificationAuthority.crt le certificat (avec Chrome, Firefox ne permettant pas d'installer le certificat dans le système).

2. Une fois le téléchargement terminé, le système vous demandera de le nommer (par exemple : ens-lyon), classez le dans la catégorie WIFI. Si un message d'erreur indique que le certificat est non installé, il est quand même possible de vous connecter bien que de manière moins sécurisée. Pour plus d'informations, voir ci-dessous.

3. Dans les paramètres Wifi, si eduroam est déjà configuré oubliez totalement le réseau, puis remplissez les champs comme décrit précédemment et dans le champ Certificat choisissez ens-lyon (ou le nom que vous avez choisi)

4. Si on vous demande le "domaine", rentrez "ens-lyon.fr"

Problème de certificat

S'il vous est impossible d'installer le certificat CA, la connexion reste possible en indiquant "None" ou "Aucun" dans le champs correspondant. Votre connexion sera alors moins sécurisé, mais fonctionnelle.