[ubuntu] Eduroam weigert authenticatie

donderdag 9 september 2010 13:48

Acties:

omdat het kan

Topicstarter

Hoi,

Ik zit weer eens lekker te prutsen met eduroam. Ik gebruik dat op voornamelijk op 3 plekken:

- Univ. Leiden
- UvA
- SURFnet

Van de UvA en SURFnet heb ik een account en ik wil graag mijn SURFnet authenticatie gebruiken om eduroam te gebruiken. Nu werkt de standaard networkmanager onder Ubuntu niet met certificaten (daar zitten best wel wat bugs in

) en wil ik het dus met de hand doen

.

Scriptje heb ik met een collega gemaakt op een beurs waar eduroam was, en dit werkte prima. Nu werkt het echter niet meer (zonder het script of de certificaten te hebben getweaked) en wellicht dat iemand me hier kan helpen.

#!/bin/bash

sudo killall wpa_supplicant
sudo wpa_supplicant -iwlan0 -c./wpa_supplicant.conf -d

Easy as pie

.

boudewijn@boudewijn-laptop:~/bin$ cat wpa_supplicant.conf 
# allow frontend (e.g., wpa_cli) to be used by all users in 'root' group
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
#         
# eduroam network; use EAP-TLS with WPA; allow only CCMP and TKIP ciphers
network={ 
     ssid="eduroam"
     scan_ssid=1
     key_mgmt=WPA-EAP
     #pairwise=CCMP TKIP
     #group=CCMP TKIP
     eap=TLS   
     identity="Boudewijn.*ACHTERNAAM*@surfnet.nl"
     ca_cert="/home/boudewijn/surfnet-ca.pem"
     client_cert="/home/boudewijn/boudewijn.pem"
     private_key="/home/boudewijn/eduroam_privatekey.pem"
     private_key_passwd="*KNIP"
}

Als ik nu op de uva echter mijn scriptje probeer te draaien:

code:

RTM_NEWLINK, IFLA_IFNAME: Interface 'wlan0' added
Wireless event: cmd=0x8b06 len=12
State: DISCONNECTED -> SCANNING
Starting AP scan (specific SSID)
Scan SSID - hexdump_ascii(len=7):
     65 64 75 72 6f 61 6d                              eduroam         
Trying to get current scan results first without requesting a new scan to speed up initial association
Received 389 bytes of scan results (1 BSSes)
New scan results available
Selecting BSS from priority group 0
Try to find WPA-enabled AP
0: 00:21:d8:c0:18:f1 ssid='eduroam' wpa_ie_len=0 rsn_ie_len=20 caps=0x11
   selected based on RSN IE
   selected WPA AP 00:21:d8:c0:18:f1 ssid='eduroam'
Trying to associate with 00:21:d8:c0:18:f1 (SSID='eduroam' freq=2412 MHz)
Cancelling scan request
WPA: clearing own WPA/RSN IE
Automatic auth_alg selection: 0x1
RSN: using IEEE 802.11i/D9.0
WPA: Selected cipher suites: group 16 pairwise 16 key_mgmt 1 proto 2
WPA: clearing AP WPA IE
WPA: set AP RSN IE - hexdump(len=22): 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ac 01 28 00
WPA: using GTK CCMP
WPA: using PTK CCMP
WPA: using KEY_MGMT 802.1X
WPA: not using MGMT group cipher
WPA: Set own WPA IE default - hexdump(len=22): 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ac 01 00 00
No keys have been configured - skip key clearing
wpa_driver_wext_set_drop_unencrypted
State: SCANNING -> ASSOCIATING
wpa_driver_wext_set_operstate: operstate 0->0 (DORMANT)
WEXT: Operstate: linkmode=-1, operstate=5
wpa_driver_wext_associate
wpa_driver_wext_set_psk
Setting authentication timeout: 10 sec 0 usec

Bovenstaande is volgens mij de crux van het probleem.

Volledige versie:
http://pastebin.com/CHUEtRr0

Kan iemand me vertellen waar dit fout gaat of hoe ik dit slim kan debuggen?

i3 + moederbord + geheugen kopen?

vrijdag 10 september 2010 15:31

Acties:

Boudewijn

omdat het kan

Topicstarter

Bumpje.

i3 + moederbord + geheugen kopen?

zondag 12 september 2010 16:46

Acties:

spone

Geen directe ideeen wat betreft jouw debug log, maar ik heb de volgende config nog staan van toen ik nog op de HvA zat (waar ze ook eduroam gebruiken):

code:

network={
        ssid="eduroam"
        key_mgmt=IEEE8021X
        eap=TTLS
        # Phase1 / outer authentication
        identity="username@hva.nl"
        password="password"
        # Phase 2 / inner authentication
        phase2="auth=PAP"
}

In deze config worden geen certificaten gebruikt, dus wel mogelijk risico voor mitm-attack. Met certificaten heb ik het nooit werkend gekregen onder Linux.

[ Voor 5% gewijzigd door spone op 12-09-2010 16:49 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 12 september 2010 16:51

Acties:

Boudewijn

omdat het kan

Topicstarter

Klopt, ik heb een SURFnet medewerkers-certificaat, waardoor het dus anders werkt. Dat certificaat is x509 en regelt de authenticatie.

In principe zou ik ook de UvA credentials kunnen gebruiken, gaan we morgen eens testen.

i3 + moederbord + geheugen kopen?

zondag 12 september 2010 18:13

Acties:

spone

Nu ik er nog eens naar kijk, valt het volgende mij op:

code:

SSL: SSL_connect:SSLv3 read server hello A
TLS: Certificate verification failed, error 19 (self signed certificate in certificate chain) depth 3 for '/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root'
SSL: (where=0x4008 ret=0x230)
SSL: SSL3 alert: write (local SSL3 detected an error):fatal:unknown CA
SSL: (where=0x1002 ret=0xffffffff)
SSL: SSL_connect:error in SSLv3 read server certificate B
OpenSSL: tls_connection_handshake - SSL_connect error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Zo te zien wordt de AddTrust External CA Root niet vertrouwd. Misschien dat je wat kan met ca_path="/etc/wpa_supplicant/CA/" in de conf waar je dan alle CA certs die in de chain voorkomen in plaatst?

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 12 september 2010 19:55

Acties:

stereohead

Een mogelijke oplossing:

Ik gebruik i.p.v. de standaard networkmanager een ander programma genaamd: 'wicd', dat werkt prima met eduroam (ik gebruik het op school, Windesheim).

zondag 12 september 2010 23:04

Acties:

deadinspace

The what goes where now?

Boudewijn schreef op donderdag 09 september 2010 @ 13:48:
Nu werkt de standaard networkmanager onder Ubuntu niet met certificaten (daar zitten best wel wat bugs in ) en wil ik het dus met de hand doen .

Niet? Ik heb hier n-m 0.7 op Debian (da's ouder dan wat in Ubuntu 10.04 zit), en die werkt gewoon met eduroam. Je moet wel het root certificate aangeven (GTE_CyberTrust_Global_Root.pem). Verdere settings: WPA2 enterprise, PEAP v0, MSCHAPv2 auth, en hoppa.

zondag 12 september 2010 23:21

Acties:

Boudewijn

omdat het kan

Topicstarter

Klopt maar jij hebt geen certificaat als authenticatie-mechanisme, of je moet toevallig bij SURFnet werken.
Daar zit de clue in.

Die GUI accepteert valide certificaten niet, is in een oudere versie wel gebeurd.

i3 + moederbord + geheugen kopen?

zondag 12 september 2010 23:54

Acties:

deadinspace

The what goes where now?

Boudewijn schreef op zondag 12 september 2010 @ 23:21:
Klopt maar jij hebt geen certificaat als authenticatie-mechanisme

Eh ja, je hebt gelijk, ik had niet goed gelezen.

Als ik je pastebin doorlees valt me het volgende op:

code:

303
304
305

TLS: Certificate verification failed, error 19 (self signed certificate in certificate chain) depth 3 for '/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root'
SSL: (where=0x4008 ret=0x230)
SSL: SSL3 alert: write (local SSL3 detected an error):fatal:unknown CA

Misschien dat dat de oorzaak is?

zondag 12 september 2010 23:56

Acties:

citruspers

Niet echt een oplosing, maar bij mij op school hebben ze ook eduroam(wpa), en die verbinding klapt er constant uit, loopt heel traag, of allebei onder ubuntu. Onder win7 is het echt een gigantisch stuk stabieler.
Ligt dit misschien aan MSCHAP? (proprietary microsoft implementatie van CHAP?)

I'm a photographer, not a terrorist

maandag 13 september 2010 00:05

Acties:

Boudewijn

omdat het kan

Topicstarter

Onder Linux is het zodra het werkt prima de bima stabiel. Welke instelling is het?

i3 + moederbord + geheugen kopen?

Onderwerpen