Content-Type: text/html

Hej alla glada!

 

 

 

Eftersom jag inte är någon Pingvin guru tänkte jag att vi kör ut denna fråga på listan för att se om någon har en idé om detta.

 

 

Mvh

Herr Nilsson

 


Från: Jan Engvald [mailto:[log in to unmask]]
Skickat: den 1 december 2009 16:54
Till: Anders Nilsson
Ämne: SV: Ang instruktioner för användande av eduroam

 

Hej igen!

 

Jag laddade ner Wubi-Ubuntu för att testa min teori.

Jag hittar mappen /etc/wpa_supplicant, men ingen

conf-fil. Undras hur konfigurationen förmedlas från

GUI till programmet. I mappen ovan finns en

functions.sh som kan hantera subject_match.

 

således nära, men ej i mål.

 

Jan Engvald, LDC, Lund University Computing Center
_________________________________________________
Phone: +46 46 222 1353  Fax: +46 46 222 1399
Address: Margaretav. 1 A
              S-222 40 LUND        WWW:
http://www.ldc.lu.se/
              Sweden                  Email:[log in to unmask]

Från: Jan Engvald
Skickat: den 1 december 2009 09:34
Till: 'Anders Nilsson'
Ämne: SV: Ang instruktioner för användande av eduroam

 

Hej!

 

Jag skrev inlägget för att jag hoppades att någon kommit på en lösning.

 

När det gäller Ubuntu har jag en fundering (jag är långt ifrån en expert på det).

Kan det vara så att den i själva verket använder sig av programmet

wpa_supplicant och någonstans har en wpa_supplicant.conf-fil.

För denna finns följande info:

 

# subject_match: Substring to be matched against the subject of the

#       authentication server certificate. If this string is set, the server

#       sertificate is only accepted if it contains this string in the subject.

#       The subject string is in following format:

#       /C=US/ST=CA/L=San Francisco/CN=Test [log in to unmask]">[log in to unmask]

# altsubject_match: Semicolon separated string of entries to be matched against

#       the alternative subject name of the authentication server certificate.

#       If this string is set, the server sertificate is only accepted if it

#       contains one of the entries in an alternative subject name extension.

#       altSubjectName string is in following format: TYPE:VALUE

#       Example: EMAIL:[log in to unmask]

#       Example: DNS:server.example.com;DNS:server2.example.com

#       Following types are supported: EMAIL, DNS, URI

 

Skulle man kunna lägga in t.ex.

 

subject_match: /CN=radius1.lu.se;/CN=radius2.lu.se

 

Jag har tyvärr ingen Ubuntu att testa med.

 

Jan Engvald, LDC, Lund University Computing Center
_________________________________________________
Phone: +46 46 222 1353  Fax: +46 46 222 1399
Address: Margaretav. 1 A
              S-222 40 LUND        WWW:
http://www.ldc.lu.se/
              Sweden                  Email:[log in to unmask]

Från: Anders Nilsson [mailto:[log in to unmask]u.se]
Skickat: den 1 december 2009 00:20
Till: Jan Engvald
Ämne: SV: Ang instruktioner för användande av eduroam

 

Hepp!!!

 

Japp ni får guldstjärna (eller vill ni ha en julstjärna?) för era Windows instruktioner.

 

Yep Linux is a pain in the ass.  ;)     Vet faktiskt inte riktigt hur man ska attackera problemet men troligen måste man skapa en speciell PEM-fil  (med hela certkedjan) för pingvinerna.

 

Vad gäller Mac OS X kan man ju som sagt var inte pre-stage:a komfigen men man kan ju i alla fall ta en skärmdump på hur certet ska se ut.

Detta har Chalmers gjort på   https://www.chalmers.se/insidan/SV/arbetsredskap/it/bastjanster/eduroam/konfigurera-macos/downloadFile/attachedFile_f0/konfigureraMacOSX.pdf?nocache=1253694058.4  (sidan 7)

medan ni på http://www.macpublic.ldc.lu.se/installation/wlan/#krypterat bara säger att man ska klicka vidare på certfrågan. Jag förstår att detta kan verka petigt men faktum är att detta är skillnaden mellan att potentiellt ha sina lösenord på rymmen och inte.

 

Nu tycker inte jag att just du ska känna dig utpekad utan jag vill höja uppmärksamheten i detta ämne för tyvärr är det riktigt illa på vissa Universitet.  L

 

 

Mvh

Herr Nilsson

 

PS grabbarna från Cloudpath hävdar att de med sin produkt Xconnect ( www.cludpath.net ) löst detta problem jag fattar inte riktigt hur

 

 


Från: Jan Engvald [mailto:[log in to unmask]]
Skickat: den 30 november 2009 23:40
Till: Anders Nilsson
Ämne: SV: Ang instruktioner för användande av eduroam

 

Hej!

 

För alla versioner av Windows säger våra instruktioner att man skall verifiera

både certifikat och att domännamnet skall vara lu.se. Det borde vara säkert.

 

Men hur gör man för OS X och Ubuntu? Där kan man såvit jag vet ej verifiera

namnet på servern, vilket är en risk. Kan inte se att ens Chalmers löst det,

eller har jag missat något?

 

Jan Engvald, Lunds universitet

 


Från: [log in to unmask] [[log in to unmask]] för Anders Nilsson [[log in to unmask]]
Skickat: den 30 november 2009 15:47
Till: [log in to unmask]e
Ämne: [[log in to unmask]] Ang instruktioner för användande av eduroam

Hej alla glada,

 

Trots mina hårda ord på Optosunet-dagarna är det tyvärr alltför få som på ett godtagbart sätt informerar sina användare om hur man på ett korrekt anger vilka radiusservrar man authentisierar sig mot.  Jag vill åter igen säga att det INTE räcker med CA-root utan man MÅSTE även ange servercertifikatets namn.

En beskrivning av detta finner ni på http://airsnarf.shmoo.com/rogue_squadron.pdf  från sidan 26 och framåt.

Detta är direkt akut för de som kör EAP-TTLS-PAP eftersom allt kan läsas ut i klartext av en sk Evil-Twin.

 

 

Jag tänker inte hänga ut någon här utan börja med att ge en guldstjärna till Chalmers som tydligen förstått att göra rätt från början.

 

 

Med hopp om snar bättring

Herr Nilsson

 

PS Jag tänker återkomma med en lista om två veckor på vilka som inte informerar sina användare korrekt.