Wifi wpa2 entreprise certifié

Bonjour à tout le monde, je reviens avec un sujet purement technique.
L’ EN a choisi d’équiper les classes informatiques des lycées publiques du wpa2 entreprise certifié. Or pour le moment il est bien difficile et par des méthodes pas encore officielles de relier les raspberries à cette wifi très sécurisée.
Connaîtriez-vous un forum vraiment technique sur le sujet ou mieux encore un forum technique spécifique du développement du pi-os ?
Sorti de ceux qu’on trouve sur les sites courants, j’ai du mal à trouver ce que je cherche.
Plusieurs forum signalent qu’il est tout à fait possible de relier une pi3 ou pi4 en dur sur un tel système, mais mon problème est que l’os (donc pi-os) prenne en charge une connexion de A à Z : de l’interface graphique où l’élève rentre son id et son mot de passe jusqu’à la connection automatique au réseau pédagogique du lycée.
Ca parait un gros chantier, du moins jusqu’à ce qu’une version de pi-os gère cette wifi sécurisée qui semble se standardiser.
C’est pourquoi j’aurais aimé savoir, entre autre, quels sont les projets et futurs développements du pi-os.
S’il y a des connaisseurs sur le sujet, je prendrai vos conseils et remarques avec plaisir.

hello,

comme je suis curieux et que ce sujet m’est inconnu, j’ai cherché sur le web et j’ai trouvé deux trucs…

  • une doc qui semble faire le tour du problème et présente les différents mécanismes et protocoles utilisés par le wpa2 entreprise ainsi que des infos sur le paramétrage du client avec wpa_supplicant.
  • un exemple simpliste de wpa_cli mais qui donne une piste pour réaliser un script de configuration de la connexion.

L’idée étant qu’au démarrage du raspberry, un script bash demande l’utilisateur et le mot de passe, utilise wpa_cli pour configurer la connexion ( en intégrant le user et le password de l’élève - qui si j’ai bien compris, sont sur le serveur d’authentification) et lance la connexion.

malgré mes recherches je n’ai pas trouvé d’info sur ce système concernant les lycées mais juste ce même système sur renater.

sources:

Salut Bof, merci de ta recherche. Je te fais une petite réponse rapide, je peux compléter un peu le topo sur les lycées, la région a décidé d’équiper chaque lycée d’une passerelle « Meraki » (sorte de box-serveur qui fait la passerelle entre le réseau interne d’un lycée et internet, et dialogue avec le serveur pédagogique (du lycée) qui contient effectivement la base donnée élève avec id et mots de passe, et bien plus comme les sites du lycée etc…)
C’est bien le protocole Radius qui se charge de l’authentification. (Après, concrêtement je ne sais pas si c’est Meraki qui gère elle même le protocole ou qui interroge un serveur Radius externe).
Bien que le certificat Radius me paraisse un peu beaucoup question surcouche de sécurité. Si j’ai bien compris le « certifié » vient de là.

good ! l’info sur le cisco « meraki » donne l’accès à la doc et a un forum dédié. je suppose que tu l’as déja parcouru mais je le poste ici pour mémoire :
le forum : https://community.meraki.com/t5/Meraki-Community/ct-p/meraki

le radius sur nps (network policy server ; un service sur le serveur windows ) c’est peut être sur ce serveur que l’on peut récupérer le certificat qui si j’ai bien compris, protège à la fois les échanges entre la passerelle « meraki », le serveur d’authentification ( qui doit signifier à la passerelle si la connexion du poste de l’utilisateur est autorisé ou non ) et le poste de l’utilisateur.

En fait si l’on compare a un paramétrage pour un client windows ( https://documentation.meraki.com/MR/Encryption_and_Authentication/Enabling_WPA2-Enterprise_in_Windows_Vista_and_Windows_7)

il doit falloir rajouter au wpa_supplicant.conf l’endroit ou l’on stocke sur le raspberry le fameux certificat
(https://manpages.debian.org/buster/wpasupplicant/wpa_supplicant.conf.5.en.html)
ce certificat devrait aussi ce trouver sur un poste windows qui se connecte en wpa2 entreprise ( https://docs.microsoft.com/fr-fr/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)

l’autre soucis c’est la manière donc le raspberry recupère son ip pour wlan0 … peut être une piste là :
https://iceburn.medium.com/raspberry-pi-connected-to-wifi-of-wpa2-enterprise-ddd5a40c0b07)

Oui, j’ai lu quelque part qu’on pouvait récupérer un certificat publique sur serveur Radius et le stocker dans un fichier ‘pem’ sur raspberry. Bon je ne suis quand même pas très à l’aise sur tout ce qui est technique réseau. J’ai lu une bonne partie du pdf authentification Radius de ton lien, je comprends que les liaisons sont beaucoup plus sophistiquées que je n’ imaginais.

Mais en gros, les certificats aussi bien côté client que serveur servent à vérifier que les 2 machines sont bien authentiques, que la communication ne s’ adresse pas à une machine détournée.

Et tous les transferts wifi doivent être cryptés car susceptibles d’être interceptés.

J’y vois plus clair sur certaines commandes du fichier ‘supplicant’, notamment les phases 1 et 2.

Le lien Debian m’a aidé aussi sur certaines instructions qui m’échappaient encore. Question bête je me demande en quel langage sont écrits les fichiers type « wpa_supplicant.conf ». Bref je vais continuer de regarder tout ça.

Pour le moment, la borne wifi en wpa2 de la salle info du lycée est détectée mais pas reconnue par les pi3 (elle apparaît en grisé dans le menu des bornes wifi et on ne peut dès lors absolument rien configurer via l’interface graphique de pi-os)

Je vois le problème en 2 parties (sans savoir si ma vision est juste ou encore praticable).

1ère partie : pouvoir utiliser l’interface graphique de pi-os qui permet de s’authentifier sur un compte ou un autre dès lors que la connexion peut être multi-compte. En effet l’option ‘autre’ dans cette interface demande un identifiant et un mot de passe. Donc problème n°1 : récupérer les variables qui stockent ces informations pour pouvoir les réinjecter dans un script bash sur l’id et le mot de passe désirés.

2ème partie : arriver à écrire ce script bash pour le fichier ‘supplicant’ afin qu’ il parvienne à dialoguer avec Radius et obtenir l’authentification.

Bon tes liens m’ont permis de bien progresser dans la compréhension de ce processus complexe.

Je vous tiens au courant dès que les choses avancent.

En fait c’est écris en wpa_supplicant… ce type de fichier est un fichier de paramètre que le programme (wpa_supplicant ) va analyser et d’où il va déduire les différents traitements qu’il devra effectuer; par exemple quel cryptage utiliser, où trouver le certificat,etc.

to be continued :wink: