খারাপ খবর, সবাই! দেখে মনে হচ্ছে ফেডোর 21-এ একটি অপরিশোধিত বাগ রয়েছে: 802.1x পিইএপি / এমএসসিএইচপিভি 2 সহ ওয়্যার্ড সংযোগ কাজ করছে না । সুতরাং নীচের উত্তরটি অন্যান্য ডিস্ট্রোদের জন্য কাজ করতে পারে , ফেডোরা 21 ব্যবহারকারী বর্তমানে ভাগ্যের বাইরে।
আমি নিজে কখনও চেষ্টা করে দেখিনি, তবে এই পোস্টটিতে লিনাক্স ক্লায়েন্ট এবং উইন্ডোজ ডোমেনের মধ্যে 802.1x স্থাপনের জন্য বেশ বিশদ ওয়াকথ্রু রয়েছে বলে মনে হচ্ছে। শংসাপত্রের অনুরোধের অংশটি নোট করুন: এটি আপনার রফতানিযোগ্য শংসাপত্রের সমস্যাটি সমাধান করা উচিত। সফ্টওয়্যার সংস্করণগুলি বেশ পুরানো ( উবুন্টু 8.04 এবং বাইন্ডার ট্রাস্টের পাওয়ার ব্রোকার এখনও একইভাবে রয়েছে ), তবে প্রাথমিক ধারণাটি আমার কাছে দৃ solid় বলে মনে হয়।
আমি পড়তে আরও সহজ করার জন্য উপরে উল্লিখিত পোস্টটি ফর্ম্যাট করেছি। কোট করা কোড বাক্সগুলিকে ধূসর করে ধূসর করে তোলে, তাই আমি এটিকে বাদ দিয়েছি, দুঃখিত:
দাবি অস্বীকার: এই গাইড লিনাক্স উবুন্টু 8.04 বিতরণের দৃষ্টিকোণ থেকে লেখা হয়েছে। অন্যান্য লিনাক্স বা ইউনিক্স বিতরণ দিয়ে এই কাজটি করার জন্য, কিছু পরিবর্তন করা দরকার।
আপনার লিনাক্স মেশিনকে ৮০২.১x এর বেশি প্রমাণীকরণের জন্য দুটি প্রধান জিনিস হ'ল একটি ক্লায়েন্ট শংসাপত্র এবং উইন্ডোজ ডোমেনের একটি অ্যাকাউন্ট। প্রমাণীকরণ প্রক্রিয়া চলাকালীন, লিনাক্স ক্লায়েন্টটি এটির কম্পিউটার শংসাপত্রটি স্যুইচটিতে উপস্থাপন করে, যার ফলে এটি রেডিয়াস সার্ভারে উপস্থাপন করে যিনি শংসাপত্রটি যাচাই করে এবং কম্পিউটার অ্যাকাউন্টটি অ্যাক্টিভ ডিরেক্টরিতে শংসাপত্র নির্ধারিত হয় তা যাচাই করে। যদি শংসাপত্র এবং কম্পিউটার অ্যাকাউন্ট বৈধ হয়, তবে রেডিয়াস সার্ভারটি পুনরায় সুইচটিতে প্রেরণের অনুমোদনের অনুরোধকে অনুমোদন দেয়, যার ফলে লিনাক্স বাক্সটি সংযুক্ত পোর্টটিকে প্রমাণী করে।
প্রথমটি যা করা দরকার তা হ'ল আপনার লিনাক্স কম্পিউটারটিকে উইন্ডোজ ডোমেনে যোগ দেওয়া। যেহেতু লিনাক্স স্থানীয়ভাবে একটি উইন্ডোজ ডোমেইনে যোগদান করতে পারে না, তাই আমাদের এটি করতে অনুমতি দেওয়ার জন্য প্রয়োজনীয় সফ্টওয়্যারটি ডাউনলোড করতে হবে। একইভাবে আমাদের কেবল এটি করার অনুমতি দেওয়ার জন্য সফ্টওয়্যার তৈরি করে। এটি উবুন্টুতে ইনস্টল করতে এটি খুব সহজ, কেবল এই পদক্ষেপগুলি অনুসরণ করুন:
- sudo অ্যাপ্লিকেশন - আপডেট
- sudo অ্যাপ্লিকেশন-অনুরূপ ইনস্টল-ওপেন
- sudo ডোমেনজাইন-ক্লাইমে যোগ দিন
enter the FQDN of your domain here enter your admin account here, আপনি ফর্ম্যাটটি ব্যবহার করতে পারেন user@domain.com। আপনি গিয়ে জিইউআই সংস্করণটি ব্যবহার করতে সক্ষম হওয়া উচিতSystem → Administration → Likewise.
- sudo আপডেট-rc.d একইভাবে-ডিফল্ট খুলুন
- sudo /etc/init.d/ Likewise- খোলা শুরু
আপনি যদি উবুন্টু না চালাচ্ছেন তবে আপনি এখানে সফটওয়্যারটি ডাউনলোড করতে পারেন http://www . Likewisesoftware.com/products/ Likewise_open । আপনি এখন আপনার ডোমেন অ্যাকাউন্ট ব্যবহার করে লগ আউট এবং আবার লগ ইন করতে পারেন। আমি বিশ্বাস করি যে ফর্ম্যাট user@domain.comএবং ডোমেন ব্যবহারকারী উভয়ই কাজ করে। আমি এটি পরে পরীক্ষা করব।
লিনাক্স মেশিনে তিনটি ফাইল রয়েছে যা এই প্রমাণীকরণের জন্য যথাযথভাবে কনফিগার করা উচিত। এই তিনটি ফাইল হ'ল:
- /etc/wpa_supplicant.conf
- জন্য / etc / network /? ইন্টারফেসগুলি
- /etc/openssl/openssl.cnf
প্রথমে আমরা আমাদের লিনাক্স মেশিনটিকে একটি ক্লায়েন্ট শংসাপত্র ব্যবহার করতে একটি 802.1x সক্ষম নেটওয়ার্কটিতে প্রমাণীকরণের জন্য সফ্টওয়্যারটি কনফিগার করব; wpa_supplicantএই জন্য ব্যবহার করা হবে।
আপনার wpa_supplicant.conf ফাইলটি কনফিগার করতে এই পদক্ষেপগুলি অনুসরণ করুন:
- sudo gedit /etc/wpa_supplicant.conf
ফাইলটিতে নিম্নলিখিতটি আটকে দিন এবং এটি সংরক্ষণ করুন:
# Where is the control interface located? This is the default path:
ctrl_interface=/var/run/wpa_supplicant
# Who can use the WPA frontend? Replace "0" with a group name if you
# want other users besides root to control it.
# There should be no need to chance this value for a basic configuration:
ctrl_interface_group=0
# IEEE 802.1X works with EAPOL version 2, but the version is defaults
# to 1 because of compatibility problems with a number of wireless
# access points. So we explicitly set it to version 2:
eapol_version=1
# When configuring WPA-Supplicant for use on a wired network, we don't need to
# scan for wireless access points. See the wpa-supplicant documentation if you
# are authenticating through 802.1x on a wireless network:
ap_scan=0
network={
ssid="<enter any name here, it doesn't matter>"
key_mgmt=IEEE8021X
eap=TLS
identity="<FQDN>/computers/<Linux computer name>"
client_cert="/etc/ssl/certs/<your authentication certificate name>.pem"
private_key="/etc/ssl/private/<your private key name>.pem"
}
এখন আমাদের অবশ্যই আপনার ইন্টারফেস ফাইলটি সম্পাদনা করতে হবে। আপনার ইন্টারফেস ফাইল কনফিগার করতে এই পদক্ষেপগুলি অনুসরণ করুন:
- sudo gedit / etc / নেটওয়ার্ক / ইন্টারফেস
eth0ইন্টারফেসের নীচে ফাইলটিতে নিম্নলিখিতটি আটকে দিন এবং এটি সংরক্ষণ করুন:
# Configure the system to authenticate with WPA-Supplicant on interface eth0
wpa-iface eth0
# In this case we have a wired network:
wpa-driver wired
# Tell the system we want to use WPA-Supplicant with our configuration file:
wpa-conf /etc/wpa_supplicant.conf
পরবর্তী পদক্ষেপটি আপনার শংসাপত্রগুলি তৈরি এবং ইনস্টল করা। আমাদের স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে হবে, তারপরে আমরা তৈরি স্ব স্বাক্ষরিত শংসাপত্রের ভিত্তিতে একটি শংসাপত্র অনুরোধ তৈরি করতে হবে, তারপরে শংসাপত্রগুলি ইনস্টল করুন।
দ্রষ্টব্য: আপনার শংসাপত্রগুলি তৈরি করার সময়, যখনই এটি আপনার নাম জিজ্ঞাসা করে, আপনাকে অবশ্যই কম্পিউটারটির নাম সরবরাহ করতে হবে যা প্রমাণীকরণযোগ্য হবে। সুরক্ষিত থাকতে, আমি নামটি কম্পিউটারে যেভাবে নির্ধারিত করা হয়েছে তার সাথে মেলে ধরার পরামর্শ দিই, কেস সংবেদনশীল সহ। এটি আপনার কম্পিউটারে কীভাবে বরাদ্দ করা হয়েছে তা সম্পর্কে আপনি যদি নিশ্চিত না হন তবে একটি টার্মিনাল খুলুন এবং হোস্ট-নেম টাইপ করুন।
এই পদক্ষেপগুলি অনুসরণ করুন:
উবুন্টু OpenSSL req -x509 -nodes -days enter in days how long you want the cert valid for-newkey RSA: 1024 -keyout enter a name for your private key/certificate here.pem -out enter a name for your private key/certificate here.pem
উদাহরণ: সুডো ওপেনসেল রেকর্ড -x509 -নোড -ডেস 365 -নিউকি আরএসএ: 1024 -কিআউট আউট প্রাইসারেট.পিএম-আউট প্রাইভেটরি.পিএম
ওপেনএসএল রেকিউ-নতুন-নিউউইকি আরএসএ: 1024 -নোডস-কীআউটআউট enter a name for your private key here.পিএম - আউট। enter a name for your certificate request hereপেইম
উদাহরণ: সুডো ওপেনসেল রেকর্ড-নতুন-নতুন উইকিপিএসএ: 1024 -নোডস-কিউটআউট প্রাইভেট.পিএম-আউট সার্ট্রেইক.পিএম
তৈরি করা সমস্ত শংসাপত্রগুলি আপনার হোম ডিরেক্টরিতে ( /home/<username>) স্থাপন করা হয় । পরবর্তী অংশটি হ'ল পূর্ববর্তী পদক্ষেপে তৈরি হওয়া শংসাপত্রের অনুরোধটি ব্যবহার করে আপনার সিএ থেকে একটি শংসাপত্রের অনুরোধ করা। এটি একটি উইন্ডোজ মেশিনে করা দরকার, কারণ কোনও কারণে শংসাপত্রগুলির অনুরোধ এবং ডাউনলোড করার সময় লিনাক্স এবং উইন্ডোজ খুব ভালভাবে যায় না; আমি নিজের কাছে শংসাপত্রের অনুরোধটি ইমেল করা এবং এটি একটি উইন্ডোজ মেশিনে সম্পাদন করা সহজ পেয়েছি।
শংসাপত্রের অনুরোধটি সম্পূর্ণ করতে এই পদক্ষেপগুলি অনুসরণ করুন:
- লিনাক্স মেশিনে আপনার হোম ডিরেক্টরিতে যান এবং আপনার শংসাপত্রের অনুরোধ ফাইলটি সন্ধান করুন
- হয় নিজেই ফাইলটি ইমেল করুন বা কোনও পাঠ্য সম্পাদক (যেমন gedit) দিয়ে ফাইলটি খুলুন এবং অনুরোধটি একটি ইমেলের মধ্যে অনুলিপি করুন এবং আটকান এবং তা নিজের কাছে প্রেরণ করুন।
- একটি উইন্ডোজ ক্লায়েন্টে, আপনার সিএর ওয়েবসাইটে IE ব্যবহার করে একটি ওয়েবপৃষ্ঠা খুলুন (যেমন
http://caname/certsrv)।
- একটি শংসাপত্র অনুরোধ নির্বাচন করুন
- উন্নত শংসাপত্র অনুরোধ
- এখন আপনার ইমেলটি খুলুন এবং শংসাপত্রের অনুরোধটি পান যে আপনি নিজেরাই ইমেল করেছেন।
- যদি আপনি নিজে ফাইলটি ইমেল করেন তবে এটি নোটপ্যাড দিয়ে খুলুন এবং বিষয়বস্তুটি অনুলিপি করে বেস -৪৪ এনকোডেড শংসাপত্রের অনুরোধ বাক্সে আটকান। যদি আপনি নিজেই ফাইলটির চেয়ে শংসাপত্রের অনুরোধ ফাইলের বিষয়বস্তুগুলিকে ইমেল করেন তবে কেবল সেখান থেকে অনুরোধটি বেস -64 এনকোডেড শংসাপত্রের অনুরোধ বাক্সে অনুলিপি করুন এবং আটকান।
- জমা দিন এবং সার্টিফিকেটটি বেস -৪ form আকারে ডাউনলোড করুন, ডিইআর নয় not
- আপনার ডেস্কটপে শংসাপত্রটি সংরক্ষণ করুন এবং এটির নাম দিন
your Linux machine namepe সিস্টেমটি স্বয়ংক্রিয়ভাবে .cerএর শেষের দিকে সংযোজন করবে, তাই কেবল এটি বন্ধ করে দিন। লিনাক্স শংসাপত্রের এক্সটেনশনের জন্য .pem ব্যবহার করে।
- এই ফাইলটি নিন এবং এটি নিজের কাছে ইমেল করুন।
- এখন, আপনার লিনাক্স মেশিনে, আপনার শংসাপত্রটি পান এবং এটি কোথাও সংরক্ষণ করুন (পছন্দসইভাবে আপনার হোম ফোল্ডারটি জিনিসগুলিকে সজ্জিত এবং একসাথে রাখার জন্য)।
- এখন, আমাদের সবেমাত্র আপনার শংসাপত্রটি অনুলিপি করতে হবে যা আপনি সবেমাত্র আপনার
/etc/ssl/certsফোল্ডারে পেয়েছেন এবং আমাদের ফোল্ডারে আপনার প্রাইভেট কী / শংসাপত্র এবং প্রাইভেট কী অনুলিপি করতে হবে /etc/ssl/private। এখন, কেবল রুটকে এটি করার অনুমতি রয়েছে, সুতরাং আপনি হয় কমান্ড লাইন দ্বারা টাইপ করে sudo cp /home/<username>/<certificate>.pem /etc/ssl/privateবা এটি করতে পারেন /etc/ssl/certs। GUI থেকে কমান্ড gksudo কমান্ডটি ব্যবহার করে এবং নোটিলাসে টাইপ করে পেস্ট করা যায়। নটিলাস হ'ল জিইউআই ফাইল ব্রাউজার যা উবুন্টু ব্যবহার করে এবং এটি এটি রুট হিসাবে চালাবে যা আপনাকে কেবলমাত্র যে ডিরেক্টরিতে প্রবেশ করতে পারে সেগুলি ডিরেক্টরিতে অনুলিপি এবং আটকানোর অনুমতি দেয়।
এখন যেহেতু আমাদের শংসাপত্রগুলি স্থানে রয়েছে, আমরা কীভাবে শংসাপত্রগুলি ব্যবহার করতে চাই তা ওপেনএসএলকে আমাদের বলতে হবে। এটি করার জন্য, আমাদের অবশ্যই ওপেনএসএল সিএনএফ ফাইলটি সম্পাদনা করতে হবে এবং এটি ব্যবহারকারীর পরিবর্তে ক্লায়েন্ট হিসাবে আমাদের লিনাক্স মেশিনকে অনুমোদনের জন্য বলতে হবে।
এটি করার জন্য, নিম্নলিখিত ধাপগুলি অনুসরণ করুন:
- sudo gedit /etc/ssl/openssl.cnf
- প্রায় অর্ধেক পথ স্ক্রোল করুন এবং আপনি কল করা একটি বিভাগ দেখতে হবে
[usr_cert]। এই বিভাগে আমাদের যেখানে প্রয়োজন সেখানে "সাধারণ ক্লায়েন্ট ব্যবহারের জন্য এটি সাধারণ"nsCertType হিসাবে সংজ্ঞায়িত করা হয়েছে এবং এটি হওয়া উচিত এবং এটি মন্তব্য করা হবে। এই লাইনটি কমেন্ট করুন এবং ইমেলটি মুছুন যাতে এটি প্রদর্শিত হয় । এখন ফাইলটি সংরক্ষণ করুন।nsCertType = client, emailnsCertType = client
উইন্ডোজ ডোমেন পরিবেশে লিনাক্স মেশিন চালু থাকতে এবং 802.1x ব্যবহার করে প্রমাণীকরণের জন্য আপনার যা ঠিকভাবে কনফিগার করা দরকার রয়েছে তা এখন আপনার উচিত।
যা এখন বাকি রয়েছে তা আপনার নেটওয়ার্কিং পরিষেবাটি পুনরায় চালু করা যাতে লিনাক্স সেই wpa_supplicant.confফাইলটি ব্যবহার করবে যা আপনার eth0ইন্টারফেসের সাথে আবদ্ধ থাকে এবং প্রমাণীকরণ করে। তাই শুধু চালান sudo service networking restart। আপনার ইন্টারফেসটি ফিরে আসার পরে যদি আপনি কোনও আইপি ঠিকানা না পান তবে আপনি নিজে লিখে আপনার ডিএইচসিপি সার্ভার থেকে একটি আইপি অনুরোধ করতে পারেন sudo dhclient।