man wpa_supplicant.conf(5) - файл конфигурации для wpa_supplicant НАЗВАНИЕ wpa_supplicant.conf - файл конфигурации для wpa_supplicant ОБЗОР wpa_supplicant настраивается с помощью текстового файла, который перечисляет все разрешенные сети и политики безопасности, включая общие (pre-shared) ключи. Обратитесь к примеру файла конфигурации, возможно в /usr/share/doc/wpa_supplicant/, за подробной информацией по формату конфигурации и поддерживаемым полям. Все пути в файле конфигурации должны быть полными путями (абсолютными, не связанными с рабочим каталогом), чтобы была возможность изменить рабочий каталог. Это может произойти, если wpa_supplicant запущен в фоновом режиме. Изменения в файле конфигурации могут быть перезагружены отправкой сигнала SIGHUP процессу wpa_supplicant ('killall -HUP wpa_supplicant'). Так же, перезагрузка может быть запрошена с помощью команды 'wpa_cli reconfigure'. Файл конфигурации может включать один или более блоков network, т. е., по одному для каждого используемого SSID. wpa_supplicant автоматически выберет лучшую сеть, основываясь на порядке блоков network в файле конфигурации, уровне безопасности сети (предпочитаются WPA/WPA2), и мощности сигнала. КРАТКИЕ ПРИМЕРЫ 1. WPA-Personal (PSK) в качестве домашней сети и WPA-Enterprise с EAP-TLS в качестве рабочей сети. # разрешить использование оболочки (т. е., wpa_cli) всеми пользователями из группы 'wheel' ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel # # домашняя сеть; разрешить все действительные шифры network={ ssid="home" scan_ssid=1 key_mgmt=WPA-PSK psk="very secret passphrase" # очень секретная ключевая фраза } # # рабочая сеть; использовать EAP-TLS с WPA; разрешить только шифры CCMP и TKIP network={ ssid="work" scan_ssid=1 key_mgmt=WPA-EAP pairwise=CCMP TKIP group=CCMP TKIP eap=TLS identity="user@example.com" ca_cert="/etc/cert/ca.pem" client_cert="/etc/cert/user.pem" private_key="/etc/cert/user.prv" private_key_passwd="password" # пароль } 2. WPA-RADIUS/EAP-PEAP/MSCHAPv2 с RADIUS серверами, которые используют старый peaplabel (например, Funk Odyssey и SBR, Meetinghouse Aegis, Interlink RAD-Series) ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel network={ ssid="example" scan_ssid=1 key_mgmt=WPA-EAP eap=PEAP identity="user@example.com" password="foobar" ca_cert="/etc/cert/ca.pem" phase1="peaplabel=0" phase2="auth=MSCHAPV2" } 3. Конфигурация EAP-TTLS/EAP-MD5-Challenge с анонимной идентификацией для незашифрованного соединения. Реальная идентификация посылается только через зашифрованный туннель TLS. ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel network={ ssid="example" scan_ssid=1 key_mgmt=WPA-EAP eap=TTLS identity="user@example.com" anonymous_identity="anonymous@example.com" password="foobar" ca_cert="/etc/cert/ca.pem" phase2="auth=MD5" } 4. IEEE 802.1X (т. е., без WPA) с динамическими ключами WEP (требуют направленного вещания и широковещания); использовать аутентификацию EAP-TLS. ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel network={ ssid="1x-test" scan_ssid=1 key_mgmt=IEEE8021X eap=TLS identity="user@example.com" ca_cert="/etc/cert/ca.pem" client_cert="/etc/cert/user.pem" private_key="/etc/cert/user.prv" private_key_passwd="password" # пароль eapol_flags=3 } 5. Сочетание всех примеров, позволяющих большинство режимов конфигурации. Использование настроечных опций основывается на используемой политике безопасности в выбранной SSID. Этот пример предназначен в основном для тестирования и не рекомендуется для обычного использования. ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel network={ ssid="example" scan_ssid=1 key_mgmt=WPA-EAP WPA-PSK IEEE8021X NONE pairwise=CCMP TKIP group=CCMP TKIP WEP104 WEP40 psk="very secret passphrase" # очень секретная ключевая фраза eap=TTLS PEAP TLS identity="user@example.com" password="foobar" ca_cert="/etc/cert/ca.pem" client_cert="/etc/cert/user.pem" private_key="/etc/cert/user.prv" private_key_passwd="password" # пароль phase1="peaplabel=0" ca_cert2="/etc/cert/ca2.pem" client_cert2="/etc/cer/user.pem" private_key2="/etc/cer/user.prv" private_key2_passwd="password" # пароль } 6. Авторизация для проводного Ethernet. Может использоваться с проводным интерфейсом (-Dwired в командной строке). ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel ap_scan=0 network={ key_mgmt=IEEE8021X eap=MD5 identity="user" password="password" # пароль eapol_flags=0 } СЕРТИФИКАТЫ Некоторые методы аутентификации EAP требуют использования сертификатов. EAP-TLS использует сертификат сервера и сертификат клиента, в то время как EAP-PEAP и EAP-TTLS требуют только сертификат сервера. При использовании сертификата клиента, соответствующий тайный файл ключа должен быть также указан в настройках. Если тайный ключ использует ключевую фразу, она должна быть настроена в wpa_supplicant.conf ("private_key_passwd"). wpa_supplicant поддерживает сертификаты X.509 в форматах PEM и DER. Сертификат пользователя и тайный ключ могут находиться в одном и том же файле. Если сертификат пользователя и тайный ключ получены в формате PKCS#12/PFX, их нужно сконвертировать в формат PEM/DER, подходящий для wpa_supplicant. Это может быть сделано, например, следующими командами: # преобразование сертификата клиента и тайного ключа в формат PEM openssl pkcs12 -in example.pfx -out user.pem -clcerts # преобразование сертификата CA (если имеется в файле PFX) в формат PEM openssl pkcs12 -in example.pfx -out ca.pem -cacerts -nokeys СМОТРИ ТАКЖЕ wpa_supplicant(8), openssl(1) ------------------------------------------------------------------------------- http://translated.by/you/man-wpa-supplicant-conf-5-configuration-file-for-wpa-supplicant/into-ru/trans/ Original (English): man wpa_supplicant.conf(5) - configuration file for wpa_supplicant (http://manpages.debian.net/cgi-bin/man.cgi?query=wpa_supplicant.conf&sektion=5&apropos=0&manpath=Debian+experimental&locale=) Translation: © saturn721, Владимир Ступин. translated.by crowd