man wpa_supplicant.conf(5) - файл конфигурации для wpa_supplicant

НАЗВАНИЕ

wpa_supplicant.conf - файл конфигурации для wpa_supplicant

ОБЗОР

wpa_supplicant настраивается с помощью текстового файла, который перечисляет все разрешенные сети и политики безопасности, включая общие (pre-shared) ключи. Обратитесь к примеру файла конфигурации, возможно в /usr/share/doc/wpa_supplicant/, за подробной информацией по формату конфигурации и поддерживаемым полям.

Все пути в файле конфигурации должны быть полными путями (абсолютными, не связанными с рабочим каталогом), чтобы была возможность изменить рабочий каталог. Это может произойти, если wpa_supplicant запущен в фоновом режиме.

Изменения в файле конфигурации могут быть перезагружены отправкой сигнала SIGHUP процессу wpa_supplicant ('killall -HUP wpa_supplicant'). Так же, перезагрузка может быть запрошена с помощью команды 'wpa_cli reconfigure'.

Файл конфигурации может включать один или более блоков network, т. е., по одному для каждого используемого SSID. wpa_supplicant автоматически выберет лучшую сеть, основываясь на порядке блоков network в файле конфигурации, уровне безопасности сети (предпочитаются WPA/WPA2), и мощности сигнала.

КРАТКИЕ ПРИМЕРЫ

1. WPA-Personal (PSK) в качестве домашней сети и WPA-Enterprise с EAP-TLS в качестве рабочей сети.

# разрешить использование оболочки (т. е., wpa_cli) всеми пользователями из группы 'wheel'
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

#

# домашняя сеть; разрешить все действительные шифры

network={

ssid="home"

scan_ssid=1

key_mgmt=WPA-PSK

psk="very secret passphrase" # очень секретная ключевая фраза

}

#

# рабочая сеть; использовать EAP-TLS с WPA; разрешить только шифры CCMP и TKIP

network={

ssid="work"

scan_ssid=1

key_mgmt=WPA-EAP

pairwise=CCMP TKIP

group=CCMP TKIP

eap=TLS

identity="user@example.com"

ca_cert="/etc/cert/ca.pem"

client_cert="/etc/cert/user.pem"

private_key="/etc/cert/user.prv"

private_key_passwd="password" # пароль

}

2. WPA-RADIUS/EAP-PEAP/MSCHAPv2 с RADIUS серверами, которые используют старый peaplabel (например, Funk Odyssey и SBR, Meetinghouse Aegis, Interlink RAD-Series)

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

network={

ssid="example"

scan_ssid=1

key_mgmt=WPA-EAP

eap=PEAP

identity="user@example.com"

password="foobar"

ca_cert="/etc/cert/ca.pem"

phase1="peaplabel=0"

phase2="auth=MSCHAPV2"

}

3. Конфигурация EAP-TTLS/EAP-MD5-Challenge с анонимной идентификацией для незашифрованного соединения. Реальная идентификация посылается только через зашифрованный туннель TLS.

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

network={

ssid="example"

scan_ssid=1

key_mgmt=WPA-EAP

eap=TTLS

identity="user@example.com"

anonymous_identity="anonymous@example.com"

password="foobar"

ca_cert="/etc/cert/ca.pem"

phase2="auth=MD5"

}

4. IEEE 802.1X (т. е., без WPA) с динамическими ключами WEP (требуют направленного вещания и широковещания); использовать аутентификацию EAP-TLS.

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

network={

ssid="1x-test"

scan_ssid=1

key_mgmt=IEEE8021X

eap=TLS

identity="user@example.com"

ca_cert="/etc/cert/ca.pem"

client_cert="/etc/cert/user.pem"

private_key="/etc/cert/user.prv"

private_key_passwd="password" # пароль

eapol_flags=3

}

5. Сочетание всех примеров, позволяющих большинство режимов конфигурации. Использование настроечных опций основывается на используемой политике безопасности в выбранной SSID. Этот пример предназначен в основном для тестирования и не рекомендуется для обычного использования.

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

network={

ssid="example"

scan_ssid=1

key_mgmt=WPA-EAP WPA-PSK IEEE8021X
NONE

pairwise=CCMP TKIP

group=CCMP TKIP WEP104 WEP40

psk="very secret passphrase" # очень секретная ключевая фраза

eap=TTLS PEAP TLS

identity="user@example.com"

password="foobar"

ca_cert="/etc/cert/ca.pem"

client_cert="/etc/cert/user.pem"

private_key="/etc/cert/user.prv"

private_key_passwd="password" # пароль

phase1="peaplabel=0"

ca_cert2="/etc/cert/ca2.pem"

client_cert2="/etc/cer/user.pem"

private_key2="/etc/cer/user.prv"

private_key2_passwd="password" # пароль

}

6. Авторизация для проводного Ethernet. Может использоваться с проводным интерфейсом (-Dwired в командной строке).

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel

ap_scan=0

network={

key_mgmt=IEEE8021X