Se connecter au reseau eduroam avec iwd

ephase | | Updated on mar. 04 février 2025

Je suis passé de connman + wpa_supplicant à iwd pour gérer mes connexions Wifi. Je n’avais jusqu’à maintenant pas rencontré de problèmes majeurs : il me suffisait de lancer iwctl pour me connecter à un réseau.

Mais j’ai du me connecter à eduroam1 (à l’université de Bordeaux), et là c’est un peu plus compliqué. C’est un réseau WPA-Entreprise, si avec Network-Manager et son interface graphique c’est simple, il faut ici le configurer à la main.

iwd

Inet Wireless Daemon est un logiciel permettant la connexion et la gestion des réseaux sans-fils de type Wifi. Son but est de ne dépendre que des outils founis par le noyau Linux afin d’optimiser au maximum l’utilisation des ressources.

Il se veux aussi plus moderne que son ancêtre wpa_supplicant.

Créer et éditer le fichier de configuration à la main.

Pour rajouter le réseau eduroam à Bordeaux il faut créer, et éditer le fichier /var/lib/iwd/eduroam.8021x en super-utilisateur et rajouter les informations suivantes :

[Security]
EAP-Method=TTLS
EAP-Identity=anonymous@u-bordeaux.fr
EAP-TTLS-Phase2-Method=Tunneled-PAP
EAP-TTLS-Phase2-Identity=<id_ent>@u-bordeaux.fr
EAP-TTLS-Phase2-Password=<password>

[Settings]
Autoconnect=true

Il faut bien évidemment remplacer <id_ent> par l’identifiant d’accès à l’ENT et <password> par le mot de passe associé.

Cette configuration est valable sur l’Université de Bordeaux, elle doit différer pour les autres.

Sécuriser la connexion

Comme me l’a fait remarquer LuK par courriel, la configuration n’est pas des plus sécurisée. Il manque le certificat de l’autorité de certification utilisé pour signer celui fourni lors de la connexion. Par défaut la connexion accepte toute L’absence de certificat ouvre entre autres la voie à des attaques par l’homme du milieu (MitM).

Ce certificat ne semble pas pas public je ne préfère pas le partager ici; il faut donc aller le chercher sur cette page (authentification nécessaire).

Le paramètre iwd EAP-method-CACert permet de spécifier le certificat à utiliser, il permet aussi de l’inclure dans le fichier de configuration. Voici la configuration modifiée :

[Security]
EAP-Method=TTLS
EAP-method-CACert=ubx_eduroam_cert
EAP-Identity=anonymous@u-bordeaux.fr
EAP-TTLS-Phase2-Method=Tunneled-PAP
EAP-TTLS-Phase2-Identity=<id_ent>@u-bordeaux.fr
EAP-TTLS-Phase2-Password=<password>

[Settings]
Autoconnect=true

[@pem@ubx_eduroam_cert]
-----BEGIN CERTIFICATE-----
MIIF3jCCA8agAwIBAgIQAf1tMPyjylGoG7xkDjUDLTANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
<le_reste_du_cerificat> ...

[@pem@ubx_eduroam_cert] doit être suivi de l’integralité du contenu du certificat téléchargé sur le site de l’Université

(voir sur Wikipedia)

  1. réseau mondial destiné aux personnels et étudiants des universités