Uubu.fr

05 mai 2017

NetworkManager

Service de gestion réseaux

   Le service NetworkManager tente de simplifier et d'automatiser la configuration réseaux et les opérations réseaux. Les informations sur le réseau sont exportés via D-Bus.

   NetworkManager exécute les scripts dans /etc/NetworkManager/dispatcher.d ou ses sous-répertoire dans l'ordre alphabétique en réponse aux événements réseaux. Chaque script devrait être un fichier exécutable possédé par root. Ils ne doivent pas être en écriture par le groupe et les autres, ni suid.

   Chaque script reçoit 2 arguments, le premier est le nom de l'interface, et le second est l'action. Pour les actions de périphérique, l'interface est le nom de l'interface kernel utilisable pour la configuration IP. Donc c'est soit VPN_IP_IFACE, DEVICE_IP_IFACE, ou DEVICE_IFACE. Pour les action hostname et connectivity-change, c'est toujours none.

pre-up L'interface est connectée au réseau, mais pas encore activée. Les scripts agissant dans cet événement doivent être dans le sous-répertoire pre-up.d, et NetworkManager attend la fin de l'exécution du script avant d'indiquer aux applications que l'interface est pleinement activée
up L'interface est activée
pre-down L'interface n'est pas encore déconnecté du réseau. Les scripts agissant dans cet événement doivent être placés dans le sous-répertoire pre-down.d, et NetworkManager attend la fin de l'exécution du script avant de déconnecter l'interface. Noter que cet événement n'est pas émis pour les déconnections forcées
down L'interface a été désactivée
vpn-pre-up Le VPN est connecté au réseau mais n'est pas encore activé. Les scripts sont dans le sous-répertoire pre-up.d
vpn-up Une connection VPN a été activée
vpn-pre-down Le VPN n'est pas encore déconnecté du réseau. Les scripts agissant dans cet événement doivent être placés dans le sous-répertoire pre-down.d, et NetworkManager attend la fin de l'exécution du script avant de déconnecter l'interface. Noter que cet événement n'est pas émis pour les déconnections forcées
vpn-down La connection VPN a été désactivée
hostname Le nom d'hôte du système a été mis à jours. Le nom de l'interface est vide et aucune variable d'environnement n'est définie pour cette action.
dhcp4-change Le bail dhcpv4 a changé
dhcp6-change Le bail dhcpv6 a changé
connectivity-change L'état de connexion réseau a changé

Variables d'environnement

   L'environnement contient plus d'informations sur l'interface et la connexion. Les variables suivanetes sont disponible à utiliser dans les scripts

CONNECTION_UUID l'UUID du profile de connexion
CONNECTION_ID le nom du profile de connexion
CONNECTION_DBUS_PATH Le chemin D-Bus de NetworkManager de la connexion
CONNECTION_FILENAME Le fichier du profile de connexion
CONNECTION_EXTERNAL À 1, indique que la connexion décris une configuration réseau créé en-dehors de NetworkManager
DEVICE_IFACE Nom de l'interface du périphérique.
DEVICE_IP_IFACE Nom de l'interface IP du périphérique.
IP4_ADDRESS_N Adresse IPv4 sous la forme "adresse/préfixe passerelle", où N est un numéro de 0 à (adresses IPv4 -1). La passerelle est déprécié.
IP4_NUM_ADDRESSES Contient le nombre d'adresses IPv4 que le script peut attendre
IP4_GATEWAY Passerelle IPv4
IP4_ROUTE_N Route IPv4 au format "address/prefix next-hop metric", où N est un nombre de 0 à ‹route-1›
IP4_NAMESERVERS Liste séparé par un espace de serveurs DNS
IP4_DOMAINS Liste séparé par un espace de domaines de recherche
DHCP4_‹dhcp-option-name› Si la connection utilise DHCP, chaque option DHCP est définis dans une variable
IP6_‹name› Certaines variables IPv4 sont également disponible pour IPv6
DHCP6_‹name› Certaines variables IPv4 sont également disponible pour IPv6
CONNECTIVITY_STATE L'état de connexion réseau

   Dans le cas du VPN, VPN_IP_IFACE est définis, et les variables IP4_* et IP6_* avec le préfixe VPN sont exportés également, comme VPN_IP4_ADDRESS_0, VPN_IP4_NUM_ADDRESSES.

   Les scripts sont lancés un à la fois, mais de manière asynchrone depuis le processus principale NetworkManager, et sont tués s'ils sont trop long. Si un script doit prendre beaucoup de temps pour s'exécuter, il faut lancer un processus enfant pour que le parent puisse se terminer rapidement. Les scripts qui sont des liens symboliques pointant dans /etc/NetworkManager/dispatcher.d/no-wait.d/ sont lancés immédiatement, sans attendre la fin du script précédent.

OPTIONS

-N, --no-daemon Ne lance pas en tâche de fond
-d, --debug Mode debug
-p, --pid-file Spécifie l'emplacement du fichier pid
--state-file Spécifie un fichier pour stocker l'état de NetworkManager. Défaut: /var/lib/NetworkManager/NetworkManager.state
--config Spécifie le fichier de configuration. Défaut: /etc/NetworkManager/NetworkManager.conf
--plugins Liste les plugins utilisés pour gérer les paramètres de connexions système. (keyfile, ifcfg-rh, ifcfg-suse, ifupdown)
--log-level Définis le niveau de log
--log-domains Liste d'opérations loggés
--print-config Affiche la configuration de NetworkManager

Propriétés udev

Le gestionnaire de périphérique udev est utilisé pour la découverte. Les propriétés suivantes influencent la manière dont NetworkManager gère les périphériques:

NM_UNMANAGED Aucune connexion par défaut n'est créé et ne tente pas d'activation automatique si cette propriété est à 1.

Signaux

SIGHUP Recharge la configuration de NetworkManager
SIGUSR1 Force à ré-écrire la configuration DNS, mais ne redémarre pas le plugin dns et n'interrompt pas la résolution de nom.

05 mai 2017

NetworkManager.conf

Fichier de configuration de NetworkManager

/etc/NetworkManager/NetworkManager.conf, /etc/NetworkManager/conf.d/name.conf, /usr/lib/NetworkManager/conf.d/name.conf, /var/lib/NetworkManager/NetworkManager-intern.conf sont les emplacement par défaut de la configuration de NetworkManager

[main]

plugins[+|-]=‹plugin› Définis une liste de plugins à utiliser. Défaut: keyfile
monitor-connection-files Définis si les plugins configurés devraient définir les monitors de fichier. Désactivé par défaut.
auth-polkit Spécifie si le système utilise PolicyKit pour l'authorisation. à false, toutes les requêtes sont autorisées. à true, les requêtes non-root sont autorisées en utilisant PolicyKit. Défaut: true.
dhcp Définis le client DHCP utilisé. (dhclient, dhcpd, internal). Défaut: les 3, dans cet ordre.
no-auto-default Spécifie les périphériques pour lesquels NetworkManager ne devrait pas créer de connexion par défaut. Par défaut, NetworkManager crée une connexion pour tout périphérique Ethernet qui est géré et qui n'a pas de connexion configuré. Peut avoir la valeur spéciale '*' pour s'appliquer à tous les périphériques. /var/run/NetworkManager/no-auto-default.state contient ces périphériques pour empêcher de créer la connection par défaut. Cette liste peut contenir une liste de périphérique ou d'adresse MAC.
ignore-carrier
assume-ipv6ll-only Spécifie les périphériques pour lequels NetworkManager tente de générer une connexion basé sur la configuration initiale quand le périphérique a seulement une adresse de lien local IPv6
configure-and-quit à true, NetworkManager quitte une fois la configuration réseau initiale terminée, et lance des helpers pour préserver les bails dhcp et les adresses ipv6
dns Définis le mode de traitement dns (resolv.conf):

default met à jours /etc/resolv.conf
dnsmask Lance dnsmask comme serveur de nom cache local, en utilisant un split dns s'il y a une connexion VPN. Il est possible de passer des paramètre à dnsmask en les ajoutant dans les fichiers dans ${prefix}/etc/NetworkManager/dnsmasq.d/
unbound NetworkManager utilise dnssec-triggerd avec une configuration split DNS et le support de dnssec. /etc/resolv.conf est géré par dnssec-triggerd
none NetworkManager ne modifie pas resolv.conf. implique "rc-manager unmanaged"

rc-manager Définis le mode de gestion de /etc/resolv.conf.

symlink /etc/resolv.conf est un lien vers un fichier dans le répertoire runtime. Si /etc/resolv.conf est déjà un lien pointant vers un autre emplacement, il n'est pas modifié.
file NetworkManager gérer /etc/resolv.conf comme fichier.
resolvconf Lance resolvconf pour mettre à jours la configuration DNS
netconfig Lance netconfig pour mettre à jours la configuration DNS
unmanaged Ne touche pas à /etc/resolv.conf

debug Liste séparé par des "," d'options de debuggage. Cette valeur est combinée avec la variable NM_DEBUG. Les valeurs supportées sont:

RLIMIT_CORE Définis "ulimit -c unlimited" pour écrire les coredumps.
fatal-warnings Définis g_log_set_always_fatal() sur coredump dans les messages d'alert de glib. == --g-fatal-warnings

autoconnect-retries-default Nombre de fois qu'une activation de connexion devrait être automatiquement tenté avant de basculer sur une autre. Ne s'applique que pour les connexions qui peuvent auto-connect et ont la propriété "connection.autoconnect-retries" à -1. Défaut: 4

[keyfile]

Cette section contient les options spécifique au plugin keyfile, et est normalement utilisé quand on utilise pas d'autre plugin spécifique à une distribution

path Emplacement où les keyfiles sont lus et stockés. Défaut: ${prefix}/etc/NetworkManager/conf.d
unmanaged-devices Voir la section format de liste de périphérique pour la syntaxe

[ifupdown]

Cette section contient les options spéciques au plugin ifupdown

managed à true, les interfaces d-ans /etc/network/interfaces sont gérées par NetworkManager. Défaut: false

[logging]

Cette section contrôle les log de NetworkManager. Ces paramètres peuvent être écrasés par les options --log-level et --log-domains

level Niveau de verbosité (OFF, ERR, WARN, INFO, DEBUG, TRACE)
domains Liste de domaines: PLATFORM, RFKILL, ETHER, WIFI, BT, MB, DHCP4, DHCP6, PPP, WIFI_SCAN, IP4, IP6, AUTOIP4, DNS, VPN, SHARING, SUPPLICANT, AGENTS, SETTINGS, SUSPEND, CORE, DEVICE, OLPC, WIMAX, INFINIBAND, FIREWALL, ADSL, BOND, VLAN, BRIDGE, DBUS_PROPS, TEAM, CONCHECK, DCB, DISPATCH, AUDIT, SYSTEMD, VPN_PLUGIN, NONE, ALL, DEFAULT, DHCP, IP.
backend debug (syslog+stderr), syslog, journal
audit Envoie les enregistrements d'audit à auditd. À false, ces données sont seulement envoyées au système de logging système. Défaut: true

[connection]

Spécifie les valeurs par défaut pour les connexions

connection.autoconnect-slaves
connection.lldp
connection.stable-id
ethernet.cloned-mac-address
ethernet.generate-mac-address-mask Défaut: preserve
ethernet.mtu à 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
ethernet.wake-on-lan
infiniband.mtu à 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou laissé non-spécifié
ip-tunnel.mtu À 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
ipv4.dad-timeout
ipv4.dhcp-timeout
ipv4.route-metric Non spécifié, la valeur par défaut pour l'interface est utilisée
ipv6.ip6-privacy non définis, utilise le contenu de /proc/sys/net/ipv6/conf/default/use_tempaddr
ipv6.route-metric
vpn.timeout Défaut: 60 secondes
Wifi.ccloned-mac-address défaut: preserve
wifi.mtu À 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
wifi.powersave Défaut: ignore

Sections connection

Il est possible de configurer plusieurs sections connection en ayant des noms qui commencent tous par "connection":
[connection]
ipv6.ip6-privacy=0
connection.autoconnect-slaves=1
vpn.timeout=120

[connection-wifi-wlan0]
match-device=interface-name:wlan0
ipv4.route-metric=50

[connection-wifi-other]
match-device=type:wifi
ipv4.route-metric=55
ipv6.ip6-privacy=1

   Les sections avec un fichier sont considérés dans l'ordre d'apparence, à l'exception que la section [connection] est toujours considéré en dernier. En vérifiant une valeur par défaut, les sections sont recherchés jusqu'à ce que la valeur soit trouvée.

   Les propriétés suivantes contrôle comment une section connection s'applique:

match-device Permet de restreindre les périphériques
stop-match (bool) Si match-device match, les sections suivantes ne sont pas considérés. Défaut: no

[device]

   Configuration persistante par périphérique. Exemple:
   match-device=interface-name:eth3

   Les propriétés suivantes sont supportés:

ignore-carrier Spécifie les périphérique pour lesquel NetworkManager va ignorer l'état carrier. Normalement, pour les périphériques qui supportent carrier-detect comme Ethernet et InfiniBand, NetworkManage n'autorise seulement à activer une connexion si carrier est présent (ex: un cable est connecté), et est désactivé si carrier est détruit plus de quelques secondes
wifi.scan-rand-mac-address Configure la génération aléatoire d'adresse MAC durant le scan. Défaut: yes.
wifi.scan-generate-mac-address-mask Tout comme les paramètres par connection ethernet.generate-mac-address-mask et wifi.generate-mac-address-mask, permet deconfigurer la génération aléatoire MAC durant le scan

Sections device

Tout comme la section [connection], la section [device] fonctionne de manière similaire

[connectivity]

Cette section contrôle la fonctionnalité de vérification de connectivité optionnelle de NetworkManager. Cela permet de détecter si le système peut accéder à internet ou s'il est derrière un portail captif.

uri L'URI d'une page web à requêter périodiquement. Cette page devrait retourner l'en-tête X-NetworkManager-Status avec une valeur "online". Alternativement, le corp peut être être définis à "NetworkManager is online".
interval Interval en secondes de vérification de la connectivité
response Contrôle la vérification du contenu du corps. Défaut: "NetworkManager is online"

[global-dns]

Cette section configure les paramètres DNS globaux qui écrasent la configuration spécifique à une connection

search Liste de domaines de recherche
options Liste d'options à passer au résolveur

[global-dns-domain]

Les sections commençant par "global-dns-domain-" autorisent une configuration DNS globale pour des domaines spécifiques. La partie du nom qui suit spécifie le nom du domaine auquelle la section s'applique.

servers Liste d'adresses de serveurs DNS à utiliser
options Liste d'options DNS spécifique au domaine

[.config]

Section spéciale qui contient les options qui s'appliquent au fichier de configuration qui contient l'option

enable à false, le fichier de configuration n'est pas pris en compte durant le chargement. Défaut: true. Noter que le fichier principal NetworkManager.conf ne peut pas être désactivé

Plugins

keyfiles plugin générique qui supporte tous les types de connection et capacités de NetworkManager.
ifcfg-rh Utilisé sous Fedora et RedHat et lit et écris les configuration dans /etc/sysconfig/network-scripts/ifcfg-*. Activer ce module active également ibft. Utiliser no-ibft pour l'empêcher
ifcfg-suse Déprécié. Utiliser keyfile à la place
ifupdown Plugin pour les distributions Debian et Ubuntu.
ibft, no-ibft Permet de lire la configuration iBFT (iSCSI Boot Firmware Table). La configuration est lue avec /sbin/iscsiadm. Noter que ibft utilise /sbin/iscsiadm et donc nécessite CAP_SYS_ADMIN.

Format de listing de périphérique

* Matche tous les périphériques
IFNAME match le nom de l'interface (sensible à la casse)
HWADDR Match l'adresse MAC du périphérique
interface-name-IFNAME, interface-name:~ IFNAME Match le nom de l'interface du périphérique. le globbing est supporté (* et ?). sensible à la casse
interface-name:=IFNAME Matche de nom de l'interface. Pas de globbing et sensible à la casse
mac:HWADDR Matche l'adresse MAC de l'interface
s390-subchannels:HWADDR Matche le périphérique basé sur l'adresse subchannel
type:TYPE Matche le type de périphérique
except:SPEC Match négatif de périphérique
SPEC[,;]SPEC Plusieurs SPECS peuvent être concaténés.

Exemples:
interface-name:em4
mac:00:22:68:1c:59:b1;mac:00:1E:65:30:D1:C4;interface-name:eth2
interface-name:vboxnet*,except:interface-name:vboxnet2
*,except:mac:00:22:68:1c:59:b1

12 mai 2017

nm-settings

Paramètres et propriétés des profiles de connexion NetworkManager

NetworkManager est basé sur un concept de profiles de connexion. Les profiles de connexions sont gérés par NetworkManager via le services de paramètres et sont exportés sur D-Bus.

802-1x

altsubject-matches (tableau de chaînes) Liste de chaînes à matcher avec le altSubjectName du certificat présenté par le serveur d'authentification. vide, aucune vérification n'est effectuée. Défaut: vide
anonymous-identity (chaîne) identité anonyme pour les méthodes d'authentification EAP. Utilisé comme identité non-chiffrée avec les type EAP qui supportent différentes identités tunnelisées come EAP-TTLS
ca-cert (chaîne d'octets) Contient le certificat CA utilisé par la méthode EAP spécifié dans la propriété eap.
ca-path (chaîne) chemin d'un répertoire contenant les certificats à ajouter à la chaîne de vérification
client-cert (chaîne d'octets) Contient le certificat client utilisé par la méthode EAP spécifiée dans la propriété eap
domain-suffix-match (chaîne) Contrainte pour le nom de domaine. Si définis, ce FQDN est utilisé comme suffixe requis pour les éléments dNSName du certificat présenté par le serveur d'authentification.
eap (tableau de chaînes) La méthode EAP permise pour l'authentification avec 802.1x. (leap, md5, tls, peap, ttls, pwd fast).
identity (chaîne) Identité pour les méthodes d'authentification. Généralement le login
name (chaîne) Nom du paramètre qui identifie le paramètre dans la connexion. Chaque type de paramètre a un nom unique pour ce type, par exemple ppp, wireless, wired. Défaut: 802-1x
pac-file (chaîne) Chemin du fichier contenant PAC pour EAP-FAST
password (chaîne) mot de passe pour les méthodes l'authentification EAP. A précédence sur 'password-raw'
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password
password-raw (tableau d'octets) Mot de passe utilisé par les méthodes d'authentification EAP.
password-raw-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password-raw
phase1-fast-provisionning (chaîne) active/désactive le provisionning in-line des accréditifs EAP-FAST quand FAST est spécifié comme méthode EAP. (0-désactivé, 1-provisionning non-authentifié, 2-provisionning authentifié, 3-provisionning authentifié et non authentifié)
phase1-peaplabel (chaîne) Force l'utilisation du nouveau label PEAP durant la dérivation de clé. Certains serveurs RADIUS peuvent l'exiger pour interopérer avec PEAPv1.
phase1-peapver Version PEAP à utiliser. Non définis, la version donné par le serveur est utilisé. (0 ou 1)
phase2-altsubject-matches (tableau de chaînes) Liste de chaîne à matche avec le altSubjectName du certificat présenté par le serveur d'authentification durant la phase 2. vide, aucune vérification n'est effectuée
phase2-auth (chaîne) Spécifie les méthodes d'authentification non-EAP de la phase 3 quand EAP utilise un tunnel TLS (pap, chap, mschap, mschapv2, gtc, otp, md5, tls).
phase2-autheap (chaîne) Spécifie les méthodes d'authentification EAP de la phase 2 quand la méthode EAP utiliser un tunnel TLS. (md5, mschapv2, otp, gtc, tls).
phase2-ca-cert (tableau d'octets) Contient le certificat CA de la phase 2.
phase2-ca-path (chaîne) répertoire contenant les certificats additionnels
phase2-client-cert (tableau d'octets) Contient le certificat client de la phase 2.
phase2-domain-suffix-match (chaîne) Contraint le nom de domaine du serveur. ce FQDN est un suffixe à matcher dans dNSName du certificat présenté par le serveur d'authentification.
phase2-private-key (tableau d'octets) Contient la clé privée de la phase 2 quand phase2-auth ou phase2-autheap est à 'tls'.
phase2-private-key-password [chaîne) mot de passe utilisé pour déchiffrer la clé privée
phase2-private-key-password-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété phase2-private-key-password.
phase2-subject-match (chaîne) sous-chaîne à matcher avec le sujet du certificat présenté par le serveur d'authentification durant la phase2.
pin (chaîne) PIN utilisé pour les méthodes d'authentification EAP
pin-flags (NMSettingSecretFlags) Flags indiquant comme gérer la propriété pin.
private-key (tableau d'octets) Contient la clé privée quand la propriété eap est à 'tls'.
private-key-password (chaîne) mot de passe pour déchiffrer la clé privée
private-key-password-flags (NMSettingSecretFlags) flags indiquant comme gérer la propriété private-key-password.
subject-match (chaîne) sous-chaîne à matcher avec le sujet du certificat présenté par le serveur d'authentification. déprécié en faveur de NMSetting8021x:domain-suffix-match
system-ca-certs (bool) à TRUE, écrase ca-path et phase2-ca-path en utilisant le répertoire CA système spécifié à la configuration avec --system-ca-path.

adsl

encapsulation (chaîne) Encapsulation de la connexion ADSL. (vcmux ou llc)
name (chaîne) nom du paramètre, qui identifie de manière unique le paramètre dans la connexion. défaut: adsl
password (chaîne) mot de passe utilisé pour authentifier le service ADSL
password-flags (NMSettingSecretFlags) flags indiquant comme gérer la propriété password
protocol (chaîne) protocole de connexion ADSL (pppoa, pppoe, ou ipoatm)
username (chaîne) username pour l'authentification
vci (uint32) VIC de la connexion ADSL
vpi (uint32) VPI de la connexion ADSL

bluetooth

bdaddr (tableau d'octets) l'adresse bluetooth du périphérique
name (chaîne) nom du paramètrage: bluetooth
type (chaîne) soit 'dun' pour Dial-Up Networking ou 'panu' pour Personnal Area Networking

bond

interface-name (chaîne) déprécié en faveur de connection.interface-name.
name (chaîne) nom du paramétrage (bond)
options (dictionnaire) dictionnaire de paires clé/valeurs d'option bonding. défaut: {'mode':'balance-rr'}

bridge

ageing-time (uint32) temps en seconde de la durée de l'adresse MAC ethernet. défaut: 300
forward-delay (uint32) forwarding delay STP, en secondes. Défaut: 15
hello-time (uint32) hello time STP, en secondes. défaut: 2
interface-name (chaîne) déprécié en faveur de connection.interface-name
mac-address (tableau d'octets) si spécifié, l'adresse mac du commutateur.
max-age (uint32) amximum message age STP, en secondes. défaut: 20
multicast-snooping (bool) contrôle si IGMP snooping est activé pour ce commutateur.
name (chaîne) nom du paramétrage: bridge
priority (uint32) Priorité STP du bridge. défaut: 32768
stp (bool) Active STP.

bridge-port

hairpin-mode (bool) Active le mode hairpin pour le port, les frames sont renvoyés via le port ou la frame a été reçue
name (chaîne) nom du paramètrage = bridge-port
path-cost (uint32) port cost STP pour les destinations via ce port
priority (uint32) priorité STP de ce port

cdma

name (chaîne) nom du paramètrage: cdma
number (chaîne) numéro à composer pour établir la connexion au réseau mobile CDMA. défaut: #777
password (chaîne) mot de passe pour l'authentification
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password
username (chaîne) username pour l'authentification

connection

autoconnect (bool) si la connexion est automatiquement connectée par NetworkManager quand les ressources pour la connexion sont disponibles. Défaut: TRUE
autoconnect-priority (int32) Priorité autoconnect. défaut: 0
autoconnect-retries (int32) nombre de tentatives de connexions durant l'autoactivation. 0 signifie indéfiniment, -1 et le défaut global (4 fois si non modifié)
autoconect-slaves (NMSettingConnectionAutoconnectSlaves) Si ou non les esclaves de cette connexion devraient être automatiquement activés. 0-non, 1-activer les connexions esclave, -1-défaut.
gateway-ping-timeout (uint32) › à 0, délais du succès de l'addressage IP jusqu'à que le timeout soit atteint, ou une réponse d'une gateway à un ping
id (chaîne) identifiant unique pour la connection
interface-name (chaîne) nom de l'interface réseau à laquelle la connexion est lié
lldp (int32) Si lldp est activé pour la connexion. Défaut:-1
master (chaîne) Nom de l'interface du périphérique maître ou l'uuid de la connexion maître
metered (NMMettered) Si la connexion est mesurée
name (chaîne) Nom du paramètrage: connection
permissions (tableau de chaînes) Tableau définissant l'accès d'un utilisateur à cette connexion. Vide, tous les utilisateurs sont autorisés à accéder à cette connexion. Chaque entrée est sous la forme "[type]:[id]:[reserved]". Actuellement seul le type "user" est utilisé.
read-only (bool) indique si la connexion peut être modifié en utilisant D-Bus (FALSE), ou non (TRUE)
secondaries (tableau de chaînes) Liste d'UUID de connexions qui devraient être activés quand la connexion de base elle-même est activée. Actuellement seul les connexions VPN dont supportés
slave-type (chaîne) nom du paramètre du type de périphurique de cette commexion maître (ex: bond0) ou NULL si cette connexion n'est pas un esclave
stable-id (chaîne) Tocken pour générer des ID stable pour la connexion. Il est utilisé pour générer des IPv6 privées stable avec ipv6.addr-gen-mode=strable-privacy. Également utilisé pour émettre l'adresse MAC cloné générée pour ethernet.cloned-mac-address=stable et wifi.cloned-mac-address=stable. Spécifie un stable-id permet à plusieurs connexions de générer les même adresses. Il est possible de générer des ID via des substitution: ${CONNECTION}, ${BOOT}, ${RANDOM}.
timestamp (uint64) Temps en seconde depuis l'Epock, que la connection a été activée avec succès. MetworkManager met à jours cette valeur périodiquement.
type (chaîne) Type de base de la connexion. Pour les connexions dépendantes du hardware, devrait contenir le nom du paramètre du type de matériel (ex: 802-3-ethernet, 802-11-wireless, bluetooth, etc.), et pour les connexions non hardware, devrait contenir le nom du type de paramètre (vpn, bridge, etc.)
uuid (chaîne) Identifiant unique pour la connexion. Devrait être assigné à la création de la connexion, et ne devrait jamais être changé.
zone (chaîne) Niveau de confiance de la connexion. texte lible insensible à la casse (ex: Home, Work, Public). NULL ou non spécifié, la connexion sera placée dans la zone par défaut tel que définis par le firewall.

dcb

app-fcoe-flags (NMSettingDcbFlags) Flags pour l'application FCoE DCB. Peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-fcoe-mode (chaîne) Mode contrôleur FCoE; soit "fabric" ou "vn2vn"
app-fcoe-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames FCoE, ou -1 pour la priorité par défaut
app-fip-flags (NMSettingDcbFlags) Flags pour l'application DCB FIP. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-fip-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames FIP, ou -1 pour la priorité par défaut
app-iscsi-flags (NMSettingDcbFlags) Flags pour l'application DCB iSCSI. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-iscsi-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames iSCSI, ou -1 pour la priorité par défaut
name (chaîne) Nom du paramètrage: dcb
priority-bandwidth (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique le pourcentage de bande passante du groupe assigné à la priorité. La somme de tous les pourcentages doit faire 100%
priority-flow-control (tableau de uint32) Tableau de 8 booléens œu l'indexe correspond à la priorité utilisateur (0-7) et la valeur indique si la priorité devrait transmettre une pause de priorité
priority-flow-control-flags (NMSettingDcbFlags) flags pour DCP PFC (Priority Flow Control). peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
priority-group-bandwidth (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité de groupe (0-7), et la valeur indique le pourcentage de bande passante allouée à ce groupe. La somme de tous les pourcentages doit faire 100%
priority-group-flags (NMSettingDcbFlags) Flags pour DCB Priority Groups. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
priority-group-id (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique le Priority Group ID. Les priorité permisses sont 0-7, ou 15 pour le groupe non restreint.
priority-strict-bandwidth (tableau de uint32) Tableau de 8 booléens œu l'indexe correspond à la priorité utilisateur (0-7) et la valeur indique si la priorité peut utiliser toute la bande passante allouée au groupe assigné
priority-traffic-class (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique la classe de trafique (0-7) pour laquelle la priorité est mappée

generic

name (chaîne) Nom du paramètrage, qui identifie de manière unique les paramètres dans la connexion.

gsm

apn (chaîne) Nom du point d'accès GPRS spécifiant l'APN utilisé pour établis une session de données avec le réseau GSM.
device-id (chaîne) Identifiant unique de périphérique (tel que donné par le service de gestion WWAN)
home-only (bool) à TRUE, seuls les connexions au réseau personnel est autorisé. Les connexions aux réseaux roaming ne sont pas faites. Défaut: FALSE
name (chaîne) Nom du paramétrage: gsm
network-id [chaîne) ID réseau (format GSM LAI, ex: MCC-MNC) pour forcer un enregistrement spécifique.
number (chaîne) Numéro à composer pour établir une session de données PPP.
password (chaîne) Mot de passe utilisé pour l'authentification avec le réseau.
password-flags (NMSettingSecretFlags) flags indiquand comment gérer la propriété password
pin (chaîne) Si la SIM est blockée avec un PIN, elle doit être débloquée avec un PIN
pin-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété pin
sim-id (chaîne) identifiant unique de carte SIM
sim-operator-id (chaîne) chaîne MCC/MNC comme "310260" ou "21601" identifiant l'opérateur mobile.
username (chaîne) username utilisé pour l'authentification sur le réseau.

infiniband

mac-address (tableau d'octets) Si spécifié, cette connexion ne s'applique qu'au périphérique IPoIB dont l'adresse mac correspond. Cette propriété ne change pas l'adresse MAC
mtu (uint32) non 0, ne transmet que les paquets de la taille spécifiée ou inférieur, splittant les paquets plus gros en plusieurs frames.
name (chaîne) Nom du paramétrage: infiniband
p-key (int32) P_Key infiniband à utiliser pour ce périphérique. -1 utilise le P_Key par défaut (à l'index 0)
parent (chaîne) nom de l'interface du périphérique parent de ce périphérique. Normalement NULL, sauf si p_key est définis.
transport-mode (chaîne) Mode IPoIB (datagram ou connected)

ipv4

address-data (tableau d'ipv4) tableau d'IPv4. Chaque dictionnaire d'adresse contient au moins les entrées 'address', et 'prefix'
addresses (tableau de tableau de uint32) déprécié en faveur de address-data et gateway
dad-timeout (int32) Timeout en ms utilisé pour vérifier la présence d'adresse IP dupliquées
dhcp-client-id (chaîne) chaîne envoyée au serveur DHCP pour identifier la machine
dhcp-fqdn (châine) Si la propriété dhcp-send-hostname est à TRUE, le fqdn spécifié sera envoyé au serveur DHCP en acquérant le bail. exlusif avec dhcp-hostname.
dhcp-hostname (chaîne) si dhcp-send-hostname est à true, le nom spécifié ici est envoyé au serveur DHCP
dhcp-send-hostname (bool) à true, envoie le hostname au serveur DHCP
dhcp-timeout (int32) timeout de transaction DHCP, en secondes. Défaut: 0
dns [tableau d'uint32) tableau d'adresses IP des serveurs DNS
dns-options (tableau de chaînes) tableau d'options DNS tel que décris dans man resolv.conf. NULL utilise les valeurs par défaut
dns-priority (int32) Priorité DNS intra-connexion. La priorité relative est utilisée pour déterminer l'ordre des serveurs DNS dans resolv.conf. Une valeur faible place les serveurs en haut du fichier. Défaut: 0, qui sélectionne la valeur par défaut: 50 pour VPN, et 100 pour les autres connexions.
dns-search (tableau de chaîne) tableau de domaines de recherche DNS
gateway (chaîne) La passerelle associée avec cette configuration
ignore-auto-dns (bool) Quand method est à auto et cette propriété à TRUE, les serveurs de nom et domaines de recherche automatiquement configurés sont ignorés et seuls les serveurs et domaines spécifiés dans les propriétés dns et dns-search sont utilisés.
ignore-auto-routes (bool) si method est à 'auto' et cette propriété à TRUE, les routes automatiquement configurées son ignorées et seules les routes dans la propriété routes sont utilisées
may-fail (bool) à TRUE, autorise la configuration réseau même si le fichier de configuration spécifié par cette propriété échoue au timeout. Noter qu'au moins une configuration IP doit réussir our la configuration réseau générale échoue.
method (chaîne) Méthode de configuration IP 'auto', 'manual', 'link-local', et 'shared'
name (chaîne) Nom du paramétrage: ipv4
never-default (bool) à TRUE, cette connexions n'est jamais la connexion par défaut pour ce type IP, ce qui signifie que la route par défaut n'est jamais assignée
route-data (tableau de dictionnaire) Tableau de routes IPv4. Chaque dictionnaire de route contient au moins les entrées 'dest' et 'prefix'. La plupart des routes ont également une entrée 'gateway'
route-metric (int64) Métrique par défaut pour les routes qui n'en spécifient pas une explicite. Défaut: -1 signifiant que la métrique est choisie automatiquement basé sur le type de périphérique.
routes (tableau de tableau d'uint32) Déprécié en faveur de route-data

ipv6

addr-gen-mode (int32) Configure la méthode pour créer l'adresse rfc4862: eui64 ou stable-privacy (rfc7217)
address-data (tableau de dictionnaire) Tableau d'IPv6. chaque entrée contient au moins address et prefix.
addresses (tableau d'ipv6) déprécié en faveur de address-data
dad-timeoute (int32) timeout en ms pour vérifier la présence d'adresses IP dupliquées. défaut: -1, utilise la valeur par défaut.
dhcp-hostname (chaîne) si dhcp-send-hostname est à true, le nom spécifié ici est envoyé au serveur DHCP
dhcp-send-hostname (bool) à true, envoie le hostname au serveur DHCP
dhcp-timeout (int32) timeout de transaction DHCP, en secondes. Défaut: 0
dns [tableau d'uint32) tableau d'adresses IP des serveurs DNS
dns-options (tableau de chaînes) tableau d'options DNS tel que décris dans man resolv.conf. NULL utilise les valeurs par défaut
dns-priority (int32) Priorité DNS intra-connexion. La priorité relative est utilisée pour déterminer l'ordre des serveurs DNS dans resolv.conf. Une valeur faible place les serveurs en haut du fichier. Défaut: 0, qui sélectionne la valeur par défaut: 50 pour VPN, et 100 pour les autres connexions.
dns-search (tableau de chaîne) tableau de domaines de recherche DNS
gateway (chaîne) La passerelle associée avec cette configuration
ignore-auto-dns (bool) Quand method est à auto et cette propriété à TRUE, les serveurs de nom et domaines de recherche automatiquement configurés sont ignorés et seuls les serveurs et domaines spécifiés dans les propriétés dns et dns-search sont utilisés.
ignore-auto-routes (bool) si method est à 'auto' et cette propriété à TRUE, les routes automatiquement configurées son ignorées et seules les routes dans la propriété routes sont utilisées
ip6-privacy (NMSettingIP6ConfigPrivacy)
may-fail (bool) à TRUE, autorise la configuration réseau même si le fichier de configuration spécifié par cette propriété échoue au timeout. Noter qu'au moins une configuration IP doit réussir our la configuration réseau générale échoue.
method (chaîne) Méthode de configuration IP 'auto', 'manual' ou 'link-local'
name (chaîne) Nom du paramétrage: ipv6
never-default (bool) à TRUE, cette connexions n'est jamais la connexion par défaut pour ce type IP, ce qui signifie que la route par défaut n'est jamais assignée
route-data (tableau de dictionnaire) Tableau de routes IPv6. Chaque dictionnaire de route contient au moins les entrées 'dest' et 'prefix'. La plupart des routes ont également une entrée 'gateway'
route-metric (int64) Métrique par défaut pour les routes qui n'en spécifient pas une explicite. Défaut: -1 signifiant que la métrique est choisie automatiquement basé sur le type de périphérique.
routes (tableau de tableau d'uint32) Déprécié en faveur de route-data
token (chaîne) configure le token pour les identifiants d'interface IPv6 draft-chown-6man-tokenised-ipv6-identifiers-02. Utile avec eui64.

ip-tunnel

encapsulation-limit (uint32) Nombre de niveaux d'encapsulation additionels à ajouter aux paquets. Uniquement pour les tunnels IPv6
flow-label (uint32) Label de flux à assigner aux packets.
input-key (chaîne) La clé utilisée pour les paquets entrant.
local (chaîne) endpoint local du tunnel. doit contenir une IPv4 ou IPv6.
mode (uint32) Mode de tunneling, par exemple NM_IP_TUNNEL_MODE_IPIP, ou NM_IP_TUNNEL_MODE_GRE
mtu (uint32) 0
name Nom du paramétrage: ip-tunnel
output-key (chaîne) Clé utilisée pour les paquets sortants
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
path-mtu-discovery (bool) Si Path MTU Discovery est activé dans ce tunnel (défaut: TRUE)
remote (chaîne) enppoint distant du tunnel. Doit être une IPv4 ou IPv6
tos (uint32) Type de service IPv4 ou classe de trafique IPv6
ttl (uint32) TTL à assigner aux paquets tunnelisés. Défaut: 0, les paquets héritent de la valeur TTL

macsec

encrypt (bool) Si le trafique transmis doit être chiffré (défaut: TRUE)
mka-cak (chaîne) CAK pré-partagé pour l'agrément de clé MACsec
mka-cak-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété mka-cak.
mka-ckn (chaîne) CKN pré-partagé pour l'agrément de clé MACsec
mode (int32) Spécifie commande la CAK pour MKA est obtenue
name Type de paramètrage: macsec
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
port (int32) Composant port du SCI, entre 1 et 65534
validation (int32) Mode de validation pour les frames entrantes

macvlan

mode (uint32) mode macvlan qui spécifie le mécanisme de communication entre plusieurs macvlans dans le même périphérique
name (chaîne) nom du paramètrage: macvlan
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
promiscuous (bool) si l'interface devrait être en mode promiscuous. Défaut: TRUE
tap (bool) Si l'interface devrait être un MACVTAP. Défaut: FALSE

802-11-olpc-mesh

channel (uint32) Canal sur lequel le réseau à joindre est localité
dhcp-anycast-address (tableau d'octets) addresse MAC DHCP anycast utilisé pour demander une adresse IP via DHCP
name (chaîne) nom du paramètrage: 802-11-olpc-mesh
ssid (tableau d'octets) SSID du réseau à joindre

ppp

baud (uint32) non 0, indique à pppd de définir le port série au baudrate spécifié. à 0, la vitesse est choisie automatiquement
crtscts (bool) à TRUE, pppd doit définir le port série pour utiliser le contrôle de flux hardware avec les signaux RTS et CTS. Défaut: FALSE
lcp-echo-failure (uint32) non 0, pppd assume que la connexion au paire a échoué si le numéro spécifié de LCP echo-requests n'a pas reçu de réponse du paire.
lcp-echo-interval (uint32) non 0, pppd envoie un LCP echo-request au paire toutes les n secondes.
mppe-stateful (bool) à TRUE, MPPE avec état est utilisé.
mru (uint32) non 0, pppd demande au paire d'envoyer des paquets au maximum à la taille spécifiée
mtu (uint32) non 0, pppd n'envoie pas de paquet dont la taille excède cette taille
name (chaîne) nom du paramètrage: ppp
no-vj-comp (bool) À true, ne demande pas la compression d'en-tête TCP Van Jacobsen
noauth (bool) à TRUE, ne demande pas d'authentification
nobsdcomp (bool) à TRUE, ne demande pas de compression BSD
nodeflate (bool) à TRUE ne demande pas de compression 'deflate'
refuse-chap (bool) à TRUE, n'utilise pas la méthode d'authentification CHAP
refuse-eap (bool) à TRUE, n'utiliset pas la méthode d'authentification EAP
refuse-mschap (bool) à TRUE, n'utiliset pas la méthode d'authentification MSCHAP
refuse-mschapv2 (bool) à TRUE, n'utiliset pas la méthode d'authentification MSCHAPv2
refuse-pap (bool)à TRUE, n'utiliset pas la méthode d'authentification PAP
require-mppe (bool) à TRUE, mppe est requis pour la session PPP.
require-mppe-128 (bool) à TRUE MPPE 128-bits est requis pour la session PPP.

pppoe

name (chaîne) nom du paramétrage: pppoe
password (chaîne) Mot de passe utilisé pour authentifier le service PPPeE
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la proriété password
service (chaîne) si spécifié, instruit PPPoE à seulement initier des session avec des concentrateurs d'accès.
username (chaîne) username pour l'authhentification

proxy

browser-only (bool) Si la configuration proxy est pour les navigateurs uniquement
method (int32) Méthode pour la configuration proxy défaut: NM_SETTING_PROXY_METHOD_NONE(0)
name (chaîne) nom du paramétrage: proxy
pac-script (chaîne) script PAC pour la connexion
pac-url (chaîne) URL pour obtenir le fichier PAC

serial

baud (uint32) Vitesse pour la communication. Défaut: 57600
bits (uint32) Largeur d'octet de la communication. Défaut: 8
name (chaîne) nom du paramétrage: serial
parity (octet) Parité de la connexion: 69 (ASCII 'E') pour une parité paire, 111 (ASCII 'o') pour impaire, 110 (ASCII 'n') pour aucune parité
send-delay (uint64) Temps d'attente entre chaque octet envoyé au modem, en microsecondes. Défaut: 0
stopbits (uint32) Nombre de bits stop pour la communication, 1 ou 2. Défaut: 1.

team

config (chaîne) la configuration JSON pour l'interface team. La configuration devrait contenir une configuration acceptable pour teamd.
interface-name (chaîne) déprécié en faveur de connection.interface-name.
name (chaîne) nom du paramétrage: team

team-port

config (chaîne) la configuration JSON pour l'interface team. La configuration devrait contenir une configuration acceptable pour teamd.
name (chaîne) nom du paramétrage: team-port

tun

group (chaîne) Le group ID qui possède le périphérique. à NULL, tout le monde peut utiliser le périphérique
mode (uint32) Mode opératoire du périphérique NM_SETTING_TUN_MODE(1) pour créer un périphérique L3 et NM_SETTING_TUN_MODE_TAP(2) pour créer un périphérique L2
multi-queue (bool) à TRUE, l'interface supporte plusieurs descripteurs de fichier (queues) pour paralléliser l'envoie/réception des paquets, sinon, l'interface ne supporte qu'une seule queue. Défaut: FALSE
name (chaîne) nom du paramétrage: tun
owner [chaîne) Le user ID qui possède le périphérique. NULL, tout le monde peut utiliser le périphérique
pi (boo) à TRUE, l'interface ajoute 4 octets d'en-tête décrivant l'interface physique aux paquets. Défaut: FALSE
vnet-hdr (bool) à TRUE, les paquets IFF_VNET_HDR incluent un en-tête de réseau virtio. Défaut: FALSE

vlan

egress-priority-map (tableau de chaînes) pour les paquets sortants, une liste de mappage de priorités SKB Linux en priorités 802.1p. Le mappage est donné au format "from:to" et sont des entiers non-signés.
flags (NMVlanFlags) Flags qui contrôlent le comportement et les fonctionnalités de l'interface vlan. NM_VLAN_FLAG_REORDER_HEADERS (0x1) réordonne les en-tête des paquets sortants, NM_VLAN_FLAG_GVRP (0x2) utilise le protocole GVRP, NM_VLAN_FLAG_LOOSE_BINDING (0x4) perd la liaison de l'interface de l'état opérant du périphérique maire. NM_VLAN_FLAG_MVRP (0x8) utilise le protocole MVRP.
id (uint32) Identifiant du vlan, de 0 à 4094. Défaut: 0
ingress-priority-map (tableau de chaînes) Pour les paquets entrants, une liste de mappage de priorité 802.1p en priorité SKB Linux.
interface-name (chaîne) déprécié en faveur de connection.interface-name
name (chaîne) nom du paramétrage: vlan
parent (chaîne) si donné, spécifie le nom de l'interface parent. non spécifié, la connexion doit contenir un paramètre "802-3-ethernet" avec une propriété "mac-address"

vpn

data (dictionnaire de chaîne) dictionnaire de paires clé/valeurs de données spécifique au plugin VPN.
namo (chaîne) nom du paramétrage: vpn
persistent (bool) Si le service VPN supporte la persistence, et cette propriété à TRUE, le VPN tente de rester connecté entre les changements de liens, jusqu'à déconnexion explicite
secrets (dictionnaire de chaîne) Dictionnaire de paires clé/valeur de secrets spécifiue au plugin VPN, comme des mots de passe ou des clés privées
service-type (chaîne) Nom du service D-Bus du plugin VPN que ce paramètre utilise pour se connecter au réseau (ex: org.freedesktop.NetworkManager.vpnc pour le plugin vpnc)
timeout (uint32) timeout du service VPN pour établir la connexion. Certains services peuvent prendre du temps pour se connecter. 0 signifie le timeout par défaut: 60 secondes.
user-name (chaîne) Si la connexion VPN nécessite un username pour l'authentification.

vxlan

ageing (uint32) Durée de vie en secondes des entrées FDB apprises par le kernel. défaut: 300
destination-port (uint32) port UDP de destination pour communiquer au endpoint distant
id (uint32) Spécifie l'identifiant réseau VXLAN à utiliser
l2-miss (bool) Spécifie si les notification LL ADDR miss sont générés. défaut: FALSE
l3-miss (bool) Spécifie si les notification IP ADDR miss sont générés. défaut: FALSE
learning (bool) Spécifie si une adresse L2 inconnue et les IP sont entrée dans la learning base VXLAN. Défaut: TRUE
limit (uint32) Spécifie le nombre max d'entrées FDB. Défaut: 0 = illimité
local (chaîne) nom du paramétrage: vxlan
parent (chaîne) nom de l'interface parent
proxy (bool) Spécifie si le proxy ARP est activé. Défaut: FALSE
remote (châine) Spécifie l'adresse IP unicast de destination pour les paquets sortants quand l'adresse l2 n'est pas connue dans la forwarding base VXLAN, ou l'IP multicast à joindre
rsc (bool) Spécifie si le route short circuit est activé. Défaut: FALSE
source-port-max (uint32) port UDP source max pour communiquer au endpoint
source-port-min (uint32) port UDP de destination minimum
tos (uint32) Valeur TOS pour les paquets sortants
ttl (uint32) ttl à utliser pour les paquets sortants

wimax

mac-address (tableau d'octets) Déprécié. Si spécifié, cette connexion s'applique au périphérique WiMAX qui matche cette adresse MAC.
name (chaîne) nom du paramétrage: wimax
network-name (chaîne) Déprécié. Nom du NSP du réseau WiMAX

802-3-ethernet

assigned-mac-address (chaîne) Addresse MAC clonée. Peut être une adresse MAC, ou un des mots clés suivant: preserve, permanent, random, ou stable.
auto-negotiate (bool) à TRUE, force l'auto-négociation de vitesse de port et le mode duplex. Défaut: FALSE
cloned-mac-address (tableau d'octets) déprécié en faveur de assigned-mac-address
duplex (chaîne) uniquement si auto-negotiate vaut 'off'. Configure le périphérique pour utiliser le mode duplex spécifié: half ou full.
generate-mac-address-mask (chaîne) si cloned-mac-address vaut random ou stable, cette propriété spécifie les bits qui sont fixes.
mac-address (tableau d'octets) si spécifié, cette connection ne s'applique qu'au périphérique dont l'adresse MAC permanent correspond
mac-address-blacklist (tableau de chaînes) Cette connection ne s'applique jamais aux périphérique dont l'adresse MAC permanente matche une de ces adresses
mtu (uint32) spécifie le mtu max pour cette connection
name (chaîne) nom du paramétrage: 802-3-ethernet
port (chaîne) Spécifie le type de port à utiliser si le périphérique support plusieurs méthodes d'attachement. tp (twisted Pair), aui (Attachment Unit Interface), bnc (Thin Ethernet) ou mii (Media Independant Interface).
s390-nettype (chaîne) Type de périphérique réseau s390 (qeth, lcs, ou ctc).
s390-options (dictionnaire de chaînes) dictionnaire de paires de clé/valeurs d'options s390. Les clés permises sont portno, layer2, portname et protocol.
speed (uint32) Peut être définis à une valeur supérieur à 0 quand auto-negotiate est à off. Dans ce cas, définis la vitesse en Mbit/s.
wake-on-lan (uint32) Options NMSettingWiredWakeOnLan à activer. peut être une des combinaisons: NM_SETTING_WIRED_WAKE_ON_LAN_PHY (0x2), NM_SETTING_WIRED_WAKE_ON_LAN_UNICAST (0x4), NM_SETTING_WIRED_WAKE_ON_LAN_MULTICAST (0x8), NM_SETTING_WIRED_WAKE_ON_LAN_BROADCAST (0x10), NM_SETTING_WIRED_WAKE_ON_LAN_ARP (0x20), NM_SETTING_WIRED_WAKE_ON_LAN_MAGIC (0x40) ou les valeurs spéciales NM_SETTING_WIRED_WAKE_ON_LAN_DEFAULT (0x1) (pour utiliser les paramètres globaux) et NM_SETTING_WIRED_WAKE_ON_LAN_IGNORE (0x8000) (pour désactiver la gestion de Wake-on-LAN dans NetworkManager).
wake-on-lan-password (chaîne) Mot de passe utilisé avec magic-packet-based Wake-on-LAN, représentée comme une adresse MAC. NULL indique qu'aucun mot de passe n'est requis.

802-11-wireless

assigned-mac-address (chaîne) Le nouveau champ pour l'adresse MAC clonée. Peut être une adresse MAC ou un des mots spécial "preserve", random" ou "stable".
band (chaîne) bande de fréquence 802.11: "a" (5GHz 802.11a), ou "bg" (2,4GHz 802.11).
bssid (tableau d'octets) Dirige le périphérique au point d'accès associé.
channel (uint32) Canal wireless à utiliser. Défaut: 0
cloned-mac-address (tableau d'octets) déprécié en faveur de assigned-mac-address
generate-mac-address-mask (chaîne) si cloned-mac-address vaut random ou stable, cette propriété spécifie les bits qui sont fixes.
hidden (bool) à TRUE, indique que ce réseau cache son SSID.
mac-address (tableau d'octets) si spécifié, cette connection ne s'applique qu'au périphérique dont l'adresse MAC permanent correspond
mac-address-blacklist (tableau de chaînes) Cette connection ne s'applique jamais aux périphérique dont l'adresse MAC permanente matche une de ces adresses
mac-address-randomization (uint32) déprécié en faveur de cloned-mac-address. NM_SETTING_MAC_RANDOMIZATION_DEFAULT (0) (Utilise la valeur globale par défaut), NM_SETTING_MAC_RANDOMIZATION_NEVER (1) (pas d'aléatoire), NM_SETTING_MAC_RANDOMIZATION_ALWAYS (2).
mode (chaîne) mode réseau Wi-Fi: "infrastructure", "adhoc" ou "ap".
mtu (uint32) mtu pour les paquets transmis
name (chaîne) nom du paramétrage: 802-11-wireless
powersave (uint32) NM_SETTING_WIRELESS_POWERSAVE_DISABLE (2), NM_SETTING_WIRELESS_POWERSAVE_ENABLE (3), NM_SETTING_WIRELESS_POWERSAVE_IGNORE (1), NM_SETTING_WIRELESS_POWERSAVE_DEFAULT (0)
rate (uint32) Dirige de périphérique pour utiliser seulement le bitrate spécifié pour la communication avec le point d'accès, en Kb/s.
security déprécié
seen-bssids (tableau de chaînes) Une liste de BSSID (formatté sous forme d'adresse MAC) qui ont été détectés comme partie de la connection Wi-Fi. Géré par NetworkManager
ssid (tableau d'octets) SSID du réseau Wi-Fi. Doit être spécifié
tx-power (uint32) le périphérique utilise la puissance de transmission spécifiée, en dBm.

802-11-wireless-security

auth-alg (chaîne) avec WEP, indique l'algorithme d'authentification requise "open", "shared" "leap".
group (tableau de chaînes)Liste d'algorithmes de chiffrement qui empêche les connection aux réseaux Wi-Fi qui n'utilisent pas un de ces algorithmes. "wep40", "wep104", "tkip" ou "ccmp"
key-mgmt (chaîne) Gestion de clé utilisé pour la connection "none" (WEP), "ieee8021x" (Dynamic WEP), "wpa-none" (Ad-Hoc WPA-PSK), "wpa-psk" (infrastructure WPA-PSK), ou "wpa-eap" (WPA-Enterprise).
leap-password (chaîne) password de connexion pour les connexions LEAP
leap-password-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété leap-password.
leap-username (chaîne) username pour la connexion
name (chaîne) nom du paramétrage: 802-11-wireless-security
pairwise (tableau de chaînes) Liste d'algorithme de chiffrement d'appairement permis pour les connections Wi-Fi
proto (tableau de chaînes) Liste de chaînes spécifiant les versions WPA permises "wpa" ou "rsn" (autorise WPA2/RSN).
psk (chaîne) Clé pré-partagée pour les réseaux WPA.
psk-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété psk
wep-key-flags (NMSettingSecretFlags) Flags indiquant comment gérer les propriétés wep-key[0-3].
wep-key-type (NMWepKeyType) Contrôle l'interprétation des clés WEP. NM_WEP_KEY_TYPE_KEY (1) (la clé a 10 ou 26 caractères hexa, ou 5 ou 13 caractères ASCII) ou NM_WEP_KEY_TYPE_PASSPHRASE (2)
wep-key0 (chaîne) Clé WEP d'index 0
wep-key1 (chaîne) Clé WEP d'index 1
wep-key2 (chaîne) Clé WEP d'index 2
wep-key3 (chaîne) Clé WEP d'index 3
wep-tx-keyidx (uint32) Si WEP statique est utilisé et un indexe de clé WEP non-défaut est utilisé par l'AP, place cet index ici. (0 à 3)

Types de flags secret

0x0 Le système doit fournir et stocker le secret
0x1 Un agent userspace gère le secret
0x2 Le secret n'est pas sauvé et est demandé à l'utilisateur à chaque fois.
0x4 Indique que le secret n'est pas requis et ne devrait pas être demandé à l'utilisateur

05 mai 2017

nmcli

Outil d'administration de NetworkManager

Cet outil contrôle NetworkManager et affiche le status réseaux.

OPTIONS

-t, --terse Affichage adapté aux traitement dans les scripts
-p, --pretty Affiche plus compréhensible
-m, --mode { tabular | multiline } Affichage tabulaire ou multiligne. Défaut: multiline
-c, --colors {yes | no | auto} Contrôle si la sortie utilise les couleurs. Défaut: auto
-f, --fields { field1,field2...|all|common } Contrôle les champs affiché sur la sortie. Défaut: common
-e, --escape {yes|no} Indisque si les caractères : et \ sont échappés en mode terse. Défaut: yes
-a,--ask nmcli stop et demande des arguments. Utile pour demander un mot de passe
-s, --show-secrets Affiche les mots de passe et secrets qui peuvent être présent dans la sortie.
-w, --wait seconds Délai d'attente d'une opération NetworkManager. Utile pour les commande qui prennent du temps comme l'activation de connection. 0 signifie pas d'attente
--complete-args Affiche la liste des arguments possible pour le dernier argument.

Commande general

status Affiche le status général de NetworkManager
hostname [hostname] Affiche ou définis le nom d'hôte.
permissions Affiche les permissions qu'un appelant a pour diverses opérations authentifiées
logging [level level][domains domains...] Affiche ou change le niveau de log de NetworkManager et les domaines.

Commande networking

on, off Active ou désactive le contrôle du réseaux par NetworkManager.
connectivity [check] Affiche l'état de la connectivité réseaux. L'état indiques:

none L'hôte n'est pas connecté à un réseau
portal L'hôte est derrière un portail captif et ne peut pas accéder à Internet
limited L'hôte est connecté à un réseau, mais n'a pas accès à internet
full L'hôte est connecté à un réseau et a pleinement accès à internet
unknown Le status de connectivité ne peut être trouvé

Commande radio

wifi [on|off] Affiche ou définis le status du WiFi dans NetworkManager.
wwan [on|off] Affiche ou définis le status de WWAN dans NetworkManager
al [on|off] Affiche ou dfinis le status du wifi et WWAN dans NetworkManager

Commande monitor

Observe l'activité NetworkManager. Regarde les changements d'état de connectivité, périphérique ou profiles de connexion.

Commande connection

show [--active][--order[+-]category:...] Liste les profiles de connection sur disque et en mémoire. --order permet d'afficher dans un ordre particulier (active, name, type, path). sans préfix ou avec +, trie dans l'ordre ascendant.
show [--active][id|uuid|path|apath] ID... Affiche des détails pour les connections spécifiées. --active affiche seulement les profiles actifs. Les mots clés sont utilisé si l'ID est ambigus:

id L'ID dénote le nom d'une connexion
uuid L'ID dénote un UUID de connexion
path l'ID dénote un chemin de connexion D-Bus
apath L'ID dénote un chemin de connexion actif D-Bus

up [id|uuid|path] ID [ifname ifname] [ap BSSID] [passwd-file file] Active une connexion. La connexion est identifiée par son nom, UUID ou chemin D-Bus. Si l'ID est ambigus le mot clé id, uuid ou path peut être utilisé. si requis, ifname sélectionne un périphérique particulier. ap spcécifie un BSSID de l'AP à utiliser dans le cas de connexions Wi-Fi. --wait spécifie le timeout (defaut: 90s). passwd-file spécifie les accréditifs pour l'activation. peut être sous la forme:

setting_name.property_name:the password Spécifie le mot de passe explicitement
802-11-wireless-security.psk:secret12345 Pour WPA PSK
802-1x.password:my 1X password mot de passe 802.1x

down [ id | uuid | path | apath ] ID... Désactive une connexion
modify [--temporary] [ id | uuid | path ] ID { option value | [+|-]setting.property value } ... Ajoute, modify ou supprime des propriétés dans le profile de connexion. une valeur "" supprime la valeur.
add [save { yes | no }] { option value | [+|-]setting.property value } ... Créé une nouvelle connexion en utilisant les propriétés spécifiées.. Pour construire une connexion significative il faut nécessairement la propriété connection.type (ethernet, wifi, wimax, pppoe, gsm, cdma, infiniband, bluetooth, vlan, bond, bond-slave, team, team-slave, bridge, bridge-slave, vpn, olpc-mesh, adsl, tun, ip-tunnel, macvlan, vxlan). save contrôle si la connexion doit être persistante
edit { [ id | uuid | path ] ID | [type type] [con-name name] } Édite une connexion existante, ou en ajouter une, en utilisant un éditeur interactif. type spécifie le type de connexion, et con-name spécifie le nom pour la connexion.
clone [--temporary] [ id | uuid | path ] ID new_name Clone une connexion. La connexion clonée est identifiée par son nom, UUID, ou chemin D-Bus. --temporary ne conserve pas le nouveau profile au redémarrage
delete [ id | uuid | path ] ID... Supprime une connexion configurée
monitor [ id | uuid | path ] ID... supervise l'activité du profile de connexion. Affiche une ligne si la connexion spécifiée change
reload Recharge tous les fichiers de connexion depuis le disque
load filename Charge/recharge un ou plusieurs fichiers de connexion.
import [--temporary] type type file file Importe une configuration externe comme profile NetworkManager. Le type de fichier d'entrée est spécifiée par type
export [id|uuid|path] ID [file] Exporte une connexion. Seul les connexions VPN sont supportés pour le moment.

Commande device

status Affiche le status du périphérique. C'est l'action par défaut
show [ifname] Affiche des informations détaillées sur les périphériques. Sans argument, examine tous les périphériques.
set [ifname] ifname [ autoconnect { yes | no } ] [ managed { yes | no } ] Définis les propriétés du périphérique
connect ifname Connecte le périphérique. NetworkManager tente de trouver une connexion convenable à activer. Il considère également les connexions non-autoconnect
reapply ifname Tente de mettre à jours de le périphérique
modify ifname { option value | [+|-]setting.property value }... Modifie le paramètre courant du périphérique. Cette commande permet d'effectuer des changements temporaires de la configuration active.
disconnect ifname Déconnecte un périphérique et empêche de périphérique d'activer d'autres connections sans intervention manuelle.
delete ifname Supprime un périphérique. Supprime l'interaface du système. Ne fonctionne que pour les périphériques logiciels
monitor [ifname...] Supervise l'activité du périphérique. Affiche une ligne indiquant le changement d'état de l'interface
wifi [list [ifname ifname][bssid BSSID]] Liste les points d'accès wifi.
wifi connect (B)SSID [password password] [ wep-key-type { key | phrase } ] [ifname ifname] [bssid BSSID] [name name] [ private { yes | no } ] [ hidden { yes | no } ] Connecte un réseaux Wi-Fi spécifié par son SSID ou BSSID. La commande créé une nouvelle connexion et l'active sur un périphérique.

password Mot de passe WEP ou WPA
wep-key-type Type de secret WEP, (key ou phrase)
ifname Interface à utiliser pour l'activation
bssid La connexion créée est restreinte pour le BSSID
name Nom de la connexion
private à yes, la connexion n'est visible que de l'utilisateur qui l'a créé.
hidden à yes, pour les points d'accès qui ne broadcast pas le SSID

wifi hotspot [ifname ifname] [con-name name] [ssid SSID] [ band { a | bg } ] [channel channel] [password password] Créé un hotspot Wi-Fi. La commande créé un profile de connection hotspot en accord avec les capacités du périphérique Wi-Fi, et l'active. Le hotspot est sécurisé avec WPA si le périphérique/pilote le supporte, WEP sinon. Utiliser connection down ou device disconnect pour stopper le hotspot. Les paramètres sont:

ifname Périphérique à utiliser
con-name Nom du profile à créer
ssid SSID du hotspot
band bande Wi-Fi à utiliser
channel Canal Wi-Fi à utiliser
password Mode de passe à utiliser. Non fournis, nmcli en génère un. Noter que --show-secrets peut être utilisé pour afficher le mot de passe.
wifi rescan [ifname ifname][ssid SSID...] Rescan immédiatement les points d'accès disponibles. en spécifiant le SSID, il est possible de rechercher ce SSID spécifique.
lldp [ list [ ifname ifname ]] Affiche des informations sur les périphériques voisins appris via le protocole lldp.

Commande agent

secret Enregistre nmcli comme agent secret NetworkManager et écoute les demandes de secrets. Ce n'est généralement pas nécessaire parce que nmcli peut gérer les secrets à la connection aux réseaux.
polkit Enregistre nmcli comme agent polkit pour la session utilisateur.
all Lance nmcli comme secret NetworkManager et agent polkit

Variables d'environnement

LC_ALL Langage à utiliser pour déterminer le jeu de caractères
LC_MESSAGES Utilisé pour rechercher les locales
LANG Langage à utiliser pour déterminer le jeu de caractères

Codes de sortie

0 succès
1 Erreur non-spécifiée ou inconnue
2 entrée utilisateur invalide
3 Timeout expiré (--wait)
4 Activation de connexion échouée
5 Désactivation de connexion échouée
6 Déconnexion de périphérique échouée
7 Suppression de connexion échouée
8 NetworkManager n'est pas en cours de fonctionnement
10 La connection, périphérique ou point d'accès n'existe pas
65 avec --complete-args, un nom de fichier est attendu.

Exemples

Voir si NetworkManager est en cours de fonctionnement
nmcli -t -f RUNNING general
Affiche le status de NetworkManager
nmcli -t -f STATE general
Désactiver le wifi
nmcli radio wifi off
Lister les connexions que possède NetworkManager
nmcli connection show
Afficher toutes les connexions configurées en mode multiligne
nmcli -p -m multiline -f all con show
Lister toutes les connexions actives
nmcli connection show --active
Afficher tous les noms de profile de connexion et leur propriété auto-connect
nmcli -f name,autoconnect c s
afficher des détails pour le profile de connexion "My default em1"
nmcli -p connection show "My default em1"
AFficher des détails pour "My Home Wifi" avec tous les mots de passe:
nmcli --show-secrets connection show "My Home WiFi"
Affiche des détails pour la connexion active "My default em1":
nmcli -f active connection show "My default em1"
afficher les détails de configuration statique du profile de connexion
nmcli -f profile con s "My wired connection"
Activer un profile de connexion sur eth0
nmcli -p con up "My wired connection" ifname eth0
Connecter le Wi-Fi avec l'uuid spécifié au point d'accès donné
nmcli con up 6b028a27-6dc9-4411-9886-e9ad1dd43761 ap 00:3A:98:7C:42:D3
Aficher le status de tous les périphériques
nmcli device status
Déconnecter une connection de l'interface em2 et marquer le périphérique comme indisponibble pour l'auto-connexion.
nmcli dev disconnect em2
Afficher des détails pour wlan0, en limitant aux sections GENERAL et WIFI-PROPERTIES
nmcli -f GENERAL,WIFI-PROPERTIES dev show wlan0
Afficher tous les profiles de connection disponibles pour l'interface Wi-Fi wlp3s0
nmcli -f CONNECTIONS device show wlp3s0
Lister tous les points d'accès disponibles connus
nmcli dev wifi
Créer une nouvelle connexion nommée "My cafe" et le connecter au SSID "Cafe Hotspot 1" avec le mot de passe caffeine.
nmcli dev wifi con "Cafe Hotspot 1" password caffeine name "My cafe"
Créer un profile hotspot et se connecter. Affiche le mot de passe
nmcli -s dev wifi hotspot con-name QuickHotspot
Démarre un partage de connexion IPv4 en utilisant le périphérique em1. Le partage est activé jusqu'à ce que le périphérique soit déconnecté
nmcli dev modify em1 ipv4.method shared
Ajoute temporairement une adresse IP au périphérique
nmcli dev modify em1 ipv6.address 2001:db8::a:bad:c0de
Ajoute non-interactivement une connexion Ethernel à eth0 avec DHCP, puis désactive le flag autoconnect
nmcli connection add type ethernet autoconnect no ifname eth0
Ajoute un VLAM avec l'id 55, sur eth0 et nommé Maxipes-fik
nmcli c a ifname Maxipes-fik type vlan dev eth0 id 55
Ajoute une connexion qui utiliser eth0 et a seulement une IPv6 lien-local
nmcli c a ifname eth0 type ethernet ipv4.method disabled ipv6.method link-local
Édite une connexion existante dans un éditeur interactif
nmcli connection edit ethernet-em1-2
Ajoute une nouvelle connexion Ethernet dans l'éditeur interactif
nmcli connection edit type ethernet con-name "yet another Ethernet connection"
Modifie la propriété autoconnect
nmcli con mod ethernet-2 connection.autoconnect no
Modifie le propriété mtu dans les paramètre wi-fi d'une connexion
nmcli con mod "Home Wi-Fi" wifi.mtu 1350
Définis l'adressage manuellement et les adresse dans le profile em1-1
nmcli con mod em1-1 ipv4.method manual ipv4.addr "192.168.1.23/24 192.168.1.1, 10.10.1.5/8, 10.0.0.11"
Ajoute un serveur DNS public google aux serveurs DNS dans le profile ABC
nmcli con modify ABC +ipv4.dns 8.8.8.8
Supprime l'adresse IP spécifiée du profile ABC
nmcli con modify ABC -ipv4.addresses "192.168.100.25/24 192.168.1.1"
Importe une configuration OpenVPN
nmcli con import type openvpn file ~/Downloads/frootvpn.ovpn
Export le profile VPM
nmcli con export corp-vpnc /home/joe/corpvpn.conf

NetworkManager

Variables d'environnement

OPTIONS

Propriétés udev

Signaux

NetworkManager.conf

[main]

[keyfile]

[ifupdown]

[logging]

[connection]

Sections connection

[device]

Sections device

[connectivity]

[global-dns]

[global-dns-domain]

[.config]

Plugins

Format de listing de périphérique

nm-online

OPTIONS

Codes de sortie

nm-settings

802-1x

adsl

bluetooth

bond

bridge

bridge-port

cdma

connection

dcb

generic

gsm

infiniband

ipv4

ipv6

ip-tunnel

macsec

macvlan

802-11-olpc-mesh

ppp

pppoe

proxy

serial

team

team-port

tun

vlan

vpn

vxlan

wimax

802-3-ethernet

802-11-wireless

802-11-wireless-security

Types de flags secret

nmcli

OPTIONS

Commande general

Commande networking

Commande radio

Commande monitor

Commande connection

Commande device

Commande agent

Variables d'environnement

Codes de sortie

Exemples