解决Jetson Orin远程桌面WiFi连接权限问题

1. 问题背景与现象解析

最近在给Jetson Orin系列设备配置远程桌面环境时，遇到了一个相当恼人的网络连接问题。具体表现为：当通过NoMachine远程连接到运行JetPack 6.0系统的设备后，尝试点击右上角的WiFi图标连接网络时，系统会弹出一个"Authentication Required"对话框，提示"System policy prevents control of network connections"。即使输入了正确的系统密码，仍然无法正常连接WiFi。

这个问题特别容易出现在以下场景：

• 使用NoMachine、Xfce或GNOME进行远程访问时
• 设备配置了Dummy Display的无头(headless)模式后
• 系统版本为JetPack 6.0（基于Ubuntu 22.04 LTS）

提示：这个问题并非Jetson设备独有，实际上任何基于Ubuntu 22.04并使用远程桌面环境的系统都可能遇到类似的权限限制问题。

2. 问题根源深度剖析

经过多次测试和查阅资料，我发现这个问题的根本原因在于polkit（原PolicyKit）的权限控制机制。polkit是Linux系统中用于控制特权操作权限的框架，它决定了哪些用户可以执行哪些需要特权的操作。

在远程桌面环境下，polkit默认配置会限制非本地会话对NetworkManager的控制权限。这是出于安全考虑的设计，但对于我们这些需要远程管理设备的开发者来说，就变成了一个实实在在的障碍。

具体来说：

1. 远程会话（如NoMachine创建的会话）被polkit识别为"非本地"会话
2. NetworkManager的操作（如连接WiFi）需要特权权限
3. 默认polkit策略不允许远程会话执行这些操作
4. 即使用户有sudo权限，也无法通过图形界面完成网络配置

3. 解决方案全面解析

3.1 方案一：创建polkit规则（永久解决方案）

这是我最推荐的方法，因为它能从根本上解决问题，且效果持久稳定。下面是详细步骤：

3.1.1 创建polkit规则文件

首先通过SSH或已连接的远程桌面登录到Jetson设备，执行以下命令创建规则目录和文件：

bash复制sudo mkdir -p /etc/polkit-1/localauthority/50-local.d
sudo nano /etc/polkit-1/localauthority/50-local.d/10-network-manager.pkla

3.1.2 编辑规则内容

在打开的nano编辑器中，输入以下内容：

ini复制[Allow all users to control NetworkManager]
Identity=unix-user:*
Action=org.freedesktop.NetworkManager.*
ResultAny=yes
ResultInactive=yes
ResultActive=yes

这个规则的含义是：

• Identity=unix-user:*：适用于所有用户
• Action=org.freedesktop.NetworkManager.*：针对所有NetworkManager相关操作
• Result...=yes：无论何种情况都允许操作

3.1.3 保存并应用规则

按Ctrl+O保存文件，回车确认，然后Ctrl+X退出nano。接着重启polkit服务使新规则生效：

bash复制sudo systemctl restart polkit

3.1.4 验证规则是否生效

可以运行以下命令检查规则是否被正确加载：

bash复制pkaction --verbose | grep NetworkManager

如果看到类似下面的输出，说明规则已生效：

code复制org.freedesktop.NetworkManager.enable-disable-network
org.freedesktop.NetworkManager.sleep-wake
org.freedesktop.NetworkManager.network-control

3.2 方案二：设置WiFi连接为所有用户可用（临时解决方案）

如果暂时不想修改系统级的polkit规则，可以采用这个更局部的解决方案：

1. 在远程桌面中打开"Settings" → "Network"
2. 点击右上角的齿轮图标选择"Edit Connections"
3. 找到你要使用的WiFi连接（或新建一个）
4. 勾选"Make available to other users"选项
5. 输入系统密码确认保存

这个方法的原理是将特定WiFi连接的权限放宽，使其对所有用户可用。但缺点是：

• 每个新的WiFi连接都需要单独设置
• 系统重启后可能需要重新设置
• 不适用于命令行操作

3.3 方案三：使用命令行连接WiFi（脚本自动化方案）

对于熟悉命令行或需要自动化脚本的场景，可以直接使用nmcli工具：

bash复制# 扫描可用WiFi网络
nmcli device wifi list

# 连接指定WiFi（替换为你的SSID和密码）
sudo nmcli device wifi connect "你的WiFi名称" password "你的WiFi密码"

这个方法的优点是：

• 可以方便地集成到脚本中
• 不需要图形界面
• 适合无显示器(headless)环境

但缺点是：

• 需要记住命令语法
• 每次连接新网络都需要输入完整命令
• 仍然可能受到polkit权限限制（建议与方案一结合使用）

4. 系统优化与额外建议

4.1 确保NetworkManager服务正常运行

执行以下命令确保NetworkManager服务已启用并运行：

bash复制sudo systemctl enable --now NetworkManager

4.2 将用户加入netdev组

这个步骤可以进一步增强网络管理权限：

bash复制sudo usermod -aG netdev $USER

执行后需要注销当前会话或重启系统使更改生效。

4.3 配置自动登录（可选）

对于无外接显示器的设备，可以配置自动登录以避免每次启动都需要本地操作：

bash复制sudo nano /etc/gdm3/custom.conf

找到并取消注释以下行：

ini复制AutomaticLoginEnable = true
AutomaticLogin = 你的用户名

5. 问题排查与常见错误

5.1 规则不生效的可能原因

如果按照方案一设置后问题依旧，可以检查以下几点：

1. 确认规则文件路径和名称正确
2. 检查文件权限是否为644（-rw-r--r--）
3. 确认已重启polkit服务
4. 尝试完全重启系统

5.2 用户组权限验证

运行以下命令检查当前用户所属组：

bash复制groups

确保输出中包含"netdev"和"sudo"组。

5.3 日志查看

如果问题仍然存在，可以查看相关日志：

bash复制journalctl -u NetworkManager --no-pager -n 50
journalctl -u polkit --no-pager -n 50

6. 安全注意事项

虽然放宽网络管理权限很方便，但也需要注意以下几点安全建议：

1. 生产环境中应考虑更精细的权限控制，而非允许所有用户
2. 可以修改规则中的Identity部分，只针对特定用户
3. 定期检查polkit规则，避免权限过度开放
4. 对于多用户环境，建议结合系统其他安全机制使用

7. 不同Jetson型号的适配

本解决方案适用于所有Jetson Orin系列设备，包括：

• Jetson Orin Nano
• Jetson Orin NX
• Jetson AGX Orin

对于其他Jetson系列（如Xavier NX），如果运行的是JetPack 6.0系统，解决方案同样适用。对于更早的系统版本，可能需要调整polkit规则的文件路径或语法。