「WPA2 Enterprise」の版間の差分

[[Category:無線ネットワーク]]

[[en:WPA2 Enterprise]]

{{Related articles start}}

{{Related|ワイヤレス設定}}

{{Related|ネットワーク設定}}

{{Related|ソフトウェアアクセスポイント}}

{{Related|アドホックネットワーク}}

{{Related articles end}}

'''WPA2 Enterprise''' は [[Wikipedia:Wi-Fi_Protected_Access|Wi-Fi Protected Access]] のモードです。''WPA2 Personal'' よりも優れたセキュリティと鍵管理を提供し、VLAN や [[wikipedia:Network Access Protection|NAP]] などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために [[wikipedia:RADIUS|RADIUS]] サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

== サポートされているクライアント ==

{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}}

[[アプリケーション一覧#ネットワークマネージャ]]を見て下さい。

=== wpa_supplicant ===

[[WPA supplicant#高度な使用方法|WPA supplicant]] は直接設定したり、dhcp クライアントや systemd を組み合わせて[[ワイヤレス設定#systemd と dhcpcd を使って起動時に手動でワイヤレス接続|動的アドレス]]などで使うことができます。接続を設定する方法の詳細は {{ic|/etc/wpa_supplicant/wpa_supplicant.conf}} のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:

# dhcpcd ''interface''

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

== 使用方法 ==

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は [[ソフトウェアアクセスポイント#RADIUS]] を見て下さい。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。

{{Warning|It is possible to use WPA2 Enterprise without the client checking the server CA certificate. However, you should always seek to do so, because without authenticating the access point the connection can be subject to a man-in-the-middle attack. This may happen because while the connection handshake itself may be encrypted, the most widely used setups transmit the password itself either in plain text or the easily breakable [[#MS-CHAPv2]]. Hence, the client might send the password to a malicious access point which then proxies the connection.}}

=== eduroam ===

[[Wikipedia:eduroam|eduroam]] (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

{{Warning|

* Check connection details '''first''' with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements.

* When storing connection profiles unencrypted, restrict read access to the root account by specifying {{ic|chmod 600 ''profile''}} as root.}}

==== connman ====

[[connman]] needs a separate configuration file before [[Connman#Wi-Fi|connecting]]. While the connman git repository contains an [https://git.kernel.org/cgit/network/connman/connman.git/tree/src/eduroam.config example eduroam config], see below for a more extensive configuration:

{{Note|

* Create the {{ic|/var/lib/connman}} directory if it does not exist.

* Options are case-sensitive. [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/]

}}

{{hc|/var/lib/connman/wifi_eduroam.config|2=

[service_eduroam]

Type=wifi

Name=eduroam

EAP=ttls

CACertFile=/etc/ssl/certs/ca-certificates.crt

Phase2=PAP

Identity=''username''@''domain.edu''

Passphrase=''password''

}}

{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。

==== Wicd ====

The {{AUR|wicd-eduroam}} package contains configuration templates which will appear to wicd as ''eduroam''.

Alternatively, see [https://gist.githubusercontent.com/anonymous/0fa3b2c2b2a34c68a6f1/raw/9b8fdb7301182d18b6cd5068a7dbdfc57e5ba430/gistfile1.txt] for an example of a '''TTLS''' profile. To activate the profile, run:

# echo ttls-80211 >> /etc/wicd/encryption/templates/active

Open ''wicd'', choose ''TTLS for Wireless'' and enter the appropriate settings. The format of the subject match should be similar to {{ic|1=/CN=server.example.com}}.

==== netctl ====

{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。

Alternatively, adapt an example configuration from [https://gist.githubusercontent.com/anonymous/ed16e3b191cf627814b3/raw/d476e0dddbc8920b855702737ff69c287e620c7b/eduroam-netctl] (plain) or [https://gist.githubusercontent.com/anonymous/3fd8f8808a22b3a96feb/raw/d9537016a8c9852561630e676c4cbf98553a1a48/eduroam-ttls-netctl] (TTLS and certified universities).

{{Tip|

* To prevent storing your password as plaintext, you can generate a password hash with {{ic|<nowiki>$ tr -d '\n' | iconv -t utf16le | openssl md4</nowiki>}}. Type your password, press {{ic|Enter}} and then {{ic|Ctrl+d}}. Store the hashed password as {{ic|1='password=hash:<hash>'}}. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password.

* Custom certificates can be specified by adding the line {{ic|1='ca_cert="/path/to/special/certificate.cer"'}} in {{ic|WPAConfigSection}}.

}}

== トラブルシューティング ==

=== MS-CHAPv2 ===

WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require {{AUR|ppp-mppe}} rather than the stock {{Pkg|ppp}} package. [[netctl]] seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/] and [http://research.edm.uhasselt.be/~bbonne/docs/robyns14wpa2enterprise.pdf].