「WPA2 Enterprise」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(リンクを修正)
タグ: 転送先変更
 
(2人の利用者による、間の2版が非表示)
1行目: 1行目:
[[Category:無線ネットワーク]]
+
#REDIRECT: [[ネットワーク設定/ワイヤレス#WPA2 Enterprise]]
[[en:WPA2 Enterprise]]
 
{{Related articles start}}
 
{{Related|ワイヤレス設定}}
 
{{Related|ネットワーク設定}}
 
{{Related|ソフトウェアアクセスポイント}}
 
{{Related|アドホックネットワーク}}
 
{{Related articles end}}
 
'''WPA2 Enterprise''' は [[Wikipedia:Wi-Fi_Protected_Access|Wi-Fi Protected Access]] のモードです。''WPA2 Personal'' よりも優れたセキュリティと鍵管理を提供し、VLAN や [[wikipedia:Network Access Protection|NAP]] などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために [[wikipedia:RADIUS|RADIUS]] サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。
 
 
Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。
 
 
== サポートされているクライアント ==
 
 
{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}}
 
 
[[アプリケーション一覧#ネットワークマネージャ]]を見て下さい。
 
 
=== wpa_supplicant ===
 
 
[[WPA supplicant#高度な使用方法|WPA supplicant]] は直接設定したり、dhcp クライアントや systemd を組み合わせて[[ワイヤレス設定#systemd と dhcpcd を使って起動時に手動でワイヤレス接続|動的アドレス]]などで使うことができます。接続を設定する方法の詳細は {{ic|/etc/wpa_supplicant/wpa_supplicant.conf}} のサンプルを見て下さい。
 
 
接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:
 
 
# dhcpcd ''interface''
 
 
WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。
 
 
== 使用方法 ==
 
 
このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は [[ソフトウェアアクセスポイント#RADIUS]] を見て下さい。
 
 
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。
 
 
プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。
 
 
{{Warning|クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう [[#MS-CHAPv2]] が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。}}
 
 
=== eduroam ===
 
 
[[Wikipedia:eduroam|eduroam]] (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。
 
 
{{Warning|
 
* Check connection details '''first''' with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements.
 
* When storing connection profiles unencrypted, restrict read access to the root account by specifying {{ic|chmod 600 ''profile''}} as root.}}
 
 
==== connman ====
 
 
[[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。connman の git リポジトリには [https://git.kernel.org/cgit/network/connman/connman.git/tree/src/eduroam.config eduroam の設定例] が含まれていますが、汎用設定は以下を見て下さい:
 
 
{{Note|
 
* Create the {{ic|/var/lib/connman}} directory if it does not exist.
 
* Options are case-sensitive. [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/]
 
}}
 
 
{{hc|/var/lib/connman/wifi_eduroam.config|2=
 
[service_eduroam]
 
Type=wifi
 
Name=eduroam
 
EAP=ttls
 
CACertFile=/etc/ssl/certs/ca-certificates.crt
 
Phase2=PAP
 
Identity=''username''@''domain.edu''
 
Passphrase=''password''
 
}}
 
 
{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。
 
 
==== Wicd ====
 
 
{{AUR|wicd-eduroam}} パッケージには wicd から ''eduroam'' を使うことが出来る設定テンプレートが含まれています。
 
 
また、''TTLS'' プロファイルの例は [https://gist.githubusercontent.com/anonymous/0fa3b2c2b2a34c68a6f1/raw/9b8fdb7301182d18b6cd5068a7dbdfc57e5ba430/gistfile1.txt] を見て下さい。プロファイルを有効化するには、次を実行:
 
 
# echo ttls-80211 >> /etc/wicd/encryption/templates/active
 
 
''wicd'' を起動して、''TTLS for Wireless'' を選択して設定を入力してください。サブジェクトのマッチは次のようにします: {{ic|1=/CN=server.example.com}}。
 
 
==== netctl ====
 
 
{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。
 
 
Alternatively, adapt an example configuration from [https://gist.githubusercontent.com/anonymous/ed16e3b191cf627814b3/raw/d476e0dddbc8920b855702737ff69c287e620c7b/eduroam-netctl] (plain) or [https://gist.githubusercontent.com/anonymous/3fd8f8808a22b3a96feb/raw/d9537016a8c9852561630e676c4cbf98553a1a48/eduroam-ttls-netctl] (TTLS and certified universities).
 
 
{{Tip|
 
* To prevent storing your password as plaintext, you can generate a password hash with {{ic|<nowiki>$ tr -d '\n' | iconv -t utf16le | openssl md4</nowiki>}}. Type your password, press {{ic|Enter}} and then {{ic|Ctrl+d}}. Store the hashed password as {{ic|1='password=hash:<hash>'}}. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password.
 
* Custom certificates can be specified by adding the line {{ic|1='ca_cert="/path/to/special/certificate.cer"'}} in {{ic|WPAConfigSection}}.
 
}}
 
 
== トラブルシューティング ==
 
 
=== MS-CHAPv2 ===
 
 
WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require {{AUR|ppp-mppe}} rather than the stock {{Pkg|ppp}} package. [[netctl]] seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/] and [http://research.edm.uhasselt.be/~bbonne/docs/robyns14wpa2enterprise.pdf].
 

2023年7月4日 (火) 04:14時点における最新版