「WPA2 Enterprise」の版間の差分
| 35行目: | 35行目: | ||
プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。 |
プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。 |
||
| + | {{Warning|クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう [[#MS-CHAPv2]] が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。}} |
||
| − | {{Warning|It is possible to use WPA2 Enterprise without the client checking the server CA certificate. However, you should always seek to do so, because without authenticating the access point the connection can be subject to a man-in-the-middle attack. This may happen because while the connection handshake itself may be encrypted, the most widely used setups transmit the password itself either in plain text or the easily breakable [[#MS-CHAPv2]]. Hence, the client might send the password to a malicious access point which then proxies the connection.}} |
||
=== eduroam === |
=== eduroam === |
||
| 47行目: | 47行目: | ||
==== connman ==== |
==== connman ==== |
||
| − | [[connman]] |
+ | [[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。connman の git リポジトリには [https://git.kernel.org/cgit/network/connman/connman.git/tree/src/eduroam.config eduroam の設定例] が含まれていますが、汎用設定は以下を見て下さい: |
{{Note| |
{{Note| |
||
| 69行目: | 69行目: | ||
==== Wicd ==== |
==== Wicd ==== |
||
| − | + | {{AUR|wicd-eduroam}} パッケージには wicd から ''eduroam'' を使うことが出来る設定テンプレートが含まれています。 |
|
| − | + | また、''TTLS'' プロファイルの例は [https://gist.githubusercontent.com/anonymous/0fa3b2c2b2a34c68a6f1/raw/9b8fdb7301182d18b6cd5068a7dbdfc57e5ba430/gistfile1.txt] を見て下さい。プロファイルを有効化するには、次を実行: |
|
# echo ttls-80211 >> /etc/wicd/encryption/templates/active |
# echo ttls-80211 >> /etc/wicd/encryption/templates/active |
||
| − | + | ''wicd'' を起動して、''TTLS for Wireless'' を選択して設定を入力してください。サブジェクトのマッチは次のようにします: {{ic|1=/CN=server.example.com}}。 |
|
==== netctl ==== |
==== netctl ==== |
||
2015年8月12日 (水) 18:51時点における版
WPA2 Enterprise は Wi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。
Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。
目次
サポートされているクライアント
アプリケーション一覧#ネットワークマネージャを見て下さい。
wpa_supplicant
WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf のサンプルを見て下さい。
接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:
# dhcpcd interface
WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。
使用方法
このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は ソフトウェアアクセスポイント#RADIUS を見て下さい。
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。
プロトコルの比較は こちらの表 を見て下さい。
eduroam
eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。
connman
connman を使うには接続する前に設定ファイルを用意する必要があります。connman の git リポジトリには eduroam の設定例 が含まれていますが、汎用設定は以下を見て下さい:
/var/lib/connman/wifi_eduroam.config
[service_eduroam] Type=wifi Name=eduroam EAP=ttls CACertFile=/etc/ssl/certs/ca-certificates.crt Phase2=PAP Identity=username@domain.edu Passphrase=password
wpa_supplicant.service と connman.service を再起動して新しいネットワークに接続してください。
Wicd
wicd-eduroamAUR パッケージには wicd から eduroam を使うことが出来る設定テンプレートが含まれています。
また、TTLS プロファイルの例は [2] を見て下さい。プロファイルを有効化するには、次を実行:
# echo ttls-80211 >> /etc/wicd/encryption/templates/active
wicd を起動して、TTLS for Wireless を選択して設定を入力してください。サブジェクトのマッチは次のようにします: /CN=server.example.com。
netctl
netctl-eduroamAUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam から /etc/netctl/eduroam にコピーして必要に応じて修正してください。
Alternatively, adapt an example configuration from [3] (plain) or [4] (TTLS and certified universities).
トラブルシューティング
MS-CHAPv2
WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require ppp-mppeAUR rather than the stock ppp package. netctl seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [5] and [6].