WPA2 Enterpriseのソースを表示

[[Category:無線ネットワーク]]
[[en:WPA2 Enterprise]]
{{Related articles start}}
{{Related|ワイヤレス設定}}
{{Related|ネットワーク設定}}
{{Related|ソフトウェアアクセスポイント}}
{{Related|アドホックネットワーク}}
{{Related articles end}}
'''WPA2 Enterprise''' は [[Wikipedia:Wi-Fi_Protected_Access|Wi-Fi Protected Access]] のモードです。''WPA2 Personal'' よりも優れたセキュリティと鍵管理を提供し、VLAN や [[wikipedia:Network Access Protection|NAP]] などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために [[wikipedia:RADIUS|RADIUS]] サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

== サポートされているクライアント ==

{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}}

[[アプリケーション一覧/インターネット#ネットワーク管理]]を見てください。

=== wpa_supplicant ===

[[WPA supplicant#高度な使用方法|WPA supplicant]] は直接設定したり、dhcp クライアントや systemd を組み合わせて[[ワイヤレス設定#systemd と dhcpcd を使って起動時に手動でワイヤレス接続|動的アドレス]]などで使うことができます。接続を設定する方法の詳細は {{ic|/etc/wpa_supplicant/wpa_supplicant.conf}} のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:
 
 # dhcpcd ''interface''

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

== 使用方法 ==

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は[[ソフトウェアアクセスポイント#RADIUS]] を見てください。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。

{{Warning|クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう [[#MS-CHAPv2]] が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。}}

=== eduroam ===

[[Wikipedia:eduroam|eduroam]] (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

{{Warning|
* 以下のセクションで説明しているプロファイルを使う前に機関に接続方法について確認してください。サンプルプロファイルが動作したりセキュリティ基準を満たしている保証はありません。
* 接続プロファイルを暗号化せずに保存する場合、root で {{ic|chmod 600 ''profile''}} を実行して root アカウントだけが読み込めるようにパーミッションを設定してください。
}}

{{Tip|[[NetworkManager]] や [[#wpa_supplicant|wpa_supplicant]] の設定は [https://cat.eduroam.org/ eduroam Configuration Assistant Tool] で生成できます。}}

==== connman ====

[[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。例えば {{ic|/var/lib/connman/eduroam.config}} を以下の内容で作成します:

{{hc|1=eduroam.conf|2=
[service_eduroam]
Type=wifi
Name=eduroam
EAP=peap
CACertFile=/etc/ssl/certs/''certificate.cer''
Phase2=''MSCHAPV2''
Identity=''user@foo.edu''
AnonymousIdentity=''anonymous@foo.edu''
Passphrase=''password''
}}

{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。

{{Note|
* オプションは大文字・小文字を区別します [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/]。
* ユーザー名やパスワード, {{ic|EAP}}, {{ic|Phase2output}} などの様々な設定については eduroam ネットワークを運営している機関に聞いてください。
}}

詳しくは {{man|5|connman-service.config|url=}} を参照。

==== netctl ====

{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。

netctl は {{ic|1=WPAConfigSection=}} ブロックによる [[#wpa_supplicant|wpa_supplicant]] の設定をサポートしています。詳しくは {{man|5|netctl.profile|url=}} を参照してください。

{{Warning|特殊なクォートルールが適用されます。{{man|5|netctl.profile|url=}} の {{ic|''SPECIAL QUOTING RULES''}} セクションを見てください。}}

{{Tip|{{ic|WPAConfigSection}} に {{ic|1='ca_cert="/path/to/special/certificate.cer"'}} 行を追加することでカスタム証明書を指定できます。}}

== トラブルシューティング ==

=== MS-CHAPv2 ===

PEAP による MSCHAPv2 type-2 認証を行う WPA2-Enterprise 無線ネットワークは標準の {{Pkg|ppp}} パッケージに加えて {{Pkg|pptpclient}} を必要とする場合があります。ただし [[netctl]] は ppp-mppe がなくても機能します。どちらにしても、MSCHAPv2 は脆弱性があるため使用は推奨されません。[https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/] や [http://research.edm.uhasselt.be/~bbonne/docs/robyns14wpa2enterprise.pdf] を参照してください。