「WPA2 Enterprise」の版間の差分

[[Category:無線ネットワーク]]

[[en:WPA2 Enterprise]]

{{Related articles start}}

{{Related|ワイヤレス設定}}

{{Related|ネットワーク設定}}

{{Related|ソフトウェアアクセスポイント}}

{{Related|アドホックネットワーク}}

{{Related articles end}}

'''WPA2 Enterprise''' は [[Wikipedia:Wi-Fi_Protected_Access|Wi-Fi Protected Access]] のモードです。''WPA2 Personal'' よりも優れたセキュリティと鍵管理を提供し、VLAN や [[wikipedia:Network Access Protection|NAP]] などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために [[wikipedia:RADIUS|RADIUS]] サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

== サポートされているクライアント ==

{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}}

[[アプリケーション一覧#ネットワークマネージャ]]を見て下さい。

=== wpa_supplicant ===

[[WPA supplicant#高度な使用方法|WPA supplicant]] は直接設定したり、dhcp クライアントや systemd を組み合わせて[[ワイヤレス設定#systemd と dhcpcd を使って起動時に手動でワイヤレス接続|動的アドレス]]などで使うことができます。接続を設定する方法の詳細は {{ic|/etc/wpa_supplicant/wpa_supplicant.conf}} のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:

# dhcpcd ''interface''

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

== 使用方法 ==

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は [[ソフトウェアアクセスポイント#RADIUS]] を見て下さい。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較は [http://deployingradius.com/documents/protocols/compatibility.html こちらの表] を見て下さい。

{{Warning|クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう [[#MS-CHAPv2]] が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。}}

=== eduroam ===

[[Wikipedia:eduroam|eduroam]] (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

{{Warning|

* Check connection details '''first''' with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements.

* When storing connection profiles unencrypted, restrict read access to the root account by specifying {{ic|chmod 600 ''profile''}} as root.}}

==== connman ====

[[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。connman の git リポジトリには [https://git.kernel.org/cgit/network/connman/connman.git/tree/src/eduroam.config eduroam の設定例] が含まれていますが、汎用設定は以下を見て下さい:

{{Note|

* Create the {{ic|/var/lib/connman}} directory if it does not exist.

* Options are case-sensitive. [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/]

}}

{{hc|/var/lib/connman/wifi_eduroam.config|2=

[service_eduroam]

Type=wifi

Name=eduroam

EAP=ttls

CACertFile=/etc/ssl/certs/ca-certificates.crt

Phase2=PAP

Identity=''username''@''domain.edu''

Passphrase=''password''

}}

{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。

==== Wicd ====

{{AUR|wicd-eduroam}} パッケージには wicd から ''eduroam'' を使うことが出来る設定テンプレートが含まれています。

また、''TTLS'' プロファイルの例は [https://gist.githubusercontent.com/anonymous/0fa3b2c2b2a34c68a6f1/raw/9b8fdb7301182d18b6cd5068a7dbdfc57e5ba430/gistfile1.txt] を見て下さい。プロファイルを有効化するには、次を実行:

# echo ttls-80211 >> /etc/wicd/encryption/templates/active

''wicd'' を起動して、''TTLS for Wireless'' を選択して設定を入力してください。サブジェクトのマッチは次のようにします: {{ic|1=/CN=server.example.com}}。

==== netctl ====

{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。

Alternatively, adapt an example configuration from [https://gist.githubusercontent.com/anonymous/ed16e3b191cf627814b3/raw/d476e0dddbc8920b855702737ff69c287e620c7b/eduroam-netctl] (plain) or [https://gist.githubusercontent.com/anonymous/3fd8f8808a22b3a96feb/raw/d9537016a8c9852561630e676c4cbf98553a1a48/eduroam-ttls-netctl] (TTLS and certified universities).

{{Tip|

* To prevent storing your password as plaintext, you can generate a password hash with {{ic|<nowiki>$ tr -d '\n' | iconv -t utf16le | openssl md4</nowiki>}}. Type your password, press {{ic|Enter}} and then {{ic|Ctrl+d}}. Store the hashed password as {{ic|1='password=hash:<hash>'}}. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password.

* Custom certificates can be specified by adding the line {{ic|1='ca_cert="/path/to/special/certificate.cer"'}} in {{ic|WPAConfigSection}}.

}}

== トラブルシューティング ==

=== MS-CHAPv2 ===

WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require {{AUR|ppp-mppe}} rather than the stock {{Pkg|ppp}} package. [[netctl]] seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/] and [http://research.edm.uhasselt.be/~bbonne/docs/robyns14wpa2enterprise.pdf].