「WPA2 Enterprise」の版間の差分
ナビゲーションに移動
検索に移動
(同期) |
|||
| 15行目: | 15行目: | ||
{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}} |
{{Note|[[NetworkManager]] は[[NetworkManager#グラフィカルフロントエンド|グラフィカルフロントエンド]]を使って WPA2 Enterprise のプロファイルを作成することができます。''nmcli'' と ''nmtui'' はサポートしていませんが、既存のプロファイルを使うことは可能です。}} |
||
| − | [[アプリケーション一覧#ネットワーク |
+ | [[アプリケーション一覧/インターネット#ネットワーク管理]]を見てください。 |
=== wpa_supplicant === |
=== wpa_supplicant === |
||
| 29行目: | 29行目: | ||
== 使用方法 == |
== 使用方法 == |
||
| − | このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は |
+ | このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は[[ソフトウェアアクセスポイント#RADIUS]] を見てください。 |
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。 |
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。 |
||
| 42行目: | 42行目: | ||
{{Warning| |
{{Warning| |
||
| + | * 以下のセクションで説明しているプロファイルを使う前に機関に接続方法について確認してください。サンプルプロファイルが動作したりセキュリティ基準を満たしている保証はありません。 |
||
| − | * Check connection details '''first''' with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements. |
||
| + | * 接続プロファイルを暗号化せずに保存する場合、root で {{ic|chmod 600 ''profile''}} を実行して root アカウントだけが読み込めるようにパーミッションを設定してください。 |
||
| − | * When storing connection profiles unencrypted, restrict read access to the root account by specifying {{ic|chmod 600 ''profile''}} as root.}} |
||
| + | }} |
||
| + | |||
| + | {{Tip|[[NetworkManager]] や [[#wpa_supplicant|wpa_supplicant]] の設定は [https://cat.eduroam.org/ eduroam Configuration Assistant Tool] で生成できます。}} |
||
==== connman ==== |
==== connman ==== |
||
| − | [[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。 |
+ | [[connman]] を使うには[[Connman#Wi-Fi|接続]]する前に設定ファイルを用意する必要があります。例えば {{ic|/var/lib/connman/eduroam.config}} を以下の内容で作成します: |
| + | {{hc|1=eduroam.conf|2= |
||
| − | {{Note| |
||
| − | * Create the {{ic|/var/lib/connman}} directory if it does not exist. |
||
| − | * Options are case-sensitive. [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/] |
||
| − | }} |
||
| − | |||
| − | {{hc|/var/lib/connman/wifi_eduroam.config|2= |
||
[service_eduroam] |
[service_eduroam] |
||
Type=wifi |
Type=wifi |
||
Name=eduroam |
Name=eduroam |
||
| − | EAP= |
+ | EAP=peap |
| − | CACertFile=/etc/ssl/certs/ |
+ | CACertFile=/etc/ssl/certs/''certificate.cer'' |
| − | Phase2= |
+ | Phase2=''MSCHAPV2'' |
| − | Identity='' |
+ | Identity=''user@foo.edu'' |
| + | AnonymousIdentity=''anonymous@foo.edu'' |
||
Passphrase=''password'' |
Passphrase=''password'' |
||
}} |
}} |
||
| 67行目: | 66行目: | ||
{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。 |
{{ic|wpa_supplicant.service}} と {{ic|connman.service}} を[[再起動]]して新しいネットワークに接続してください。 |
||
| + | {{Note| |
||
| − | ==== Wicd ==== |
||
| + | * オプションは大文字・小文字を区別します [https://together.jolla.com/question/55969/connman-fails-due-to-case-sensitive-settings/]。 |
||
| + | * ユーザー名やパスワード, {{ic|EAP}}, {{ic|Phase2output}} などの様々な設定については eduroam ネットワークを運営している機関に聞いてください。 |
||
| + | }} |
||
| + | 詳しくは {{man|5|connman-service.config|url=}} を参照。 |
||
| − | {{AUR|wicd-eduroam}} パッケージには wicd から ''eduroam'' を使うことが出来る設定テンプレートが含まれています。 |
||
| − | |||
| − | また、''TTLS'' プロファイルの例は [https://gist.githubusercontent.com/anonymous/0fa3b2c2b2a34c68a6f1/raw/9b8fdb7301182d18b6cd5068a7dbdfc57e5ba430/gistfile1.txt] を見て下さい。プロファイルを有効化するには、次を実行: |
||
| − | |||
| − | # echo ttls-80211 >> /etc/wicd/encryption/templates/active |
||
| − | |||
| − | ''wicd'' を起動して、''TTLS for Wireless'' を選択して設定を入力してください。サブジェクトのマッチは次のようにします: {{ic|1=/CN=server.example.com}}。 |
||
==== netctl ==== |
==== netctl ==== |
||
| 81行目: | 77行目: | ||
{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。 |
{{AUR|netctl-eduroam}} パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを {{ic|/etc/netctl/examples/eduroam}} から {{ic|/etc/netctl/eduroam}} にコピーして必要に応じて修正してください。 |
||
| + | netctl は {{ic|1=WPAConfigSection=}} ブロックによる [[#wpa_supplicant|wpa_supplicant]] の設定をサポートしています。詳しくは {{man|5|netctl.profile|url=}} を参照してください。 |
||
| − | Alternatively, adapt an example configuration from [https://gist.githubusercontent.com/anonymous/ed16e3b191cf627814b3/raw/d476e0dddbc8920b855702737ff69c287e620c7b/eduroam-netctl] (plain) or [https://gist.githubusercontent.com/anonymous/3fd8f8808a22b3a96feb/raw/d9537016a8c9852561630e676c4cbf98553a1a48/eduroam-ttls-netctl] (TTLS and certified universities). |
||
| + | {{Warning|特殊なクォートルールが適用されます。{{man|5|netctl.profile|url=}} の {{ic|''SPECIAL QUOTING RULES''}} セクションを見てください。}} |
||
| − | {{Tip| |
||
| + | |||
| − | * To prevent storing your password as plaintext, you can generate a password hash with {{ic|<nowiki>$ tr -d '\n' | iconv -t utf16le | openssl md4</nowiki>}}. Type your password, press {{ic|Enter}} and then {{ic|Ctrl+d}}. Store the hashed password as {{ic|1='password=hash:<hash>'}}. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password. |
||
| − | + | {{Tip|{{ic|WPAConfigSection}} に {{ic|1='ca_cert="/path/to/special/certificate.cer"'}} 行を追加することでカスタム証明書を指定できます。}} |
|
| − | }} |
||
== トラブルシューティング == |
== トラブルシューティング == |
||
| 92行目: | 87行目: | ||
=== MS-CHAPv2 === |
=== MS-CHAPv2 === |
||
| − | + | PEAP による MSCHAPv2 type-2 認証を行う WPA2-Enterprise 無線ネットワークは標準の {{Pkg|ppp}} パッケージに加えて {{Pkg|pptpclient}} を必要とする場合があります。ただし [[netctl]] は ppp-mppe がなくても機能します。どちらにしても、MSCHAPv2 は脆弱性があるため使用は推奨されません。[https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/] や [http://research.edm.uhasselt.be/~bbonne/docs/robyns14wpa2enterprise.pdf] を参照してください。 |
|
2017年2月19日 (日) 22:54時点における版
WPA2 Enterprise は Wi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。
Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。
目次
サポートされているクライアント
アプリケーション一覧/インターネット#ネットワーク管理を見てください。
wpa_supplicant
WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf のサンプルを見て下さい。
接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:
# dhcpcd interface
WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。
使用方法
このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法はソフトウェアアクセスポイント#RADIUS を見てください。
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。
プロトコルの比較は こちらの表 を見て下さい。
eduroam
eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。
connman
connman を使うには接続する前に設定ファイルを用意する必要があります。例えば /var/lib/connman/eduroam.config を以下の内容で作成します:
eduroam.conf
[service_eduroam] Type=wifi Name=eduroam EAP=peap CACertFile=/etc/ssl/certs/certificate.cer Phase2=MSCHAPV2 Identity=user@foo.edu AnonymousIdentity=anonymous@foo.edu Passphrase=password
wpa_supplicant.service と connman.service を再起動して新しいネットワークに接続してください。
詳しくは connman-service.config(5) を参照。
netctl
netctl-eduroamAUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam から /etc/netctl/eduroam にコピーして必要に応じて修正してください。
netctl は WPAConfigSection= ブロックによる wpa_supplicant の設定をサポートしています。詳しくは netctl.profile(5) を参照してください。
トラブルシューティング
MS-CHAPv2
PEAP による MSCHAPv2 type-2 認証を行う WPA2-Enterprise 無線ネットワークは標準の ppp パッケージに加えて pptpclient を必要とする場合があります。ただし netctl は ppp-mppe がなくても機能します。どちらにしても、MSCHAPv2 は脆弱性があるため使用は推奨されません。[2] や [3] を参照してください。