WPA2 Enterprise

WPA2 Enterprise は Wi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

サポートされているクライアント

ノート: NetworkManager はグラフィカルフロントエンドを使って WPA2 Enterprise のプロファイルを作成することができます。nmcli と nmtui はサポートしていませんが、既存のプロファイルを使うことは可能です。

アプリケーション一覧#ネットワークマネージャを見て下さい。

wpa_supplicant

WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:

# dhcpcd interface

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

使用方法

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法はソフトウェアアクセスポイント#RADIUS を見て下さい。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較はこちらの表を見て下さい。

警告: It is possible to use WPA2 Enterprise without the client checking the server CA certificate. However, you should always seek to do so, because without authenticating the access point the connection can be subject to a man-in-the-middle attack. This may happen because while the connection handshake itself may be encrypted, the most widely used setups transmit the password itself either in plain text or the easily breakable #MS-CHAPv2. Hence, the client might send the password to a malicious access point which then proxies the connection.

eduroam

eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

警告:

Check connection details first with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements.
When storing connection profiles unencrypted, restrict read access to the root account by specifying chmod 600 profile as root.

connman

connman needs a separate configuration file before connecting. While the connman git repository contains an example eduroam config, see below for a more extensive configuration:

ノート:

Create the /var/lib/connman directory if it does not exist.
Options are case-sensitive. [1]

/var/lib/connman/wifi_eduroam.config

[service_eduroam]
Type=wifi
Name=eduroam
EAP=ttls
CACertFile=/etc/ssl/certs/ca-certificates.crt
Phase2=PAP
Identity=username@domain.edu
Passphrase=password

wpa_supplicant.service と connman.service を再起動して新しいネットワークに接続してください。

Wicd

The wicd-eduroam^AUR package contains configuration templates which will appear to wicd as eduroam.

Alternatively, see [2] for an example of a TTLS profile. To activate the profile, run:

# echo ttls-80211 >> /etc/wicd/encryption/templates/active

Open wicd, choose TTLS for Wireless and enter the appropriate settings. The format of the subject match should be similar to /CN=server.example.com.

netctl

netctl-eduroam^AUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam から /etc/netctl/eduroam にコピーして必要に応じて修正してください。

Alternatively, adapt an example configuration from [3] (plain) or [4] (TTLS and certified universities).

ヒント:

To prevent storing your password as plaintext, you can generate a password hash with $ tr -d '\n' | iconv -t utf16le | openssl md4. Type your password, press Enter and then Ctrl+d. Store the hashed password as 'password=hash:<hash>'. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password.
Custom certificates can be specified by adding the line 'ca_cert="/path/to/special/certificate.cer"' in WPAConfigSection.

トラブルシューティング

MS-CHAPv2

WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require ppp-mppe^AUR rather than the stock ppp package. netctl seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [5] and [6].