WPA2 Enterprise
WPA2 Enterprise は Wi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。
Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。
目次
サポートされているクライアント
アプリケーション一覧#ネットワークマネージャを見て下さい。
wpa_supplicant
WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf
のサンプルを見て下さい。
接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:
# dhcpcd interface
WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。
使用方法
このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は ソフトウェアアクセスポイント#RADIUS を見て下さい。
Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。
プロトコルの比較は こちらの表 を見て下さい。
eduroam
eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。
connman
connman を使うには接続する前に設定ファイルを用意する必要があります。connman の git リポジトリには eduroam の設定例 が含まれていますが、汎用設定は以下を見て下さい:
/var/lib/connman/wifi_eduroam.config
[service_eduroam] Type=wifi Name=eduroam EAP=ttls CACertFile=/etc/ssl/certs/ca-certificates.crt Phase2=PAP Identity=username@domain.edu Passphrase=password
wpa_supplicant.service
と connman.service
を再起動して新しいネットワークに接続してください。
Wicd
wicd-eduroamAUR パッケージには wicd から eduroam を使うことが出来る設定テンプレートが含まれています。
また、TTLS プロファイルの例は [2] を見て下さい。プロファイルを有効化するには、次を実行:
# echo ttls-80211 >> /etc/wicd/encryption/templates/active
wicd を起動して、TTLS for Wireless を選択して設定を入力してください。サブジェクトのマッチは次のようにします: /CN=server.example.com
。
netctl
netctl-eduroamAUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam
から /etc/netctl/eduroam
にコピーして必要に応じて修正してください。
Alternatively, adapt an example configuration from [3] (plain) or [4] (TTLS and certified universities).
トラブルシューティング
MS-CHAPv2
WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require ppp-mppeAUR rather than the stock ppp package. netctl seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [5] and [6].