WPA2 Enterprise

提供: ArchWiki
2015年8月12日 (水) 18:51時点におけるKusakata (トーク | 投稿記録)による版
ナビゲーションに移動 検索に移動

関連記事

WPA2 EnterpriseWi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

サポートされているクライアント

ノート: NetworkManagerグラフィカルフロントエンドを使って WPA2 Enterprise のプロファイルを作成することができます。nmclinmtui はサポートしていませんが、既存のプロファイルを使うことは可能です。

アプリケーション一覧#ネットワークマネージャを見て下さい。

wpa_supplicant

WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:

# dhcpcd interface

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

使用方法

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法は ソフトウェアアクセスポイント#RADIUS を見て下さい。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較は こちらの表 を見て下さい。

警告: クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう #MS-CHAPv2 が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。

eduroam

eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

警告:
  • Check connection details first with your institution before applying any profiles listed in this section. Example profiles are not guaranteed to work or match any security requirements.
  • When storing connection profiles unencrypted, restrict read access to the root account by specifying chmod 600 profile as root.

connman

connman を使うには接続する前に設定ファイルを用意する必要があります。connman の git リポジトリには eduroam の設定例 が含まれていますが、汎用設定は以下を見て下さい:

ノート:
  • Create the /var/lib/connman directory if it does not exist.
  • Options are case-sensitive. [1]
/var/lib/connman/wifi_eduroam.config
[service_eduroam]
Type=wifi
Name=eduroam
EAP=ttls
CACertFile=/etc/ssl/certs/ca-certificates.crt
Phase2=PAP
Identity=username@domain.edu
Passphrase=password

wpa_supplicant.serviceconnman.service再起動して新しいネットワークに接続してください。

Wicd

wicd-eduroamAUR パッケージには wicd から eduroam を使うことが出来る設定テンプレートが含まれています。

また、TTLS プロファイルの例は [2] を見て下さい。プロファイルを有効化するには、次を実行:

# echo ttls-80211 >> /etc/wicd/encryption/templates/active

wicd を起動して、TTLS for Wireless を選択して設定を入力してください。サブジェクトのマッチは次のようにします: /CN=server.example.com

netctl

netctl-eduroamAUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam から /etc/netctl/eduroam にコピーして必要に応じて修正してください。

Alternatively, adapt an example configuration from [3] (plain) or [4] (TTLS and certified universities).

ヒント:
  • To prevent storing your password as plaintext, you can generate a password hash with $ tr -d '\n' | iconv -t utf16le | openssl md4. Type your password, press Enter and then Ctrl+d. Store the hashed password as 'password=hash:<hash>'. This password hash is only available for MSCHAPV2 or MSCHAP, when using PAP use a plaintext password.
  • Custom certificates can be specified by adding the line 'ca_cert="/path/to/special/certificate.cer"' in WPAConfigSection.

トラブルシューティング

MS-CHAPv2

WPA2-Enterprise wireless networks demanding MSCHAPv2 type-2 authentication with PEAP sometimes require ppp-mppeAUR rather than the stock ppp package. netctl seems to work out of the box without ppp-mppe, however. In either case, usage of MSCHAPv2 is discouraged as it is highly vulnerable, although using another method is usually not an option. See also [5] and [6].