10.3.9. 接続設定の構成
10.3.9.1. 802.1X セキュリティーの設定
802.1X セキュリティーは、ポートベースのネットワークアクセス制御(PNAC)用の IEEE 標準の名前です。簡単に言うと、802.1X セキュリティーは、物理ネットワークから 論理ネットワーク を定義する方法です。論理ネットワークに参加するクライアントはすべて、正しい 802.1X 認証方法を使用して、ルーターなどのサーバーで認証を行う必要があります。
802.1X セキュリティーは、ほとんどの場合、ワイヤレスネットワーク (WLAN) のセキュリティー保護に関連付けられていますが、ネットワーク (LAN) に物理的にアクセスする侵入者が侵入するのを防ぐためにも使用できます。以前は、DHCP サーバーは、権限のないユーザーに IP アドレスをリースしないように設定されていましたが、このプラクティスは実用的で安全でないため、推奨されなくなりました。代わりに、802.1X セキュリティーを使用して、ポートベースの認証を通じて、論理的に安全なネットワークを確保します。
802.1X は、WLAN と LAN のアクセス制御のためのフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの 1 つを運搬するエンベロープとして機能します。EAP タイプは、ネットワーク上で WLAN セキュリティーを達成する方法を定義するプロトコルです。
Network Connections ウィンドウ( 「既存接続の設定および編集」)を開き、適用可能な手順に従って、有線またはワイヤレス接続タイプに 802.1X セキュリティーを設定できます。
手順10.15 有線接続の場合...
- 次に 802.1X Security タブを選択し、この接続に 802.1X セキュリティーを使用 して設定を有効にします。
手順10.16 ワイヤレス接続の場合...
- ワイヤレスセキュリティー タブを 選択します。
- 次に Security ドロップダウンメニューをクリックし、 、 のセキュリティーメソッドのいずれかを選択します。
- セキュリティードロップダウンでの選択に対応する EAP タイプの説明は、「TLS(Transport Layer Security)の設定」 を参照 し てください。
10.3.9.1.1. TLS(Transport Layer Security)の設定
Transport Layer Security では、クライアントとサーバーは TLS プロトコルを使用して相互に認証します。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理する公開鍵インフラストラクチャー (PKI) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応する TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを集め、手順を処理するデーモンである wpa_supplicant にこれらを渡します。このデーモンは、OpenSSL を使用して TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。両端が対応する一番高いバージョンが使用されます。
- アイデンティティー
- ユーザー名やログイン名などの EAP 認証方法の ID 文字列。
- ユーザー証明書
- クリックしてユーザーの証明書を参照し、選択します。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- 秘密鍵
- クリックして、ユーザーの秘密鍵ファイルを参照し、選択します。鍵はパスワードで保護される必要があることに注意してください。
- 秘密鍵のパスワード
- ユーザーの秘密鍵に対応するユーザーパスワードを入力します。
10.3.9.1.2. Tunneled TLS の設定
- Anonymous identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- Inner authentication
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
10.3.9.1.3. Protected EAP (PEAP) の設定
- Anonymous Identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- PEAP version
- 使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
- Inner authentication
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。