第61章 ネットワーク
Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる
MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、/usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーに wpa_supplicant.service ファイルをコピーして、ファイルの Service セクションに次の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root で systemctl daemon-reload コマンドを実行し、サービスファイルをリロードします。
重要: MD5 証明書は安全性が非常に低く、Red Hat では使用を推奨していないことに注意してください。(BZ#1062656)
RHEL 7.3 からアップグレードすると FreeRADIUS が失敗する可能性がある
/etc/raddb/radiusd.conf
ファイルの新しい設定プロパティー correct_escapes
が、RHEL 7.4 以降配布された FreeRADIUS バージョン に
導入されました。管理者が correct_escapes
を true
に設定すると、バックスラッシュエスケープ用の新しい正規表現構文が想定されます。correct_escapes
を false
に設定すると、バックスラッシュもエスケープされる古い構文が予想されます。後方互換性の理由から、false
がデフォルト値になります。
アップグレード時に、
/etc/raddb/
ディレクトリーの設定ファイルは管理者によって変更されない限り上書きされます。そのため、correct_escapes
の値は、すべての設定ファイルで使用される構文のタイプに常に対応しているとは限りません。その結果、freeradius
での認証が失敗する場合があります。
この問題を回避するには、
freeradius
バージョン 3.0.4 (RHEL 7.3 で配布)以前からアップグレードした後、/etc/raddb/
ディレクトリー内のすべての設定ファイルが新しいエスケープ構文(二重のバックスラッシュ文字は見つかりません)を使用し、/etc/raddb/radiusd.conf
の correct_escapes
の値が true
に設定されていることを確認してください。
詳細と例については、https://access.redhat.com/solutions/3241961 のソリューションを参照してください。(BZ#1489758)