5.2. 802.1X セキュリティーの設定
802.1X セキュリティーとは、ポートベースのネットワークアクセス制御 (PNAC) 用の IEEE 基準の名前です。これは、WPA Enterprise とも呼ばれます。802.1X セキュリティーは、物理ネットワークから 論理ネットワーク へのアクセスを制御する手段です。論理ネットワークに参加するクライアントはすべて、正しい 802.1X 認証方法を使用して、ルーターなどのサーバーで認証を行う必要があります。
802.1X セキュリティーは、ほとんどの場合、ワイヤレスネットワーク (WLAN) のセキュリティー保護に関連付けられていますが、ネットワーク (LAN) に物理的にアクセスする侵入者が侵入するのを防ぐためにも使用できます。
以前は、
DHCP サーバーは、許可されていないユーザーに IP アドレスをリースしないように設定されていましたが、さまざまな理由から、これは実用的ではなく、安全ではないため、推奨されなくなりました。代わりに、802.1X セキュリティーを使用して、ポートベースの認証を通じて、論理的に安全なネットワークを確保します。
802.1X は、WLAN と LAN のアクセス制御のためのフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの 1 つを運搬するエンベロープとして機能します。EAP のタイプとは、ネットワーク上でセキュリティーの達成方法を定義するプロトコルです。
5.2.1. nmcli を使用した Wi-Fi 用の 802.1X セキュリティーの設定
手順
- 認証された
key-mgmt(キー管理)プロトコルを設定します。セキュアなwifi接続の鍵設定メカニズムを設定します。プロパティーの詳細は 『nm-settings(5)』 の man ページを参照してください。 - 802-1x 認証設定の設定TLS (Transport Layer Security) 認証については、「TLS の設定」を参照してください。
| 802-1x 認証設定 | 名前 | |
|---|---|---|
| 802-1x.identity | アイデンティティー | |
| 802-1x.ca-cert | CA 証明書 | |
| 802-1x.client-cert | ユーザー証明書 | |
| 802-1x.private-key | 秘密鍵 | |
| 802-1x.private-key-password | 秘密鍵のパスワード |
たとえば、EAP-TLS 認証メソッドを使用して WPA2 Enterprise を設定するには、以下の設定を適用します。
nmcli c add type wifi ifname wlo61s0 con-name 'My Wifi Network' \
802-11-wireless.ssid 'My Wifi' \
802-11-wireless-security.key-mgmt wpa-eap \
802-1x.eap tls \
802-1x.identity identity@example.com \
802-1x.ca-cert /etc/pki/my-wifi/ca.crt \
802-1x.client-cert /etc/pki/my-wifi/client.crt \
802-1x.private-key /etc/pki/my-wifi/client.key \
802-1x.private-key-password s3cr3t
5.2.2. nmcli を使用した有線用の 802.1X セキュリティーの設定
nmcli ツールを使用して
有線 接続を設定するには、ワイヤレス 接続と同じ手順に従います( 802-11-wireless.ssid および 802-11-wireless-security.key-mgmt 設定を除く)。
5.2.3. GUI を使用した Wi-Fi 用の 802.1X セキュリティーの設定
手順
- Network ウィンドウを開きます( 「control-center GUI を使用したネットワーク接続」を参照してください)。
- 右側のメニューから ワイヤレス ネットワークインターフェイスを選択します。必要に応じて、電源ボタンを ON に設定し、ハードウェアスイッチがオンであることを確認します。
- 802.1X セキュリティーを設定する新規接続の接続名を選択するか、既存の接続プロファイルのギアのアイコンをクリックします。新規接続の場合、必要な認証手順を完了して接続を完了させてからギアのアイコンをクリックします。
- Security を選択します。以下の設定オプションが利用できます。
- Security
- : Wi-Fi 接続を暗号化しません。- IEEE 802.11 標準からの Wired Equivalent Privacy (WEP)。共有キー (PSK) を 1 つ使用します。- パスフレーズの MD5 ハッシュを使用して WEP キーを取得します。- Cisco Systems の Lightweight Extensible Authentication Protocol。- WEP キーは動的に変更されます。用途「TLS の設定」- IEEE 802.11i 標準からの Wi-Fi Protected Access (WPA)。WEP の代替。802.11i-2004 規格の Wi-Fi Protected Access II (WPA2)。個人モードは、事前共有キー (WPA-PSK) を使用します。- IEEE 802.1X ネットワークアクセス制御を提供するために RADIUS 認証サーバーで使用する WPA。用途「TLS の設定」
- Password
- 認証プロセスで使用するパスワードを入力します。
- ドロップダウンメニューから、、、または のセキュリティー方法のいずれかを選択します。
Security ドロップダウンメニューでの選択に対応する 拡張認証プロトコル (EAP)タイプは、「TLS の設定」 を参照してください。
5.2.4. nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定
手順
- 端末に nm-connection-editor を入力します。
~]$ nm-connection-editorネットワーク接続 ウィンドウが表示されます。 - 編集するイーサネット接続を選択し、歯車アイコンをクリックしてください。「nm-connection-editor を使用した有線接続の設定」を参照してください。
- セキュリティー を 選択 し、電源ボタンを ON に設定して、設定を有効にします。
- 以下のいずれかの認証方法を選択します。
- Transport Layer Security には TLS を選択し、「TLS の設定」 に進みます。
- FAST を選択して Flexible Authentication through Secure Tunneling を選択し、「Tunneled TLS の設定」 に進みます。
- Tunneled Transport Layer Security (TTLS または EAP-TTLS として知られる)には Tunneled TLS を選択し、「Tunneled TLS の設定」 に進みます。
- Protected Extensible Authentication Protocol には Protected EAP (PEAP) を選択し、「Protected EAP (PEAP) の設定」 に進みます。
TLS の設定
トランスポート層セキュリティー (TLS) では、クライアントとサーバーは、TLS プロトコルを使用した相互認証が行われます。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理する公開鍵インフラストラクチャー (PKI) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応している TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを収集し、手順を処理するデーモン wpa_supplicant に渡します。このデーモンは、OpenSSL を使用して TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。両端が対応する一番高いバージョンが使用されます。
TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
- アイデンティティー
- このサーバーの識別子を入力します。
- ユーザー証明書
- 個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
- CA 証明書
- X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
- 秘密鍵
- プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
- 秘密鍵のパスワード
- Private key フィールドに秘密鍵のパスワードを入力します。Show password を選択して、入力時にパスワードを表示します。
FAST の設定
FAST を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
- Anonymous Identity
- このサーバーの識別子を入力します。
- PAC プロビジョニング
- チェックボックスを選択してから 、、および both から選択し 。
- PAC file
- クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
- Inner authentication
- - Generic Token Card。- Microsoft Challenge Handshake Authentication Protocol version 2.
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
Tunneled TLS の設定
Tunneled TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
- Anonymous identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- Inner authentication
- - パスワード認証プロトコル。- チャレンジハンドシェイク認証プロトコル- Microsoft Challenge Handshake Authentication Protocol version 2.- チャレンジハンドシェイク認証プロトコル
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
Protected EAP (PEAP) の設定
Protected EAP (PEAP)を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 に記載されている手順に従います。以下の設定が可能です。
- Anonymous Identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- PEAP version
- 使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
- Inner authentication
- - Microsoft Challenge Handshake Authentication Protocol version 2.- メッセージダイジェスト 5、暗号ハッシュ関数。- Generic Token Card。
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
