第32章 ファイルシステムに保存されている証明書で 802.1X 標準を使用したネットワークへの RHEL クライアントの認証
管理者は、IEEE 802.1X 標準に基づいてポートベースのネットワークアクセス制御 (NAC) を使用して、承認されていない LAN および Wi-Fi クライアントからネットワークを保護します。クライアントがそのようなネットワークに接続できるようにするには、このクライアントで 802.1X 認証を設定する必要があります。
32.1. nmcli を使用した既存のイーサネット接続での 802.1X ネットワーク認証の設定
nmcli ユーティリティーを使用して、コマンドラインで 802.1X ネットワーク認証によるイーサネット接続を設定できます。
前提条件
- ネットワークは 802.1X ネットワーク認証をサポートしている。
- イーサネット接続プロファイルが NetworkManager に存在し、有効な IP 設定があります。
TLS 認証に必要な以下のファイルがクライアントにある。
-
クライアント鍵が保存されているのは
/etc/pki/tls/private/client.keyファイルで、そのファイルは所有されており、rootユーザーのみが読み取り可能です。 -
クライアント証明書は
/etc/pki/tls/certs/client.crtに保存されます。 -
認証局 (CA) 証明書は、
/etc/pki/tls/certs/ca.crtファイルに保存されています。
-
クライアント鍵が保存されているのは
-
wpa_supplicantパッケージがインストールされている。
手順
EAP (Extensible Authentication Protocol) を
tlsに設定し、クライアント証明書およびキーファイルへのパスを設定します。# nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key1 つのコマンドで、
802-1x.eapパラメーター、802-1x.client-certパラメーター、および802-1x.private-keyパラメーターを設定する必要があります。CA 証明書のパスを設定します。
# nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt証明書で使用するユーザーの ID を設定します。
# nmcli connection modify enp1s0 802-1x.identity user@example.com必要に応じて、パスワードを設定に保存します。
# nmcli connection modify enp1s0 802-1x.private-key-password password重要デフォルトでは、NetworkManager は、パスワードを、
/etc/sysconfig/network-scripts/keys-connection_nameファイルにクリアテキストで保存します。これは、rootユーザーのみが読み取れるようにします。ただし、設定ファイルのクリアテキストパスワードはセキュリティーリスクとなる可能性があります。セキュリティーを強化するには、
802-1x.password-flagsパラメーターを0x1に設定します。この設定では、GNOME デスクトップ環境またはnm-appletが実行中のサーバーで、NetworkManager がこれらのサービスからパスワードを取得します。その他の場合は、NetworkManager によりパスワードの入力が求められます。接続プロファイルをアクティベートします。
# nmcli connection up enp1s0
検証
- ネットワーク認証が必要なネットワーク上のリソースにアクセスします。
関連情報
- イーサネット接続の設定
-
nm-settings(5)man ページ -
nmcli(1)man ページ
