10.8. nmcli を使用した既存のプロファイルでの 802.1X ネットワーク認証による Wi-Fi 接続の設定
nmcli ユーティリティーを使用して、クライアントがネットワークに対して自己認証するように設定できます。たとえば、wlp1s0 という名前の既存の NetworkManager wifi 接続プロファイルで、MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol version 2) を使用する PEAP (Protected Extensible Authentication Protocol) 認証を設定します。
前提条件
- ネットワークには 802.1X ネットワーク認証が必要です。
- wifi 接続プロファイルが NetworkManager に存在し、有効な IP 設定があります。
-
クライアントがオーセンティケーターの証明書を検証する必要がある場合は、認証局 (CA) 証明書を
/etc/pki/ca-trust/source/anchors/ディレクトリーに保存する必要があります。 -
wpa_supplicantパッケージがインストールされている。
手順
wifi セキュリティーモードを
wpa-eapに設定し、Extensible Authentication Protocol (EAP) をpeapに設定し、内部認証プロトコルをmschapv2に設定し、ユーザー名を設定します。# nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name1 つのコマンドで
wireless-security.key-mgmtパラメーター、802-1x.eapパラメーター、802-1x.phase2-authパラメーター、および802-1x.identityパラメーターを設定する必要があります。必要に応じて、パスワードを設定に保存します。
# nmcli connection modify wlp1s0 802-1x.password password重要デフォルトでは、NetworkManager はパスワードをプレーンテキストで
/etc/sysconfig/network-scripts/keys-connection_nameファイルに保存します。このファイルはrootユーザーのみが読み取ることができます。ただし、設定ファイル内のプレーンテキストのパスワードは、セキュリティーリスクになる可能性があります。セキュリティーを強化するには、
802-1x.password-flagsパラメーターを0x1に設定します。この設定では、GNOME デスクトップ環境またはnm-appletが実行中のサーバーで、NetworkManager がこれらのサービスからパスワードを取得します。その他の場合は、NetworkManager によりパスワードの入力が求められます。クライアントがオーセンティケーターの証明書を検証する必要がある場合は、接続プロファイルの
802-1x.ca-certパラメーターを CA 証明書のパスに設定します。# nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt注記セキュリティー上の理由から、クライアントは認証子の証明書を検証する必要があります。
接続プロファイルをアクティベートします。
# nmcli connection up wlp1s0
検証
- ネットワーク認証が必要なネットワーク上のリソースにアクセスします。
関連情報
- wifi 接続の管理
-
nm-settings(5)man ページ -
nmcli(1)man ページ
