33.8. FreeRADIUS サーバーまたはオーセンティケーターに対する EAP-TLS 認証のテスト
Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) を使用した認証が、期待どおりに機能するかテストするには、次の手順を実行します。
- FreeRADIUS サーバーをセットアップした後
-
hostapdサービスを 802.1X ネットワーク認証のオーセンティケーターとして設定した後。
この手順で使用されるテストユーティリティーの出力は、EAP 通信に関する追加情報を提供し、問題のデバッグに役立ちます。
前提条件
認証する場合:
FreeRADIUS サーバー:
-
hostapdパッケージによって提供されるeapol_testユーティリティーがインストールされます。 - この手順を実行するクライアントは、FreeRADIUS サーバーのクライアントデータベースで承認されています。
-
-
同じ名前のパッケージによって提供されるオーセンティケーター、
wpa_supplicantユーティリティーがインストールされます。
-
認証局 (CA) 証明書を
/etc/pki/tls/certs/ca.pemファイルに保存しました。 - クライアント証明書を発行した CA は、FreeRADIUS サーバーのサーバー証明書を発行した CA と同じです。
-
クライアント証明書を
/etc/pki/tls/certs/client.pemファイルに保存しました。 -
クライアントの秘密鍵を
/etc/pki/tls/private/client.keyに保存しました
手順
次のコンテンツで
/etc/wpa_supplicant/wpa_supplicant-TLS.confファイルを作成します。ap_scan=0 network={ eap=TLS eapol_flags=0 key_mgmt=IEEE8021X identity="user@example.org" client_cert="/etc/pki/tls/certs/client.pem" private_key="/etc/pki/tls/private/client.key" private_key_passwd="password_on_private_key" # CA certificate to validate the RADIUS server's identity ca_cert="/etc/pki/tls/certs/ca.pem" }認証するには:
FreeRADIUS サーバーには、次のように入力します。
# eapol_test -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -a 192.0.2.1 -s <client_password> ... EAP: Status notification: remote certificate verification (param=success) ... CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ... SUCCESS-aオプションは FreeRADIUS サーバーの IP アドレスを定義し、-sオプションは FreeRADIUS サーバーのクライアント設定でコマンドを実行するホストのパスワードを指定します。オーセンティケーター。次のように入力します。
# wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -D wired -i enp0s31f6 ... enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ...-iオプションは、wpa_supplicantが LAN(EAPOL) パケットを介して拡張認証プロトコルを送信するネットワークインターフェイス名を指定します。デバッグ情報の詳細は、コマンドに
-dオプションを渡してください。
関連情報
-
/usr/share/doc/wpa_supplicant/wpa_supplicant.confファイル
