33.7. FreeRADIUS サーバーまたはオーセンティケーターに対する EAP-TTLS 認証のテスト
Extensible Authentication Protocol - Tunneled Transport Layer Security (EAP-TTLS) を使用した認証が、期待どおりに機能するかテストするには、次の手順を実行します。
- FreeRADIUS サーバーをセットアップした後
-
hostapdサービスを 802.1X ネットワーク認証のオーセンティケーターとして設定した後。
この手順で使用されるテストユーティリティーの出力は、EAP 通信に関する追加情報を提供し、問題のデバッグに役立ちます。
前提条件
認証する場合:
FreeRADIUS サーバー:
-
hostapdパッケージによって提供されるeapol_testユーティリティーがインストールされます。 - この手順を実行するクライアントは、FreeRADIUS サーバーのクライアントデータベースで承認されています。
-
-
同じ名前のパッケージによって提供されるオーセンティケーター、
wpa_supplicantユーティリティーがインストールされます。
-
認証局 (CA) 証明書を
/etc/pki/tls/certs/ca.pemファイルに保存しました。
手順
次のコンテンツで
/etc/wpa_supplicant/wpa_supplicant-TTLS.confファイルを作成します。ap_scan=0 network={ eap=TTLS eapol_flags=0 key_mgmt=IEEE8021X # Anonymous identity (sent in unencrypted phase 1) # Can be any string anonymous_identity="anonymous" # Inner authentication (sent in TLS-encrypted phase 2) phase2="auth=PAP" identity="example_user" password="user_password" # CA certificate to validate the RADIUS server's identity ca_cert="/etc/pki/tls/certs/ca.pem" }認証するには:
FreeRADIUS サーバーには、次のように入力します。
# eapol_test -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -a 192.0.2.1 -s <client_password> ... EAP: Status notification: remote certificate verification (param=success) ... CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ... SUCCESS-aオプションは FreeRADIUS サーバーの IP アドレスを定義し、-sオプションは FreeRADIUS サーバーのクライアント設定でコマンドを実行するホストのパスワードを指定します。オーセンティケーター。次のように入力します。
# wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -D wired -i enp0s31f6 ... enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ...-iオプションは、wpa_supplicantが LAN(EAPOL) パケットを介して拡張認証プロトコルを送信するネットワークインターフェイス名を指定します。デバッグ情報の詳細は、コマンドに
-dオプションを渡してください。
関連情報
-
/usr/share/doc/wpa_supplicant/wpa_supplicant.confファイル
