WPA2 Enterprise

提供: ArchWiki
移動先: 案内検索

WPA2 EnterpriseWi-Fi Protected Access のモードです。WPA2 Personal よりも優れたセキュリティと鍵管理を提供し、VLAN や NAP などのエンタープライズ向けの機能をサポートします。ただし、ユーザーの認証を処理するために RADIUS サーバーという名前の認証サーバーを外部に必要とします。反対に Personal モードはワイヤレスルーターやアクセスポイント (AP) 以外に何も必要とせず、全てのユーザーで同一のパスフレーズまたはパスワードを使います。

Enterprise モードではユーザー名とパスワードまたは証明書を使って Wi-Fi ネットワークにログインすることができます。個別のユーザーごとに動的で一意な暗号鍵が使われるため、ワイヤレスネットワークのユーザー間での盗聴ができなくなり、暗号強度が向上します。

サポートされているクライアント

ノート: NetworkManagerグラフィカルフロントエンドを使って WPA2 Enterprise のプロファイルを作成することができます。nmclinmtui はサポートしていませんが、既存のプロファイルを使うことは可能です。

アプリケーション一覧/インターネット#ネットワーク管理を見てください。

wpa_supplicant

WPA supplicant は直接設定したり、dhcp クライアントや systemd を組み合わせて動的アドレスなどで使うことができます。接続を設定する方法の詳細は /etc/wpa_supplicant/wpa_supplicant.conf のサンプルを見て下さい。

接続の設定ができたら、dhcp クライアントを使ってテストすることができます。例:

# dhcpcd interface

WPA supplicant が自動的に起動して接続を確立し、IP アドレスを取得します。

使用方法

このセクションでは他のネットワーククライアントを WPA2 Enterprise モードのワイヤレスアクセスポイントに接続させる設定を説明します。アクセスポイントを設定する方法はソフトウェアアクセスポイント#RADIUS を見てください。

Personal モードがパスフレーズの入力だけを求めるのに対して、Enterprise モードは複雑なクライアント設定を必要とします。クライアントにはサーバーの CA 証明書をインストールする必要があり (EAP-TLS を使う場合はユーザーごとの証明書も必須)、手動でワイヤレスのセキュリティと 802.1X 認証の設定をしなくてはなりません。

プロトコルの比較は こちらの表 を見て下さい。

警告: クライアントがサーバーの CA 証明書をチェックしなくても WPA2 Enterprise を使うことはできます。しかしながら、アクセスポイントの認証を行わないと、接続が中間者攻撃の対象になる可能性があります。接続のハンドシェイクが暗号化されていても、広く使われているセットアップではパスワードが平文で送信されたり簡単に解析できてしまう #MS-CHAPv2 が使っているためです。悪意のあるアクセスポイントにパスワードを送信すると、接続がプロキシサーバーに送られてしまう恐れがあります。

eduroam

eduroam (education roaming) は研究所や高等教育機関で使用するための国際ローミングサービスです。WPA2 Enterprise をベースにしています。

警告:
  • 以下のセクションで説明しているプロファイルを使う前に機関に接続方法について確認してください。サンプルプロファイルが動作したりセキュリティ基準を満たしている保証はありません。
  • 接続プロファイルを暗号化せずに保存する場合、root で chmod 600 profile を実行して root アカウントだけが読み込めるようにパーミッションを設定してください。
ヒント: NetworkManagerwpa_supplicant の設定は eduroam Configuration Assistant Tool で生成できます。

connman

connman を使うには接続する前に設定ファイルを用意する必要があります。例えば /var/lib/connman/eduroam.config を以下の内容で作成します:

eduroam.conf
[service_eduroam]
Type=wifi
Name=eduroam
EAP=peap
CACertFile=/etc/ssl/certs/certificate.cer
Phase2=MSCHAPV2
Identity=user@foo.edu
AnonymousIdentity=anonymous@foo.edu
Passphrase=password

wpa_supplicant.serviceconnman.service再起動して新しいネットワークに接続してください。

ノート:
  • オプションは大文字・小文字を区別します [1]
  • ユーザー名やパスワード, EAP, Phase2output などの様々な設定については eduroam ネットワークを運営している機関に聞いてください。

詳しくは connman-service.config(5) を参照。

netctl

netctl-eduroamAUR パッケージに簡単に設定するためのテンプレートが入っています。インストールしたら、テンプレートを /etc/netctl/examples/eduroam から /etc/netctl/eduroam にコピーして必要に応じて修正してください。

netctl は WPAConfigSection= ブロックによる wpa_supplicant の設定をサポートしています。詳しくは netctl.profile(5) を参照してください。

警告: 特殊なクォートルールが適用されます。netctl.profile(5)SPECIAL QUOTING RULES セクションを見てください。
ヒント: WPAConfigSection'ca_cert="/path/to/special/certificate.cer"' 行を追加することでカスタム証明書を指定できます。

トラブルシューティング

MS-CHAPv2

PEAP による MSCHAPv2 type-2 認証を行う WPA2-Enterprise 無線ネットワークは標準の ppp パッケージに加えて pptpclient を必要とする場合があります。ただし netctl は ppp-mppe がなくても機能します。どちらにしても、MSCHAPv2 は脆弱性があるため使用は推奨されません。[2][3] を参照してください。