5.2. 802.1X セキュリティーの設定

802.1X セキュリティーとは、ポートベースのネットワークアクセス制御 (PNAC) 用の IEEE 基準の名前です。これは、WPA Enterprise とも呼ばれます。802.1X セキュリティーは、物理ネットワークから 論理ネットワーク へのアクセスを制御する手段です。論理ネットワークに参加するクライアントはすべて、正しい 802.1X 認証方法を使用してルーターなどのサーバーで認証を行う必要があります。
802.1X セキュリティーは、ほとんどの場合、ワイヤレスネットワーク (WLAN) のセキュリティー保護に関連付けられていますが、ネットワーク (LAN) に物理的にアクセスする侵入者が侵入するのを防ぐためにも使用できます。
これまで、DHCP サーバーは、許可されていないユーザーに IP アドレスをリースしないように設定されていましたが、実現が困難で、安全ではないため、推奨されません。代わりに、802.1X セキュリティーを使用して、ポートベースの認証を通じて、論理的に安全なネットワークを確保します。
802.1X は、WLAN と LAN のアクセス制御のためのフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの 1 つを運搬するエンベロープとして機能します。EAP のタイプとは、ネットワーク上でセキュリティーの達成方法を定義するプロトコルです。

5.2.1. nmcli を使用した Wi-Fi 用の 802.1X セキュリティーの構成

手順
  1. 認証済みの key-mgmt (鍵管理) プロトコルを設定します。このプロトコルにより、安全な wifi 接続のための鍵のメカニズムが設定されます。プロパティーの詳細は、man ページの 『nm-settings(5)』 を参照してください。
  2. 802-1x 認証設定を構成します。TLS (Transport Layer Security) 認証は「TLS の設定」を参照してください。

表5.1 802-1x 認証設定

802-1x 認証設定名前 
802-1x.identityアイデンティティー 
802-1x.ca-certCA 証明書 
802-1x.client-certユーザー証明書 
802-1x.private-keyプライベートキー 
802-1x.private-key-passwordプライベートキーのパスワード 
たとえば、EAP-TLS 認証メソッドを使用して WPA2 Enterprise を設定するには、以下の設定を適用します。
nmcli c add type wifi ifname wlan0 con-name 'My Wifi Network' \
      802-11-wireless.ssid 'My Wifi' \
      802-11-wireless-security.key-mgmt wpa-eap \
      802-1x.eap tls \
      802-1x.identity identity@example.com \
      802-1x.ca-cert /etc/pki/my-wifi/ca.crt \
      802-1x.client-cert /etc/pki/my-wifi/client.crt \
      802-1x.private-key /etc/pki/my-wifi/client.key \
      802-1x.private-key-password s3cr3t

5.2.2. nmcli を使用した有線用の 802.1X セキュリティーの構成

nmcli ツールを使用して 有線 接続を設定するには、802-11-wireless.ssid および 802-11-wireless-security.key-mgmt 設定を除き、ワイヤレス 接続と同じ手順を実施します。

5.2.3. GUI を使用した Wi-Fi 用の 802.1X セキュリティーの構成

手順
  1. Network ウィンドウを開きます (control-center GUI を使用したネットワーク接続」 を参照)。
  2. 右側のメニューから Wi-Fi ネットワークインターフェースを選択します。必要に応じて電源ボタンを オン にして、ハードウェアのスイッチがオンになっていることをチェックします。
  3. 802.1X セキュリティーを設定する新規接続の接続名を選択するか、既存の接続プロファイルのギアのアイコンをクリックします。新規接続の場合、必要な認証手順を完了して接続を完了させてからギアのアイコンをクリックします。
  4. セキュリティ を選択します。
    以下の設定オプションが利用できます。
    セキュリティー
    なし - Wi-Fi 接続を暗号化しません。
    WEP 40/128-bit キー - IEEE 802.11 標準からの Wired Equivalent Privacy (WEP)。単一の事前共有キー (PSK) を使用。
    WEP 128-bit パスフレーズ - パスフレーズの MD5 ハッシュを使用して WEP キーを引き出します。
    LEAP - Cisco Systems の Lightweight Extensible Authentication Protocol。
    動的 WEP (802.1X) - WEP キーは動的に変更します。「TLS の設定」 とともに使用します。
    WPA & WPA2 Personal - IEEE 802.11i 標準からの Wi-Fi Protected Access (WPA)。WEP に代わるもの。802.11i-2004 標準からの Wi-Fi Protected Access II (WPA2)。パーソナルモードは、事前共有キー (WPA-PSK) を使用。
    WPA & WPA2 Enterprise - IEEE 802.1X ネットワークアクセス制御を提供するために RADIUS 認証サーバーとともに使用する WPA。「TLS の設定」 とともに使用します。
    パスワード
    認証プロセスで使用するパスワードを入力します。
  5. ドロップダウンメニューから、LEAP動的 WEP (802.1X)WPA & WPA2 Enterprise いずれかのセキュリティー方法を選択します。
Security ドロップダウンメニューでの選択に対応する 拡張認証プロトコル (EAP) タイプの説明は、「TLS の設定」 を参照してください。

5.2.4. nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成

手順
  1. 端末で nm-connection-editor を入力します。
    ~]$ nm-connection-editor
    Network Connections ウィンドウが表示されます。
  2. 編集するイーサネット接続を選択し、歯車アイコンをクリックしてください。「nm-connection-editor を使用した有線接続の設定」を参照してください。
  3. セキュリティー を選択してから電源ボタンを ON にして、設定を有効にします。
  4. 以下のいずれかの認証方法を選択します。
    • トランスポートレイヤーセキュリティーを設定するには、TLS を選択して、「TLS の設定」に進みます。
    • Flexible Authentication through Secure Tunneling (セキュアトンネリングを介したフレキシブル認証)を設定するには、FAST を選択して、「Tunneled TLS の設定」に進みます。
    • Tunneled Transport Layer Security (TTLS または EAP-TTLS とも呼ぶ) を設定するには、トンネル化 TLS を選択して「Tunneled TLS の設定」に進みます。
    • Protected Extensible Authentication Protocol を設定するには 保護つき EAP (PEAP) を選択して「Protected EAP (PEAP) の設定」に進みます。

TLS の設定

TLS (トランスポートレイヤーセキュリティー) では、クライアントとサーバーは TLS プロトコルを使用して相互に認証します。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、鍵情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理するための PKI (パブリックキーインフラストラクチャー) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応する TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを集め、手順を処理するデーモンである wpa_supplicant にこれらを渡します。このデーモンは、OpenSSL を使って TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。このバージョンには、両方の末端でサポートされる一番高いバージョンが使用されます。
TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」 で説明されている手順に従います。以下の設定が可能です。
アイデンティティー
このサーバーの識別子を入力します。
ユーザー証明書
個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
CA 証明書
X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
プライベートキー
プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
プライベートキーのパスワード
プライベートキー フィールドのプライベートキー用のパスワードを入力します。パスワードを表示を選択すると、入力時にパスワードが表示されます。

FAST の設定

FAST を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」で説明されている手順に従います。以下の設定が可能です。
匿名の識別子
このサーバーの識別子を入力します。
PAC プロビジョニング
チェックボックスを選択してから、匿名認証両方 のいずれかを選択します。
PAC ファイル
クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
内部認証
GTC: Generic Token Card
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

Tunneled TLS の設定

Tunneled TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」 で説明されている手順に従います。以下の設定が可能です。
匿名の識別子
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
内部認証
PAP - パスワード認証プロトコル
MSCHAP - チャレンジ ハンドシェイク認証プロトコル
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
CHAP - チャレンジ ハンドシェイク認証プロトコル
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

Protected EAP (PEAP) の設定

Protected EAP (PEAP) を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」 で説明されている手順に従います。以下の設定が可能です。
匿名の識別子
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
PEAP バージョン
使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
内部認証
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
MD5 - メッセージダイジェスト 5、暗号化ハッシュ関数。
GTC: Generic Token Card
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。