Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2.4. nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成

手順
  1. 端末で nm-connection-editor を入力します。
    ~]$ nm-connection-editor
    Network Connections ウィンドウが表示されます。
  2. 編集するイーサネット接続を選択し、歯車アイコンをクリックしてください。「nm-connection-editor を使用した有線接続の設定」を参照してください。
  3. セキュリティー を選択してからボタンを ON にして、設定を有効にします。
  4. 以下のいずれかの認証方法を選択します。
    • トランスポートレイヤーセキュリティーを設定するには、TLS を選択して、「TLS の設定」に進みます。
    • Flexible Authentication through Secure Tunneling (セキュアトンネリングを介したフレキシブル認証)を設定するには、FAST を選択して、「Tunneled TLS の設定」に進みます。
    • Tunneled Transport Layer Security (TTLS または EAP-TTLS とも呼ぶ) を設定するには、トンネル化 TLS を選択して「Tunneled TLS の設定」に進みます。
    • Protected Extensible Authentication Protocol を設定するには 保護つき EAP (PEAP) を選択して「Protected EAP (PEAP) の設定」に進みます。

TLS の設定

トランスポート層セキュリティー (TLS) では、クライアントとサーバーは、TLS プロトコルを使用した相互認証が行われます。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理する公開鍵インフラストラクチャー (PKI) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応する TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを集め、手順を処理するデーモンである wpa_supplicant にこれらを渡します。このデーモンは、OpenSSL を使用して TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。両端が対応する一番高いバージョンが使用されます。
TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」で説明されている手順に従います。以下の設定が可能です。
アイデンティティー
このサーバーの識別子を入力します。
ユーザー証明書
個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
CA 証明書
X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
秘密鍵
プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
秘密鍵のパスワード
プライベートキー フィールドのプライベートキー用のパスワードを入力します。パスワードを表示を選択すると、入力時にパスワードが表示されます。

FAST の設定

FAST を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」で説明される手順に従います。以下の設定が可能です。
Anonymous Identity
このサーバーの識別子を入力します。
PAC プロビジョニング
チェックボックスを選択してから、匿名認証両方 のいずれかを選択します。
PAC file
クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
Inner authentication
GTC: Generic Token Card
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。

Tunneled TLS の設定

Tunneled TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」で説明されている手順に従います。以下の設定が可能です。
Anonymous identity
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
Inner authentication
PAP - パスワード認証プロトコル
MSCHAP - チャレンジ ハンドシェイク認証プロトコル
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
CHAP - チャレンジ ハンドシェイク認証プロトコル
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。

Protected EAP (PEAP) の設定

Protected EAP (PEAP) を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの構成」で説明されている手順に従います。以下の設定が可能です。
Anonymous Identity
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
PEAP version
使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
Inner authentication
MSCHAPv2 - Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
MD5 - メッセージダイジェスト 5、暗号化ハッシュ関数。
GTC: Generic Token Card
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。