2.7. 接続セッティングの設定

このセクションでは、802.3 リンクセッティングのさまざまな設定、および NetworkManager を使ったその設定方法について説明します。

2.7.2. 802.1X セキュリティーの設定

802.1X セキュリティーとは、ポートベースのネットワークアクセス制御 (PNAC) 用の IEEE 基準の名前です。これは、WPA Enterprise とも呼ばれます。簡単に言うと、802.1X セキュリティーは、物理ネットワークから 論理ネットワーク へのアクセスを制御する手段です。論理ネットワークに参加するクライアントはすべて、正しい 802.1X 認証方法を使用してルーターなどのサーバーで認証を行う必要があります。
802.1X セキュリティーは通常、無線ネットワーク (WLAN) の保護に関連付けられますが、ネットワーク (LAN) への物理アクセスがある侵入者を阻止するためにも使用できます。以前は、DHCP サーバーは認証されていないユーザーに IP アドレスをリースしないように設定されていましたが、多くの理由でこれは非現実的で安全ではないため、今ではもう推奨されません。代わりに 802.1X セキュリティーを使用して、ポートベースの認証を介してネットワークを論理的に安全にしています。
802.1X は、WLAN と LAN のアクセス制御のためのフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの 1 つを運搬するエンベロープとして機能します。EAP のタイプとは、ネットワーク上でセキュリティーの達成方法を定義するプロトコルです。

GUI を使用した接続セッティング 802.1X セキュリティーの設定

有線もしくはワイヤレス接続に 802.1X セキュリティーを設定するには、ネットワーク ウィンドウを開き (「GUI を使用したネットワーク接続」を参照) 該当する以下の手順に従います。Super キーを押してアクティビティ画面を開き、Network と入力して ネットワーク 設定ツールを選択します。手順2.11「有線接続の場合」または 手順2.12「ワイヤレス接続の場合」に進みます。

手順2.11 有線接続の場合

  1. 左側のメニューから 有線 ネットワークインターフェースを選択します。
  2. プロファイルの追加 ボタンをクリックして 802.1X セキュリティーを設定する新規のネットワーク接続を追加するか、既存の接続を選択してギアのアイコンをクリックします。
  3. セキュリティ を選択してからボタンを オン にして設定を有効にします。
  4. 「トランスポートレイヤーセキュリティー (TLS) セッティングの設定」に進みます。

手順2.12 ワイヤレス接続の場合

  1. 左側のメニューから Wi-Fi ネットワークインターフェースを選択します。必要に応じてボタンを オン にして、ハードウェアのスイッチがオンになっていることをチェックします。
  2. 802.1X セキュリティーを設定する新規接続の接続名を選択するか、既存の接続プロファイルのギアのアイコンをクリックします。新規接続の場合、必要な認証手順を完了して接続を完了させてからギアのアイコンをクリックします。
  3. セキュリティ を選択します。
  4. ドロップダウンメニューから、LEAP動的 WEP (802.1X)WPA & WPA2 Enterprise いずれかのセキュリティー方法を選択します。
  5. セキュリティ ドロップダウンメニューの選択肢がどの extensible authentication protocol (EAP) タイプに対応するかについての説明は、「トランスポートレイヤーセキュリティー (TLS) セッティングの設定」を参照してください。

nmcli ツールを使用した接続セッティング 802.1X セキュリティーの設定

nmcli ツールを使用して ワイヤレス 接続を設定するには、以下の手順を実施します。
  1. 認証済みの key-mgmt (キーマネージメント) プロトコルを設定します。このプロトコルにより、セキュアな Wi-Fi 接続のための鍵のメカニズムが設定されます。プロパティーの詳細については、『nm-settings(5)』 man ページを参照してください。
  2. 802-1x 認証セッティングを設定します。トランスポートレイヤーセキュリティー (TLS) については、「トランスポートレイヤーセキュリティー (TLS) セッティングの設定」を参照してください。適切なプロパティーに関する説明については、「TLS の設定」を参照してください。

表2.1 802-1x 認証設定

802-1x 認証設定名前 
802-1x.identityアイデンティティー 
802-1x.ca-certCA 証明書 
802-1x.client-certユーザー証明書 
802-1x.private-keyプライベートキー 
802-1x.private-key-passwordプライベートキーのパスワード 
たとえば、EAP-TLS 認証メソッドを使用して WPA2 Enterprise を設定するには、以下の設定を適用します。 
nmcli c add type wifi ifname wlan0 con-name 'My Wifi Network' \
        802-11-wireless.ssid 'My Wifi' \
        802-11-wireless-security.key-mgmt wpa-eap \
        802-1x.eap tls \
        802-1x.identity identity@example.com \
        802-1x.ca-cert /etc/pki/my-wifi/ca.crt \
        802-1x.client-cert /etc/pki/my-wifi/client.crt \
        802-1x.private-key /etc/pki/my-wifi/client.key \
        802-1x.private-key-password s3cr3t

注記

nmcli ツールを使用して 有線 接続を設定するには、802-11-wireless.ssid および 802-11-wireless-security.key-mgmt 設定を除き、ワイヤレス 接続と同じ手順を実施します。

2.7.2.1. トランスポートレイヤーセキュリティー (TLS) セッティングの設定

TLS (トランスポートレイヤーセキュリティー) では、クライアントとサーバーは TLS プロトコルを使用して相互に認証します。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理するための PKI (パブリックキーインフラストラクチャー) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応する TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを集め、手順を処理するデーモンである wpa_supplicant にこれらを渡します。このデーモンは、OpenSSL を使って TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。このバージョンには、両方の末端でサポートされる一番高いバージョンが使用されます。
認証方法を選択する
以下のいずれかの認証方法を選択します。
  • トランスポートレイヤーセキュリティー を選択するには TLS を選択して「TLS の設定」に進みます。
  • Flexible Authentication via Secure Tunneling を選択するには FAST を選択して「FAST の設定」に進みます。
  • Tunneled Transport Layer Security (TTLS または EAP-TTLS とも呼ぶ) を設定するには トンネル化 TLS を選択して「トンネル化 TLS の設定」に進みます。
  • Protected Extensible Authentication Protocol を設定するには 保護つき EAP (PEAP) を選択して「保護つき EAP (PEAP) の設定」に進みます。

2.7.2.2. TLS の設定

アイデンティティー
このサーバーの識別子を入力します。
ユーザー証明書
個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
CA 証明書
X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
プライベートキー
プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
プライベートキーのパスワード
プライベートキー フィールドのプライベートキー用のパスワードを入力します。パスワードを表示を選択すると、入力時にパスワードが表示されます。

2.7.2.3. FAST の設定

匿名の識別子
このサーバーの識別子を入力します。
PAC プロビジョニング
チェックボックスを選択してから、匿名認証両方 のいずれかを選択します。
PAC ファイル
クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
内部認証
GTC: Generic Token Card
MSCHAPv2: Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

2.7.2.4. トンネル化 TLS の設定

匿名の識別子
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
内部認証
PAP: パスワード認証プロトコル
MSCHAP: チャレンジ ハンドシェイク認証プロトコル
MSCHAPv2: Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
CHAP: チャレンジ ハンドシェイク認証プロトコル
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

2.7.2.5. 保護つき EAP (PEAP) の設定

匿名の識別子
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
PEAP バージョン
使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
内部認証
MSCHAPv2: Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
MD5: メッセージダイジェスト 5、暗号化ハッシュ関数。
GTC: Generic Token Card
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

2.7.3. Wi-Fi セキュリティーの設定

セキュリティ
なし: Wi-Fi 接続を暗号化しません。
WEP 40/128-bit キー: IEEE 802.11 標準からの Wired Equivalent Privacy (WEP)。単一の事前共有キー (PSK) を使用。
WEP 128-bit パスフレーズ: パスフレーズの MD5 ハッシュを使用して WEP キーを引き出します。
LEAP: Cisco Systems の Lightweight Extensible Authentication Protocol。
動的 WEP (802.1X): WEP キーが動的に変更されます。「トランスポートレイヤーセキュリティー (TLS) セッティングの設定」で使用します。
WPA & WPA2 Personal: IEEE 802.11i 標準からの Wi-Fi Protected Access (WPA)。WEP に代わるもの。802.11i-2004 標準からの Wi-Fi Protected Access II (WPA2)。パーソナルモードは、事前共有キー (WPA-PSK) を使用。
WPA & WPA2 Enterprise: RADUIS 認証サーバーで使用する WPA で、IEEE 802.1X ネットワークアクセス制御を提供します。「トランスポートレイヤーセキュリティー (TLS) セッティングの設定」で使用します。
パスワード
認証プロセスで使用するパスワードを入力します。

2.7.4. wpa_supplicant および NetworkManager による MACsec の使用

Media Access Control Security (MACsec または IEEE 802.1AE) は、LAN にある全トラフィックを GCM-AES-128 アルゴリズムで暗号化および認証します。MACsec は、IP だけでなく、アドレス解決プロトコル (ARP)、近隣検索 (ND)、または DHCP も保護することができます。IPsec はネットワーク層 (レイヤー 3) で機能し、SSL または TLS はトランスポート層 (レイヤー 4) で機能しますが、MACsec はデータリンク層 (レイヤー 2) で機能します。MACsec を他のネットワーキング層のセキュリティープロトコルと組み合わせて、それらの標準が提供する異なるセキュリティー機能を活用してください。
事前に共有された接続アソシエーションキー/CAK 名 (CAK/CKN) ペアを使用して認証を行うスイッチの MACsec を有効にするには、以下の手順を実施します。
  1. CAK/CKN ペアを作成します。以下のコマンドにより、16 バイトのキーが 16 進数表記で生成されます。 
    ~]$ dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%02x"'
  2. wpa_supplicant.conf 設定ファイルを作成し、以下の行を追加します。 
    ctrl_interface=/var/run/wpa_supplicant
eapol_version=3
ap_scan=0
fast_reauth=1

network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1

        mka_cak=0011... # 16 bytes hexadecimal
        mka_ckn=2233... # 32 bytes hexadecimal
}
    前の手順で作成した値を使用して、wpa_supplicant.conf 設定ファイルの mka_cak および mka_ckn 行を完成させます。
    詳細は、wpa_supplicant.conf(5) man ページを参照してください。
  3. eth0 を使ってネットワークに接続している場合は、以下のコマンドを使用して wpa_supplicant を開始します。 
    ~]# wpa_supplicant -i eth0 -Dmacsec_linux -c wpa_supplicant.conf
Red Hat では、wpa_supplicant.conf ファイルを作成して編集するのではなく、nmcli コマンドを使用して前の手順と同じように wpa_supplicant を設定することを推奨します。以下の例は、すでに 16 バイトの 16 進数 CAK ($MKA_CAK) および 32 バイトの 16進数 CKN ($MKA_CKN) が作成されていることを前提としています。 
~]# nmcli connection add type macsec \
      con-name test-macsec+ ifname macsec0 \
      connection.autoconnect no \
      macsec.parent eth0 macsec.mode psk \
      macsec.mka-cak $MKA_CAK \
      macsec.mka-cak-flags 0 \
      macsec.mka-ckn $MKA_CKN

~]# nmcli connection up test-macsec+
この手順の後に、macsec0 デバイスを設定してネットワーク設定に使用する必要があります。
詳細は、「What’s new in MACsec: setting up MACsec using wpa_supplicant and (optionally) NetworkManager」の記事を参照してください。また、MACsec ネットワークのアーキテクチャー、ユースケースのシナリオ、設定例に関する詳しい情報は、「MACsec: a different solution to encrypt network traffic」の記事を参照してください。

2.7.5. PPP (ポイントツーポイント) セッティングの設定

認証方法
多くの場合、プロバイダーの PPP サーバーは許可されたすべての認証方法をサポートしています。接続に失敗する場合は、PPP サーバーの設定に応じて一部の認証方法のサポートを無効にする必要があります。
MPPE (ポイントツーポイント暗号化) を使用
Microsoft のポイントツーポイント暗号化プロトコル (RFC 3078)。
BSD データ圧縮を許可する
PPP BSD 圧縮プロトコル (RFC 1977)。
Deflate データ圧縮を許可する
PPP Deflate プロトコル (RFC 1979)。
TCP ヘッダー圧縮を使用
低スピードシリアルリンク用に TCP/IP ヘッダーを圧縮します (RFC 1144)。
PPP echo のパケットを送信
ループバックテスト用の LCP Echo 要求および Echo 応答コード (RFC 1661)。

注記

NetworkManager ではオプションとして PPP がサポートされるので、PPP セッティングを設定するには、事前に NetworkManager-ppp パッケージがインストールされている必要があります。

2.7.6. IPv4 セッティングの設定

IPv4 のセッティング タブでは、ネットワークへの接続に使用する方式を設定することや、必要に応じて IP アドレス、ルートおよび DNS 情報を入力することができます。IPv4 のセッティング タブは、次に挙げる接続の種類のいずれかを作成して修正する際に利用可能になります。有線、ワイヤレス、モバイルブロードバンド、VPN、DSL。IPv6 アドレスを設定する必要がある場合は、「IPv6 セッティングの設定」を参照してください。静的ルートを設定する必要がある場合は、ルート ボタンをクリックして「ルートの設定」に進みます。
DHCP を使用して DHCP サーバーから動的 IP アドレスを取得する場合は、方法自動 (DHCP)に設定するだけです。

方式の設定

接続の種類別で利用可能な IPv4 方式

方式 ドロップダウンメニューをクリックすると、設定している接続の種類によって以下の IPv4 接続方式のいずれかを選択できます。関連のある接続の種類に応じてすべての方式がここに一覧表示されています。
方式
自動 (DHCP): 接続しているネットワークが IP アドレスの割り当てに DHCP サーバーを使用する場合は、このオプションを選択します。DHCP クライアント ID フィールドの記入は必要ありません。
自動 (DHCP) アドレス専用: 接続しているネットワークが IP アドレスの割り当てに DHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
ローカルへのリンク専用: 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたくない場合に、このオプションを選択します。RFC 3927に従って、接頭辞 169.254/16 の付いたランダムなアドレスが割り当てられます。
他のコンピューターへ共有: 設定中のインターフェースがインターネットまたは WAN 接続の共有用である場合は、このオプションを選択します。インターフェースには 10.42.x.1/24 の範囲内のアドレスが割り当てられ、DHCP および DNS サーバーが起動し、ネットワークアドレス変換 (NAT) でシステム上のデフォルトのネットワーク接続にインターフェースが接続されます。
無効になっています: IPv4 はこの接続で無効になります。
有線、ワイヤレス、DSL 接続の方式
手動: IP アドレスを手動で割り当てたい場合は、このオプションを選択します。
モバイルブロードバンド接続の方式
自動 (PPP): 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てる場合は、このオプションを選択します。
自動 (PPP) アドレスのみ: 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てるものの、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
VPN 接続の方式
自動 (VPN): 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てる場合は、このオプションを選択します。
自動 (VPN) アドレス専用: 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てるものの、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
DSL 接続の方式
自動 (PPPoE): 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てる場合は、このオプションを選択します。
自動 (PPPoE) アドレス専用: 接続しているネットワークが IP アドレスと DNS サーバーを自動で割り当てるものの、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
ネットワーク接続の静的ルート設定に関する詳細は、「ルートの設定」を参照してください。

2.7.7. IPv6 セッティングの設定

方式
無視する: この接続の IPv6 セッティングを無視したい場合は、このオプションを選択します。
自動: SLAAC を使って、ハードウェアのアドレスおよび ルーターアドバタイズ (RA) に基づいて自動のステートレス設定を作成する場合は、このオプションを選択します。
自動、アドレスのみ: 接続中のネットワークが ルーターアドバタイズ (RA) を使用して自動のステートレス設定を作成するものの、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
自動、DHCP のみ: RAを使用しないで、DHCPv6 からの情報を直接要求してステートフルな設定を作成する場合は、このオプションを選択します。
手動: IP アドレスを手動で割り当てたい場合は、このオプションを選択します。
ローカルへのリンク専用: 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたくない場合に、このオプションを選択します。RFC 4862に従って、接頭辞 FE80::0 の付いたランダムなアドレスが割り当てられます。
アドレス
DNS サーバー: コンマ区切りの DNS サーバーのリストを入力します。
ドメインを検索: コンマで区切られたドメインコントローラーのリストを入力します。
ネットワーク接続の静的ルート設定に関する詳細は、「ルートの設定」を参照してください。

2.7.8. ルートの設定

ホストのルーティングテーブルは、ネットワークに直接接続されているルートで自動的に設定されます。このルートは、upの状態にあるネットワークインターフェースを確認することで学習されます。このセクションでは、VPN トンネルや専用線などの媒介ネットワークや接続を移動してアクセスできるネットワークやホストへの静的ルートの入力方法について説明します。リモートネットワークやホストにアクセスするために、トラフィックの送信先となるゲートウェイのアドレスがシステムに付与されます。
ホストのインターフェースが DHCP で設定される際には通常、アップストリームネットワークやインターネットにつながるゲートウェイのアドレスが割り当てられます。このゲートウェイは、システムに既知の別のすぐれたルートがない場合 (またルーティングテーブルにない場合) に使用するゲートウェイなので、通常これはデフォルトゲートウェイと呼ばれます。ネットワーク管理者は、ネットワークの最初もしくは最後のホスト IP アドレスをゲートウェイアドレスとして使用する場合が多くあります。たとえば、192.168.10.1192.168.10.254 などです。ネットワーク自体を表すアドレスと混同しないようにしてください。この例では、192.168.10.0 であったり、サブネットのブロードキャストアドレスとなる 192.168.10.255 がこれに当たります。

静的ルートの設定

静的ルートを設定するには、設定する接続のIPv4 または IPv6 セッティングウィンドウを開きます。これに関しては、「GUI を使用したネットワーク接続」を参照してください。
ルート
アドレス: リモートネットワーク、サブネット、またはホストの IP アドレスを入力します。
ネットマスク: 上記で入力した IP アドレスのネットマスクまたプレフィックス長。
ゲートウェイ: 上記で入力したリモートネットワーク、サブネット、またはホストにつながるゲートウェイの IP アドレスです。
メトリック: このルートに与える優先値であるネットワークコスト。高い値よりも低い値の方が望ましい。
自動
自動が オン になっている場合は、RA または DHCP からのルートが使用されますが、追加の静的ルートを追加することもできます。これが オフ の場合は、ユーザーが定義した静的ルートのみが使用されます。
この接続はネットワーク上のリソースのためだけに使用
このチェックボックスを選択すると、この接続がデフォルトルートになりません。よくある例は、ヘッドオフィスへの接続が VPN トンネルや専用線で、インターネット向けトラフィックにこの接続を使用したくない場合です。このオプションを選択すると、この接続で自動的に学習されたルートを使用することが明確なトラフィックか、手動で入力されたトラフィックのみがこの接続を経由します。