Red Hat Training

A Red Hat training course is available for RHEL 8

第19章 802.1X 標準を使用したネットワークへの RHEL クライアントの認証

管理者は、IEEE 802.1X 標準に基づいてポートベースのネットワークアクセス制御 (NAC) を使用して、承認されていない LAN および Wi-Fi クライアントからネットワークを保護します。本セクションの手順では、ネットワーク認証を設定するさまざまなオプションを説明します。

19.1. nmcli を使用して、既存のイーサネット接続での 802.1X ネットワーク認証の設定

nmcli ユーティリティーを使用して、クライアントがネットワークに対して自己認証するように設定できます。この手順では、enp1s0 という名前の既存の NetworkManager イーサネット接続プロファイルで、MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol version 2) を使用する PEAP (Protected Extensible Authentication Protocol) 認証を設定する方法を説明します。

前提条件

  1. ネットワークには 802.1X ネットワーク認証が必要です。
  2. イーサネット接続プロファイルが NetworkManager に存在し、有効な IP 設定があります。
  3. クライアントがオーセンティケーターの証明書を検証する必要がある場合は、認証局 (CA) 証明書を /etc/pki/ca-trust/source/anchors/ ディレクトリーに保存する必要があります。
  4. wpa_supplicant パッケージがインストールされている。

手順

  1. Extensible Authentication Protocol (EAP) を peap に設定し、内部認証プロトコルを mschapv2 に設定し、ユーザー名を設定します。

    # nmcli connection modify enp1s0 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    1 つのコマンドで 802-1x.eap パラメーター、802-1x.phase2-auth パラメーター、および 802-1x.identity パラメーターを設定する必要があります。

  2. 必要に応じて、パスワードを設定に保存します。

    # nmcli connection modify enp1s0 802-1x.password パスワード
    重要

    デフォルトでは、NetworkManager は、パスワードを、/etc/sysconfig/network-scripts/keys-connection_name ファイルにクリアテキストで保存します。これは、root ユーザーのみが読み取れるようにします。ただし、設定ファイルのクリアテキストパスワードはセキュリティーリスクとなる可能性があります。

    セキュリティーを強化するには、802-1x.password-flags パラメーターを 0x1 に設定します。この設定では、GNOME デスクトップ環境または nm-applet が実行中のサーバーで、NetworkManager がこれらのサービスからパスワードを取得します。その他の場合は、NetworkManager によりパスワードの入力が求められます。

  3. クライアントがオーセンティケーターの証明書を検証する必要がある場合は、接続プロファイルの 802-1x.ca-cert パラメーターを CA 証明書のパスに設定します。

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    注記

    セキュリティー上の理由から、Red Hat はオーセンティケーターの証明書を使用して、クライアントがオーセンティケーターの ID を検証できるようにすることを推奨します。

  4. 接続プロファイルをアクティベートします。

    # nmcli connection up enp1s0

検証手順

  • ネットワーク認証が必要なネットワーク上のリソースにアクセスします。

関連情報

  • NetworkManager イーサネット接続プロファイルを追加する方法は、「 イーサネット接続の設定」を参照してください。
  • これ以降の 802.1X 関連のパラメーターと説明は、man ページの nm-settings(5)802-1x settings セクションを参照してください。
  • nmcli ユーティリティーの詳細は、 nmcli(1) の man ページを参照してください。