Red Hat Training

A Red Hat training course is available for RHEL 8

19.3. nmcli を使用した、既存の Wi-Fi 接続での 802.1X ネットワーク認証の設定

nmcli ユーティリティーを使用して、クライアントがネットワークに対して自己認証するように設定できます。この手順では、wlp1s0 という名前の既存の NetworkManager Wi-Fi 接続プロファイルで、MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol version 2) を使用する PEAP (Protected Extensible Authentication Protocol) 認証を設定する方法を説明します。

前提条件

  1. ネットワークには 802.1X ネットワーク認証が必要です。
  2. Wi-Fi 接続プロファイルが NetworkManager に存在し、有効な IP 設定があります。
  3. クライアントがオーセンティケーターの証明書を検証する必要がある場合は、認証局 (CA) 証明書を /etc/pki/ca-trust/source/anchors/ ディレクトリーに保存する必要があります。
  4. wpa_supplicant パッケージがインストールされている。

手順

  1. Wi-Fi セキュリティーモードを wpa-eap に設定し、Extensible Authentication Protocol (EAP) を peap に設定し、内部認証プロトコルを mschapv2 に設定し、ユーザー名を設定します。

    # nmcli connection modify wpl1s0 802-11-wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name

    1 つのコマンドで 802-11-wireless-security.key-mgmt パラメーター、802-1x.eap パラメーター、802-1x.phase2-auth パラメーター、および 802-1x.identity パラメーターを設定する必要があります。

  2. 必要に応じて、パスワードを設定に保存します。

    # nmcli connection modify wpl1s0 802-1x.password パスワード
    重要

    デフォルトでは、NetworkManager は、パスワードを、/etc/sysconfig/network-scripts/keys-connection_name ファイルにクリアテキストで保存します。これは、root ユーザーのみが読み取れるようにします。ただし、設定ファイルのクリアテキストパスワードはセキュリティーリスクとなる可能性があります。

    セキュリティーを強化するには、802-1x.password-flags パラメーターを 0x1 に設定します。この設定では、GNOME デスクトップ環境または nm-applet が実行中のサーバーで、NetworkManager がこれらのサービスからパスワードを取得します。その他の場合は、NetworkManager によりパスワードの入力が求められます。

  3. クライアントがオーセンティケーターの証明書を検証する必要がある場合は、接続プロファイルの 802-1x.ca-cert パラメーターを CA 証明書のパスに設定します。

    # nmcli connection modify wpl1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    注記

    セキュリティー上の理由から、Red Hat はオーセンティケーターの証明書を使用して、クライアントがオーセンティケーターの ID を検証できるようにすることを推奨します。

  4. 接続プロファイルをアクティベートします。

    # nmcli connection up wpl1s0

検証手順

  • ネットワーク認証が必要なネットワーク上のリソースにアクセスします。

関連情報

  • NetworkManager イーサネット接続プロファイルを追加する方法は、「 Wi-Fi 接続の管理」 を参照してください。
  • これ以降の 802.1X 関連のパラメーターと説明は、man ページの nm-settings(5)802-1x settings セクションを参照してください。
  • nmcli ユーティリティーの詳細は、 nmcli(1) の man ページを参照してください。