Red Hat Training
A Red Hat training course is available for RHEL 8
18.2. nmstatectl を使用した 802.1X ネットワーク認証による静的イーサネット接続の設定
nmstate ユーティリティーを使用して、802.1X 規格を使用してクライアントを認証するイーサネット接続を作成できます。たとえば、以下の設定で enp1s0 インターフェイスのイーサネット接続を追加します。
-
静的 IPv4 アドレス: サブネットマスクが
/24の192.0.2.1 -
静的 IPv6 アドレス -
2001:db8:1::1(/64サブネットマスクあり) -
IPv4 デフォルトゲートウェイ -
192.0.2.254 -
IPv6 デフォルトゲートウェイ -
2001:db8:1::fffe -
IPv4 DNS サーバー -
192.0.2.200 -
IPv6 DNS サーバー -
2001:db8:1::ffbb -
DNS 検索ドメイン -
example.com -
TLSExtensible Authentication Protocol (EAP) を使用した 802.1X ネットワーク認証
注記
nmstate ライブラリーは、TLS EAP メソッドのみに対応します。
前提条件
- ネットワークは 802.1X ネットワーク認証をサポートしている。
- 管理ノードは NetworkManager を使用している。
TLS 認証に必要な以下のファイルがクライアントにある。
-
クライアント鍵が保存されているのは
/etc/pki/tls/private/client.keyファイルで、そのファイルは所有されており、rootユーザーのみが読み取り可能です。 -
クライアント証明書は
/etc/pki/tls/certs/client.crtに保存されます。 -
認証局 (CA) 証明書は、
/etc/pki/tls/certs/ca.crtファイルに保存されています。
-
クライアント鍵が保存されているのは
手順
以下の内容を含む YAML ファイル (例:
~/create-ethernet-profile.yml) を作成します。--- interfaces: - name: enp1s0 type: ethernet state: up ipv4: enabled: true address: - ip: 192.0.2.1 prefix-length: 24 dhcp: false ipv6: enabled: true address: - ip: 2001:db8:1::1 prefix-length: 64 autoconf: false dhcp: false 802.1x: ca-cert: /etc/pki/tls/certs/ca.crt client-cert: /etc/pki/tls/certs/client.crt eap-methods: - tls identity: client.example.org private-key: /etc/pki/tls/private/client.key private-key-password: password routes: config: - destination: 0.0.0.0/0 next-hop-address: 192.0.2.254 next-hop-interface: enp1s0 - destination: ::/0 next-hop-address: 2001:db8:1::fffe next-hop-interface: enp1s0 dns-resolver: config: search: - example.com server: - 192.0.2.200 - 2001:db8:1::ffbb
設定をシステムに適用します。
# nmstatectl apply ~/create-ethernet-profile.yml
検証
- ネットワーク認証が必要なネットワーク上のリソースにアクセスします。