Red Hat Training

A Red Hat training course is available for RHEL 8

17.8. FreeRADIUS サーバーまたはオーセンティケーターに対する EAP-TLS 認証のテスト

拡張認証プロトコル (EAP) Transport Layer Security (EAP-TLS) を使用した認証が期待どおりに機能するかどうかをテストするには、次の手順を実行します。

  • FreeRADIUS サーバーをセットアップした後
  • hostapd サービスを 802.1X ネットワーク認証のオーセンティケーターとして設定した後。

この手順で使用されるテストユーティリティーの出力は、EAP 通信に関する追加情報を提供し、問題のデバッグに役立ちます。

前提条件

  • 認証する場合:

    • FreeRADIUS サーバー:

      • hostapd パッケージによって提供される eapol_test ユーティリティーがインストールされます。
      • この手順を実行するクライアントは、FreeRADIUS サーバーのクライアントデータベースで承認されています。
    • 同じ名前のパッケージによって提供されるオーセンティケーター、wpa_supplicant ユーティリティーがインストールされます。
  • 認証局 (CA) 証明書を /etc/pki/tls/certs/ca.pem ファイルに保存しました。
  • クライアント証明書を発行した CA は、FreeRADIUS サーバーのサーバー証明書を発行した CA と同じです。
  • クライアント証明書を /etc/pki/tls/certs/client.pem ファイルに保存しました。
  • クライアントの秘密鍵を /etc/pki/tls/private/client.key に保存しました

手順

  1. 次のコンテンツで /etc/wpa_supplicant/wpa_supplicant-TLS.conf ファイルを作成します。

    ap_scan=0
    
    network={
        eap=TLS
        eapol_flags=0
        key_mgmt=IEEE8021X
    
        identity="user@example.org"
        client_cert="/etc/pki/tls/certs/client.pem"
        private_key="/etc/pki/tls/private/client.key"
        private_key_passwd="password_on_private_key"
    
        # CA certificate to validate the RADIUS server's identity
        ca_cert="/etc/pki/tls/certs/ca.pem"
    }
  2. 認証するには:

    • FreeRADIUS サーバーには、次のように入力します。

      # eapol_test -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -a 192.0.2.1 -s client_password
      ...
      EAP: Status notification: remote certificate verification (param=success)
      ...
      CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
      ...
      SUCCESS

      -a オプションは FreeRADIUS サーバーの IP アドレスを定義し、-s オプションは FreeRADIUS サーバーのクライアント設定でコマンドを実行するホストのパスワードを指定します。

    • オーセンティケーター。次のように入力します。

      # wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TLS.conf -D wired -i enp0s31f6
      ...
      enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
      ...

      -i オプションは、wpa_supplicant が LAN(EAPOL) パケットを介して拡張認証プロトコルを送信するネットワークインターフェイス名を指定します。

      デバッグ情報の詳細は、コマンドに -d オプションを渡してください。

関連情報

  • /usr/share/doc/wpa_supplicant/wpa_supplicant.conf file