CentOSで802.1x(PEAP/証明書)の設定方法

cancanIMGL1547_TP_V

前回の記事「CentOSで「有線」の802.1xのコマンドライン設定方法」の続きです。

せっかくなのでユーザ認証だけではなく証明書の設定方法も残しておきます。

スポンサーリンク
レクタングル大

PEAP方式の証明書について

先に言っておきますが、この話は「有線の802.1x」だろうが「無線の802.1x」だろうが、内容に変わりはありません。

802.1xのPEAP方式を使用してRadiusサーバと認証・認可をする場合、利用者側(サプリカント側)はユーザID/パスワードで認証・認可されます。

一方、サーバー側の認証は証明書を使用して行うことが可能。

ここでの「サーバー側の認証」というのは「利用者側」が「接続しているサーバーが真に想定しているサーバーである」事を確認するためのものです。サーバー側にとっては殆どどうだって良いことです。気にしているのは利用者側です。

サーバー側の正真性(誠に想定しているサーバーである)にこだわらなければ、利用者側のユーザID/パスワードを使用するだけでのPEAP認証も可能です。(というか、前回の検証で初めて知りました)

CentOSで「有線」の802.1xのコマンドライン設定方法
久しぶりに技術関係のネタです。 Linux(CentOS)で802.1xの設定方法を紹介します。 無線ではなく「有線」です。 ...

前置きはこのくらいにして・・・

前回の記事で「ユーザID/パスワードだけのCentOSでのPEAP方式設定方法」を紹介しました。今回はそれに若干コンフィグを付け加えて証明書によるサーバー認証もやってみます。

前提として

  • サーバーから証明書を貰っていること
  • 証明書を利用者(CentOS)のローカルに保存していること

とします。

/etc/wpa_supplicant/wpa_supplicant.confの修正

前回と同様に完全にコピペして頂いて結構です。

追加しているのは「ca_cert=”/root/cert/radiuscert.pem”」の部分だけです。パスは実際に証明書を保存した場所を指定してください。(今回はローカルの検証なので適当に保存しています)

成功例・失敗例の出力結果

では上記の設定を実行した後、手動でwpa_supplicantを起動してみましょう。

成功した場合(利用者が持っている証明書とサーバー側の秘密鍵の組み合わせが成立した場合)、以下のメッセージが表示されて802.1x認証が進むはずです。

一方、指定した証明書とサーバー側の秘密鍵の組み合わせが成立しなかった場合、以下のメッセージが表示されてサーバーの認証が失敗します。(今回は証明書の文字を一つ変更してみました)

勉強を再会する方へ
スポンサーリンク
レクタングル大
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">