IEEE802.1X認証を導入してみた会津大学 学部二年 しんぶんぶん(@shinbunbun_)
View Slide
自己紹介● 人間● 会津大学学部二年● LINE API Expert● フロントエンドもバックエンドもインフラ/ネットワークもだいたいなんでもやるけど、最近はバックエンド(Rust)とインフラをやってる● ピクシブ株式会社インフラ部SAチーム 長期インターンシップ● 趣味: Twitter, カラオケ, 散財全般(主に服)@shinbunbun_https://shinbunbun.info
みなさん、Wi-Fiちゃんと認証してますか?
Wi-Fiの認証方式について
WEP• Wired Equivalent Privacy• 危殆化したため現在は使われていない• 詳細は省略
WPA-Personal• WEPが危殆化したので代替に作られたプロトコル• WPA-Personal(TKIP)• PSKモードを使い、クライアントには全て同じパスフレーズが使われる• WPA2-Personal(TKIP, AES)• AES方式で使われているプロトコルはCCMP• PSKを使用• WPA3-Personal(AES)• PSKモードのかわりにSAEを使用
WPA-Enterprise• IEEE 802.1X/EAP認証を使用• 資料間に合わなそうなので詳細は省くと、ユーザー名&パスワードとかクライアント証明書とかで認証できるやつ
https://ja.wikipedia.org/wiki/IEEE_802.1X
実装方法
まずはRadiusサーバを立ててみよう!
今回立てたRadiusサーバについて• freeradiusというOSSを使用• freeradius/freeradius-serveというDockerイメージを使用• freeradiusの環境が入っている
リポジトリをclone
コンテナをビルド
コンテナを起動これで認証サーバがたちました!
ルーター(Radiusクライアント)の設定をしよう!
TP-Linkのルーターを使用
超簡単
サプリカントを接続してみよう!
接続完了!
設定ファイルの解説
client.conf• 接続を許可するネットワークや、Radiusサーバに接続する際に必要なシークレットを記述
raddb/mods-config/files/authorize• サプリカントの認証に使用するユーザー名とパスワードを記述
今後の展望
オレオレ証明書● 認証サーバがオレオレ証明書になってる● 実家にPKI構築してるので、ちゃんと証明書を発行したい
ユーザー認証基盤を作成• ユーザー認証情報を設定ファイルにベタ書きしてる• LDAPとかで認証基盤つくって連携させたい
ガチ適当なLTになってごめんなさい🙏