小規模ネットワーク上のWPA2エンタープライズには、いくつのユーザー/サプリカント証明書が必要ですか?
ワイヤレスアクセス用にWPA2エンタープライズを実行しており、/etc/raddb/certs/READMEおよび freeRadiusサイトのハウツー の指示に従いました。 privacywonkサイト の説明も読みました。
問題は、FreeRadiusの説明とサイトでは、すべてのサプリカントに1つの(自己署名)証明書のみを使用することを提案しているようですが、privacywonk Webサイトでは、サプリカントごとに個別の証明書を使用することを提案しています。
一方と他方の利点はありますか?
私が考えることができる1つの利点は、特定のユーザーアカウントを取り消すことができることです(これは、サプリカントごとに1つずつ、複数の証明書がある場合に実行できます)。他のもの?
また、特別に作成された証明書をusersファイル内の特定のユーザーにどのように結び付けますか?
証明書の共有は、基本的にパスワードの共有と同じです。 1つの証明書が侵害された場合、証明書を変更するためにすべてのクライアントに移動して再構成する必要がありますが、クライアントごとに証明書がある場合は、侵害された証明書を単に取り消すことができます。また、共有証明書は、クライアントが他のクライアントとの間で送受信されるトラフィックを復号化できることを意味する場合がありますが、個別の証明書は、クライアントが自分のトラフィックのみを復号化できることを意味します。証明書を使用してWPA2を設定する場合は、適切に設定し、クライアントごとに証明書を生成することをお勧めします。
ここではEAP-TLSを使用していると想定しています。この場合、usersファイルでユーザーを具体的に構成しません。クライアントがCAによって署名された証明書とキー(つまり、CA_fileパラメーター)を持ち、CRLにないという事実は、クライアントがアクセスできることを意味します。
EAP-TLSを使用すると、ユーザーはユーザー名、証明書、および秘密鍵(パスワードで保護されている可能性があります)を提供します。ユーザー名を認証できるパスワードはないことに注意してください(つまり、ユーザーは任意のユーザー名を入力できます)。ユーザー名を使用してポリシーを決定する場合は、ユーザーが指定したユーザー名が正しいことを検証する必要があります。これは、証明書の生成時に共通名として使用するユーザー名を設定し、check_cert_cnパラメーターを有効にすることで実現できると思います。これにより、ユーザーが提供した証明書の共通名がユーザーが提供したユーザー名と一致しない場合、サーバーは要求を拒否します。次に、User-Nameに一致するusersファイルにエントリを追加して、ポリシーを定義できます。