Help us understand the problem. What is going on with this article?

Raspberry PiをRADIUSサーバにしてWi-FiアクセスポイントにWPA2エンタープライズによるユーザ認証をさせる

経緯

Wi-Fi接続にてユーザ単位の認証を行い、端末側もネットワークの正当性を確認できるようにするため、WPA2エンタープライズ(WPA2-EAP)の環境を整備した際の記録です。

WPA2-EAPの認証方式には複数ありますが、ここでは普及度の高いPEAPを用いました。認証方式について詳しくは、以下のページが参考になります。

筆者の環境

  • Raspberry Pi
    • Raspberry Pi 3 Model B Rev 1.2
    • Raspbian GNU/Linux 9.4 (stretch)
  • Wi-Fiアクセスポイント
    • TP-LINK Archer C9 (ブリッジモード)
  • Wi-Fiクライアント
    • macOS Catalina
    • iOS 13
    • Android 10

freeradius の設定

Raspberry PI の Wi-Fi をオフにする場合は、以下のコマンドを実行します。

sudo iwconfig wlan0 txpower off

RADIUSサーバのfreeradiusをインストールします。

sudo apt-get install freeradius
sudo systemctl enable freeradius

EAPで用いるプロトコルを、以下の通り設定します。

/etc/freeradius/3.0/mods-available/eap
eap {
  ...
  default_eap_type = peap
  ...
}

ログ(/var/log/freeradius/radius.log)に認証の結果が表示されるように、以下の通り設定します。

/etc/freeradius/3.0/radiusd.conf
log {
  ...
  auth = yes
  ...
}

RADIUSクライアント(ここではWi-Fiアクセスポイント)からのアクセスを許可するため、設定ファイルに以下を追加します。

/etc/freeradius/3.0/clients.conf
client private-network {
        ipaddr = 192.168.0.0/24 # RADIUSクライアントのアドレス、もしくはネットワーク
        secret = somerandomtext # 任意のランダムな文字列
}

認証するユーザアカウントを、以下のように設定します。DEFAULTより上に記載するよう注意してください。Cleartext-Password は平文による記載となるので望ましくはありませんが、取り急ぎ動作確認のために指定しています。

/etc/freeradius/3.0/mods-available/files
yourusername  Cleartext-Password := "yourpassword"

freeradiusを再起動します。

sudo systemctl restart freeradius

Wi-Fiアクセスポイントの設定

Wi-Fiアクセスポイントに以下の設定をします。

  • セキュリティ
    • WPA2-エンタープライズ AES
  • RADIUSサーバIP
    • Raspberry PiのIPアドレス
  • RADIUSポート
    • 1812
  • RADIUSパスワード
    • /etc/freeradius/3.0/clients.confに設定したsecret

以上で、WPA2エンタープライズによるWi-Fi接続ができるようになりました。

MACアドレスによる認証を行いたい場合

以下のページに参考になる情報があります。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away