Radiusが使用するTLSの暗号スイートを制限する

WPA2-Enterpriseな無線環境かつPEAPやEAP-TLS等,認証時にTLSを用いるものに関して,TLSが使用する暗号スイートを制限する方法

 

・テスト環境
Debian 8(jessie)
FreeRADIUS Version 2.2.5
OpenSSL 1.0.1t

・設定箇所
vi /etc/freeradius/eap.conf


eap {

tls {

# Set this option to specify the allowed
# TLS cipher suites. The format is listed
# in “man 1 ciphers”.
cipher_list = “DEFAULT

}

}


cipher_listのDEFAULTを別のものに変更し,freeradiusを再起動すれば適応される.

選べる選択肢はコメントのとおり,man 1 ciphersで表示されるマニュアルのCIPHER STRINGSの項目通り.

意図的に楕円暗号ではなくRSAを使用したい場合(通信をキャプチャし復号したい場合)はRSAと指定しておく.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.