freeradius 0.9.3 & openssl 0.9.7dで802.1x EAP-TLS認証なるものを...（戯れ言編）

有益な情報？

googleで "freeradius openssl" といった具合に検索すると、ここよりも有益な情報がは山のようにあります。

と書いていましたが、不必要なファイルを作りすぎ、秘密鍵をそんなところに配置したらまずいだろ...といった具合に「とりあえず、動けばいいや」という内容でまとめられている感が否めないため、行うべき必要最低限の手順とそれに対応する解説を簡単にまとめました。【freeradius 0.9.3 & openssl 0.9.7dで802.1x EAP-TLS認証なるものを...（解説編）】

このページでは、わたしの家で無線LAN環境を構築した際に、困ってしまった点だけを備忘録のために記録しています。きちんと整理する予定ですがいつになるかは未定です。

いざ、設定...「なんだこりゃ？」

無線LANアクセスポイント(以下、AP)は、coregaのCG-WLBARAGです。この製品はルータとしても利用できますが、ルータはすでに我が家に存在するためAPとして利用しています。
説明書に従って設定(ブラウザから設定ができる)を行ったのですが、なかなか思った通りに動いてくれません。なんでだろうなぁと思い、設定画面(HTML)のコーディングを眺めていたのですが、草薙剛くんではないが「なんだこりゃ？」です。突っ込みどころ満載です。私の記憶の中にとどめておくのもよいのですが、ここではあえて記録にとどめてみました。

1. 要素(タグ)と属性は大文字小文字が入り乱れている. これはよくありますね、コピペしたんでしょう.
2. 属性値の前後に、ダブルorシングル・クォーテーションはあったりなかったり. これはよくありますね、コピペしたんでしょう.
3. JScriptのエラーチェックも中途半端。日付・時間にアルファベットが設定できるよ...これは...どうなんでしょ？
4. htmlタグが2つあるHTMLファイルを初めてみますた. これはびっくり仰天です、はい.

購入者の愚痴...「説明書どおりに動かない」

以下、購入者の製品に対する独断と偏見による愚痴です。それ以上の意味も、それ以下の意味もございません。

この会社には、コーディング規約というものがないようです。「W3Cに準じたHTMLファイルを作成しよう」とか要求するのは...酷か。きっと仕様書さえ読んだこともないんだろうな。
作成する人に依存したアプリケーションの出来上がりっぷりにただただ脱帽です。
「見た目が動いていればいいんですっ」「品質よりもコスト削減、期間短縮っ」が合い言葉になっているんだろうなぁ。にしても酷くないですかね？コレガさん。
「こんな状態の製品がコンシューマー向けに販売できるのだ」「これ時代の流れなのか」と一種の感慨を覚えております。

「動けばいい」と書きましたが、実際には正常には動いていません。このページを最後まで読めば正常に動いていないことがわかります。
こういった状態にある製品を世に送り出したことに対して、この製品を作った技術者に『誇り』や『はじらい』、また『倫理』といった言葉に対する考えを聞いてみたいものです。

困った点（すべて解決（？）しています...）

さて、気を取り直して『困ってしまった点』を列挙します。

• Vine Linux 2.6にインストールされているのはopenssl 0.9.6。freeradius 0.9.3 ではopenssl 0.9.7以上が必要でした。こちらを使用しないと実行時に「SSL_set_msg_callback_argは未定義だ」と怒られます。久しぶりにLD_PRELOADのお世話になりました。netscape4.7の日本語化以来です。
• APのDHCPサーバ機能を『無効』にしたままだとクライアント認証は成功するが、肝心のHandshakeが実行されず、無線端末にIPアドレスが払い出されない。
  (注)DHCPサーバは別に立てているので、APのDHCPサーバは不要なため『無効』としているのです
  「認証は成功しているが、APからRADIUS認証サーバへ返事(Handshake)がないようだ。うーむ、APが非常にくさい」
  挙動に影響を及ぼしそうな怪しそうな設定項目がないかを探しました。そこで気になったのが、APのDHCPサーバ機能。これを『有効』に設定すると...Handshakeも成功してIPアドレスも無事に払い出されました。払い出されたIPアドレスは、APが払い出したものではなく、別に立てているDHCPサーバからのものです。つまりAPのDHCPサーバは有効にしたが機能としては利用していない...つまり、どっち（有効Or無効）であっても、ちゃんと動いてくれんと困るわけですな。
  これってAPのバグだよねぇ...
  

総括

動作確認テストが不十分な気がします、この製品。無線端末のアクセス制限もうまく設定できません。ファームウェアのバージョンアップを期待せずに、待っています。
やっぱ、I/Oデータかバッファローだなぁ...と思わせないような製品を心待ちにしています。

これで、RADIUSサーバを買わなくてすむ...（ぼそ

参考情報

• http://www.impossiblereflex.com/8021x/eap-tls-HOWTO.htm
• http://www.freeradius.org/doc/EAPTLS.pdf

2004.11.06 追記

10/20付けで、ファームウェアが1.10にバージョンアップしていました。http://www.corega.co.jp/support/download/router_wlbarag.htm
早速、アップデートしてみました。いろいろと修正されているようです。たとえば、パスワードがそのまま表示されていたのが、アスタリスクで表示されるように変更されていたり。
ただ、上記のDHCPサーバについてはダメでした。コレガのファームウェアの評判はあまりよろしくないようですが、購入者としてはもちっと力を入れてもらいたいところです。