NetworkManagerでd Wi-Fi にPEAPで接続する

デバイス問わず

d Wi-Fi

先日より実質だれでも無料でドコモの公衆無線LANが利用可能となるサービス、d Wi-Fi が提供開始されました。

ドコモの回線契約がなくてもタダで使えたり、1アカウントで5台まで同時接続できたり(昔はdocomo Wi-Fiでも複数台つかえたのに……)と大変便利なサービス。

一方で、d Wi-Fi は従来のdocomo Wi-Fiと同じSSID (0000docomo/0001docomo) を共有するサービスです。つまりは従来契約者しかわからなかったはず(といっても探せばそこらじゅうで漏れちゃってますが) のWPA2-PSKのセキュリティキーは正式に誰でもみれてしまう状態です。つまりは、0000docomo での接続については証明書検証などによるAPの正当性の確認を行わないことによるなりすましの可能性や、鍵交換の傍受による通信の傍受などの可能性が高くなるかもしれません。(当該の状況でこれらが実際に可能なのか検証などはしていませんが、VPNの利用が推奨されるのは主にこのためです)

0001docomo の WPA2-EAP を利用した接続(802.1X認証を用いた鍵交換)であればこのリスクが多少は改善できることが期待できます(かならずしも安全ではありませんが)。プレスリリースでは0001docomoはSIM認証でのみ利用可能なような記載がありますが、実際はそんなことはなくWPA2-EAPの利用可能な機器であれば大抵の場合において利用が可能です。もちろん、今回の d Wi-Fi に限らず、従来のdocomo Wi-Fi においても同様に利用可能です。新幹線車内のような一部のサービスエリアではこちらは提供されていません(固定回線と比べ不安定なキャパの占領を抑える様々な理由が想像できます……)が、利用可能な場合は優先的に利用しています。

また、EAPで接続している場合は面倒なWebログインが必要ありません。アクセスポイントに接続すればすぐに作業が開始できます。

802.1X認証(PEAP)を利用して接続する

SIM認証(EAP-AKA’など)を利用しないで0001docomoに接続する方法は、ドコモ公式からはパソコンやその他Wi-Fi対応機器の場合の接続方法 | d Wi-Fi においてWindows 8/8.1/10、macOS(なぜか表示バージョンが古い) における利用方法が掲載されています。(なお、これはdocomo Wi-Fi における設定方法のほぼほぼ流用の模様) 前述のとおり、ここに記載されているOS以外であっても同様の設定を行うことによって0001docomo を利用することが可能です。過去の私の所有端末における動作実績としては Windows、macOS に加え(ドコモ契約SIMのない)Android、iOS、iPadOS端末やLinux PC(NetworkManager) において確認をしています。

このエントリでは、Linux PCにおいてNetworkManagerのGUI(KDE)を用いて0001docomoへの接続までします。

まずは申し込み

既存のdアカウントで d Wi-Fi を利用するには回線契約の有無に関わらず、サービスの申し込みが必要です。新規の回線をドコモショップ等で契約する際にはもしかすると勝手につけてくれるかもしれません。また、dアカウントの発行やdポイントカードの利用登録(プラスチックカードは不要)は必要らしいので先に。

それらの登録を済ました上で申し込みページにアクセスし、手続き内容の選択、注意事項や規約への同意、申込確認メール送信先メールアドレスの選択と必要に応じてフィルタリングの利用などを選択します。

入力して
確認して
完了

フィルタリング

なお、従来提供されていたSPモードに実質付属していたdocomo Wi-FiではSPモードのフィルタリングオプションがそのまま適用されていたのに対し、d Wi-Fi ではこの画面、あるいは申込画面から別途申し込む必要があります。フィルタが以前ほど意義を成していないとはいえそれはそれでどうなんだ……

パスワードの設定

申し込めたら d Wi-Fi の設定画面を開き、ログインに用いるパスワードを設定します。IDはdアカウントのIDが使われるが、パスワードはここで別途設定が必要です。初期状態では設定されていませんが、この場合SIM認証(EAP-SIM/EAP-AKA’)などしか利用できない状態。

ID/パスワードを選択。必須のふきだしが出ている場合はまだパスワードが設定されていない
5~7桁……ちょっと短かくない?

ここで設定するパスワードはブラウザからのログインや802.1X認証で共通して使用することになりますが、802.1X認証に用いるMS-CHAPv2は簡単に解析できてしまうので不正なAPに接続した際にパスワードが流出したりしてもそのリスクをなくすためにも他でつかっていないユニークなパスワードを設定しておきましょう。設定したパスワードはいつでもこのページで平文で確認可能なので802.1X認証のみで使うのであれば特に、このパスワードを覚えておく必要はありません。

同設定ページからは0000docomoのPSKやフィルタリングの申し込み、ログイン履歴の確認ができるらしい。(でも802.1Xはログイン履歴に出ない)

NetworkManager で 0001docomo に接続する

0001docomo の飛んでいるエリアであれば利用可能な接続からそれを選んですすめていってもだいたい同じですが、既にspmodeの方を設定していてそれができず、また対して手間も変わらないので手動で設定した際の手順を掲載します。

まず、ネットワークの新規設定からWiFiを選択し、あたらしいプロファイルを作成します。

適当な接続名を設定しておき、SSIDを「0001docomo」、モードがインフラストラクチャ(nm-connection-editorでは「クライアント」)、BSSIDは空になっている状態にしておきましょう。(Spot毎に異るはずなので……)

MACアドレスの設定はお好みで。端末のをそのままつかわなくてもいいが、台数制限もあるので毎回変わりはしないほうが……

Wi-Fiセキュリティタブを開き、WPA/WPA2エンタープライズを選択。

認証ではPEAPを選択します。

CA証明書はとりあえず接続する分にはデフォルトのまま選択しなくても問題ありません。ただし、その場合信用できないAPにログイン情報を送信してしまうリスクが発生するため最初にだらだらと書いた安全性の懸念が再来してしまうとも言えるでしょう。()おそらくWindows向けの手順に記載されているCA証明書を纏めてバンドルし、それを指すように設定しておけばいいはずですが確認ができていないのでここでは一旦無視します。

信頼できるドメイン

どうやら、ドメイン欄に認証に用いる証明書のドメインを指定しておくことで上記問題は解決できそう。ドメインに wrfs.m-zone.jp を指定しましょう。
なお、当該ドメインの証明書は現時点で有効なものはDigiCertまたはGlobalSignから発行されているようです。

ユーザー名にはdアカウントのIDの後ろに -dwifi@docomo を付加したもの、パスワードは先程設定したもの。

これを保存し、エリア内で接続すればブラウザログイン不要で d Wi-Fi が利用できるようになるはずです。

Android 端末など他の環境でも同様の設定を行うことで SIM認証が利用できない場合でも0001docomoが利用できます。

d Wi-Fi メモ

  • 本当に誰でも無料でつかえるの?
  • d払いみたいにガラケーユーザーのアカウントでは使えなかったりしない?
    • 申し込みや接続において回線認証は不要なので大丈夫なはず
  • 従来のdocomo Wi-Fiとのちがい
    • 基本的にはプレスリリース参照
    • 従来できていたことは大抵できる(SIM認証、802.1X認証、ブラウザログイン、その他諸々)
    • ただし法人アカウントは対象外
    • フィルタリングは上記の通り契約回線とは別の設定となるが設定可
    • IPも従来同様(m-zone)となる
    • 同アカウントでの同時接続端末数(MACアドレスベース)が5台になる。地味にでかい(が昔はそんな制約なかった……)
  • 802.1Xが使えない場合
    • PC、スマホ、タブレット等であれば大抵使えるだろうがゲーム機などで利用する場合は0000docomoのWPA2-PSKを利用する必要があるかもしれない。ブラウザ認証必須で厄介ではあるが一般のご家庭にEAPは使われないので……。でも複数台対応はそういう用途にうれしい。
  • 台数上限時
    • 5台超過時の挙動は確認してないが、おそらく従来どおりログイン時に弾かれるんじゃないかなぁ……
  • そもそも何処でつかえるの
    • 結構いろんな所でつかえる[MAP]。コンビニはさることながら、インフラとして様々な場所に整備されまくった後なので……。様々なカフェ等はもちろん、大学なんかでも最近はエリアが設定されていたりする(おそらく大抵は大学のWi-FiのAPで吹いてる)。駅前には特に集中してたりするので電車内にスマホを紛失した際には役立ったこと……
  • 専用のアプリ……
    • 2020年度第2四半期中にアプリ提供予定ってかいてるけどどういう形で実装されるんですかねぇ…… 別にちゃんとアピールしておいてくれたらSIM認証の設定方法みたいにPEAPの設定方法かいておいてくれたらいいんでは……まあ新幹線等は別になるけど。

「NetworkManagerでd Wi-Fi にPEAPで接続する」への6件のフィードバック

  1. SIM認証は履歴にならないと明記されていますが(docomo Wi-Fi契約者なので検証もできない)手入力でEAPに繋いだ場合の履歴は載ってました。0000docomoは使ってないので間違いないかと。

    1. 確かに私の利用履歴にも表示されてました、前見たときは出てなかったんですが……。私も同様にSIMの場合は検証が出来ませんがw。
      RADIUSサーバーかなんかでパスワード認証時に記録してるんですかねぇ……(でも本質的にはSIM/AKAもパスワードも変わらないはずだけど……)

      1. 返信ありがとうございます。
        少なくともログイン直後、(おそらく当日中は)ログイン履歴が載らないんで、たぶんそれが写ってなかっただけかなと思います。
        SIMが載ってPEAPが載らないのはたしかに不思議です。ICチップが絡んでくる認証とID+PWだけの認証では仕組みが違う、とか、あるいは不正アクセス発見のために記録しているだけでSIM認証ならそのリスクがないからわざわざ載せない、とかいろいろ想像はつきますが、どれもいまいちですね。

  2. docomo契約者&Linux初心者です。
    Linuxとd wifi のワードで検索してこちらに辿り着きました。

    0000docomoには接続する事が出来たのですが、0001docomoの設定が上手く出来ません。自分ではああとCA証明書のところが埋められれば繋げるのかなと思っています。

    0000docomoでも使えれば大丈夫なのですが、悔しくて(笑) お時間がある時に0001docomoの接続設定をもう少し詳しく ご教示頂ければありがたいです。

    1. お使いのディストリビューションが何かわかりませんが,最新のca-certificatesを利用していればCA欄は特に指定しなくても接続は可能なはずです.他の項目を見直すか,駄目なようであればNetworkManagerのログなどを見てみるといいかもしれません.

      $ journalctl -xeu NetworkManager

      1. 返信ありがとうございます。
        コメントを参考にして、もう1度トライしてみます。

コメントを残す