セキュリティ : Cisco Secure Access Control Server for Windows

PEAP-MS-CHAPv2 マシン認証が設定された Cisco Secure ACS for Windows v3.2

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2004 年 5 月 4 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

この文書では、Cisco Secure ACS for Windows バージョン 3.2 を使用して、Protected Extensible Authentication Protocol(PEAP)を設定する方法を説明します。

ワイヤレス LAN コントローラを使用してセキュア ワイヤレスアクセスを、Microsoft Windows 2003 ソフトウェア設定する方法に関する詳細についてはおよび Cisco Secure Access Control Server (ACS) 4.0 は ACS 4.0 および Windows 2003 が付いている統一された無線ネットワークの下でPEAP を示します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景理論

PEAP と EAP-TLS は両方とも TLS/Secure Socket Layer(SSL)トンネルを構築して、使用します。 PEAP はサーバ側の認証だけ使用します; サーバだけ認証があり、クライアントにアイデンティティを証明します。 しかし EAP-TLS では、ACS(Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング))サーバとクライアントの両方が証明書を用意し、相互に ID を証明する相互認証を使用します。

クライアントが証明書を必要としないため、PEAP は便利です。 EAP-TLS は、証明書がユーザからのインタラクションを必要とないため、認証を行うヘッドレス デバイスでは有用です。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

/image/gif/paws/43486/acs-peap-01.gif

Cisco Secure ACS for Windows v3.2 を設定して下さい

ACS 3.2 を設定するために次の手順に従って下さい。

  1. ACS サーバ用の証明書を取得する

  2. ストレージから証明書を使用するよう ACS を設定する

  3. ACS が信頼する追加の証明機関を指定する

  4. サービスを再起動し、ACS での EAP-TLS の設定を設定する

  5. アクセス ポイントを AAA クライアントとして指定および設定する

  6. 外部ユーザ データベースを設定する

  7. サービスを再起動する

ACS サーバ用の証明書を取得する

証明書を取得するには、次のステップに従います。

  1. ACS サーバで Web ブラウザを開き、アドレス バーに http://CA-ip-address/certsrv と入力して CA サーバを表示します。 Administrator としてドメインにログインします。

    /image/gif/paws/43486/acs-peap-02.gif

  2. Request a certificate を選択してから Next をクリックします。

    /image/gif/paws/43486/acs-peap-03.gif

  3. Advanced request を選択してから Next をクリックします。

    /image/gif/paws/43486/acs-peap-04.gif

  4. Submit a certificate request to this CA using a form を選択してから Next をクリックします。

    /image/gif/paws/43486/acs-peap-05.gif

  5. 証明書のオプションを設定します。

    1. 証明書のテンプレートとして Web Server を選択します。 ACS サーバの名前を入力します。

      /image/gif/paws/43486/acs-peap-06a.gif

    2. 鍵のサイズを 1024 に設定します。 Mark keys as exportable と Use local machine store のオプションを選択します。 必要に応じてその他のオプションを設定し、Submit をクリックします。

      /image/gif/paws/43486/acs-peap-06b.gif

      注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

      /image/gif/paws/43486/acs-peap-07.gif

  6. [Install this certificate] をクリックします。

    /image/gif/paws/43486/acs-peap-08.gif

    注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

    /image/gif/paws/43486/acs-peap-09.gif

  7. インストールに成功した場合は、確認メッセージが表示されます。

    /image/gif/paws/43486/acs-peap-10.gif

ストレージから証明書を使用するよう ACS を設定する

ストレージにある証明書を使用するよう ACS を設定するには、次のステップに従います。

  1. Web ブラウザを開き、アドレス バーに http://ACS-ip-address:2002/ と入力して ACS サーバを表示します。 System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  2. [Install ACS Certificate] をクリックします。

  3. Use certificate from storage を選択します。 Certificate CN フィールドでは、セクションのステップ 5a で得る ACS サーバのための認証を割り当てた認証の名前を入力して下さい。 [Submit] をクリックします。

    ここで入力する情報は、高度な証明書の要求時に Name フィールドにタイプした名前と同じである必要があります。 それはサーバ証明の Subject フィールドの CN 名前です; この名前があるように確認するためにサーバ証明を編集できます。 この例では、この名前は「OurACS」です。 発行者の CN 名は入力しないでください。

    /image/gif/paws/43486/acs-peap-11.gif

  4. 設定が完了すると、ACS サーバの設定が変更されたことを示す確認メッセージが表示されます。

    注: この時点では ACS を再起動する必要はありません。

    /image/gif/paws/43486/acs-peap-12.gif

ACS が信頼する必要がある追加の証明機関を指定する

ACS は、独自の証明書を発行した CA を自動的に信頼します。 クライアントの証明書が追加の CA により発行された場合は、次のステップを完了する必要があります。

  1. System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  2. ACS Certificate Authority Setup をクリックして、信頼された証明書のリストに CA を追加します。 CA 証明書ファイル用のフィールドで、証明書の場所を入力してから Submit をクリックします。

    /image/gif/paws/43486/acs-peap-13.gif

  3. Edit Certificate Trust List をクリックします。 ACS が信頼するすべての CA をチェックし、ACS が信頼しないすべての CA のチェックを外します。 [Submit] をクリックします。

    /image/gif/paws/43486/acs-peap-14.gif

サービスを再起動し、ACS での PEAP の設定を設定する

サービスを再開し、PEAP 設定を行うために次の手順に従って下さい。

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. Restart をクリックしてサービスを再起動します。

  3. PEAP の設定を設定するには、System Configuration をクリックしてから Global Authentication Setup をクリックします。

  4. 次に示す 2 つの設定をチェックし、その他の設定をデフォルトのままにします。 必要に応じて、Enable Fast Reconnect などの追加設定を設定できます。 設定を終えたら Submit をクリックします。

    • Allow EAP-MSCHAPv2

    • Allow MS-CHAP Version 2 Authentication

    注: Fast Connect の詳細については、『システム設定: 認証と証明書』の「認証設定オプション」を参照してください。

    /image/gif/paws/43486/acs-peap-15.gif

アクセス ポイントを AAA クライアントとして指定および設定する

アクセス ポイント(AP)を AAA クライアントとして設定するには、次のステップに従います。

  1. Network Configuration をクリックします。 AAA Clients の下で [Add Entry] をクリックします。

    /image/gif/paws/43486/acs-peap-16.gif

  2. AAA Client Hostname フィールドに AP のホスト名を入力し、AAA Client IP Address フィールドにその IP アドレスを入力します。 Key フィールドに、ACS と AP 用の共有秘密鍵を入力します。 認証方式として RADIUS (Cisco Aironet) を選択します。 設定を終えたら Submit をクリックします。

    /image/gif/paws/43486/acs-peap-17.gif

外部ユーザ データベースを設定する

外部ユーザ データベースを設定するには、次のステップに従います。

注: ACS 3.2 だけが、Windows データベースへのマシン認証を使った PEAP-MS-CHAPv2 をサポートしています。

  1. External User Databases をクリックしてから Database Configuration をクリックします。 [Windows Database] をクリックします。

    注: Windows のデータベースがまだ定義されていない場合は、Create New Configuration をクリックしてから Submit をクリックします。

  2. [Configure] をクリックします。 Configure Domain List の下で、SEC-SYD ドメインを、Available Domains から Domain List へ移動させます。

    /image/gif/paws/43486/acs-peap-18.gif

  3. マシン認証を有効にするには、Windows EAP Settings でオプション Permit PEAP machine authentication をチェックします。 マシン認証名のプレフィクスは変更しないでください。 Microsoft では現在、「/host」(デフォルト値)を使用して、ユーザ認証とマシン認証を区別しています。 必要があれば、Permit password change inside PEAP のオプションをチェックします。 設定を終えたら Submit をクリックします。

    /image/gif/paws/43486/acs-peap-19.gif

  4. External User Databases をクリックしてから Unknown User Policy をクリックします。 オプションをチェック次の外部ユーザデータベース選択し、そして外部 データベースからの選択したデータベースに Move ウィンドウ データベースに右矢印 ボタンを(- >)使用して下さい。 設定を終えたら Submit をクリックします。

    /image/gif/paws/43486/acs-peap-19a.gif

サービスを再起動する

ACS の設定を完了したら、次のステップに従ってサービスを再起動します。

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. [Restart] をクリックします。

Ciscoアクセスポイントを設定して下さい

AP を設定し、認証サーバとして ACS を使用するには、次のステップに従います。

  1. Web ブラウザを開き、アドレス バーに http://AP-ip-address/certsrv と入力して AP を表示します。 ツールバーで Setup をクリックします。

  2. Services で Security をクリックします。

  3. Authentication Server をクリックします。

    注: AP でアカウントを設定している場合は、ログインする必要があります。

  4. 認証者の設定を入力します。

    • 802.1x プロトコル バージョンの場合(EAP 認証の場合)は 802.1x-2001 を選択します。

    • Server Name/IP フィールドに ACS サーバの IP アドレスを入力します。

    • Server Type として RADIUS を選択します。

    • Port フィールドに 1645 または 1812 を入力します。

    • アクセス ポイントを AAA クライアントとして指定および設定するのステップ 2 で指定した共有秘密鍵を入力します。

    • EAP Authentication のオプションをチェックして、サーバをどのように使用する必要があるかを指定します。

    設定を終えたら OK をクリックします。

    /image/gif/paws/43486/acs-peap-20.gif

  5. Radio Data Encryption (WEP) をクリックします。

  6. 内部データ暗号化設定を入力します。

    • Full Encryption を選択してデータ暗号化のレベルを設定します。

    • 暗号化キーを入力し、ブロードキャスト キーとして使用するようにキー サイズを 128 ビットに設定します。

    設定を終えたら OK をクリックします。

    /image/gif/paws/43486/acs-peap-21.gif

  7. 終了したら使用している確認し、『OK』 をクリック して下さいことを Network > Service Sets > Select the SSID Idx へ行くことによって正しい Service Set Identifier (SSID)をことを。

    次の例は、デフォルトの SSID「tsunami」を示しています。

    /image/gif/paws/43486/acs-peap-21a.gif

無線クライアントの設定

ACS 3.2 を設定するために次の手順に従って下さい。

  1. MS 証明書のマシン自動登録を設定する

  2. ドメインに参加する

  3. Windows クライアントで、ルート証明書を手動インストールする

  4. 無線ネットワークを設定する

MS 認証 マシン autoenrollment を設定して下さい

ドメインコントローラの Kant 自動マシン認証登録のためのドメインを設定するために次の手順に従って下さい。

  1. > 開いた Active Directory Users and Computers は Control Panel > Administrative ツールに行きます

  2. domain sec-syd を右クリックし、サブメニューから Properties を選択します。

  3. Group Policy タブを選択します。 Default Domain Policy をクリックしてから Edit をクリックします。

  4. Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings に行って下さい。

    /image/gif/paws/43486/acs-peap-21b.gif

  5. メニューバーで、Action > New > Automatic Certificate Request and click Next に行って下さい。

  6. Computer を選択し Next をクリックします。

  7. CA をチェックします。

    この例では、CA は「Our TAC CA」という名前です。

  8. [Next] をクリックし、次に [Finish] をクリックします。

ドメインに参加する

無線クライアントをドメインに追加するには、次のステップに従います。

注: 次のステップを完了するには、無線クライアントには、有線接続を介した CA への接続性、または 802.1x セキュリティを無効にした無線接続を介した CA への接続性が必要です。

  1. ローカル管理者として Windows XP にログインします。

  2. Control Panel > Performance and Maintenance > System に行って下さい。

  3. Computer Name タブを選択してから Change をクリックします。 コンピュータ名のフィールドにホスト名を入力します。 Domain を選択してからドメインの名前(この例では「SEC-SYD」)を入力します。 [OK] をクリックします。

    /image/gif/paws/43486/acs-peap-22.gif

  4. ログイン ダイアログが表示されたら、ドメインに参加するアクセス権を持つアカウントを使用してログインすることで、ドメインに参加します。

  5. コンピュータがドメインへの参加に成功したら、コンピュータを再起動します。 マシンはドメインのメンバーです; マシン autoenrollment を設定したので、マシンはインストールされた CA のための認証、またマシン 認証のための認証を備えています。

Windows クライアントでルート証明書を手動でインストールする

ルート証明書を手動でインストールするには、次のステップを実行します。

注:  machine autoenrollment の設定がすでに終了している場合、このステップは不要です。無線ネットワークを設定する」に進んでください。

  1. Windows クライアント マシンで、Web ブラウザを開き、アドレス バーに http://root-CA-ip-address/certsrv と入力して、Microsoft CA サーバを表示します。 CA サイトにログインします。

    この例では、CA の IP アドレスは 10.66.79.241 です。

    /image/gif/paws/43486/acs-peap-28.gif

  2. Retrieve the CA certificate or certification revocation list を選択し、Next をクリックします。

    /image/gif/paws/43486/acs-peap-29.gif

  3. Download CA certificate をクリックして、証明書をローカル マシンに保存します。

    /image/gif/paws/43486/acs-peap-30.gif

  4. 証明書を開き、Install Certificate をクリックします。

    注: 次の例では、左上のアイコンが、証明書がまだ信頼されていないことを示しています(インストール済み)。

    /image/gif/paws/43486/acs-peap-31.gif

  5. Current User/ Trusted Root Certificate Authorities に証明書をインストールします。

    1. [Next] をクリックします。

    2. Automatically select the certificate store based on the type of the certificate を選択し、Next をクリックします。

    3. Finish をクリックすると、Current User/ Trusted Root Certificate Authorities の下に、ルート証明書が自動的に保存されます。

無線ネットワークを設定する

無線ネットワークのオプションを設定するには、次のステップに従います。

  1. ドメイン ユーザとしてドメインにログインします。

  2. Control Panel > Network and Internet Connections > Network Connections に行って下さい。 Wireless Connection を右クリックし、表示されるサブメニューから Properties を選択します。

  3. Wireless Networks タブを選択します。 使用可能なネットワークのリストから、(AP の SSID 名を使用して表示される)無線ネットワークを選択し、Configure をクリックします。

    /image/gif/paws/43486/acs-peap-23.gif

  4. ネットワークのプロパティのウィンドウの Authentication タブで、Enable IEEE 802.1x authentication for this network のオプションをチェックします。 EAP のタイプに関しては、EAP type の Protected EAP (PEAP) を選択してから、Properties をクリックします。

    注: マシン認証を有効にするには、Authenticate as computer when computer information is available のオプションをチェックします。

    /image/gif/paws/43486/acs-peap-24.gif

  5. Validate server certificate をチェックしてから、PEAP クライアントと ACS デバイスが使用するエンタープライズ用ルート CA をチェックします。 認証方式として Secure password (EAP-MSCHAP v2) を選択してから、Configure をクリックします。

    この例では、ルート CA は「Our TAC CA」という名前です。

    /image/gif/paws/43486/acs-peap-25.gif

  6. 単一のサインオンをイネーブルにするには、Automatically use my Windows logon name and password (and domain if any) のオプションをチェックしてください。 OK をクリックしてこの設定を受け入れてから、再度 OK をクリックして、Network Properties ウィンドウに戻ります。

    PEAP に単一のサインオンを使用すると、クライアントは PEAP 認証用に Windows ログイン名を使用するため、ユーザはパスワードを 2 回入力する必要はありません。

    /image/gif/paws/43486/acs-peap-26.gif

  7. ネットワークのプロパティのウィンドウの Association タブで、Data encryption (WEP enabled) および The key is provided for me automatically のオプションをチェックします。 OK をクリックしてから再度 OK をクリックして、ネットワーク設定のウィンドウを閉じます。

    /image/gif/paws/43486/acs-peap-27.gif

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

  • 、無線クライアントが認証された無線クライアントでことを確認することは Control Panel > Network and Internet Connections > Network Connections に行きます。 メニューバーで、View > Tiles に行って下さい。 無線接続では、「Authentication succeeded」というメッセージが表示されるはずです。

  • 、無線クライアントが認証された ACS Webインターフェイスでことを確認することは Reports and Activity > Passed Authentications > Passed Authentications active.csv に行きます

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • MS 認証 サービスがインストールされていた MS 認証 サービスがサービスパック 3.ホットフィックス 323172 および 313664 が付いている Windows 2000 新型サーバで企業 ルートCA としてインストールする必要があるインストールされていたことを確認して下さい。 MS 証明書サービスを再インストールした場合、ホットフィックス 323172 も再インストールする必要があります。

  • Windows 2000(Service Pack 3)とともに Cisco Secure ACS for Windows バージョン 3.2 を使用していること確認します。 ホットフィックス 323172 と 313664 がインストールされていることを確認してください。

  • 無線クライアント上でマシン認証が失敗する場合は、無線接続でネットワーク接続が存在しません。 プロファイルが無線クライアント上にキャッシュされているアカウントだけが、ドメインにログインできます。 マシンを有線ネットワークにつなげるか、802.1x セキュリティのない無線接続用に設定する必要があります。

  • ドメインに参加する際に CA への自動登録が失敗する場合は、Event Viewer を確認して考えられる理由を調べます。 ラップトップの DNS 設定をチェックしてください。

  • ACS の証明書がクライアントに拒否された(証明書の有効な「from」および「to」の日付、クライアントの日付と時刻の設定、および CA の信頼性に依存)場合、クライアントはその証明書を拒否し、認証が失敗します。 ACS はレポートの下で Webインターフェイスの失敗した認証を記録 し、アクティビティ > 試行失敗 > 「EAP-TLS または PEAP 認証と SSL ハンドシェイクの間に同じような認証 Failure-Code の試行失敗 XXX.csv は失敗しました」。 CSAuth.log ファイルの予想されるエラー メッセージは、次のようになります。

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • では両方のレポートの下で ACS Webインターフェイスを、ログオンし、アクティビティ > 取得された認証 > 取得された認証 XXX.csv および Reportsand アクティビティ > 試行失敗 > 試行失敗 XXX.csv は形式 <DOMAIN> \ <user-id> で、PEAP 認証示されています。 EAP-TLS 認証は形式 <user-id>@<domain> で示されています。

  • PEAP Fast Reconnect を使用するには、ACS サーバとクライアントの両方で、この機能をイネーブルにする必要があります。

  • PEAP パスワードの変更がイネーブルの場合、アカウントのパスワードの期限が切れたか、次回ログイン時にパスワードを変更するようにアカウントがマーキングされている場合にだけ、パスワードの変更が可能です。

  • 次のステップに従うことで、ACS サーバの証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。 Start > Run の順に進むこと、タイプ mmc、および『OK』 をクリック することによって Microsoft Management Console を開いて下さい。

    2. メニューバーで、Console > Add/Remove Snap In の順に進み、次に『Add』 をクリック して下さい。

    3. Certificates を選択し、Add をクリックします。

    4. Computer account を選択し、Next をクリックしてから Local computer (the computer this console is running on) を選択します。

    5. Finish、Close、OK の順にクリックします。

    6. ACS サーバに有効なサーバ側の証明書があることを確認するために、Console Root > Certificates (Local Computer) > ACSCertStore > Certificates に行って下さい。 ACS サーバ用の証明書があることを確認します(この例の名前は「OurACS」)。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Ensures the identity of a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

    7. Details タブで、Version フィールドの値が V3 で、Enhanced Key Usage フィールドは Server Authentication (1.3.6.1.5.5.7.3.1) となっていること確認します。

    8. ACS サーバが CA サーバを信頼することを確認するために、Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates に行って下さい。 CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 証明書の使用目的が正しい。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • 次の手順によって、クライアントの信頼性を確認できます。

    1. クライアントのアカウントを使って、無線クライアントの Windows にログインします。 Start > Run の順に進むこと、タイプ mmc、および『OK』 をクリック することによって Microsoft Management Console を開いて下さい。

    2. メニューバーで、Console > Add/Remove Snap In の順に進み、次に『Add』 をクリック して下さい。

    3. Certificates を選択し、Add をクリックします。

    4. Close をクリックしてから、OK をクリックします。

    5. クライアントのプロファイルが CA サーバを信頼することを確認するために、Console Root > Certificates - Current User > Trusted Root Certification Authorities > Certificates に行って下さい。 CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 証明書の使用目的が正しい。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • Cisco Secure ACS for Windows v3.2 の設定の項で説明されている ACS の設定を確認します。

  • シスコ アクセス ポイントの設定の項で説明されている AP の設定を確認します。

  • 無線クライアントの設定の項で説明されている無線クライアントの設定を確認します。

  • AAA サーバの内部データベース、または設定済みの外部データベースの 1 つに、ユーザ アカウントが存在することを確認します。 そのアカウントが無効になっていないことを確認します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 43486