セキュリティ : Cisco Secure Access Control Server for Windows

EAP-TLS マシン認証を使用する Windows v3.2 の Secure ACS

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2004 年 3 月 29 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

この資料に Extensible Authentication Protocol を設定する方法を– Windows バージョン 3.2 のための Cisco Secure Access Control System (ACS)との Transport Layer Security (EAP-TLS)記述されています。

注: マシン 認証は Novell 認証局 (CA)でサポートされません。 ACS は Microsoft Windows アクティブ ディレクトリにマシン 認証をサポートするのに EAP-TLS を使用できます。 エンドユーザ クライアントは同じプロトコルにマシン 認証のために使用するユーザ認証のためのプロトコルを制限するかもしれません。 すなわち、マシン 認証のための EAP-TLS の使用はユーザ認証のために EAP-TLS の使用を必要とするかもしれません。 マシン 認証に関する詳細については、Cisco Secure Access Control Server 4.1 のためのユーザガイドマシン Authentication セクションを参照して下さい。

注: EAP-TLS および ACS によってマシンを認証するために ACS を設定するときマシン 認証のために、クライアント マシン 認証だけをするために設定されなければなりません設定されました。 詳細については、Windows Vista、Windows サーバ 2008 年、および Windows XP サービスパック 3.の 802.1X ベースのネットワークのためのコンピュータだけ認証を有効に する方法を参照して下さい

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景理論

EAP-TLS と Protected Extensible Authentication Protocol(PEAP)は両方とも、TLS/Secure Socket Layer(SSL; セキュア ソケット レイヤ)トンネルを構築し、使用します。 EAP-TLS では、ACS(Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング))サーバとクライアントの両方が証明書を用意し、相互に ID を証明する相互認証を使用します。 しかし PEAP はサーバ側の認証だけ使用します; サーバだけ認証があり、クライアントにアイデンティティを証明します。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

/image/gif/paws/43722/acs-eap-01.gif

Cisco Secure ACS for Windows v3.2 の設定

ACS 3.2 を設定するには、次のステップに従います。

  1. ACS サーバ用の証明書を取得する

  2. ストレージから証明書を使用するよう ACS を設定する

  3. ACS が信頼する追加の証明機関を指定する

  4. サービスを再起動し、ACS での EAP-TLS の設定を設定する

  5. アクセス ポイントを AAA クライアントとして指定および設定する

  6. 外部ユーザ データベースを設定する

  7. サービスを再起動する

ACS サーバ用の証明書を取得する

証明書を取得するには、次のステップに従います。

  1. ACS サーバで、Webブラウザを開き、CA サーバにアクセスするために http:// CA IPaddress/certsrv を入力して下さい。

  2. Administrator としてドメインにログインします。

    /image/gif/paws/43722/acs-eap-02.gif

  3. Request a certificate を選択してから Next をクリックします。

    /image/gif/paws/43722/acs-eap-03.gif

  4. Advanced request を選択してから Next をクリックします。

    /image/gif/paws/43722/acs-eap-04.gif

  5. Submit a certificate request to this CA using a form を選択してから Next をクリックします。

    /image/gif/paws/43722/acs-eap-05.gif

  6. 認証 オプションを設定して下さい:

    1. 証明書のテンプレートとして『Web Server』 を選択 し、ACS サーバの名前を入力して下さい。

      /image/gif/paws/43722/acs-eap-06a.gif

    2. キーサイズ フィールドで 1024 入力し、エクスポート可能としてマーク キーをチェックし、ローカルマシンの記憶装置 チェックボックスを使用して下さい

    3. 必要に応じてその他のオプションを設定し、Submit をクリックします。

      /image/gif/paws/43722/acs-eap-06b.gif

      注: 潜在的なスクリプトを書く違反 ダイアログボックスが現われる場合、続くために『Yes』 をクリック して下さい。

      acs-eap-07.gif

  7. [Install this certificate] をクリックします。

    /image/gif/paws/43722/acs-eap-08.gif

    注: 潜在的なスクリプトを書く違反 ダイアログボックスが現われる場合、続くために『Yes』 をクリック して下さい。

    acs-eap-09.gif

  8. インストールが正常である場合、認証インストール済みメッセージが現れます。

    acs-eap-10.gif

ストレージから証明書を使用するよう ACS を設定する

ACS をストレージで認証を使用するために設定するためにこれらのステップを完了して下さい。

  1. Webブラウザを開き、ACS サーバにアクセスするために http:// ACS IPaddress:2002/ を入力して下さい。

  2. System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  3. [Install ACS Certificate] をクリックします。

  4. Use certificate from storageオプション・ボタンをクリックして下さい。

  5. Certificate CN フィールドでは、この資料の ACS Serversection からの認証の取得のステップ 5a で割り当てた認証の名前を入力して下さい。

  6. [Submit] をクリックします。

    /image/gif/paws/43722/acs-eap-11.gif

    設定が完了した、ACS サーバの設定は変更されたことを示す確認 の メッセージが現れます。

    注: この時点では ACS を再起動する必要はありません。

    /image/gif/paws/43722/acs-eap-12.gif

ACS が信頼する必要がある追加の証明機関を指定する

ACS は自動的に自身の認証を発行した CA を承認します。 クライアント 認証が追加 CA によって発行される場合、これらのステップを完了して下さい:

  1. System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  2. ACS Certificate Authority Setup をクリックして、信頼された証明書のリストに CA を追加します。

  3. CA 証明書ファイル用のフィールドで、証明書の場所を入力してから Submit をクリックします。

    /image/gif/paws/43722/acs-eap-13.gif

  4. Edit Certificate Trust List をクリックします。

  5. ACS が信頼するすべての CA をチェックし、ACS が信頼しないすべての CA のチェックを外します。

  6. [Submit] をクリックします。

    /image/gif/paws/43722/acs-eap-14.gif

サービスを再起動し、ACS での EAP-TLS の設定を設定する

サービスを再開し、EAP-TLS 設定を行うためにこれらのステップを完了して下さい:

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. サービスを再開するために『Restart』 をクリック して下さい。

  3. EAP-TLS 設定を行うために、『System Configuration』 をクリック し、次に『Global Authentication Setup』 をクリック して下さい。

  4. Allow EAP-TLS をチェックしてから、1 つ以上の証明書の比較をチェックします。

  5. [Submit] をクリックします。

    /image/gif/paws/43722/acs-eap-15.gif

アクセス ポイントを AAA クライアントとして指定および設定する

AAA クライアントで Access Point (AP)を設定するためにこれらのステップを完了して下さい:

  1. Network Configuration をクリックします。

  2. AAA Clients の下で [Add Entry] をクリックします。

    /image/gif/paws/43722/acs-eap-16.gif

  3. AAA Client Hostname フィールドでアクセス ポイント ホスト名および AAA クライアントIPアドレス フィールドで IP アドレスを入力して下さい。

  4. Key フィールドに、ACS とアクセス ポイント用の共有秘密鍵を入力します。

  5. (Cisco Aironet)認証方式として『RADIUS』 を選択 し、『SUBMIT』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-17.gif

外部ユーザ データベースを設定する

外部ユーザデータベースを設定するためにこれらのステップを完了して下さい。

  1. External User Databases をクリックしてから Database Configuration をクリックします。

  2. [Windows Database] をクリックします。

    注: Windows のデータベースがまだ定義されていない場合は、Create New Configuration をクリックしてから Submit をクリックします。

  3. [Configure] をクリックします。

  4. Configure Domain List の下で、SEC-SYD ドメインを、Available Domains から Domain List へ移動させます。

    /image/gif/paws/43722/acs-eap-18.gif

  5. Windows EAP 設定エリアで、マシン 認証を有効に するために割り当て EAP-TLS マシン 認証 チェックボックスをクリックして下さい。

    注:  マシン認証名のプレフィクスは変更しないでください。 Microsoft では現在、「/host」(デフォルト値)を使用して、ユーザ認証とマシン認証を区別しています。

  6. 任意で、ドメイン 除去を有効に するために EAP-TLS ストリップ ドメイン名 チェックボックスをチェックできます。

  7. [Submit] をクリックします。

    /image/gif/paws/43722/acs-eap-19.gif

  8. External User Databases をクリックしてから Unknown User Policy をクリックします。

  9. チェックを次の外部ユーザデータベース オプション ボタン クリックして下さい。

  10. 外部 データベースからの Move ウィンドウ データベースは選択したデータベースにリストをリストします。

  11. [Submit] をクリックします。

    /image/gif/paws/43722/acs-eap-19a.gif

サービスを再起動する

ACS を設定することを終わったらサービスを再開するためにこれらのステップを完了して下さい:

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. [Restart] をクリックします。

MS 証明書のマシン自動登録の設定

自動マシン認証登録のためのドメインを設定するためにこれらのステップを完了して下さい:

  1. > 開いた Active Directory Users and Computers は Control Panel > Administrative ツールに行きます

  2. domain sec-syd を右クリックし、『Properties』 を選択 して下さい。

  3. [Group Policy] タブをクリックして下さい。

  4. Default Domain Policy をクリックしてから Edit をクリックします。

  5. Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings に行って下さい。

    acs-eap-20.gif

  6. メニューバーで、> 新しい > 自動証明書要求は処理に行き、『Next』 をクリック します。

  7. 『Computer』 を選択 し、『Next』 をクリック して下さい。

  8. 認証局を、この例の「TAC CA」、チェックして下さい。

  9. [Next] をクリックし、次に [Finish] をクリックします。

シスコ アクセス ポイントの設定

AP を認証サーバとして ACS を使用するために設定するためにこれらのステップを完了して下さい:

  1. Webブラウザを開き、AP にアクセスするために http:// AP IPaddress/certsrv を入力して下さい。

  2. ツールバーで Setup をクリックします。

  3. サービスの下で、『Security』 をクリック し、次に『Authentication Server』 をクリック して下さい。

    注: AP のアカウントを設定した場合、ログインなります。

  4. オーセンティケータ コンフィギュレーションの設定を入力して下さい:

    • 802.1X プロトコル バージョンのための 802.1x-2001 を選択して下さい(EAP 認証のために)。

    • Server Name/IP フィールドに ACS サーバの IP アドレスを入力します。

    • サーバタイプとして『RADIUS』 を選択 して下さい。

    • Port フィールドに 1645 または 1812 を入力します。

    • AAA クライアントで指定および設定するアクセス ポイントを規定 した 共有秘密 キーを入力して下さい。

    • サーバがどのように使用する必要があるか規定 するために EAP 認証があるようにオプションを確認して下さい。

  5. 設定を終えたら OK をクリックします。

    /image/gif/paws/43722/acs-eap-21.gif

  6. Radio Data Encryption (WEP) をクリックします。

  7. 内部データ暗号化設定を入力します。

    • ステーションによって Use of Data Encryption から Full Encryption をですドロップダウン リスト データ暗号化のレベルを設定 するために選択して下さい。

    • Accept Authentication Type に関しては、受け入れられる認証の種類を設定 するために Open チェックボックスをチェックし LEAP を有効に するためにネットワーク EAP をチェックして下さい。

    • require EAP に関しては、EAP を必要とするために Open チェックボックスをチェックして下さい。

    • 暗号化キーを暗号キー フィールドで入力し、キーサイズ ドロップダウン リストから『128 bit』 を選択 して下さい。

  8. 設定を終えたら OK をクリックします。

    acs-eap-22.gif

  9. 正しい Service Set Identifier (SSID)が使用されることを確認するために Network > Service Sets > Select the SSID Idx に行って下さい。

  10. [OK] をクリックします。

    /image/gif/paws/43722/acs-eap-22a.gif

無線クライアントの設定

ACS 3.2 を設定するためにこれらのステップを完了して下さい:

  1. ドメインに参加する

  2. ユーザ用の証明書を取得する

  3. 無線ネットワークを設定する

ドメインに参加する

ドメインに無線クライアントを追加するためにこれらのステップを完了して下さい。

注: これらのステップを完了するために、無線クライアントは有線接続または 802.1X セキュリティがディセーブルの状態で無線接続によって CA への接続が、なければなりません。

  1. ローカル管理者として Windows XP にログインします。

  2. Control Panel > Performance and Maintenance > System に行って下さい。

  3. Computer Name タブをクリックし、次に『Change』 をクリック して下さい。

  4. Computer Name フィールドでホスト名を入力して下さい。

  5. 『Domain』 を選択 し、次にドメイン(この例の SEC-SYD)の名前を入力して下さい。

  6. [OK] をクリックします。

    /image/gif/paws/43722/acs-eap-23.gif

  7. Login ダイアログボックスが現われる時、ログイン ドメインに加入する十分な権限のアカウントと。

  8. コンピュータがドメインへの参加に成功したら、コンピュータを再起動します。

    マシンはドメインのメンバーになります。 マシン autoenrollment が設定されるので、マシンはインストールされる CA のための認証、またマシン 認証のための認証を備えています。

ユーザ用の証明書を取得する

ユーザ向けの認証を得るためにこれらのステップを完了して下さい。

  1. 認証を必要とするアカウントとして無線クライアント(ラップトップ)の Windows XP およびドメイン(SEC-SYD)へのログイン。

  2. Webブラウザを開き、CA サーバにアクセスするために http:// CA IPaddress/certsrv を入力して下さい。

  3. 同じアカウントの下の CA サーバへのログイン。

    注: 認証は現在のユーザ・プロファイルの下の無線クライアントで保存されます; 従って、Windows および CA に同じアカウント ログインを使用して下さい。

    /image/gif/paws/43722/acs-eap-24.gif

  4. Request a certificateオプション・ボタンをクリックし、次に『Next』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-03.gif

  5. Advanced requestオプション・ボタンをクリックし、次に『Next』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-04.gif

  6. Submit a certificate request to this CA using a formオプション・ボタンをクリックし、次に『Next』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-05.gif

  7. 証明書のテンプレートから『User』 を選択 し、キーサイズ フィールドで 1024 入力して下さい。

  8. その他のオプションを必要に応じて設定し、『SUBMIT』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-25.gif

    注: 潜在的なスクリプトを書く違反 ダイアログボックスが現われる場合、続くために『Yes』 をクリック して下さい。

    acs-eap-07.gif

  9. [Install this certificate] をクリックします。

    /image/gif/paws/43722/acs-eap-08.gif

    注: 潜在的なスクリプトを書く違反 ダイアログボックスが現われる場合、続くために『Yes』 をクリック して下さい。

    acs-eap-09.gif

    注: 原証明 ストアは CA の自身の認証が無線クライアントでまだ保存されていない場合現われるかもしれません。 局部記憶装置に認証を保存するために『Yes』 をクリック して下さい。

    acs-eap-26.gif

    インストールが正常である場合、確認 の メッセージが現れます。

    acs-eap-10.gif

無線ネットワークを設定する

ワイヤレスネットワーキングのためのオプションを設定するためにこれらのステップを完了して下さい:

  1. ドメイン ユーザとしてドメインにログインします。

  2. Control Panel > Network and Internet Connections > Network Connections に行って下さい。

  3. 無線接続を右クリックし、『Properties』 を選択 して下さい。

  4. [Wireless Networks] タブをクリックします。

  5. 無線ネットワークを利用可能 な ネットワークのリストから選択し、次に『Configure』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-23.gif

  6. Authentication タブで、このネットワーク チェックボックスがあるようにイネーブル IEEE 802.1x 認証を確認して下さい。

  7. スマート カードか他の認証を EAP 型ドロップダウン リストから選択し、次に『Properties』 をクリック して下さい。

    注: コンピュータ 情報が利用可能 な チェックボックスのときマシン 認証を有効に するために、コンピュータとして認証するをチェックして下さい。

    /image/gif/paws/43722/acs-eap-27.gif

  8. 使用をこの Computerオプション・ボタンの認証クリックし、次に使用簡単な認証選択チェックボックスをチェックして下さい。

  9. 検証サーバ certificatecheck ボックスをチェックし、『OK』 をクリック して下さい。

    注: クライアントがドメインに加入するとき、CA証明は信頼されたルート認証局として自動的にインストールされています。 クライアントは自動的に暗黙のうちにクライアント認証に署名した CA を信頼します。 追加の CA が信頼されるには、Trusted Root Certification Authorities リストで CA をチェックします。

    /image/gif/paws/43722/acs-eap-28.gif

  10. Network Properties Window の Association タブで、データ暗号化(有効に なる WEP)をチェックすればキーは私にチェックボックス自動的に提供されます

  11. 『OK』 をクリック し、次に Network Configuration Window を閉じるために再度『OK』 をクリック して下さい。

    /image/gif/paws/43722/acs-eap-29.gif

確認

このセクションは設定を確認するためにきちんとはたらいている使用できる情報を提供します。

  • 無線クライアントが認証されたことを確認するために、これらのステップを完了して下さい:

    1. 無線クライアントで、Control Panel > Network and Internet Connections > Network Connections に行って下さい。

    2. メニューバーで、View > Tiles に行って下さい。

    無線接続は「認証によって成功する」メッセージを表示する必要があります。

  • 無線クライアントが認証されたことを確認するために、ACS Webインターフェイスの Reports and Activity > Passed Authentications > Passed Authentications active.csv に行って下さい。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • MS 認証 サービスがサービスパック 3.が付いている Windows 2000 新型サーバで企業 ルートCA としてインストールされていたことを確認して下さい。

  • Windows 2000(Service Pack 3)とともに Cisco Secure ACS for Windows バージョン 3.2 を使用していること確認します。

  • 無線クライアント上でマシン認証が失敗する場合は、無線接続でネットワーク接続が存在しません。 プロファイルが無線クライアント上にキャッシュされているアカウントだけが、ドメインにログインできます。 マシンは 802.1X セキュリティ無しで無線接続のための有線ネットワークかセットにプラグを差し込む必要があります。

  • ドメインに加入すると CA の自動登録が失敗した、イベント ビューアを考えられる原因としてチェックして下さい。

  • 無線クライアントのユーザ プロファイルに有効な証明書がない場合も、パスワードが正しければマシンとドメインにログオンできますが、無線接続には接続性がないことに注意してください。

  • (」および日付、クライアントの日時設定および CA 信頼「に」認証の有効なによって「決まる)無線クライアントの ACS 認証が無効なら、クライアントはそれを拒否し、認証は失敗します。 ACS はレポートの下で Webインターフェイスの失敗した認証を記録 し、アクティビティ > 試行失敗 > 「EAP-TLS または PEAP 認証と SSL ハンドシェイクの間に同じような認証 Failure-Code の試行失敗 XXX.csv は失敗しました」。 CSAuth.log ファイルの期待されたエラーメッセージはこのメッセージに類似したです:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • ACS 上のクライアントの証明書が無効である(証明書の有効な「from」および「to」の日付、サーバの日付と時刻の設定、および CA の信頼性に依存)場合、サーバはその証明書を拒否し、認証が失敗します。 ACS はレポートの下で Webインターフェイスの失敗した認証を記録 し、アクティビティ > 試行失敗 > 「EAP-TLS または PEAP 認証と SSL ハンドシェイクの間に同じような認証 Failure-Code の試行失敗 XXX.csv は失敗しました」。 ACS が CA を信頼しないので ACS がクライアント認証を拒否すれば、CSAuth.log ファイルの期待されたエラーメッセージはこのメッセージに類似したです:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    認証が切れたので ACS がクライアント認証を拒否すれば、CSAuth.log ファイルの期待されたエラーメッセージはこのメッセージに類似したです:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • では両方のレポートの下で ACS Webインターフェイスを、ログオンし、アクティビティ > 取得された認証 > 取得された認証 XXX.csv および Reportsand アクティビティ > 試行失敗 > 試行失敗 XXX.csv は形式 <user-id>@<domain> で、EAP-TLS 認証示されています。 PEAP 認証は形式 <DOMAIN> \ <user-id> で示されています。

  • 次のステップに従うことで、ACS サーバの証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。

    2. Start > Run の順に進み、mmc をタイプし、Microsoft Management Console を開くために『OK』 をクリック して下さい。

    3. メニューバーで、Console > Add/Remove Snap In の順に進み、『Add』 をクリック して下さい。

    4. [Certificates] を選択して、[Add] をクリックします。

    5. 『Computer Account』 を選択 し、『Next』 をクリック し、次に『Local Computer』 を選択 して下さい(このコンソールが動かしている)コンピュータ

    6. Finish、Close、OK の順にクリックします。

    7. ACS サーバに有効なサーバ側の証明書があることを確認するために、Console Root > Certificates (Local Computer) > Personal > Certificates に行き、ACS サーバ(この例のネームド OurACS)のための認証があることを確認して下さい。

    8. 認証を開き、これらの項目を確認して下さい:

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Ensures the identity of a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

    9. Details タブで、Version フィールドの値が V3 で、Enhanced Key Usage フィールドは Server Authentication (1.3.6.1.5.5.7.3.1) となっていること確認します。

    10. ACS サーバが CA サーバを信頼することを確認するために、Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates に行き、CA サーバのための認証があることを確認して下さい(この例で TAC CA と指名される)。

    11. 認証を開き、これらの項目を確認して下さい:

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 証明書の使用目的が正しい。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • 次のステップに従うことで、無線クライアントのマシン証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。 Start > Run の順に進むこと、タイプ mmc、および『OK』 をクリック することによって Microsoft Management Console を開いて下さい。

    2. メニューバーで、Console > Add/Remove Snap In の順に進み、次に『Add』 をクリック して下さい。

    3. Certificates を選択し、Add をクリックします。

    4. Computer account を選択し、Next をクリックしてから Local computer (the computer this console is running on) を選択します。

    5. Finish、Close、OK の順にクリックします。

    6. マシンが有効なクライアント側の証明書を持っていることを確認します。 証明書が無効である場合は、マシン認証は失敗します。 認証を確認するために、Console Root > Certificates (Local Computer) > Personal > Certificates に行って下さい。 マシンのための認証があることを確認して下さい; 名前は形式 <host-name>.<domain> にあります。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Proves your identity to a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

  • Details タブで、Version フィールドに値 V3 があること、そして Enhanced Key Usage フィールドが少なくとも値クライアント認証が含まれていることを確認して下さい(1.3.6.1.5.5.7.3.2); 追加目的はリストされるかもしれません。 Subject フィールドが値を CN = <host 名前 >.<domain> 示すようにして下さい; 追加値はリストされるかもしれません。 ホスト名とドメインが、証明書で指定されているものと一致することを確認します。

  • クライアントのプロファイルが CA サーバを信頼することを確認するために、Console Root > Certificates (Current User) > Trusted Root Certification Authorities > Certificates に行って下さい。 CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。 証明書を開き、次の項目を確認します。

    • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

    • 信頼されていない証明書に関する警告が存在しない。

    • 証明書の使用目的が正しい。

    • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

    ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • Cisco Secure ACS for Windows v3.2 の設定に記述されているように ACS 設定を確認して下さい。

  • MS 認証 サービスの設定に記述されているように CA 設定を確認して下さい。

  • Ciscoアクセスポイントの設定に記述されているように AP 設定を確認して下さい。

  • 無線クライアントの設定に記述されているように無線クライアント設定を確認して下さい。

  • ことを AAAサーバのまたは設定された外部 データベースの 1 つの内部データベースで存在 する ユーザアカウント確認しアカウントがディセーブルにされなかったことを確認して下さい。

  • セキュアハッシュアルゴリズム 2 (SHA-2)で構築される CA によって発行される認証は SHA-2 を現在サポートしない Java と開発されるので Cisco Secure ACS と互換性がありません。 この問題を解決するために、CA を再インストールし、SHA-1 の認証を発行するために設定して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 43722