セキュリティ : Cisco Secure Access Control Server for Windows

EAP-FAST 1.02 コンフィギュレーション ガイド

2006 年 2 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 5 月 14 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ACS での AP のセットアップ
      EAP-FAST を使用するための ACS のセットアップ
      AP の設定
      EAP-FAST を使用するためのクライアントのセットアップ
PAC の手動プロビジョニングに関する補足
      EAP-FAST を使用するための ACS オプションのセットアップ
      CSUtil.exe を使用した PAC の作成
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)バージョン 1.02 の設定例を紹介します。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • ファームウェア バージョン 5.40 およびドライバ バージョン 8.5 導入済の IOS AP 12.2(13)JA3、350、または CB20A クライアント(CB21AG クライアントは 2H CY2004 でサポート予定)

  • ACU 6.3 がインストールされている Access Control Server(ACS)3.2.3、Windows 2000、または XP

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

ACS での AP のセットアップ

ACS で Access Point(AP; アクセス ポイント)をセットアップするには、次の手順を実行します。

  1. ACS サーバで、左側にある Network Configuration をクリックします。

  2. AAA クライアントを追加するために、Add Entry をクリックします。

  3. ボックスに次の値を入力します。

    • AAA Client IP Address — AP の IP アドレス

    • Key — キーを作成します(AP の共有秘密キーと一致するようにします)

    • Authenticate Using — RADIUS (Cisco Aironet)

  4. Submit をクリックします。

  5. 再起動します。

EAP-FAST を使用するための ACS のセットアップ

EAP-FAST を使用できるように ACS をセットアップするには、次の手順を実行します。

  1. System Configuration > Global Authentication Setup の順に選択します。

  2. Allow EAP-FAST ボックスにチェックマークを付けます。

  3. Authority ID Info フィールドに値を入力します(スペースは使用できません)。

  4. Allow automatic PAC provisioning ボックスにチェックマークを付けます。

    注:PAC の自動プロビジョニングは、クライアントにインバンドで PAC を提供する、オーバーヘッドの少ない方法です。自動プロビジョニングには、注意事項がいくつかあります。

    1. 最初の EAP-FAST 認証に失敗しないと、自動プロビジョニングは実行されません。

    2. LDAP ユーザには自動プロビジョニングを行えないため、手動でプロビジョニングを行う必要があります。

    3. 自動プロビジョニングでは、最初のプロビジョニング時に MITM 攻撃を受けやくなります。

  5. EAP-FAST master server ボックスにチェックマークを付けます。

  6. Submit をクリックします。

  7. 再起動します。

AP の設定

AP を設定するには、次の手順を実行します。

  1. Security > Server Manager の順に選択します。

  2. Current Server List ドロップダウン リストから、RADIUS を選択します。

  3. ACS の IP アドレスを入力します。

  4. 共有秘密を入力します(ACS 内のキーと一致する必要があります)。

  5. Apply をクリックします。

  6. EAP Authentication ドロップダウン リストから、RADIUS サーバの IP アドレスを選択します。

  7. Apply をクリックします。

Encryption Manager(WEP 暗号化のみ)

WEP 暗号化のみを使用する場合は、次の手順を実行します。

  1. Security > Encryption Manager の順に選択します。

  2. WEP Encryption オプション ボタンをクリックします。

  3. ドロップダウン リストから、Mandatory を選択します。

  4. Encryption Key 1 オプション ボタンをクリックします。

  5. キーを入力します。

  6. Key Size ドロップダウン リストから、128 を選択します。

  7. Apply をクリックします。

Encryption Manager(WPA キー管理)

WPA キー管理を使用する場合は、次の手順を実行します。

  1. Security > Encryption Manager の順に選択します。

  2. Cipher オプション ボタンをクリックします。

  3. ドロップダウン リストから、TKIP を選択します。

  4. Apply をクリックします。

SSID Manager(WEP 暗号化のみ)

WEP 暗号化のみを使用する場合は、次の手順を実行します。

  1. Current SSID List から SSID を選択するか、SSID フィールドに新しい SSID を入力します。

  2. Open Authentication ボックスにチェックマークを付けます。

  3. ドロップダウン リストから、EAP を選択します。

  4. Network EAP ボックスにチェックマークを付けます。

  5. Apply をクリックします。

SSID Manager(WPA キー管理)

WPA キー管理を使用する場合は、次の手順を実行します。

  1. Current SSID List から SSID を選択するか、SSID フィールドに新しい SSID を入力します。

  2. Open Authentication ボックスにチェックマークを付けます。

  3. ドロップダウン リストから、EAP を選択します。

  4. Network EAP ボックスにチェックマークを付けます。

  5. Authenticated Key Management を選択します。

  6. ドロップダウン リストから、Mandatory を選択します。

  7. WPA ボックスにチェックマークを付けます。

  8. Apply をクリックします。

EAP-FAST を使用するためのクライアントのセットアップ

WEP 暗号化のみ

WEP 暗号化のみを使用する場合は、次の手順を実行します。

  1. ACU を開きます。

  2. Manage Profile を選択します。

  3. プロファイルを作成します(または編集します)。

  4. AP のクライアント名と SSID を入力します。

  5. Network Security タブをクリックします。

  6. EAP-FAST を選択します。

  7. Configure をクリックします。

  8. Allow Automatic PAC Provisioning for This Profile ボックスにチェックマークを付けます。

    注:PAC の自動プロビジョニングは、クライアントにインバンドで PAC を提供する、オーバーヘッドの少ない方法です。自動プロビジョニングには、注意事項がいくつかあります。

    1. 最初の EAP-FAST 認証に失敗しないと、自動プロビジョニングは実行されません。

    2. LDAP ユーザには自動プロビジョニングを行えないため、手動でプロビジョニングを行う必要があります。

    3. 自動プロビジョニングでは、最初のプロビジョニング時に MITM 攻撃を受けやくなります。

  9. Ok をクリックします。

  10. Ok をクリックします。

  11. Ok をクリックします。

  12. 作成したプロファイルを選択します。

WPA キー管理

WPA キー管理を使用する場合は、次の手順を実行します。

  1. ACU を開きます。

  2. Manage Profile を選択します。

  3. プロファイルを作成します(または編集します)。

  4. AP のクライアント名と SSID を入力します。

  5. Network Security タブをクリックします。

  6. WiFi Protected Access (WPA) ボックスにチェックマークを付けます。

  7. Network Security Type に、EAP-FAST (WPA) を選択します。

  8. Configure をクリックします。

  9. Allow Automatic PAC Provisioning for This Profile ボックスにチェックマークを付けます。

    注:PAC の自動プロビジョニングは、クライアントにインバンドで PAC を提供する、オーバーヘッドの少ない方法です。自動プロビジョニングには、注意事項がいくつかあります。

    1. 最初の EAP-FAST 認証に失敗しないと、自動プロビジョニングは実行されません。

    2. LDAP ユーザには自動プロビジョニングを行えないため、手動でプロビジョニングを行う必要があります。

    3. 自動プロビジョニングでは、最初のプロビジョニング時に MITM 攻撃を受けやくなります。

  10. Ok をクリックします。

  11. Ok をクリックします。

  12. Ok をクリックします。

  13. 作成したプロファイルを選択します。

PAC の手動プロビジョニングに関する補足

このセクションでは、すでに説明した手動 PAC プロビジョニングの設定方法とは異なる手順について説明します。

EAP-FAST を使用するための ACS オプションのセットアップ

次の手順はオプションです。一部のクライアントで自動プロビジョニングを使用したい場合は、このオプションにチェックマークを付けたままにしてください。

  1. System Configuration > Global Authentication Setup の順に選択します。

  2. Allow automatic PAC provisioning ボックスのチェックマークをはずします。

CSUtil.exe を使用した PAC の作成

次の手順は、要件に応じて大きく変わります。詳細については、『Cisco Secure ACS for Windows Server 3.2 ユーザ ガイド』を参照してください。

CSUtil.exe を使用して PAC を作成するための基本構文は次のとおりです。

 csutil [-t] [-filepath <full filepath>] [-passwd <password>] [[-a] [-g <group number>]
 [-u <user name>] [-f <full filepath>]]
 

-filepath は省略可能です。この部分には、出力先のディレクトリを指定します(すでに存在しているディレクトリを指定する必要があります)。これを指定しなかった場合、PAC は ACS Utils のディレクトリに保存されます(多数の PAC を作成する場合は混乱する可能性があります)。

-passwd は省略可能です。この部分には、PAC を保護するためのパスワードを指定します。これを指定しなかった場合、デフォルトのパスワードはありません。

次に、有効な PAC 作成コマンドの例をいくつか示します。

  • csutil -t -filepath c:\acspac -passwd 5p0rk5 -f c:\acspac\pac.txt — pac.txt ファイルで指定されているユーザに対して PAC を作成します。

  • csutil -t -filepath c:\acspac -passwd 5p0rk5 -g 0 — ACS グループ 0 に含まれるユーザに対して PAC を作成します。

  • csutil -t -filepath c:\acspac -passwd 5p0rk5 -u vadablam — ACS で vadablam という名前を使用しているユーザに対して PAC を作成します。

  • csutil -t -filepath c:\acspac -passwd 5p0rk5 -a — ACS のすべてのユーザに対して PAC を作成します(かなり時間がかかる場合もあります)。

テストとして 1 人のユーザに対して PAC を作成するには、次の手順を実行します。

  1. PAC の出力先ディレクトリを作成します(省略可能)。

  2. そのユーザが ACS に存在することを確認します。

  3. コマンド プロンプトを開きます。

  4. ACS Utils のディレクトリに移動します。

  5. csutil -t -filepath <filepath> -passwd <password> -u <user> コマンドを入力します。

  6. ユーザのホストに新しい .pac ファイルをコピーします。

次の手順を実行して、手動 PAC プロビジョニングを行うようにクライアントを設定します。

  1. ACU で、Network Security Type として EAP-FAST を選択し、Configure をクリックします。

  2. Allow Automatic PAC Provisioning for This Profile ボックスのチェックマークをはずします。

  3. Import をクリックします。

  4. .pac の場所を参照します。

  5. .pac を選択します。

  6. パスワードを入力します(要求された場合)。

  7. Ok をクリックします。

  8. Ok をクリックします。

  9. Ok をクリックします。

  10. Ok をクリックします。

  11. 作成したプロファイルを選択します。

確認

現在のところ、この設定を確認する手順はありません。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を示します。

詳細については、次のドキュメントを参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64063