ワイヤレス / モビリティ : ワイヤレス、固定

EAP-FAST 認証を使用する Cisco Secure Services Client

2006 年 12 月 6 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 12 月 6 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設計パラメータ
      データベース
      暗号化
      シングル サインオンとマシンのクレデンシャル
ネットワーク ダイアグラム
Access Control Server(ACS)の設定
      ACS でアクセス ポイントを AAA クライアント(NAS)として追加する
      外部データベースに照会するため ACS を設定する
      ACS で EAP-FAST サポートを有効にする
      Cisco WLAN コントローラ
ワイヤレス LAN コントローラの設定
      LAP の基本動作およびコントローラへの LAP の登録
      Cisco Secure ACS を介した RADIUS 認証
      WLAN パラメータの設定
動作の確認
付録
      EAP-FAST Exchange のスニファ キャプチャ
      WLAN コントローラでのデバッグ
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、EAP-FAST により、ワイヤレス LAN コントローラ、Microsoft Windows 2000(R) ソフトウェア、および Cisco Secure Access Control Server(ACS)4.0 で Cisco Secure Services Client(CSSC)を設定する方法について説明します。 このドキュメントでは EAP-FAST のアーキテクチャを紹介し、展開と設定の例を示します。 CSSC はクライアント ソフトウェア コンポーネントで、ユーザをネットワークに対して認証し、適切なアクセス権を割り当てるために、ユーザのクレデンシャルのインフラストラクチャへのコミュニケーションを実現します。

このドキュメントで概要が示されている CSSC ソリューションには、次のような利点があります。

  • Extensible Authentication Protocol(EAP)を使用した、WLAN/LAN へのアクセス権限に先行する各ユーザ(またはデバイス)の認証

  • サーバ、Authenticator、およびクライアント コンポーネントを使用したエンドツーエンドの WLAN セキュリティ ソリューション

  • 有線と無線の認証に共通のソリューション

  • 認証プロセスで取得される動的なユーザごとの暗号化キー

  • Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)または証明書が不要(証明書検証はオプション)

  • アクセス ポリシー割り当て/NAC 対応の EAP フレームワーク

注:セキュアな無線の展開については、『Cisco SAFE ワイヤレス計画』を参照してください。

802.1x 認証フレームワークは、802.11 ワイヤレス LAN ネットワークにおけるレイヤ 2 ベースの認証、許可、およびアカウンティング(AAA)機能を有効にするために、802.11i(無線 LAN のセキュリティ)標準の一部として組み込まれています。 今日では、有線と無線両方のネットワークにおける展開で使用できる EAP プロトコルがいくつか存在します。 一般的に展開される EAP プロトコルには、LEAP、PEAP、および EAP-TLS があります。 これらのプロトコルに加えて、Cisco では、有線と無線両方の LAN ネットワークでの配備に使用できる標準規格ベースの EAP プロトコルとして、EAP Flexible Authentication through Secured Tunnel(EAP-FAST)プロトコルを定義および実装しています。 EAP-FAST プロトコルの仕様は、IETF の Web サイトで一般に公開されています。

その他の EAP プロトコルと同じように、EAP-FAST は、TLS トンネル内部での EAP トランザクションを暗号化するクライアント/サーバ型のセキュリティ アーキテクチャです。 この点では PEAP や EAP-TTLS に似ていますが、(サーバ X.509 証明書を使用して認証セッションを保護する)PEAP/EAP-TTLS と対比すると、EAP-FAST トンネル確立は各ユーザに固有の強力な共有秘密キーに基づくという点において、EAP-FAST は異なります。 これらの共有秘密キーは Protected Access Credential(PAC)と呼ばれ、クライアント デバイスに自動(Automatic または In-band Provisioning)または手動(Manual または Out-of-band Provisioning)で配布できます。 共有秘密に基づくハンドシェイクは PKI インフラストラクチャに基づくハンドシェイクよりも効率的なので、保護された認証交換を実現するプロトコルの中では、EAP-FAST が最速でプロセッサの負荷が少ない EAP タイプになります。 さらに EAP-FAST は、ワイヤレス LAN クライアント上または RADIUS インフラストラクチャ上で証明書を必要とせず、組み込み型のプロビジョニンング メカニズムを備えているため、展開を簡単にする設計になっています。

次に、EAP-FAST プロトコルの主要な機能の一部を示します。

  • Windows のユーザ名/パスワードを使用した Single Sign-On(SSO; シングル サインオン)

  • ログイン スクリプト実行のサポート

  • サードパーティ製サプリカントを必要としない Wi-Fi Protected Access(WPA)のサポート(Windows 2000 および XP のみ)

  • PKI インフラストラクチャを必要としない簡単な展開

  • Windows パスワード エージング(つまり、サーバベースのパスワード期限切れのサポート)

  • 適切なクライアント ソフトウェアを使用した Network Admission Control 用の Cisco Trust Agent との統合

前提条件

要件

このドキュメントではテストを行うための特定の設定のみがカバーされているため、インストールを実行するユーザには基本的な Windows 2003 のインストールと Cisco WLC のインストールの知識があることが前提となっています。

Cisco 4400 シリーズ コントローラの初期インストールおよび設定については、『クイック スタート ガイド:Cisco 4400 シリーズ ワイヤレス LAN コントローラ』を参照してください。 Cisco 2000 シリーズ コントローラの初期インストールおよび設定については、『クイック スタート ガイド:Cisco 2000 シリーズ ワイヤレス LAN コントローラ』を参照してください。

作業を始める前に、最新のサービス パック ソフトウェアが含まれる Microsoft Windows Server 2000 をインストールします。 コントローラと Lightweight アクセス ポイント(LAP)をインストールし、最新のソフトウェア更新が設定されていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 4.0.155.5 が稼働する Cisco 2006 または 4400 シリーズ コントローラ

  • Cisco 1242 LWAPP AP

  • Active Directory を搭載した Windows 2000

  • Cisco Catalyst 3750G スイッチ

  • CB21AG アダプタ カードと Cisco Secure Services Client バージョン 4.05 を伴う Windows XP

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設計パラメータ

データベース

WLAN ネットワークを展開して、認証プロトコルを決定する場合、通常はユーザ/マシンの認証用に現在のデータベースを使用するのが望まれます。 使用できる一般的なデータベースは、Windows Active Directory、LDAP、または One-Time Password(OTP; ワンタイム パスワード)データベース(つまり RSA や SecureID)です。 これらすべてのデータベースが EAP-FAST プロトコルと互換性がありますが、展開を計画する際には、考慮する必要がある互換性の要件がいくつか存在します。 クライアントへの PAC ファイルの最初の展開は、匿名自動プロビジョニング、(現行のクライアント X.509 証明書を介した)認証済みプロビジョニング、または手動プロビジョニングで実行されます。 このドキュメントの目的に合わせて、匿名自動プロビジョニングと手動プロビジョニングを検討します。

自動 PAC プロビジョニングでは、Authenticated Diffie-Hellman Key Agreement Protocol(ADHP)を使用してセキュアなトンネルが確立されます。 セキュアなトンネルは、匿名で、またはサーバ認証メカニズムを介して確立できます。 確立されたトンネル接続内では、クライアントの認証に MS-CHAPv2 が使用され、認証が成功するとクライアントに PAC ファイルが配布されます。 PAC が正しくプロビジョニングされた後、セキュアなネットワーク アクセスを実現するために、PAC ファイルを使用して新しい EAP-FAST 認証セッションを開始できます。

自動プロビジョニング メカニズムは MSCHAPv2 に依存していることから、ユーザの認証に使用されるデータベースは使用されるデータベースのパスワード形式と互換性がある必要があるため、自動 PAC プロビジョニングは、使用されるデータベースと関連することになります。 EAP-FAST と、MSCHAPv2 形式をサポートしないデータベース(OTP、Novell、LDAP など)を併用する場合、ユーザ PAC ファイルを展開するために別のメカニズム(つまり手動プロビジョニングや認証済みプロビジョニング)を採用する必要があります。 このドキュメントでは、Windows のユーザ データベースを使用した自動プロビジョニングの例を示します。

暗号化

EAP-FAST 認証は、特定の WLAN 暗号化タイプの使用を必要としません。 使用される WLAN 暗号化のタイプは、クライアントの NIC カードの機能により決定されます。 特定の展開における NIC カードの機能に応じて、WPA2(AES-CCM)または WPA(TKIP)の暗号化を採用することをお勧めします。 Cisco WLAN ソリューションでは、共通の SSID 上に WPA2 クライアント デバイスと WPA クライアント デバイスの両方が共存できることに注意してください。

クライアント デバイスで WPA2 や WPA がサポートされていない場合、ダイナミックな WEP キーを使用した 802.1X 認証を展開できますが、WEP キーに対する有名な悪用があるため、この WLAN 暗号化メカニズムはお勧めできません。 WEP 専用クライアントサポートする必要がある場合、クライアントが短い間隔で新しい WEP キーを取得する必要があるセッションタイムアウト間隔を採用することをお勧めします。 一般的な WLAN データ レートに対しては 30 分が推奨されるセッション間隔です。

シングル サインオンとマシンのクレデンシャル

シングル サインオンとは、認証のためのクレデンシャルの 1 回のユーザ サインオンまたは入力が、複数のアプリケーションまたは複数のデバイスにアクセスするために使用できることを指しています。 このドキュメントの目的に合わせると、シングル サインオンとは、WLAN に対する認証のために PC へのログオンに使用されるクレデンシャルを使用することを指します。

Cisco Secure Services Client を使用すると、あるユーザのログオン クレデンシャルを使用して、WLAN ネットワークに対して認証することも可能です。 PC へのユーザ ログオンの前に PC をネットワークに対して認証することが望ましい場合、保存されたユーザ クレデンシャルか、マシン プロファイルと結び付けられたクレデンシャルのいずれかを使用する必要があります。 ユーザのログオン時ではなく、PC の起動時にログオン スクリプトを実行するかドライブをマッピングすることが望ましいケースでは、これらの方式のどちらも有用です。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク ダイアグラムを使用します。 このネットワークでは、4 つのサブネットが使用されます。 以下に示すデバイスを異なるネットワークにセグメント化する必要はありませんが、このようにすると実際のネットワークとの統合に関して最高の柔軟性が利用可能になります。 Catalyst 3750G Integrated Wireless LAN Controller では、通常のシャーシ上で Power Over Ethernet(POE)スイッチポート、L3 スイッチング、および WLAN コントローラ機能が実現されます。

  1. ネットワーク 10.1.1.0 は、ACS が存在するサーバ ネットワークです。

  2. ネットワーク 10.10.80.0 は、WLAN コントローラにより使用される管理ネットワークです。

  3. ネットワーク 10.10.81.0 は、AP が存在するネットワークです。

  4. ネットワーク 10.10.82.0 は、WLAN クライアント用に使用されます。

CSSC_Deployment_Guide1.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

Access Control Server(ACS)の設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ACS でアクセス ポイントを AAA クライアント(NAS)として追加する

このセクションでは、外部データベースとして、Windows Active Directory によるインバンド PAC プロビジョニングを使用して EAP-FAST 用に ACS を設定する方法について説明します。

  1. ログオンして ACS > Network Configuration と選択し、Add Entry をクリックします。

  2. WLAN コントローラ名、IP アドレス、共有秘密キーを入力し、Authenticate Using の下で RADIUS (Cisco Airespace) を選択します(これには RADIUS IETF 属性も含まれます)。

    注: Network Device Groups (NDG) が有効である場合、まず適切な NDG を選択してからそれに WLAN コントローラを追加します。 NDG の詳細については、『ACS 設定ガイド』を参照してください。

  3. Submit+ Restart をクリックします。

    CSSC_Deployment_Guide2.gif

    AAA Client 設定画面
    ※ 画像をクリックすると、大きく表示されます。

外部データベースに照会するため ACS を設定する

このセクションでは、外部データベースを照会するために ACS を設定する方法について説明します。

  1. External User Database > Database Configuration > Windows Database > Configure の順にクリックします。

  2. Configure Domain List の下で、Domains を、Available Domains から Domain List へ移動させます。

    注:ACS アプリケーションが認証のためにこれらのドメインを検出および使用するために、ACS を実行するサーバではこれらのドメインが認識されている必要があります。

    CSSC_Deployment_Guide3.gif

    Configure Domain List 画面
    ※ 画像をクリックすると、大きく表示されます。

  3. Windows EAP Settings の下で、PEAP または EAP-FAST セッション内部でのパスワード変更を許可するオプションを設定します。 EAP-FAST と Windows パスワードのエージングの詳細については、『Cisco Secure ACS 4.1 の設定ガイド』を参照してください。

  4. Submit をクリックします。

    注:Windows の外部データベースがアクセス許可を制御することを許可するために、Windows User Database Configuration の下で EAP-FAST 用の Dialin Permission 機能を有効にすることもできます。 Windows database configuration ページのパスワード変更用の MS-CHAP Settings は、非 EAP MS-CHAP 認証にのみ適用可能です。 EAP-FAST と組み合わせたパスワード変更を有効にするには、Windows EAP Settings の下でパスワード変更を有効にする必要があります。

    CSSC_Deployment_Guide4.gif

    Windows EAP Settings 画面
    ※ 画像をクリックすると、大きく表示されます。

  5. External User Database > Unknown User Policy の順にクリックし、Check the following external user databases オプション ボタンを選択します。

  6. Windows データベースを、External Databases から Selected Databases へ移動させます。

  7. Submit をクリックします。

    注:これ以降、ACS は Windows のデータベースをチェックします。 ユーザが ACS ローカル データベース内に見つからない場合、ユーザは ACS のデフォルト グループ内に配置されます。 データベース グループ マッピングの詳細については、ACS のドキュメントを参照してください。

    注:ユーザのクレデンシャルを確認するために ACS が Microsoft Active Directory データベースに照会するため、Windows で追加のアクセス権設定を設定する必要があります。 詳細は、『Cisco Secure ACS for Windows Server のインストール ガイド』を参照してください。

    CSSC_Deployment_Guide5.gif

    Configure Unknown User Policy 画面
    ※ 画像をクリックすると、大きく表示されます。

ACS で EAP-FAST サポートを有効にする

このセクションでは、ACS で EAP-FAST サポートを有効にする方法について説明します。

  1. System Configuration > Global Authentication Setup > EAP-FAST Configuration の順に選択します。

  2. Allow EAP-FAST を選択します。

  3. 推奨事項である Master key TTL、Retired master key TTL、PAC TTL を設定します。 これらの設定は、Cisco Secure ACS のデフォルトでは次のように設定されています。

    • Master Key TTL:1 か月

    • Retired Key TTL:3 か月

    • PAC TTL:1 週間

  4. Authority ID Info フィールドに入力します。 このテキストは、PAC Authority にコントローラが選択されている場合に、一部の EAP-FAST クライアント ソフトウェア上で表示されます。

    注:Cisco Secure Services Client では、PAC Authority 用のこの説明文は採用されていません。

  5. Allow in-band PAC provisioning フィールドを選択します。 このフィールドにより、適切に有効にされた EAP-FAST クライアント用の自動 PAC プロビジョニングが有効になります。 この例では、自動プロビジョニングが採用されています。

  6. Allowed inner methods で次を選択します。EAP-GTC および EAP-MSCHAP2。 これにより、EAP-FAST v1 クライアントと EAP-FAST v1a クライアント両方の動作が許可されます (Cisco Secure Services Client では EAP-FAST v1a をサポートしています)。 EAP-FAST v1 クライアントをサポートする必要がない場合は、内部方式として EAP-MSCHAPv2 のみを有効にする必要があります。

  7. EAP-FAST Master Server チェックボックスを選択し、この EAP-FAST サーバをマスターとして有効にします。 これにより、ネットワーク内の各 ACS の一意のキーのプロビジョンを避けるために、その他の ACS サーバがこのサーバをマスター PAC Authority として利用できるようになります。 詳細は、『ACS 設定ガイド』を参照してください。

  8. Submit+Restart をクリックします。

    CSSC_Deployment_Guide6.gif

    EAP-FAST Settings 画面
    ※ 画像をクリックすると、大きく表示されます。

Cisco WLAN コントローラ

展開ガイドとしてのこのドキュメントの目的に合わせて、CSSC テスト用の WLAN インフラストラクチャを提供するために、Cisco WS3750G Integrated Wireless LAN Controller(WLC)が、Cisco AP1240 Lightweight AP(LAP)とともに使用されます。 この設定は任意の Cisco WLAN コントローラに適用できます。 採用されているソフトウェアのバージョンは 4.0.155.5 です。

ワイヤレス LAN コントローラの設定

LAP の基本動作およびコントローラへの LAP の登録

基本動作用に WLC を設定するには、command-line interface(CLI; コマンドライン インターフェイス)上でスタートアップ コンフィギュレーション ウィザードを使用します。 または、WLC を設定するために GUI を使用することもできます。 このドキュメントでは、CLI 上でスタートアップ コンフィギュレーション ウィザードを使用した、WLC 上の設定について説明します。

WLC が初めて起動すると、スタートアップ コンフィギュレーション ウィザードに入ります。 基本設定を設定するには、コンフィギュレーション ウィザードを使用します。 このウィザードには CLI または GUI からアクセスできます。 次の出力に、CLI 上でのスタートアップ コンフィギュレーション ウィザードの例を示します。

 Welcome to the Cisco Wizard Configuration Tool
 Use the '-' character to backup
 System Name [Cisco_33:84:a0]: ws-3750
 Enter Administrative User Name (24 characters max): admin
 Enter Administrative Password (24 characters max): *****
 Management Interface IP Address: 10.10.80.3
 Management Interface Netmask: 255.255.255.0
 Management Interface Default Router: 10.10.80.2
 Management Interface VLAN Identifier (0 = untagged):
 Management Interface DHCP Server IP Address: 10.10.80.2
 AP Manager Interface IP Address: 10.10.80.4
 AP-Manager is on Management subnet, using same values
 AP Manager Interface DHCP Server (172.16.1.1):
 Virtual Gateway IP Address: 1.1.1.1
 Mobility/RF Group Name: Security
 Network Name (SSID): Enterprise
 Allow Static IP Addresses [YES][no]: yes
 Configure a RADIUS Server now? [YES][no]: no
 Warning! The default WLAN security policy requires a RADIUS server.
 Please see documentation for more details.
 Enter Country Code (enter 'help' for a list of countries) [US]:
 Enable 802.11b Network [YES][no]: yes
 Enable 802.11a Network [YES][no]: yes
 Enable 802.11g Network [YES][no]: yes
 Enable Auto-RF [YES][no]: yes
 
 Configuration saved!
 Resetting system with new configuration.
 

これらのパラメータにより、WLC が基本動作用に設定されます。 この設定例では、WLC は管理インターフェイス IP アドレスとして 10.10.80.3 を使用し、AP マネージャ インターフェイス IP アドレスとして 10.10.80.4 を使用しています。

その他の機能を WLC 上で設定する前に、WLC で LAP を登録する必要があります。 このドキュメントでは、LAP が WLC に登録されていることが前提となっています。 Lightweight AP の登録がどのように WLC で行われるかの詳細については、『Lightweight アクセス ポイントのための WLAN コントローラのフェールオーバーの設定例』の「Lightweight AP を WLC に登録する」のセクションを参照してください。 この設定例では、AP1240 は WLAN コントローラ(10.10.80.0/24)からは独立したサブネット(10.10.81.0/24)に展開され、コントローラ検出を行うため DHCP オプション 43 が使用されています。

Cisco Secure ACS を介した RADIUS 認証

WLC は、Cisco Secure ACS サーバへユーザのクレデンシャルを転送するように設定する必要があります。 そうすると、ACS サーバは(設定済みの Windows データベースを介して)ユーザのクレデンシャルを検証し、ワイヤレス クライアントにアクセス権を提供します。

ACS サーバへのコミュニケーション用に WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI から SecurityRADIUS Authentication をクリックして、RADIUS Authentication Servers ページを表示します。 続いて New をクリックして ACS サーバを定義します。

    CSSC_Deployment_Guide7.gif

    RADIUS Authentication Servers 画面
    ※ 画像をクリックすると、大きく表示されます。

  2. RADIUS Authentication Servers > New ページで ACS サーバのパラメータを定義します。 これらのパラメータには、ACS IP Address、Shared Secret、Port Number、および Server Status が含まれます。

    注:ポート番号 1645 または 1812 は、RADIUS 認証用に ACS と互換性があります。

    Network User チェック ボックスと Management チェック ボックスでは、ネットワーク ユーザ(WLAN クライアントなど)と管理(つまり管理ユーザ)に RADIUS ベースの認証を適用することを指定します。 設定例では、次のように、Cisco Secure ACS を IP アドレスが 10.1.1.12 である RADIUS サーバとして使用します。

    CSSC_Deployment_Guide8.gif

    RADIUS Authentication サーバの設定画面
    ※ 画像をクリックすると、大きく表示されます。

WLAN パラメータの設定

このセクションでは、Cisco Secure Services Client の設定について説明します。 このドキュメントの例では、CSSC v4.0.5.4783 が Cisco CB21AG クライアント アダプタとともに使用されています。 CSSC ソフトウェアをインストールする前に、CB21AG 用のドライバのみがインストールされ、Aironet Desktop Utility(ADU)がインストールされていないことを確認してください。

このソフトウェアがインストールされ、サービスとして動作するようになると、そのサービスは使用可能なネットワークをスキャンし、使用可能なネットワークを表示します。

注:CSSC により Windows Zero Config が無効にされます。

注:ブロードキャストに対して有効になっている SSID のみが可視になります。

CSSC_Deployment_Guide11.gif

Cisco Secure Services Client 画面

注:デフォルトでは WLAN コントローラは SSID をブロードキャストするため、その SSID が、スキャンされた SSID の Create Networks リストに表示されます。 Network Profile を作成するには、リスト(Enterprise)の SSID および Create Network オプション ボタンをクリックするだけで済みます。

WLAN インフラストラクチャがブロードキャスト SSID を無効にして設定されている場合、手動で SSID を追加する必要があります。Access Devices の下で Add オプション ボタンをクリックし、手動で適切な SSID(Enterprise など)を入力します。 クライアントのアクティブなプローブ動作(つまり、クライアントが設定済みの SSID をアクティブに探査する)を設定します。Add Access Device ウィンドウで SSID を入力した後、Actively search for this access device を指定します。

注:EAP 認証設定がまずプロファイルに対して設定されていない場合、ポート設定ではエンタープライズ モード(802.1X)は許可されません。

Create Network オプション ボタンを押すと Network Profile ウィンドウが表示され、このウィンドウでは選択済み(または設定済み)の SSID を認証メカニズムと関連付けることができます。 プロファイルに説明的な名前を割り当てます。

注:この認証プロファイルの下では、複数の WLAN セキュリティ タイプや SSID を関連付けることができます。

RF カバー範囲内にある際にクライアントを自動的にネットワークに接続させるには、Automatically establish User connection を選択します。 このプロファイルをマシン上の他のユーザ アカウントとともに使用することが望ましくない場合、Available to all users のチェックを外します。 Automatically establish が選択されていない場合、ユーザが CSSC ウィンドウを開き、Connect オプション ボタンで WLAN 接続を手動で開始する必要があります。

ユーザ ログオンの前に WLAN 接続を開始することが望ましい場合は、Before user account を選択します。 これにより、保存されたユーザのクレデンシャルを使用したシングル サインオン動作が可能になります(パスワードまたは証明書/EAP-FAST 内で TLS を使用する場合はスマートカード)。

CSSC_Deployment_Guide12.gif

Network Profile 画面
※ 画像をクリックすると、大きく表示されます。

注:Cisco Aironet 350 シリーズ クライアント アダプタでの WPA/TKIP の動作に関しては、WPA ハンドシェイク ハッシュ検証に関して CSSC クライアントと 350 ドライバとの間には現時点で互換性がないため、WPA ハンドシェイク検証を無効にする必要があります。 これを無効にするには Client > Advanced Settings > WPA/WPA2 Handshake Validation で行います。 無効にされたハンドシェイク検証では依然として WPA に固有のセキュリティ機能(TKIP のパケットごとのキー生成および Message Integrity Check)は許可されますが、最初の WPA キー認証が無効にされます。

CSSC_Deployment_Guide13.gif

Add Access Device 画面

Network Configuration Summary の下で Modify をクリックして EAP/クレデンシャルの設定を設定します。 Turn On 認証を指定し、Protocol の下で FAST を選択し、(最初の EAP 要求でユーザ名を使用しないために)'Anonymous' as Identity を選択します。 Use Username as Identity を外部 EAP 識別情報として使用することは可能ですが、お客様の多くでは最初の暗号化されていない EAP 要求でユーザ ID を提示することは希望されません。 ネットワーク認証用のログオン クレデンシャルを使用するには、Use Single Sign on Credentials を指定します。 Configure をクリックして EAP-FAST のパラメータを設定します。

CSSC_Deployment_Guide14.gif

Network Authentication... 画面
※ 画像をクリックすると、大きく表示されます。

FAST 設定の下では、EAP-FAST セッションの確立の前に EAP-FAST サーバ(ACS)証明書をクライアントが検証できるようにする Validate Server Certificate を指定できます。 これにより、未知のまたは不正な EAP-FAST サーバへの接続や、信頼できないソースへ不用意に認証のためのクレデンシャルを発行してしまうことから、クライアント デバイスを保護できます。 これには、ACS サーバに証明書がインストールされている必要はなく、またクライアントには対応する Root Certificate Authority 証明書がインストールされている必要もありません。 この例では、サーバ証明書の検証は有効ではありません。

FAST 設定の下では Allow Fast Session Resumption を指定することが可能です。これにより、完全な EAP-FAST の再認証を必要とせずに、トンネル(TLS セッション)情報に基づく EAP-FAST セッションの再開が可能になります。 EAP-FAST サーバとクライアントが最初の EAP-FAST 認証交換内でネゴシエートされる TLS セッション情報を共通して認識している場合、セッションの再開が可能になります。

注:EAP-FAST サーバとクライアントの両方が EAP-FAST セッション再開用に設定されている必要があります。

PAC 自動プロビジョン用の EAP-MSCHAPv2 と認証用の EAP-GTC を許可するには、Tunneled Method > EAP-TLS Settings の下で Any Method を指定します。 Active Directory などの Microsoft 形式のデータベースを使用していて、そのデータベースでネットワーク上の EAP-FAST v1 クライアントがサポートされていない場合、Tunneled Method としては MSCHAPv2 のみの使用を指定することもできます。

注:Validate Server Certificate は、このウィンドウ上の EAP-TLS 設定の下でデフォルトで有効になっています。 この例では内部認証方式として EAP-TLS を使用していないため、このフィールドは適用できません。 このフィールドが有効である場合、EAP-TLS 内でのクライアント証明書のサーバによる検証に加えて、クライアントがサーバ証明書を検証することもできます。

CSSC_Deployment_Guide15.gif

Configure EAP Method... 画面

EAP-FAST の設定を保存するには OK をクリックします。 クライアントはプロファイルの下で「automatically establish」用に設定されているため、自動的にネットワークとのアソシエーション/認証が開始されます。 Manage Networks タブの、Network、Status、および Data Security フィールドはクライアントの接続状態を示しています。 例からは、Profile Enterprise Network が使用中で、Network Access Device が SSID Enterprise であることが確認でき、ここでは Connected:Authenticated が示され、Autoconnect が使用されています。 Data Security フィールドは、採用されている 802.11 暗号化タイプを示しています(この例では WPA2)。

CSSC_Deployment_Guide16.gif

Cisco Secure Services Client 画面
※ 画像をクリックすると、大きく表示されます。

クライアントが認証を行った後、接続の詳細情報を照会するには、Manage Networks タブの Profile の下で SSID を選択し、Status をクリックします。 Connection Details ウィンドウには、クライアント デバイス、接続の状態と統計、および認証方式に関する情報が表示されます。 WiFi Details タグには、802.11 の接続状態に関する詳細情報が表示されますが、これには RSSI、802.11 チャネル、および認証/暗号化が含まれます。

CSSC_Deployment_Guide17.gif

Connection Status 画面の Connection Details タブ

CSSC_Deployment_Guide18.gif

Connection Status 画面の WiFi Details タブ

システム管理者であるユーザは、標準の CSSC ディストリビューションで利用可能な診断ユーティリティである Cisco Secure Services Client System Report を使用する資格があります。 このユーティリティはスタート メニューまたは CSSC ディレクトリから使用できます。 データを取得するには、Collect Data > Copy to Clipboard > Locate Report File の順にクリックします。 これにより、Microsoft File Explorer ウィンドウでは、zip 圧縮されたレポート ファイルがあるディレクトリが表示されます。 zip 圧縮されたファイル内では、log(log_current)の下に最も有用なデータがあります。

このユーティリティからは、CSSC、インターフェイス、およびドライバの詳細情報の現在の状態だけでなく、WLAN の情報(検出された SSID、アソシエーション状態など)が分かります。 このユーティリティは、特に CSSC と WLAN アダプタの間の接続の問題を診断するのに便利です。

動作の確認

Cisco Secure ACS サーバ、WLAN コントローラ、CSSC クライアントの設定、およびおそらく正しい設定とデータベース ポピュレーションの後、WLAN ネットワークは EAP-FAST 認証および安全なクライアント通信用に設定されます。 セキュアなセッションのためには、進行状況/エラーをチェックするために監視可能な数多くのポイントがあります。

設定をテストするには、EAP-FAST 認証を使用してワイヤレス クライアントと WLAN コントローラを関連付けてみます。

  1. CSSC が Auto-Connection に設定されている場合、クライアントはこの接続を自動的に試行します。 CSSC が Auto-Connection とシングル サインオン動作に設定されていない場合、ユーザは Connect オプション ボタンにより WLAN 接続を開始する必要があります。 これにより、EAP 認証が行われる 802.11 アソシエーション プロセスが開始されます。

    次に例を示します。

    CSSC_Deployment_Guide19.gif

    Cisco Secure Services Client 画面の Manage Networks タブ
    ※ 画像をクリックすると、大きく表示されます。

  2. 続いてユーザは(EAP-FAST PAC Authority または ACS から)EAP-FAST 認証用のユーザ名、続いてパスワードを入力するよう求められます。

    次に例を示します。

    CSSC_Deployment_Guide20.gif

    クレデンシャル入力画面(入力時)

    CSSC_Deployment_Guide21.gif

    クレデンシャル入力画面(入力後)

  3. CSSC クライアントは続いて、クレデンシャルを検証するために、WLC を使用してユーザのクレデンシャルを RADIUS サーバ(Cisco Secure ACS)に渡します。 ACS は、データと設定済みのデータベース(設定例では外部データベースは Windows Active Directory)の比較によりユーザのクレデンシャルを確認し、ユーザのクレデンシャルが有効である場合は常にワイヤレス クライアントにアクセス権を提供します。 ACS サーバ上の Passed Authentications レポートには、クライアントが RADIUS/EAP 認証をパスしたことが示されます。

    次に例を示します。

    CSSC_Deployment_Guide22.gif

    Reports and Activity 画面
    ※ 画像をクリックすると、大きく表示されます。

  4. RADIUS/EAP 認証に成功した時点で、ワイヤレス クライアント(この例では 00:40:96:ab:36:2f)は AP/WLAN コントローラで認証されます。

    CSSC_Deployment_Guide23.gif

    Clients 画面
    ※ 画像をクリックすると、大きく表示されます。

付録

Cisco Secure ACS および Cisco WLAN コントローラで使用可能な診断およびステータス情報に加えて、EAP-FAST 認証の診断に使用可能な追加ポイントが存在します。 認証の問題の大部分は、WLAN スニファを使用したり WLAN コントローラで EAP 交換をデバッグすることなく診断できますが、トラブルシューティングに役立つように、この参照資料が収録されています。

EAP-FAST Exchange のスニファ キャプチャ

次の 802.11 スニファ キャプチャは、認証交換を示しています。

CSSC_Deployment_Guide24.gif

スニファ キャプチャの例
※ 画像をクリックすると、大きく表示されます。

このパケットは、最初の EAP-FAST EAP 応答を示しています。

注:CSSC クライアントで設定されているように、最初の EAP 応答では外部 EAP 識別情報として「anonymous」が使用されています。

CSSC_Deployment_Guide25.gif

EAP-FAST EAP 応答の例
※ 画像をクリックすると、大きく表示されます。

WLAN コントローラでのデバッグ

認証交換の進行状況を監視するために、WLAN コントローラでは次の debug コマンドが使用できます。

  • debug aaa events enable

  • debug aaa detail enable

  • debug dot1x events enable

  • debug dot1x states enable

デバッグを使用して WLAN コントローラで監視された、CSSC クライアントと ACS の間の認証トランザクションの開始の例を次に示します。

 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing RSN IE type 48, length 20 for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received RSN IE with 0 PMKIDs from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Connecting state
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Identity Response (count=1) from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f EAP State update from Connecting to Authenticating for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticating state
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Response state for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: AuthenticationRequest: 0x138dd764
 Thu Aug 24 18:20:54 2006:       Callback.....................................0x10372764
 Thu Aug 24 18:20:54 2006:       protocolType.................................0x00040001
 Thu Aug 24 18:20:54 2006:       proxyState...................................00:40:96:A0:36:2F-11:00
 Thu Aug 24 18:20:54 2006:       Packet contains 15 AVPs (not shown)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Successful transmission of Authentication Packet (id 84) to 10.1.1.12:1812, proxy state0
 Thu Aug 24 18:20:54 2006: ****Enter processIncomingMessages: response code=11
 Thu Aug 24 18:20:54 2006: ****Enter processRadiusResponse: response code=11
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Access-Challenge received from RADIUS server 10.1.1.12 for mobile 00:40:96:a0:36:2f rec7
 Thu Aug 24 18:20:54 2006: AuthorizationResponse: 0x11c8a394
 Thu Aug 24 18:20:54 2006:       structureSize................................147
 Thu Aug 24 18:20:54 2006:       resultCode...................................255
 Thu Aug 24 18:20:54 2006:       protocolUsed.................................0x00000001
 Thu Aug 24 18:20:54 2006:       proxyState...................................00:40:96:A0:36:2F-11:00
 Thu Aug 24 18:20:54 2006:       Packet contains 4 AVPs (not shown)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Challenge for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Req state (id=249) for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f WARNING: updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP Request from AAA to mobile 00:40:96:a0:36:2f (EAP Id 249)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAP Response from mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type 3)
 

次に、(WPA2 認証を使用した)コントローラ デバッグからの成功した EAP 交換完了を示します。

 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Accept for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Applying new AAA override for station 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Override values for station 00:40:96:a0:36:2f source: 4, valid bits: 0x0
 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1'
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Unable to apply override policy for station 00:40:96:a0:36:2f - VapAllowRadiusOverride E
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry for station 00:40:96:a0:36:2f (RSN 2)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Adding BSSID 00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: New PMKID: (16)
 Thu Aug 24 18:20:54 2006:      [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Success to mobile 00:40:96:a0:36:2f (EAP Id 0)
 Thu Aug 24 18:20:54 2006: Including PMKID in M1  (16)
 Thu Aug 24 18:20:54 2006:      [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state INITPMK (message 1), repl0
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Success state (id=0) for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Auth Success while in Authenticating state for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticated state
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in PKT_START state (message 2) from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIATING (messa1
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:54 2006: AccountingMessage Accounting Interim: 0x138dd764
 Thu Aug 24 18:20:54 2006:       Packet contains 20 AVPs:
 Thu Aug 24 18:20:54 2006:           AVP[01] User-Name................................enterprise (10 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[02] Nas-Port.................................0x0000001d (29) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[03] Nas-Ip-Address...........................0x0a0a5003 (168448003) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[04] Class....................................CACS:0/28b5/a0a5003/29 (22 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[05] NAS-Identifier...........................ws-3750 (7 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[06] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[07] Acct-Session-Id..........................44ede3b0/00:40:96:a0:36:2f/14 (29 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[08] Acct-Authentic...........................0x00000001 (1) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[09] Tunnel-Type..............................0x0000000d (13) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[10] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[11] Tunnel-Group-Id..........................0x3832 (14386) (2 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[12] Acct-Status-Type.........................0x00000003 (3) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[13] Acct-Input-Octets........................0x000b99a6 (760230) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[14] Acct-Output-Octets.......................0x00043a27 (277031) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[15] Acct-Input-Packets.......................0x0000444b (17483) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[16] Acct-Output-Packets......................0x0000099b (2459) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[17] Acct-Session-Time........................0x00000a57 (2647) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[19] Calling-Station-Id.......................10.10.82.11 (11 bytes)
 Thu Aug 24 18:20:54 2006:           AVP[20] Called-Station-Id........................10.10.80.3 (10 bytes)
 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f
 Thu Aug 24 18:20:57 2006: User admin authenticated
 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報