Cisco Secure ACS Appliance ユーザガイド 3.2
システムの設定:認証と証明書
システムの設定:認証と証明書
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

システムの設定:認証と証明書

認証と EAP プロトコルについて

デジタル証明

EAP-TLS 認証

EAP-TLS プロトコルについて

EAP-TLS と Cisco Secure ACS

EAP-TLS の制限

EAP-TLS 認証の使用可能設定

PEAP 認証

PEAP プロトコルについて

PEAP と Cisco Secure ACS

PEAP と未知のユーザ ポリシー

PEAP 認証の使用可能設定

EAP-FAST 認証

EAP-FAST について

マスター キーについて

PAC について

マスター キーと PAC の TTL

複製と EAP-FAST

EAP-FAST の使用可能設定

グローバル認証のセットアップ

認証設定オプション

認証オプションの設定

Cisco Secure ACS 証明書のセットアップ

証明書のインストール

認証局証明書の追加

証明書信頼リストの編集

証明書署名要求の生成

証明書のアップデートと置換

EAP-FAST PAC ファイルの生成

PAC ファイル生成オプション

PAC ファイルの生成

システムの設定:認証と証明書

この章では、Cisco Secure ACS Appliance の System Configuration セクションにある認証と証明書の機能について説明します。

この章では、次のトピックについて取り上げます。

「認証と EAP プロトコルについて」

「グローバル認証のセットアップ」

「Cisco Secure ACS 証明書のセットアップ」

「EAP-FAST PAC ファイルの生成」

認証と EAP プロトコルについて

Cisco Secure ACS では、認証情報の保護と妥当性を保証するために、EAP-TLS および PEAP の各認証プロトコルとデジタル証明が組み合せて使用されます。この後のトピックでは、デジタル証明、EAP-TLS、PEAP、およびマシン認証について説明します。

この項では、次のトピックについて取り上げます。

「デジタル証明」

「EAP-TLS 認証」

「PEAP 認証」

「EAP-FAST 認証」

デジタル証明

ACS の Certificate Setup ページを使用すると、デジタル証明をインストールして EAP-TLS および PEAP 認証をサポートでき、HTTPS プロトコルをサポートして Cisco Secure ACS の HTML インターフェイスにセキュアなアクセスを行うことができます。Cisco Secure ACS では、X.509 v3 デジタル証明規格が使用されます。証明書ファイルは、Base64 エンコード X.509 フォーマットか、DER エンコード バイナリ X.509 フォーマットになっている必要があります。また、Cisco Secure ACS では、手動での証明書登録もサポートされています。

デジタル証明では、秘密の共有や保存されたデータベース認定証は必要ありません。デジタル証明は、大規模な配備の全体にわたってスケーリングでき、信頼性が維持されます。正しく管理されていれば、共有秘密システムよりも強力でセキュアな認証方法として機能する可能性もあります。相互信頼のためには、エンドユーザ クライアントが検証できる証明書が Cisco Secure ACS にインストールされている必要があります。

EAP-TLS 認証

この項では、次のトピックについて取り上げます。

「EAP-TLS プロトコルについて」

「EAP-TLS と Cisco Secure ACS」

「EAP-TLS の制限」

「EAP-TLS 認証の使用可能設定」

EAP-TLS プロトコルについて

EAP と TLS は、どちらも IETF RFC 規格です。EAP プロトコルは初期認証情報、特に EAPOL(IEEE 802.1X で確立された、LAN 上の EAP のカプセル化)を搬送します。TLS では、ユーザ認証と、短期セッション キーの動的生成の両方に証明書が使用されます。EAP-TLS 認証プロトコルは、Cisco Secure ACS の証明書とエンドユーザ クライアントの証明書を使用して、クライアントと Cisco Secure ACS の相互認証を行います。EAP、TLS、および EAP-TLS の詳細については、『 PPP Extensible Authentication Protocol (EAP) RFC 2284 』、『 The TLS Protocol RFC 2246 』、および『 PPP EAP TLS Authentication Protocol RFC 2716 』の各 IETF RFC を参照してください。

EAP-TLS 認証では、2 つの要素によって信頼が確立されます。1 つは、EAP-TLS ネゴシエーションによってエンドユーザの信頼が確立されることです。この信頼の確立は、証明書によって署名されたキー ペアをユーザが保有しているかどうかを、RSA シグニチャの確認を通して検証することによって行われます。この場合は、そのエンドユーザが、デジタル証明および証明書に入っているユーザ ID の正規のキー保持者であるかどうかが検証されます。ただし、ユーザが証明書を保有していることを信頼しても、ユーザ名とキー ペアのバインディングが得られるだけです。もう 1 つは、第三者シグニチャを使用することです。通常、このシグニチャは Certification Authority(CA; 認証局)からのもので、証明書内の情報を検証します。この第三者のバインディングは、実社会におけるパスポートへの押印に相当します。パスポートが信頼される理由は、そのパスポートの作成時にその国のパスポート発行機関によって行われた準備と ID チェックが信頼されているからです。デジタル証明は、ルート証明書 CA シグニチャをインストールすることによって信頼されます。

EAP-TLS には、エンド クライアントと AAA クライアントの両方からのサポートが必要です。EAP-TLS クライアントの例としては、Microsoft Windows XP オペレーティング システムがあります。EAP-TLS に準拠した AAA クライアントには、Cisco 802.1x 対応のスイッチ プラットフォーム(Catalyst 6500 製品ラインなど)および Cisco Aironet Wireless ソリューションが含まれます。セキュアな Cisco Aironet 接続を実現するために、EAP-TLS では、動的で、ユーザ単位、接続単位の、固有なセッション キーが生成されます。

EAP-TLS と Cisco Secure ACS

Cisco Secure ACS は、EAP-TLS をサポートしているすべてのエンドユーザ クライアント(Windows XP など)で EAP-TLS をサポートします。どのユーザ データベースで EAP-TLS がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。EAP-TLS 認証の配備方法の詳細については、
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm
で『 Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks 』を参照してください。

Cisco Secure ACS では、EAP-TLS を使用して Microsoft Windows の Active Directory へのマシン認証をサポートできます。エンドユーザ クライアントは、ユーザ認証に使用されるプロトコルをマシン認証に使用されるプロトコルだけに制限する場合があります。つまり、EAP-TLS をマシン認証に使用するには、ユーザ認証に EAP-TLS を使用することが必要な場合もあります。マシン認証の詳細については、「マシン認証」を参照してください。

Cisco Secure ACS は、Windows の Active Directory を使用した EAP-TLS 認証用に、ドメイン ストリッピングをサポートしています。詳細については、「EAP-TLS ドメイン ストリッピング」を参照してください。

また、Cisco Secure ACS では、3 つの証明書比較方法とセッション レジューム機能もサポートされています。このトピックでは、これらの機能について説明します。

EAP-TLS で認証されたユーザまたはコンピュータによるネットワークへのアクセスを許可するには、要求されている ID(EAP Identity 応答で提示されたもの)が、そのユーザによって提示された証明書に対応しているかどうかを Cisco Secure ACS で検証する必要があります。Cisco Secure ACS では、これを次の 3 つの方法で実行できます。

Certificate SAN Comparison :ユーザ証明書の Subject Alternative Name フィールドにある名前に基づいた比較です。

Certificate CN Comparison :ユーザ証明書の Subject Common Name フィールドにある名前に基づいた比較です。

Certificate Binary Comparison :LDAP サーバまたは Active Directory のユーザ オブジェクトの中に保存されているユーザ証明書と、ユーザが EAP-TLS 認証のときに提示した証明書の間のバイナリ比較に基づいた比較です。この比較方法は、ODBC 外部ユーザ データベースに保存されているユーザの認証には使用できません。


) Certificate Binary Comparison(証明書バイナリ比較)を使用する場合は、ユーザ証明書がバイナリ形式で保存されている必要があります。また、一般的な LDAP と Active Directory の場合は、証明書を保存するアトリビュートは、「usercertificate」という名前の標準 LDAP アトリビュートにする必要があります。


EAP-TLS をセットアップするときに、Cisco Secure ACS で使用する基準を(1 つ、2 つ、または全部)選択できます。詳細については、「認証オプションの設定」を参照してください。

Cisco Secure ACS は、EAP-TLS で認証されたユーザ セッションのセッション レジューム機能をサポートしています。この機能は、ユーザがクライアント コンピュータを移動すると別のワイヤレス アクセス ポイントが使用される可能性がある WLAN の場合に特に便利な機能です。この機能を使用可能にした場合、Cisco Secure ACS は EAP-TLS 認証のときに作成された TLS セッションをキャッシュします。ただし、ユーザが正しく認証された場合に限ります。ユーザが再接続する必要がある場合、元の EAP-TLS セッションがタイムアウトしていなければ、Cisco Secure ACS はキャッシュした TLS セッションを使用します。この結果、EAP-TLS の処理が高速になり、AAA サーバの負荷が小さくなります。Cisco Secure ACS が EAP-TLS セッションをレジュームするときは、SSL ハンドシェイクによるユーザの再認証だけで済み、証明書の比較は行われません。

EAP-TLS セッション レジュームを使用可能にすると、Cisco Secure ACS は事実上、元の EAP-TLS 認証からキャッシュされた TLS セッションに基づいてユーザを信頼します。Cisco Secure ACS では、新規の EAP-TLS 認証が成功したときにだけ TLS セッションがキャッシュされるので、キャッシュされた TLS セッションの存在は、EAP-TLS セッション タイムアウト オプションによって定義された時間(分単位)内にユーザが正しく認証されたことの証拠になります。


) セッション タイムアウトは、初期の完全なセッション認証の時刻が基準となります。アカウンティングの開始メッセージには依存しません。


外部ユーザ データベース内のグループ割り当ての変更は、セッション レジューム機能では実施されません。ユーザ セッションがレジュームされたときにグループ マッピングは行われないからです。その代わりに、ユーザはセッションの開始時にマップされたのと同じ Cisco Secure ACS グループへマップされます。新しいセッションの開始と同時に、グループ マッピングによって新しいグループ割り当てが実施されます。

セッション タイムアウトに到達する前に強制的に EAP-TLS セッションを終了させるには、CSAuth サービスを再起動するか、そのユーザを CiscoSecure ユーザ データベースから削除します。外部ユーザ データベースのユーザを使用不可にするか削除しても、影響はありません。なぜなら、セッション レジューム機能で外部ユーザ データベースは使用されないからです。

EAP-TLS セッション レジューム機能をイネーブルにし、タイムアウト インターバルを構成するには、Global Authentication Setup ページを使用します。この機能を使用可能にする方法の詳細については、「グローバル認証のセットアップ」を参照してください。

EAP-TLS の制限

Cisco Secure ACS では、EAP-TLS の実装に次のような制限があります。

サーバ証明書のフォーマット :サーバおよび CA の証明書は、Base64 エンコードされた X.509 フォーマットか DER エンコードされたバイナリの X.509 フォーマットになっている必要があります。

バイナリ比較用の LDAP アトリビュート :Cisco Secure ACS でユーザ証明書のバイナリ比較を行うように設定した場合、ユーザ証明書は、Active Directory か LDAP サーバにバイナリ形式で保存されている必要があります。また、証明書を保存するアトリビュートの名前は「usercertificate」にする必要があります。

EAP-TLS 認証の使用可能設定

ここでは、EAP-TLS 認証をサポートするために必要な Cisco Secure ACS 設定の詳細な手順について、その概要を示します。


) エンドユーザのクライアント コンピュータは、EAP-TLS をサポートするように設定されている必要があります。この手順は、Cisco Secure ACS の設定に特有のものです。EAP-TLS 認証の配備方法の詳細については、
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm
で『Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks』を参照してください。


始める前に

EAP-TLS マシン認証の場合、ドメイン コントローラ上に Microsoft 認証局サーバが設定されていると、コンピュータがドメインに追加されたときに自動的にクライアント証明書が生成されるよう、Active Directory 内にポリシーを設定できます。詳細については、『 Microsoft Knowledge Base Article 313407, HOW TO: Create Automatic Certificate Requests with Group Policy in Windows 』を参照してください。

EAP-TLS 認証を使用可能にするには、次の手順に従います。


ステップ 1 サーバ証明書を Cisco Secure ACS にインストールします。EAP-TLS にはサーバ証明書が必要です。詳しい手順については、「証明書のインストール」を参照してください。


) EAP-TLS または PEAP のユーザ認証をサポートするため、またはリモート Cisco Secure ACS 管理の HTTPS 保護をサポートするために証明書をインストールしてある場合は、この手順を実行する必要はありません。サーバ証明書が 1 つだけあれば、すべての証明書ベースの Cisco Secure ACS サービスとリモート管理をサポートできます。ただし、EAP-TLS と PEAP では、その証明書がサーバ認証の目的に適している必要があります。


ステップ 2 認証信頼リストを編集し、エンドユーザ クライアント証明書を発行している CA が信頼されるようにします。この手順を実行しなかった場合、Cisco Secure ACS は、Cisco Secure ACS にインストールされている証明書を発行した CA によって発行されたユーザ証明書だけを信頼します。詳しい手順については、「証明書信頼リストの編集」を参照してください。

ステップ 3 Global Authentication Setup ページで EAP-TLS を使用可能にします。これは、ステップ 1 が正常に完了した後でのみ実行できます。詳しい手順については、「認証オプションの設定」を参照してください。

ステップ 4 ユーザ データベースを設定します。どのユーザ データベースで EAP-TLS 認証がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。

Cisco Secure ACS で EAP-TLS 認証を実行する準備が整います。


 

PEAP 認証

この項では、次のトピックについて取り上げます。

「PEAP プロトコルについて」

「PEAP と Cisco Secure ACS」

「PEAP と未知のユーザ ポリシー」

「PEAP 認証の使用可能設定」

PEAP プロトコルについて

PEAP(Protected EAP)プロトコルは、EAP トランザクションを暗号化する手段を提供し、それによって EAP 認証の内容を保護するクライアント/サーバ セキュリティ アーキテクチャです。PEAP は、RSA、Cisco、および Microsoft によって IETF Internet Draft の 1 つとして掲示されているもので、
http://www.ietf.org/internet-drafts/draft-josefsson-pppext-eap-tls-eap-05.txt
で参照できます。

PEAP の認証は、常に 2 つのフェーズで行われます。最初のフェーズでは、エンドユーザ クライアントが Cisco Secure ACS を認証します。これにはサーバ証明書が必要であり、Cisco Secure ACS はエンドユーザ クライアントに対して認証されます。これによって、フェーズ 2 で送信されるユーザまたはマシン認定証が、信頼できる CA によって発行された証明書を持つ AAA サーバへ送信されることが保証されます。最初のフェーズでは、SSL トンネルを確立するために TLS ハンドシェイクが使用されます。

フェーズ 2 では、Cisco Secure ACS が EAP 認証プロトコルを使用してユーザまたはマシン認定証を認証します。EAP 認証は、フェーズ 1 で作成された SSL トンネルによって保護されます。2 番目の会話でネゴシエートされる認証タイプは、有効な EAP タイプであれば何でもよく、たとえば EAP-GTC(Generic Token Card の意)などがあります。PEAP は、すべての EAP 認証プロトコルをサポートできるので、PEAP プロトコルと EAP プロトコルの個々の組み合せは、EAP プロトコルをカッコに入れて、PEAP(EAP-GTC)などのように表記されます。PEAP のフェーズ 2 で Cisco Secure ACS がサポートしている認証プロトコルについては、「認証プロトコルとデータベースの互換性」を参照してください。

PEAP で得られるセキュリティ上の改善点の 1 つは、ID 保護です。つまり、すべての PEAP トランザクションでユーザ名を保護できます。PEAP のフェーズ 1 の後、通常は平文で送信されるユーザ名情報も含め、すべてのデータが暗号化されます。Cisco Aironet PEAP クライアントは、ユーザ ID を必ず SSL トンネルを通じて送信します。フェーズ 1 で使用され、平文で送信される初期 ID は、エンドユーザ クライアントの MAC アドレスの前に「PEAP_」を付けたものです。Microsoft PEAP クライアントは ID 保護機能を備えていません。Microsoft PEAP クライアントは、PEAP 認証のフェーズ 1 でユーザ名を平文で送信します。

PEAP と Cisco Secure ACS

Cisco Secure ACS は、PEAP 認証のサポートに Cisco Aironet PEAP クライアントか、Microsoft Windows XP Service Pack 1 に組み込まれている Microsoft PEAP クライアントを使用します。Cisco Secure ACS は、PEAP(EAP-GTC)でのみ Cisco Aironet PEAP クライアントをサポートできます。Microsoft Windows XP Service Pack 1 に組み込まれている Microsoft PEAP クライアントの場合、Cisco Secure ACS は PEAP(EAP-MSCHAPv2)だけをサポートしています。どのユーザ データベースで PEAP プロトコルがサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。

エンドユーザ クライアントが Cisco Aironet PEAP クライアントであり、Global Authentication Setup ページで PEAP(EAP-GTC)と PEAP(EAP-MSCHAPv2)の両方が使用可能になっている場合、Cisco Secure ACS はそのエンドユーザ クライアントに対し、最初に PEAP(EAP-GTC)認証を試みます。クライアントがこのプロトコルを(EAP NAK メッセージを送信することによって)拒否した場合、Cisco Secure ACS は PEAP(EAP-MSCHAPv2)での認証を試みます。PEAP 内でサポートされている EAP プロトコルを使用可能にする方法の詳細については、「グローバル認証のセットアップ」を参照してください。

Cisco Secure ACS では、PEAP(EAP-MSCHAPv2)を使用して Microsoft Windows Active Directory へのマシン認証をサポートできます。エンドユーザ クライアントは、ユーザ認証に使用されるプロトコルをマシン認証に使用されるのと同じプロトコルだけに制限する場合があります。つまり、マシン認証に PEAP を使用する場合は、ユーザ認証にも PEAP を使用する必要があります。マシン認証の詳細については、「マシン認証」を参照してください。

Cisco Secure ACS は、PEAP で認証されたユーザ セッションのセッション レジューム機能をサポートしています。この機能を使用可能にすると、Cisco Secure ACS は PEAP 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。ただし、ユーザが PEAP のフェーズ 2 で正しく認証された場合に限ります。ユーザが再接続する必要がある場合は、元の PEAP セッションがタイムアウトしていなければ、Cisco Secure ACS はキャッシュした TLS セッションを使用します。この結果、PEAP の処理が高速になり、AAA サーバの負荷が小さくなります。


) セッション タイムアウトは、認証に成功した時刻が基準になります。アカウンティングには依存しません。


PEAP セッション レジューム機能を使用可能にし、タイムアウト インターバルを設定するには、Global Authentication Setup ページを使用します。この機能を使用可能にする方法の詳細については、「グローバル認証のセットアップ」を参照してください。

Cisco Secure ACS は、高速再接続機能もサポートしています。Cisco Secure ACS では、セッション レジューム機能を使用可能にすると、高速再接続機能により、ユーザ認定証をチェックせずに PEAP セッションをレジュームできます。実際には、この機能を使用可能にした場合、Cisco Secure ACS は元の PEAP 認証からキャッシュされた TLS セッションに基づいてユーザを信頼します。Cisco Secure ACS では、PEAP 認証のフェーズ 2 が成功したときにだけ TLS セッションがキャッシュされるので、キャッシュされた TLS セッションの存在は、PEAP セッション タイムアウト オプションによって定義された時間(分単位)内にユーザが正しく認証されたことの証拠になります。

外部ユーザ データベース内のグループ割り当ての変更は、セッション レジューム機能では実施されません。ユーザ セッションがセッション レジューム機能によって延長されたときに、グループ マッピングは行われないからです。その代わりに、ユーザはセッションの開始時にマップされたのと同じ Cisco Secure ACS グループへマップされます。新しいセッションの開始と同時に、グループ マッピングによって新しいグループ割り当てが実施されます。

高速再接続機能は、ユーザがクライアント コンピュータを移動すると別のワイヤレス アクセス ポイントが使用される可能性があるワイヤレス LAN の場合に特に便利です。Cisco Secure ACS で PEAP セッションがレジュームされたとき、そのセッションがタイムアウトしていなければ、ユーザはパスワードを入力しなくても再認証されます。エンドユーザ クライアントが再起動された場合は、セッション タイムアウト インターバルが終了していなくても、ユーザはパスワードを入力する必要があります。

PEAP 高速再接続機能は、Global Authentication Setup ページで使用可能にできます。この機能を使用可能にする方法の詳細については、「グローバル認証のセットアップ」を参照してください。

PEAP と未知のユーザ ポリシー

PEAP 認証のとき、認証する必要がある実ユーザ名が、認証のフェーズ 2 に入るまで Cisco Secure ACS にわからない場合もあります。Microsoft PEAP クライアントはフェーズ 1 で実際のユーザ名を明らかにしますが、Cisco PEAP クライアントはそうではありません。したがって、Cisco Secure ACS はフェーズ 1 で提示されたユーザ名を検索しません。また、フェーズ 1 での未知のユーザ ポリシーの使用は、使用される PEAP クライアントに関係なく、適当ではありません。

PEAP 認証のフェーズ 2 が発生し、PEAP クライアントによって提示されたユーザ名が Cisco Secure ACS に未知の場合、Cisco Secure ACS は、そのユーザ名を他の認証プロトコルで提示されたユーザ名と同じ方法で処理します。ユーザ名が未知で Unknown User Policy が使用不可になっている場合、認証は失敗します。ユーザ名が未知で Unknown User Policy が使用可能になっている場合、Cisco Secure ACS は未知のユーザ処理を使用して PEAP ユーザを認証しようとします。

未知のユーザ処理の詳細については、「未知のユーザの処理」を参照してください。

PEAP 認証の使用可能設定

ここでは、PEAP 認証をサポートするために必要な Cisco Secure ACS 構成の詳細な手順について、その概要を示します。


) エンドユーザのクライアント コンピュータは、PEAP をサポートするように設定されている必要があります。この手順は、Cisco Secure ACS の設定に特有のものです。


PEAP 認証を使用可能にするには、次の手順に従います。


ステップ 1 サーバ証明書を Cisco Secure ACS にインストールします。PEAP にはサーバ証明書が必要です。詳しい手順については、「証明書のインストール」を参照してください。


) EAP-TLS または PEAP のユーザ認証をサポートするため、またはリモート Cisco Secure ACS 管理の HTTPS 保護をサポートするために証明書をインストールしてある場合は、この手順を実行する必要はありません。サーバ証明書が 1 つだけあれば、すべての証明書ベースの Cisco Secure ACS サービスとリモート管理をサポートできます。ただし、EAP-TLS と PEAP では、その証明書がサーバ認証の目的に適している必要があります。


ステップ 2 Global Authentication Setup ページで PEAP を使用可能にします。これは、ステップ 1 が正常に完了した後でのみ実行できます。詳しい手順については、「認証オプションの設定」を参照してください。

ステップ 3 ユーザ データベースを設定します。どのユーザ データベースで PEAP 認証がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。

Cisco Secure ACS でほとんどのユーザについて PEAP 認証を実行する準備が整います。詳細については、「PEAP と未知のユーザ ポリシー」を参照してください。

ステップ 4 PEAP 認証を単純化するため、Unknown User Policy を使用可能にするようにしてください。詳細については、「PEAP と未知のユーザ ポリシー」を参照してください。詳しい手順については、「未知のユーザ ポリシーの設定」を参照してください。


 

EAP-FAST 認証


) EAP-FAST は、Cisco Secure ACS バージョン 3.2.3 よりサポートされています。それより前のバージョンには、この機能がありません。


この項では、次のトピックについて取り上げます。

「EAP-FAST について」

「マスター キーについて」

「PAC について」

「自動 PAC プロビジョニング」

「手動 PAC プロビジョニング」

「マスター キーと PAC の TTL」

「複製と EAP-FAST」

「EAP-FAST の使用可能設定」

EAP-FAST について

EAP Flexible Authentication via Secured Tunnel(EAP-FAST)プロトコルは、TLS トンネル内の EAP トランザクションを暗号化するクライアントサーバ セキュリティ アーキテクチャです。 この点については PEAP と似ていますが、EAP-FAST トンネルはユーザに固有の強力な秘密情報に基づいて確立されるという点が大きく異なります。 これらの秘密情報は Protected Access Credentials(PAC)と呼ばれ、Cisco Secure ACS だけが知っているマスター キーを使用して生成されます。 共有秘密情報に基づくハンドシェイクは PKI に基づくハンドシェイクよりも本質的に高速であることから、EAP トランザクションを暗号化する 2 つのソリューションの中では、EAP-FAST の方が大幅に高速です。 EAP-FAST を実装するのに、証明書管理は不要です。

EAP-FAST は次の 3 つのフェーズで実行されます。

フェーズ 0 :EAP-FAST に固有のフェーズで、トンネルの安全を確保しながら、ネットワーク アクセスを要求するユーザの PAC を EAP-FAST エンドユーザ クライアントに提供する方法です(「自動 PAC プロビジョニング」を参照)。 エンドユーザ クライアントに PAC を提供することが、フェーズ 0 の唯一の目的です。 トンネルは、匿名 Diffie-Hellman 鍵交換に基づいて確立されます。 EAP-MSCHAPv2 認証が成功すると、Cisco Secure ACS がユーザに PAC を提供します。どのデータベースで EAP-FAST フェーズ 0 がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。


) フェーズ 0 はオプションであり、PAC をエンドユーザ クライアントに手動で提供することもできます(「手動 PAC プロビジョニング」を参照)。 Global Authentication Configuration ページの Allow automatic PAC provisioning チェックボックスをオンにすると、Cisco Secure ACS がフェーズ 0 をサポートします。


EAP-FAST のフェーズ 0 によって使用可能になるネットワーク サービスはありません。そのため、正常に完了した EAP-FAST のフェーズ 0 トランザクションも、Cisco Secure ACS の Failed Attempts ログに記録されます。

フェーズ 1 :フェーズ 1 では、Cisco Secure ACS とエンドユーザ クライアントが、エンドユーザ クライアントから提示された PAC に基づいて TLS トンネルを確立します。 そのためには、ネットワーク アクセス権の取得を試みているユーザの PAC がエンドユーザ クライアントにすでに提供されており、その PAC が、期限切れになっていないマスター キーに基づいている必要があります。 PAC プロビジョニングの実行方法が自動か手動かは問題ではなく、どちらも使用できます。

EAP-FAST のフェーズ 0 によって使用可能になるネットワーク サービスはありません。

フェーズ 2 :フェーズ 2 では、Cisco Secure ACS がユーザの認定証を EAP-GTC で認証します。EAP-GTC は、フェーズ 1 で作成された TLS トンネルによって保護されています。 EAP-FAST では、その他の種類の EAP はサポートされていません。 どのデータベースで EAP-FAST のフェーズ 2 がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。

Cisco Secure ACS は、EAP-FAST のフェーズ 2 でネットワーク サービスを許可し、Passed Authentications ログが使用可能である場合には、このログに認証を記録します。 また、必要に応じてエンドユーザ クライアントの PAC をリフレッシュします。リフレッシュにより、同じフェーズ 2 のトランザクションの Passed Authentication ログに第 2 エントリが作成されます。

EAP-FAST は、すべての EAP-FAST トランザクションでユーザ名を保護できます。 フェーズ 1 で提示されたユーザ名に基づいて Cisco Secure ACS がユーザ認証を行うことはありませんが、ユーザ名がフェーズ 1 で保護されるかどうかは、エンドユーザ クライアントによります。 エンドユーザ クライアントがフェーズ 1 で実ユーザ名を送信していない場合は、ユーザ名が保護されます。 Cisco Aironet EAP-FAST クライアントは、ユーザ名の代わりに FAST_ MAC アドレス を送信することにより、フェーズ 1 でユーザ名を保護します。EAP-FAST のフェーズ 1 の後、通常は平文で送信されるユーザ名情報も含め、すべてのデータが暗号化されます。

Cisco Secure ACS は、Windows ユーザ データベースで認証されたユーザに対する EAP-FAST を使用したパスワード エージングをサポートしています。 パスワード エージングは、EAP-FAST のフェーズ 0 またはフェーズ 2 で使用できます。 ユーザがフェーズ 0 でパスワードを変更する必要がある場合、新しいパスワードはフェーズ 2 で有効になります。 Windows ユーザ データベースでのパスワード エージングの詳細については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。

マスター キーについて

EAP-FAST マスター キーは、Cisco Secure ACS が自動的に生成する強力な秘密情報で、Cisco Secure ACS だけが認識します。 マスター キーがエンドユーザ クライアントに送信されることはありません。 EAP-FAST には、次の 2 つの目的でマスター キーが必要です。

PAC の生成 :Cisco Secure ACS は、アクティブなマスター キーを使用して PAC を生成します。 PAC の詳細については、「PAC について」を参照してください。

EAP-FAST のフェーズ 1 :Cisco Secure ACS は、エンドユーザ クライアントによって提示された PAC が、Cisco Secure ACS が認識しているアクティブなマスター キーまたは非アクティブなマスター キーによって生成されたかどうかを判断します。

EAP-FAST のセキュリティを高めるために、Cisco Secure ACS は、PAC の生成に使用するマスター キーを変更します。 Cisco Secure ACS は、ユーザが定義した存続可能時間(TTL)値を使用して、新しいマスター キーを作成する時期と、すべてのマスター キーの経過時間を判断します。 Cisco Secure ACS は、TTL 値に基づいて、次の 3 つの状態のいずれかをマスター キーに割り当てます。

アクティブCisco Secure ACS が PAC の生成に使用するアクティブなマスター キー。 マスター キーがアクティブである期間は、マスター キーの TTL 設定によって決まります。 アクティブなマスター キーは常に 1 つだけです。 マスター キーと PAC の TTL を定義するとき、Cisco Secure ACS は、アクティブなマスター キーの TTL よりも短い PAC の TTL だけを許可します。 この制限により、マスター キーが期限切れになる前に EAP-FAST ユーザがネットワークに 1 回以上ログインしていれば、PAC の生成に使用されたマスター キーが有効な間に PAC が 1 回はリフレッシュされるようにします。 PAC のリフレッシュまたはプロビジョニングが必要かどうかを TTL 値が判断する方法の詳細については、「マスター キーと PAC の TTL」を参照してください。

Cisco Secure ACS が、複製された EAP-FAST ポリシーとマスター キーを受信するように設定されている場合は、バックアップ マスター キーも、受信されるマスター キーに含まれます。 バックアップ マスター キーは、次のマスター キーの複製が正常に実行される前にアクティブなマスター キーが非アクティブになった場合に限り使用されます。 次のマスター キーの複製が正常に実行される前にバックアップ マスター キーも非アクティブになると、EAP-FAST でネットワーク アクセスを要求するすべてのユーザに対して EAP-FAST 認証が失敗します。


ヒント アクティブなバックアップ マスター キーが非アクティブになり、複製された新規マスター キーを Cisco Secure ACS がまだ受信していないために EAP-FAST 認証が失敗した場合は、EAP-FAST Master Server チェックボックスをオンにして Submit をクリックすることにより、Cisco Secure ACS に独自のマスター キーを生成させることができます。


Cisco Secure ACS は、CSAuth サービス用ログにマスター キーの生成を記録します。

非アクティブ :マスター キーがマスター キーの TTL 設定よりも古くなると、そのマスター キーは、非アクティブのマスター キーの TTL 設定で指定された期間だけ非アクティブであるとみなされます。 Cisco Secure ACS は、非アクティブなマスター キーを最大 255 個保存できます。 非アクティブなマスター キーは新しい PAC の生成には使用されませんが、そのマスター キーを使用して生成された PAC を認証するために必要です。 マスター キーと非アクティブなマスター キーの TTL を定義するとき、Cisco Secure ACS は、保存する必要がある非アクティブなマスター キーが 255 個以下である TTL 設定だけを許可します。 たとえば、マスター キーの TTL が 1 時間、非アクティブなマスター キーの TTL が 4 週間の場合には、最大 671 個の非アクティブなマスター キーの保存が必要になるため、エラー メッセージが表示され、Cisco Secure ACS はこの設定を許可しません。

非アクティブなマスター キーで生成された PAC を使用してユーザがネットワーク アクセス権を取得すると、Cisco Secure ACS は、アクティブなマスター キーで生成された新しい PAC をエンドユーザ クライアントに提供します。 マスター キーと PAC の状態の詳細については、「マスター キーと PAC の TTL」を参照してください。

期限切れ :マスター キーがマスター キーの TTL と非アクティブなマスターキーの TTL 設定の合計よりも古くなると、そのマスター キーは期限切れとみなされ、Cisco Secure ACS によってマスター キーのレコードから削除されます。 たとえば、マスター キーの TTL が 1 時間で非アクティブなマスター キーの TTL が 1 週間の場合、マスター キーは、生存時間が 1 週間および 1 時間を超えると期限切れになります。

期限切れのマスター キーで生成された PAC を使用してネットワークにアクセスすることはできません。 EAP-FAST のフェーズ 1 を正常に実行するには、期限切れのマスター キーで生成された PAC を提示しているエンドユーザ クライアントに対し、自動または手動プロビジョニングを使用して新しい PAC を提供する必要があります。

PAC について

PAC は、Cisco Secure ACS と EAP-FAST エンドユーザ クライアントが相互に認証して EAP-FAST フェーズ 2 で使用する TLS トンネルを確立できるようにする強力な共有秘密です。 Cisco Secure ACS は、アクティブなマスター キーとユーザ名を使用して PAC を生成します。 EAP-FAST のエンドユーザ クライアントは、ネットワークにアクセスする各ユーザの PAC を保存します。 さらに、EAP-FAST をサポートする AAA サーバには独自の認証局 ID があります。エンドユーザ クライアントは、ユーザの PAC を、その PAC を生成した AAA サーバの認証局 ID と関連付けます。

EAP-FAST フェーズ 1 で、エンドユーザ クライアントは、現在のユーザ用、および EAP-FAST トランザクションの開始時に Cisco Secure ACS によって送信された認証局 ID 用の PAC を提示します。 Cisco Secure ACS は、認識しているマスター キーのいずれか(アクティブまたは非アクティブ)で PAC が生成されたかどうかを判断します(期限切れのマスター キーで生成された PAC を使用してネットワークにアクセスすることはできません)。 エンドユーザ クライアントの PAC が期限切れのマスター キーで生成されていた場合、EAP-FAST フェーズ 1 を正常に実行するには、エンドユーザ クライアントが新しい PAC を受信する必要があります。 エンドユーザ クライアントに PAC を提供する手段(PAC プロビジョニング)については、「自動 PAC プロビジョニング」および「手動 PAC プロビジョニング」を参照してください。

エンドユーザ クライアントに PAC が提供されると、Cisco Secure ACS は、マスター キーと PAC の TTL 値で指定されているとおりにそれらを更新します。 Cisco Secure ACS は、EAP-FAST のフェーズ 2 の最後に、必要に応じて新しい PAC を生成して送信しますが、マスター キーの TTL を短くすると、PAC プロビジョニングが必要となる場合があります。 マスター キーと PAC の状態によって、フェーズ 2 の最後に Cisco Secure ACS が新しい PAC をエンドユーザ クライアントに送信するかどうかがどのように決まるかの詳細については、「マスター キーと PAC の TTL」を参照してください。

ユーザの PAC を生成したマスター キーが期限切れになる前に、ユーザが EAP-FAST を使用してネットワークにアクセスしなかった場合には、マスター キーの TTL 値の定義に関係なく、PAC プロビジョニングが必要になります。 たとえば、マスター キーの TTL が 1 週間で、非アクティブなマスター キーの TTL が 1 週間の場合には、2 週間の休暇に出かけるユーザが使用する各 EAP-FAST エンドユーザ クライアントに PAC プロビジョニングが必要になります。

エンドユーザ クライアントが PAC を受信するさまざまな手段を次に示します。

PAC プロビジョニング :エンドユーザ クライアントに PAC がない場合や、PAC が期限切れのマスター キーに基づいている場合に必要になります。 マスター キーと PAC の状態によって PAC プロビジョニングが必要かどうかがどのように決まるかの詳細については、「マスター キーと PAC の TTL」を参照してください。

次の 2 つの PAC プロビジョニング手段がサポートされています。

自動プロビジョニング :安全なネットワーク接続を使用して PAC を送信します。詳細については、「自動 PAC プロビジョニング」を参照してください。

手動プロビジョニング :Cisco Secure ACS を使用してユーザ用の PAC ファイルを生成し、エンドユーザ クライアントを実行しているコンピュータに PAC ファイルをコピーして、エンドユーザ クライアントに PAC ファイルをインポートする必要があります。詳細については、「手動 PAC プロビジョニング」を参照してください。

PAC リフレッシュ :EAP-FAST フェーズ 2 の認証が成功し、マスター キーと PAC の TTL が PAC のリフレッシュの必要性を示している場合に、自動的に実行されます。 マスター キーと PAC の状態によって PAC が更新されるかどうかがどのように決まるかの詳細については、「マスター キーと PAC の TTL」を参照してください。

PAC には 2 つの状態があり、PAC の TTL 設定によって決まります。

アクティブ :PAC の TTL よりも新しい PAC はアクティブとみなされます。PAC の生成に使用されたマスター キーが期限切れになっていなければ、その PAC を使用して EAP-FAST フェーズ 1 を完了できます。 PAC が期限切れのマスター キーに基づいている場合に、EAP-FAST フェーズ 1 を正常に実行させるには、その PAC がアクティブかどうかに関係なく、PAC プロビジョニングを実行する必要があります。

期限切れ :PAC の TTL よりも古い PAC は期限切れとみなされます。 PAC の生成に使用されたマスター キーが期限切れになっていなければ、期限切れの PAC を使用して EAP-FAST フェーズ 1 を完了できます。その場合には、Cisco Secure ACS が EAP-FAST フェーズ 2 の終わりにユーザ用の新しい PAC を生成し、その PAC をエンドユーザ クライアントに提供します。

自動 PAC プロビジョニング

自動 PAC プロビジョニングは、安全なネットワーク接続を経由して新しい PAC をエンドユーザ クライアントに送信します。 Cisco Secure ACS とエンドユーザ クライアントが、ともに自動プロビジョニングをサポートするように設定されている場合は、自動 PAC プロビジョニングを実行するに当たってネットワーク ユーザまたは Cisco Secure ACS 管理者が介入する必要はありません。

EAP-FAST フェーズ 0 では、ユーザの EAP-MSCHAPv2 認証が必要です。 ユーザ認証が成功すると、Cisco Secure ACS がエンドユーザ クライアントとの Diffie-Hellman トンネルを確立します。 Cisco Secure ACS はユーザ用の PAC を生成し、このトンネル内で、この Cisco Secure ACS に関する認証局 ID および認証局 ID 情報とともにエンドユーザ クライアントに送信します。


) EAP-FAST フェーズ 0 とフェーズ 2 は異なる認証方法を使用するので(フェーズ 0 では EAP-MSCHAPv2、フェーズ 2 では EAP-GTC)、フェーズ 2 をサポートするデータベースの中には、フェーズ 0 をサポートしないものがあります。 Cisco Secure ACS は、各ユーザを 1 つのユーザ データベースと関連付けることから、自動 PAC プロビジョニングを使用するには、EAP-FAST フェーズ 0 と互換性のあるデータベースで EAP-FAST ユーザが認証されている必要があります。 Cisco Secure ACS が EAP-FAST フェーズ 0 とフェーズ 2 をサポートできるデータベースについては、「認証プロトコルとデータベースの互換性」を参照してください。


EAP-FAST フェーズ 0 ではネットワーク サービスが使用可能にならないため、Cisco Secure ACS は、EAP-FAST フェーズ 0 トランザクションを、PAC プロビジョニングが発生したというエントリとともに Failed Attempts ログに記録します。 エンドユーザ クライアントは、正常なフェーズ 0 を介して PAC を受信した後、フェーズ 1 の開始を求める新しい EAP-FAST 要求を送信します。


) フェーズ 0 での PAC の送信は、MS-CHAPv2 認証によって安全が確保されており、MS-CHAPv2 はディクショナリ攻撃に弱いので、自動プロビジョニングの使用は、最初に EAP-FAST を導入するときに限定することを推奨します。 EAP-FAST を大規模に導入した後は、PAC に対する高度なセキュリティを確保するため、PAC プロビジョニングを手動で実行する必要があります。手動 PAC プロビジョニングの詳細については、「手動 PAC プロビジョニング」を参照してください。


Cisco Secure ACS が自動 PAC プロビジョニングを実行するかどうかを制御するには、System Configuration セクションの Global Authentication Setup ページにあるオプションを使用します。詳細については、「認証設定オプション」を参照してください。

手動 PAC プロビジョニング

手動 PAC プロビジョニングでは、Cisco Secure ACS 管理者が PAC ファイルを生成し、該当するネットワーク ユーザに配布する必要があります。 ユーザは PAC ファイルでエンドユーザ クライアントを設定する必要があります。 たとえば、EAP-FAST エンドユーザ クライアントが Cisco Aironet Client Utility(ACU)である場合、EAP-FAST をサポートするように ACU を設定するには、PAC ファイルをインポートする必要があります。 Cisco ACU の設定方法の詳細については、該当する ACU の設定ガイドを参照してください。

EAP-FAST を使用してネットワークにアクセスできるユーザを制御するには、手動 PAC プロビジョニングを使用します。 自動 PAC プロビジョニングを使用不可にすると、PAC を拒否された EAP-FAST ユーザはネットワークにアクセスできません。 Cisco Secure ACS 環境に、各ネットワーク セグメントへのアクセスが個別の Cisco Secure ACS によって制御されるネットワーク セグメンテーションが含まれている場合は、手動 PAC プロビジョニングによってセグメントごとに EAP-FAST アクセスを許可できます。 たとえば、会社がシカゴとボストンのオフィスでのワイヤレス アクセスに EAP-FAST を使用しており、この 2 つのオフィスで、Cisco Aironet Access Point が別々の Cisco Secure ACS を使用するよう設定されている場合に、シカゴのオフィスを訪れたボストンの従業員がワイヤレス アクセスを使用できるかどうかを、従業員ごとに決定できます。


) EAP-FAST マスター キーとポリシーを複製すると、Cisco Secure ACS ごとに異なる PAC を要求する機能に影響します。詳細については、表10-2を参照してください。


手動 PAC プロビジョニングの管理オーバーヘッドは自動 PAC プロビジョニングを大幅に上回りますが、ネットワーク上で PAC を送信するリスクはなくなります。 EAP-FAST を初めて導入するときに手動 PAC プロビジョニングを使用すると、エンドユーザ クライアントで多数の手動設定が必要となりますが、このプロビジョニングが、PAC を配信する最も安全な方法です。 EAP-FAST を大規模に導入した後は、PAC に対する高度なセキュリティを確保するため、PAC プロビジョニングを手動で実行することを推奨します。

特定のユーザ、ユーザ グループ、ユーザ リスト、またはすべてのユーザに対して PAC ファイルを生成できます。 ユーザ グループまたはすべてのユーザに対して PAC ファイルを生成する場合、ユーザは未知ユーザではなく、既知ユーザまたは検出ユーザである必要があります。 Cisco Secure ACS Appliance は、HTML インターフェイスでの PAC ファイルの生成をサポートしています。PAC ファイルの生成方法の詳細については、「EAP-FAST PAC ファイルの生成」を参照してください。

マスター キーと PAC の TTL

マスター キーと PAC の TTL 値は、「マスター キーについて」および「PAC について」に記載されているとおりにその状態を決定します。 マスター キーと PAC の状態から、EAP-FAST でネットワーク アクセスを要求するユーザに PAC プロビジョニングまたは PAC リフレッシュを要求するかどうかが決まります。 表10-1 は、PAC とマスター キーの状態に関する Cisco Secure ACS の動作の要約です。

 

表10-1 マスター キーと PAC の状態

マスター キーの状態
PAC がアクティブ
PAC が期限切れ
マスター キーが
アクティブ

フェーズ 1 が成功します。

PAC がフェーズ 2 の最後にリフレッシュ されません

フェーズ 1 が成功します。

PAC がフェーズ 2 の最後にリフレッシュされます。

マスター キーが
非アクティブ

フェーズ 1 が成功します。

PAC がフェーズ 2 の最後にリフレッシュされます。

フェーズ 1 が成功します。

PAC がフェーズ 2 の最後にリフレッシュされます。

マスター キーが
期限切れ

PAC プロビジョニングが必要です。

自動プロビジョニングが 使用可能 の場合には、フェーズ 0 が実行され、新しい PAC が送信されます。 エンドユーザ クライアントが、新しい PAC を使用して新しい EAP-FAST 認証要求を開始します。

自動プロビジョニングが 使用不可 の場合には、フェーズ 0 が実行されず、フェーズ 1 が失敗します。 手動プロビジョニングを使用して、ユーザに新しい PAC を提供する必要があります。

PAC プロビジョニングが必要です。

自動プロビジョニングが 使用可能 の場合には、フェーズ 0 が実行され、新しい PAC が送信されます。 エンドユーザ クライアントが、新しい PAC を使用して新しい EAP-FAST 認証要求を開始します。

自動プロビジョニングが 使用不可 の場合には、フェーズ 0 が実行されず、フェーズ 1 が失敗します。 手動プロビジョニングを使用して、ユーザに新しい PAC を提供する必要があります。

複製と EAP-FAST

CiscoSecure Database Replication 機能は、EAP-FAST 設定、認証局 ID、およびマスター キーの複製をサポートしています。 EAP-FAST データの複製が実行されるのは、次の場合に限られます。

プライマリ Cisco Secure ACS の Database Replication Setup ページの Send で、 EAP-FAST master keys and policies チェックボックスをオンにした場合。

プライマリ Cisco Secure ACS の Global Authentication Setup ページで、
EAP-FAST を使用可能にし、 EAP-FAST master server チェックボックスをオンにした場合。

セカンダリ Cisco Secure ACS の Database Replication Setup ページの Receive で、 EAP-FAST master keys and policies チェックボックスをオンにした場合。

セカンダリ Cisco Secure ACS の Global Authentication Setup ページで、EAP-FAST を使用可能にし、 EAP-FAST master server チェックボックスをオフにした場合。

EAP-FAST 関連の複製は、次の 3 つのイベントに対して実行されます。

マスター キーの生成 :プライマリ Cisco Secure ACS は、新たに生成されたアクティブ マスター キーとバックアップ マスター キーをセカンダリ Cisco Secure ACS に送信します。 複製が適切に設定されており、Database Replication Setup ページの複製スケジューリングの影響を受けない場合、このイベントはマスター キーの生成直後に実行されます。

手動複製 :プライマリ Cisco Secure ACS の Database Replication Setup ページで Replicate Now をクリックすると、複製可能なすべての EAP-FAST コンポーネントが複製されます。 複製されたコンポーネントの一部は、HTML インターフェイスで設定できます。 EAP-FAST コンポーネントが複製されるかどうか、あるいは設定可能かどうかについては、 表10-2 を参照してください。


) EAP-FAST 複製は、スケジューリングされた複製イベントには含まれません。


EAP-FAST 設定に対する変更 :プライマリ Cisco Secure ACS で複製された設定可能 EAP-FAST コンポーネントを変更すると、Cisco Secure ACS は EAP-FAST 複製を開始します。 EAP-FAST コンポーネントが複製されるかどうか、あるいは設定可能かどうかについては、 表10-2 を参照してください。

プライマリ Cisco Secure ACS の Database Replication ログには、マスター キーの複製が記録されます。 マスター キー複製に関連するエントリには、
「MKEYReplicate」というテキストが含まれています。

 

表10-2 EAP-FAST コンポーネントと複製

EAP-FAST コンポーネント
複製の有無
設定の可否

EAP-FAST Enable

×

はい、Global Authentication Setup ページで可能です。

Master key TTL

はい、Global Authentication Setup ページで可能です。

Retired master key TTL

はい、Global Authentication Setup ページで可能です。

PAC TTL

はい、Global Authentication Setup ページで可能です。

Authority ID

いいえ、Cisco Secure ACS によって生成されます。

Authority ID info

はい、Global Authentication Setup ページで可能です。

Client initial message

はい、Global Authentication Setup ページで可能です。

Master keys

いいえ、TTL 設定で指示されたときに Cisco Secure ACS によって生成されます。

EAP-FAST master server

×

はい、Global Authentication Setup ページで可能です。

Actual EAP-FAST server status

×

いいえ、Cisco Secure ACS によって決まります。

EAP-FAST マスター サーバ設定は、次に示すように、EAP-FAST の認証と複製に大きな影響を与えます。

Enabled :EAP-FAST master server チェックボックスがオンになっている場合、「Actual EAP-FAST server status」は Master であり、Cisco Secure ACS は、複製中にプライマリ Cisco Secure ACS から受信した EAP-FAST 設定、認証局 ID、およびマスター キーを無視して、生成したマスター キー、その固有の認証局 ID、および HTML インターフェイスで設定された EAP-FAST 設定を使用します。

EAP-FAST マスター サーバ設定を使用可能にするには、エンドユーザ クライアントに、セカンダリ Cisco Secure ACS の PAC とは異なるプライマリ Cisco Secure ACS の PAC を提供する必要があります。 プライマリ Cisco Secure ACS とセカンダリ Cisco Secure ACS は EAP-FAST トランザクションの開始時に異なる認証局 ID を送信するため、エンドユーザ クライアントは、各認証局 ID 用の PAC を持っている必要があります。プライマリ Cisco Secure ACS によって生成された PAC は、セカンダリ Cisco Secure ACS で EAP-FAST マスター サーバ設定が使用可能になっている複製スキームでは、セカンダリ Cisco Secure ACS で受け取れません。


ヒント 複製された Cisco Secure ACS 環境では、EAP-FAST マスター サーバ機能を使用し、同時に自動 PAC プロビジョニングを拒否することにより、ネットワーク内の異なるセグメントへの EAP-FAST アクセスを制御します。 自動 PAC プロビジョニングを使用しない場合は、ユーザが各ネットワーク セグメントの PAC を要求する必要があります。


使用不可 :EAP-FAST master server チェックボックスがオフになっている場合、Cisco Secure ACS は、プライマリ Cisco Secure ACS から最初の複製 EAP-FAST コンポーネントを受信するまで、EAP-FAST マスター サーバとして動作を続けます。 「Actual EAP-FAST server status」に Slave というテキストが表示されている場合、Cisco Secure ACS は、生成したマスター キーとその固有の認証局 ID ではなく、複製中にプライマリ Cisco Secure ACS から受信した EAP-FAST 設定、認証局 ID、およびマスター キーを使用します。


) EAP-FAST master server チェックボックスをオフにした場合、「Actual EAP-FAST server status」は、Cisco Secure ACS が複製 EAP-FAST コンポーネントを受信し、「Actual EAP-FAST server status」が Slave に変わるまで、Master のままです。 「Actual EAP-FAST server status」が Slave に変わるまで、Cisco Secure ACS は、生成したマスター キー、その固有の認証局 ID、および HTML インターフェイスで設定された EAP-FAST 設定を使用して、マスター EAP-FAST サーバとして動作します。


EAP-FAST マスター サーバ設定を使用不可にすると、プライマリ Cisco Secure ACS とセカンダリ Cisco Secure ACS から異なる PAC を提供する必要がなくなります。 これは、プライマリ Cisco Secure ACS とセカンダリ Cisco Secure ACS が、EAP-FAST トランザクションの開始時にエンドユーザ クライアントへ同じ認証局 ID を送信するためです。したがって、エンドユーザ クライアントは、どちらの Cisco Secure ACS に対する応答でも、同じ PAC を使用します。 また、EAP-FAST マスター サーバ設定が使用不可になっている複製スキームで 1 つの Cisco Secure ACS によってユーザ用に生成された PAC は、同じ複製スキーム内の他のすべての Cisco Secure ACS で受け取ります。

複製の詳細については、「CiscoSecure データベース複製」を参照してください。

EAP-FAST の使用可能設定

ここでは、EAP-FAST 認証をサポートするために必要な Cisco Secure ACS 設定の詳細な手順について、その概要を示します。


) エンドユーザ クライアントがEAP-FAST をサポートするように設定されている必要があります。この手順は、Cisco Secure ACS の設定に特有のものです。


始める前に

この手順は一例に過ぎません。 ユーザのサイトで EAP-FAST を使用可能にするに当たっては、適宜これらの手順を繰り返したり順番を変えたりする必要があります。 たとえばこの手順では、EAP-FAST をサポートするようユーザ データベースを設定した後に PAC プロビジョニングをどのようにサポートするかを決定します。しかし、自動 PAC プロビジョニングを選択すると、ユーザ データベース サポートの制限が変わります。

Cisco Secure ACS で EAP-FAST 認証を実行できるようにするには、次の手順に従います。


ステップ 1 EAP-FAST 認証をサポートするようにユーザ データベースを設定します。どのユーザ データベースで EAP-FAST 認証がサポートされているかについては、「認証プロトコルとデータベースの互換性」を参照してください。 ユーザ データベース設定については、「ユーザ データベース」を参照してください。


) EAP-FAST フェーズ 0 とフェーズ 2 に対するユーザ データベース サポートは異なります。


Cisco Secure ACS は、Unknown User Policy の使用と EAP-FAST でのグループ マッピングをサポートしています。また、Windows 外部ユーザ データベースでのパスワード エージングもサポートしています。

ステップ 2 マスター キーと PAC の TTL 値を決定します。 キーと PAC を頻繁に変更すると安全性が高まると考えられます。一方で、マシンが長期間オフラインのままになっていたために PAC のマスター キーが期限切れとなり、PAC プロビジョニングが必要になる可能性も高まります。

また、最初の EAP-FAST の展開で使用した TTL 値を小さくすると、ユーザが期限切れのマスター キーに基づく PAC を持つ可能性が高まることから、PAC プロビジョニングを強制的に実行する場合もあります。

マスター キーと PAC の TTL 値によって PAC プロビジョニングまたは PAC のリフレッシュの必要性がどのように決まるかについては、「マスター キーと PAC の TTL」を参照してください。

ステップ 3 自動 PAC プロビジョニングと手動 PAC プロビジョニングのどちらを使用するかを決めます。 PAC プロビジョニングの 2 つの手段の詳細については、「自動 PAC プロビジョニング」および「手動 PAC プロビジョニング」を参照してください。


) 自動 PAC プロビジョニングは、EAP-FAST の初回導入時にのみ使用し、その後、少数の新しいエンドユーザ クライアントをネットワークに追加する場合や期限切れのマスター キーに基づいて PAC を置換する場合には、手動 PAC プロビジョニングを使用することが推奨されます。


ステップ 4 ステップ 2およびステップ 3での決定内容を使用して、Global Authentication Setup ページで EAP-FAST を使用可能にします。詳しい手順については、「認証オプションの設定」を参照してください。

Cisco Secure ACS で EAP-FAST 認証を実行する準備が整います。


 

グローバル認証のセットアップ

Global Authentication Setup ページを使用すると、Cisco Secure ACS でサポートされている認証プロトコルを使用可能または使用不可にできます。また、Global Authentication Setup ページに表示されたプロトコルのそれ以外のオプションも設定できます。

この項では、次のトピックについて取り上げます。

「認証設定オプション」

「認証オプションの設定」

認証設定オプション

Global Authentication Setup ページには、次の設定オプションがあります。

PEAPPEAP には、次のオプションを設定できます。

Allow EAP-MSCHAPv2 :Cisco Secure ACS で PEAP クライアントに EAP-MSCHAPv2 認証を試みるかどうかを設定します。


) Allow EAP-MSCHAPv2 と Allow EAP-MSCHAPv2 の両方のチェックボックスがオンになっている場合、Cisco Secure ACS はエンドユーザ PEAP クライアントと EAP タイプをネゴシエートします。


Allow EAP-GTC :Cisco Secure ACS で PEAP クライアントに EAP-GTC 認証を試みるかどうかを設定します。

Cisco client initial message :PEAP 認証のときに表示するメッセージ。PEAP クライアントの初期表示メッセージは、Cisco Aironet PEAP クライアントが認証を試みたときに最初に表示される身元証明要求です。 これは、たとえば「Enter your passcode」など、次に何をすればよいかをユーザに指示するものにする必要があります。メッセージは 60 文字までに制限されています。

PEAP session timeout (minutes) :ユーザに許可する PEAP セッションの最大の長さ(分単位)。0(ゼロ)より大きいセッション タイムアウト値を指定すると、PEAP セッション レジューム機能が使用可能になり、PEAP 認証のフェーズ 1 で作成された TLS セッションがキャッシュされます。PEAP クライアントが再接続する場合、Cisco Secure ACS はキャッシュされた TLS セッションを使用してセッションを復元するので、PEAP のパフォーマンスが向上します。Cisco Secure ACS は、TLS セッションがタイムアウトした時点で、キャッシュされている TLS セッションを削除します。デフォルトのタイムアウト値は 120 分です。セッション レジューム機能を使用不可にするには、このタイムアウト値を 0(ゼロ)に設定します。

Enable Fast Reconnect :Cisco Secure ACS で PEAP 認証のフェーズ 2 を実行せずに PEAP クライアントのセッションをレジュームするかどうかを設定します。Enable Fast Reconnect チェックボックスをオフにすると、Cisco Secure ACS は PEAP セッションがタイムアウトしていない場合でも、常に PEAP 認証のフェーズ 2 を実行します。

高速再接続ができるのは、セッションがタイムアウトしていないために Cisco Secure ACS でセッションのレジュームが許可される場合だけです。PEAP session timeout (minutes) ボックスに 0(ゼロ)を入力することによって PEAP セッション レジューム機能を使用不可にした場合は、Enable Fast Reconnect チェックボックスをオンにしても PEAP 認証に影響はなく、常に PEAP 認証のフェーズ 2 が実行されます。

EAP-FASTEAP-FAST には、次のオプションを設定できます。

Allow EAP-FAST :Cisco Secure ACS で EAP-FAST 認証を許可するかどうかを設定します。


) ユーザが、Network Configuration セクションで RADIUS(Cisco Aironet)デバイスとして定義されている AAA クライアントを使用してネットワークにアクセスする場合は、1 つ以上の LEAP、EAP-TLS、または EAP-FAST プロトコルが Global Authentication Setup ページで使用可能になっている必要があります。そうでない場合、Cisco Aironet ユーザは認証を受けることができません。


Master Key TTL :マスター キーが新しい PAC の生成に使用される期間。 マスター キーがそのマスター キーの TTL よりも古くなると、Cisco Secure ACS がそのマスター キーを非アクティブにし、新しいマスター キーを生成します。 デフォルトのマスター キーの TTL は 1 か月です。


) マスター キーは、マスター キーの TTL と非アクティブなマスター キーの TTL の合計よりも古くなると期限切れになるので、マスター キーの TTL を減らすと、非アクティブなマスター キーが期限切れになりやすくなります。そのため、マスター キーの TTL を減らすと、新たに期限切れになったマスター キーに基づく PAC を持つエンドユーザ クライアントに対して PAC プロビジョニングが必要になります。


マスター キーの詳細については、「マスター キーについて」を参照してください。

Retired master key TTL :非アクティブなマスター キーを使用して生成された PAC を EAP-FAST 認証が受け取る期間。 つまり、アクティブでなくなったマスター キーで生成された PAC が許容される猶予期間を定義します。 エンドユーザ クライアントが非アクティブなマスター キーに基づく PAC を使用してネットワークにアクセスすると、Cisco Secure ACS は新しい PAC をエンドユーザ クライアントに送信します。 非アクティブなマスター キーのデフォルトの TTL は 3 か月です。

非アクティブなマスター キーは、非アクティブなマスター キーの TTL よりも古くなると期限切れとなり、Cisco Secure ACS によって削除されます。


) 非アクティブなマスター キーの TTL を減らすと、非アクティブなマスター キーが期限切れになる場合があります。そのため、新たに期限切れになったマスター キーに基づく PAC を持つエンドユーザ クライアントには、PAC プロビジョニングが必要となります。



) 非アクティブなマスター キーの TTL を減らすと、非アクティブなマスター キーが期限切れになる場合があります。そのため、非アクティブなマスター キーの TTL を減らすには、新たに期限切れになったマスター キーに基づく PAC を持つエンドユーザ クライアントに PAC プロビジョニングが必要となります。


マスター キーの詳細については、「マスター キーについて」を参照してください。

PAC TTL :PAC が期限切れになり置換する必要が生じるまでの PAC の使用期間。 PAC の生成に使用されたマスター キーが期限切れになっていなければ、新しい PAC の作成および割り当てが自動的に行われます。 PAC の生成に使用されたマスター キーが期限切れになっている場合は、帯域内または帯域外プロビジョニングを使用して、エンドユーザ クライアントに新しい PAC を提供する必要があります。デフォルトの PAC の TTL は 1 か月です。

PAC の詳細については、「PAC について」を参照してください。

Client initial display message :EAP-FAST クライアントで認証されたユーザに送信するメッセージを指定します。 最大長は 40 文字です。


) 初期表示メッセージは、エンドユーザ クライアントが表示をサポートしている場合にのみ表示されます。


Authority ID Info: この Cisco Secure ACS に関する短い説明で、Cisco Secure ACS によって発行された PAC とともに送信されます。 EAP-FAST エンドユーザ クライアントは、この説明を使用して、PAC を発行した AAA サーバについて説明します。最大長は 60 文字です。


) 認証局 ID 情報は、認証局 ID と同じではありません。認証局 ID は、Cisco Secure ACS によって自動的に生成され、設定ができません。 認証局 ID が、Cisco Secure ACS に送信する PAC を判断するためにエンドユーザ クライアントによって使用されるのに対し、認証局 ID 情報は、認証局 ID と関連付けられており、人間が判読できるラベルです。


Allow automatic PAC provisioning :Cisco Secure ACS が、EAP-FAST フェーズ 0 を使用してエンドユーザ クライアントに PAC を提供します。このチェックボックスをオンにすると、Cisco Secure ACS が、新しい PAC を提供するために、エンドユーザ クライアントとの安全な接続を確立します。このチェックボックスをオフにすると、Cisco Secure ACS がユーザ アクセスを拒否するため、PAC プロビジョニングを帯域外で(手動で)実行する必要があります。

EAP-FAST Master Server: このチェックボックスがオフになっている場合、Cisco Secure ACS は、複製された EAP-FAST ポリシー、認証局 ID、およびマスター キーを受信したときに、自身の EAP-FAST ポリシー、認証局 ID、およびマスター キーではなく、複製を使用します。

このチェックボックスがオンになっている場合、Cisco Secure ACS は、自身の EAP-FAST ポリシー、認証局 ID、およびマスター キーを使用します。詳細については、 表10-2 を参照してください。


) EAP-FAST マスター サーバの設定を変更する場合は、Submit + Restart をクリックしてください。


Actual EAP-FAST server status :読み取り専用のこのオプションを選択すると、Cisco Secure ACS の EAP-FAST の状態が表示されます。 このオプションに「Master」と表示された場合、Cisco Secure ACS は自身のマスター キーと認証局 ID を生成します。「Slave」と表示された場合は、複製時に受信したマスター キーと認証局 ID を使用します。詳細については、 表10-2 を参照してください。


ヒント EAP-FAST Master Server チェックボックスをオフにしても、Cisco Secure ACS が複製の EAP-FAST コンポーネントを受信するまで、EAP-FAST サーバのステータスは「Master」のままです。


EAP-TLSEAP-TLS には、次のオプションを設定できます。

Allow EAP-TLS :Cisco Secure ACS で EAP-TLS 認証を許可するかどうかを設定します。


) ユーザが、Network Configuration セクションで RADIUS(Cisco Aironet)デバイスとして定義されている AAA クライアントを使用してネットワークにアクセスする場合は、1 つ以上の LEAP、EAP-TLS、または EAP-FAST プロトコルが Global Authentication Setup ページで使用可能になっている必要があります。そうでない場合、Cisco Aironet ユーザは認証を受けることができません。


Certificate SAN comparison :認証を行う場合に、エンドユーザ クライアント証明書の Subject Alternative Name(SAN)を該当するユーザ データベース内のユーザ名と比較するかどうかを設定します。


) 複数の比較タイプを選択した場合、Cisco Secure ACS は一覧に載っている順序で比較を行います。1 つの比較タイプが失敗した場合、Cisco Secure ACS は次に使用可能にされた比較タイプを試みます。比較は、最初に比較が成功した時点で停止されます。


Certificate CN comparison :認証を行う場合に、エンドユーザ クライアント証明書の Common Name を該当するユーザ データベース内のユーザ名と比較するかどうかを設定します。

Certificate Binary comparison :認証を行う場合に、エンドユーザ クライアント証明書を該当するユーザ データベースに保存されているユーザ証明書とバイナリ比較するかどうかを設定します。この比較方法は、ODBC 外部ユーザ データベースに保存されているユーザの認証には使用できません。

EAP-TLS session timeout (minutes) :ユーザに許可する EAP-TLS セッションの最大の長さ(分単位)。0(ゼロ)より大きいセッション タイムアウト値を指定すると、EAP-TLS セッション レジューム機能が使用可能になります。セッション レジューム機能を使用すると、ユーザはセッションがタイムアウトになっていない場合、ユーザの検索や証明書の比較なしに再認証を受けることができます。エンドユーザ クライアントが再起動された場合は、セッション タイムアウト インターバルが終了していなくても、証明書を検索して認証を受ける必要があります。デフォルトのタイムアウト値は 120 分です。セッション タイムアウト機能を使用不可にするには、タイムアウト値を 0(ゼロ)に設定します。

LEAP :Allow LEAP(For Aironet only)チェックボックスは、Cisco Secure ACS で LEAP 認証を行うかどうかを制御します。LEAP は、現時点では Cisco Aironet ワイヤレス ネットワークにだけ使用されます。このオプションを使用不可にした場合、LEAP 認証を行うように設定された Cisco Aironet エンドユーザ クライアントは、ネットワークにアクセスできません。すべての Cisco Aironet エンドユーザ クライアントが別の認証プロトコル、たとえば EAP-TLS などを使用している場合は、このオプションを使用不可にすることを推奨します。


) ユーザが、Network Configuration セクションで RADIUS(Cisco Aironet)デバイスとして定義されている AAA クライアントを使用してネットワークにアクセスする場合は、LEAP、EAP-TLS、またはその両方が Global Authentication Setup ページで使用可能になっている必要があります。そうでない場合、Cisco Aironet ユーザは認証を受けることができません。


EAP-MD5 :Allow EAP-MD5 チェックボックスは、Cisco Secure ACS で EAP-MD5 認証を行うかどうかを制御します。このオプションを使用不可にした場合、EAP-MD5 認証を行うように設定されたエンドユーザ クライアントはネットワークにアクセスできません。EAP-MD5 を使用するエンドユーザ クライアントが存在しない場合は、このオプションを使用不可にすることを推奨します。

AP EAP request timeout (seconds) :Cisco Secure ACS は、指定されたタイムアウト値を EAP カンバセーション中に使用するよう Cisco Aironet Access Points(AP)に指示します。 指定された値の秒数が経過した後に、Cisco Aironet AP は、Cisco Secure ACS での EAP トランザクションが失われたため再開する必要があると想定します。 値に 0(ゼロ)を指定すると、この機能が使用不可になります。


) AP EAP 要求のタイムアウト機能は、CiscoSecure ACS バージョン 3.2.3 よりサポートされています。それより前のバージョンには、この機能がありません。


EAP カンバセーション中、Cisco Secure ACS は IETF RADIUS Session-Timeout(27)アトリビュートを使用して AP EAP request timeout ボックスで定義された値を送信しますが、カンバセーションの終わりの RADIUS Access-Accept パケットで、Cisco Secure ACS が IETF RADIUS Session-Timeout(27)アトリビュートで送信する値は、Cisco Aironet RADIUS VSA Cisco-Aironet-Session- Timeout(01)で指定された値か、またはそのアトリビュートが使用可能になっていない場合は IETF RADIUS Session-Timeout(27)アトリビュートで指定された値です。


) Cisco Aironet RADIUS VSA Cisco-Aironet-Session-Timeout(01)は真の RADIUS VSA ではありません。これは、RADIUS 要求を送信する AAA クライアントが Network Configuration で RADIUS(Cisco Aironet)によって認証されたとして定義されている場合に、Cisco Secure ACS が IETF RADIUS Session-Timeout アトリビュートで送信する値を示します。


MS-CHAP Configuration :Allow MS-CHAP Version 1 Authentication と Allow MS-CHAP Version 2 Authentication のチェックボックスは、Cisco Secure ACS で RADIUS 要求に対して MS-CHAP 認証を行うかどうかを制御します。また、この 2 つのチェックボックスを使用すると、RADIUS 要求の中で許可される MS-CHAP のバージョンも制御できます。MS-CHAP の特定のバージョンを使用不可にした場合、RADIUS を使用してそのバージョンで認証を行うように設定されたエンドユーザ クライアントは、ネットワークにアクセスできなくなります。RADIUS で特定バージョンの MS-CHAP を使用するように設定されたエンドユーザ クライアントが存在しない場合は、そのバージョンの MS-CHAP を使用不可にすることを推奨します。


) TACACS+ の場合、Cisco Secure ACS は MS-CHAP バージョン 1 だけをサポートします。MS-CHAP バージョン 1 用の TACACS+ サポートは常に使用可能になっており、この設定は変更できません。


認証オプションの設定

Cisco Secure ACS で認証用のオプションの処理方法を選択および設定するには、このトピックの手順に従います。特に、この手順では、許容するさまざまな EAP の指定と設定を行い、MS-CHAP Version 1、MS-CHAP Version 2、またはその両方を許容するかどうかを指定します。

EAP-TLS プロトコルの詳細については、「EAP-TLS 認証」を参照してください。 PEAP プロトコルの詳細については、「PEAP 認証」を参照してください。 PEAP プロトコルの詳細については、「EAP-FAST 認証」を参照してください。各種のデータベースでサポートされる各種のパスワード プロトコルの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。

始める前に

Global Authentication Setup ページにあるオプションについては、「認証設定オプション」を参照してください。

認証オプションを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Global Authentication Setup をクリックします。

Cisco Secure ACS の Global Authentication Setup ページが表示されます。

ステップ 3 必要に応じてオプションを設定します。各オプションの詳しい意味については、「認証設定オプション」を参照してください。

ステップ 4 設定した値を即時に実装する場合は、 Submit + Restart をクリックします。

Cisco Secure ACS のサービスが再起動され、選択した認証設定オプションが実装されます。

ステップ 5 設定した値を保存し、後で実装する場合は、 Submit をクリックします。


ヒント Cisco Secure ACS のサービスは、System Configuration セクションの Service Control ページを使用することにより、いつでも再起動できます。

選択した認証設定オプションが Cisco Secure ACS によって保存されます。


 

Cisco Secure ACS 証明書のセットアップ

この項では、次のトピックについて取り上げます。

「証明書のインストール」

「認証局証明書の追加」

「証明書信頼リストの編集」

「証明書署名要求の生成」

「証明書のアップデートと置換」

証明書のインストール

Cisco Secure ACS 証明書をインストールする(つまり、登録する)には、このトピックの手順に従います。証明書の登録は、EAP-TLS および PEAP 認証をサポートするためだけでなく、Cisco Secure ACS への GUI アクセス用の HTTPS プロトコルをサポートするためにも実行できます。

始める前に

Cisco Secure ACS 用のサーバ証明書をインストールするには、事前にそのためのサーバ証明書を用意しておく必要があります。Cisco Secure ACS では、証明書ファイルは Base64 エンコードされた X.509 フォーマットにする必要があります。インストール用の証明書は、「証明書署名要求の生成」で入手することも、別の手段によって入手することもできます。

Cisco Secure ACS に使用する既存の証明書をインストールするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Install ACS Certificate をクリックします。

Cisco Secure ACS の Install new certificate テーブルが Install ACS Certificate ページに表示されます。

ステップ 4 新しい証明書をインストールするには、 Read certificate from file オプションを選択してから、 Download certificate file リンクをクリックします。

Download Certificate File ページが表示されます。

ステップ 5 証明書ファイルを Cisco Secure ACS の Download File テーブルへダウンロードするには、次の手順に従います。

a. FTP Server ボックスに、ダウンロードする証明書ファイルのある FTP サーバの IP アドレスかホスト名を入力します。


ヒント ホスト名を指定する場合は、ネットワーク上で DNS が正しく動作している必要があります。

b. Login ボックスに、Cisco Secure ACS から FTP サーバへアクセスするために使用する有効なユーザ名を入力します。

c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。

d. Remote FTP Directory ボックスに、FTP サーバのルート ディレクトリを起点とし、FTP サーバから Cisco Secure ACS へダウンロードする証明書ファイルのあるディレクトリまでの相対パスを入力します。

e. Remote FTP File Name ボックスに、FTP サーバから Cisco Secure ACS へダウンロードする証明書ファイルの名前を入力します。

f. Submit をクリックします。

証明書ファイルがダウンロードされ、Install ACS Certificate ページの Certificate file ボックスにファイル名が表示されます。


ヒント ファイル転送でエラーが起きた場合は、右側のウィンドウにエラーの内容が表示されます。

ステップ 6 Cisco Secure ACS を使用して要求を生成した場合は、 Download private key file リンクをクリックします。

Download Private Key File ページが表示されます。

ステップ 7 秘密キー ファイルを Cisco Secure ACS の Download File テーブルへダウンロードするには、次の手順に従います。

a. FTP Server ボックスに、ダウンロードする秘密キー ファイルのある FTP サーバの IP アドレスかホスト名を入力します。


ヒント ホスト名を指定する場合は、ネットワーク上で DNS が正しく動作している必要があります。

b. Login ボックスに、Cisco Secure ACS から FTP サーバへアクセスするために使用する有効なユーザ名を入力します。

c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。

d. Remote FTP Directory ボックスに、FTP サーバのルート ディレクトリを起点とし、FTP サーバから Cisco Secure ACS へダウンロードする秘密キー ファイルのあるディレクトリまでの相対パスを入力します。

e. Remote FTP File Name ボックスに、FTP サーバから Cisco Secure ACS へダウンロードする秘密キー ファイルの名前を入力します。

f. Submit をクリックします。

秘密キー ファイルがダウンロードされ、Install ACS Certificate ページの Private key file ボックスにファイル名が表示されます。


ヒント ファイル転送でエラーが起きた場合は、右側のウィンドウにエラーの内容が表示されます。

ステップ 8 Private key password ボックスに秘密キー パスワードを入力します。


ヒント Cisco Secure ACS を使用して証明書署名要求を生成した場合、これは Generate certificate signing request(CSR)で Private key password に入力した値です。秘密キー ファイルが暗号化されていない場合は、このボックスを空のままにしておきます。

ステップ 9 Submit をクリックします。

証明書のセットアップが完了したことを示す、Cisco Secure ACS の Installed Certificate Information テーブルが表示されます。このテーブルには、次の証明書情報があります。

Issued to: 証明書のサブジェクト

Issued by: CA の通常名

Valid from:

Valid to:

Validity


 

認証局証明書の追加

新しい CA 証明書を Cisco Secure ACS のローカル証明書ストレージに追加するには、このトピックの手順に従います。


) クライアントと Cisco Secure ACS が同じ CA から証明書を取得している場合、この手順を実行する必要はありません。Cisco Secure ACS は、自己の証明書を発行した CA を自動的に信頼します。


ユーザ証明書が未知の CA(Cisco Secure ACS を認証した CA とは異なる CA)から発行されたものである場合は、Cisco Secure ACS がその CA を信頼するよう、特別に構成する必要があります。そうでないと、認証が失敗します。Cisco Secure ACS は、この手順によって別の CA が追加され明示的に信頼が拡張されるまで、それ自身の証明書を発行した CA からの証明書だけを認識します。

特定の CA を信頼するように Cisco Secure ACS を設定するプロセスは、2 つの手順からなっています。CA 証明書を追加するこの手順と、「証明書信頼リストの編集」の手順です。後者では、特定の CA を信頼するように指定します(Cisco Secure ACS には出荷時に一般的な CA の一覧が組み込まれていますが、信頼できることが明示的に指定されるまで使用可能になりません)。

認証局証明書をローカル ストレージに追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 ACS Certification Authority Setup をクリックします。

Cisco Secure ACS の ACS Certification Authority Setup ページに CA Operations テーブルが表示されます。

ステップ 4 Download CA certificate file リンクをクリックします。

Download CA Certificate File ページが表示されます。

ステップ 5 プライベートな CA 証明書ファイルを Cisco Secure ACS の Download File テーブルへダウンロードするには、次の手順に従います。

a. FTP Server ボックスに、ダウンロードする CA 証明書ファイルのある FTP サーバの IP アドレスかホスト名を入力します。

b. Login ボックスに、Cisco Secure ACS から FTP サーバへアクセスするために使用する有効なユーザ名を入力します。

c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。

d. Remote FTP Directory ボックスに、FTP サーバのルート ディレクトリを起点とし、FTP サーバから Cisco Secure ACS へダウンロードする CA 証明書ファイルのあるディレクトリまでの相対パスを入力します。

e. Remote FTP File Name ボックスに、FTP サーバから Cisco Secure ACS へダウンロードする CA 証明書ファイルの名前を入力します。

f. Submit をクリックします。

CA 証明書ファイルがダウンロードされ、Install ACS Certificate ページの CA certificate ボックスにファイル名が表示されます。


ヒント ファイル転送でエラーが起きた場合は、右側のウィンドウにエラーの内容が表示されます。

ステップ 6 Private key password ボックスに秘密キー パスワードを入力します。

ステップ 7 Submit をクリックします。

新しい CA 証明書がローカル証明書ストレージに追加されます。


 

証明書信頼リストの編集

Cisco Secure ACS では、CTL を使用してクライアント証明書が検証されます。CA が Cisco Secure ACS から信頼されるためには、その CA の証明書がインストールされている必要があり、Cisco Secure ACS 管理者が CTL を編集することにより、その CA を信頼できるものとして明示的に設定する必要があります。Cisco Secure ACS サーバ証明書が置換された場合、CTL は消去されます。管理者は Cisco Secure ACS サーバ証明書をインストールするか置換するたびに、CTL を明示的に設定する必要があります。


) CA を信頼できるものとして明示的に指定することは、クライアントと Cisco Secure ACS がそれぞれの証明書を同じ CA から取得している場合は必要ありません。この場合、その CA を CTL に追加する必要はありません。Cisco Secure ACS は、自己の証明書を発行した CA を自動的に信頼します。


CTL をどのように編集したかによって、使用される信頼モデルのタイプが決まります。多くの場合、制限された信頼モデルが使用され、非常に少数の、プライベートに制御される CA だけが信頼されます。このモデルを使用すると最高レベルのセキュリティが得られますが、適応性やスケーラビリティは制限されます。それに代わる開放型の信頼モデルでは、より多くの CA やパブリック CA が許容されます。この開放型信頼モデルでは、セキュリティと引き替えに適応性やスケーラビリティを増すことができます。

Cisco Secure ACS で CTL を編集する前に、使用する信頼モデルの意味を十分に理解しておいてください。

CA が信頼できるかできないかを CTL 上で設定するには、下記の手順に従います。CA を CTL 上で信頼できるものとして設定するには、事前にその CA をローカル証明書ストレージに追加しておく必要があります。詳細については、「認証局証明書の追加」を参照してください。ユーザの証明書を発行した CA が、Cisco Secure ACS に信頼されるように特別に設定されていない場合、認証は失敗します。

CTL を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Cisco Secure ACS Certificate Setup をクリックします。

ステップ 3 Edit Certificate Trust List をクリックします。

Edit the Certificate Trust List(CTL)テーブルが表示されます。


警告 管理者が制御していないパブリック CA を CTL に追加すると、システム セキュリティが低下する場合があります。


ステップ 4 CTL 上で CA を信頼できるものとして設定するには、対応するチェックボックスをオンにします。


ヒント 必要に応じて、いくつでも CA をオンまたはオフにできます。CA のチェックボックスをオフにすると、その CA は信頼できないものとして設定されます。

ステップ 5 Submit をクリックします。

Cisco Secure ACS は、チェックボックスのオンまたはオフに応じて、指定された CA を信頼できるものか信頼できないものとして設定します。


 

証明書署名要求の生成

Cisco Secure ACS を使用して、Certificate Signing Request(CSR; 証明書署名要求)を生成できます。CSR を生成した後、それを CA へ送信すると、証明書を入手できます。この手順によって CSR を生成するのは、将来それを証明書登録ツールで使用するためです。


) すでにサーバ証明書を持っている場合は、ACS Certificate Setup ページのこの部分を使用する必要はありません。


証明書署名要求を生成するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Generate Certificate Signing Request をクリックします。

Cisco Secure ACS の Generate Certificate Signing Request ページに Generate new request テーブルが表示されます。

ステップ 4 Certificate subject ボックスに、 cn= と入力し、それに続けて、この ACS 証明書のサブジェクト名として使用する名前を入力します。たとえば、 cn=ACSWireless のように入力します。

ステップ 5 Private key file ボックスに、秘密キーが保存されているファイルの完全なディレクトリ パスと名前を入力します。たとえば、 c:\privateKeyFile.pem のように入力します。

ステップ 6 Private key password ボックスに(自分で考えた)秘密キーのパスワードを入力します。

ステップ 7 Retype private key password ボックスに、秘密キーのパスワードを再入力します。

ステップ 8 Key length リストから、使用するキーの長さを選択します。


ヒント Key length の選択肢は、512 ビットか 1024 ビットです。デフォルトは、セキュリティの高い 1024 ビットです。

ステップ 9 Digest to sign with リストから、ダイジェスト(つまりハッシュ アルゴリズム)を選択します。


ヒント Digest to sign with の選択肢は、MD2、MD5、SHA、および SHA1 です。デフォルトは SHA1 です。

ステップ 10 Submit をクリックします。

Cisco Secure ACS により、右側にある表示域の「 Now your certificate signing request is ready. You can copy and paste it into any certification authority enrollment tool. 」と書かれたバナーの下に、CSR が表示されます。


ヒント この証明書をコピーし、任意の CA のオンライン登録ツールに貼り付けることができます。


 

証明書のアップデートと置換

古くなったか、適切でなくなった既存の Cisco Secure ACS 証明書をアップデートまたは置換するには、このトピックの手順に従います。


注意 この手順により、既存の Cisco Secure ACS 証明書が削除され、Certificate Trust List の設定が消去されます。

新しい ACS 証明書をインストールするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Certificate Setup をクリックします。

Cisco Secure ACS の ACS Certificate Setup ページに Installed Certificate Information テーブルが表示されます。


) まだ Cisco Secure ACS に証明書が登録されていない場合、
Installed Certificate Information テーブルは表示されません。代わりに、Install new certificate テーブルが表示されます。その場合は、ステップ 5 へ進みます。


ステップ 3 Enroll New Certificate をクリックします。

確認のダイアログボックスが表示されます。

ステップ 4 新しい証明書を登録することを確認するには、 OK をクリックします。

既存の Cisco Secure ACS 証明書が削除され、Certificate Trust List の設定が消去されます。

ステップ 5 この時点で、代わりの証明書を元の証明書と同じ方法でインストールできます。詳しい手順については、「証明書のインストール」を参照してください。


 

EAP-FAST PAC ファイルの生成

EAP-FAST PAC Files Generation ページで、手動 PAC プロビジョニング用の PAC ファイルを生成できます。

PAC の詳細については、「EAP-FAST 認証」を参照してください。

この項では、次のトピックについて取り上げます。

「PAC ファイル生成オプション」

「PAC ファイルの生成」

PAC ファイル生成オプション

PAC ファイルを生成するに当たっては、次のオプションがあります。

Specific user :Cisco Secure ACS が、User Name ボックスに入力されたユーザ名を対象とする PAC ファイルを生成します。 たとえば、このオプションを選択し、User Name ボックスに seaniemop と入力すると、Cisco Secure ACS が、 seaniemop.pac という名前の PAC ファイルを 1 つ生成します。


ヒント また、DOMAIN\username という形式を使用して、ドメイン修飾ユーザ名を指定することもできます。 たとえば、ENIGINEERING\augustin と指定すると、Cisco Secure ACS が、ENGINEERING_augustin.pac という名前の PAC ファイルを生成します。


Users from specific ACS group :Cisco Secure ACS が、ACS Group リストで指定されたユーザ グループ内の各ユーザを対象とする PAC ファイルを生成します。 Cisco Secure ACS には 500 のグループがあり、0(ゼロ)~ 499 までの番号が付けられています。たとえば、グループ 7 に 43 人のユーザがいるとします。 このオプションを選択し、ACS Group リストから <Group 7> を選択すると、Cisco Secure ACS が、グループ 7 のメンバーである各ユーザに 1 ファイルずつ、計 43 の PAC ファイルを生成します。各 PAC ファイルの名前は次の形式で付けられます。

username.pac

) 特定のグループ内のユーザを対象とする PAC ファイルを作成すると、CSAuth サービスが再起動します。 CSAuth が停止中の場合はユーザが認証されません。



ヒント 複数のユーザ グループを対象に PAC ファイルを生成するには、グループごとに PAC ファイルを生成します。 たとえば、グループ 7 ~ 10 のユーザを対象とする PAC ファイルを生成するには、グループ 7、8、9、および 10 に対して 1 ファイルずつ、計 4 回 PAC ファイルを生成します。


All users in ACS internal DB :Cisco Secure ACS は、CiscoSecure ユーザ データベース内のユーザごとに PAC ファイルを生成します。 たとえば、CiscoSecure ユーザ データベースに 3278 人のユーザが存在する場合にこのオプションを選択すると、Cisco Secure ACS が、各ユーザに 1 ファイルずつ、計 3278 の PAC ファイルを生成します。 各 PAC ファイルの名前は次の形式で付けられます。

username.pac

) CiscoSecure ユーザ データベース内のすべてのユーザに対して PAC ファイルを生成すると、CSAuth サービスが再起動します。 CSAuth が停止中の場合はユーザが認証されません。


Users from list :Cisco Secure ACS が、指定した FTP サーバから取得したファイルに格納されているユーザ名を対象とする PAC ファイルを生成します。

ユーザ名のリストには、ユーザ名が 1 行に 1 つ記載されており、スペースや他の文字はありません。

たとえば、FTP サーバから取得したリストには、次のユーザ名が記載されています。

seaniemop
jwiedman
echamberlain

Cisco Secure ACS は、 seaniemop.pac jwiedman.pac 、および echamberlain.pac という 3 つの PAC ファイルを生成します。


ヒント また、DOMAIN\username という形式を使用して、ドメイン修飾されたユーザ名を指定することもできます。 たとえば、ENIGINEERING\augustin と指定すると、Cisco Secure ACS が、ENGINEERING_augustin.pac という名前の PAC ファイルを生成します。


ユーザ名リストを取得するためのオプションは次のとおりです。

FTP Server :User リスト ファイル ボックスで指定したファイルが存在する FTP サーバの IP アドレスまたはホスト名。 ホスト名を指定する場合は、ネットワーク上で DNS が稼動しており、Cisco Secure ACS Appliance コンソールで正しく設定されている必要があります。
Cisco Secure ACS の IP 設定の詳細については、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

Login :Cisco Secure ACS が FTP サーバにアクセスするための有効なユーザ名です。


ヒント Login ボックスは、DOMAIN\username という形式のドメイン修飾されたユーザ名を受け取ります。このようなユーザ名は、Microsoft FTP サーバを使用している場合に必要となる場合があります。


Password :Login ボックスに入力したユーザ名のパスワードです。

Remote Directory :Users リスト ファイル ボックスで指定されたユーザ名のファイルを格納するディレクトリ。このディレクトリは、FTP のルート ディレクトリからの相対パス名で指定します。 たとえば、ユーザ名ファイルが paclist という名前のディレクトリに存在し、このディレクトリが FTP ルート ディレクトリのサブディレクトリである場合は、Remote Directory ボックスに paclist と入力します。


ヒント FTP のルート ディレクトリを指定するには、先頭にピリオド(ドット)を 1 つ置きます。


Users list file :ユーザ名リストのファイル名。 たとえば、ユーザ名ファイルの名前が eapfastusers.txt である場合は、User リスト ファイルボックスに eapfastusers.txt と入力します。

Encrypt PAC file(s) with :各 PAC ファイルは、Cisco Secure ACS とエンドユーザ クライアントにとって既知のデフォルトのパスワードか、ユーザが指定したパスワードのどちらかを使用して必ず暗号化されています。 PAC ファイルを暗号化することは、盗まれた PAC ファイルによるネットワークへの不正アクセスの防止に役立ちます。 デフォルトのパスワードは強力ですが、すべての Cisco Secure ACS および EAP-FAST エンドユーザ クライアントで使用されます。


) デフォルトのパスワードではなく、自ら考案したパスワードを使用することを推奨します。


Default password :Cisco Secure ACS は、デフォルトのパスワードを使用して、生成した PAC ファイルを保護します。


) デフォルトのパスワードではなく、自ら考案したパスワードを使用することを推奨します。


This password: Cisco Secure ACS は、デフォルトのパスワードではなく、指定されたパスワードを使用して、生成した PAC ファイルを保護します。 指定したパスワードは、Cisco Secure ACS が保護する PAC が EAP-FAST エンドユーザ クライアントにロードされるときに必要です。

PAC パスワードは 4 ~ 128 文字の英数字で、大文字と小文字を区別します。 Cisco Secure ACS は強力なパスワード規則を適用しませんが、次の条件を満たす強力なパスワードを使用することを推奨します。

非常に長い。

大文字と小文字を含む。

文字に加え、数字も含む。

一般的な単語や名前を含まない。

PAC ファイルの生成

Cisco Secure ACS に PAC ファイルを生成するように指定するたびに、Cisco Secure ACS は、 PACFiles.cab というキャビネット ファイルを 1 つ作成し、HTML インターフェイスへのアクセスに使用するブラウザで使用可能な場所にダウンロードします。任意のファイル圧縮ユーティリティを使用して、
PACFiles.cab
ファイルから .pac ファイルを展開します。 たとえば、 WinZip なら、キャビネットからファイルを展開できます。

始める前に

Cisco Secure ACS では、EAP-FAST が使用可能である場合に限り PAC ファイルを生成できます。EAP-FAST を使用可能にする方法については、「EAP-FAST の使用可能設定」を参照してください。

PAC ファイルを生成させるユーザを決めます。 テキスト ファイルでユーザを指定する場合は、テキスト ファイルを作成し、Cisco Secure ACS Appliance からアクセス可能な FTP サーバの FTP ルート ディレクトリに置きます。 ユーザ名リストの使用方法については、「PAC ファイル生成オプション」を参照してください。

EAP-FAST PAC Generation ページにあるオプションについては、「PAC ファイル生成オプション」を参照してください。

PAC ファイルを生成するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 EAP-FAST PAC Files Generation をクリックします。

Cisco Secure ACS に EAP-FAST PAC Files Generation ページが表示されます。

ステップ 3 4 つのオプションのいずれかを使用して、Cisco Secure ACS が PAC ファイルを生成する対象ユーザを指定します。各オプションの詳しい意味については、「PAC ファイル生成オプション」を参照してください。


) CiscoSecure ユーザ データベース内のすべてのユーザに対して PAC ファイルを作成すると、CSAuth サービスが再起動します。 CSAuth の停止中はユーザが認証されません。


ステップ 4 Submit をクリックします。

Cisco Secure ACS が、指定されたユーザを対象に PAC ファイルの生成を開始します。 リスト オプションの Users を使用すると、Cisco Secure ACS はまず、指定された FTP サーバからリストを取得します。

EAP-FAST PAC Files Generation ページに、「Current PAC CAB file generation status」というメッセージが表示されます。

ステップ 5 「Current PAC CAB file generation status」の表示が次のような内容の場合:

CAB file generation is in progress

「Current PAC CAB file generation status」の表示が次のような表示になるまで、時折 Refresh をクリックします。

CAB file is ready. Press ’Download’ to retrieve the file.

指定したユーザの人数によっては、Cisco Secure ACS が PAC ファイルを生成するのに数秒から数分を要することがあります。

ステップ 6 「Current PAC CAB file generation status」の表示が次のような内容の場合:

CAB file is ready. Press ’Download’ to retrieve the file.

Download をクリックします。


) Web ブラウザに表示されるファイル ダウンロード オプションは異なる場合がありますが、基本的なプロセスは、これらの手順と似ています。


File Download ダイアログボックスが表示されます。

ステップ 7 File Download ダイアログボックスで Save をクリックします。

Save As ダイアログボックスが表示されます。

ステップ 8 Save As ダイアログボックスで PACFiles.cab ファイルのファイル名と保存場所を指定します。次に Save をクリックします。

Cisco Secure ACS が PACFiles.cab ファイルを Web ブラウザに送信し、指定された場所にファイルを保存します。ダウンロードが完了すると、Download Complete ダイアログボックスが表示されます。

ステップ 9 PACFiles.cab ファイルの保存場所をメモしてから、 Close をクリックします。

ステップ 10 任意のファイル圧縮ユーティリティを使用して、 PACFiles.cab ファイルから PAC ファイルを展開できます。