Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
認証タイプの設定
認証タイプの設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

認証タイプの設定

認証タイプの概要

アクセス ポイントに対する Open 認証

アクセス ポイントに対する Shared Key 認証

ネットワークに対する EAP 認証

ネットワークに対する MAC アドレス認証

MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ

認証タイプの設定

デフォルトの認証設定

SSID への認証タイプの割り当て

認証のホールドオフ、タイムアウト、間隔の設定

アクセス ポイントとクライアント デバイスの認証タイプのマッチング

認証タイプの設定

この章では、アクセス ポイントに認証タイプを設定する方法について説明します。 この章の内容は次のとおりです。

「認証タイプの概要」

「認証タイプの設定」

「アクセス ポイントとクライアント デバイスの認証タイプのマッチング」

認証タイプの概要

この項ではアクセス ポイントに設定できる認証タイプについて説明します。 認証タイプはアクセス ポイントに設定する SSID に関連付けられます。 同じアクセス ポイントで異なるタイプのクライアント デバイスを使用する場合は、複数の SSID を設定します。 複数の SSID の設定手順については、 第8章「複数の SSID の設定」 を参照してください。

ワイヤレス クライアント デバイスがアクセス ポイントを介してネットワークで通信を行うには、Open または Shared キー認証を使用してアクセス ポイントから認証を得る必要があります。 セキュリティを最大限に有効にする場合は、クライアント デバイスもネットワークの認証サーバを使用する認証タイプ、MAC アドレス認証または EAP 認証を使用してネットワークから認証を得る必要があります。

アクセス ポイントは、次の 4 つの認証メカニズム(タイプ)を使用します。同時に複数の認証メカニズムを使用することもできます。 各認証タイプを次の項で説明します。

「アクセス ポイントに対する Open 認証」

「アクセス ポイントに対する Shared Key 認証」

「ネットワークに対する EAP 認証」

「ネットワークに対する MAC アドレス認証」

「MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ」

アクセス ポイントに対する Open 認証

Open 認証では、すべてのデバイスにアクセス ポイントからの認証、およびアクセス ポイントとの通信の試みを許可します。 Open 認証を使用すると、すべてのワイヤレス デバイスがアクセス ポイントから認証を受けられますが、デバイスが通信できるのは WEP キーがアクセス ポイントの WEP キーに一致する場合のみです。WEP を使用しないデバイスは WEP を使用しているアクセス ポイントに認証を試みません。 Open 認証では、ネットワーク上の RADIUS サーバは使用されません。

図 10-1 は、認証を試みるデバイスと、Open 認証を使用しているアクセス ポイントとの認証シーケンスを示しています。 この例では、デバイスの WEP キーがアクセス ポイントのキーと一致しないため、認証はできても、データを転送することができません。

図 10-1 Open 認証のシーケンス

 

アクセス ポイントに対する Shared Key 認証

シスコでは、IEEE 802.11b 規格に準拠するために、Shared key 認証も採用しています。 ただし、Shared key 認証にはセキュリティ上の弱点があるため、なるべく使用しないようにしてください。

Shared Key 認証では、アクセス ポイントが、アクセス ポイントとの通信を試みるすべてのデバイスに、暗号化されていない身元証明要求テキスト文字列を送信します。 認証を求めるデバイスは身元証明要求テキストを暗号化して、アクセス ポイントに返送します。 身元証明要求テキストが正しく暗号化されていれば、アクセス ポイントはそのデバイスに認証を許可します。 暗号化されていない身元証明要求も暗号化された身元証明要求も、どちらも監視することができます。しかしそのために、アクセス ポイントは、暗号化前のテキストと暗号化後のテキストを比較して WEP キーを割り出す不正侵入者の攻撃に対し、無防備な状態になります。 このような弱点により、Shared Key 認証は Open 認証よりも安全性が劣る場合があります。 Open 認証と同様に、Shared Key 認証ではネットワーク上の RADIUS サーバは使用されません。

図 10-2 は、認証を試みるデバイスと、Shared Key 認証を使用しているアクセス ポイントとの認証シーケンスを示しています。 この例では、デバイスの WEP キーがアクセス ポイントのキーと一致しているため、認証が成立し、通信が許可されます。

図 10-2 Shared Key 認証のシーケンス

 

ネットワークに対する EAP 認証

この認証タイプは、ワイヤレス ネットワークに最高レベルのセキュリティを提供します。 EAP を使用して EAP 互換の RADIUS サーバと対話することにより、アクセス ポイントは、ワイヤレス クライアント デバイスと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。 RADIUS サーバはアクセス ポイントに WEP キーを送ります。アクセス ポイントはこのキーを、クライアントに対して送受信するすべてのユニキャスト データ信号に使用します。 さらに、アクセス ポイントはブロードキャスト WEP キー(アクセス ポイントの WEP キー スロット 1 に入力されたキー)をクライアントのユニキャスト キーと共に暗号化して、クライアントに送信します。

アクセス ポイントとクライアント デバイスで EAP を有効にすると、ネットワークに対する認証は、図 10-3 に示す手順で実行されます。

図 10-3 EAP 認証のシーケンス

 

図 10-3 の 1 ~ 9 では、ワイヤード LAN 上のワイヤレス クライアント デバイスと RADIUS サーバが、802.1x および EAP を使用して、アクセス ポイント経由で相互認証を行っています。 RADIUS サーバは、認証身元証明要求をクライアントに送信します。 クライアントはユーザが入力したパスワードを一方向暗号化し、身元証明要求に対する応答を生成して、それを RADIUS サーバに送信します。 RADIUS サーバは、サーバ自体のユーザ データベースの情報から独自の応答を生成し、それをクライアントからの応答と比較します。 RADIUS サーバがクライアントを認証すると、同じ処理が逆方向から繰り返され、今度はクライアントが RADIUS サーバを認証します。

相互認証が終了すると、RADIUS サーバとクライアントは、クライアント固有の WEP キーを特定して、適切なレベルのネットワーク アクセスを提供します。これにより、ワイヤード スイッチド セグメントのセキュリティ レベルは、個々のデスクトップのレベルまで近付きます。 クライアントはこのキーをロードして、ログオン セッションでの使用に備えます。

ログオン セッションでは、RADIUS サーバがセッション キーと呼ばれる WEP キーを暗号化し、ワイヤード LAN 経由でアクセス ポイントに送信します。 アクセス ポイントはブロードキャスト キーをセッション キーを使って暗号化し、クライアントに送信します。クライアントはセッション キーを使用してキーを復号化します。 クライアントとアクセス ポイントは WEP を有効にして、セッションおよびブロードキャスト WEP キーを残りのセッションのすべての通信に使用します。

EAP 認証には複数のタイプがありますが、アクセス ポイントはどのタイプについても同じように機能します。 すなわち、ワイヤレス クライアント デバイスから RADIUS サーバに、RADIUS サーバからワイヤレス クライアント デバイスに、認証メッセージを中継します。 アクセス ポイントでの EAP の設定方法については、「SSID への認証タイプの割り当て」を参照してください。


) EAP 認証を使用する場合は、Open または Shared Key 認証を選択できますが、これは必須ではありません。 EAP 認証は、アクセス ポイントとネットワークの両方に対する認証を制御します。


ネットワークに対する MAC アドレス認証

アクセス ポイントは、ワイヤレス クライアント デバイスの MAC アドレスをネットワーク上の RADIUS サーバに中継します。サーバはそのアドレスを、許可された MAC アドレスのリストと照らし合わせます。 ネットワークに RADIUS サーバが使用されていない場合は、アクセス ポイントの[Address Filters]ページで、許可される MAC アドレスのリストを作成できます。 このリストにない MAC アドレスを持つデバイスは、認証されません。 MAC アドレスは不正侵入者でも偽造できるため、MAC ベースの認証は EAP 認証より安全性が劣ります。 ただし、EAP 機能を持たないクライアント デバイスにとって、MAC ベースの認証は 1 つの代替認証手段となります。 MAC ベースの認証の有効化については、「SSID への認証タイプの割り当て」を参照してください。

図 10-4 は、MAC ベースの認証のシーケンスを示しています。

図 10-4 MAC ベースの認証のシーケンス

 

MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ

MAC ベースの認証と EAP 認証を組み合わせてクライアント デバイスを認証するように、アクセス ポイントを設定できます。 この機能を有効にした場合、まず、802.11 Open 認証を使用してアクセス ポイントに結合するクライアント デバイスが MAC 認証を行います。MAC 認証が成功すると、クライアント デバイスはネットワークに接続されます。 MAC 認証が失敗した場合、アクセス ポイントはクライアント デバイスによる EAP 認証の試行を待ちます。 このような認証の組み合わせを設定する方法については、「SSID への認証タイプの割り当て」を参照してください。

認証タイプの設定

この項では認証タイプを設定する方法を説明します。 認証タイプはアクセス ポイントの SSID に割り当てます。 複数の SSID の設定については、 第8章「複数の SSID の設定」 を参照してください。 この項では、次の事柄を取り上げます。

「デフォルトの認証設定」

「SSID への認証タイプの割り当て」

「認証のホールドオフ、タイムアウト、間隔の設定」

デフォルトの認証設定

アクセス ポイントのデフォルトの SSID は tsunami です。 表 10-1 にデフォルトの SSID のデフォルト認証設定を示します。

 

表 10-1 デフォルトの認証設定

機能
デフォルト設定

SSID

tsunami

ゲスト モード SSID

tsunami(アクセス ポイントはビーコンにこの SSID をブロードキャストし、SSID を指定されていないクライアント デバイスの結合を許可します。)

tsunami に割り当てられた認証タイプ

Open

SSID への認証タイプの割り当て

イネーブル EXEC モードから、次の手順に従って SSID に認証タイプを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 3

ssid ssid-string

ステップ 4

authentication open
[mac-address list-name [alternate]]
[eap list-name]

ステップ 5

authentication shared
[mac-address list-name] [eap list-name]

(オプション)SSID の認証タイプを Shared key に設定します。


) ただし、Shared key 認証にはセキュリティ上の弱点があるため、なるべく使用しないようにしてください。



) Shared key 認証は 1 つの SSID にのみ割り当てられます。


(オプション)SSID の認証タイプを MAC アドレス認証を使用する Shared key に設定します。 list-name には、認証方式リストを指定します。

(オプション)SSID の認証タイプを EAP アドレス認証を使用する Shared key に設定します。 list-name には、認証方式リストを指定します。

ステップ 6

authentication network-eap list-name
[mac-address list-name]

(オプション)SSID の認証タイプを Network -EAP に設定します。 EAP を使用して EAP 互換の RADIUS サーバと対話することにより、アクセス ポイントは、ワイヤレス クライアント デバイスと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。 ただしアクセス ポイントはすべてのクライアント デバイスに対して EAP 認証を強制しません。

(オプション)SSID の認証タイプを MAC アドレス認証を使用する Network-EAP に設定します。 アクセス ポイントに結合するすべてのクライアント デバイスは、MAC アドレス認証の実行が要求されます。 list-name には、認証方式リストを指定します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

SSID を無効にする場合、または SSID 機能を無効にする場合は、SSID コマンドの no フォームを使用します。

次の例では、SSID batman の認証タイプを MAC アドレスと EAP 認証の組み合わせを使用する Open に設定します。 batman SSID を使用するクライアント デバイスは、まずサーバ adam を使用して MAC アドレス認証を試みます。 MAC 認証が成功したら、ネットワークに接続しますが、失敗した場合は同じサーバを使用して EAP 認証を試みます。

ap1200# configure terminal
ap1200(config)# configure interface dot11radio 0
ap1200(config-if)# ssid batman
ap1200(config-ssid)# authentication open mac adam alternate eap adam
ap1200(config-ssid)# end
 

認証のホールドオフ、タイムアウト、間隔の設定

イネーブル EXEC モードから、次の手順に従って、アクセス ポイントを介して認証を行うクライアント デバイスにホールドオフ時間、再認証間隔、認証タイムアウトを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 holdoff-time seconds

クライアント デバイスが認証の失敗の後に次の認証を試みるまでに待機する時間を秒数で入力します。1 ~ 65555 秒の値を入力します。

ステップ 3

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 4

dot1x client-timeout seconds

認証を試みるクライアントが認証に失敗するまでに、アクセス ポイントがクライアントからの返答を待機する時間を秒数で入力します。 値を 1 ~ 65555 秒の範囲で入力します。

ステップ 5

dot1x reauth-period seconds [server]

アクセス ポイントが認証されたクライアントに対して、再認証を行うまでの間隔を秒数で入力します。

(オプション)認証サーバが指定した再認証間隔を使用するようにアクセス ポイントを設定する場合は、
server キーワードを入力します。 このオプションを使用する場合は、認証サーバを RADIUS 属性 27、
Session-Timeoutに設定します。 この属性により、セッションまたはプロンプトが終了するまでにクライアントに提供されるサービスの最大時間数が秒数で設定されます。 サーバは、クライアント デバイスが EAP 認証を実行する場合にこの属性をアクセス ポイントに送信します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

この値をデフォルトにリセットする場合は、コマンドの no フォームを使用します。

アクセス ポイントとクライアント デバイスの認証タイプのマッチング

この項で説明する認証タイプを使用する場合は、アクセス ポイントの認証設定がアクセス ポイントに結合するクライアント アダプタの認証設定に一致している必要があります。 ワイヤレス クライアント アダプタの認証タイプの設定手順については、『Cisco Aironet Wireless LAN Client Adapters Installation and Configuration Guide for Windows』を参照してください。 アクセス ポイントに WEP を設定する手順については、 第9章「WEP と WEP 機能の設定」 を参照してください。

表 10-2 に各認証タイプに要求されるクライアントとアクセス ポイントの設定を示します。

 

表 10-2 クライアントおよびアクセス ポイントのセキュリティ設定

セキュリティ機能
クライアントの設定
アクセス ポイントの設定

静的な WEP キー
(Open 認証)

WEP キーの作成、[Use Static WEP Keys]
と[Open Authentication]の有効化

WEP の設定と有効化、[Open Authentication]の有効化

静的な WEP キー
(Shared Key 認証)

WEP キーの作成、[Use Static WEP Keys]
と[Shared Key Authentication]の有効化

WEPの設定と有効化、[Shared Key Authentication]の有効化

LEAP 認証

LEAP の有効化

WEP の設定と有効化、EAP と Open 認証の有効化

EAP-TLS 認証

ACU を使用して
カードを設定する場合

[Host Based EAP]と[Use Dynamic WEP
Keys]の有効化(ACU)、[Enable network access control using IEEE 802.1X]およびスマート カードまたは他の証明書の選択
(Windows 2000 with Service Pack 3 または Windows XP の EAP タイプ)

WEP の設定と有効化、EAP と Open 認証の有効化

Windows XP を使用してカードを設定する場合

EAP タイプとして[Enable network access control using IEEE 802.1X]およびスマート カードまたは他の証明書の選択

WEP の設定と有効化、EAP と Open 認証の有効化

EAP-MD5 認証

ACU を使用して
カードを設定する場合

WEP キーの作成、[Host Based EAP]の有効化、および[Use Static WEP Keys]の有効化(ACU)、[Enable network access control using IEEE 802.1X]と[MD5-Challenge]の選択(Windows 2000 with Service Pack 3 または Windows XP の EAP タイプ)

WEP の設定と有効化、EAP と Open 認証の有効化

Windows XP を使用してカードを設定する場合

EAP タイプとして[Enable network access control using IEEE 802.1X]および
[MD5-Challenge]の選択

WEP の設定と有効化、EAP と Open 認証の有効化

PEAP 認証

ACU を使用して
カードを設定する場合

[Host Based EAP]と[Use Dynamic WEP Keys]の有効化(ACU)、[Enable network access control using IEEE 802.1X]および[PEAP]の選択(Windows 2000 with Service Pack 3 または Windows XP の EAP タイプ)

WEP の設定と有効化、EAP と Open 認証の有効化

Windows XP を使用してカードを設定する場合

EAP タイプとして[Enable network access control using IEEE 802.1X]および[PEAP]の選択

WEP の設定と有効化、
[Require EAP]と[Open
Authentication]の有効化

EAP-SIM 認証

ACU を使用して
カードを設定する場合

[Host Based EAP]と[Use Dynamic WEP
Keys]の有効化(ACU)、[Enable network access control using IEEE 802.1X]および[SIM Authentication]の選択(Windows 2000 with Service Pack 3 または Windows XP の EAP タイプ)

WEP の設定と有効化(完全な暗号化を使用)、EAP と Open
認証の有効化

Windows XP を使用してカードを設定する場合

EAP タイプとして[Enable network access control using IEEE 802.1X]および[SIM Authentication]の選択

WEP の設定と有効化(完全な暗号化を使用)、[Require EAP]と[Open Authentication]の有効化