Cisco Aironet 350/CB20A ワイヤレス LAN クライアント アダプタ インストレーション コンフィギュレーション ガイド Windows 版
EAP 認証の使用方法
EAP 認証の使用方法
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

EAP 認証の使用方法

概要

LEAP または EAP-FAST の使用方法

Windows ユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

リブート後またはログオン後

LEAP クレデンシャルの期限切れ後

EAP-FAST クレデンシャルの期限切れ後

自動プロンプト ログインによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

リブート後またはログオン後

LEAP クレデンシャルの期限切れ後

EAP-FAST クレデンシャルの期限切れ後

手動プロンプト ログインによる LEAP または EAP-FAST の使用方法

プロファイル選択後

リブート後、ログオン後、またはカード挿入後

LEAP クレデンシャルの期限切れ後

EAP-FAST クレデンシャルの期限切れ後

保存されているユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

リブート後またはログオン後

LEAP クレデンシャルの期限切れ後

EAP-FAST クレデンシャルの期限切れ後

EAP-TLS の使用方法

プロファイル選択後またはカード挿入後

リブート後またはログオン後

PEAP の使用方法

プロファイル選択、カード挿入、リブート、またはログオン後

Windows NT または 2000 のドメイン データベースまたは LDAP データベースのみ

OTP データベースのみ

パスワードの有効期限が切れた後(Windows NT または 2000 ドメイン データベースのみ)

PIN の有効期限が切れた後(OTP データベースのみ)

EAP-SIM の使用方法

PIN の入力が要求される場合

コンピュータに PIN が保存されている場合

認証プロセスの再実行

EAP 認証の使用方法

この章では、EAP 認証を使用するよう設定されたプロファイルが選択される際に、発生するイベントのシーケンスおよび取るべきアクションについて説明します。

この章では、次の項目について説明します。

「概要」

「LEAP または EAP-FAST の使用方法」

「Windows ユーザ名とパスワードによる LEAP または EAP-FAST の使用方法」

「自動プロンプト ログインによる LEAP または EAP-FAST の使用方法」

「手動プロンプト ログインによる LEAP または EAP-FAST の使用方法」

「保存されているユーザ名とパスワードによる LEAP または EAP-FAST の使用方法」

「EAP-TLS の使用方法」

「PEAP の使用方法」

「EAP-SIM の使用方法」

「認証プロセスの再実行」

概要

この章では、ユーザまたは ACU の自動プロファイル選択機能により、EAP 認証を使用するプロファイルが選択されたとき、およびこのプロファイルが選択されている間のクライアント アダプタの取り出し/再挿入、コンピュータのリブート、ログオン、あるいはユーザ名とパスワードの期限切れの通知を受け取った後で発生するイベントのシーケンスについて説明します。この章は、プロファイルの認証タイプとユーザ名およびパスワード設定をもとに、次の 7 つの項に分かれています。

Windows ユーザ名とパスワードによる LEAP または EAP-FAST(Windows ユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

自動プロンプト ログインによる LEAP または EAP-FAST(自動プロンプト ログインによる LEAP または EAP-FAST の使用方法

手動プロンプト ログインによる LEAP または EAP-FAST(手動プロンプト ログインによる LEAP または EAP-FAST の使用方法

保存されたユーザ名とパスワードによる LEAP または EAP-FAST(保存されているユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

EAP-TLS(EAP-TLS の使用方法

PEAP(PEAP の使用方法

EAP-SIM(EAP-SIM の使用方法

また、LEAP と EAP-FAST の概要(次を参照)と、必要に応じて認証プロセスを再起動する手順(認証プロセスの再実行)についても説明します。

認証を成功させるには、プロファイルの認証タイプとクレデンシャル設定についての指示に従ってください。


) 認証中にエラーメッセージが表示される場合は、その意味と推奨される対処方法について トラブルシューティングを参照してください。 EAP-FAST の PAC プロビジョニングに関するメッセージが表示された場合の手順については、「EAP-FAST 認証のエラー メッセージ」を参照してください。


LEAP または EAP-FAST の使用方法


ステップ 1 LEAP 認証または EAP-FAST 認証が始まると、LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます(図 6-1 を参照)。


) LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面は、アプリケーションが開かれている場合、その下に表示される場合があります。



) Cancel をクリックすれば、いつでも LEAP 認証または EAP-FAST 認証を中止できます。


図 6-1 LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面

 

この画面は、LEAP 認証または EAP-FAST 認証のステータスに関する情報を提供します。 表 6-1 は、LEAP 認証または EAP-FAST 認証の各ステージとその説明を示しています。ステージが 1 つ終了するたびに、ステータス メッセージ(Successful など)が Status フィールドに表示されます。


) エラー メッセージが表示された場合、その意味と推奨される処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。


 

表 6-1 LEAP 認証または EAP-FAST 認証のステージ

ステージ
説明

LEAP 認証または EAP-FAST 認証の開始

クライアント アダプタがアクセス ポイントにアソシエートし、LEAP 認証または EAP-FAST 認証のプロセスを開始します。

認証の待機

クライアント アダプタで EAP 認証が行われ、ネットワーク接続が検証されます。

IP アドレスの更新

DHCP が有効な場合、IP アドレスが発行および更新されます。

IPX フレーム タイプの検出

Windodws 2000 と XP で、AutoDetect が有効になっている場合 IPX フレーム タイプがリセットされます。

ドメイン コントローラの検索

ドメインにログインするときにアクティブ プロファイルによってドメイン名が必要であると指定されている場合は、ドメイン コントローラの検索が試行されます。これにより、その後、そのドメインにアクセスできるようになります。

ステップ 2 クライアント アダプタが LEAP 認証または EAP-FAST 認証を試みるたびに LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面を表示しない場合は、画面の左下にある Shown minimized next time チェックボックスをオンにします。これにより、LEAP 認証または EAP-FAST 認証を行うと、LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面は最小化されて Windows のシステム トレイに表示されます。


) 最小化された LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面を再表示するには、Windows システム トレイの LEAP Authentication Status タブまたは EAP-FAST Authentication Status タブをクリックし、Shown minimized next time チェックボックスをオフにします。これにより、LEAP 認証または EAP-FAST 認証を試みると、LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が再び表示されるようになります。



 

Windows ユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

LEAP 認証または EAP-FAST 認証に Windows のユーザ名とパスワードを使用するプロファイルを選択した場合(または自動プロファイル選択で選択された場合)、あるいはこのプロファイルが選択されている間にクライアント アダプタを取り出して再挿入した場合に、次のイベントが発生します。

1. LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。

2. クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。

リブート後またはログオン後

コンピュータをリブートするかログオンした後、次の手順に従って LEAP 認証または EAP-FAST 認証を行います。


ステップ 1 Windows ログイン画面(図 6-2)が表示されたら、Windows ユーザ名とパスワードを入力し、OK をクリックします。ドメイン名は任意です。


) Windows ユーザ名とパスワードはレジストリから自動的に取得されます。これにより、Windows のクレデンシャルを自分で入力する必要がなくなります。 レジストリを修正してこの機能を有効または無効にする手順については、
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/msgina_dll_features.asp を参照してください。



) コンピュータに Novell Client 32 ソフトウェアがインストールされている場合は、Novell ログイン画面が表示される前に LEAP ログイン画面または EAP-FAST ログイン画面(Enter Wireless Network Password)が表示されます。この画面が表示された場合は、Windows と Novell のユーザ名とパスワードをログイン画面で入力し、OK をクリックします。


図 6-2 Windows ログイン画面(Windows 2000)

 


図 6-2 は、Windows 2000 システムで表示される Windows ログイン画面を示しています。 Windows XP が動作するコンピュータのログイン画面は若干異なります。


LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。

ステップ 2 クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。

ステップ 3 システムで Windows のログオン処理が引き続き実行されます。


 

LEAP クレデンシャルの期限切れ後

現在のプロファイルの LEAP クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従って再認証を行います。


) 現在のプロファイルで Windows ユーザ名とパスワードが使用されている場合、標準の Windows Change Password 機能を使用して Windows のパスワードを変更すると、クライアントでは LEAP パスワードが自動的に更新され、アクセス ポイントへの接続が維持されます。



ステップ 1 次のメッセージが表示されたら、OK をクリックします。「The user name and password entered are no longer valid and have failed the LEAP authentication process.Please enter a new user name and password.」

ステップ 2 Windows ログイン画面が表示されたら、新しいユーザ名とパスワードを入力し、OK をクリックします。 クライアント アダプタでは新しいクレデンシャルを使用して認証が行われます。


) Windows ログイン画面で OK ではなく Cancel をクリックした場合、次のメッセージが表示されます。「The profile will be disabled until you select the Reauthenticate option, Windows restarts, or the card is ejected and reinserted.Are you sure?」No をクリックすると、Windows ログイン画面が再び表示され、新しいクレデンシャルを入力できます。Yes をクリックした場合、ACM または ACU の Commands ドロップダウン メニューから Reauthenticate を選択するか、コンピュータをリブートするか、またはカードを取り出して再挿入するまで現在のプロファイルは無効です。 ACU Status 画面上の Current Profile フィールドには、プロファイルが Disabled と表示されます。



 

EAP-FAST クレデンシャルの期限切れ後

現在のプロファイルの EAP-FAST クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従ってパスワードを変更します。


) 現在のプロファイルで Windows ユーザ名とパスワードを使用するようになっている場合、Windows のパスワードを標準の Windows Change Password 機能を使用して変更すれば、クライアントでは EAP-FAST パスワードが自動的に更新され、アクセス ポイントへの接続が維持されます。



ステップ 1 Change Password 画面(図 6-3)が表示され、パスワードの有効期限が過ぎたことが示された場合は、Old Password フィールドに古いパスワードを入力します。

図 6-3 Change Password 画面

 

ステップ 2 New Password フィールドと Confirm New Password フィールドに新しいパスワードを入力し、OK をクリックします。

ステップ 3 プロンプトが表示されたら、いったんログオフしてからログオンし直し、ローカルにキャッシュされているアカウントを新しいパスワードで更新します。


 

自動プロンプト ログインによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

LEAP 認証または EAP-FAST 認証に別のユーザ名とパスワードを使用するプロファイルを選択した場合(または自動プロファイル選択で選択された場合)、あるいはこのプロファイルが選択されている間にクライアント アダプタを取り出して再挿入した場合は、次の手順に従って認証を行います。


) この手順は、自動的にプロンプトされる LEAP プロファイルまたは EAP-FAST プロファイルを最初に選択したときに使用できます。次の手順に従って LEAP クレデンシャルまたは EAP-FAST クレデンシャルを入力すると、コンピュータをリブートするか、クライアント アダプタを取り出して再挿入するか、あるいはプロファイルを任意の方法で変更する(自動プロファイル選択の優先順位を含む)まで、クレデンシャルを再入力せずに、プロファイルを切り替えることができます。



ステップ 1 Enter Wireless Network Password 画面(図 6-4 を参照)が表示されたら、LEAP または EAP-FAST のユーザ名とパスワードを入力し、OK をクリックします。Log On To フィールドにはドメイン名を入力できますが、ドメイン名は省略可能です。

図 6-4 Enter Wireless Network Password 画面

 

ステップ 2 EAP-FAST を使用している場合、ユーザ プロンプト画面(図 6-5 を参照)が表示されたら、必要な情報を入力して OK をクリックします。

図 6-5 ユーザ プロンプト画面

 


) この画面は、サーバが追加情報を必要とする場合に表示されます。画面上部に表示されるテキストはサーバから送信されるものなので、組織によって異なります。ここには、入力が必要な情報が示されます。


ステップ 3 LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。 クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。


 

リブート後またはログオン後

コンピュータをリブートするかログオンした後、次の手順に従って LEAP 認証または EAP-FAST 認証を行います。


ステップ 1 Enter Wireless Network Password 画面(図 6-6 を参照)が表示されたら、LEAP または EAP-FAST のユーザ名とパスワードを入力し、OK をクリックします。Log On To フィールドにはドメイン名を入力できますが、ドメイン名は省略可能です。

図 6-6 Enter Wireless Network Password 画面

 


) Windows ログイン画面の表示後に Enter Wireless Network Password 画面が表示されます。


ステップ 2 EAP-FAST を使用している場合、ユーザ プロンプト画面(図 6-7 を参照)が表示されたら、必要な情報を入力して OK をクリックします。

図 6-7 ユーザ プロンプト画面

 


) この画面は、サーバが追加情報を必要とする場合に表示されます。画面上部に表示されるテキストはサーバから送信されるものなので、組織によって異なります。ここには、入力が必要な情報が示されます。


ステップ 3 LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。 クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。

ステップ 4 ネットワーク ログイン画面(図 6-8 を参照)が表示されたら、ネットワークのユーザ名とパスワードを入力し、OK をクリックします。


図 6-8 は、Windows 2000 システムで表示されるネットワーク ログイン画面を示しています。 Windows XP が動作するコンピュータのログイン画面は若干異なります。


図 6-8 ネットワーク ログイン画面(Windows 2000)

 


 

LEAP クレデンシャルの期限切れ後

現在のプロファイルの LEAP クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従って再認証を行います。


ステップ 1 次のメッセージが表示されたら、OK をクリックします。「The user name and password entered are no longer valid and have failed the LEAP authentication process.Please enter a new user name and password.」

ステップ 2 Enter Wireless Network Password 画面が表示されたら、新しいユーザ名とパスワードを入力し、OK をクリックします。 クライアント アダプタでは新しいクレデンシャルを使用して認証が行われます。


) Enter Wireless Network Password 画面で、OK ではなく Cancel をクリックした場合、次のメッセージが表示されます。「The profile will be disabled until you select the Reauthenticate option, Windows restarts, or the card is ejected and reinserted.Are you sure?」No をクリックすると、 Enter Wireless Network Password 画面が再び表示され、新しいクレデンシャルを入力できます。Yes をクリックした場合、ACM または ACU の Commands ドロップダウン メニューから Reauthenticate を選択するか、コンピュータをリブートするか、またはカードを取り出して再挿入するまで現在のプロファイルは無効です。 ACU Status 画面上の Current Profile フィールドには、プロファイルが Disabled と表示されます。



 

EAP-FAST クレデンシャルの期限切れ後

現在のプロファイルの EAP-FAST クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従ってパスワードを変更します。


ステップ 1 Change Password 画面(図 6-9 を参照)が表示され、パスワードの有効期限が過ぎたことが示された場合は、Old Password フィールドに古いパスワードを入力します。

図 6-9 Change Password 画面

 

ステップ 2 New Password フィールドと Confirm New Password フィールドに新しいパスワードを入力します。

ステップ 3 OK をクリックします。クライアント アダプタでは新しいパスワードを使用して認証が行われます。


 

手動プロンプト ログインによる LEAP または EAP-FAST の使用方法

プロファイル選択後

手動プロンプトによるログインを使用して LEAP 認証または EAP-FAST 認証を行うプロファイルを選択した場合(または自動プロファイル選択で選択された場合)は、次の手順に従って認証を実行します。


) この手順は、手動の LEAP プロファイルまたは EAP-FAST プロファイルを最初に選択したときに使用できます。次の手順に従って LEAP クレデンシャルまたは EAP-FAST クレデンシャルを入力すると、コンピュータをリブートするか、クライアント アダプタを取り出して再挿入するか、あるいはプロファイルを任意の方法で変更する(自動プロファイル選択の優先順位を含む)まで、クレデンシャルを再入力せずに、プロファイルを切り替えることができます。



ステップ 1 次のいずれかを実行します。

Use Selected Profile ドロップダウン ボックスから手動 LEAP プロファイルまたは手動 EAP-FAST プロファイルを選択した場合、Enter Wireless Network Password 画面が表示されます(図 6-10 を参照)。

図 6-10 Enter Wireless Network Password 画面

 

LEAP のユーザ名とパスワードまたは EAP-FAST のユーザ名とパスワードを入力し、OK をクリックします。Log On To フィールドにはドメイン名を入力できますが、ドメイン名は省略可能です。

自動プロファイル選択で手動 LEAP プロファイルまたは手動 EAP-FAST プロファイルが選択されている場合は、Commands ドロップダウン メニューから Manual Login オプションを選択する必要があります(図 6-11 を参照)。

図 6-11 Commands ドロップダウン メニュー

 

Enter Wireless Network Password 画面(図 6-10 を参照)が表示されたら、LEAP または EAP-FAST のユーザ名とパスワードを入力し、OK をクリックします。Log On To フィールドにはドメイン名を入力できますが、ドメイン名は省略可能です。

ステップ 2 EAP-FAST を使用している場合、ユーザ プロンプト画面(図 6-12 を参照)が表示されたら、必要な情報を入力して OK をクリックします。

図 6-12 ユーザ プロンプト画面

 


) この画面は、サーバが追加情報を必要とする場合に表示されます。画面上部に表示されるテキストはサーバから送信されるものなので、組織によって異なります。ここには、入力が必要な情報が示されます。


ステップ 3 LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。 クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。


 

リブート後、ログオン後、またはカード挿入後

コンピュータをリブート、ログオン、またはクライアント アダプタを取り外し再挿入した後、アダプタは自動的に認証を試行しません。ユーザが手動で認証プロセスを起動する必要があります。この手順は、次のとおりです。


ステップ 1 コンピュータをリブートするか、ログオンした場合、標準の Windows ログインを行います。

ステップ 2 ACU を開きます。

ステップ 3 Commands ドロップダウン メニューから Manual Login オプションを選択します(図 6-13 を参照)。

図 6-13 Commands ドロップダウン メニュー

 

ステップ 4 Enter Wireless Network Password 画面(図 6-14 を参照)が表示されたら、LEAP または EAP-FAST のユーザ名とパスワードを入力し、OK をクリックします。Log On To フィールドにはドメイン名を入力できますが、ドメイン名は省略可能です。

図 6-14 Enter Wireless Network Password 画面

 

ステップ 5 EAP-FAST を使用している場合、ユーザ プロンプト画面(図 6-15 を参照)が表示されたら、必要な情報を入力して OK をクリックします。

図 6-15 ユーザ プロンプト画面

 


) この画面は、サーバが追加情報を必要とする場合に表示されます。画面上部に表示されるテキストはサーバから送信されるものなので、組織によって異なります。ここには、入力が必要な情報が示されます。


ステップ 6 LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。 クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。


 

LEAP クレデンシャルの期限切れ後

現在のプロファイルの LEAP クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従って再認証を行います。


ステップ 1 次のメッセージが表示されたら、OK をクリックします。「The user name and password entered are no longer valid and have failed the LEAP authentication process. Please enter a new user name and password.」

ステップ 2 Enter Wireless Network Password 画面が表示されたら、新しいユーザ名とパスワードを入力し、OK をクリックします。 クライアント アダプタでは新しいクレデンシャルを使用して認証が行われます。


) Enter Wireless Network Password 画面で、OK ではなく Cancel をクリックした場合、次のメッセージが表示されます。「The profile will be disabled until you select the Reauthenticate option, Windows restarts, or the card is ejected and reinserted.Are you sure?」No をクリックすると、 Enter Wireless Network Password 画面が再び表示され、新しいクレデンシャルを入力できます。Yes をクリックした場合、ACM または ACU の Commands ドロップダウン メニューから Reauthenticate を選択するか、コンピュータをリブートするか、またはカードを取り出して再挿入するまで現在のプロファイルは無効です。 ACU Status 画面上の Current Profile フィールドには、プロファイルが Disabled と表示されます。



 

EAP-FAST クレデンシャルの期限切れ後

現在のプロファイルの EAP-FAST クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従ってパスワードを変更します。


ステップ 1 Change Password 画面(図 6-16 を参照)が表示され、パスワードの有効期限が過ぎたことが示された場合は、Old Password フィールドに古いパスワードを入力します。

図 6-16 Change Password 画面

 

ステップ 2 New Password フィールドと Confirm New Password フィールドに新しいパスワードを入力します。

ステップ 3 OK をクリックします。クライアント アダプタでは新しいパスワードを使用して認証が行われます。


 

保存されているユーザ名とパスワードによる LEAP または EAP-FAST の使用方法

プロファイル選択後またはカード挿入後

ユーザ(または自動プロファイル選択)が、保存されている LEAP のユーザ名とパスワードまたは EAP-FAST のユーザ名とパスワードを使用するように指定されている LEAP 認証または EAP-FAST 認証のプロファイルを選択した場合、またはこのプロファイルが選択されている間にクライアント アダプタを取り出して再挿入した場合、次のイベントが発生します。

1. LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面が表示されます。

2. クライアント アダプタが認証を行う場合、画面に各段階の成功が表示され、その後画面が消えます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。

リブート後またはログオン後

コンピュータをリブート、またはログオンすると、次のイベントが発生します。

1. Windows ユーザ名およびパスワードを入力すると、保存されている LEAP または EAP-FAST のユーザ名とパスワードを使用して認証プロセスが自動的に開始されます。


) LEAP Settings 画面または EAP-FAST Settings 画面の No Network Connection Unless User Is Logged In チェックボックスをオフにしている場合、Windows ログイン画面が表示される前に EAP 認証プロセスが開始されます。


2. クライアント アダプタが認証された場合、LEAP Authentication Status 画面または EAP-FAST Authentication Status 画面に各ステージが成功したことが表示され、その後画面が閉じます。次に、ACM に Authenticated と表示され、ACU Status 画面の Server Based Authentication フィールドに LEAP Authenticated または EAP-FAST Authenticated と表示されます。

認証に失敗した場合は、認証タイムアウト時間の経過後にエラー メッセージが表示されます。 必要な処置については、「LEAP 認証のエラー メッセージ」または「EAP-FAST 認証のエラー メッセージ」を参照してください。

3. Windows へのログオン処理が引き続き行われます。

LEAP クレデンシャルの期限切れ後

現在のプロファイルの LEAP クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従って再認証を行います。


ステップ 1 次のメッセージが表示されたら、OK をクリックします。「The saved user name and password entered for this profile are no longer valid and have failed the LEAP authentication process.Please enter a new user name and password.Remember to change them permanently in the profile using the ACU Profile Manager.」

ステップ 2 Enter Wireless Network Password 画面が表示されたら、新しいユーザ名とパスワードを入力し、OK をクリックします。 クライアント アダプタでは新しいクレデンシャルを使用して認証が行われます。


) Enter Wireless Network Password 画面で、OK ではなく Cancel をクリックした場合、次のメッセージが表示されます。「The profile will be disabled until you select the Reauthenticate option, Windows restarts, or the card is ejected and reinserted.Are you sure?」No をクリックすると、 Enter Wireless Network Password 画面が再び表示され、新しいクレデンシャルを入力できます。Yes をクリックした場合、ACM または ACU の Commands ドロップダウン メニューから Reauthenticate を選択するか、コンピュータをリブートするか、またはカードを取り出して再挿入するまで現在のプロファイルは無効です。 ACU Status 画面上の Current Profile フィールドには、プロファイルが Disabled と表示されます。


ステップ 3 LEAP Settings 画面の保存されたユーザ名とパスワードを変更することで ACU のプロファイルを編集します。

ステップ 4 OK を 3 回クリックし、プロファイルの変更を保存します。


 

EAP-FAST クレデンシャルの期限切れ後

現在のプロファイルの EAP-FAST クレデンシャル(ユーザ名とパスワード)が期限切れ、または無効となっている場合は、次の手順に従ってパスワードを変更します。


ステップ 1 Change Password 画面(図 6-17 を参照)が表示され、パスワードの有効期限が過ぎたことが示された場合は、Old Password フィールドに古いパスワードを入力します。

図 6-17 Change Password 画面

 

ステップ 2 New Password フィールドと Confirm New Password フィールドに新しいパスワードを入力します。

ステップ 3 OK をクリックします。クライアント アダプタでは新しいパスワードを使用して認証が行われます。

ステップ 4 保存されているユーザ名とパスワードを EAP-FAST Settings 画面で変更することによって、ADU でプロファイルを編集します。


 

EAP-TLS の使用方法

プロファイル選択後またはカード挿入後

ホストベース EAP 認証を使用するプロファイルを自分で(または自動プロファイル選択で)選択し、Windows で EAP-TLS 認証用のカードを設定するか(Windows で Microsoft 802.1X サプリカントが使用されている必要があります)、このプロファイルが選択されている間にクライアント アダプタを取り出し、再挿入した場合は、その後で、次の手順に従って EAP 認証を実行します。


ステップ 1 コンピュータで Windows XP が動作している場合、「EAP 認証プロセスを開始するには証明書の受け入れが必要である」という意味のポップアップ メッセージが Windows システム トレイの上に表示された場合は、メッセージをクリックし、その指示に従って証明書を受け入れます。


) 以後は、認証の際に証明書を受け入れる必要はありません。1 つを受け入れると、次から同じ証明書が使用されます。


ステップ 2 サーバの証明書用のルート証明機関を示すメッセージが表示されるので、それが正しい認証機関の場合は、OK をクリックして接続を承認します。そうでない場合は、Cancel をクリックしてください。

ステップ 3 クライアント アダプタが接続されるサーバを示すメッセージが表示されるので、それが接続用の正しいサーバの場合は、OK をクリックして接続を承認します。そうでない場合は、Cancel をクリックしてください。

ステップ 4 これで、クライアント アダプタは EAP 認証を行います。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


 

リブート後またはログオン後

Windows ユーザ名およびパスワードを使って、コンピュータをリブートするかログオンした後に、EAP 認証プロセスは自動的に開始され、クライアント アダプタは EAP 認証を行います。

認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。

PEAP の使用方法

プロファイル選択、カード挿入、リブート、またはログオン後

ホストベース EAP 認証を使用するプロファイルを自分で(または自動プロファイル選択で)選択し、Windows で PEAP 認証用のカードを設定した後(Windows で Microsoft 802.1X サプリカントが使用されている必要があります)、ユーザ データベースに応じて次のいずれかの項の手順に従って EAP 認証を実行します。


) この手順は、プロファイル選択、カードの取り出しと再挿入、リブート、またはログオン後に適用可能です。



) 設定時に PEAP Properties 画面で Always Try to Resume Secure Session チェックボックスをオンにした場合、PEAP プロトコルは、ユーザ名とパスワードの再入力をユーザに要求する前に以前のセッションを再開しようとします。 Cisco Secure ACS の PEAP Session Timeout の設定によって、レジューム機能を有効にする期間(ユーザ クレデンシャルを再入力しなくても PEAP セッションをレジュームできる期間)が制御されます。


Windows NT または 2000 のドメイン データベースまたは LDAP データベースのみ


ステップ 1 コンピュータで Windows XP が動作している場合、Windows システム トレイの上に、ネットワークへのアクセスのために証明書またはその他のクレデンシャルを選択するように要求するポップアップ メッセージが表示されます。このメッセージをクリックします。

ステップ 2 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。

ステップ 3 クライアント アダプタが接続されたサーバを示すメッセージが表示され、それが接続用の正しいサーバの場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。

ステップ 4 次のいずれかを実行します。

コンピュータで Windows 2000 が動作している場合、Static Password 画面が表示されます(図 6-18 を参照)。

コンピュータで Windows XP が動作している場合、Windows システム トレイの上に、無線ネットワークのログイン情報を処理するように要求するポップアップ メッセージが表示されます。このメッセージをクリックします。 Static Password 画面が表示されます(図 6-18 を参照)。

図 6-18 Static Password 画面

 

ステップ 5 PEAP 認証ユーザ名とパスワード(RADIUS サーバに登録)を入力します。

ステップ 6 ドメイン名が適用される場合は、ドロップダウン リストからドメイン名を選択するか、入力します。

ステップ 7 OK をクリックします。 これで、クライアント アダプタは EAP 認証を行います。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。

ステップ 8 ローカルにキャッシュされた Windows パスワードも保有している場合、Windows で手動で変更し、使用しているパスワードと同期する必要があります。この場合、Ctrl+Alt+Delete を押し、Change Password を選択し、古いパスワードを 1 度入力してから新しいパスワードを 2 度入力します。


 

OTP データベースのみ


ステップ 1 コンピュータで Windows XP が動作している場合、Windows システム トレイの上に、ネットワークへのアクセスのために証明書またはその他のクレデンシャルを選択するように要求するポップアップ メッセージが表示されます。このメッセージをクリックします。

ステップ 2 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。

ステップ 3 クライアント アダプタが接続されたサーバを示すメッセージが表示され、それが接続用の正しいサーバの場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。

ステップ 4 次のいずれかを実行します。

コンピュータで Windows 2000 が動作している場合、One Time Password 画面が表示されます(図 6-19 を参照)。

コンピュータで Windows XP が動作している場合、Windows システム トレイの上に、無線ネットワークのログイン情報を処理するように要求するポップアップ メッセージが表示されます。このメッセージをクリックします。 One Time Password 画面が表示されます(図 6-19 を参照)。

図 6-19 One Time Password 画面

 

ステップ 5 User Name フィールドに PEAP 認証ユーザ名を入力します。

ステップ 6 Hardware Token または Software Token オプションを選択します。Software Token オプションを選択すると、One Time Password 画面の Password フィールドは PIN フィールドに変わります。


) Hardware Token と Software Token オプションが使用できるのは、設定の間に Generic Token Card Properties 画面で両方のオプションを選択している場合です。それ以外の場合、選択したオプションだけが使用できます。


ステップ 7 ハードウェア トークン パスワードまたはソフトウェア トークン PIN を入力します。

ステップ 8 OK をクリックします。 これで、クライアント アダプタは EAP 認証を行います。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


 

パスワードの有効期限が切れた後(Windows NT または 2000 ドメイン データベースのみ)

PEAP に Wndows NT または 2000 ドメイン データベースを使用し、現在のユーザ ID のパスワードの有効期限が経過した場合、次の手順に従ってパスワードを変更します。


ステップ 1 Change Password 画面(図 6-20 を参照)が表示され、パスワードの有効期限が過ぎたことが示された場合は、Old Password フィールドに古いパスワードを入力します。

図 6-20 Change Password 画面

 

ステップ 2 New Password フィールドと Confirm New Password フィールドに新しいパスワードを入力します。


) Windows NT または 2000 ドメイン ユーザ データベースでもパスワードが変更されます。


ステップ 3 OK をクリックします。クライアント アダプタでは新しいパスワードを使用して認証が行われます。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


 

PIN の有効期限が切れた後(OTP データベースのみ)

PEAP に OTP データベースを使用し、現在のユーザ ID の PIN の有効期限が経過した場合、次の手順に従って PIN を変更します。


ステップ 1 Change PIN 画面(図 6-21 を参照)が表示され、PIN の有効期限が過ぎたことが示された場合は、Old PIN フィールドに古い PIN を入力します。

図 6-21 Change PIN 画面

 

ステップ 2 New PIN フィールドと Confirm New PIN フィールドに新しい PIN を入力します。

ステップ 3 PIN を思い出す際のヒントになる単語を PIN Hint Phrase フィールドに入力します。

ステップ 4 OK をクリックします。 クライアント アダプタでは新しい PIN を使用して認証が行われます。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


) この後の認証では新しい PIN を使用してください。



 

EAP-SIM の使用方法

ホストベース EAP 認証を使用するプロファイルを自分で(または自動プロファイル選択で)選択し、Windows に EAP-SIM 認証用のカードを設定した後(Windows が Microsoft 802.1X サプリカントを実行している必要があります)、認証プロセスは SIM カードの PIN に選択した設定オプションにより異なります。

PIN の入力が要求される場合

電源投入後またはリブート後に、または認証要求のたびに PIN の入力要求の表示を選択している場合、次の手順に従って EAP 認証を行います。


) この手順は、プロファイル選択、カードの取り出しと再挿入、リブート、またはログオン後に適用可能です。



ステップ 1 次のいずれかを実行します。

コンピュータで Windows 2000 が動作している場合、Enter PIN 画面が表示されます(図 6-22 を参照)。

コンピュータで Windows XP が動作している場合、Windows システム トレイの上に、ネットワークへのアクセスのためにクレデンシャルの入力を要求するポップアップ メッセージが表示されます。このメッセージをクリックします。 Enter PIN 画面が表示されます(図 6-22 を参照)。

図 6-22 Enter PIN 画面

 

ステップ 2 PIN を入力し、 OK をクリックします。コンピュータはこの後、SIM カードから情報を入手します。 PIN の入力を誤った場合、エラー メッセージが表示されます。


) PIN の最大入力試行回数を超えた場合、カードはロックアップします。


ステップ 3 これで、クライアント アダプタは EAP 認証を行います。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


) 認証がまだ保留状態にあるか、認証サーバが応答できない場合、ACU と Windows XP のシステム トレイ上の Windows Wireless Network Connection アイコンに接続ステータスが示される場合があります。



 

コンピュータに PIN が保存されている場合

コンピュータのレジストリに PIN を保存するように選択している場合、EAP 認証プロセスは自動的に開始し、クライアント アダプタは EAP 認証を行い、保存された PIN を使用して SIM カードにアクセスします。


) この手順は、プロファイル選択、カードの取り出しと再挿入、リブート、またはログオン後に適用可能です。



) 保存された PIN が間違っているために、SIM で拒否された場合、EAP-SIM サプリカントは一時的にプロンプト モードをデフォルト設定(Ask for my PIN once after I turn my computer on)に変更し、SIM がロックアップするのを防ぎます。手動で変更している場合を除き、この設定はコンピュータの電源を切るまで継続します。SIM Authentication Properties 画面で保存された PIN を変更します。


認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。 クライアント アダプタが認証された場合、ステータスは Authentication succeeded になります。


) 認証がまだ保留状態にあるか、認証サーバが応答できない場合、ACU と Windows XP のシステム トレイ上の Windows Wireless Network Connection アイコンに接続ステータスが示される場合があります。


認証プロセスの再実行

クライアント アダプタが指定されたユーザ名とパスワードを使用して認証できずにリトライ制限を超えると(たとえば、LEAP 認証では、ユーザがシステムからロックアウトされないように試みられるのは 1 度だけです)、ユーザ名またはパスワードを変更するか、コンピュータをリブートするか、あるいはクライアント アダプタを取り出し、再挿入するまで現在のプロファイルは無効です。 クライアント アダプタが現在のプロファイルのユーザ名とパスワードを使用して再認証を試みるようにするには、ACM から、または ACU の Commands ドロップダウン メニューから Reauthenticate を選択します。