このドキュメントでは、Windowsでセキュアクライアントネットワーク解析モジュール(NAM)を設定する方法について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントでは、WindowsでセキュアクライアントNAM(SCA)を設定する方法について説明します。事前展開オプションと、dot1x認証を実行するプロファイルエディタが使用されます。また、これを実現する方法の例をいくつか示します。
ネットワーキングでは、サプリカントはポイントツーポイントLANセグメントの一方の端にあるエンティティで、リンクのもう一方の端に接続されたオーセンティケータによる認証を求めます。
IEEE 802.1X標準では、ハードウェアまたはソフトウェアのいずれかを指す用語としてサプリカントが使用されます。実際には、サプリカントはエンドユーザのコンピュータにインストールされるソフトウェアアプリケーションです。ユーザはサプリカントを起動し、クレデンシャルを送信してコンピュータをセキュアネットワークに接続します。認証に成功すると、通常、オーセンティケータはコンピュータがネットワークに接続することを許可します。
Network Access Managerは、ポリシーに従ってセキュアなレイヤ2ネットワークを提供するクライアントソフトウェアです。最適なレイヤ2アクセスネットワークを検出して選択し、有線ネットワークとワイヤレスネットワークの両方にアクセスするためのデバイス認証を実行します。Network Access Managerは、セキュアなアクセスに必要なユーザとデバイスのIDおよびネットワークアクセスプロトコルを管理します。インテリジェントに機能し、管理者が定義したポリシーに違反する接続をエンドユーザが行わないようにします。
Network Access Managerはシングルホーム接続として設計されているため、一度に1つのネットワーク接続しか使用できません。また、有線接続の方が無線よりも優先順位が高いため、有線接続を使用してネットワークに接続している場合、IPアドレスを使用せずに無線アダプタが無効になります。
dot1x認証には、次の3つの部分が必要であることを理解しておくことが重要です。
この例では、サプリカントはさまざまな方法でインストールおよび設定されます。後で、ネットワークデバイスの設定と認証サーバのシナリオを示します。
ネットワーク図
Cisco Software のダウンロード
1. 製品名の検索バーで、「Secure Client 5」と入力します。
Downloads Home > Security > VPN and Endpoint Security Clients > Secure Client (including AnyConnect) > Secure Client 5 > AnyConnect VPN Client Softwareの順に選択します。
2. この設定例では、バージョン5.1.2.42が使用されています。
Secure ClientをWindowsデバイスに導入するには、SCCM、アイデンティティサービスエンジン、およびVPNヘッドエンドから複数の方法があります。ただし、この記事では、使用されるインストール方法は導入前の方法です。
3. このページで、ファイルCisco Secure Client Headend Deployment Package(Windows)を検索します。
Msi zipファイル
4. ダウンロードして解凍したら、Setupをクリックします。
クライアント・ファイルの保護
5. Network Access ManagerおよびDiagnostics and Reporting Toolモジュールをインストールします。
警告:Cisco Secure Client Wizardを使用する場合、VPNモジュールは自動的にインストールされ、GUIでは表示されません。VPNモジュールがインストールされていない場合、NAMは機能しません。個別のMSIファイルを使用する場合、または別のインストール方法を使用する場合は、VPNモジュールをインストールしてください。
Selectorのインストール
6. Install Selectedをクリックします。
7. EULAに同意します。
EULAウィンドウ
8. NAMのインストール後に再起動が必要です。
Reboot Requirementウィンドウ
9. インストールが完了すると、Windowsの検索バーから検索して開くことができます。
セキュアクライアントプログラム1. Dot1xプリファレンスを設定するには、Cisco Network Access Manager Profile Editorが必要です。
2. セキュアクライアントをダウンロードしたページに、プロファイルエディタオプションが表示されます。
3. この例では、バージョン5.1.2.42のオプションを使用しています。
プロファイルエディタ
4. ダウンロードが完了したら、インストールを続行します。
5. msiファイルを実行します。
Profile Editor Setupウィンドウ
6. Typicalセットアップオプションを使用します。
プロファイルエディタの設定
インストールウィンドウ7. Finishをクリックします。
プロファイルエディタのセットアップの終了
8. インストールが完了したら、検索バーからNetwork Access Manager Profile Editorを開きます。
検索バーのNAMプロファイルエディタ
9. Network Access Managerとプロファイルエディタのインストールが完了しました。
1. この文書で説明するすべてのシナリオには、次の項目の設定が含まれています。
NAMプロファイルエディタクライアントポリシー
NAMプロファイルエディタの認証ポリシー
Network Groupsタブ
1. Networksセクションに移動します。
2. デフォルトのNetworkプロファイルは削除できます。
3. Addをクリックします。
ネットワークプロファイルの作成
4. Networkプロファイルに名前を付けます。
5. Group MembershipにGlobalを選択します。Wired Network Mediaを選択します。
Network Profile Media Typeセクション
6. Nextをクリックします。
7. Authenticating Networkを選択し、Security Levelセクションのその他のオプションにはデフォルトを使用します。
ネットワークプロファイルのセキュリティレベル
8. Nextをクリックして、Connection Typeセクションを続けます。
ネットワークプロファイルの接続タイプ
9. 「ユーザー接続」接続タイプを選択します。
10. Nextをクリックし、現在は利用可能なUser Authセクションを続行します。
11. 一般的なEAP MethodとしてPEAPを選択します。
ネットワークプロファイルユーザ認証
12. EAP-PEAP Settingsでデフォルト値を変更しないでください。
13. 「クレデンシャルソースに基づく内部メソッド」セクションに進みます。
14. EAP PEAPに対して存在する複数の内部方式から、Authenticate using a Passwordを選択し、EAP-MSCHAPv2を選択します。
15. Nextをクリックして、Certificateセクションに進みます。
注: EAP-PEAP SettingsでValidate Server Identityオプションが選択されているため、Certificateセクションが表示されます。EAP PEAPでは、サーバ証明書を使用してカプセル化を行います。
16. CertificatesセクションのCertificate Trusted Server Rulesで、ルールCommon Name ends with c.com が使用されます。 設定のこのセクションでは、EAP PEAPフロー中にサーバが使用する証明書について説明します。ご使用の環境でIdentity Service Engine(ISE)を使用している場合は、ポリシーサーバノードEAP証明書の共通名を使用できます。
Network Profile Certificateセクション
17. Certificate Trusted Authorityで2つのオプションを選択できます。 このシナリオでは、RADIUS EAP証明書に署名した特定のCA証明書を追加する代わりに、オプションTrust Any Root Certificate Authority (CA) Installed on the OSが使用されます。
18. このオプションを使用すると、Windowsデバイスは、「Manage User Certs program Certificates — Current User > Trusted Root Certification Authorities > Certificates」に含まれている証明書によって署名されたすべてのEAP証明書を信頼します。
19. Nextをクリックします。
Network Profile Credentialsセクション
20. Credentialsセクションでは、User Credentialsセクションのみが変更されます。
21. オプション「Prompt for Credentials > Never Remember」が選択されている場合、各認証で、認証を選択するユーザは各自のクレデンシャルを入力する必要があります。
22. Doneをクリックします。
23.File > Save Asオプションを指定して、セキュアクライアントNetwork Access Manager(SCA)プロファイルをconfiguration.xmlとして保存します。
24. 作成したプロファイルがセキュアクライアントネットワークアクセス管理で使用されるようにするには、次のディレクトリにあるconfiguration.xmlファイルを新しいファイルで置き換えます。
C:\ProgramData\Cisco\Ciscoセキュアクライアント\ネットワークアクセスマネージャ\システム
注:このファイルは、configuration.xmlという名前にする必要があります。そうしないと機能しません。
ファイルセクションの置換
1. NAMプロファイルエディタを開き、Networksセクションに移動します。
2. Addをクリックします。
NAMプロファイルエディタネットワークタブ
3. ネットワークプロファイルに名前を入力します。
4. Group MembershipにGlobalを選択します。WiredNetwork Mediaを選択します。
Media Typeセクション
5. Nextをクリックします。
6. Authenticating Networkを選択し、このセクションの残りのオプションではデフォルト値を変更しないでください。
Security Level Profile Editorセクション
7. Nextをクリックして、Connection Typeセクションを続けます。
Connection Typeセクション
8. 3番目のオプションを選択して、ユーザー認証とマシン認証を同時に構成します。
9. Nextをクリックします。
Machine Authセクション
10. Machine Authセクションで、EAP方式としてEAP-FASTを選択します。EAP FAST Settingsのデフォルト値は変更しないでください。
11. Inner methods based on Credentials Sourceセクションでは、方式としてAuthenticate using a PasswordとEAP-MSCHAPv2を選択します。次に、Use PACsオプションを選択します。
12. Nextをクリックします。
13. 「証明書」セクションの「信頼できるサーバの証明書の規則」で、規則は「一般名はc.comで終わります。このセクションでは、EAP PEAPフロー中にサーバが使用する証明書について説明します。ご使用の環境でIdentity Service Engine(ISE)を使用している場合は、ポリシーサーバノードEAP証明書の共通名を使用できます。
Machine Auth Server Certificate Trustセクション
14. Certificate Trusted Authorityで2つのオプションを選択できます。このシナリオでは、RADIUS EAP証明書に署名した特定のCA証明書を追加する代わりに、OSにインストールされているすべてのルート認証局(CA)を信頼するオプションを使用します。
15. このオプションを使用すると、Manage User Certsプログラム(Current User > Trusted Root Certification Authorities > Certificates)に含まれている証明書によって署名されたすべてのEAP証明書がWindowsによって信頼されます。
16. Nextをクリックします。
Machine Auth Credentialsセクション
17. Machine CredentialsセクションのUse Machine Credentialsを選択します。
18. Nextをクリックします。
User Authenticationセクション
19. User Authについては、EAP MethodとしてEAP-FASTを選択します。
20. EAP-FAST設定セクションでデフォルト値を変更しないでください。
21. Inner Method based on credentials sourceセクションでは、方式としてAuthenticate using a PasswordおよびEAP-MSCHAPv2を選択します。
22. Use PACsを選択します。
23. Nextをクリックします。
24. CertificatesセクションのCertificate Trusted Server Rulesで、ルールはcommon Name ends with c.comです。これらの設定は、EAP PEAPフロー中にサーバが使用する証明書用です。環境内でISEを使用している場合は、ポリシーサーバノードEAP証明書の共通名を使用できます。
User Auth Server Certificate Trustセクション
25. Certificate Trusted Authorityで2つのオプションを選択できます。このシナリオでは、RADIUS EAP証明書に署名した特定のCA証明書を追加する代わりに、オプションTrust Any Root Certificate Authority (CA) Installed on the OSが使用されます。
26. Nextをクリックします。
ユーザ認証クレデンシャル
27. 「資格証明」セクションでは、「ユーザー資格証明」セクションのみが変更されます。
28. Prompt for Credentials > Never Rememberオプションが選択されています。したがって、認証のたびに、認証するユーザは自分のクレデンシャルを入力する必要があります。
29. Doneボタンをクリックします。
30. File > Save asの順に選択し、Secure Client Network Access ManagerProfileをconfiguration.xmlとして保存します。
31. Secure Client Network Access Managerを作成するには、作成したばかりのプロファイルを使用して、次のディレクトリのconfiguration.xmlファイルを新しいファイルで置き換えます。
C:\ProgramData\Cisco\Ciscoセキュアクライアント\ネットワークアクセスマネージャ\システム
注:このファイルは、configuration.xmlという名前にする必要があります。そうしないと機能しません。
1. NAMプロファイルエディタを開き、Networksセクションに移動します。
2. Addをクリックします。
Network Creationセクション
3. ネットワークプロファイルに名前を付けます。この場合、名前はEAPプロトコルです。
4. Group MembershipにGlobalを選択します。および有線ネットワークメディアです。
Media Typeセクション
5. Nextをクリックします。
6. Authenticating Networkを選択し、Security Levelセクションの残りのオプションではデフォルト値を変更しないでください。
セキュリティレベル
7. このシナリオは、証明書を使用したユーザー認証のためのものです。このため、オプションUser Connectionが使用されます。
接続タイプ
8. EAP方式としてEAP-TLSを設定し、EAP-TLS設定セクションでデフォルト値を変更しないでください。
User Authセクション
9. 「証明書」セクションで、AAA EAP-TLS証明書と一致するルールを作成します。ISEを使用している場合は、Administration > System > Certificatesセクションでこのルールを見つけます。
10. [Certificate Trusted Authority]セクションで、[Trust any Root Certificate Authority (CA) installed on the OS]を選択します。
ユーザー認証サーバー証明書の信頼の設定
11. Nextをクリックします。
12、User Credentialsセクションについては、最初のセクションのデフォルト値を変更しないでください。
User Auth Credentialsセクション
13. EAP TLSプロセス中にユーザが送信するID証明書と一致するルールを設定することが重要です。これを行うには、Use Certificate Matching Rule (Max 10)の横にあるチェックボックスをクリックします。
14. Addをクリックします。
Certificate Matching Ruleウィンドウ
15. My Internal OR 3rd Party CA.com文字列の値を、ユーザ証明書のCNに置き換えます。
User Auth Certificate Credentialsセクション
16. Doneをクリックして、設定を終了します。
17. File > Save asの順に選択して、Secure Client Network Access Managerプロファイルをconfiguration.xmlとして保存します。
18. Secure Client Network Access Managerを追加するには、作成したばかりのプロファイルを使用して、次のディレクトリのconfiguration.xmlファイルを新しいファイルで置き換えます。
C:\ProgramData\Cisco\Ciscoセキュアクライアント\ネットワークアクセスマネージャ\システム
注:このファイルは、configuration.xmlという名前にする必要があります。そうしないと機能しません。
1. ISR 1100ルータを設定する。
2. このセクションでは、NADがdot1xを期待どおりに機能させるために必要な基本設定について説明します。
注:マルチノードISE導入の場合は、ポリシーサーバノードのペルソナが有効になっている任意のノードをポイントします。これを確認するには、Administration > System > DeploymentタブでISEに移動します。
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3. Identity Service Engine 3.2を設定します。
4. ネットワークデバイスを設定します。
5. ISEの[Administration] > [Network Resources] > [Network Devices]にISR NADを追加します。
6. Addをクリックします。
Network Deviceセクション
7. 作成するNADに名前を割り当てます。ネットワークデバイスのIPを追加します。
ネットワークデバイスの作成
8. 同じページの下部に、ネットワークデバイス設定で使用しているものと同じ共有秘密を追加します。
ネットワークデバイスのRadius設定
8. [Save] をクリックして変更内容を保存します。
9. エンドポイントの認証に使用するIDを設定します。
10. ISEローカル認証が使用され、外部ISE認証はこの記事では説明されていません。
11. [管理] > [ID管理] > [グループ] タブに移動し、ユーザーが属するグループを作成します。この例で作成するIDグループはiseUsersです。
IDグループの作成
12. Submitをクリックします。
13. 「管理」 > 「アイデンティティ管理」 > 「アイデンティティ」タブに移動します。
14. Addをクリックします。
Network Access Usersセクション
15. 必須フィールドの一部として。ユーザーの名前で開始します。この例では、ユーザ名iseiscoolを使用しています。
ネットワークアクセスユーザの作成
16. ユーザにパスワードを割り当てます。この例では、VainillaISE97が使用されています。
User Creation Passwordセクション
17. グループiseUsersにユーザを割り当てます。
ユーザグループの割り当て
18. ポリシー・セットを構成します。
19. ISEメニュー>ポリシー>ポリシーセットに移動します。
20. デフォルトのポリシーセットを使用できます。ただし、この例ではWiredという名前のAPが作成されます。
注:ポリシーセットの分類と区別は、トラブルシューティングに役立ちます。
追加またはプラスアイコン「+」が表示されていない場合は、任意のポリシーセットの歯車アイコンをクリックして、上に「新しい行を挿入」を選択できます。
歯車アイコンのオプション
21. 使用されている条件はWired 8021xです。これをドラッグして、Useをクリックします。
認証ポリシー条件スタジオ
22. Allowed ProtocolsセクションでDefault Network Accessを選択します。
ポリシーセットの一般ビュー
23. Saveをクリックします。
1. >アイコンをクリックします。
有線ポリシーセット
2. Authentication Policyセクションを展開します。
3. 「+」アイコンをクリックします。
認証ポリシー
4. 認証ポリシーに名前を割り当てます。この例では、内部認証を使用します。
5. この新しい認証ポリシーの条件列で「+」アイコンをクリックします。
6. 事前設定された条件Wired Dot1xが使用されます。
7. 「使用」列で、「内部ユーザー」を選択します。
認証ポリシー
1. Authorization Policyセクションはページの一番下にあります。これを展開し、+アイコンをクリックします。
認可ポリシー
2. 最近作成した認可ポリシーに名前を付けます。 この設定例では、名前Internal ISE Usersが使用されます。
3. この承認ポリシーの条件を作成するには、[条件]列の[+]アイコンをクリックします。
4. グループIseUsersが使用されます。
5. Attributeセクションをクリックします。
6. IdentityGroupアイコンを選択します。
7. ディクショナリから、IdentityGroup属性を持つInternalUserディクショナリを選択します。
条件の作成
8. ドロップダウン・メニューから「等号」演算子を選択します。
9. User Identity Groups ドロップダウンメニューから、IseUsers グループを選択します。
条件の作成
10. Useをクリックします。
11. Result認可プロファイルを追加します。
12. 事前設定されたプロファイルPermit Accessが使用されます。
注:有線Dot1xポリシーセットを使用してISEに送信される認証は、ユーザアイデンティティグループISEUsersの一部ではありません。デフォルトの許可ポリシーを選択します。これにより、DenyAccessが発生します。
認可ポリシー
13. Saveをクリックします。
1. 設定が終了すると、セキュアクライアントによってクレデンシャルの入力を求められ、PEAP MSCHAPv2プロファイルの使用が指定されます。
2. 以前作成した資格証明が入力されます。
セキュアクライアントNAM
3. エンドポイントが正しく認証されると、NAMは接続されていることを示します。
セキュアクライアントNAM
4. 情報アイコンをクリックし、メッセージ履歴セクションに移動すると、完了したすべてのステップの詳細が表示されます。
セキュアクライアントメッセージ履歴
セキュアクライアントメッセージ履歴
5. ISEから、Operations > Radius LiveLogsの順に移動して、認証の詳細を表示します。次の図に示すように、使用されたユーザ名が表示されます。
その他の詳細情報は、次のとおりです。
ISE RADIUSライブログ
6. このビューには、正しいポリシーがすべて表示され、結果として認証の成功ステータスが表示されます。以上で、設定が正しいことが確認できました。
1. プロファイルエディタで作成された新しいプロファイルがNAMで使用されていない場合は、Secure ClientのNetwork Repairオプションを使用します。
2. このオプションは、Windowsバー>曲折アクセント記号アイコンのクリック>セキュアクライアントアイコンの右クリック>ネットワーク修復の順に選択すると表示されます。
Network Repairセクション
1. NAM拡張ロギングの有効化
2. NAMを開き、歯車アイコンをクリックします。
NAMインターフェイス
3. 「ログ設定」タブにナビゲートします。Enable Extended Loggingチェックボックスにチェックマークを入れます。
4. パケットキャプチャファイルサイズを100 MBに設定します。
クライアントNAMログのセキュリティ設定
5. 拡張ロギングを有効にした後、ログが生成され、トラフィックがキャプチャされたことを確認するために、問題を複数回再現します。
6. Windowsから検索バーに移動し、Cisco Secure Client Diagnostics and Reporting Toolと入力します。
DARTモジュール
7. インストールプロセス中に、このモジュールもインストールしました。これは、ログと関連するdot1xセッション情報を収集することで、トラブルシューティングプロセスを支援するツールです。
8. 最初のウィンドウでNextをクリックします。
DARTモジュール
9. Nextをクリックします。これにより、ログバンドルがデスクトップに保存されます。
DARTモジュール
10. 必要に応じて、「バンドル暗号化の有効化」チェックボックスをクリックします。
DARTモジュール
11. DARTログ収集が開始されます。
DARTログの収集
12. プロセスが完了するまで10分程度かかる場合があります。
DARTバンドルの作成結果
13. DART結果ファイルは、デスクトップ・ディレクトリにあります。
DART結果ファイル
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
02-Jul-2026
|
スペルチェック、スペース、文法、文章の構造、およびCCWアラートを更新。 |
1.0 |
29-Apr-2024
|
初版 |