ネットワーク アクセス マネージャについて
ネットワーク アクセス マネージャは、ポリシーに従ってセキュアなレイヤ 2 ネットワークを提供するクライアント ソフトウェアです。最適なレイヤ 2 アクセス ネットワークを検出して選択し、有線ネットワークとワイヤレス ネットワークの両方へのアクセスに対してデバイス認証を実行します。ネットワーク アクセス マネージャは、セキュアなアクセスに必要なユーザおよびデバイス アイデンティティならびにネットワーク アクセス プロトコルを管理します。管理者定義のポリシーに違反する接続をエンド ユーザが確立しないように、インテリジェントに動作します。
ネットワーク アクセス マネージャは、単一ホーム(一度に 1 つのネットワーク接続を許可する)になるよう設計されています。また、有線接続がワイヤレス接続によりも優先されます。そのため、有線接続を使用してネットワークに接続した場合、ワイヤレス アダプタは IP アドレスを失い無効になります。
(注) |
ネットワーク アクセス マネージャは Mac OS X または Linux には対応していません。 |
(注) |
Windows OS で ISE ポスチャを使用する場合は、AnyConnect ISE ポスチャを開始する前に Network Access Manager をインストールする必要があります。 |
Cisco AnyConnect Secure Mobility Client のネットワーク アクセス マネージャ コンポーネントは、次の主要な機能に対応しています。
-
有線(IEEE 802.3)およびワイヤレス(IEEE 802.11)ネットワーク アダプタ。
-
Windows 7 でのモバイル ブロードバンド(3G)ネットワーク アダプタ(Microsoft モバイル ブロードバンド API をサポートする WAN アダプタが必要です)。
-
Windows マシン クレデンシャルを使用した事前ログイン認証。
-
Windows ログイン クレデンシャルを使用するシングル サインオン ユーザ認証。
-
簡素化された IEEE 802.1X 設定。
-
IEEE MACsec 有線暗号化および企業ポリシー制御。
-
EAP 方式:
-
EAP-FAST、PEAP、EAP-TTLS、EAP-TLS、および LEAP(IEEE 802.3 有線のみ EAP-MD5、EAP-GTC、および EAP-MSCHAPv2)。
-
-
内部 EAP 方式:
-
PEAP:EAP-GTC、EAP-MSCHAPv2、および EAP-TLS。
-
EAP-TTLS:EAP-MD5 および EAP-MSCHAPv2 およびレガシー方式(PAP、CHAP、MSCHAP、および MSCHAPv2)。
-
EAP-FAST:GTC、EAP-MSCHAPv2、および EAP-TLS。
-
-
暗号化モード:スタティック WEP(オープンまたは共有)、ダイナミック WEP、TKIP、および AES。
-
キー確立プロトコル:WPA、WPA2/802.11i。
-
AnyConnect は、次の環境でスマートカードにより提供されるクレデンシャルに対応します。 -
Windows の Microsoft CAPI 1.0 および CAPI 2.0(CNG)。
-
Windows ログインは ECDSA 証明書に対応していないため、ネットワーク アクセス マネージャのシングル サインオン(SSO)は ECDSA クライアント証明書に対応していません。
-
Suite B および FIPS
次の機能は FIPS 認定で、例外を列挙しています。
-
ACS および ISE は Suite B には対応していませんが、OpenSSL 1.x 搭載の FreeRADIUS 2.x は対応しています。Microsoft NPS 2008 は Suite B に一部対応しています(NPS の証明書は RSA でなければなりません)。
-
802.1X/EAP は、Suite B の遷移プロファイルのみをサポートします(RFC 5430 の定義どおり)。TLS 1.2 はサポートされていません。
-
MACsec は Windows 7 で FIPS 対応です。
-
Elliptic Curve Diffie-Hellman(ECDH)キー交換は Windows 7 でサポートされています。
-
ECDSA クライアント証明書は Windows 7 でサポートされています。
-
OS ストアの ECDSA CA 証明書は Windows 7 でサポートされています。
-
ネットワーク プロファイルの(PEM エンコードされた)ECDSA CA 証明書は Windows 7 でサポートされています。
-
サーバの ECDSA 証明書チェーン検証は Windows 7 でサポートされています。
シングル サインオンの「シングル ユーザ」の適用
Microsoft Windows では複数のユーザが同時にログインできますが、Cisco AnyConnect ネットワーク アクセス マネージャではシングル ユーザにネットワーク認証を制限します。AnyConnect ネットワーク アクセス マネージャは、ログインしているユーザの数に関係なく、デスクトップまたはサーバ当たり 1 人のユーザをアクティブにできます。シングル ユーザ ログインの適用は、いつでもシステムにログインできるユーザは 1 人のみで、管理者は現在ログインしているユーザを強制的にログオフできないことを示しています。
ネットワーク アクセス マネージャ クライアント モジュールが Windows デスクトップにインストールされている場合、デフォルト動作はシングル ユーザ ログインを適用することです。サーバにインストールされている場合、デフォルト動作はシングル ユーザ ログインの適用を緩和することです。いずれの場合も、デフォルトの動作を変更するようにレジストリを変更または追加できます。
制約事項
-
Windows 管理者は、現在ログインしているユーザの強制ログオフが制限されています。
-
接続されたワークステーションへの RDP は同一ユーザにサポートされています。
-
同一ユーザと見なされるためには、クレデンシャルを同じフォーマットにする必要があります。たとえば、user/example は user@example.com と同じではありません。
-
また、スマートカード ユーザが同じ PIN を持っている場合、同一ユーザと見なされます。
シングル サインオンのシングル ユーザの適用の設定
Windows ワークステーションまたはサーバで複数のユーザを処理する方法を変更するには、レジストリの EnforceSingleLogon の値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002}
1 つまたは複数のユーザ ログインを設定するには、EnforceSingleLogon という名前の DWORD を追加し、1 または 0 の値を指定します。
Windows の場合:
-
1 は、シングル ユーザにログインを制限します。
-
0 は、複数のユーザにログインを許可します。