この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、プロファイルのパラメータを構成する方法について説明します。この章では、次の項目について説明します。
• 「概要」
Cisco Aironet Desktop Utility (Profile Management) ウィンドウでプロファイルの新規作成または既存プロファイルの編集を選択すると、Profile Management ウィンドウが表示されます。これらのウィンドウで、そのプロファイルの設定パラメータを設定できます。
(注) 新規作成したプロファイルの設定パラメータを変更しない場合は、デフォルト値が使用されます。
(注) 複数の Profile Management ウィンドウでパラメータを設定しているときは、すべてのウィンドウの設定を終了してから OK をクリックします。OK をクリックすると、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
次に示す各 Profile Management ウィンドウには、クライアント アダプタの特定の機能に影響を与えるパラメータが含まれています。
• General:クライアント アダプタを無線ネットワークで使用できるように準備します。
• Advanced:インフラストラクチャまたはアドホック ネットワーク内でのクライアント アダプタの動作を制御します。
• Security:クライアント アダプタのアクセス ポイントとのアソシエート方法、無線ネットワークでの認証方法、データの暗号化および復号化方法を制御します。
表5-1 を使用すると、各 Profile Management ウィンドウのパラメータを設定する手順をすばやく見つけることができます。
|
|
---|---|
(注) システム管理者が管理ツールを使用して特定のパラメータを無効にしている場合、これらのパラメータは Profile Management ウィンドウで無効になっているので、選択できません。
(注) Windows コントロール パネルを使用すれば、ADU 外部のクライアント アダプタに 2 つのローミング パラメータを設定することもできます。詳細は、「Windows コントロール パネルでのローミング パラメータの設定」を参照してください。
Profile Management (General) ウィンドウ(図5-1 を参照)では、クライアント アダプタを無線ネットワークで使用できるようにするパラメータを設定できます。このウィンドウは、Cisco Aironet Desktop Utility (Profile Management) ウィンドウで New または Modify をクリックすると表示されます。
図5-1 Profile Management (General) ウィンドウ
表5-2 は、クライアント アダプタの基本パラメータを示しています。パラメータを変更する場合は、表の指示に従ってください。
次の項で追加パラメータを設定するか、 OK をクリックして変更を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
Profile Management (Advanced) ウィンドウ(図5-2 を参照)では、インフラストラクチャまたはアドホック ネットワークでのクライアント アダプタの動作を制御するパラメータを設定できます。このウィンドウを開くには、Profile Management ウィンドウの Advanced タブをクリックします。
図5-2 Profile Management (Advanced) ウィンドウ
表5-3 は、クライアント アダプタの拡張パラメータを示しています。パラメータを変更する場合は、表の指示に従ってください。
このプロファイルがインフラストラクチャ ネットワーク用に設定されていて、クライアント アダプタがアソシエートを試みるアクセス ポイントを最大 4 つまで指定する場合は、Preferred APs をクリックします。Preferred Access Points ウィンドウが表示されます(図5-3 を参照)。
図5-3 Preferred Access Points ウィンドウ
Access Point 1 ~ Access Point 4 フィールドをブランクのままにするか、クライアント アダプタがアソシエートできる最大 4 つまでの優先アクセス ポイントの MAC アドレスを入力して、OK をクリックします(MAC アドレスは 12 桁の 16 進文字で指定します)。指定したアクセス ポイントが見つからない場合やクライアント アダプタが無線範囲外にローミングした場合、アダプタは別のアクセス ポイントにアソシエートすることがあります。
次の項で追加パラメータを設定するか、 OK をクリックして変更を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
Profile Management (Security) ウィンドウ(図5-4 を参照)では、クライアント アダプタのアクセス ポイントとのアソシエート方法、無線ネットワークでの認証方法、データの暗号化および復号化方法を制御するパラメータを設定できます。このウィンドウを開くには、Profile Management ウィンドウの Security タブをクリックします。
図5-4 Profile Management (Security) ウィンドウ
このウィンドウは、複数の手順を含む多くのセキュリティ機能が表示される点で他の Profile Management ウィンドウと異なります。また、セキュリティ機能自体も複雑なので、設定する前によく理解しておく必要があります。このため、この項ではセキュリティ機能の概要のほか、その有効化手順についても説明します。
(注) システム管理者が管理ツールを使用してこのプロファイルをロックした場合、Profile Locked チェックボックスはオンになっています。ロックされたプロファイルは、パスワード フィールドを除き、変更、上書き、または削除することはできません。
Wired Equivalent Privacy(WEP)暗号キーを使用してデータを暗号化することで、無線ネットワーク経由で転送されるデータを保護できます。WEP 暗号化では、送信側のデバイスが WEP キーで各パケットを暗号化し、受信側のデバイスが同じキーを使用して各パケットを復号化します。
転送データの暗号化および復号化に使用される WEP キーは、アダプタに静的に関連付けることも、EAP 認証プロセスの一部として動的に作成することもできます。使用する WEP キーのタイプは、以下の「静的 WEP キー」および「EAP(動的 WEP キーを使用)」の項を参考に決めてください。EAP を使用する動的 WEP キーでは、静的 WEP キーよりも強固なセキュリティが確保されます。
WEP キーの長さは、静的または動的にかかわらず、40 または 128 ビット長です。128 ビットの WEP キーでは、40 ビットのキーよりもセキュリティ レベルが高くなります。
(注) WEP キーをさらに安全にする 3 つのセキュリティ機能については、「新しい WEP キー セキュリティ機能」を参照してください。
無線ネットワーク内の各デバイス(またはプロファイル)は、最大 4 つの WEP キーに割り当てることができます。適切なキー(相互通信を行うすべてのデバイスで同一の WEP キー)で暗号化されていないパケットを受信すると、デバイスはそのパケットを廃棄し、宛先に送信しません。
静的 WEP キーは、セキュリティ上の理由により暗号化された形で Windows デバイスのレジストリに格納されるので、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに入力し直す必要はありません。ドライバは、クライアント アダプタのレジストリ パラメータをロードして読み取ると、静的 WEP キーを検出し、復号化して、アダプタの揮発性メモリに格納します。
Define Pre-Shared Keys ウィンドウを使用すると、特定のプロファイルでの WEP キーの設定を表示して、新しい WEP キーを割り当てたり、既存の WEP キーを上書きすることができます。手順については、「静的 WEP の有効化」を参照してください。
無線 LAN のセキュリティに関する規格は、IEEE(電気電子学会)で定義されているように、802.1X for 802.11、または単に 802.1X と呼ばれています。802.1X とそのプロトコルである拡張認証プロトコル(EAP)をサポートしているアクセス ポイントは、無線クライアントと認証サーバ間のインターフェイスとして機能します。認証サーバとは、アクセス ポイントが有線ネットワークを介して通信する RADIUS サーバなどを指します。
ADU では、Windows 2000 または XP で使用する次の 5 つの 802.1X 認証タイプが使用できます。
• EAP-Cisco Wireless(または LEAP):この認証タイプでは、データ保護に Cisco Key Integrity Protocol(CKIP)および MMH Message Integrity Check(MIC)を使用しています。ADU には、認証プロセスを開始するためのユーザ名とパスワードの入力方法など、多数の LEAP 設定オプションが用意されています。
ユーザ名とパスワードは、クライアント アダプタがアクセス ポイント経由で RADIUS サーバとの相互認証を実行するために使用されます。保存されている LEAP クレデンシャルを使用するようアダプタを設定しない限り、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに、ユーザ名とパスワードを入力し直す必要があります。
LEAP をサポートする RADIUS サーバには、Cisco Secure ACS リリース 2.6 以降、Cisco Access Registrar リリース 1.7 以降、Funk Software の Steel-Belted RADIUS リリース 4.1 以降、および Meetinghouse Data Communications の AEGIS リリース 1.1 以降があります。
• EAP-FAST:この認証タイプ(セキュア トンネリングを介したフレキシブル認証)では、高度な 802.1X EAP 相互認証を提供するために 3 つのフェーズのトンネルされた認証プロセスが使用されます。
–フェーズ 0 では、クライアントは、必要に応じて、Protected Access Credential(PAC)を動的にプロビジョニングすることができます。このフェーズでは、PAC はユーザとネットワーク間にセキュアに生成されます。
–フェーズ 1 では、クライアントと RADIUS サーバの間に相互認証されたセキュアなトンネルを設定するのに PAC が使用されます。EAP-FAST をサポートする RADIUS サーバには、Cisco Secure ACS バージョン 3.2.3 以降があります。
–フェーズ 2 では、設定されたトンネルにてクライアント認証が行われます。
ADU では、認証プロセスを開始するためのユーザ名やパスワードの入力方法とその時期、および自動 PAC プロビジョニングと手動 PAC プロビジョニングのいずれを使用するかなど、さまざまな EAP-FAST 設定オプションが提供されます。
クライアント アダプタは、ユーザ名、パスワード、および PAC を使用して、アクセス ポイントを介した RADIUS サーバでの手動認証を実行します。保存されている EAP-FAST クレデンシャルを使用するようアダプタを設定しない限り、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに、ユーザ名とパスワードを入力し直す必要があります。
PAC は Cisco Secure ACS により作成され、ID で識別されます。ユーザは各自の PAC のコピーをサーバから取得します。この ID により、PAC は ADU で作成されたプロファイルにリンクされます。手動 PAC プロビジョニングが有効になると、PAC はサーバから手動でコピーされ、クライアント デバイス上にインポートされます。PAC の格納には次の規則が適用されます。
–PAC は、ユーザのコンピュータにあるグローバルまたはプライベートのストアに暗号化されたデータ ファイルとして格納されます。
• グローバル PAC は、どのログオン ステージにいるどのユーザでもアクセスおよび使用できます。これらは、プロファイルに No Network Connection Unless User Is Logged In オプションが設定されていない限り、ログオン前、ログオン中、およびユーザのログオフ後に使用できます。
• プライベート PAC は、それをプロビジョニングしたユーザ、またはシステム管理者によってアクセスおよび使用できます。
(注) グローバル PAC は C:\Document and Settings\All Users\Application Data\Cisco\
cscostore に格納され、プライベート PAC は C:\Document and Settings\<ユーザ名>
\Application Data\Cisco\cscostore に格納されます。
–自動 PAC プロビジョニングが有効に設定され、ユーザがログオンした後でこのプロビジョニングが実行されると、PAC は現在ログオンしているユーザのプライベート ストアに格納されます。これ以外の場合、PAC はグローバル ストアに格納されます。
–PAC ファイルは、インポート機能を使用して追加または上書きできます。
–PAC ファイルは、削除機能を使用して削除できます。また、クライアント アダプタ ソフトウェアをアンインストールした場合も削除されます。
–PAC ファイルはマシンと関連付けられているため、別のマシンにコピーしても使用できません。
EAP-FAST 認証は、無線 LAN 上で次のユーザ データベースをサポートできるよう設計されています。
–Cisco Secure ACS 内部ユーザ データベース
–Cisco Secure ACS ODBC ユーザ データベース
–Windows NT/2000/2003 ドメイン ユーザ データベース
LDAP ユーザ データベース(NDS など)は手動 PAC プロビジョニングのみをサポートしていますが、その他の 3 つのユーザ データベースは自動と手動の両方の PAC プロビジョニングをサポートしています。
(注) ACS バージョン 3.x.xx で作成された PAC は、ACS バージョン 4.0.xx と互換性がありません。クライアント ステーションでは新しい PAC をインポートする必要があります。自動プロビジョニングを選択した場合は、新しい PAC が自動的に生成され、使用されます。一方、手動プロビジョニングを選択した場合は、クライアント ステーションに新しい PAC を手動でエクスポートする必要があります。ACS バージョン 4.0.xx とバージョン 3.x.xx に対して別々に認証を行う場合は、クライアント ステーションに両バージョンの PAC を保持しておく必要があります。ADU では、適切な PAC を自動的に選択できます。ただし、ソフトウェアのアップグレード後に認証に関する問題が発生した場合は、プロビジョニングしたすべての PAC を 3.x.xx サーバから削除してください。
• EAP-TLS:この認証タイプは、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。認証にはクライアント証明書を使用します。
EAP-TLS をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.0 以降、Cisco Access Registrar リリース 1.8 以降があります。
• PEAP (EAP-GTC):この PEAP 認証タイプは、無線 LAN を経由して One-Time Password(OTP)、Windows NT または 2000 ドメイン、LDAP ユーザ データベースをサポートするように設計されています。この認証は、EAP-TLS 認証がベースとなっていますが、認証にクライアント証明書ではなくパスワードを使用します。PEAP(EAP-GTC)では、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。PEAP(EAP-GTC)認証を使用する場合、ネットワークで OTP ユーザ データベースが使用されているときには、ハードウェアまたはソフトウェアのトークン パスワードを入力して、EAP 認証プロセスを開始してネットワークにアクセスする必要があります。ネットワークで Windows NT または 2000 のドメイン ユーザ データベースあるいは LDAP ユーザ データベース(NDS など)が使用されているときは、ユーザ名、パスワード、およびドメイン名を入力して認証プロセスを開始する必要があります。
PEAP(EAP-GTC)認証をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.1 以降があります。
• PEAP(EAP-MSCHAP V2):この PEAP 認証タイプは、EAP-TLS 認証がベースとなっていますが、認証にパスワードまたはクライアント証明書を使用します。PEAP (EAP-MSCHAP V2) では、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。
PEAP(EAP-MSCHAP V2)認証をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.2 以降があります。
表5-4の指示に従ってアクセス ポイントを設定し、クライアント アダプタを LEAP、EAP-FAST、EAP-TLS、PEAP(EAP-GTC)、または PEAP(EAP-MSCHAP V2)に設定すると、ネットワークに対する認証は、次のシーケンスで実行されます。
1. クライアントがアクセス ポイントにアソシエートし、認証プロセスを開始します。
(注) クライアントと RADIUS サーバの間で認証が成功するまで、クライアントはネットワークにフル アクセスできません。
2. アクセス ポイント経由で通信する場合、クライアントと RADIUS サーバは、パスワード(LEAP と PEAP)、PAC(EAP-FAST)、または証明書(EAP-TLS と PEAP)を認証用の共有秘密キーにして、認証プロセスを完了します。パスワードと PAC は、プロセス中に送信されることはありません。
3. 認証が成功すると、クライアントと RADIUS サーバは、クライアントに固有の動的なセッションベース WEP キーを取り出します。
4. RADIUS サーバは、有線 LAN 上の安全なチャネルを使用してアクセス ポイントにキーを送信します。
5. セッションの間、アクセス ポイントとクライアントはこのキーを使用して、相互に伝送するすべてのユニキャスト パケットの暗号化または復号化を行います。また、アクセス ポイントにブロードキャストが設定されている場合は、パケットをブロードキャストします。
各 EAP タイプの有効化については、次のページを参照してください。
• LEAP(Enabling LEAP)
• EAP-FAST(EAP-FAST の有効化)
• EAP-TLS、PEAP(EAP-GTC)、または PEAP(EAP-MSCHAP V2)(EAP-TLS または PEAP の有効化)
(注) 802.1X 認証の詳細は、IEEE 802.11 規格を参照してください。RADIUS サーバの詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7ab.html
Wi-Fi Protected Access(WPA)と WPA2 は、データ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。WPA は IEEE 802.11i 規格と互換性がありますが、規格の承認に先立って実装されたものです。WPA2 は Wi-Fi Alliance によって実装された認証済み IEEE 802.11i 規格です。
WPA は Temporal Key Integrity Protocol(TKIP)と Message Integrity Check(MIC;メッセージ完全性チェック)を使用してデータを保護します。一方、WPA2 は、Cipher Block Chaining Message Authentication Code Protocol(AES-CCMP;暗号ブロック連鎖メッセージ認証コードプロトコル)を使用したカウンタ モードを使用する、より強力な Advanced Encryption Standard の暗号化アルゴリズムを使用します。WPA と WPA2 は両方とも、認証キーの管理に 802.1X を使用します。
WPA と WPA2 は、WPA/WPA2 と WPA/WPA2 パスフレーズ(WPA 事前共有キーまたは WPA-PSK とも呼ばれる)という 2 つの相互に排他的なキー管理タイプをサポートしています。クライアントと認証サーバは、WPA または WPA2 を使用して、EAP 認証方式で相互認証を行い、Pairwise Master Key(PMK)を生成します。このサーバでは PMK を動的に生成して、アクセス ポイントに渡します。しかし、WPA または WPA2 パスフレーズを使用する場合には、クライアントとアクセス ポイントの両方でパスフレーズ(または事前共有キー)を設定し、そのパスフレーズが PMK として使用されます。
各 WPA の有効化については、以下のページを参照してください。
• WPA/WPA2 パスフレーズ(WPA/WPA2 パスフレーズの有効化)
• WPA/WPA2 による LEAP(Enabling LEAP)
• WPA/WPA2 による EAP-FAST(EAP-FAST の有効化)
• WPA/WPA2 による EAP-TLS(EAP-TLS の有効化)
• WPA/WPA2 による PEAP(EAP-GTC)(PEAP(EAP-GTC)の有効化)
• WPA/WPA2 による PEAP(EAP-MSCHAP V2)(PEAP(EAP-MSCHAP V2)の有効化)
(注) WPA はアクセス ポイントでも有効にする必要があります。WPA を使用するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降のファームウェアを使用している必要があります。WPA2 を使用するには、アクセス ポイントで Cisco IOS リリース 12.3(2)JA 以降のファームウェアを使用している必要があります。この機能を有効にする手順については、アクセス ポイントのマニュアルを参照してください。
クライアント デバイス上で実行されるアプリケーションによっては、アクセス ポイント間の高速ローミングが必要です。たとえば、音声アプリケーションでは、会話の遅延や中断を防ぐために必要です。CCKM 高速セキュア ローミングは、LEAP、EAP-FAST、EAP-TLS、PEAP(EAP-GTC)、または PEAP(EAP-MSCHAP V2)とともに WPA/WPA2/CCKM を使用する CB21AG クライアントおよび PI21AG クライアントに対して、自動的に有効になります。ただし、アクセス ポイントではこの機能を有効にする必要があります。
通常の操作では、EAP 対応のクライアントは、メイン RADIUS サーバとの通信など、完全な EAP 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。ただし、無線 LAN を CCKM 高速セキュア ローミング用に設定すると、EAP 対応のクライアントが RADIUS サーバによる再認証を受けることなく、あるアクセス ポイントから別のアクセス ポイントへ安全にローミングできます。Wireless Domain Services(WDS)用に設定されたアクセス ポイントは、Cisco Centralized Key Management(CCKM)を使用し、高速キー再生成によって Cisco クライアント デバイスがあるアクセス ポイントから別のアクセス ポイントへ、通常は 150 ミリ秒(ms)以内にローミングできるようにします。CCKM 高速セキュア ローミングでは、無線 Voice over IP(VoIP)、エンタープライズ リソース プラニング(ERP)、または Citrix ベースのソリューションなどの時間が重要視されるアプリケーションで、目に見えた遅れはなくなります。
(注) CCKM 高速セキュア ローミングを有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、Profile Management (Security) ウィンドウで WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) CCKM 高速セキュア ローミングを有効するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降を使用している必要があります。この機能を有効にする手順については、アクセス ポイントのマニュアルを参照してください。
(注) Microsoft Wireless Configuration Manager と Microsoft 802.1X サプリカントをインストールしている場合は、CCKM 高速セキュア ローミングが正常に動作するように、これらを無効にする必要があります。Windows XP を実行しているコンピュータで、インストール時に ADU を使用してクライアント アダプタを設定するよう選択した場合は、すでにこれらの機能は無効になっています。同様に、Windows 2000 を実行しているコンピュータに Microsoft 802.1X サプリカントがインストールされている場合は、すでにこれも無効になっているはずです。詳細は、 トラブルシューティングを参照してください。
CB21AG および PI21AG クライアント アダプタと、次のアクセス ポイント ファームウェア バージョンでは、LEAP 認証に失敗したアクセス ポイントの検出機能がサポートされています。
• 12.00T 以降(VxWorks を実行しているアクセス ポイント)
• Cisco IOS リリース 12.2(4)JA 以降(1100 シリーズ アクセス ポイント)
• Cisco IOS リリース 12.2(8)JA 以降(1200 シリーズ アクセス ポイント)
• Cisco IOS リリース 12.2(13)JA 以降(350 シリーズ アクセス ポイント)
• Cisco IOS リリース 12.3(4)JA(1130 シリーズおよび BR 1310 シリーズ アクセス ポイント)
• Cisco IOS リリース 12.3(7)JA(1240 シリーズ アクセス ポイント)
これらのいずれかのバージョンのファームウェアを実行しているアクセス ポイントでは、無線ネットワーク内で LEAP 認証に失敗した他のアクセス ポイントが、クライアントにより発見されて報告されると、システム ログにメッセージが記録されます。
1. LEAP プロファイルを持つクライアントは、アクセス ポイント A へのアソシエートを試みます。
2. アクセス ポイント A は、LEAP を認識できないか、信頼できる LEAP 認証サーバと通信できないことが原因で、LEAP 認証を正常に処理しません。
3. クライアントは、アクセス ポイント A の MAC アドレスと、アソシエーションが失敗した理由を記録します。
4. クライアントは、アクセス ポイント B に正常にアソシエートします。
5. クライアントは、アクセス ポイント A の MAC アドレスと失敗の理由コードをアクセス ポイント B に送信します。
6. アクセス ポイント B は、失敗をシステム ログに記録します。
(注) クライアント アダプタまたはアクセス ポイントでこの機能を有効にする必要はありません。この機能は両方のデバイスで自動的にサポートされます。ただし、アクセス ポイントでは、指定のファームウェア バージョン以降を使用している必要があります。
ここで説明した 3 つのセキュリティ機能(MIC、TKIP、およびブロードキャスト キー ローテーション)は、無線ネットワークの WEP キーに対する巧妙な攻撃を防ぎます。これらの機能はクライアント アダプタ ソフトウェアで自動的にサポートされるため、クライアント アダプタで有効にする必要はありません。ただし、アクセス ポイントではこれらの機能を有効にする必要があります。
(注) これらのセキュリティ機能を有効にする手順については、アクセス ポイントのマニュアルを参照してください。
MIC は、暗号化されたパケットへのビットフリップ攻撃を阻止します。ビットフリップ攻撃では、暗号化されたメッセージが不正侵入者によって傍受され、簡単な変更が加えられます。その後、このメッセージは不正侵入者から再び送信され、受信側で正規のメッセージとして受信されます。MIC は、数バイトを各パケットに付加することによって、パケットの改ざんを防ぎます。
Advanced Status ウィンドウには MIC が使用中であるかどうかが示され、Advanced Statistics ウィンドウには MIC 統計情報が表示されます。
この機能は WEP キー ハッシュとも呼ばれます。不正侵入者は、暗号化されたパケットの初期設定ベクトル(IV)を使用して WEP キーを割り出し、WEP を攻撃しようとしますが、TKIP はこの攻撃に対する防御を提供します。TKIP は、不正侵入者が IV を使用して WEP キーを特定するのに利用する、推測可能な値を除去します。また、ユニキャストとブロードキャストの両方の WEP キーを保護します。
(注) TKIP は、WPA を有効にすると自動的に有効になります。
ブロードキャスト WEP キー ローテーションを有効にすると、アクセス ポイントは動的なブロードキャスト WEP キーを生成し、指定された間隔でそのキーを変更します。
この項で説明したセキュリティ機能を使用するには、クライアント アダプタおよびそのアソシエート先となるアクセス ポイントの双方を正しく設定する必要があります。 表5-4 では、各セキュリティ機能を使用する上で必要なクライアントおよびアクセス ポイントの設定を示しています。この章では、クライアント アダプタのセキュリティ機能を有効にする方法について説明します。これらの機能をアクセス ポイントで有効にする手順については、アクセス ポイントのマニュアルを参照してください。
|
|
|
---|---|---|
Open Authentication と Pre-Shared Key (Static WEP) を選択し、WEP キーを作成します。 |
||
Shared Authentication と Pre-Shared Key (Static WEP) を選択し、WEP キーを作成します。 |
||
暗号スイートを選択し、SSID に対して Open Authentication と WPA を有効にして、WPA 事前共有キーを入力します。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
||
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して Network-EAP と Open with EAP Authentication と WPA を有効にします。 WPA2 の場合、AES-CCMP を含む暗号スイートを選択し、SSID に対して Network-EAP と Open with EAP Authentication と WPA を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
||
802.1x と EAP-FAST を選択し、EAP-FAST 設定を行い、自動プロビジョニングを有効にするか PAC ファイルをインポートします。 |
WEP を設定して有効にし、SSID に対して Network-EAP と Open with EAP Authentication を有効にします。 |
|
WPA/WPA2/CCKM と EAP-FAST を選択し、EAP-FAST 設定を行い、自動プロビジョニングを有効にするか PAC ファイルをインポートします。 |
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して Network-EAP と Open with EAP Authentication と WPA を有効にします。 WPA2 の場合、AES-CCMP を含む暗号スイートを選択し、SSID に対して Network-EAP と Open with EAP Authentication と WPA を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
|
WEP を設定して有効にし、SSID に対して Open with EAP Authentication を有効にします。 |
||
EAP タイプとして Enable network access control using IEEE 802.1X および Smart Card or other Certificate を選択します。 |
WEP を設定して有効にし、SSID に対して Open with EAP Authentication を有効にします。 |
|
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 WPA2 の場合、AES-CCMP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
||
WPA を有効にし、EAP タイプとして Enable network access control using IEEE 802.1X および Smart Card or other Certificate を選択します。 (注) WPA2 は、Windows XP の Microsoft Wireless Configuration Manager では使用できません。 |
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
|
802.1x と、PEAP(EAP-GTC)または PEAP(EAP-MSCHAP V2)を選択し、次に PEAP 設定を行います。 |
WEP を設定して有効にし、SSID に対して Open with EAP Authentication を有効にします。 |
|
EAP タイプとして Enable network access control using IEEE 802.1X および PEAP を選択します。 |
WEP を設定して有効にし、SSID に対して Open with EAP Authentication を有効にします。 |
|
WPA/WPA2/CCKM と、PEAP(EAP-GTC)または PEAP(EAP-MSCHAP V2)を選択し、次に PEAP 設定を行います。 |
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 WPA2 の場合、AES-CCMP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
|
WPA を有効にし、EAP タイプとして Enable network access control using IEEE 802.1X および PEAP を選択します。 (注) WPA2 は、Windows XP の Microsoft Wireless Configuration Manager では使用できません。 |
WPA の場合、TKIP を含む暗号スイートを選択し、SSID に対して WPA と Open with EAP Authentication を有効にします。 (注) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。 |
|
WPA/WPA2/CCKM と LEAP、EAP-FAST、EAP-TLS、PEAP (EAP-GTC)、または PEAP (EAP MSCHAP V2) を選択し、次に EAP 認証設定を行います。 (注) CCKM を有効にするには、クライアント アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM を選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。 |
Cisco IOS リリース 12.2(11)JA 以降を使用して CCKM と互換性のある暗号スイートを選択し、SSID に対して Network-EAP と Open with EAP Authentication と CCKM を有効にし、さらに Wireless Domain Services(WDS)で使用できるように設定します。 (注) 802.1x クライアントおよび非 802.1x クライアントの両方で SSID を使用できるようにするには、オプションの CCKM を有効にします。 |
|
LEAP 認証に失敗したアクセス ポイントの報告 に記載されているファームウェア バージョンでは自動的に有効化されるので、設定は不要です。 |
||
完全な暗号化による WEP の設定と有効化を行い、MIC を MMH に設定するか、または Enable MIC チェックボックスをオンにし、Use Aironet Extensions を Yes に設定します。 |
||
WEP を設定して有効にし、TKIP を Cisco に設定するか、または Enable Per Packet Keying チェックボックスをオンにし、Use Aironet Extensions を Yes に設定します。 |
||
LEAP、EAP-FAST、EAP-TLS、PEAP(EAP-GTC)、または PEAP(EAP-MSCHAP V2)を有効にします。 |
WEP を設定して有効にし、Broadcast WEP Key Rotation Interval を 0 以外の値に設定します。 |
このプロファイルに対して静的 WEP を有効にする手順は、次のとおりです。
ステップ 1 Profile Management (Security) ウィンドウで Pre-Shared Key (Static WEP) を選択します。
ステップ 2 Configure をクリックします。Define Pre-Shared Keys ウィンドウが表示されます(図5-5 を参照)。
図5-5 Define Pre-Shared Keys ウィンドウ
ステップ 3 次のいずれかの WEP キー入力方式を選択します。
• Hexadecimal (0-9, A-F):WEP キーが、0 ~ 9、A ~ F、a ~ f を含む 16 進文字で入力されることを指定します。
• ASCII Text (all keyboard characters):英数字と句読点を含む ASCII テキストで WEP キーが入力されることを指定します。
(注) ASCII テキスト WEP キーは、Cisco Aironet 1200 シリーズ アクセス ポイントではサポートされていないので、このシリーズのアクセス ポイントでクライアント アダプタを使用する場合は、Hexadecimal(0-9, A-F) オプションを選択する必要があります。
ステップ 4 入力する静的 WEP キー(1、2、3、4)について、ウィンドウの右側で WEP キーのサイズ(40 または 128 ビット)を選択します。21AG クライアント アダプタ は、40 ビットまたは 128 ビットのキーを使用できます。
ステップ 5 システム管理者から静的 WEP キーを入手し、作成するキーの空白フィールドに入力します。新しい静的 WEP キーを入力するには、次のガイドラインに従ってください。
• WEP キーには、次の文字数が含まれている必要があります。
–40 ビット キーの場合、10 桁の 16 進数文字または 5 文字の ASCII 文字
例:5A5A313859(16 進文字)または ZZ18Y(ASCII 文字)
–128 ビット キーの場合、26 桁の 16 進数文字または 13 文字の ASCII 文字
例:5A583135333554595549333534(16 進文字)または ZX1535TYUI354(ASCII 文字)
(注) Cisco Aironet 1200 シリーズ アクセス ポイントでクライアント アダプタを使用する場合は、16 進文字を入力する必要があります。
• クライアント アダプタの WEP キーは、インフラストラクチャ モードの場合は通信先のアクセス ポイントと同じキーに、アドホック モードの場合は通信先のクライアントと同じキーに設定する必要があります。
• 複数の WEP キーを設定する場合は、割り当てるキーの WEP キー番号がすべてのデバイスで一致している必要があります。たとえば、WEP キー 2 は、すべてのデバイスで WEP キー番号 2 に割り当てられていなければなりません。複数の WEP キーを設定する場合は、それらのキーがすべてのデバイスで同じ順序になっている必要があります。
(注) セキュリティ上の理由により、既存の静的 WEP キーはすべて黒丸で表示されます。WEP キーを修正するときは、WEP key フィールドをクリックして黒丸を削除し、新しいキーを入力してください。
ステップ 6 パケットの送信に使用するキーの左側にある Transmit Key ボタンをクリックします。転送キーとして選択できる WEP キーは 1 つだけです。
ステップ 7 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 8 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 9 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
このプロファイルに対して WPA/WPA2 パスフレーズ(WPA/WPA2 事前共有キー ともいいます)を有効にする手順は、次のとおりです。
(注) WPA パスフレーズを使用するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降のファームウェアを使用している必要があります。WPA2 パスフレーズを使用するには、アクセス ポイントで Cisco IOS リリース 12.3(2)JA 以降のファームウェアを使用している必要があります。
ステップ 1 Profile Management (Security) ウィンドウで WPA/WPA2 Passphrase を選択します。
ステップ 2 Configure をクリックします。Define WPA/WPA2 Pre-Shared Key ウィンドウが表示されます(図5-6 を参照)。
図5-6 Define WPA/WPA2 Pre-Shared Key ウィンドウ
ステップ 3 アクセス ポイント(インフラストラクチャ ネットワーク内)またはその他のクライアント(アドホック ネットワーク内)の WPA/WPA2 パスフレーズをシステム管理者から取得し、WPA/WPA2 passphrase フィールドに入力します。次のガイドラインに従ってパスフレーズを入力します。
• WPA/WPA2 パスフレーズは、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数である必要があります。
• クライアント アダプタの WPA/WPA2 パスフレーズは、通信先となるアクセス ポイントで使用されているパスフレーズと一致している必要があります。
ステップ 4 OK をクリックしてパスフレーズを保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 5 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 6 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
LEAP 認証を有効にする前に、ネットワーク デバイスが次の要件を満たしていなければなりません。
• クライアント アダプタが認証を試みるアクセス ポイントでは、11.23T 以降(VxWorks を実行しているアクセス ポイント)、Cisco IOS リリース 12.2(4)JA 以降(1100 シリーズ アクセス ポイント)、Cisco IOS リリース 12.2(8)JA 以降(1200 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(4)JA 以降(1130 シリーズおよび BR 1310 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(7)JA 以降(1240 シリーズ アクセス ポイント)、または Cisco IOS リリース 12.2(13)JA 以降(350 シリーズ アクセス ポイント)のバージョンのファームウェアを使用している必要があります。
(注) WPA または CCKM を使用するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降のファームウェアを使用している必要があります。WPA2 を使用するには、アクセス ポイントで Cisco IOS リリース 12.3(2)JA 以降のファームウェアを使用している必要があります。LEAP 認証に失敗したアクセス ポイントの報告機能を使用するには、アクセス ポイントで この項で説明したセキュリティ機能を使用するには、クライアント アダプタおよびそのアソシエート先となるアクセス ポイントの双方を正しく設定する必要があります。表5-4 では、各セキュリティ機能を使用する上で必要なクライアントおよびアクセス ポイントの設定を示しています。この章では、クライアント アダプタのセキュリティ機能を有効にする方法について説明します。これらの機能をアクセス ポイントで有効にする手順については、アクセス ポイントのマニュアルを参照してください。 に示すバージョンのファームウェアを使用している必要があります。
• LEAP 認証に必要なすべてのインフラストラクチャ デバイス(アクセス ポイント、サーバなど)が正しく設定されていなければなりません。
このプロファイルに対して LEAP 認証を有効にする手順は、次のとおりです。
ステップ 1 Profile Management (Security) ウィンドウで、次のいずれかを実行します。
• WPA または WPA2 を使用せずに LEAP を有効にするときは、Set Security Options で 802.1x を選択し、802.1x EAP Type ドロップダウン ボックスで LEAP を選択します。
• WPA または WPA2 を使用して LEAP を有効にするときは、Set Security Options で
WPA/WPA2/CCKM を選択し、WPA/WPA2/CCKM EAP Type ドロップダウン ボックスで LEAP を選択します。
(注) クライアント アダプタで CCKM を有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) 詳細は、「WPA および WPA2」を参照してください。
ステップ 2 Configure をクリックします。Configure LEAP ウィンドウが表示されます(図5-7 を参照)。
ステップ 3 次に示す LEAP ユーザ名およびパスワードの設定オプションのいずれかを選択します。
• Use Temporary User Name and Password:Use Windows User Name and Password を選択していない場合、ユーザはコンピュータをリブートするたびに LEAP ユーザ名とパスワードを入力し、ネットワークへのアクセスに対する認証を受ける必要があります。
• Use Saved User Name and Password:ユーザはコンピュータをリブートするたびに LEAP ユーザ名とパスワードを入力する必要がありません。認証は、保存されているユーザ名とパスワード(RADIUS サーバに登録されている)を使用して自動的に行われます。
• ステップ 3 で Use Temporary User Name and Password を選択した場合は、次のいずれかのオプションを選択します。
–Use Windows User Name and Password:Windows のユーザ名とパスワードが LEAP のユーザ名とパスワードとしても使用されるので、ユーザは 1 組のクレデンシャルを覚えるだけですみます。ログイン後、LEAP 認証プロセスが自動的に開始されます。このオプションはデフォルト設定です。
–Automatically Prompt for User Name and Password:LEAP 認証プロセスを開始するために、ユーザに対して、通常の Windows ログイン名のほか、別の LEAP ユーザ名およびパスワード(RADIUS サーバに登録されたもの)の入力を要求します。
–Manually Prompt for User Name and Password:Action ドロップダウン メニューの Manual Login オプションまたは ASTU を使用して、手動で LEAP 認証プロセスを開始する必要があります。Windows のログイン時に LEAP ユーザ名とパスワードの入力は求められません。このオプションは、ソフトウェア トークン ワンタイム パスワード システムなど、ログイン時に使用できない追加ソフトウェアを必要とするシステムをサポートするために使用できます。
• ステップ 3 で Use Saved User Name and Password を選択した場合は、次の手順に従ってください。
b. Confirm Password フィールドにパスワードをもう一度入力します。
c. ユーザ名とともに RADIUS サーバに渡すドメイン名を指定する場合は、Domain フィールドにそれを入力します。
ステップ 5 ステップ 4 で Automatically Prompt for User Name and Password または Manually Prompt for User Name and Password を選択した場合は、次のいずれかを実行します。
• クライアント アダプタのアソシエーションが解除されるたびに、ユーザにクレデンシャルの再入力を求めることなく LEAP サプリカントが常に前のセッションの再開を試みるようにする場合は、ウィンドウの上部にある Always Resume the Secure Session チェックボックスをオンにします。セッションは、クライアントが無線範囲内または無線範囲外にローミングするなどにより、アクセス ポイントと一時的に切断されたり、サスペンドまたはハイバネート モードから復帰したりした後に再開されます。これはデフォルト設定です。
• クライアント アダプタが無線範囲外にローミングすることで一時的にアソシエーションを失ったり、サスペンドまたはハイバネート モードから復帰したりするたびに、ユーザに LEAP ユーザ名とパスワードの再入力を求める場合は、Always Resume the Secure Session チェックボックスをオフにします。
(注) このチェックボックスをオンにすると、クライアント アダプタが瞬間的にアソシエーションを失った場合でも、ユーザはユーザ名とパスワードを再入力する必要がないので便利です。ただし、ユーザ クレデンシャルの再入力を求めずに LEAP セッションを再開できるようにした場合、その許容時間内にデバイスを無人のままにしておくと、他の誰かが LEAP セッションを再開してネットワークにアクセスする可能性があることに注意してください。
(注) ステップ 4 で Use Windows User Name and Password または Use Saved User Name and Password を選択した場合、Always Resume the Secure Session チェックボックスは無効になります。
ステップ 6 複数のドメインを使用する環境で作業しており、Windows ログイン ドメインをユーザ名とともに RADIUS サーバに渡す必要がある場合は、Include Windows Logon Domain with User Name チェックボックスをオンにします。デフォルト設定はオンです。
(注) 保存済みのユーザ名とパスワードの使用を選択したときに、Include Windows Logon Domain with User Name チェックボックスが無効になっている場合は、保存済みのドメイン名が RADIUS サーバに渡されます。
ステップ 7 別のユーザが自分のクレデンシャルを使用して無線ネットワークにアクセスできないようにするために、ログオフ後、強制的にクライアント アダプタのアソシエーションを解除する場合は、No Network Connection Unless User is Logged In チェックボックスをオンにします。デフォルト設定はオンです。
ステップ 8 Authentication Timeout Value フィールドで、LEAP 認証の試行が失敗したと見なされて、エラー メッセージが表示されるまでの時間を秒単位で選択します。
ステップ 9 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 10 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) このパラメータは、802.1x セキュリティ オプションが選択されている場合にのみ使用できます。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 11 認証プロセスにおけるドメイン コントローラの検索時間を制限する場合は、Limit Time for Finding Domain Controller To チェックボックスをオンにします。次に、編集ボックスにドメイン コントローラの検索の上限時間(秒)を入力します。タイムアウト値を 0 に設定すると、認証プロセスでは「ドメイン コントローラの検索」手順が省略されます。
(注) 認証プロセスが「ドメイン コントローラの検索」手順に到達すると、ドメイン コントローラの検索に指定した秒数に基づいてタイマーが起動します。ドメイン コントローラが検出される前に、この値または LEAP 認証のタイムアウト値に達すると、認証プロセスはタイムアウトになります。たとえば、認証のタイムアウト値が 60 秒で、ドメイン コントローラの検索のタイムアウト値が 10 秒の場合、クライアント アダプタは認証プロセス全体を完了するのに最大 60 秒費やすことができ、そのうちの最大 10 秒をドメイン コントローラの検索にあてることができます。ただし、認証が早く実行され、5 秒以内で「ドメイン コントローラの検索」手順に到達する場合もあります。このような場合、ドメイン コントローラを 10 秒以内に検出できないと、認証プロセスはわずか 15 秒でタイムアウトになります。
(注) ドメイン コントローラの検索のタイムアウト値が LEAP 認証のタイムアウト値より大きい場合でも、ドメイン コントローラの検索のタイムアウト値に基づいて認証プロセスが LEAP 認証のタイムアウト値以上に延長されることはありません。
(注) ログイン スクリプトやローミング デスクトップなどのドメイン サービスが必要な場合は、Limit Time for Finding Domain Controller To チェックボックスをオフにすることをお勧めします。
(注) このチェックボックスをオンにするかオフにするかに関係なく、Windows にログインしている場合、またはローカル マシンにログインしながらドメインにログインしていない場合は、「ドメイン コントローラの検索」手順は実行されません。
ステップ 12 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 13 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
ステップ 14 LEAP による認証手順については、 EAP 認証の使用方法を参照してください。
EAP-FAST 認証を有効にする前に、ネットワーク デバイスが次の要件を満たしていなければなりません。
• クライアント アダプタが認証を試みるアクセス ポイントでは、11.23T 以降(340 および 350 シリーズ アクセス ポイント)、11.54T 以降(1200 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(4)JA 以降(1130 シリーズおよび BR 1310 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(7)JA 以降(1240 シリーズ アクセス ポイント)、または Cisco IOS リリース 12.2(4)JA 以降(1100 シリーズ アクセス ポイント)のバージョンのファームウェアを使用している必要があります。
(注) WPA または CCKM を使用するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降のファームウェアを使用している必要があります。WPA2 を使用するには、アクセス ポイントで Cisco IOS リリース 12.3(2)JA 以降のファームウェアを使用している必要があります。LEAP 認証または EAP-FAST 認証に失敗したアクセス ポイントの報告機能を使用するには、アクセス ポイントで LEAP 認証に失敗したアクセス ポイントの報告 に示すバージョンのファームウェアを使用している必要があります。
(注) クライアント アダプタのアソシエート先のアクセス ポイントは、Open 認証に使用できるように設定する必要があります。
• EAP-FAST 認証に必要なすべてのインフラストラクチャ デバイス(アクセス ポイント、サーバ、ゲートウェイ、ユーザ データベースなど)が正しく設定されていなければなりません。
このプロファイルに対して EAP-FAST 認証を有効にする手順は、次のとおりです。
ステップ 1 Profile Management (Security) ウィンドウで、次のいずれかを実行します。
• WPA または WPA2 を使用せずに EAP-FAST を有効にするときは、Set Security Options で 802.1x を選択し、802.1x EAP Type ドロップダウン ボックスで EAP-FAST を選択します。
• WPA または WPA2 を使用して EAP-FAST を有効にするときは、Set Security Options で WPA/WPA2/CCKM を選択し、WPA/WPA2/CCKM EAP Type ドロップダウン ボックスで EAP-FAST を選択します。
(注) クライアント アダプタで CCKM を有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) 詳細は、「WPA および WPA2」を参照してください。
ステップ 2 Configure をクリックします。Configure EAP-FAST ウィンドウが表示されます(図5-8 を参照)。
ステップ 3 EAP-FAST Authentication Method ドロップダウン リストから認証方式を選択し、Configure をクリックします。
ステップ 4 ステップ 3 で GTC Token/Password を選択した場合は、Configure GTC Token/Password ウィンドウ(図5-9 を参照)で次の操作を行います。
図5-9 Configure GTC Token/Password ウィンドウ
1. クライアント アダプタのアソシエーションが解除されるたびに、ユーザにクレデンシャルの再入力を求めることなく EAP-FAST サプリカントが常に前のセッションの再開を試みるようにする場合は、ウィンドウの上部にある Always Resume the Secure Session チェックボックスをオンにします。セッションは、クライアントがカバレッジ内またはカバレッジ外にローミングするなどにより、アクセス ポイントと一時的に切断されたり、サスペンドまたはハイバネート モードから復帰したりした後に再開されます。これはデフォルト設定です。
クライアント アダプタがカバレッジ外にローミングすることで一時的にアソシエーションを失ったり、サスペンドまたはハイバネート モードから復帰したりするたびに、ユーザに EAP-FAST ユーザ名とパスワードの再入力を求める場合は、 Always Resume the Secure Session チェックボックスをオフにします。
(注) このチェックボックスをオンにすると、クライアント アダプタが瞬間的にアソシエーションを失った場合でも、ユーザはユーザ名とパスワードを再入力する必要がないので便利です。ただし、ユーザ クレデンシャルの再入力を求めずに EAP-FAST セッションを再開できるようにした場合、その許容時間内にデバイスを無人のままにしておくと、他の誰かが EAP-FAST セッションを再開してネットワークにアクセスする可能性があることに注意してください。
(注) Always Resume the Secure Session チェックボックスは、Static Password を選択した場合は無効になります。
2. セキュリティ レベルを強化するために、システムでサーバの ID を強制的に検証する場合は、 Validate Server Identity チェックボックスをオンにします。
このチェックボックスをオフにした場合は、ユーザ クレデンシャルのみが検証されます。
3. このウィンドウで残りのオプションを設定するには、「PEAP(EAP-GTC)の有効化」を参照してください。
4. OK をクリックして設定を保存し、Configure EAP-FAST ウィンドウに戻ります。
ステップ 5 ステップ 3 で MSCHAPv2 User Name and Password を選択した場合は、Configure MSCHAPv2 User Name and Password ウィンドウ(図5-10 を参照)で次の操作を行います。
図5-10 Configure MSCHAPv2 User Name and Password ウィンドウ
1. クライアント アダプタのアソシエーションが解除されるたびに、ユーザにクレデンシャルの再入力を求めることなく EAP-FAST サプリカントが常に前のセッションの再開を試みるようにする場合は、ウィンドウの上部にある Always Resume the Secure Session チェックボックスをオンにします。セッションは、クライアントがカバレッジ内またはカバレッジ外にローミングするなどにより、アクセス ポイントと一時的に切断されたり、サスペンドまたはハイバネート モードから復帰したりした後に再開されます。これはデフォルト設定です。
クライアント アダプタがカバレッジ外にローミングすることで一時的にアソシエーションを失ったり、サスペンドまたはハイバネート モードから復帰したりするたびに、ユーザに EAP-FAST ユーザ名とパスワードの再入力を求める場合は、 Always Resume the Secure Session チェックボックスをオフにします。
(注) Always Resume the Secure Session チェックボックスをオンまたはオフに設定するには、最初に Use Temporary User Name and Password の Automatically Prompt for User Name and Password または Manually Prompt for User Name and Password を選択しておく必要があります。
2. セキュリティ レベルを強化するために、システムでサーバの ID を強制的に検証する場合は、 Validate Server Identity チェックボックスをオンにします。
3. Trusted Root Certification Authorities ドロップダウン ボックスで、サーバ証明書をダウンロードした認証機関を選択するか、必要に応じて <Any> を選択します。
4. 一時ユーザ名とパスワードを使用するには、Use Temporary User Name and Password を選択します。
このオプションを選択した場合は、Use Windows User Name and Password を選択した場合を除き、コンピュータをリブートするたびに EAP-FAST ユーザ名とパスワードを入力して、ネットワークへのアクセスに対する認証を受ける必要があります。
Use Temporary User Name and Password で、次のいずれかのオプションを選択します。
–Use Windows User Name and Password:Windows のユーザ名とパスワードが EAP-FAST のユーザ名とパスワードとしても使用されるので、ユーザは 1 組のクレデンシャルを覚えるだけですみます。ログイン後、認証プロセスが自動的に開始されます。このオプションはデフォルト設定です。
–Automatically Prompt for User Name and Password:認証プロセスを開始するために、ユーザに対して、通常の Windows ログイン名のほか、別の EAP-FAST ユーザ名およびパスワード(RADIUS サーバに登録されたもの)の入力を要求します。
–Manually Prompt for User Name and Password:Action ドロップダウン メニューの Manual Login オプションまたは ASTU を使用して、手動で EAP-FAST 認証プロセスを開始する必要があります。Windows のログイン時に EAP-FAST ユーザ名とパスワードの入力は求められません。このオプションは、ソフトウェア トークン ワンタイム パスワード システムなど、ログイン時に使用できない追加ソフトウェアを必要とするシステムをサポートするために使用できます。
5. 保存されているユーザ名とパスワードを使用するには、Use Saved User Name and Password を選択します。
このオプションを選択した場合、ユーザはコンピュータをリブートするたびに EAP-FAST ユーザ名とパスワードを入力する必要がありません。認証は、保存されているユーザ名とパスワード(RADIUS サーバに登録されている)を使用して自動的に行われます。
次の手順に従って、EAP-FAST 認証に使用するユーザ名とパスワードを指定します。
b. Confirm Password フィールドにパスワードをもう一度入力します。
c. ユーザ名とともに RADIUS サーバに渡すドメイン名を指定する場合は、Domain フィールドに値を入力します。
6. 複数のドメインを使用する環境で作業しており、Windows ログイン ドメインをユーザ名とともに RADIUS サーバに渡す必要がある場合は、Include Windows Logon Domain with User Name チェックボックスをオンにします。デフォルト設定はオンです。
(注) 保存済みのユーザ名とパスワードの使用を選択しても、Include Windows Logon Domain with User Name チェックボックスをオンにしないと、保存済みのドメイン名は RADIUS サーバに渡されません。
7. ユーザ クレデンシャルの認証に使用するサーバまたはドメイン名およびログイン名を指定するには、Advanced をクリックして、「詳細設定」の手順に従います。
8. OK をクリックして設定を保存し、Configure EAP-FAST ウィンドウに戻ります。
ステップ 6 ステップ 3 で TLS Client Certificate を選択した場合は、「EAP-TLS の有効化」(ステップ 5 ~ ステップ 10)を参照して、Configure TLS Client Certificate ウィンドウ(図5-11 を参照)のオプションを設定します。
図5-11 Configure TLS Client Certificate ウィンドウ
ステップ 7 Select One or More PAC Authorities リストで、プロファイルの SSID で定義されたネットワークにアソシエートされている PAC 認証機関および PAC 認証機関グループを選択します。リストには、以前 PAC をプロビジョニングしたすべての認証サーバの名前が表示されます。
Select One or More PAC Authorities ドロップダウン ボックスが空である場合や、目的の PAC 認証機関の名前が表示されていない場合は、ステップ 8 に進んで PAC ファイルをインポートしてください。
(注) この手順は、手動 PAC プロビジョニングには必須ですが、自動 PAC プロビジョニングでは任意です。自動プロビジョニングが有効になっているときに、PAC 認証機関が選択されていない場合、PAC が見つからなかった場合、または指定した PAC がサーバ ID と一致しない場合、EAP-FAST プロファイルの認証プロセス中に自動プロビジョニングが初期化されます。
ステップ 8 必要に応じて、次の手順を実行し、PAC ファイルのグループをインポートまたは変更します。
a. Manage をクリックします。Manage PACs ウィンドウが表示されます(図5-12 を参照)。
b. 新規グループを作成するには、 New Group をクリックします。
c. グループ間で PAC を移動するには、その PAC を移動先のグループにドラッグします。
d. Import をクリックします。Import EAP-FAST PAC File ウィンドウが表示されます(図5-13 を参照)。
図5-13 Import EAP-FAST PAC File ウィンドウ
e. Look in ボックスで PAC ファイル(*.pac)の場所を探します。デフォルトの場所は、C:¥Program Files¥Cisco Aironet です。
(注) PAC ファイルのファイル名と拡張子は、その PAC ファイルを発行した PAC 認証機関によって決められますが、標準のファイル拡張子は pac です。
f. 以下の PAC ストア オプションのいずれかを選択し、インポートした PAC ファイルの格納先と、その PAC ファイルにアクセスできるユーザを決定します。
• Global:グローバル PAC ストアに格納された PAC は、どのログイン ステージにいるどのユーザでもアクセスおよび使用できます。グローバル PAC は、プロファイルに No Network Connection Unless User Is Logged In オプションが設定されていない限り、ログオン前、ログオン中、およびユーザのログオフ後に使用できます。
• Private:プライベート ストアに格納された PAC は、PAC をプロビジョニングしたユーザまたはシステム管理者だけがアクセスおよび使用できます。これらは、ユーザがローカル システムにログオンするまでアクセスできません。これはデフォルト オプションです。
h. Enter Password ウィンドウが表示されたら(図5-14 を参照)、PAC ファイル パスワード(システム管理者から取得可能)を入力し、OK をクリックします。
(注) PAC ファイル パスワードはオプションです。ユーザにパスワードを提供するよう要求する PAC ファイルを発行するかどうかは、PAC 認証機関が決定します。しかしいずれの場合も、すべての PAC ファイル(パスワードが不要なファイルも)が暗号化され保護されます。PAC ファイル パスワードは、EAP-FAST パスワードとは異なり、PAC のインポート時に 1 度入力する必要があるだけです。
i. 同一の PAC ID を持つ PAC ファイルを以前にインポートされた PAC ファイルとしてインポートしようとすると、既存の PAC を更新するかどうかを尋ねられます。Yes をクリックすると、既存の PAC は、インポートされたファイルの新規 PAC で置き換えられます。
j. PAC ファイルが正しくインポートされると、「The EAP-FAST PAC file was imported and is ready for use.」というメッセージが表示されます。OK をクリックして Manage PACs ウィンドウに戻ります。
k. インポートした PAC が Manage PACs ウィンドウの PAC ツリーに表示されます。
l. ストレージからグループ、または手動でプロビジョニングした PAC ファイルを削除するには、それを選択して、 Delete をクリックします。確認のメッセージが表示されたら、 Yes をクリックします。PAC ファイルがツリーから削除されます。
m. OK をクリックし、Configure EAP-FAST ウィンドウに戻ります。
n. PAC を発行した PAC 認証機関の名前が、Configure EAP-FAST ウィンドウの PAC authority リストに表示されます。目的の PAC 認証機関またはグループをリストから選択します。
ステップ 9 Use Any PAC Belonging to the Same Group チェックボックスをオンにして、選択したグループの任意の PAC 認証機関を PAC プロビジョニングに使用します。
ステップ 10 次のいずれかを実行して、PAC プロビジョニングを設定します。
• 自動 PAC プロビジョニングを有効にする場合は、Allow Automatic PAC Provisioning チェックボックスをオンにします。必要に応じて、Protected Access Credential(PAC)が自動的に取得されます(たとえば、PAC の有効期限が切れた場合、クライアント アダプタが別のサーバにアクセスした場合、EAP-FAST ユーザ名が以前プロビジョニングした PAC と一致しない場合など)。
• 手動 PAC プロビジョニングを有効にする場合は、Allow Automatic PAC Provisioning チェックボックスをオフにします。このオプションでは、PAC の認証機関を選択するか、PAC ファイルを手動でインポートする必要があります。
(注) LDAP ユーザ データベースでは手動 PAC プロビジョニングのみをサポートしていますが、Cisco Secure ACS 内部、Cisco Secure ODBC、および Windows NT/2000/2003 ドメイン ユーザ データベースでは自動および手動の両方の PAC プロビジョニングをサポートしています。
(注) プロビジョニングは、PAC の最初のネゴシエーション時または PAC の有効期限切れの際にのみ実行されます。PAC は、プロビジョニング後、認証トランザクションを保護するユーザ個別キーとして動作します。
ステップ 11 クライアントに、ユーザ認証ではなく、マシン証明書とマシン クレデンシャルを使用したマシン認証でドメインにログインさせるには、Use Machine Information for Domain Logon チェックボックスをオンにします。これにより、ユーザのコンピュータは、ユーザ ログオンの前にネットワークと接続できます。デフォルト設定はオフです。
(注) Use Machine Information for Domain Logon チェックボックスをオフにすると、マシン認証は実行されません。認証は、ユーザがログオンするまで実行されません。
ステップ 12 別のユーザが自分のクレデンシャルを使用して無線ネットワークにアクセスできないようにするために、ログオフ後、強制的にクライアント アダプタのアソシエーションを解除する場合は、No Network Connection Unless User is Logged In チェックボックスをオンにします。デフォルト設定はオンです。
ステップ 13 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
(注) プライベート PAC を選択し、No Network Connection Unless User Is Logged In チェックボックスをオフにすると、ドメインのログオン プロセス中や、ユーザがログオフしているときには PAC にアクセスできない場合があるというメッセージが表示されます。ログオンしていないときにも使用できるように PAC のコピーをグローバル ストアに追加するには、Yes をクリックします。PAC のコピーをグローバル ストアに追加しない場合は、No をクリックします。ドメイン ログオン中やユーザがログオンしていないときに無線接続に問題が発生した場合、グローバル PAC を使用するようユーザのプロファイルを後で再設定する必要がある場合があることを示すメッセージが表示されたら OK をクリックします。
ステップ 14 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) このパラメータは、802.1x セキュリティ オプションが選択されている場合にのみ使用できます。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 15 認証プロセスにおけるドメイン コントローラの検索時間を制限する場合は、Limit Time for Finding Domain Controller To チェックボックスをオンにします。次に、編集ボックスにドメイン コントローラの検索の上限時間(秒)を入力します。タイムアウト値を 0 に設定すると、認証プロセスでは「ドメイン コントローラの検索」手順が省略されます。
(注) 認証プロセスが「ドメイン コントローラの検索」手順に到達すると、ドメイン コントローラの検索に指定した秒数に基づいてタイマーが起動します。ドメイン コントローラが検出される前に、この値または EAP-FAST 認証のタイムアウト値に達すると、認証プロセスはタイムアウトになります。たとえば、認証のタイムアウト値が 60 秒で、ドメイン コントローラの検索のタイムアウト値が 10 秒の場合、クライアント アダプタは認証プロセス全体を完了するのに最大 60 秒費やすことができ、そのうちの最大 10 秒をドメイン コントローラの検索にあてることができます。ただし、認証が早く実行され、5 秒以内で「ドメイン コントローラの検索」手順に到達する場合もあります。このような場合、ドメイン コントローラを 10 秒以内に検出できないと、認証プロセスはわずか 15 秒でタイムアウトになります。
(注) ドメイン コントローラの検索のタイムアウト値が EAP-FAST 認証のタイムアウト値より大きい場合でも、ドメイン コントローラの検索のタイムアウト値に基づいて認証プロセスが EAP-FAST 認証のタイムアウト値以上に延長されることはありません。
(注) ログイン スクリプトやローミング デスクトップなどのドメイン サービスが必要な場合は、Limit Time for Finding Domain Controller To チェックボックスをオフにすることをお勧めします。
(注) このチェックボックスをオンにするかオフにするかに関係なく、Windows にログインしている場合、またはローカル マシンにログインしながらドメインにログインしていない場合は、「ドメイン コントローラの検索」手順は実行されません。
ステップ 16 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 17 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
ステップ 18 EAP-FAST による認証手順については、 EAP 認証の使用方法を参照してください。
EAP-TLS または PEAP 認証を有効にするには、ネットワーク デバイスが次の要件を満たしている必要があります。
• 有効な Windows ユーザ名とパスワードを持っている必要があり、パスワードは空白にすることはできません。
• 適切な証明書がコンピュータにインストールされている必要があります。EAP-TLS では Certificate Authority(CA; 認証機関)証明書とユーザ証明書の両方が必要ですが、PEAP では CA 証明書のみ必要です。
(注) 必要な証明書の取得とインポートについては、システム管理者に問い合わせください。
• マシン クレデンシャルを使用して EAP-TLS マシン認証をサポートするには、次の操作を行います。
–マシン証明書はサーバから取得する必要があります。クライアント マシンのアクセスはそのサーバ上で有効にする必要があります。
–コンピュータとユーザの両方に対する証明書ペア キーを格納している MachineKeys フォルダに対するアクセス権は、正しく設定する必要があります。フォルダのアクセス権を正しく設定する方法については、Microsoft 技術情報記事 Q278381 を参照してください。
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q278381
(注) より高位のディレクトリに対するアクセス権を変更し、それらの設定をすべてのサブディレクトリに適用した場合、MachineKeys フォルダのアクセス権を再設定する必要がある場合があります。
• クライアント アダプタが認証を試みるアクセス ポイントでは、12.00T 以降(VxWorks を実行しているアクセス ポイント)、Cisco IOS リリース 12.2(4)JA 以降(1100 シリーズ アクセス ポイント)、Cisco IOS リリース 12.2(8)JA 以降(1200 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(4)JA 以降(1130 シリーズおよび BR 1310 シリーズ アクセス ポイント)、Cisco IOS リリース 12.3(7)JA 以降(1240 シリーズ アクセス ポイント)、または Cisco IOS リリース 12.2(13)JA 以降(350 シリーズ アクセス ポイント)のバージョンのファームウェアを使用している必要があります。
(注) WPA または CCKM を使用するには、アクセス ポイントで Cisco IOS リリース 12.2(11)JA 以降のファームウェアを使用している必要があります。WPA2 を使用するには、アクセス ポイントで Cisco IOS リリース 12.3(2)JA 以降のファームウェアを使用している必要があります。
• クライアントで有効にする予定の認証タイプに対しては、すべての必要なインフラストラクチャ デバイス(アクセス ポイント、サーバ、ゲートウェイ、ユーザ データベースなど)を正しく設定する必要があります。
このプロファイルに対して EAP-TLS または PEAP 認証を有効にするときは、以下のいずれかの項の手順を実行します。
• EAP-TLS の有効化(EAP-TLS の有効化)
• PEAP(EAP-GTC)の有効化(PEAP(EAP-GTC)の有効化)
• PEAP(EAP-MSCHAP V2)の有効化(PEAP(EAP-MSCHAP V2)の有効化)
• マシン証明書を使用した PEAP(EAP-MSCHAP V2)マシン認証の有効化(マシン クレデンシャルを使用した PEAP(EAP-MSCHAP V2)マシン認証の有効化)
このプロファイルに対して EAP-TLS 認証を有効にする手順は、次のとおりです。
ステップ 1 Profile Management (Security) ウィンドウで、次のいずれかを実行します。
• WPA または WPA2 を使用せずに EAP-TLS を有効にするときは、Set Security Options で 802.1x を選択し、802.1x EAP Type ドロップダウン ボックスで EAP-TLS を選択します。
• WPA または WPA2 を使用して EAP-TLS を有効にするときは、Set Security Options で WPA/WPA2/CCKM を選択し、WPA/WPA2/CCKM EAP Type ドロップダウン ボックスで EAP-TLS を選択します。
(注) クライアント アダプタで CCKM を有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) 詳細は、「WPA および WPA2」を参照してください。
ステップ 2 Configure をクリックします。Configure EAP-TLS ウィンドウが表示されます(図5-15 を参照)。
ステップ 3 クライアントに、ユーザ認証ではなく、マシン証明書とマシン クレデンシャルを使用したマシン認証でドメインにログインさせるには、Use Machine Information for Domain Logon チェックボックスをオンにします。これにより、ユーザのコンピュータは、ユーザ ログオンの前にネットワークと接続できます。デフォルト設定はオフです。
(注) Use Machine Information for Domain Logon チェックボックスをオフにすると、マシン認証は実行されません。認証は、ユーザがログオンするまで実行されません。
ステップ 4 前の手順で Use Machine Information For Domain Logon チェックボックスをオンにした場合、ウィンドウ下部にある Always Do User Authentication チェックボックスがアクティブになります。次のいずれかを実行します。
• ユーザ名とパスワードを使用してログオンした後、クライアントに使用させる認証をマシン認証からユーザ認証に切り替えるには、 Always Do User Authentication チェックボックスをオンにします。これはデフォルト設定です。
• ユーザのコンピュータがドメインにログインした後、クライアントに引き続きマシン認証を使用させる場合は、 Always Do User Authentication チェックボックスをオフにします。
ステップ 5 セキュリティ レベルを強化するために、システムでサーバの ID を強制的に検証する場合は、
Validate Server Identity チェックボックスをオンにします。このチェックボックスをオフにした場合は、ユーザ クレデンシャルのみが検証されます。
ステップ 6 Trusted Root Certification Authorities ドロップダウン ボックスで、サーバ証明書をダウンロードした認証機関を選択します。
ステップ 7 Select a Certificate ドロップダウン ボックスでサーバ証明書を選択します。
• Server/Domain Name フィールドを空白のままにして、Trusted Root Certification Authorities ドロップダウン ボックスにリストされている認証機関で署名された証明書を提供するどのようなサーバからでも、クライアントが証明書を受け入れられるようにします。このオプションを選択することをお勧めします。
• Server/Domain Name フィールドに、クライアントが受け入れる証明書の発行元サーバのドメイン名を入力します。
ステップ 9 Login Name フィールドが自動的に記入されない場合、ご使用のユーザ名を <ユーザ名>@<ドメイン> の形式(たとえば、「jsmith@acs-test.cisco.com」)で入力します。
ステップ 10 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 11 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) このパラメータは、802.1x セキュリティ オプションが選択されている場合にのみ使用できます。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 12 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 13 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
ステップ 14 EAP-TLS による認証手順については、 EAP 認証の使用方法を参照してください。
このプロファイルに対して PEAP(EAP-GTC)認証を有効にする手順は、次のとおりです。
• WPA または WPA 2 を使用せずに PEAP(EAP-GTC)を有効にするときは、Set Security Options で 802.1x を選択し、802.1x EAP Type ドロップダウン ボックスで PEAP (EAP-GTC) を選択します。
• WPA または WPA2 を使用して PEAP(EAP-GTC)を有効にするときは、Set Security Options で WPA/WPA2/CCKM を選択し、WPA/WPA2/CCKM EAP Type ドロップダウン ボックスで PEAP (EAP-GTC) を選択します。
(注) クライアント アダプタで CCKM を有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) 詳細は、「WPA および WPA2」を参照してください。
ステップ 2 Configure をクリックします。Configure PEAP (EAP-GTC) ウィンドウが表示されます(図5-16 を参照)。
図5-16 Configure PEAP (EAP-GTC) ウィンドウ
ステップ 3 クライアントに、ユーザ認証ではなく、ユーザ クレデンシャルを使用したマシン認証でドメインにログインさせるには、Use Machine Information for Domain Logon チェックボックスをオンにします。これにより、ユーザのコンピュータは、ユーザ ログオンの前にネットワークと接続できます。デフォルト設定はオンです。
(注) Use Machine Information for Domain Logon チェックボックスをオフにすると、マシン認証は実行されません。認証は、ユーザがログオンするまで実行されません。
ステップ 4 セキュリティ レベルを強化するために、システムでサーバの ID を強制的に検証する場合は、 Validate Server Identity チェックボックスをオンにします。このチェックボックスをオフにした場合は、ユーザ クレデンシャルのみが検証されます。
ステップ 5 Trusted Root Certification Authorities ドロップダウン ボックスで、サーバ証明書をダウンロードした認証機関を選択するか、必要に応じて <Any> を選択します。
ステップ 6 使用しているユーザ データベースに応じて、Token または Static Password を選択します。
(注) Token を選んだ場合、ハードウェア トークン デバイス、または Secure Computing SofToken プログラム(リリース 2.1 以降)を使用して 1 回限りのパスワードを取得し、認証プロセス中にプロンプトが表示されたら、そのパスワードを入力する必要があります。Secure Computing PremierAccess リリース 3.1.1 以降は、サポートされる唯一のトークン サーバです。
ステップ 7 ステップ 6 で Token を選択した場合は、次のいずれかを実行します。
• クライアント アダプタのアソシエーションが解除されるたびに、ユーザにクレデンシャルの再入力を求めることなく PEAP(EAP-GTC)サプリカントが常に前のセッションの再開を試みるようにする場合は、ウィンドウの上部にある Always Resume the Secure Session チェックボックスをオンにします。セッションは、クライアントがカバレッジ内またはカバレッジ外にローミングするなどにより、アクセス ポイントと一時的に切断されたり、サスペンドまたはハイバネート モードから復帰したりした後に再開されます。これはデフォルト設定です。
• クライアント アダプタがカバレッジ外にローミングすることで一時的にアソシエーションを失ったり、サスペンドまたはハイバネート モードから復帰したりするたびに、ユーザに PEAP(EAP-GTC)ユーザ名とパスワードの再入力を求める場合は、Always Resume the Secure Session チェックボックスをオフにします。
(注) このチェックボックスをオンにすると、クライアント アダプタが瞬間的にアソシエーションを失った場合でも、ユーザはユーザ名とパスワードを再入力する必要がないので便利です。ただし、ユーザ クレデンシャルの再入力を求めずに PEAP(EAP-GTC)セッションを再開できるようにした場合、その許容時間内にデバイスを無人のままにしておくと、他の誰かが PEAP(EAP-GTC)セッションを再開してネットワークにアクセスする可能性があることに注意してください。
(注) Always Resume the Secure Session チェックボックスは、ステップ 6 で Static Password を選択した場合は無効になります。
ステップ 8 次のいずれかを実行して、内部 PEAP トンネル認証に使用するユーザ名を指定します。
• Windows ユーザ名を PEAP ユーザ名としても使用するときは、Use Windows User Name チェックボックスをオンにします。このオプションを選択すると、1 つのユーザ名を覚えておくだけで済みます。
(注) ステップ 6 で Static Password オプションを選択した場合、このチェックボックスは Use Windows User Name and Password になります。
• PEAP 認証プロセスを開始するために、通常の Windows ユーザ名とは別の PEAP ユーザ名(RADIUS サーバに登録される)を入力するときは、User Name フィールドに PEAP ユーザ名を入力します。
(注) Windows ユーザ名は自動的に表示されます。Windows ユーザ名を削除して、別の PEAP ユーザ名を入力してください。
ステップ 9 前の手順で PEAP ユーザ名を入力し、ステップ 6 で Static Password オプションを選択した場合、Password と Confirm Password フィールドに PEAP 認証パスワード(RADIUS サーバで登録したもの)を入力します。
ステップ 10 Use Windows User Name and Password チェックボックスをオフにした場合に、受け付けるネットワーク証明書を詳細に設定し、外部 PEAP トンネルの設定に使用する文字列を制御して、追加セキュリティ機能を実装する場合は、「詳細設定」の手順を実行します。
ステップ 11 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 12 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) このパラメータは、802.1x セキュリティ オプションが選択されている場合にのみ使用できます。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 13 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 14 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
ステップ 15 PEAP(EAP-GTC)を使用した認証の手順は、 EAP 認証の使用方法を参照してください。
このプロファイルに対して PEAP(EAP-MSCHAP V2)認証を有効にする手順は、次のとおりです。
• WPA または WPA2 を使用せずに PEAP(EAP-MSCHAP V2)を有効にするときは、Set Security Options で 802.1x を選択し、802.1x EAP Type ドロップダウン ボックスで PEAP (EAP-MSCHAP V2) を選択します。
• WPA または WPA2 を使用して PEAP(EAP-MSCHAP V2)を有効にするときは、Set Security Options で WPA/WPA2/CCKM を選択し、WPA/WPA2/CCKM EAP Type ドロップダウン ボックスで PEAP (EAP-MSCHAP V2) を選択します。
(注) クライアント アダプタで CCKM を有効にするには、アダプタで WPA と WPA2 のいずれを使用するかに関わらず、WPA/WPA2/CCKM セキュリティ オプションを選択する必要があります。クライアント アダプタがアソシエートするアクセス ポイントの設定により、CCKM が 802.1x、WPA、または WPA2 のいずれで使用されるかが決まります。
(注) 詳細は、「WPA および WPA2」を参照してください。
ステップ 2 Configure をクリックします。Configure PEAP (EAP-MSCHAP V2) ウィンドウが表示されます(図5-17 を参照)。
図5-17 Configure PEAP (EAP-MSCHAP V2) ウィンドウ
ステップ 3 クライアントに、ユーザ認証ではなく、ユーザ クレデンシャルを使用したマシン認証でドメインにログインさせるには、Use Machine Information for Domain Logon チェックボックスをオンにします。これにより、ユーザのコンピュータは、ユーザ ログオンの前にネットワークと接続できます。デフォルト設定はオンです。
(注) Use Machine Information for Domain Logon チェックボックスをオフにすると、マシン認証は実行されません。認証は、ユーザがログオンするまで実行されません。
ステップ 4 セキュリティ レベルを強化するために、システムでサーバの ID を強制的に検証する場合は、
Validate Server Identity チェックボックスをオンにします。このチェックボックスをオフにした場合は、ユーザ クレデンシャルのみが検証されます。
ステップ 5 Trusted Root Certification Authorities ドロップダウン ボックスで、サーバ証明書をダウンロードした認証機関を選択するか、必要に応じて <Any> を選択します。
ステップ 6 次のいずれかを実行して、ネットワーク接続を確立する方法を指定します。
• ユーザ名とパスワードを使用して接続する場合は、User Name and Password を選択し、ステップ 7 に進みます。
• コンピュータにインストールされているユーザ証明書を使用して接続する場合は、Certificate を選択し、ドロップダウン ボックスから証明書を選択して、ステップ 8 に進みます。
ステップ 7 次のいずれかを実行して、内部 PEAP トンネル認証に使用するユーザ名とパスワードを指定します。
• Windows ユーザ名とパスワードを PEAP ユーザ名とパスワードとしても使用するときは、Use Windows User Name and Password チェックボックスをオンにします。
• 別のユーザ名とパスワード(RADIUS サーバに登録される)を使用して PEAP 認証プロセスを開始する手順は、次のとおりです。
a. PEAP ユーザ名とパスワードをそれぞれのフィールドに入力します。
(注) Windows ユーザ名は自動的に表示されます。Windows ユーザ名を削除して、別の PEAP ユーザ名を入力してください。
b. Confirm Password フィールドにパスワードをもう一度入力します。
ステップ 8 証明書を選択した場合、または別のユーザ名とパスワードを入力した場合に、受け付けるネットワーク証明書を詳細に設定し、外部 PEAP トンネルの設定に使用する文字列を制御して、追加セキュリティ機能を実装する場合は、次の手順を実行します。
a. Advanced をクリックします。Configuration Settings ウィンドウが表示されます(図5-18 を参照)。
図5-18 Configuration Settings ウィンドウ
b. Configure PEAP (EAP-MSCHAP V2) ウィンドウの Trusted Root Certification Authorities ドロップダウン ボックスに一覧表示された認証機関が署名した証明書を提供する任意のサーバからの証明書をクライアントが受け入れられるようにするには、Specific Server or Domain フィールドを空白のままにします(推奨オプション)。または、クライアントが受け入れる証明書の発行元サーバのドメイン名を入力します。
c. Login Name フィールドが自動的に入力されない場合は、ユーザ名を何も追加記載せずに入力します(たとえば、「jsmith」)。
(注) 一部の RADIUS サーバでは、内部 PEAP トンネルと外部 PEAP トンネルの両方に同じ名前を入力する必要があるサーバもあります。つまり、この場合は、Configure PEAP (EAP-MSCHAP V2) ウィンドウの Login Name フィールドと User Name フィールドの両方に同じ名前を入力しなければならないことになります。詳細は、システム管理者にお問合わせください。
ステップ 9 OK をクリックして設定を保存し、Profile Management (Security) ウィンドウに戻ります。
ステップ 10 以下のいずれかを実行して Allow Association To Mixed Cells パラメータを設定します。このパラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントとアソシエートできるかどうかを示します。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されている場合は、Allow Association To Mixed Cells チェックボックスをオンにします。そうしないと、クライアントは、アクセス ポイントとの接続を確立できません。
• クライアント アダプタのアソシエート先のアクセス ポイント(またはクライアントの割り当て先となる VLAN)で WEP が Optional に設定されていない場合は、Allow Association To Mixed Cells チェックボックスをオフにします。これはデフォルト設定です。
(注) このパラメータは、802.1x セキュリティ オプションが選択されている場合にのみ使用できます。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。ただし、アクセス ポイント上の VLAN を、別々の WEP 対応と非 WEP 対応のクライアントに対して有効にすることはできます。
ステップ 11 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 12 OK をクリックして設定を保存し、Cisco Aironet Desktop Utility (Profile Management) ウィンドウに戻ります。
ステップ 13 PEAP(EAP-MSCHAP V2)による認証の手順については、 EAP 認証の使用方法を参照してください。
Profile Management (Security) ウィンドウにある 802.1x EAP Type ドロップダウン ボックスの Host Based EAP オプションを使用すると、ADU を介して設定したクライアント アダプタは、マシン クレデンシャルを使用した PEAP(EAP-MSCHAP V2)マシン認証でドメインにログインすることができます。これにより、ユーザのコンピュータは、ユーザ ログオンの前にネットワークと接続できます。この認証タイプを有効にするには、以下の手順を実行します。
(注) この手順により、マシン クレデンシャルを使用した PEAP(EAP-MSCHAP V2)マシン認証を使用できるようになります。ユーザ クレデンシャルを使用した PEAP(EAP-MSCHAP V2)マシン認証を有効にするには、「PEAP(EAP-MSCHAP V2)の有効化」を参照してください。
(注) この機能は、ユーザがホスト ベース EAP プロファイルと非ホスト ベース EAP プロファイルを切り替えるたびに Microsoft Wireless Configuration Manager の起動および停止が必要になるため、管理者特権またはパワー ユーザ特権を持つユーザのみが使用できます。適切なアクセス権がないときにホスト ベース EAP プロファイルへ、またはホスト ベース EAP プロファイルから切り替えようとすると、エラー メッセージが表示されます。
(注) Windows 2000 が稼動しているコンピュータ上でこの機能を使用するには、コンピュータに Microsoft 802.1X サプリカントがインストールされている必要があります。
(注) ホスト ベース EAP は、WPA または WPA2 での使用にはサポートされていないため、ADU の Profile Management (Security) ウィンドウにある WPA/WPA2/CCKM EAP Type オプションのリストに表示されません。
ステップ 1 Set Security Options の 802.1x と 802.1x EAP Type ドロップダウン ボックスの Host Based EAP を選択します。
ステップ 2 Group Policy Delay パラメータの値を変更するには、新しい値を入力するか、上矢印と下矢印を使用して、0 ~ 65535 秒の範囲の値を選択します(Microsoft では、30 ~ 600 秒の範囲の値のみサポートされています。デフォルト値は 60 秒です)。
Group Policy Delay パラメータにより、Windows ログオン プロセスが Group Policy を開始するまでの経過時間が指定されます。Group Policy とは、ユーザ グループの設定オプションを指定するのに管理者が使用する Windows の機能です。これは、無線ネットワーク認証が実行されるまで Group Policy の開始を遅らせるために使用されます。このプロファイルがアクティブ プロファイルとして設定されたコンピュータがリブートすると、このパラメータに設定した値が有効になります。
(注) このパラメータを Windows 2000 が稼動するコンピュータ上で使用するには、Microsoft の修正プログラムが必要です。修正プログラムの入手とインストールの詳細は、「Group Policy Delay 用の Microsoft 修正プログラムのインストール」を参照してください。
ステップ 4 Cisco Aironet Desktop Utility (Profile Management) ウィンドウでこのプロファイルを有効にします。Microsoft Wireless Configuration Manager が起動します。
ステップ 5 Start > Settings > Control Panel > Network and Dial-up Connections または Network Connections をクリックします。
ステップ 7 Properties をクリックします。Connection Properties ウィンドウが表示されます。
• Windows 2000 では、Authentication タブをクリックします。
• Windows XP では、Wireless Networks タブを選択し、Use Windows to configure my wireless network settings チェックボックスがオンになっていることを確認し、使用可能なネットワークのリストからクライアント アダプタを関連付けるアクセス ポイントの SSID をクリックし、Configure をクリックし、Authentication タブを選択します。
ステップ 9 EAP タイプには、Protected EAP (PEAP) を選択します。
ステップ 10 Protected EAP Properties ウィンドウとサブウィンドウで適切な設定を行います。
(注) PEAP(EAP-MSCHAP V2)の設定についてヘルプが必要な場合は、「PEAP(EAP-MSCHAP V2)の有効化」を参照してください。
ステップ 11 設定が完了したら、PEAP 認証が開始されます。選択した設定に応じて、PEAP ユーザ名、パスワード、およびドメイン名を尋ねるプロンプトが表示されることがあります。クレデンシャルを尋ねるポップアップ ウィンドウにアクセスできるようにするために、ADU のウィンドウを最小化します。
(注) ADU では複数のホスト ベース EAP プロファイルを持つことができますが、Microsoft Wireless Configuration Manager では 1 つの設定のみを維持します。別のホスト ベース EAP プロファイルに別の PEAP プロパティ設定を使用するには、別のホスト ベース EAP プロファイルに切り替えるたびに、前述の手順 4 以降の手順を繰り返す必要があります。
(注) ホスト ベース EAP プロファイルを有効にすると、Microsoft Wireless Configuration Manager がクライアント アダプタの認証の試行をコントロールします。ただし、非ホスト ベース EAP プロファイルを有効にしている場合、ADU がこのコントロールを引き受けます。
(注) ホスト ベース EAP プロファイルを使用しているときに問題が発生した場合は、他の任意のネットワーク接続に対して 802.1X 認証が無効になっていることを確認してください。
ユーザ クレデンシャルの認証に使用するサーバまたはドメイン名およびログイン名を指定するには(図5-19 を参照)、次の手順に従います。
図5-19 Configure Advanced Settings
ステップ 1 Specific Server or Domain フィールドは、選択した認証機関で署名された証明書を提供するすべてのサーバからクライアントが証明書を受け入れられるようにする場合は、空白のままにします。それ以外の場合は、クライアントが証明書を受け入れる特定のサーバのドメイン名を入力します。
ステップ 2 Login Name フィールドが自動的に入力されない場合は、ユーザ名を何も追加記載せずに入力します(たとえば、「jsmith」)。
特定のプロファイルに対して、静的 WEP、WPA/WPA2 パスフレーズ、または EAP 認証(LEAP、EAP-FAST、EAP-TLS、PEAP(EAP-GTC)、または PEAP(EAP-MSCHAP V2))を無効にするには、Profile Management (Security) ウィンドウで None を選択して、OK をクリックします。
(注) Profile Management (Security) ウィンドウで Pre-Shared Key (Static WEP) 以外のセキュリティ オプションを選択すると、静的 WEP が自動的に無効になります。
(注) Profile Management (Security) ウィンドウで Pre-Shared Key (Static WEP) または WPA/WPA2 Passphrase を選択すると、EAP が自動的に無効になります。
Wi-Fi Multimedia(WMM)は、Quality of Service(QoS)に対する IEEE 802.11e 無線 LAN 規格のコンポーネントです。これは、特に、プライオリティ タグとキューイングをサポートしています。QoS とは、ネットワーキングの専門家が、他のトラフィックを犠牲にして、特定のトラフィックに優先的な扱いを提供できるようにするアクセス ポイントです。QoS を使用しない場合、アクセス ポイントは、パケットの内容やサイズに関わらず、最大限のサービスを各パケットに提供します。無線 LAN に QoS を実装すると、ネットワーク パフォーマンスの予測可能性が向上し、帯域幅がより効率的に使用できるようになります。
シスコでは、コンピュータで、音声やビデオといった QoS 対応クライアント(Cisco IP SoftPhone など)に対して時間依存型のアプリケーションが稼動している場合、WMM を有効にすることをお勧めしています。
クライアントを関連付けるアクセス ポイントでは、QoS と WMM を有効にする必要があります。これらの機能は、Cisco IOS リリース 12.3(2)JA 以降のアクセス ポイントでサポートされています。これらの機能を有効にする手順については、アクセス ポイントのマニュアルを参照してください。
WMM は、クライアント アダプタ ソフトウェアで自動的にサポートされます。ただし、WMM をサポートするには、Windows QoS Packet Scheduler を有効にする必要があります。Windows 2000 または XP にて QoS Packet Scheduler を有効にするには、以下を参照してください。
(注) これを有効にする前に、QoS Packet Scheduler をインストールする必要があります。このソフトウェアは Windows XP ではプレインストールされていますが、Windows 2000 の場合にはインストールする必要があります。
Windows 2000 が稼動しているコンピュータで QoS Packet Scheduler を有効にするには、次の手順を行います。
ステップ 1 My Computer、Control Panel、および Network and Dial-up Connections をダブルクリックします。
ステップ 2 使用している無線ネットワーク接続を右クリックします。
ステップ 3 Properties をクリックします。Wireless Cisco Connection Properties ウィンドウが表示されます(図5-20 を参照)。
図5-20 Wireless Cisco Connection Properties ウィンドウ
ステップ 4 QoS Packet Scheduler がすでにインストールされている場合は、この接続で使用するコンポーネントのリストに表示されます。リストに表示されている場合は、ステップ 8 に進んでください。表示されていない場合は、次の手順に進み、ソフトウェアをインストールしてください。
ステップ 5 Install をクリックします。Select Network Component Type ウィンドウが表示されます(図5-21 を参照)。
図5-21 Select Network Component Type ウィンドウ
ステップ 6 Service をクリックし、Add をクリックします。Select Network Service ウィンドウが表示されます(図5-22 を参照)。
図5-22 Select Network Service ウィンドウ
ステップ 7 QoS Packet Scheduler をクリックし、OK をクリックします。Wireless Cisco Connection Properties ウィンドウが表示され、QoS Packet Scheduler が接続リストに表示されます。
ステップ 8 QoS Packet Scheduler チェックボックスがオンになっていない場合はオンにします。
Windows XP が稼動しているコンピュータで QoS Packet Scheduler を有効にするには、次の手順を行います。
ステップ 1 Control Panel をクリックします。
ステップ 2 Network Connections をダブルクリックします。
ステップ 3 使用している無線ネットワーク接続を右クリックします。
ステップ 4 Properties をクリックします。Wireless Network Connection Properties ウィンドウが表示されます(図5-23 を参照)。
図5-23 Wireless Network Connection Properties ウィンドウ
ステップ 5 この接続で使用するアイテムのリストに表示される QoS Packet Scheduler チェックボックスをオンにします。
Windows コントロール パネルの Cisco Aironet 802.11a/b/g Wireless Adapter Properties ウィンドウ(図5-24 を参照)では、クライアント アダプタのローミング機能を規制する 2 つのパラメータを設定することができます。
図5-24 Cisco Aironet 802.11a/b/g Wireless Adapter Properties ウィンドウ
ローミング パラメータにアクセスするには、以下の手順を行います。
ステップ 1 My Computer、Control Panel、および System をダブルクリックします。
ステップ 2 Hardware タブ、Device Manager をクリックします。
ステップ 3 Network Adapters をダブルクリックします。
ステップ 4 Cisco Aironet 802.11a/b/g Wireless Adapter を右クリックします。
ステップ 5 Properties をクリックし、Advanced タブをクリックします。Property リストにローミング パラメータが表示されます。 表5-5 は、クライアント アダプタのローミング パラメータとその説明を示しています。パラメータを変更する場合は、表の指示に従ってください。
クライアント アダプタ ソフトウェアのデフォルト設定は、高スループットを確保し、消費電力を最小限に抑えるように最適化されています。ただし、環境によっては、この設定が原因で、クライアント アダプタが現在アソシエートしているアクセスポイントに必要以上に長く留まることになる場合があります。
アプリケーションでより高速なローミング応答が要求される場合は、BSS Aging Interval パラメータと Scan Valid Interval パラメータを次のように設定します。
• BSS Aging Interval パラメータを 20 に設定する
• Scan Valid Interval パラメータを 20 に設定する
(注) 2.7.0.2 より前のクライアント ソフトウェアを使用している場合は、BSS Aging Interval パラメータを 20 に設定することはできません。この場合は 30 に設定してください。
AP カバレッジで許される場合は、次の手順に従って、ADU のクライアント プロファイルのみが 5GHz(802.11a)または 2.4GHz(802.11b/g)の帯域(両方は 不可 )を使用するように設定します。
ステップ 2 Profile Management をクリックします。
ステップ 3 変更するプロファイルを選択し、 Modify をクリックします。
ステップ 5 Wireless Mode で、使用する予定のないレートをオフにします。
CB21AG の管理に ADU を使用しない場合は、レジストリ設定を使用してレートを選択する必要があります。手順は次のとおりです。
1. regedit を起動して、次のエントリに移動します。
HKLM\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}
2. これを右クリックして Find を選択し、「NetBand」という変数を検索します。
この変数は、DriverDesc 値が「Cisco Aironet 802.11a/b/g Wireless Adapter」に設定されている 4 桁のサブキーの下にあります。
NetBand REG_SZ 変数は、サポートされているレートのビットマスクです。デフォルトでは、この変数は 10 進数の 15(0x0F)に設定されています。サポートされている値は、次のとおりです。
たとえば、11b と 11g のレートのみをサポートする場合、ビットマスクは 0x04+0x08=0x0C=12(10 進数)となります。