この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録では、Windows XP でのクライアント アダプタの設定および使用方法について説明します。
• 「概要」
この付録では、ADU ではなく Windows XP の Microsoft Wireless Configuration Manager によってクライアント アダプタに対して最小限の設定を行い、Windows XP 用に用意されているセキュリティ オプションを有効にする方法について説明します。次の 「セキュリティ機能の概要」では、十分に情報を得てから設定プロセスを開始できるよう、各オプションについて説明します。
この付録ではさらに、クライアント アダプタがアソシエートされるネットワークを指定したり、クライアント アダプタの現在のステータスを表示したりする場合に Windows XP を使用する際の基本情報も提供します。
(注) Windows XP でのクライアント アダプタの設定または使用に関するさらに詳細な情報が必要な場合は、Microsoft の Windows XP に関するマニュアルを参照してください。
Windows XP でクライアント アダプタを使用するときは、Wired Equivalent Privacy(WEP)暗号キーを使用してデータを暗号化することで、無線ネットワーク経由の転送データを保護することができます。WEP 暗号化では、送信側のデバイスが WEP キーで各パケットを暗号化し、受信側のデバイスが同じキーを使用して各パケットを復号化します。
転送データの暗号化および復号化に使用される WEP キーは、アダプタに静的に関連付けることも、EAP 認証プロセスの一部として動的に作成することもできます。使用する WEP キーのタイプは、以下の「静的 WEP キー」および「EAP(動的 WEP キーを使用)」の項を参考に決めてください。EAP を使用する動的 WEP キーでは、静的 WEP キーよりも強固なセキュリティが確保されます。
WEP キーの長さは、静的または動的にかかわらず、40 または 128 ビット長です。128 ビットの WEP キーでは、40 ビットのキーよりもセキュリティ レベルが高くなります。
無線ネットワーク内の各デバイスには、最大 4 個の静的な WEP キーを指定できます。適切なキー(相互通信を行うすべてのデバイスで同一の WEP キー)で暗号化されていないパケットを受信すると、デバイスはそのパケットを廃棄し、宛先に送信しません。
静的 WEP キーは、セキュリティ上の理由により暗号化された形で Windows デバイスのレジストリに格納されるので、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに入力し直す必要はありません。ドライバは、クライアント アダプタのレジストリ パラメータをロードして読み取ると、静的 WEP キーを検出し、復号化して、アダプタの揮発性メモリに格納します。
無線 LAN のセキュリティに関する規格は、IEEE(電気電子学会)で定義されているように、802.1X for 802.11、または単に 802.1X と呼ばれています。802.1X とそのプロトコルである拡張認証プロトコル(EAP)をサポートしているアクセス ポイントは、無線クライアントと認証サーバ間のインターフェイスとして機能します。認証サーバとは、アクセス ポイントが有線ネットワークを介して通信する RADIUS サーバなどを指します。
Windows XP でクライアント アダプタを設定する場合、次の 2 つの 802.1X 認証タイプを使用できます。
• EAP-TLS:この認証タイプは、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。認証にはクライアント証明書を使用します。
EAP-TLS をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.0 以降、Cisco Access Registrar リリース 1.8 以降があります。
• Protected EAP(または PEAP):コンピュータにインストールされているソフトウェアに応じて、以下の PEAP 認証タイプのいずれかが使用できます。
–PEAP(EAP-MSCHAP V2):この PEAP 認証タイプは、(Cisco Aironet 340、350、および CB20A クライアント アダプタの Install Wizard ファイルに含まれている)シスコの PEAP セキュリティ モジュールが、あらかじめコンピュータにインストールされていないか、Service Pack 1 for Windows XP より前にインストールされていた場合に使用できます。
PEAP(EAP-MSCHAP V2)認証は、EAP-TLS 認証がベースとなっていますが、認証にクライアント証明書ではなくパスワードを使用します。PEAP (EAP-MSCHAP V2) では、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。
PEAP(EAP-MSCHAP V2)認証をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.2 以降があります。
–PEAP(EAP-GTC):この認証タイプは、CB21AG および PI21AG クライアント アダプタを正式にサポートしていません。ただし、(Cisco Aironet 340、350、および CB20A クライアント アダプタの Install Wizard ファイルに含まれている)シスコの PEAP セキュリティ モジュールが、あらかじめコンピュータにインストールされており、かつ Windows XP Service Pack 1 より後にインストールされている場合は、正常に使用できる場合があります。
PEAP(EAP-GTC)認証は、無線 LAN を経由して One-Time Password(OTP)、Windows NT または 2000 ドメイン、LDAP ユーザ データベースをサポートするように設計されています。EAP-TLS 認証がベースとなっていますが、認証にクライアント証明書ではなくパスワードまたは PIN を使用します。PEAP(EAP-GTC)では、クライアント アダプタおよび RADIUS サーバから導出される、動的でセッションベースの WEP キーを使用してデータを暗号化します。PEAP(EAP-GTC)認証を使用する場合、ネットワークで OTP ユーザ データベースが使用されているときには、ハードウェア トークン パスワードまたはソフトウェア トークン PIN を入力し、EAP 認証プロセスを開始してネットワークにアクセスする必要があります。ネットワークで Windows NT または 2000 のドメイン ユーザ データベースあるいは LDAP ユーザ データベース(NDS など)が使用されているときは、ユーザ名、パスワード、およびドメイン名を入力して認証プロセスを開始する必要があります。
PEAP(EAP-GTC)認証をサポートする RADIUS サーバには、Cisco Secure ACS リリース 3.1 以降、Cisco Access Registrar リリース 3.5 以降があります。
アクセス ポイントで EAP を有効にし、Windows XP を使用してクライアント アダプタを EAP-TLS または PEAP に設定すると、ネットワークに対する認証は、次のシーケンスで実行されます。
1. クライアント アダプタがアクセス ポイントとアソシエートし、認証プロセスを開始する。
(注) クライアントと RADIUS サーバの間で認証が成功するまで、クライアントはネットワークにフル アクセスできません。
2. アクセス ポイント経由で通信する場合、クライアントと RADIUS サーバは、パスワード(PEAP)または証明書(EAP-TLS)を認証用の共有秘密キーにして、認証プロセスを完了します。パスワードはプロセス中には送信されません。
3. 認証が成功すると、クライアントと RADIUS サーバは、クライアントに固有の動的なセッションベース WEP キーを取り出します。
4. RADIUS サーバは、有線 LAN 上の安全なチャネルを使用してアクセス ポイントにキーを送信します。
5. セッションの間、アクセス ポイントとクライアントはこのキーを使用して、相互に伝送するすべてのユニキャスト パケットの暗号化または復号化を行います。また、アクセス ポイントにブロードキャストが設定されている場合は、パケットをブロードキャストします。
(注) 802.1X 認証の詳細は、IEEE 802.11 規格を参照してください。RADIUS サーバの詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7ab.html
Wi-Fi Protected Access(WPA)は、無線 LAN システムのデータ保護やアクセス制御を提供する、Wi-Fi Alliance による規格ベースのセキュリティ ソリューションです。IEEE 802.11i 規格に適合していますが、規格の承認に先立って実装されました。WPA では、データ保護に Temporal Key Integrity Protocol(TKIP)や Message Integrity Check(MIC)を使用し、認証済みキー管理に 802.1X を使用しています。
WPA では、2 種類の相互に排他的なキー管理がサポートされています。その 2 つとは、WPA と WPA パスフレーズです(WPA パスフレーズは、WPA 事前共有キーまたは WPA-PSK とも呼ばれます)。WPA を使用する場合、クライアントと認証サーバは、EAP 認証方式で相互認証を行い、Pairwise Master Key(PMK)を生成します。このサーバでは PMK を動的に生成して、アクセス ポイントに渡します。しかし、WPA パスフレーズを使用する場合には、クライアントとアクセス ポイントの両方でパスフレーズ(または事前共有キー)を設定し、そのパスフレーズが PMK として使用されます。
WPA を使用するには、コンピュータで Windows XP Service Pack 2 が動作している必要があります。
(注) WPA はアクセス ポイントでも有効にする必要があります。アクセス ポイントでは、Cisco IOS リリース 12.2(11)JA 以降を使用して WPA を有効化している必要があります。この機能を有効にする手順については、アクセス ポイントのマニュアルを参照してください。
Windows XP でクライアント アダプタを設定する手順は、次のとおりです。
(注) これらの手順は、Windows XP のカテゴリ表示ではなく、クラシック表示を使用していることを想定しています。
クラシック表示でない場合は、表示されるウィンドウが、この項で示すものと異なります。
(注) EAP-TLS または PEAP 認証を有効にする場合は、コンピュータに適切な証明書をインストールする必要があります。EAP-TLS では Certificate Authority(CA; 認証機関)証明書とユーザ証明書の両方が必要ですが、PEAP では CA 証明書のみ必要です。必要な証明書の取得とインポートについては、システム管理者に問い合わせください。
ステップ 1 クライアント アダプタのドライバがインストールされており、クライアント アダプタが Windows XP デバイスに挿入されていることを確認します。
ステップ 2 My Computer、Control Panel、および Network Connections をダブルクリックします。
ステップ 3 Wireless Network Connection を右クリックします。
ステップ 4 Properties をクリックします。Wireless Network Connection Properties ウィンドウが表示されます。
ステップ 5 Wireless Networks タブをクリックします。次のウィンドウが表示されます(図E-1 を参照)。
図E-1 Wireless Network Connection Properties ウィンドウ(Wirelss Networks タブ)
ステップ 6 Use Windows to configure my wireless network settings チェックボックスがオンになっていることを確認してください。
ステップ 7 使用可能なネットワークのリストから、クライアント アダプタをアソシエートするアクセス ポイントの SSID を選択し、Configure をクリックします。使用するアクセス ポイントの SSID がリストにない場合や、アドホック ネットワーク(アクセス ポイントを使用しないコンピュータ間ネットワーク)でクライアント アダプタを使用する場合は、Add をクリックします。
(注) 使用可能なネットワークのリストに表示するには、SSID に対してアクセス ポイントの Allow Broadcast SSID to Associate オプションを有効にする必要があります。
Wireless Network Properties ウィンドウが表示されます(図E-2 を参照)。
図E-2 Wireless Netowrk Properties ウィンドウ(Association タブ)
• 使用可能なネットワークのリストから SSID を選択した場合は、SSID が Network name(SSID)フィールドに表示されることを確認します。
• Add をクリックした場合は、アクセス ポイントまたはクライアント アダプタをアソシエートするアドホック ネットワークの大文字と小文字を区別した SSID を Network name(SSID)フィールドに入力します。
ステップ 9 アドホック ネットワークでクライアント アダプタを使用する場合は、ウィンドウの下部にある This is a computer-to-computer (ad hoc mode) network; wireless access points are not used チェックボックスをオンにします。
ステップ 10 Network Authentication ドロップダウン リストから、次のいずれかのオプションを選択します。
• Open:WEP の設定に関係なく、クライアント アダプタは、アクセス ポイントとの認証および通信の試みが実行できます。ただし、通信できるのは、アダプタの WEP キーがアクセス ポイントの WEP キーと一致する場合のみです。WEP キーを使用していないアダプタは、WEP を使用しているアクセス ポイントの認証を行いません。逆もまた同じです。静的な WEP を使用する場合、または WPA なしで EAP 認証を行う場合は、このオプションを選択することをお勧めします。
• Shared:クライアント アダプタは同じ WEP キーを持つアクセス ポイントだけを認証し、通信することができます。Shared Key 認証は、セキュリティ上のリスクが伴うので、使用しないことをお勧めします。
(注) クライアント アダプタのネットワーク認証設定は、通信するアクセス ポイントの設定と一致している必要があります。そうでない場合、クライアント アダプタがアクセス ポイントを認証できないことがあります。
(注) Shared key 認証では WEP キーが必要とされるにもかかわらず、EAP 認証が完了しないと EAP-TLS に対する WEP キーが設定されないので、EAP-TLS では Shared Key 認証を使用できません。
• WPA:WPA を有効にします。これにより、WPA を使用してクライアント アダプタをアクセス ポイントにアソシエートできます。
• WPA-PSK:WPA-PSK(WPA 事前共有キー)を有効にします。これにより、WPA-PSK を使用してクライアント アダプタをアクセス ポイントにアソシエートできます。
(注) WPA-None オプションは、CB21AG または PI21AG クライアント アダプタではサポートされていません。
(注) WPA および WPA-PSK の詳細は、「WPA」を参照してください。
ステップ 11 Data encryption ドロップダウン リストから、次のいずれかのオプションを選択します。
• Disabled:クライアント アダプタでデータの暗号化を使用できません。Network Authentication で Open または Shared が選択されている場合だけこのオプションを選択できます。
• WEP:クライアント アダプタで静的または動的な WEP を使用できます。Open 認証の場合、このオプションを選択することをお勧めします。
• TKIP:クライアント アダプタで Temporal Key Integrity Protocol(TKIP)を使用できます。クライアント アダプタがアソシエートするアクセス ポイントが AES をサポートする場合以外は、WPA および WPA-PSK を使用するには、このオプションを選択することをお勧めします
• AES:クライアント アダプタで Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用できます。このオプションを使用すると、TKIP よりも強力な暗号化メカニズムが提供されます。そのため、クライアント アダプタがアソシエートするアクセス ポイントが AES をサポートする場合、WPA および WPA-PSK を使用するには、このオプションを選択することをお勧めします
ステップ 12 静的な WEP を使用する場合は、次の手順に従って、静的な WEP キーを入力します。
(注) 動的な WEP を使用する EAP-TLS または PEAP 認証を使用する場合は、ステップ 13 に進みます。
a. The key is provided for me automatically チェックボックスがオフになっていることを確認します。
b. アクセス ポイント(インフラストラクチャ ネットワーク内)またはその他のクライアント(アドホック ネットワーク内)の WEP キーをシステム管理者から取得し、Network key フィールドと Confirm network key フィールドの両方に入力します。新しい静的 WEP キーを入力するには、次のガイドラインに従ってください。
• WEP キーには、次の文字数が含まれている必要があります。
–40 ビット キーの場合、10 桁の 16 進数文字または 5 文字の ASCII 文字
例:5A5A313859(16 進文字)または ZZ18Y(ASCII 文字)
–128 ビット キーの場合、26 桁の 16 進数文字または 13 文字の ASCII 文字
例:5A583135333554595549333534(16 進文字)または ZX1535TYUI354(ASCII 文字)
(注) ASCII テキスト WEP キーは、Cisco Aironet 1200 シリーズ アクセス ポイントではサポートされていないので、このシリーズのアクセス ポイントでクライアント アダプタを使用する場合は、16 進文字を入力する必要があります。
• クライアント アダプタの WEP キーは、インフラストラクチャ モードの場合は通信先のアクセス ポイントと同じキーに、アドホック モードの場合は通信先のクライアントと同じキーに設定する必要があります。
c. Key index (advanced) フィールドで、作成する WEP キーの番号を選択します(1、2、3、または 4)。
(注) クライアント アダプタとアクセス ポイント(インフラストラクチャ ネットワーク内)またはその他のクライアント(アドホック ネットワーク内)の両方に、同じ番号の WEP キーを割り当てる必要があります。
d. OK をクリックして設定を保存し、この SSID を preferred networks(図E-1 を参照)のリストに追加します。静的な WEP の設定はこれで完了です。クライアント アダプタは、ネットワークへのアソシエーションを、示された順序で自動的に試みます。
ステップ 13 WPA-PSK オプションを選択した場合、アクセス ポイントの事前共有キーをシステム管理者から取得し、Network key フィールドと Confirm network key フィールドの両方に入力します。次のガイドラインに従って事前共有キーを入力します。
• 事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数が含まれている必要があります。
• クライアント アダプタの事前共有キーは、通信先のアクセス ポイントで使用されている事前共有キーと一致している必要があります。
ステップ 14 動的な WEP を使用する EAP-TLS、または PEAP 認証を使用する場合は、The key is provided for me automatically チェックボックスをオンにします。
(注) WPA または WPA-PSK を選択している場合、このパラメータは使用できません。
ステップ 15 EAP 認証を使用する場合は、次のいずれかを実行します。
• EAP-TLS 認証を使用する場合は、「EAP-TLS 認証の有効化」の手順に従ってください。
• PEAP 認証を使用する場合は、「PEAP 認証の有効化」の手順に従ってください。
初期設定が完了したら、次の手順に従って、クライアント アダプタが EAP-TLS 認証を使用するための準備をします。
ステップ 1 Wireless Network Properties ウィンドウで Authentication タブをクリックします。次のウィンドウが表示されます(図E-3 を参照)。
図E-3 Wireless Network Properties ウィンドウ(Authentication タブ)
ステップ 2 Association ウィンドウで WPA オプションを選択していない場合は、Enable IEEE 802.1x authentication for this network チェックボックスをオンにします。
ステップ 3 EAP タイプには、Smart Card or other Certificate を選択します。
ステップ 4 Properties をクリックします。Smart Card or other Certificate Properties ウィンドウが表示されます(図E-4 を参照)。
図E-4 Smart Card or other Certificate Properties ウィンドウ
ステップ 5 Use a certificate on this computer オプションを選択します。
ステップ 6 Use simple certificate selection (Recommended) チェックボックスをオンにします。
ステップ 7 サーバの証明書評価が要求される場合は、Validate server certificate チェックボックスをオンにします。
ステップ 8 接続するサーバ名を指定する場合は、Connect to these servers チェックボックスを選択し、チェックボックス内のフィールドに適切なサーバ名を入力します。
(注) ここでサーバ名を入力すると、クライアント アダプタが入力したサーバ名と一致しないサーバに接続したときに、認証プロセスの間に接続の続行またはキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間に限り接続が確立されます。
ステップ 9 Trusted Root Certification Authorities フィールドで、サーバ証明書をダウンロードした認証局の名前の隣にあるチェックボックスをオンにします。
(注) このチェックボックスがオフのままの場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 10 各ウィンドウで OK をクリックして、設定を保存します。これで、設定は完了です。
ステップ 11 「EAP 認証プロセスを開始するには証明書の受け入れが必要である」という意味のポップアップ メッセージがシステム トレイの上に表示された場合は、メッセージをクリックし、その指示に従って証明書を受け入れます。
(注) 以後は、認証の際に証明書を受け入れるように指示されることはありません。1 つを受け入れると、次から同じ証明書が使用されます。
ステップ 12 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。
ステップ 13 クライアント アダプタが接続されるサーバを示すメッセージが表示され、それが接続用の正しいサーバの場合は、OK をクリックして、接続を承認してください。そうでない場合は、Cancel をクリックしてください。
これで、クライアント アダプタは EAP 認証を行いました。
(注) コンピュータをリブートして Windows ユーザ名およびパスワードを入力するたびに、EAP 認証プロセスが自動的に開始され、クライアント アダプタは EAP 認証を行います。
ステップ 14 認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが承認されている場合は、ステータスは Authentication succeeded となります。
初期設定が完了したら、次の手順に従って、クライアント アダプタが PEAP 認証を使用するための準備をします。
ステップ 1 Wireless Network Properties ウィンドウで Authentication タブをクリックします。次のウィンドウが表示されます(図E-5 を参照)。
図E-5 Wireless Network Properties ウィンドウ(Authentication タブ)
ステップ 2 Association ウィンドウで WPA オプションを選択していない場合は、Enable IEEE 802.1x authentication for this network チェックボックスをオンにします。
ステップ 3 EAP タイプには、コンピュータにインストールされているソフトウェアに応じて、次のいずれかを選択します。
• Protected EAP(PEAP):PEAP(EAP-MSCHAP V2)にはこのオプションが表示されます。
• PEAP:PEAP(EAP-GTC)にはこのオプションが表示されます。
(注) PEAP(EAP-GTC)は、CB21AG および PI21AG クライアント アダプタを正式にサポートしていません。ただし、(Cisco Aironet 340、350、および CB20A クライアント アダプタの Install Wizard ファイルに含まれている)シスコの PEAP セキュリティ モジュールが、あらかじめコンピュータにインストールされており、しかも Windows XP Service Pack 1 より後にインストールされている場合は、正常に使用できる場合があります。
• Protected EAP(PEAP)を選択する場合は、「PEAP(EAP-MSCHAP V2)の有効化」の項の手順に従ってください。
• PEAP を選択する場合は、「PEAP(EAP-GTC)の有効化」の手順に従ってください。
PEAP(EAP-MSCHAP V2)を有効にする手順は、次のとおりです。
ステップ 1 Properties をクリックします。Protected EAP Properties ウィンドウが表示されます(図E-6 を参照)。
図E-6 Protected EAP Properties ウィンドウ
ステップ 2 サーバの証明書評価が要求される場合は、Validate server certificate チェックボックスをオンにします(推奨)。
ステップ 3 接続するサーバ名を指定する場合は、Connect to these servers チェックボックスを選択し、フィールドに適切なサーバ名を入力します。
(注) ここでサーバ名を入力すると、クライアント アダプタが入力したサーバ名と一致しないサーバに接続したときに、認証プロセスの間に接続の続行またはキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間に限り接続が確立されます。
ステップ 4 Trusted Root Certification Authorities フィールドで、サーバ証明書をダウンロードした認証局を選択します。
ステップ 5 Select Authentication Method ドロップダウン ボックスで、Secured password (EAP-MSCHAP v2) を選択します。
ステップ 6 Configure をクリックします。EAP MSCHAPv2 Properties ウィンドウが表示されます(図E-7 を参照)。
図E-7 EAP MSCHAPv2 Properties ウィンドウ
ステップ 7 Automatically use my Windows logon name and password (and domain if any) チェックボックスがオンになっていることを確認します。
ステップ 8 各ウィンドウで OK をクリックして、設定を保存します。これで、設定は完了です。
ステップ 9 EAP 認証プロセスが自動的に開始され、クライアント アダプタは Windows クレデンシャルを使用して EAP 認証を行います。認証を検証するには、My Computer、Control Panel、Network Connections をダブルクリックします。ステータスが Wireless Network Connection の右側に表示されます。View および Refresh をクリックして、現在のステータスを入手してください。クライアント アダプタが承認されている場合は、ステータスは Authentication succeeded となります。
PEAP(EAP-GTC)を有効にする手順は、次のとおりです。
ステップ 1 Properties をクリックします。PEAP Properties ウィンドウが表示されます(図E-8 を参照)。
ステップ 2 サーバの証明書評価が要求される場合は、Validate server certificate チェックボックスをオンにします(推奨)。
ステップ 3 接続するサーバ名を指定する場合は、Connect only if server name ends with チェックボックスをオンにし、チェックボックスの下のフィールドに適切なサーバ名の接尾辞を入力します。
(注) ここでサーバ名を入力すると、クライアント アダプタが入力したサーバ名と一致しないサーバに接続したときに、認証プロセスの間に接続の続行またはキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間に限り接続が確立されます。
ステップ 4 サーバ証明書をダウンロードした認証機関の名前が Trusted root certificate authority(CA)フィールドに表示されていることを確認します。必要に応じて、ドロップダウン メニューで矢印をクリックして適切な名前を選択します。
(注) このフィールドが空白の場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 5 上記のフィールドで指定した信頼できるルート証明書を証明書サーバが必ず使用するようにするには、Connect only if server is signed by specified trusted root CA チェックボックスをオンにします。これによって、クライアントと不正なアクセス ポイントとの接続を防止できます。
ステップ 6 現在、使用可能な第 2 フェーズの EAP タイプは、Generic Token Card だけです。Properties をクリックします。Generic Token Card Properties ウィンドウが表示されます(図E-9 を参照)。
図E-9 Generic Token Card Properties ウィンドウ
ステップ 7 ユーザ データベースに応じて、Static Password (Windows NT/2000、LDAP) または One Time Password オプションを選択します。
• ステップ 7 で Static Password (Windows NT/2000, LDAP) オプションを選択した場合、ステップ 9 に進みます。
• ステップ 7 で One Time Password オプションを選択した場合、次のチェックボックスのいずれか、または両方を選択し、1 回限りのパスワードでサポートされるトークンの種類を指定します。
–Support Hardware Token:ハードウェア トークン デバイスは 1 回限りのパスワードを取得します。各自のハードウェア トークン デバイスを使用して 1 回限りのパスワードを取得し、ユーザ クレデンシャルの入力が要求された場合はそのパスワードを入力する必要があります。
–Support Software Token:PEAP サプリカントは、ソフトウェア トークン プログラムで動作して、1 回限りのパスワードを取得します。1 回限りのパスワードではなく、PIN だけを入力します。このチェックボックスをオンにした場合、Supported Type ドロップダウン ボックスから、クライアント側でインストールされているソフトウェア トークン ソフトウェア(Secure Computing SofToken バージョン 2.1、Secure Computing SofToken II 2.0、または RSA SecurID Software Token v 2.5 など)も選択する必要があります。また Secure Computing SofToken バージョン 2.1 を選択した場合、Browse ボタンでソフトウェア プログラム パスを探す必要があります。
(注) SofToken Program Path フィールドは、Secure Computing SofToken バージョン 2.1 以外のソフトウェア トークン プログラムが選択されている場合は使用できません。
ステップ 9 各ウィンドウで OK をクリックして、設定を保存します。これで、設定は完了です。
ステップ 10 PEAP(EAP-GTC)を使用した認証方法の詳細は、『Cisco Aironet 340, 350, and CB20A Wireless LAN Client Adapters Installation and Configuration Guide for Windows』(OL-1394-07 以降)の 第6 章 を参照してください。
Windows XP では、クライアント アダプタのドライバは、優先するネットワーク(図E-1 を参照)のリスト内の最初のネットワークへのアソシエーションを自動的に試行します。アダプタがアソシエーションに失敗するか、アソシエーションが失われると、preferred networks のリスト内の次のネットワークに自動的に切り替わります。アクセス ポイントにアソシエートされている限り、アダプタはネットワークを切り替えません。クライアント アダプタを強制的に別のアクセス ポイントにアソシエートするには、使用可能なネットワークのリストから別のネットワークを選択する必要があります(その後、Configure および OK をクリック)。
クライアント アダプタのステータスを表示するには、Windows のシステム トレイで 2 台のコンピュータが接続されているアイコンをクリックします。Wireless Network Connection Status ウィンドウが表示されます(図E-10 を参照)。
図E-10 Wireless Network Connection Status ウィンドウ