この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、EAP 認証を使用するよう設定されたプロファイルが選択される際に、発生するイベントのシーケンスおよびとるべきアクションについて説明します。
• 「概要」
この章では、EAP 認証を使用するプロファイルを選択した直後、およびクライアント アダプタを取り出して再挿入した後、Windows CE デバイスをリセットした後、またはユーザ名とパスワードの期限切れが通知された後に発生するイベントのシーケンスについて説明します。 この章はプロファイルの認証タイプ別に、次の 3 つの項目に分けられます。
• EAP-TLS の使用方法(EAP-TLS の使用)
• PEAP の使用方法(PEAP の使用方法)
各プロファイルの認証タイプの手順に従って、認証を正しく実行します。
(注) 認証中にエラーメッセージが表示される場合は、その意味と推奨される対処方法について トラブルシューティングを参照してください。
(一時ユーザ名とパスワードによる)LEAP 認証を使用するプロファイルを選択した後、またはクライアント アダプタを取り出して再挿入した後、またはこのプロファイルを選択している間に Windows CE デバイスをリセットした場合、次の手順に従って LEAP 認証を実行します。
ステップ 1 [Wireless Login Module]画面が表示されます(図 6-1を参照)。
図 6-1 [Wireless Login Module]画面
(注) WLM は、[スタート]>[プログラム]>[Cisco]>[Wireless Login Module]の順に選択しても起動できます。 この手順は、WLM を起動した後に不注意に終了してしまった場合や、別のログインが必要なネットワークのエリアに移動した場合などに使用します。
ステップ 2 システム管理者から LEAP ユーザ名とパスワードを取得します。
(注) RADIUS サーバのホスト アカウントには必ずしもパスワードが設定されているわけではないので、パスワードの入力は任意です。
ステップ 3 [User Name]フィールドに LEAP ユーザ名を入力します。
(注) ユーザ名とパスワードには、大文字と小文字を区別する 32 文字までの英数字を使用できます。
(注) PPC 2002 デバイス を使用し、ドメインが RADIUS サーバ アカウントによって指定される場合、ユーザ名の前にドメイン名を入力し、その 2 つをフォワード スラッシュで区切ります(例、domain/username)。
ステップ 4 RADIUS サーバ アカウントがパスワードを使用して設定されている場合、[Password]フィールドに LEAP パスワードを入力します。
(注) パスワードとして入力した文字は、セキュリティ上の理由から、アスタリスクで表示されます。
ステップ 5 [OK]をクリックします。 正しく入力されたユーザ名およびパスワードは、クライアント アダプタの揮発性メモリに書き込まれます。 ユーザ名とパスワードは、別のプロファイルを選択するか、クライアント アダプタを取り出し再挿入する、または Windows CE デバイスをリセットするまでは、クライアント アダプタで有効です。
(注) LEAP セッションを終了する場合は、[Logout]ボタンをクリックします。 WLM を終了する場合は、[Cancel]ボタンをクリックします。
ステップ 6 次の 3 通りのシナリオのいずれかが起こります。
1. クライアント アダプタは、入力したユーザ名とパスワードを使用して RADIUS サーバとの認証を行い、動的なセッションベースの WEP キーを受け取る。[ACU Profiles]画面に、クライアント アダプタがアクセス ポイントで認証されたかどうかが示されます。
2. ユーザ名とパスワードを間違って入力したり、これらがネットワーク上の RADIUS サーバで無効だったりする場合は、[Wireless Login Module]画面が再表示されて、ログインが不正であることが通知されます。 この場合は、ただちにユーザ名とパスワードを再入力することによって、再びログインできます。
3. クライアント アダプタがアクセス ポイントの通信範囲外にある場合などは、タイムアウトによって認証が失敗します。 30 秒後に、認証がタイムアウトになり、WLM を再度実行する必要があることを示すメッセージが表示されます。
(保存されたユーザ名とパスワードによる)LEAP 認証を使用するプロファイルを選択した後、またはクライアント アダプタを取り出して再挿入した後、またはこのプロファイルを選択している間に Windows CE デバイスをリセットした場合、クライアント アダプタは自動的に LEAP 認証を行います。[ACU Profiles]画面に、クライアント アダプタがアクセス ポイントで認証されたかどうかが示されます。
(注) ユーザ名またはパスワードを間違って入力したり、これらがネットワーク上の RADIUS サーバで無効だったりする場合は、[Wireless Login Module]画面が再表示されて、ログインが不正であることが通知されます。[Cancel]をクリックし、[ACU Properties]画面でユーザ名とパスワードを変更し、[OK]をクリックします。
(注) LEAP セッションを終了する場合、[Start]>[Programs]>[Cisco]>[Wireless Login
Module]を選択し、[Wireless Login Module]画面の[Logout]ボタンをクリックします。
ホストベースの EAP 認証を使用するプロファイルを選択し、EAP-TLS のカードを設定した後で、次の手順に従って EAP 認証を実行します。
(注) この手順は、プロファイル選択、カードの取り出しと再挿入、またはリセット後に適用可能です。
ステップ 1 「EAP 認証プロセスを開始するには証明書の受け入れが必要である」という意味のメッセージが表示された場合は、メッセージをクリックし、その指示に従って証明書を受け入れます。
(注) 以後は、認証の際に証明書を受け入れる必要はありません。 1つを受け入れると、次から同じ証明書が使用されます。
ステップ 2 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、[OK]をクリックして、接続を承認してください。 それ以外の場合は、[Cancel]をクリックします。
ステップ 3 クライアント アダプタが接続されたサーバを示すメッセージが表示され、それが接続する正しいサーバの場合は、[OK]をクリックして、接続を承認してください。 それ以外の場合は、[Cancel]をクリックします。
ステップ 4 [User Logon]画面が表示されます(図 6-2)。
ステップ 5 それぞれのフィールドに EAP-TLS ユーザ名とオプションのドメイン名(RADIUS サーバに登録)を入力します。 たとえば EAP-TLS ユーザ名が jsmith、ドメイン名が corporate であれば、[User Name]フィールドに jsmith を、[Domain]フィールドに corporate を入力します。
(注) ネットワークが Cisco Secure ACS サーバを使用している場合、[Domain]フィールドを空白にし、[User Name]フィールドには username@fully.qualified.domain のように、完全修飾ドメイン名を入力します。 たとえば EAP-TLS ユーザ名が jsmith、ドメイン名が corporate on Cisco.com であれば、[User Name]フィールドに jsmith@corporate.cisco.com を入力し、[Domain]フィールドは空白にしておきます。
ステップ 6 [OK]をクリックします。 これで、クライアント アダプタは EAP 認証を行いました。 認証を確認するには、[Start]>[Programs]>[Cisco]>[AuthMgr]を選択します。 画面の下の[Status]フィールドに、認証のステータスが表示されます。 認証が成功した場合は、[Status]フィールドに
[Authenticated]が表示され、[IP Address]フィールドにクライアント アダプタの IP アドレスが表示されます。
ホストベースの EAP 認証を使用するプロファイルを選択し、PEAP のカードを設定した後で、次の手順に従って EAP 認証を実行します。
(注) 次の手順は、Windows NT または 2000 ドメイン、LDAP、または OTP ユーザ データベースで、プロファイルの選択、カードの取り出しと再挿入、またはリセットの後に適用できます。
ステップ 1 証明書または他のクレデンシャルを選択して、ネットワークにアクセスする必要がある旨のメッセージが表示された場合、このメッセージを受け付けます。
ステップ 2 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、[OK]をクリックして、接続を承認してください。 それ以外の場合は、[Cancel]をクリックします。
ステップ 3 クライアント アダプタが接続されたサーバを示すメッセージが表示され、それが接続する正しいサーバの場合は、[OK]をクリックして、接続を承認してください。 それ以外の場合は、[Cancel]をクリックします。
ステップ 4 [Static Password]画面が表示されます(図 6-3を参照)。
(注) ワイヤレス ネットワークのログオン情報を処理するように要求するメッセージが表示された場合、このメッセージを受け付けます。 その後、[Static Password]画面が表示されます。
ステップ 5 それぞれのフィールドに PEAP ユーザ名とオプションのドメイン名(RADIUS サーバに登録)を入力します。
ステップ 6 該当する場合は、[Domain]フィールドにドメイン名を入力します。
(注) ドメイン名は OTP データベースには必要ありません。
ステップ 7 [OK]をクリックします。 これで、クライアント アダプタは EAP 認証を行いました。 認証を確認するには、[Start]>[Programs]>[Cisco]>[AuthMgr]を選択します。 画面の下の[Status]フィールドに、認証のステータスが表示されます。 認証が成功した場合は、[Status]フィールドに[Authenticated]が表示され、[IP Address]フィールドにクライアント アダプタの IP アドレスが表示されます。
PEAP 認証に Wndows NT または 2000 ドメイン データベースを使用し、現在のユーザ名のパスワードの佑子期限が経過した場合、次の手順に従ってパスワードを変更します。
ステップ 1 [Change Password]画面が表示され(図 6-4を参照)、パスワードの有効期限が過ぎたことを示す場合、[Old Password]フィールドに古いパスワードを入力します。
ステップ 2 [New Password]画面と[Confirm New Password]画面に新しいパスワードを入力します。
(注) Windows NT または 2000 ドメイン ユーザ データベースでもパスワードが変更されます。
ステップ 3 [OK]をクリックします。 クライアント アダプタでは新しいパスワードを使用して認証が行われます。