この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、特定プロファイルの構成パラメータを設定する方法について説明します。
• 「概要」
[Profile Manager]画面でプロファイルの新規作成または既存プロファイルの編集を選択すると、括弧で囲まれたユーザ プロファイル名を持つ[Properties]画面が表示されます。 これらの画面で、そのプロファイルの設定パラメータを設定できます。
(注) 変更しない設定パラメータには、デフォルト値が使用されます。
(注) 複数の[Properties]画面でパラメータを設定する場合は、すべての画面の設定を終了してから[OK]をクリックします。[OK]をクリックすると、[Profile Manager]画面に戻ります。
次に示す各[Properties]画面には、クライアント アダプタの特定の機能に影響を与えるパラメータが含まれています。
• [System Parameters]:クライアント アダプタをワイヤレス ネットワークで使用できるように準備します。
• [RF Network]:クライアント アダプタのデータの送受信方法を制御します。
• [Advanced(Infrastructure)]:インフラストラクチャ ネットワーク内でのクライアント アダプタの動作を制御します。
• [Advanced(Ad Hoc)]:アドホック(ピアツーピア)ネットワーク内でのクライアント アダプタの動作を制御します。
• [Network Security]:クライアント アダプタのアクセス ポイントとの結合方法、ワイヤレス ネットワークでの認証方法、データの暗号化および復号化方法を制御します。
表 5-1 を使用すると、各[Properties]画面のパラメータを設定する手順をすばやく見つけることができます。
|
|
---|---|
[System Parameters]画面(図 5-1)を使用すると、クライアント アダプタをワイヤレス ネットワーク用に準備するパラメータを設定できます。 この画面は、プロファイルを新規作成して保存するか、[Profile Manager]画面で[Edit]をクリックすると表示されます。
表 5-2 は、クライアント アダプタのシステム パラメータを示しています。 パラメータを変更する際は、表内の指示に従ってください。
次の項で追加パラメータを設定するか、 [OK] をクリックして[Profile Manager]画面に戻ります。[Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
[RF Network]画面(図 5-2)では、クライアント アダプタのデータの送受信方法とタイミングを制御するパラメータを設定できます。 この画面にアクセスするには、[Properties]画面から[ RF
Network]タブを選択します。
表 5-3 は、クライアント アダプタの RF ネットワーク パラメータとその説明を示しています。 パラメータを変更する際は、表内の指示に従ってください。
|
|
||
---|---|---|---|
クライアント アダプタがアクセス ポイント(インフラストラクチャ モードの場合)または他のクライアント(アドホック モードの場合)に対してパケットを送受信するときの速度を指定します。 インフラストラクチャ モードの場合は[Auto Rate Selection]を選択し、アドホック モードの場合は特定のデータ レートを設定することをお勧めします。 オプション: [Auto Rate Selection]、[1 Mbps Only]、[2 Mbps Only]、[5.5 Mbps Only]、[11 Mbps Only](2.4GHz クライアント アダプタ)[Auto Rate Selection]、[6 Mbps Only]、[9 Mbps Only]、[12 Mbps Only]、[18 Mbps Only]、[24 Mbps Only]、[36 Mbps Only]、[48 Mbps Only]、または[54 Mbps Only](5GHz クライアント アダプタ) |
|||
|
説明 |
||
クライアント アダプタ |
クライアント アダプタ |
||
可能な場合は 11Mbps(2.4GHz クライアント アダプタの場合)または 54Mbps(5GHz クライアント アダプタの場合)のデータ転送を行いますが、必要に応じてデータ レートを下げます。 |
|||
[1 Mbps Only(2.4-GHz クライアント アダプタの場合)]または[6 Mbps Only(5-GHz クライアント アダプタの場合)]オプションよりも通信範囲はやや狭くなりますが、スループットは高くなります。 |
|||
(注) クライアント アダプタのデータ レートは、[Auto Rate Selection]に設定するか、通信先のアクセス ポイントと同じレート(インフラストラクチャ モードの場合)または他のクライアントと同じレート(アドホック モードの場合)にする必要があります。 そうしないと、クライアント アダプタが通信先と結合できない可能性があります。 |
|||
このチェックボックスを選択すると、クライアント アダプタが短い無線ヘッダーを使用するように設定されます。 ただし、アクセス ポイントも短い無線ヘッダーをサポートしており、それを使用中である場合に限り、アダプタは短い無線ヘッダーを使用できます。 長いヘッダーを使用中のアクセス ポイントに結合しているクライアントが 1 つでもあると、クライアントとアクセス ポイントの両方で短い無線ヘッダーが有効であっても、そのセル内のクライアントはすべて長いヘッダーを使用しなければなりません。 短い無線ヘッダーを使用するとスループットの効率が高まり、長い無線ヘッダーを使用すると、短い無線ヘッダーに対応していないクライアントやアクセス ポイントとの互換性が確保されます。 (注) このパラメータは 2.4GHz クライアント アダプタのみで利用可能です。 (注) このパラメータを、アクセス ポイント画面のプリアンブルと言います。 |
|||
このチェックボックスを選択することで、結合先のアクセス ポイントもワールド モードに設定されている場合に、クライアント アダプタがそのアクセス ポイントの最大送信電力レベルおよび周波数範囲を受け入れられるようにします。 このパラメータはインフラストラクチャ モードの場合のみ使用できます。この設定は、海外出張の多いユーザが、異なる規制地域のアクセス ポイントにクライアント アダプタを結合できるようにするためのものです。 (注) このパラメータは 2.4GHz クライアント アダプタのみで利用可能です。 (注) [World Mode]を有効にした場合は、クライアント アダプタを使用する国の規制機関で許可されている最大送信電力レベルのみが利用可能になります。 |
|||
このチェック ボックスを選択すると、結合しているアクセス ポイントの信号の強度が、指定時間経過後、指定値より小さい場合、クライアントは、より適したアクセス ポイントを探し、それを見つけた場合は結合を切り替えます。 例: 20 秒と 50% というデフォルト値が使用されている場合、クライアントは、結合後 20 秒で、結合しているアクセス ポイントから受信した信号強度の監視を開始します。 監視は 1 秒あたり 1 回の頻度で続けられます。 クライアントが 50% を下回る信号強度を検出すると、より適したアクセス ポイントをスキャンします。 (注) 時間と信号強度を指定する機能は、ACU バージョン 6.1 以上で利用可能です。これは、Install Wizard バージョン 1.1 以上に含まれています。 |
|||
クライアント アダプタが通信用チャネルとして使用する周波数を指定します。 これらのチャネルは、規制地域の IEEE 802.11 規格に準拠しています。 • [infrastructure]モードでは、このパラメータは自動的に設定されるため、変更できません。 クライアント アダプタはスペクトラム全体をリスンして、最適な結合先アクセス ポイントを選択し、そのアクセス ポイントと同じ周波数を使用します。 • アドホック モードでは、クライアント アダプタのチャネルは、ワイヤレス ネットワーク内の他のクライアントが使用しているチャネルと一致するよう設定する必要があります。 クライアント アダプタが他のアドホック アダプタを見つけられない場合、このパラメータを使ってアダプタがセルを開始する際のチャネルを指定します。 値の範囲: クライアント アダプタの無線および規制地域により異なる デフォルト: クライアント アダプタの無線および規制地域により異なる (注) チャネル識別番号、チャネル中心周波数、および各チャネルの規制地域のリストは、 チャネル、電力レベル、アンテナ ゲインを参照してください。 |
|||
クライアント アダプタの送信時の電力レベルを定義する。 この値は、アダプタを使用する国の規制機関(米国は FCC、カナダは DOC、ヨーロッパは ETSI、日本は MKK など)で許可されている値を上回らないようにしてください。 オプション: クライアント アダプタにプログラミングされている電力テーブルによる(下記の表を参照) デフォルト:クライアント アダプタにプログラミングされているレベルのうち、アダプタを使用する国の規制機関で許可される最大レベル |
|||
|
|
||
(注) 送信電力を小さくすると、バッテリ電源は節約できますが、無線範囲は縮小されます。 (注) [World Mode]を有効にした場合は、クライアント アダプタを使用する国の規制機関で許可されている最大送信電力レベルのみが利用可能になります。 (注) 旧バージョンの 340 または 350 シリーズ クライアント アダプタを使用している場合は、電力レベルのオプションがここに掲げるものと異なる場合があります。 |
|||
クライアント アダプタが動作するチャネルがデータの転送前にクリアかどうかを判断する手段を指定します。 オプション: [Firmware Default(XXX)]、[Carrier/Correlation(Car/Cor)]、 |
|||
|
|
||
Clear Channel Assessment(CCA)機構では、クライアント アダプタのファームウェアのデフォルト値に基づいてチャネルの混雑が報告されます。 ファームウェアの CCA デフォルト値は括弧内に示されます。 (注) PCM、LMC、PCI カード ファームウェアの CCA デフォルト値は Car/Cor、mini-PCI カード ファームウェアのデフォルト値は ED です。 |
|||
CCA 機構では、Direct-Sequence Spread Spectrum(DSSS;ダイレクトシーケンス スペクトラム拡散方式)信号の検出時にチャネルの混雑が報告されます。 この信号は ED しきい値を上回ることも下回ることもあります。 |
|||
(注) このパラメータは 2.4GHz クライアント アダプタのみで利用可能です。 |
|||
最初の送信が失敗した場合にパケットを再送する回数を定義します。 デフォルト: 16(2.4GHz クライアント アダプタの場合)または 32(5GHz クライアント アダプタの場合) (注) ネットワーク プロトコルに独自の再試行回数が設定されている場合は、この値をデフォルト値より小さい値に設定してください。 これにより、「不良」パケットの通知がプロトコル スタックに即座に送信されるため、アプリケーションで必要に応じてパケットを再送信できます。 |
|||
RF データ パケットを分割(断片化)するしきい値を定義する。 断片化されたパケットの 1 つが送信中に干渉を受けた場合は、そのパケットを再送するだけで済みます。 断片化されたパケットでは、固定パケット オーバーヘッドによって RF 帯域幅がかなり消費されるため、一般にスループットは低くなります。 |
次の項で追加パラメータを設定するか、 [OK] をクリックして[Profile Manager]画面に戻ります。[Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
(注) 拡張インフラストラクチャ パラメータは、クライアント アダプタをインフラストラクチャ ネットワークで動作するように設定した場合のみ設定できます。 表 5-2 の[Network Type]パラメータを参照してください。
[Advanced(Infrastructure)]画面(図 5-3)では、インフラストラクチャ ネットワークでのクライアント アダプタの動作を制御するパラメータを設定できます。 この画面にアクセスするには、[Properties]画面から[Advanced(Infrastructure)]タブを選択します。
図 5-3 [Advanced(Infrastructure)]画面
表 5-4 は、クライアント アダプタの拡張インフラストラクチャ パラメータとその説明を示しています。 パラメータを変更する際は、表内の指示に従ってください。
次の項で追加パラメータを設定するか、 [OK] をクリックして[Profile Manager]画面に戻ります。[Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
(注) 拡張アドホック パラメータは、クライアント アダプタをアドホック ネットワークで動作するように設定した場合のみ設定できます。 表 5-2 の[Network Type]パラメータを参照してください。
[Advanced(Ad Hoc)]画面(図 5-4)では、アドホック ネットワークでのクライアント アダプタの動作を制御するパラメータを設定できます。 この画面にアクセスするには、[Properties]画面から[Advanced(Ad Hoc)]タブを選択します。
表 5-5 は、クライアント アダプタの拡張アドホック パラメータとその説明を示しています。 パラメータを変更する際は、表内の指示に従ってください。
|
|
---|---|
クライアント アダプタがデータの受信に使用するアンテナを指定します。 • [PC card]:PC カードに内蔵された常設アンテナは、[Diversity]モードで使用する場合に最大の効力を発揮します。[Diversity]モードにすると、カードの 2 つのアンテナ ポートのうち、状態の良い方の信号が使用されます。 オプション: [Diversity(Both)]、[Primary Antenna Only]、[Secondary Antenna Only] • [LM card]:LM カードにはアンテナが内蔵されていませんが、カードの外部コネクタを使って接続できます。 スナップ方式のアンテナを使用する場合は、[Diversity]モードをお勧めします。 それ以外の場合は、アンテナを接続するポートに適したモードを選択してください。 オプション: [Diversity(Both)]、[Primary Antenna Only]、[Secondary Antenna Only] • [PCI card]:PCI カードは、[Primary Antenna Only]オプションを使用する必要があります。 • [Mini PCI card]:1 つまたは 2 つのアンテナで使用できる mini-PCI カードは、[Diversity]モードで使用する場合に最大の効力を発揮します。[Diversity]モードにすると、カードの 2 つのアンテナ コネクタのうち、状態の良い方の信号が使用されます。 オプション: [Diversity(Both)]、[Primary Antenna Only]、[Secondary Antenna Only] (注) このパラメータは2.4GHz クライアント アダプタのみで利用可能です。 (注) [Primary Antenna Only]と[Secondary Antenna Only]オプションは以前、それぞれ[Right Antenna Only]と[Left Antenna Only]という名称でした。 |
|
クライアント アダプタがデータの送信に使用するアンテナを指定します。 クライアント アダプタに使用できるオプションについては、上記の[Antenna Mode(Receive)]パラメータを参照してください。 (注) このパラメータは2.4GHz クライアント アダプタのみで利用可能です。 |
|
低レベルの RF プロトコルが request-to-send(RTS;送信要求)パケットを発行する際のデータ パケットのサイズを指定する。 このパラメータを小さい値に設定すると、RTS パケットが頻繁に送信されるようになります。 このような場合は、使用可能な帯域幅の消費率が増え、他のネットワーク パケットのスループットが減少します。ただし、障害物や金属面の多い高マルチパス環境から発生する干渉または衝突に対し、システムの復旧が速くなります。 (注) RTS および CTS のメカニズムについての詳細は、IEEE 802.11 規格を参照してください。 |
|
クライアント アダプタが、前回送信した RTS パケットに対する clear-to-send(CTS;送信クリア)パケットを受信しなかった場合に、RTS パケットを再送信する回数を指定します。 このパラメータを大きな値に設定すると、干渉が生じるたびに使用可能な帯域幅が減少します。ただし、システムは障害物や金属面の多い高マルチパス環境から発生する干渉または衝突に強くなります。 デフォルト:16(2.4GHz クライアント アダプタの場合)または 32(5GHz クライアント アダプタの場合) (注) RTS および CTS のメカニズムについての詳細は、IEEE 802.11 規格を参照してください。 |
|
ビーコンの後、クライアント アダプタが ATIM(announcement traffic indication message)パケットを受信するためにアクティブ状態を保持する時間を指定する。ATIM パケットは、アダプタを次のビーコンまでアクティブにしておくために送信されるメッセージです。 表 5-2 の[Power Save Mode]パラメータを参照してください。 値の範囲: 0Kμs([CAM]モード時)、5 ~ 60Kμs([Max PSP]または[Fast PSP]モード時) (注) クライアント アダプタが[CAM]モードに設定されている場合は、[Wake Duration]を 0Kμs に設定する必要があります。クライアント アダプタが[Max PSP]または[Fast PSP]モードの場合は、[Wake Duration]を最低 5Kμs に設定する必要があります。 (注) Kμs は測定単位を表すソフトウェア用語です。 K = 1024、μ = 10-6、s = 秒を表します。したがって、Kμs は 0.001024 秒、1.024 ミリ秒、または 1024 マイクロ秒に相当します。 |
|
ビーコン パケットの間隔を指定します。ビーコン パケットは、アドホック モードでクライアントが相互検索を行う場合に便利です。 |
次の項で追加パラメータを設定するか、 [OK] をクリックして[Profile Manager]画面に戻ります。[Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
[Network Security]画面(図 5-5)では、クライアント アダプタのアクセス ポイントとの結合方法、ワイヤレス ネットワークでの認証方法、データの暗号化および復号化方法を制御するパラメータを設定できます。 この画面にアクセスするには、[Properties]画面から[Network Security]タブを選択します。
この画面は、多数の手順を含む複数のセキュリティ機能が表示される点で他の[Properties]画面と異なります。 また、セキュリティ機能自体も複雑なので、設定する前によく理解しておく必要があります。 このためこの項では、セキュリティ機能の使用手順だけでなく、その概要についても説明します。
ただし、ご使用のクライアント アダプタの最適なセキュリティ設定を決定する前に、[Allow Association To Mixed Cells]パラメータの設定方法を決定する必要があります。このパラメータは、[Network Security]画面の下部に表示され、セキュリティ機能には関連しません。 「[Allow Association To Mixed Cells]パラメータの設定」を参照してください。
[Allow Association To Mixed Cells]パラメータは、クライアント アダプタが、WEP 対応と非 WEP 対応の両方のアクセス ポイントと結合できるかどうかを示します。 このパラメータを設定する手順は、次のとおりです。
• クライアント アダプタの結合先のアクセス ポイントで WEP が[Optional]に設定されており、クライアント アダプタで WEP が有効になっている場合は、[Allow Association To Mixed Cells]チェックボックスを選択します。 そうしないと、クライアントはアクセス ポイントとの接続を確立できません。
• クライアント アダプタの結合先のアクセス ポイントで WEP が[Optional]に設定されていない場合は、[Allow Association To Mixed Cells]チェックボックスを選択解除します。 これはデフォルト設定です。
(注) セキュリティ上の理由により、同じセルに WEP 対応と非 WEP 対応のクライアントが両方存在することはお勧めできません。これは、WEP を使用しているクライアントにも、暗号化されていないブロードキャスト パケットが送信されてしまうためです。
• [Network Security]画面のその他のパラメータを変更しない場合は、[OK]をクリックして
[Profile Manager]画面に戻ります。その後[OK]または[Apply]をクリックして変更を保存します。
• [Network Security]画面のその他のパラメータを変更する場合は、次の項に進んでください。
Wired Equivalent Privacy(WEP)暗号化キーを使用してデータを暗号化することで、ワイヤレス ネットワーク経由で転送されるデータを保護することができます。 WEP 暗号化では、送信側デバイスがそれぞれのパケットを WEP キーを使って暗号化し、受信側デバイスが同じキーを使用して各パケットを復号化します。
転送データの暗号化および復号化に使用される WEP キーは、アダプタに静的に関連付けることも、EAP 認証処理の一部として動的に作成することもできます。 使用する WEP キーのタイプは、以下の「静的な WEP キー」および「EAP(動的な WEP キーを使用)」の項を参考に決めてください。 EAP を使用した動的な WEP キーは、静的な WEP キーよりもセキュリティ レベルが高くなります。
WEP キーの長さは、静的または動的にかかわらず、40 または 128 ビット長です。 128 ビットの WEP キーでは、40 ビットのキーよりもセキュリティ レベルが高くなります。
(注) WEP キーをさらに安全にする 3 つの機能に関する情報は、「新しい WEP キー セキュリティ機能」を参照してください。
ワイヤレス ネットワーク内の各デバイス(またはプロファイル)には、最大 4 個の WEP キーを指定できます。 デバイスは、適切なキー(相互通信を行うデバイスはすべて同じ WEP キーを使用する必要があります)で暗号化されていないパケットを受信すると、そのパケットを廃棄し、受信側に二度と同じパケットを配信することはありません。
静的な WEP キーは書き込み専用で一時的なものであるため、クライアント アダプタから読み取ることはできません。また、アダプタの電源を切断したり、Windows デバイスをリブートしたりすると、消失します。 静的なキーは一時的なものですが、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに入力しなおす必要はありません。 これは、WEP キーが Windows デバイスのレジストリに保存されるためです。このキーは、セキュリティ上の理由により、暗号化された形で保存されます。 クライアント アダプタのレジストリ パラメータがドライバによってロードされ、読み取られると、静的な WEP キーも検索され、復号化されます。これらのキーは、アダプタの揮発性メモリに保存されます。
[Network Security]画面では、クライアント アダプタに設定されている現在の WEP キーを確認してから、新しい WEP キーを割り当てたり、既存の WEP キーを上書きしたりできます。また、静的な WEP キーを有効にしたり、無効にしたりできます。 手順については、「静的な WEP の使用」を参照してください。
ワイヤレス LAN のセキュリティに関する新しい規格は、米国電気電子技術者協会(IEEE)で定義されているように、802.11 の 802.1X、または簡単に 802.1X と呼ばれています。 802.1X とそのプロトコル(Extensible Authentication Protocol(EAP))をサポートしているアクセス ポイントは、ワイヤレス クライアントと認証サーバ間のインターフェイスとして機能します。認証サーバとは、アクセス ポイントがワイヤード ネットワークを介して通信する Remote Authentication Dial-In User Service(RADIUS)サーバなどを指します。
ACU で次の 2 つの 802.1X 認証タイプを選択して、Windows オペレーティング システムで使用できます。
• [EAP-Cisco Wireless](または[LEAP]):Windows 98、98 SE、NT、2000、Me、および XP だけでなく、Windows システム以外でも使用可能な認証タイプ。 LEAP のサポートは、Windows オペレーティング システムではなく、クライアント アダプタのファームウェアと、そのファームウェアをサポートするシスコのソフトウェアによって提供されます。 LEAP をサポートする RADIUS サーバには、Cisco Secure ACS バージョン 2.6 以上、Cisco Access Registrar バージョン 1.7 以上、および Funk Software の Steel-Belted RADIUS バージョン 3.0 以上があります。
インストール時に LEAP セキュリティ モジュールを選択した場合は、ACU を介して特定のプロファイルに対して LEAP を有効または無効にできます。 LEAP を有効にすると、ユーザ名とパスワードをいつ、どのように入力して認証プロセスを開始するか、など多数の設定オプションを設定できます。
ユーザ名とパスワードは、クライアント アダプタがアクセス ポイントを介して RADIUS サーバと相互認証を行うときに使用されます。 ユーザ名とパスワードはクライアント アダプタの揮発性メモリに保存されるため、一時的なものです。通常はクライアント アダプタを取り出すか、システムの電源が停止することによりアダプタの電源が切断されると、そのたびに再入力する必要があります。
(注) インストール時に LEAP セキュリティ モジュールを選択しなかった場合は、ACU で LEAP オプションを使用できません。 LEAP を有効および無効に設定できる場合は、インストール プログラムを再び実行し、[LEAP]を選択する必要があります。
• [Host Based EAP]:このオプションを選択すると、ご使用のオペレーティング システムにサポートが組み込まれている任意の 802.1X 認証タイプを使用できます。 たとえば、オペレーティング システムで Microsoft 802.1X サプリカントが使用されている場合、EAP-TLS 認証についてはネイティブ サポートを、PEAP および EAP-SIM 認証については一般的なサポートを行います。
(注) EAP-TLS、PEAP、または EAP-SIM 認証を使用する場合、Microsoft 802.1X サプリカント、ACU、および PEAP または EAP-SIM セキュリティ モジュールをインストールする必要があります。また ACU を使用してクライアント アダプタを設定し、Windows で認証タイプを有効にし、アクセス ポイントで Network-EAP を有効にする必要があります。
–[EAP-TLS]:EAP-TLS は、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。 有効にした後、いくつかのパラメータをオペレーティング システム内で設定する必要があります。
EAP-TLS をサポートする RADIUS サーバには、Cisco Secure ACS バージョン 3.0 以上、Cisco Access Registrar バージョン 1.8 以上があります。
(注) EAP-TLS には、証明書が必要です。 証明書のダウンロードおよびインストールについては、Microsoft のマニュアルを参照してください。
–[Protected EAP](または[PEAP]):PEAP 認証はワイヤレス LAN を経由して One-Time Password(OTP)、Windows NT または 2000 ドメイン、LDAP ユーザ データベースをサポートするように設計されています。 この認証方式は EAP-TLS 認証に基づきますが、認証にクライアント証明書ではなくパスワードまたは PIN を使用します。 PEAP は、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。 ネットワークが OTP ユーザ データベースを使用する場合、PEAP では EAP 認証プロセスを開始し、ネットワークにアクセスするためにハードウェアのトークン パスワードまたはソフトウェアのトークン PIN を入力する必要があります。 ネットワークが Windows NT または 2000 ドメイン ユーザ データベースまたは LDAP ユーザ データベース(NDS など)を使用する場合、PEAP では認証プロセスを開始するためにユーザ名、パスワード、ドメイン名を入力する必要があります。
PEAP 認証をサポートする RADIUS サーバに、Cisco Secure ACS バージョン 3.1 以上があります。
(注) Windows XP の Service Pack 1 と Windows 2000 の Microsoft 802.1X サプリカントには、Microsoft の PEAP サプリカントが収められています。これは Windows のユーザ名とパスワードのみをサポートし、シスコの PEAP サプリカントと相互運用性がありません。 シスコの PEAP サプリカントを使用するには、Windows XP の Service Pack 1 または Windows 2000 の Microsoft 802.1X サプリカントの後に Install Wizard をインストールします。この順序でインストールしない場合、シスコの PEAP サプリカントは Microsoft の PEAP サプリカントで上書きされます。
–[EAP-SIM]:EAP-SIM 認証は、公衆ワイヤレス LAN で使用できるように設計されており、PCSC 準拠のスマートカード リーダーが装備されているクライアントが必要です。 Install Wizard ファイルに含まれる EAP-SIM サプリカントは、Gemplus SIM+ カードのみをサポートしますが、アップデートされたサプリカントが利用可能で、これは、標準の GSM-SIM カードと EAP-SIM プロトコルの最新バージョンをサポートします。 新しいサプリカントを次の URL の ftpeng FTP サーバからダウンロードできます。
ftp://ftpeng.cisco.com/ftp/pwlan/eapsim/CiscoEapSim.dll
上記の条件は、EAP-SIM 認証を実行するのに必要ですが、問題なく実行するのには十分ではありません。 一般的に、WLAN サービス プロバイダとサービス契約を結ぶ必要があります。WLAN サービス プロバイダは、ネットワーク内で EAP-SIM 認証をサポートしなければなりません。 また、PCSC スマートカード リーダーは標準の GSM-SIM カードやチップを読み込むことができる場合があり、EAP-SIM 認証では通常、サービス プロバイダによって、GSM 携帯電話アカウントが、 WLAN サービス用に提供されることが必要です。
EAP-SIM は、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。 EAP-SIM では、SIM カードとの通信については、ユーザ検証コード、すなわちPINを入力することが必要です。 PINを、コンピュータに格納するか、またはリブート後または毎回認証が試行される前に入力が要求されるようにするかを選択できます。
EAP-SIM をサポートする RADIUS サーバには、Cisco Access Register バージョン 3.0 以上があります。
(注) EAP-TLS、PEAP、および EAP-SIM が ACU ではなく、オペレーティング システムで有効になっていても、単に ACU でのプロファイルの切り替えによってこれらの認証タイプを切り替えることはできません。 ホストベースの EAP を使用するプロファイルを ACU で作成できますが、Windows で特定の認証タイプを有効にしなければなりません(Windows で Microsoft 802.1X サプリカントを使用していることが条件です)。 また Windows に 1 度に設定できるのは 1 つの認証タイプのみです。このため、Host-Based EAP を使用する複数のプロファイルが ACU にあり、別の認証タイプを使用する場合は、ACU でプロファイルを切り替えた後で Windows で認証タイプを変更する必要があります。
アクセス ポイントで Network-EAP または Require EAP を有効にし、LEAP、EAP-TLS、PEAP、または EAP-SIM にクライアント アダプタを設定すると、ネットワークに対する認証は、次のシーケンスで実行されます。
1. クライアントがアクセス ポイントと結合し、認証プロセスを開始します。
(注) クライアントは RADIUS サーバとの相互認証が成功しない限り、ネットワークにアクセスすることはできません。
2. アクセス ポイントを通じた通信を行うことで、クライアントと RADIUS サーバは認証プロセスを完了し、SIM カードおよびサービス プロバイダの Authentication Center(EAP-SIM)に保存されたパスワード(LEAP および PEAP)、証明書(EAP-TLS)、または内部キーは認証の共有秘密キーになります。 パスワードまたは内部キーはプロセス中には送信されません。
3. 相互認証が成功すると、クライアントと RADIUS サーバは、クライアント固有の動的なセッションベースの WEP キーを生成します。
4. RADIUS サーバがワイヤード LAN 上の安全なチャネルを使用して、アクセス ポイントにキーを送信します。
5. セッションの間、アクセス ポイントとクライアントはこのキーを使用して、相互間で伝送されるすべてのユニキャスト パケットの暗号化または復号化を行います(またアクセス ポイントに設定されている場合はパケットをブロードキャストします)。
LEAP を有効にする手順については「LEAP の有効化」を、EAP-TLS、PEAP、または
EAP-SIM を有効にする手順については「Host-Based EAP の有効化」を参照してください。
(注) 802.1X 認証の詳細は、IEEE 802.11 規格を参照してください。RADIUS サーバの詳細は、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt2/scrad.htm
この項で説明する 3 つのセキュリティ機能(MIC、TKIP、ブロードキャスト キー循環)は、ワイヤレス ネットワークの WEP キーへの高度な攻撃を防ぐように設計されています。 これらの機能はクライアント アダプタでは有効にする必要はありません。Install Wizard ファイル内のファームウェアとドライバのバージョンでは自動的にサポートされています。 ただし、アクセス ポイントで有効にする必要があります。
(注) これらのセキュリティ機能を有効にするためには、バージョン11.10T 以上のアクセス ポイント ファームウェアが必要です。 これらのセキュリティ機能を有効にする手順については、お使いのアクセス ポイントのマニュアルを参照してください。
MIC により、暗号化されたパケットに対するビットフリップ攻撃を防止できます。 ビットフリップ攻撃では、暗号化されたメッセージが不正侵入者によって傍受され、簡単な変更が加えられます。その後、このメッセージは不正侵入者から再び送信され、受信側に正規のメッセージとして受信されます。 MIC では数バイトを各パケットに付加することによって、パケットの不正変更を防ぎます。
[Status]画面には、MIC が使用中であるかどうかが示され、[Statistics]画面には MIC 統計情報が表示されます。
(注) アクセス ポイントで MIC を有効にしていれば、クライアント アダプタのドライバはこれらの機能をサポートします。有効にしていないと、クライアントは結合できません。
この機能はWEP キー ハッシュとも呼ばれ、暗号化されたパケットに含まれる初期設定ベクトル
(IV)を使用した、不正侵入者の WEP キー割り出しを防ぎます。 TKIP は、不正侵入者が IV を使用して WEP キーを特定するのに利用する、推測可能な値を除去します。 また、TKIP は、ユニキャストおよびブロードキャストの両方の WEP キーを保護します。
(注) アクセス ポイントで TKIP を有効にしていれば、クライアント アダプタのファームウェアはこれらの機能をサポートします。有効にしていないと、クライアントは結合できません。
EAP 認証は、クライアント デバイスに動的なユニキャスト WEP キーを提供しますが、使用するのは静的なブロードキャストまたはマルチキャスト キーです。 ブロードキャスト WEP キー循環を有効にすると、アクセス ポイントは動的なブロードキャスト WEP キーを生成し、指定された間隔でそのキーを変更します。 この機能を有効にした場合は、LEAP、EAP-TLS、PEAP、または EAP-SIM 認証を使用するワイヤレス クライアント デバイスのみがアクセス ポイントに結合できます。 静的な WEP(Open または Shared key 認証)を使用したクライアント デバイスは、結合できません。
クライアント アダプタ ファームウェア バージョン 5.02.20 以上と次のアクセス ポイント ファームウェア バージョン は、LEAP 認証に失敗したアクセス ポイントを検出するように設計された新しい機能をサポートします。
• 12.00T 以上(340、350,、および 1200 シリーズ アクセス ポイント)
• 12.2(4)JA 以上(1100 シリーズ アクセス ポイント)
これらのファームウェア バージョンの 1 つを実行するアクセス ポイントは、ファームウェア バージョン 5.02.20 以上を実行するクライアントが、LEAP 認証に失敗したワイヤレス ネットワーク内の別のアクセス ポイントを発見して報告するときに、システム ログにメッセージを記録します。
1. LEAP プロファイルがあるクライアントは、アクセス ポイント A との結合を試みます。
2. アクセス ポイント A は、LEAP を理解できないか、信頼できる LEAP 認証サーバと通信できないはずなので、LEAP 認証を正常に処理できません。
3. クライアントは、アクセス ポイント A 用の MAC アドレスと結合が失敗した理由を記録します。
4. クライアントはアクセス ポイント B と正常に結合します。
5. クライアントはアクセス ポイント A の MAC アドレスと障害の理由コードをアクセス ポイント B へ送信します。
6. アクセス ポイント B はシステム ログに障害をログします。
(注) この障害は、クライアント アダプタやアクセス ポイントで有効にする必要はありません。それは自動的に両方のデバイスのファームウェアでサポートされます。 ただし、クライアントとアクセス ポイントの両方がこれらのファームウェア バージョン以降を使用する必要があります。
クライアント デバイスで動くアプリケーションの中には、アクセス ポイント間の高速のローミングを必要とするものがあります。 たとえば、音声アプリケーションは、会話の遅延やギャップを防ぐために、シームレスなローミングを必要とします。 高速で安全なローミングに対するサポートは、現在、クライアント アダプタ ファームウェア バージョン 5.20.17 の LEAP 使用可能クライアントで入手できます。
正常稼働時は、LEAP 使用可能クライアントは、完全な LEAP 認証を実行することによって、メイン RADIUS サーバとの会話を含めて、新しいアクセス ポイントを相互に認証します。 ただし、高速で安全なローミング用にワイヤレス LAN を設定する場合、LEAP 使用可能クライアントは、RADIUS サーバでの再認証は必要なく、1 つのアクセス ポイントから別のアクセス ポイントへ安全にローミングします。 Cisco Centralized Key Management(CCKM)を使用すると、Wireless Domain Services(WDS)用に設定されているアクセス ポイントは高速な再キーイング技術を使用し、クライアント デバイスが 1 つのアクセス ポイントから別のアクセス ポイントへ 150 ミリ秒(ms)以下でローミングできるようにします。 高速で安全なローミングは、ワイヤレス Voice over IP(VoIP)、統合業務システム(ERP)または Citrix ベースのソルーション等、時間に敏感なアプリケーションにおいて、かなりの遅れが出ないようにします。
この機能は、クライアント アダプタで有効にする必要はありません。自動的にクライアント アダプタ ファームウェア バージョン 5.20.17 以降(Install Wizard バージョン 1.1 以降)でサポートされます。 ただし、アクセス ポイントで有効にする必要があります。
(注) アクセス ポイント ファームウェア バージョン 12.2(11) 以上が、高速ローミングを有効にするのに必要です。 この機能を有効にする手順については、お使いのアクセス ポイントのマニュアルを参照してください。
(注) Microsoft 802.1X サプリカントがコンピュータにインストールされている場合、この機能が正しく働くように Windows パラメータの 1 つか 2 つを無効にする必要があります。 詳細については、「LEAP の有効化」のステップ 10を参照してください。
この項で説明するセキュリティ機能を使用するには、クライアント アダプタと結合先のアクセス ポイントの両方で適切な設定が行われる必要があります。 表 5-6 は、各セキュリティ機能に必要なクライアントおよびアクセス ポイントの設定を示します。 この章では、クライアント アダプタのセキュリティ機能を有効にする方法について説明します。 これらの機能をアクセス ポイントで有効にする手順については、お使いのアクセス ポイントのマニュアルを参照してください。
この項では、新しく静的な WEP キーを入力する方法、および既存の静的な WEP キーを上書きする方法について説明します。
このプロファイルに対して新しい静的な WEP キーを入力する手順は、次のとおりです。
ステップ 1 [Network Security]画面の[Network Security Type]ドロップダウン ボックスから、[None]を選択します。
ステップ 2 [WEP]から、[Use Static WEP Keys]を選択します。
ステップ 3 次のいずれかの WEP キー入力方式を選択します。
• [Hexadecimal(0-9, A-F)]:WEP キーが、0 ~ 9、A ~ F、a ~ f を含む 16 進文字で入力されることを指定します。
• [ASCII Text]:WEP キーが、英字、数字、および句読点を含む ASCII テキストで入力されることを指定します。
(注) ASCII テキスト WEP キーは、Cisco Aironet 1200 シリーズ アクセス ポイント ではサポートされていませんので、このアクセス ポイントでクライアント アダプタを使用する予定の場合は、[Hexadecimal(0-9, A-F)]オプションを選択する必要があります。
ステップ 4 次に示すアクセス ポイント認証オプションのうちいずれかを選択します。このオプションは、クライアント アダプタがアクセス ポイントに認証を求める方法を定義します。
• Open 認証では:WEP の設定に関係なく、クライアント アダプタは、アクセス ポイントとの認証および通信の試みが実行できます。[Open Authentication]はデフォルト設定です。
• [Shared Key Authentication]:クライアント アダプタが同じ WEP キーを持つアクセス ポイントのみと通信することを許可します。 このオプションは、[Use Static WEP Keys]が選択されている場合のみ選択できます。
Shared Key 認証では、アクセス ポイントは認識済みの暗号化されていない身元証明要求パケットをクライアント アダプタに送信し、クライアント アダプタはそのパケットを暗号化して、アクセス ポイントに返送します。 アクセス ポイントは暗号化されたパケットの復号化を試み、復号化の成功または失敗を通知する認証応答パケットをクライアント アダプタに返送します。 パケットが正しく暗号化/復号化されていれば、ユーザは認証済みであるとみなされます。
(注) Shared Key 認証にはセキュリティ上のリスクが伴うため、使用しないことをお勧めします。
ステップ 5 入力する静的な WEP キー(1、2、3、4)について、画面の右側から、WEP キーのサイズ(40 または 128 ビット)を選択します。 128 ビットのクライアント アダプタでは 40 ビットまたは 128 ビットのキーを使用できますが、40 ビットのアダプタで使用できるのは 40 ビットのキーのみです。 128 ビットがクライアント アダプタでサポートされていない場合、このオプションは使用できません。
ステップ 6 システム管理者から静的な WEP キーを入手し、作成するキーの空白フィールドに入力します。 新しい静的な WEP キーを入力する際は、次のガイドラインに従ってください。
–40 ビットのキーでは 10 個の 16 進文字または 5 個の ASCII テキスト文字
例: 5A5A313859(16 進文字)または ZZ18Y(ASCII)
–128 ビットのキーでは 26 個の 16 進文字または 13 個の ASCII テキスト文字
例: 5A583135333554595549333534(16 進文字)または ZX1535TYUI354(ASCII)
(注) 5GHz のクライアント アダプタを、Cisco Aironet 1200 シリーズ アクセス ポイントで使用する場合は、16 進文字を入力する必要があります。
• クライアント アダプタの WEP キーは、インフラストラクチャ モードの場合はアクセス ポイントと同じキーに、アドホック モードの場合は通信先のクライアントと同じキーに設定する必要があります。
• 複数の WEP キーを設定する場合は、割り当てるキーの WEP キー番号がすべてのデバイスで一致している必要があります。 たとえば、WEP キー 2 のキーは、すべてのデバイスで WEP キー番号 2 に割り当てられていなければなりません。 複数の WEP キーを設定するときは、すべてのデバイスで同じ順番に割り当てる必要があります。
(注) 入力した WEP キーは上書きできますが、編集または削除することはできません。
ステップ 7 パケットの転送に使用するキーの左側にある[ Transmit Key] ボタンをクリックします。 転送キーとして選択できる WEP キーは 1 つのみです。
ステップ 8 [OK] をクリックして[Profile Manager]画面に戻ります。その後[OK]または[Apply]をクリックして変更を保存します。
既存の静的な WEP キーを上書きする手順は、次のとおりです。
(注) 既存の WEP キーは上書き可能ですが、編集または削除することはできません。
ステップ 1 [Network Security]画面の中央に表示された現在の WEP キー設定を確認します。 既存の静的な WEP キーすべての[Already Set?]ボックスにチェックマークが表示されます。
(注) セキュリティ上の理由により、既存の静的な WEP キーのコードは画面に表示されません。
ステップ 2 上書きする既存の静的な WEP キーを選択します。
ステップ 4 「新しい静的な WEP キーの入力」のステップ 6 で説明したガイドラインに従って、新しいキーを入力します。
ステップ 5 このキーをパケットの転送に使用する場合は、キーの左側にある[Transmit Key]ボタンが選択されていることを確認します。
ステップ 6 [OK]をクリックして[Profile Manager]画面に戻ります。その後[OK]または[Apply]をクリックして変更を保存します。
特定プロファイルの静的な WEP を無効にする必要が生じた場合は、[Network Security]画面の[WEP]の下で[No WEP]を選択し、[OK]をクリックします。その後[Profile Manager]画面で[OK]または[Apply]をクリックします。
(注) [Network Security]画面の[Network Security Type]ドロップダウン ボックスから[LEAP]を選択すると、静的な WEP が自動的に無効にされます。
LEAP 認証を有効にする前に、ネットワーク デバイスが次の要件に一致していなければなりません。
• クライアント アダプタは、WEP をサポートし、Install Wizard ファイル内のファームウェア、ドライバ、ユーティリティ、およびセキュリティ モジュールを使用する必要があります。
(注) LEAP 認証に失敗したアクセスポイントの報告機能と高速で安全なローミング機能を使用するには、クライアント アダプタが Install Wizard バージョン 1.1 以上に含まれているソフトウェアを使用する必要があります。
• クライアント アダプタが認証を試みるアクセス ポイントは次のバージョン以上のソフトウェアを使用している必要があります。 ファームウェア バージョン 12.00T(340、350,、および 1200 シリーズ アクセス ポイント)または IOS リリース 12.2(4)JA(1100 シリーズ アクセス ポイント)
(注) LEAP 認証に失敗したアクセスポイントの報告機能と高速で安全なローミング機能を使用するには、アクセス ポイントがに高速で安全なローミングリストされているファームウェア バージョンを使用する必要があります。
• LEAP 認証に必要なすべてのインフラストラクチャ デバイス(アクセス ポイント、サーバなど)が正しく設定されていなければなりません。
このプロファイルに対して LEAP 認証を有効にする手順は、次のとおりです。
ステップ 1 [Network Security]画面の下部にある[Network Security Type]ドロップダウン ボックスから、[LEAP]を選択します。
(注) LEAP オプションが使用できるのは、インストールの間に LEAP セキュリティ モジュールを選択している場合です。
(注) この設定を選択すると、動的な WEP が自動的に設定されます。
ステップ 2 [Network Security Type]ドロップダウン ボックスの右側にある[Configure]をクリックします。[LEAP Settings]画面が表示されます(図 5-6を参照)。
ステップ 3 次に示す LEAP ユーザ名およびパスワードの設定オプションのいずれかを選択します。
• [Use Temporary User Name and Password]:ユーザはコンピュータをリブートするたびに LEAP ユーザ名とパスワードを入力し、ネットワークへのアクセスに対する認証を受ける必要があります。
• [Use Saved User Name and Password]:ユーザはコンピュータをリブートするたびに LEAP ユーザ名とパスワードを入力する必要がありません。 認証は、保存されているユーザ名とパスワード(RADIUS サーバに登録されている)を使用して自動的に行われます。
(注) [Use Saved User Name and Password]オプションを設定できるのは、インストール時に[Allow Saved LEAP User Name and Password]オプションを有効にした場合([Yes]に設定)のみです。
• ステップ 3 で[Use Temporary User Name and Password]を選択した場合は、次のいずれかのオプションを選択します。
–[Use Windows User Name and Password]:Windows のユーザ名とパスワードが LEAP のユーザ名とパスワードとしても使用されるので、ユーザは 1 組のクレデンシャルを覚えるだけですみます。 ユーザがログインすると、LEAP 認証プロセスが自動的に開始されます。 このオプションはデフォルト設定です。
–[Automatically Prompt for LEAP User Name and Password]:ユーザは、通常の Windows ログインの他、LEAP ユーザ名とパスワード(RADIUS サーバに登録されている)を別に入力し、LEAP 認証プロセスを開始する必要があります。
–[Manually Prompt for LEAP User Name and Password]:ユーザは、[Commands]ドロップダウン メニューから[Manual LEAP Login]オプションを使用して、必要に応じて手動で LEAP 認証プロセスを開始する必要があります。 Windows へのログイン時に、LEAP ユーザ名とパスワードの入力を求めるプロンプトは表示されません。 このオプションは、たとえばソフトウェア トークン ワンタイム パスワード システムなど、ログイン時に使用できない追加ソフトウェアを必要とするシステムをサポートするために使用できます。
• ステップ 3 で[Use Saved User Name and Password]を選択した場合は、次の手順に従ってください。
(注) ユーザ名とパスワードは、それぞれ 32 ASCII 文字まで入力できます。 ただし、[Domain]フィールドにドメイン名を入力した場合は、ユーザ名とドメイン名の合計が最大 31 ASCII 文字に制限されます。
b. [Confirm Password]フィールドにパスワードをもう一度入力します。
c. ユーザ名とともに RADIUS サーバに渡されるドメイン名を指定する場合は、[Domain]フィールドに値を入力します。
ステップ 5 複数のドメインを使用する環境で作業しており、Windows ログイン ドメインをユーザ名とともに RADIUS サーバに渡す必要がある場合は、[Include Windows Logon Domain with User Name]チェックボックスを選択します。 デフォルト設定では選択されています。
(注) 保存済みのユーザ名とパスワードの使用を選択しても、[Include Windows Logon Domain with User Name]チェックボックスを選択しないと、[Domain]フィールドは使用不可になり、ドメイン名は RADIUS サーバに渡されません。
ステップ 6 別のユーザが自分のクレデンシャルを使用してワイヤレス ネットワークにアクセスできないようにするため、ログオフ後、強制的にクライアント アダプタを結合解除する場合は、[No Network Connection Unless User is Logged In]チェックボックスを選択します。 デフォルト設定では選択されています。
ステップ 7 [LEAP Authentication Timeout Value]フィールドに、LEAP 認証が失敗したと見なされエラー メッセージが表示されるまでの時間を秒単位で入力します。
ステップ 8 [OK]をクリックして、[LEAP Settings]画面を終了します。
ステップ 9 [OK]をクリックして、[Network Security]画面を終了し、[Profile Manager]画面に戻ります。
[Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
ステップ 10 Microsoft 802.1X サプリカントがコンピュータにインストールされており、高速で安全なローミング機能の利点を利用したい場合は、次の手順に従ってください。
a. コンピュータのオペレーティング システムに応じて、次の手順のいずれかを実行します。
–コンピュータで Windows 98、98 SE、NT、または Me を実行している場合、Microsoft 802.1X Authentication Client アプリケーションを実行します。 次に[Enable network access control using IEEE 802.1X]チェックボックスの選択を解除します。に進みます。
–コンピュータで Windows 2000 を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワークとダイヤルアップ接続]をダブルクリックします。[ローカル エリア接続]を右クリックします。[プロパティ]をクリックします。[Local Area Connection Properties]画面が表示されます。
–コンピュータで Windows XP を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。[ワイヤレス ネットワーク接続]を右クリックします。[プロパティ]をクリックします。[Wireless Network Connection Properties]画面が表示されます。[Use Windows to configure my wireless network settings]チェック ボックスの選択を解除します。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
c. [Enable network access control using IEEE 802.1X]チェックボックスの選択を解除します。
ステップ 11 LEAP による認証手順については、 EAP 認証の使用方法を参照してください。
Host-Based EAP を有効にする前に、ネットワーク デバイスが次の要件に一致していなければなりません。
• クライアント アダプタは、WEP をサポートし、Install Wizard ファイル内のファームウェア、ドライバ、ユーティリティ、およびセキュリティ モジュールを使用する必要があります。
• クライアント アダプタが認証を試みるアクセス ポイントは次のバージョン以上のソフトウェアを使用している必要があります。 ファームウェア バージョン 12.00T(340、350,、および 1200 シリーズ アクセス ポイント)または IOS リリース 12.2(4)JA(1100 シリーズ アクセス ポイント)
• Microsoft 802.1X サプリカントをお使いの Windows デバイスにインストールしておく必要があります。
• クライアントで有効にする予定の認証タイプに対しては、すべての必要なインフラストラクチャ デバイス(アクセス ポイント、サーバ、ゲートウェイ、ユーザ データベースなど)を正しく設定する必要があります。
このプロファイルに対して Host-Based EAP 認証(EAP-TLS、PEAP、または EAP-SIM)を有効にする手順は、次のとおりです。
(注) EAP-TLS、PEAP、および EAP-SIM が ACU ではなく、オペレーティング システムで有効になっていても、単に ACU でのプロファイルの切り替えによってこれらの認証タイプを切り替えることはできません。 ホストベースの EAP を使用するプロファイルを ACU で作成できますが、Windows で特定の認証タイプを有効にしなければなりません(Windows で Microsoft 802.1X サプリカントを使用していることが条件です)。 また Windows に 1 度に設定できるのは 1 つの認証タイプのみです。このため、Host-Based EAP を使用する複数のプロファイルが ACU にあり、別の認証タイプを使用する場合は、ACU でプロファイルを切り替えた後で Windows で認証タイプを変更する必要があります。
ステップ 1 [Network Security]画面の[Network Security Type]ドロップダウン ボックスから、[Host Based EAP]を選択します。
ステップ 2 [WEP]から、[Use Dynamic WEP Keys]を選択します。
ステップ 3 [OK]をクリックして、[Profile Manager]画面に戻ります。
ステップ 4 [Profile Manager]画面で[OK]または[Apply]をクリックして変更を保存します。
ステップ 5 コンピュータのオペレーティング システムに応じて、次のいずれかを実行します。
• コンピュータで Windows 98、98 SE、NT、または Me を実行している場合、Microsoft 802.1X Authentication Client アプリケーションを実行します。 次にステップ 7に進みます。
• コンピュータで Windows 2000 を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワークとダイヤルアップ接続]をダブルクリックします。[ローカル エリア接続]を右クリックします。[プロパティ]をクリックします。[Local Area Connection Properties]画面が表示されます。
• コンピュータで Windows XP を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。[ワイヤレス ネットワーク接続]を右クリックします。[プロパティ]をクリックします。[Wireless Network Connection Properties]画面が表示されます。
(注) これらの手順は、Windows XP のカテゴリ表示ではなく、クラシック表示を使用していることを想定しています。
ステップ 6 [認証]タブをクリックします。 次の画面が表示されます(図 5-7を参照)。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
図 5-7 [Wireless Network Connection Properties]画面([認証]タブ)- Windows 2000 と XP のみ
ステップ 7 [Enable network access control using IEEE 802.1X]チェックボックスを選択します。
ステップ 8 使用する認証タイプに応じて、次のいずれかを実行します。
• EAP-TLS を使用する場合は、次の「EAP-TLS の有効化」を参照してください。
• PEAP を使用する場合は、次の「PEAP の有効化」を参照してください。
• EAP-SIM を使用する場合は、次の「EAP-SIM の有効化」を参照してください。
ステップ 1 EAP タイプについては、[Certificates](Windows 98、98 SE、NT、または Me の場合)または[Smart Card or other Certificate](Windows 2000 または XP の場合)を選択します。
ステップ 2 [プロパティ]をクリックします。[Certificate Properties]画面(図 5-8を参照)または[Smart Card or other Certificate Properties]画面が表示されます(図 5-9を参照)。
図 5-8 [Certificate Properties]画面 - Windows 98、98 SE、NT、Me のみ
図 5-9 [スマート カードまたはほかの証明書のプロパティ]画面 - Windows 2000 と XP のみ
ステップ 3 [このコンピュータの証明書を使う]オプションを選択します。
ステップ 4 コンピュータで Windows 98、98 SE、NT、または Me を実行している場合、[Use simple certificate selection](推奨)チェック ボックスが選択されていることを確認します。
ステップ 5 サーバの証明書評価が要求される場合は、[Validate server certificate]チェック ボックスを選択します。
ステップ 6 接続するサーバ名を指定する場合は、[Connect to these servers]または[Connect only if server name ends with]チェック ボックスを選択し、チェック ボックス内のフィールドに適切なサーバ名またはサーバ名の接尾辞を入力します。
(注) サーバ名を入力し、クライアント アダプタが入力したサーバ名と一致しないサーバに接続した場合、認証プロセスの間に接続の続行とキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間は接続が設定されます。
• コンピュータで Windows 98、98 SE、または Me を実行している場合、[Trusted Root Certification Authorities]フィールドでサーバの証明書をダウンロードした Certificate Authority(CA)を選択します。
• コンピュータで Windows 2000 または XP を実行している場合、[Trusted Root Certification Authority]フィールドにサーバの証明書をダウンロードした CA の名前が表示されていることを確認します。
(注) このフィールドが空欄のままの場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 8 [OK]を 2 度クリックして、設定を保存します。 これで、設定は完了です。
ステップ 9 EAP-TLS による認証手順については、 EAP 認証の使用方法を参照してください。
ステップ 1 EAP タイプについては、[PEAP]を選択します。
ステップ 2 [プロパティ]をクリックします。[PEAP Properties]画面が表示されます(図 5-10)。
ステップ 3 サーバの証明書評価が要求される場合は、[Validate server certificate]チェック ボックスを選択します(推奨)。
ステップ 4 接続するサーバ名を指定する場合は、[Connect only if server name ends with]チェック ボックスを選択し、チェック ボックス内のフィールドに適切なサーバ名の接尾辞を入力します。
(注) サーバ名を入力し、クライアント アダプタが入力したサーバ名と一致しないサーバに接続した場合、認証プロセスの間に接続の続行とキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間は接続が設定されます。
ステップ 5 サーバ証明書をダウンロードした認証局の名前が[Trusted root certificate authority(CA)]フィールドに表示されることを確認します。 必要に応じて、ドロップダウン メニューで矢印をクリックして適切な名前を選択します。
(注) このフィールドが空欄のままの場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 6 上記のフィールドで指定した信頼できるルート証明書を証明サーバが必ず使用するようにするには、[Connect only if server is signed by specified trusted root CA]チェック ボックスを選択します。 これによって、クライアントが不正なアクセス ポイントと接続するのが防がれます。
ステップ 7 現在、Generic Token Card は第 2 フェーズの EAP タイプのみが使用できます。[プロパティ]をクリックします。[Generic Token Card Properties]画面が表示されます(図 5-11)。
図 5-11 [Generic Token Card Properties]画面
ステップ 8 ユーザ データベースに応じて、[Static Password(Windows NT/2000, LDAP)]または[One Time Password]オプションを選択します。
• ステップ 8で[Static Password(Windows NT/2000, LDAP)]オプションを選択した場合、ステップ 10に進みます。
• ステップ 8で[One Time Password]オプションを選択した場合、次のチェック ボックスのいずれか、または両方を選択し、1 回限りのパスワードでサポートサポートされるトークンの種類を指定します。
–[Support Hardware Token]:ハードウェア トークン デバイスは 1 回限りのパスワードを取得します。 各自のハードウェア トークン デバイスを使用して、1 回限りのパスワードを取得し、ユーザ クレデンシャルの入力が要求されたらパスワードを入力する必要があります。
–[Support Software Token]:PEAP サプリカントは、ソフトウェア トークン プログラムで動作して、1 回限りのパスワードを取り出します。 1 回限りのパスワードではなく、PIN のみを入力します。 このチェック ボックスを選択した場合、[Supported Type]ドロップダウン ボックスから、クライアント側でインストールされるソフトウェア トークン ソフトウェア(Secure Computing SofToken バージョン 1.3、Secure Computing SofToken II 2.0、または RSA SecurID Software Token v 2.5 など)も選択する必要があります。また Secure Computing SofToken バージョン 1.3 を選択した場合、[Browse]ボタンでソフトウェア プログラム パスを探す必要があります。
(注) [SofToken Program Path]フィールドは、Secure Computing SofToken バージョン 1.3 以外のソフトウェア トークン プログラムが選択されている場合は使用できません。
ステップ 10 [OK]を 3 回クリックして、設定を保存します。 これで、設定は完了です。
ステップ 11 PEAP による認証手順については、 EAP 認証の使用方法を参照してください。
ステップ 1 EAP タイプについては、[SIM Authentication]を選択します。
ステップ 2 [プロパティ]をクリックします。[SIM Authentication Properties]画面が表示されます(図 5-12を参照)。
図 5-12 [SIM Authentication Properties]画面
ステップ 3 SIM のリソース(データまたはコマンド)にアクセスする場合は、EAP-SIM サプリカントから SIM カードに有効な PIN が提供されなければなりません。この PIN は SIM に保存された PIN と一致する必要があります。 次のオプションのいずれかを選択し、EAP-SIM サプリカントが SIM カードの PIN を処理する方法を指定します。
• [Ask for my PIN once after I turn my computer on](推奨):ソフトウェアは PIN を永続的に保存しません。 各セッションの最初の認証で、ソフトウェアから PIN の入力が 1 度要求されます。セッションは起動からシャットダウンまたはリブートまでの時間として定義されます。
• [Ask for my PIN every time the network asks for authentication]:ソフトウェアは PIN を保存しません。EAP-SIM 認証が実行されるたびに PIN の入力が要求されます。 クライアントがアクセス ポイント間をローミングする場合、またはセッションのタイムアウトが指定されている場合(アカウンティングおよびセキュリティを目的とした場合など)には、このオプションの選択は推奨されません。
• [Let me give my PIN to the computer now and never ask me again; PIN will be encrypted and stored on computer](推奨されません):このオプションの下の[Enter PIN]編集ボックスに、PIN を 1 回だけ入力する必要があります。 ソフトウェアはレジストリに PIN を保存し、要求された場合にレジストリからその PIN を取り出します。 このオプションを選択した場合、この時点で PIN を入力する必要があります。 PIN は認証の試みられたときに評価されます。
(注) このオプションは、他のユーザが PIN を知らなくても SIM を使用できるため、推奨されません。
ステップ 4 [OK]を 2 度クリックして、設定を保存します。 これで、設定は完了です。
ステップ 5 クライアント アダプタの再起動が要求されたら、クライアント アダプタの無線をオフにして、数秒間待機し、再び無線をオンにします。 手順については、「クライアント アダプタの無線のオン/オフ」を参照してください。
ステップ 6 EAP-SIM による認証手順については、 EAP 認証の使用方法を参照してください。
特定のプロファイルに対して LEAP または Host-Based EAP を無効にする必要が生じた場合、EAP 認証タイプに対して次の手順を実行します。
特定プロファイルの LEAP を無効にするには、ACU の[Network Security]画面の[Network Security Type]ドロップダウン ボックスから[None]を選択し、[OK]をクリックします。その後[Profile Manager]画面で[OK]または[Apply]をクリックします。
特定のプロファイルに対して EAP-TLS、PEAP、または EAP-MD5 などの Host-Based EAP 認証を無効にする手順は、次のとおりです。
ステップ 1 ACU で[Network Security]画面の[Network Security Type]ドロップダウン ボックスから[None]を選択し、[OK]をクリックします。
ステップ 2 [Profile Manager]画面で、[OK]または[Apply]をクリックします。
ステップ 3 コンピュータのオペレーティング システムに応じて、次のいずれかを実行します。
• コンピュータで Windows 98、98 SE、NT、または Me を実行している場合、Microsoft 802.1X Authentication Client アプリケーションを実行します。 次にステップ 5に進みます。
• コンピュータで Windows 2000 を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワークとダイヤルアップ接続]をダブルクリックします。[ローカル エリア接続]を右クリックします。[プロパティ]をクリックします。[Local Area Connection Properties]画面が表示されます。
• コンピュータで Windows XP を実行している場合、[マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。[ワイヤレス ネットワーク接続]を右クリックします。[プロパティ]をクリックします。[Wireless Network Connection Properties]画面が表示されます。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
ステップ 5 [Enable network access control using IEEE 802.1X]チェックボックスの選択を解除します。