このドキュメントでは、ワイヤレス LAN コントローラ、Microsoft Windows 2003 ソフトウェア、および Cisco Secure Access Control Server(ACS)4.0 で、Protected Extensible Authentication Protocol(PEAP)と Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)バージョン 2 を使用して、セキュアな無線アクセスを設定する方法について説明します。
注:セキュリティワイヤレスの展開については、Microsoft Wi-Fi Webサイト およびCisco SAFE Wireless Blueprintを参照してください。
ここでは、インストール担当者が Windows 2003 と Cisco コントローラのインストールに関する基本的な知識を持っていることを前提とし、このドキュメントではテストを実行するための特定の設定についてのみ説明しています。
Cisco 4400 シリーズ コントローラの初期インストールと設定については、『クイック スタート ガイド: Cisco 4400 シリーズ ワイヤレス LAN コントローラ.Cisco 2000 シリーズ コントローラの初期インストールと設定については、『クイック スタート ガイド: Cisco 2000 シリーズ Wireless LAN Controller.
Microsoft Windows 2003 のインストールおよび設定のガイドについては、『Installing Windows Server 2003 R2』を参照してください。
開始する前に、テスト ラボの各サーバに Microsoft Windows Server 2003 SP1 のオペレーティング システムをインストールし、すべての Service Pack をアップデートしておいてください。コントローラと Lightweight Access Point(LAP; Lightweight アクセス ポイント)をインストールし、最新のソフトウェア更新プログラムが設定されていることを確認します。
重要:このドキュメントが書かれている時点では、SP1 が Microsoft Windows Server 2003 の最新アップデートで、SP2 とアップデート パッチが Microsoft Windows XP Professional の最新ソフトウェアです。
Windows Server 2003 Enterprise Edition SP1 を使用すると、PEAP 認証用のユーザ証明書およびワークステーション証明書の自動登録を設定できます。証明書の自動登録と自動更新を使用すると、証明書の期限管理と更新を自動化できるため、証明書の配布が容易になると同時に、セキュリティも向上します。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
バージョン 3.2.116.21 が稼働する Cisco 2006 または 4400 シリーズ コントローラ
Cisco 1131 Lightweight Access Point Protocol(LWAPP)AP
Windows 2003 Enterprise(Internet Information Server(IIS)、Certificate Authority(CA; 認証局)、DHCP、Domain Name System(DNS; ドメイン ネーム システム)がインストールされているもの)
Access Control Server(ACS)4.0 が稼働する Windows 2003 Standard
Windows XP Professional SP(および最新の Service Pack)と、無線ネットワーク インターフェイス カード(NIC)(CCX v3 をサポートしているもの)またはサード パーティのサプリカント
Cisco 3560 スイッチ
このドキュメントでは、次のネットワーク セットアップを使用します。
シスコのセキュア ワイヤレス ラボのトポロジ
このドキュメントの第 1 の目的は、ACS 4.0 と Windows 2003 Enterprise サーバを使用する Unified Wireless Network 環境で PEAP を実装する手順を説明することです。特に、クライアントの登録とサーバからクライアントへの証明書の取得を自動化する、クライアントの自動登録の機能に重点を置いています。
注:Temporal Key Integrity Protocol(TKIP)/Advanced Encryption Standard(AES)を搭載したWi-Fi Protected Access(WPA)/WPA2をSPを搭載したWindows XP Professionalに追加するには、『WPA2/Wireless Provisioning Services Information Element (WPS IE update)』をを参照してくださいWindows XP Service Pack 2用 。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
DC_CA とは、Windows Server 2003 Enterprise Edition SP1 が稼働していて、次の役割を実行するコンピュータのことです。
IIS を実行する wirelessdemo.local ドメインのドメイン コントローラ
wirelessdemo.local DNS ドメインの DNS サーバ
DHCP サーバ
wirelessdemo.local ドメインのエンタープライズ ルート CA
DC_CA で、これらのサービスを実行できるように設定するには、次の手順を実行します。
次のステップを実行します。
Windows Server 2003 Enterprise Edition SP1 をスタンドアロン サーバとしてインストールします。
IP アドレスは 172.16.100.26、サブネット マスクは 255.255.255.0 で TCP/IP プロトコルを設定します。
次のステップを実行します。
[Start] > [Run] を選択して dcpromo.exe と入力し、[OK] をクリックして Active Directory のインストール ウィザードを開始します。
[Welcome to the Active Directory Installation Wizard] ページで、[Next] をクリックします。
[Operating System Compatibility] ページで、[Next] をクリックします。
[Domain Controller Type] ページで [Domain Controller for a new Domain] を選択し、[Next] をクリックします。
[Create New Domain] ページで [Domain in a new forest] を選択し、[Next] をクリックします。
[Install or Configure DNS] ページで [No, just install and configure DNS on this computer] を選択し、[Next] をクリックします。
New Domain Name ページで wirelessdemo.local と入力して、Next をクリックします。
NetBIOS Domain Name ページで、Domain NetBIOS name に wirelessdemo と入力して、Next をクリックします。
[Database and Log Folders] ページで、[Database folder] と [Log folder] のディレクトリはデフォルトのまま、[Next] をクリックします。
[Shared System Volume] ページで、デフォルトのフォルダ場所が正しいことを確認して、[Next] をクリックします。
[Permissions] ページで、[Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems] が選択されていることを確認して、[Next] をクリックします。
[Directory Services Restore Mode Administration Password] ページで、パスワードのボックスは空白のままにして、[Next] をクリックします。
[Summary] ページで情報を確認して [Next] をクリックします。
Active Directory のインストールが完了したら、[Finish] をクリックします。
コンピュータの再起動を指示するプロンプトが表示されたら、[Restart Now] をクリックします。
次のステップを実行します。
[管理ツール]フォルダから[Active Directory Domains and Trusts]スナップインを開きて([スタート] > [プログラム] > [管理ツール] > [Active Directory Domains and Trusts])、ドメインコンピュータDC_CA.wirelesdemo.localを右クリックします。
[Raise Domain Functional Level] をクリックし、[Raise Domain Functional Level] ページで [Windows Server 2003] を選択します。
[Raise] をクリックし、[OK] をクリックしてから、もう一度 [OK] をクリックします。
次のステップを実行します。
コントロール パネルの [プログラムの追加と削除] を使用して、Dynamic Host Configuration Protocol(DHCP)を Networking Service コンポーネントとしてインストールします。
Administrative Toolsフォルダ([Start] > [Programs] > [Administrative Tools] > [DHCP])からDHCPスナップインを開き、DHCPサーバDC_CA.wirelessdemo.localを強調表示します。
[Action] をクリックしてから [Authorize] をクリックし、DHCP サービスを許可します。
コンソール ツリーで DC_CA.wirelessdemo.local を右クリックして、New Scope をクリックします。
[New Scope] ウィザードの [Welcome] ページで、[Next] をクリックします。
[Scope Name] ページで、[Name] フィールドに CorpNet と入力します。
[Next] をクリックし、次のようにパラメータを入力します。
開始IPアドレス:172.16.100.1
[End IP address]:172.16.100.254
長さ:24
サブネットマスク:255.255.255.0
Next をクリックし、除外するアドレスの Start IP address に 172.16.100.1、End IP address に 172.16.100.100 と入力します。次に、[Next] をクリックします。これにより、172.16.100.1 ~ 172.16.100.100の範囲のIPアドレスが予約されます。これらの予約IPアドレスはDHCPサーバによって割り当てられることはありません。
[Lease Duration] ページで [Next] をクリックします。
[Configure DHCP Options] ページで [Yes, I want to configure these options now] を選択し、[Next] をクリックします。
Router (Default Gateway) ページで、デフォルト ルータ アドレスの 172.16.100.1 を追加し、Next をクリックします。
Domain Name and DNS Servers ページで、Parent domain フィールドに wirelessdemo.local、IP address フィールドに 172.16.100.26 と入力し、Add をクリックしてから Next をクリックします。
[WINS Servers] ページで [Next] をクリックします。
[Activate Scope] ページで、[Yes, I want to activate this scope now] を選択し、[Next] をクリックします。
[New Scope Wizard] ページが完了したら、[Finish] をクリックします。
次のステップを実行します。
注:証明書サービスをインストールする前にIISをインストールする必要があり、ユーザーはエンタープライズ管理者OUの一部である必要があります。
コントロール パネルで [Add or Remove Programs] を開き、[Add/Remove Windows Components] をクリックします。
[Windows Components Wizard] ページで [Certificate Services] を選択し、[Next] をクリックします。
[CA Type] ページで [Enterprise root CA] を選択し、[Next] をクリックします。
CA Identifying Information ページで、Common name for this CA ボックスに wirelessdemoca と入力します。その他の情報もオプションで入力できます。次に [Next] をクリックし、[Certificate Database Settings] ページはデフォルトのまま使用します。
[next] をクリックします。インストールが完了したら、[Finish] をクリックします。
IIS のインストールに関する警告メッセージを読んでから、[OK] をクリックします。
次のステップを実行します。
[Start] > [Administrative Tools] > [Certification Authority] を選択します。
wirelessdemoca CA を右クリックし、Properties を選択します。
[Security] タブの [Group or User names] リストで、[Administrators] をクリックします。
Permissions for Administrators リストで、次のオプションが Allow に設定されていることを確認します。
Issue and Manage Certificates
Manage CA
Request Certificates
Deny に設定されていたり、チェックマークが入っていないオプションがある場合は、権限を Allow に設定します。
OK をクリックして wirelessdemoca CA Properties ダイアログボックスを閉じ、続いて Certification Authority を終了します。
次のステップを実行します。
注:コンピュータが既にドメインに追加されている場合は、「ドメインにユーザを追加する」に進みます。
[Active Directory Users and Computers] スナップインを開きます。
コンソール ツリーで wirelessdemo.local を展開します。
Users を右クリックして New をクリックし、Computer をクリックします。
[New Object – Computer] ダイアログボックスで、[Computer name] フィールドにコンピュータの名前を入力し、[Next] をクリックします。この例では、Client というコンピュータ名を使用します。
[Managed] ダイアログボックスで [Next] をクリックします。
[New Object – Computer] ダイアログボックスで [Finish] をクリックします。
さらにコンピュータ アカウントを作成する場合は、ステップ 3 ~ 6 を繰り返します。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで [Computers] フォルダをクリックし、ワイヤレス アクセスを許可するコンピュータを右クリックします。この例では、ステップ 7 で追加したコンピュータ Client を使用した手順を紹介しています。Properties をクリックし、Dial-in タブに移動します。
Allow access を選択して OK をクリックします。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] を右クリックし、[New] をクリックして、[User] をクリックします。
[New Object – User] ダイアログボックスで、ワイヤレス ユーザの名前を入力します。この例では、[First name] フィールドに wirelessuser、[User logon name] フィールドに wirelessuser という名前を使用しています。[next] をクリックします。
[New Object – User] ダイアログボックスで、[Password] および [Confirm password] フィールドに任意のパスワードを入力します。[User must change password at next logon] チェックボックスをオフにし、[Next] をクリックします。
[New Object – User] ダイアログボックスで、[Finish] をクリックします。
追加のユーザ アカウントを作成するには、ステップ 2 ~ 4 を繰り返します。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] フォルダをクリックし、[wirelessuser] を右クリックして [Properties] をクリックし、[Dial-in] タブに移動します。
Allow access を選択して OK をクリックします。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] を右クリックして [New] をクリックし、[Group] をクリックします。
[New Object – Group] ダイアログボックスで、[Group name] フィールドにグループの名前を入力し、[OK] をクリックします。このドキュメントでは、WirelessUsers というグループ名を使用します。
次のステップを実行します。
[Active Directory Users and Computers] の詳細ペインで、グループ [WirelessUsers] をダブルクリックします。
[Members] タブに移動し、[Add] をクリックします。
Select Users, Contacts, Computers, or Groups ダイアログボックスで、グループに追加するユーザの名前を入力します。この例では、ユーザ wirelessuser をグループに追加する手順を説明しています。[OK] をクリックします。
[Multiple Names Found] ダイアログボックスで [OK] をクリックします。wirelessuser のユーザ アカウントが、wirelessusers のグループに追加されます。
[OK] をクリックして、wirelessusers のグループに対する変更を保存します。
さらにユーザをグループに追加する場合は、この手順を繰り返します。
次のステップを実行します。
このドキュメントの「WirelessUsers グループにユーザを追加する」セクションのステップ 1 と 2 を繰り返します。
[Select Users, Contacts, or Computers] ダイアログボックスで、グループに追加するコンピュータの名前を入力します。この例では、Client という名前のコンピュータをグループに追加する手順を説明しています。
[Object Types] をクリックし、[Users] チェックボックスをオフにして、[Computers] にチェックマークを入れます。
[OK] を 2 回クリックします。CLIENT のコンピュータ アカウントが、WirelessUsers のグループに追加されます。
さらにコンピュータをグループに追加するには、この手順を繰り返します。
Cisco Secure ACS は、Windows Server 2003 Standard Edition SP1 が稼働していて、コントローラに RADIUS 認証および認可を提供するコンピュータです。ACS を RADIUS サーバとして設定するには、このセクションの手順を実行します。
次のステップを実行します。
Windows Server 2003 Standard Edition SP1 を、wirelessdemo.local ドメインの ACS という名前のメンバ サーバとしてインストールします。
注:残りの設定では、ACSサーバ名はcisco_w2003と表示されます。ラボ環境の以降のセットアップでは、ACS あるいは cisco_w2003 で読み換えてください。
ローカルエリア接続の場合は、IP アドレスは 172.16.100.26、サブネット マスクは 255.255.255.0、DNS サーバの IP アドレスは 127.0.0.1 で、TCP/IP プロトコルを設定します。
注:Cisco Secure ACS 4.0 for Windowsの設定方法の詳細については、『Cisco Secure ACS 4.0 for Windowsインストールガイド』を参照してください。
次のステップを実行します。
ドメイン管理者アカウントを使用して、ACS という名前のコンピュータにログインし、Cisco Secure ACS をインストールします。
注:Cisco Secure ACSをインストールするコンピュータでのみ実行されるインストールがサポートされます。Windows Terminal Services や、Virtual Network Computing(VNC)などの製品を使用したリモート インストールはテストされておらず、サポートされていません。
コンピュータの CD-ROM ドライブに Cisco Secure ACS CD を挿入します。
CD-ROM ドライブが Windows の自動再生機能をサポートしている場合は、Cisco Secure ACS for Windows Server ダイアログボックスが表示されます。
注:コンピュータに必要なサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows の Service Pack の適用は、Cisco Secure ACS のインストール前でもインストール後でもかまいません。インストールはそのまま続行できますが、インストール完了後に、必ず、必要な Service Pack を適用してください。これを行わないと、Cisco Secure ACS が正常に機能しない場合があります。
次のタスクのいずれかを実行します。
Cisco Secure ACS for Windows Server ダイアログボックスが表示された場合は、Install をクリックします。
Cisco Secure ACS for Windows Server ダイアログボックスが表示されない場合は、Cisco Secure ACS CD のルート ディレクトリにある setup.exe を実行します。
Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア ライセンス契約書が表示されます。
ソフトウェア ライセンス契約書をお読みください。ソフトウェア ライセンス契約書に同意する場合は、Accept をクリックします。
Welcome ダイアログボックスに、セットアップ プログラムに関する基本的な情報が表示されます。
Welcome ダイアログボックスの情報を読み終わったら、Next をクリックします。
Before You Begin ダイアログボックスに、インストールを続行する前に完了しておく必要のある項目が一覧表示されます。Before You Begin ダイアログボックスに表示されている項目がすべて完了していたら、各項目に対応するボックスにチェックマークを入れて、Next をクリックします。
注: [開始前]ダイアログボックスに表示されているすべての項目を完了していない場合は、[キャンセル]をクリックして、[設定の終了]をクリックします。Before You Begin ダイアログボックスに表示されているすべての項目を完了してから、インストールを再開します。
Choose Destination Location ダイアログボックスが表示されます。Destination Folder にインストール場所が表示されます。このドライブとパスが、Cisco Secure ACS がインストールされる場所になります。
インストール場所を変更する場合は、次の手順を実行します。
[Browse] をクリックします。Choose Folder ダイアログボックスが表示されます。Path ボックスに、インストール場所が表示されます。
インストール場所を変更します。Path ボックスに新しい場所を入力するか、Drives and Directories リストを使用して新しいドライブとディレクトリを選択します。インストール場所は、コンピュータのローカル ドライブである必要があります。
注:パスにパーセント文字「%」を含むパスは指定しないでください。 使用した場合、インストールは問題なく続行されるように見えますが、途中で失敗します。
[OK] をクリックします。
注記:存在しないフォルダを指定した場合、フォルダの作成を確認するダイアログボックスが表示されます。続行する場合は [Yes] をクリックします。
Choose Destination Location ダイアログボックスの Destination Folder に、新しいインストール場所が表示されます。
[next] をクリックします。
Authentication Database Configuration ダイアログボックスに、ユーザを認証する際のオプションが一覧表示されます。認証は、Cisco Secure ユーザ データベースだけを使用して実行するか、これに加えて Windows ユーザ データベースも使用して実行することができます。
注:Cisco Secure ACSをインストールした後、Windowsユーザデータベースに加えて、すべての外部ユーザデータベースタイプの認証サポートを設定できます。
ユーザの認証に、Cisco Secure ユーザ データベースだけを使用する場合は、Check the Cisco Secure ACS database only オプションを選択します。
ユーザの認証に、Cisco Secure ユーザ データベースに加えて、Windows Security Access Manager(SAM)ユーザ データベースまたは Active Directory ユーザ データベースを使用する場合は、次の手順を実行します。
Also check the Windows User Database オプションを選択します。
Yes, refer to "Grant dialin permission to user" setting チェックボックスが使用可能になります。
注:[Yes, refer to "Grant dialin permission to user" setting]チェックボックスは、ダイヤルインアクセスだけでなく、Cisco Secure ACSによって制御されるすべての形式のアクセスに適用されます。たとえば、VPN トンネル経由でネットワークにアクセスするユーザは、ネットワーク アクセス サーバにダイヤルインはしません。しかし、Yes, refer to "Grant dialin permission to user" setting ボックスにチェックマークを入れると、Cisco Secure ACS では、ネットワークに対するユーザ アクセスの可否を判別する場合に Windows ユーザのダイヤルイン権限を適用するようになります。
Windows ドメイン ユーザ データベースで認証されたユーザにつき、各ユーザが Windows アカウントでダイヤルイン権限を持っているときだけにアクセスを許可する場合は、Yes, refer to "Grant dialin permission to user" setting ボックスにチェックマークを入れます。
[next] をクリックします。
セットアップ プログラムによって、Cisco Secure ACS がインストールされ、Windows のレジストリが更新されます。
Advance Options ダイアログボックスに、Cisco Secure ACS の機能がいくつか表示されます。これらの機能は、デフォルトでは無効になっています。これらの機能の詳細については、『Cisco Secure ACS ユーザ ガイド Windows 版 Version 4.0』を参照してください。
注:上記の機能は、Cisco Secure ACS HTMLインターフェイスで有効にした場合にのみ表示されます。インストール後は、Interface Configuration セクションの Advanced Options ページで、これらの機能を有効または無効にできます。
有効にする機能につき、それぞれ対応するボックスにチェックマークを入れます。
[next] をクリックします。
Active Service Monitoring ダイアログボックスが表示されます。
注:インストール後、[システムの設定(System Configuration)]セクションの[アクティブサービス管理(Active Service Management)]ページでアクティブサービス監視機能を設定できます。
Cisco Secure ACS でユーザ認証サービスを監視する場合は、Enable Login Monitoring ボックスにチェックマークを入れます。Script to Execute リストで、認証サービスが失敗した場合に適用するオプションを次の中から選択します。
是正措置なし:Cisco Secure ACSはスクリプトを実行しません。
注:このオプションは、イベントメール通知を有効にする場合に便利です。
リブート:Cisco Secure ACSは、Cisco Secure ACSを実行するコンピュータをリブートするスクリプトを実行します。
Restart All:Cisco Secure ACSはすべてのCisco Secure ACSサービスを再起動します。
RADIUS/TACACS+の再起動:Cisco Secure ACSは、RADIUSおよびTACACS+サービスのみを再起動します。
サービス モニタリングでイベントが検出されたときに、Cisco Secure ACS から E メール メッセージを送信させる場合は、Mail Notification ボックスにチェックマークを入れます。
[next] をクリックします。
Database Encryption Password ダイアログボックスが表示されます。
注:データベース暗号化パスワードは暗号化され、ACSレジストリに保存されます。このパスワードは、重大な問題が発生して、データベースに手動でアクセスする必要が発生した場合などに必要になります。このパスワードは、テクニカルサポートがデータベースにアクセスできるように、手元に保存しておいてください。パスワードは、有効期間が終了するごとに変更できます。
データベースの暗号化に使用するパスワードを入力します。パスワードは、最低 8 文字の長さで、文字と数字の両方を含んでいる必要があります。無効な文字はありません。
[next] をクリックします。
セットアップ プログラムが終了し、Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。
適用する Cisco Secure ACS Services Initiation のオプションにつき、それぞれ対応するボックスにチェックマークを入れます。各オプションに関連する処理はセットアップ プログラムの終了後に有効になります。
はい、I want to start the Cisco Secure ACS Service now:Cisco Secure ACSを構成するWindowsサービスを開始します。このオプションを選択しなかった場合は、コンピュータを再起動するか、CSAdmin サービスを開始するまで、Cisco Secure ACS HTML インターフェイスは使用できません。
Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation:現在のWindowsユーザアカウントのデフォルトWebブラウザでCisco Secure ACS HTMLインターフェイスを開きます。
Yes, I want to view the Readme File:Windowsのメモ帳でREADME.TXTファイルを開きます。
[next] をクリックします。
いずれかのオプションを選択していた場合は、Cisco Secure ACS サービスが開始されます。Setup Complete ダイアログボックスに、Cisco Secure ACS HTML インターフェイスに関する情報が表示されます。
[Finish] をクリックします。
注:設定の残りの部分は、設定されているEAPタイプのセクションに記載されています。
次のステップを実行します。
注:コントローラがネットワークに基本的に接続しており、管理インターフェイスへのIP到達可能性が成功していることを前提としています。
ブラウザで https://172.16.101.252 を開いて、コントローラにログインします。
Login をクリックします。
デフォルト ユーザの admin とデフォルト パスワードの admin を使用してログインします。
[Controller]メニューで、VLANマッピング用の新しいインターフェイスを作成します。
[Interfaces] をクリックします。
[New] をクリックします。
Interface name フィールドに Employee と入力します。(このフィールドには、任意の値を入力できます)。
[VLAN ID]フィールドに20と入力します(このフィールドには、ネットワークで伝送される任意のVLANを指定できます)。
[Apply] をクリックします。
次の[Interfaces > Edit]ウィンドウが表示されるように、情報を設定します。
[Apply] をクリックします。
[WLANs] タブをクリックします。
[新規作成]を選択し、[移動]をクリックします。
[Profile Name]を入力し、[WLAN SSID]フィールドに「Employee」と入力します。
WLANのIDを選択し、[Apply]をクリックします。
[WLANs > Edit]ウィンドウが表示されたら、このWLANの情報を設定します。
注:この実習では、WPAv2がレイヤ2暗号化方式として選択されています。この SSID に関連付ける TKIP-MIC クライアントで WPA を使用させるには、802.11i AES 暗号化方式をサポートしていないクライアントで、[WPA compatibility mode] と [Allow WPA2 TKIP Clients] のチェックボックスをオンにします。
[WLANs > Edit] 画面で [General] タブをクリックします。
[Status]ボックスの[Enabled]にチェックマークが付いて、適切なインタフェース(従業員)が選択されていることを確認します。また、[Broadcast SSID] の [Enabled] チェックボックスがオンになっていることも確認します。
[Security] タブをクリックします。
[Layer 2]サブメニューの[Layer 2 Security]で[WPA + WPA2]をオンにします。WPA2暗号化の場合は、TKIPクライアントを許可するために[AES + TKIP]をオンにします。
認証方式には 802.1x を選択します。
レイヤ 3 サブメニューは不要のため、スキップします。RADIUSサーバを設定したら、[Authentication]メニューから適切なサーバを選択できます。
QoSタブとAdvancedタブは、特別な設定が必要でない限り、デフォルトのままにすることができます。
[Security] メニューをクリックし、RADIUS サーバを追加します。
[RADIUS]サブメニューの下で、[Authentication]をクリックします。次に、[New] をクリックします。
RADIUS サーバの IP アドレス(172.16.100.25)を追加します。このアドレスは、前の手順で設定した ACS サーバのものです。
共有キーが、ACS サーバで設定されている AAA クライアントと一致していることを確認します。[Network User]チェックボックスがオンになっていることを確認し、[Apply]をクリックします。
これで基本設定が完了し、PEAP のテストが実行できるようになりました。
MS-CHAP バージョン 2 を使用した PEAP の場合、ACS サーバの証明書は必要ですが、ワイヤレス クライアントの証明書は不要です。ACSサーバのコンピュータ証明書の自動登録を使用すると、導入を簡素化できます。
コンピュータ証明書とユーザ証明書の自動登録を実行するように DC_CA を設定するには、このセクションの手順を実行します。
注:Microsoftは、Windows 2003 Enterprise CAのリリースでWeb Serverテンプレートを変更したため、キーがエクスポートできなくなり、オプションがグレー表示されます。サーバ認証に使用でき、ドロップダウンで使用できるキーをエクスポート可能にマークできる機能を備えた証明書サービスでは、これ以外の証明書テンプレートは提供されていないため、これを実行する新しいテンプレートを作成する必要があります。
注: Windows 2000ではエクスポート可能なキーを使用できます。Windows 2000を使用する場合は、これらの手順に従う必要はありません。
次のステップを実行します。
Start > Runの順に選択し、mmcと入力して、OKをクリックします。
File メニューで Add/Remove Snap-in をクリックし、Add をクリックします。
[Snap-in] の下にある [Certificate Templates] をダブルクリックし、[Close] をクリックしてから [OK] をクリックします。
コンソール ツリーで [Certificate Templates] をクリックします。詳細ペインに、すべての証明書テンプレートが表示されます。
ステップ 2 〜 4 を省略するには、certtmpl.msc と入力すると、Certificate Templates スナップインが開きます。
次のステップを実行します。
[Certificate Templates] スナップインの詳細ペインで、[Web Server] テンプレートをクリックします。
[Action] メニューで [Duplicate Template] をクリックします。
Template display name フィールドに、ACS と入力します。
[Request Handling] タブに移動し、[Allow private key to be exported] にチェックを入れます。また、[Purpose] ドロップダウン メニューで [Signature and Encryption] が選択されていることを確認します。
[Requests must use one the following CSPs]を選択し、[Microsoft Base Cryptographic Provider v1.0]をオンにします。オンになっている他のCSPのチェックマークを外して、[OK]をクリックします。
Subject Name タブに移動し、Supply in the request を選択して OK をクリックします。
Security タブに移動して、Domain Admins Group を選択し、Allowed の下部にある Enroll オプションにチェックマークが入っていることを確認します。
重要:[Active Directory Users and Computers] スナップインでは、ワイヤレス ユーザ アカウントに電子メール名は入力しないため、この Active Directory 情報からの構築を選択する場合は、件名および電子メール名では [User principal name (UPN)] のみをチェックし、[Include email name] のチェックマークを外します。これら2つのオプションを無効にしない場合、自動登録では電子メールの使用が試行され、自動登録エラーが発生します。
証明書が自動的にプッシュされてしまうことを防止する必要がある場合は、追加のセキュリティ対策が用意されています。これらの機能は、[Issuance Requirements] タブにあります。このドキュメントでは、詳細は説明しません。
OK をクリックしてテンプレートを保存し、Certificate Authority スナップインからこのテンプレートを発行するようにします。
次のステップを実行します。
[Certification Authority] スナップインを開きます。「Create the Certificate Template for the ACS Web Server」セクションのステップ1 ~ 3に従って、[Certificate Authority]オプションを選択し、[Local Computer]を選択し、[Finish]をクリックします。
コンソール ツリーで、wirelessdemoca を展開し、Certificate Templates を右クリックします。
New > Certificate Template to Issue の順に選択します。
ACS Certificate Template をクリックします。
[OK] をクリックし、[Active Directory Users and Computers] スナップインを開きます。
コンソール ツリーで Active Directory Users and Computers をダブルクリックし、wirelessdemo.local を右クリックして Properties をクリックします。
[Group Policy] タブで、[Default Domain Policy] をクリックし、次に [Edit] をクリックします。これにより、Group Policy Object Editor スナップインが開きます。
コンソールツリーで、[コンピュータの構成] > [Windowsの設定] > [セキュリティの設定] > [公開キーポリシー]を展開し、[自動証明書要求の設定]を選択します。
[Automatic Certificate Request Settings]を右クリックし、[New] > [Automatic Certificate Request]を選択します。
[Welcome to the Automatic Certificate Request Setup Wizard] ページで [Next] をクリックします。
Certificate Template ページで Computer をクリックし、Next をクリックします。
Automatic Certificate Request Setup Wizard ページが完了したら、[Finish] をクリックします。
[Group Policy Object Editor] スナップインの詳細ペインに、コンピュータ証明書の種類が表示されます。
コンソール ツリーで、[User Configuration] > [Windows Settings] > [Security Settings] > [Public Key Policies] を展開します。
詳細ペインの Autoenrollment Settings をダブルクリックします。
[Enroll certificates automatically] を選択し、[Renew expired certificates, update pending certificates and remove revoked certificates] と [Update certificates that use certificate templates] にチェックマークを入れます。
[OK] をクリックします。
重要:ACS サーバが WLAN の PEAP クライアントの認証を実行するには、エンタープライズ ルート CA サーバからサーバ証明書を取得している必要があります。
重要:証明書の設定作業中は、IIS Manager が起動していないことを確認してください。IIS Manager が起動していると、キャッシュ情報に関する問題が発生することがあります。
Enterprise Admin 権限を持っているアカウントで、ACS サーバにログインします。
ローカル ACS マシンで、ブラウザから http://<ルート CA の IP アドレス>/certsrv で Microsoft 認証局サーバを指定します。この例では、IP アドレスは 172.16.100.26 です。
Administrator でログインします。
[Request a Certificate] を選択して、[Next] をクリックします。
[Advanced Request] を選択して、[Next] をクリックします。
Create and submit a request to this CA を選択して、Next をクリックします。
重要:この手順を実行する理由は、Windows 2003 では、エクスポート可能なキーを使用できないため、前の手順で作成した ACS 証明書に基づいて、証明書の要求を生成する必要があるからです。
Certificate Templates で、前の手順で作成した ACS という名前の証明書テンプレートを選択します。テンプレートを選択すると、オプションが変更されます。
Name に、ACS サーバの完全修飾ドメイン名を設定します。この場合、ACSサーバ名はcisco_w2003.wirelessdemo.localです。[Store certificate in the local computer certificate store]がオンになっていることを確認し、[Submit]をクリックします。
ポップアップ ウィンドウに、スクリプト違反の可能性があることを示す警告が表示されます。[Yes] を選択します。
[Install this certificate] をクリックします。
ポップアップ ウィンドウがもう一度表示され、スクリプト違反の可能性があることが警告されます。[Yes] を選択します。
Yes をクリックすると、証明書がインストールされます。
この時点で、証明書はCertificates MMCのPersonal > Certificatesにインストールされます。
これで、ローカル コンピュータ(この例では、ACS または cisco_w2003)に証明書がインストールされたので、続いて ACS 4.0 の証明書ファイル設定用の証明書ファイル(.cer)を生成する必要があります。
ACS サーバで(この例では cisco_w2003)、ブラウザから http://172.16.100.26 /certsrv の Microsoft 認証局サーバを指定します。
次のステップを実行します。
ACS サーバで(この例では cisco_w2003)、ブラウザから http://172.16.100.26 /certsrv の Microsoft CA サーバを指定します。
Select a Task オプションから Download a CA certificate, certificate chain or CRL を選択します。
無線エンコード方式として Base 64 を選択し、Download CA Certificate をクリックします。
File Download Security Warning ウィンドウが表示されます。[Save] をクリックします。
ACS.cer など任意の名前でファイルを保存します。この名前は、ACS 4.0 の ACS Certificate Authority のセットアップで使用しますので、覚えておいてください。
インストール時に作成されたデスクトップのショートカットを使用して、ACS Admin を開きます。
System Configuration をクリックします。
[ACS Certificate Setup] をクリックします。
[Install ACS Certificate]をクリックします。
Use certificate from storage を選択し、完全修飾ドメイン名の cisco_w2003.wirelessdemo.local(名前に ACS を使用している場合は ACS.wirelessdemo.local)を入力します。
[Submit] をクリックします。
System Configuration をクリックします。
Service Control をクリックし、Restart をクリックします。
System Configuration をクリックします。
[Global Authentication Setup]をクリックします。
Allow EAP-MSCHAPV2 と Allow EAP-GTC にチェックマークを入れます。
[Submit + Restart] をクリックします。
System Configuration をクリックします。
ACS Certification Authority Setup をクリックします。
ACS Certification Authority Setup ウィンドウで、前の手順で作成した *.cer ファイルの名前と場所を入力します。この例では、作成した *.cer ファイルは ACS.cer で、ルート ディレクトリの c:\ に保存されています。
CA certificate file フィールドに c:\acs.cer と入力し、Submit をクリックします。
ACS サービスを再起動します。
この例では、CLIENT は、Windows XP Professional SP2 が稼働し、無線クライアントとして機能していて、無線 AP 経由でイントラネット リソースにアクセス可能なコンピュータです。CLIENT をワイヤレス クライアントとして設定するには、このセクションの手順を実行します。
次のステップを実行します。
イーサネット ケーブルを使用して CLIENT をハブに接続し、イントラネット ネットワーク セグメントに接続します。
CLIENT に、Windows XP Professional SP2 をインストールします。このインストールでは、wirelessdemo.local ドメインの CLIENT という名前のメンバ コンピュータとして設定します。
Windows XP Professional SP2をインストールします。PEAPをサポートするには、このインストールが必要です。
注意: Windows XP Professional SP2では、Windowsファイアウォールが自動的にオンになります。ファイアウォールをオフにしないでください。
次のステップを実行します。
CLIENT コンピュータをシャットダウンします。
CLIENT コンピュータとイントラネット ネットワーク セグメントの接続を解除します。
CLIENT コンピュータを再起動し、ローカル管理者アカウントを使用してログインします。
ワイヤレス ネットワーク アダプタをインストールします。
重要:製造元提供の無線アダプタの設定ソフトウェアはインストールしないでください。ワイヤレス ネットワーク アダプタ ドライバのインストールには、Add Hardware Wizard を使用します。また、プロンプトが表示された場合は、製造元から提供された CD、または Windows XP Professional SP2 用の最新ドライバが入っているディスクを挿入します。
次のステップを実行します。
ログオフし、wirelessdemo.local ドメインの WirelessUser アカウントを使用してログインします。
[Start] > [Control Panel] を選択し、[Network Connections] をダブルクリックして、[Wireless Network Connection] を右クリックします。
Properties をクリックし、Wireless Networks タブに移動して、Use Windows to configure my wireless network settings にチェックマークが入っていることを確認します。
[Add] をクリックします。
Association タブで、Network name (SSID) フィールドに Employee と入力します。
[Network Authentication]に[WPA]を選択し、[Data Encryption]が[TKIP]に設定されていることを確認します。
Authentication タブに移動します。
EAP type で Protected EAP (PEAP) を使用するように設定されていることを確認します。 そうなっていない場合は、ドロップダウン メニューでこれを選択します。
ログイン前にマシンの認証を実行する場合は(この場合、ログイン スクリプトやグループ ポリシー プッシュを適用できます)、Authenticate as computer when computer information is available にチェックマークを入れます。
[Properties] をクリックします。
PEAPにはクライアントによるサーバの認証が含まれているため、[Validate server certificate]がオンになっていることを確認します。また、[Trusted Root Certification Authorities] メニューで、ACS 証明書として発行された CA にチェックマークが付いていることを確認します。
[Select Authentication Method] に [Secured password (EAP-MSCHAP v2)] を選択します。これは内部認証として使用されます。
[Enable Fast Reconnect] チェックボックスがオンになっていることを確認します。次に、[OK] を 3 回クリックします。
システムトレイの無線ネットワーク接続のアイコンを右クリックして、View Available Wireless Networks をクリックします。
Employee の無線ネットワークをクリックし、Connect をクリックします。
次のスクリーン ショットは、接続が正常に完了したかどうかを示しています。
認証が成功したら、Network Connections を使用して、ワイヤレス アダプタの TCP/IP 設定を確認します。無線アダプタには、172.16.100.100 〜 172.16.100.254 の範囲内のアドレスが、DHCP スコープ、または無線クライアント用に作成したスコープから割り当てられます。
機能をテストするため、ブラウザを開いて、http://wirelessdemoca(または、エンタープライズ CA サーバの IP アドレス)を表示します。
この問題は、すべての Windows バージョンと 2.x のソリューションで発生します。
通常は、XP の無線サービスの設定が原因でこの問題が発生します。
この問題を解決するには、次の手順を実行します。
[Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Services] の順に選択します。
リストの最後に移動して、Wireless Zero Configuration を探します。
この設定をダブルクリックします。
このサービスを停止するオプションを選択します。
起動タイプの設定で disable を選択します。
注:サービスを停止するだけで、リブート時に再起動するので、この問題が再発しないように無効にする必要があります。
設定を保存して終了します。
クライアントがACSサーバでPEAP認証に失敗した場合、ACSの[Report and Activity]メニューの[Failed attempts]オプションに「NAS duplicated authentication attempt」エラーメッセージが表示されているかどうかを確認します。
クライアント マシンに Microsoft Windows XP SP2 がインストールされており、Windows XP SP2 が Microsoft IAS サーバ以外のサードパーティ サーバに対して認証を行う場合、このエラー メッセージを受け取る場合があります。特に、Cisco RADIUS サーバ(ACS)で使用する Extensible Authentication Protocol Type:Length:Value(EAP-TLV)フォーマット ID の計算方法が、Windows XP が使用する方法と異なる場合に起こります。Microsoft では、これを XP SP2 サプリカントの不具合と特定しています。
ホットフィックスについては、Microsoftに連絡し、記事KB885453を参照してください。根本的な問題は、クライアント側でwindowsユーティリティを使用している場合、PEAPに対してFast Reconnectオプションがデフォルト無効になっていることです。サーバ側(ACS)ではデフォルトでイネーブルになっていることにあります。 この問題を解決するには、ACSサーバの[Fast Reconnect]オプションをオフにし、submit+restartを押します。または、クライアント側で [Fast Reconnect] オプションをイネーブルにして問題を解決することもできます。
Windowsユーティリティを使用してWindows XPを実行しているクライアントで高速再接続を有効にするには、次の手順を実行します。
[スタート] > [設定] > [コントロールパネル]をクリックします。
[ネットワーク接続]アイコンをダブルクリックします。
[ワイヤレスネットワーク接続]アイコンを右クリックし、[プロパティ]をクリックします。
[Wireless Networks] タブをクリックします。
[Use Windows to configure my wireless network settings]オプションをオンにして、Windowsでクライアント・アダプタを構成できるようにします。
SSID を設定済みの場合は、SSID を選択して [Properties] をクリックします。そうでない場合は、[New]をクリックして新しいWLANを追加します。
[Association] タブで SSID を入力します。[Network Authentication] が [Open] であり、[Data Encryption] が [WEP] に設定されていることを確認します。
[Authentication] をクリックします。
[Enable IEEE 802.1x authentication for this network]オプションをオンにします。
[EAP Type]で[PEAP]を選択し、[Properties]をクリックします。
ページ下部の[Enable Fast Reconnect]オプションをオンにします。