... Cisco AnyConnect VPN Client Start Before Login Components. 概要 AnyConnect Secure Mobility Client における MTU の設定方法および動作概要を紹介します。本資料はこれまで ASA 9.1、AnyConnect 3.1 での動作検証に基づいた資料に となっていましたが、現時点での最新バージョンである ASA 9.7(1)、AnyConnect 4.4を使用して再検証を実施した結果も交えて、加筆・ … 有線(IEEE 802.3)およびワイヤレス(IEEE 802.11)ネットワーク アダプタ。 有線(IEEE 802.3)およびワイヤレス(IEEE 802.11)ネットワーク アダプタ。 Transport Layer Security(TLS)プロトコル バージョン 1.2. 認証を完了するまでに 60 秒近くかかるスマートカード認証システムもあります。スマートカードを使用している場合、特に、スマートカードが接続に成功するまでにいくつかネットワークに接続しなければならない場合に、[接続タイムアウト(Connection Timeout)] 値を増やす必要があります。AnyConnect 3.1 の時点では、マシン接続とユーザ接続の両方が設定されている場合、EAP チェーンがサポートされています。これは、ネットワーク アクセス マネージャが、マシンおよびユーザが既知のエンティティであり、企業によって管理されていること検証することを意味し、社内ネットワークに接続しているユーザ所有資産を制御するのに便利です。EAP チェーンの詳細については、RFC 3748 を参照してください。[名前(Name)]:このネットワーク用に表示される名前を入力します。EAP 応答:サプリカントは応答パケットをオーセンティケータに送信し、シーケンス番号を使用して元の EAP 要求と照合します。EAP 応答のタイプは、通常 EAP 要求と一致しますが、応答が負(NAK)の場合は除きます。[接続タイムアウト(Connection Timeout)]:ネットワーク アクセス マネージャが、(接続モードが自動の場合)別のネットワークに接続しようとするか、または別のアダプタを使用するまでにネットワーク接続の確立を待機する秒数を入力します。[証明書信頼済み認証局(Certificate Trusted Authority)] ペインで、次のいずれかのオプションを選択します。マシンのアイデンティティとして送信する実際の文字列(プレースホルダなし)Windows 管理者は、現在ログインしているユーザの強制ログオフが制限されています。EAP-FAST が(次のペインで)EAP 方式として設定されている場合、EAP チェーンがサポートされています。つまり、ネットワーク アクセス マネージャによって、マシンおよびユーザが既知のエンティティであり、企業によって管理されていることが検証されます。[次の場合でも認証後にデータ トラフィックを許可(Allow data traffic after authentication even if)]:次の場合でもデータ トラフィックが許可されます。Windows 7 以降の非表示のネットワークおよびネットワークの選択:ネットワーク アクセス マネージャは、ネットワーク アクセス マネージャのネットワーク スキャン リストで設定されたネットワークだけに接続を試みます。[Shared]:スタティック WEP 暗号化とのレガシー IEEE 802.11 共有キー アソシエーション。Windows の Microsoft CAPI 1.0 および CAPI 2.0(CNG)。[保護されているアイデンティティ パターン(Protected Identity Pattern)] でマシン アイデンティティを定義します。ネットワーク アクセス マネージャでは、次のアイデンティティ プレースホルダのパターンがサポートされます。基本的な EAP プロトコルは、次の 4 つのパケット タイプから構成されます。[heldPeriod (sec)]:認証が失敗した場合、サプリカントはこの設定で定義された時間だけ待機し、この時間を超えると別の認証が試行されます。[マシンおよびユーザ接続(Machine and User Connection)]:[セキュリティ レベル(Security Level)] ペインで選択したように、[認証ネットワーク(Authenticating Network)] を設定している場合にのみ指定できます。マシン ID とユーザ クレデンシャルの両方を使用しますが、マシン部分はユーザがデバイスにログインしていない場合のみ有効です。2 つの部分の設定は同じですが、マシン接続の認証タイプとクレデンシャルは、ユーザ接続の認証タイプとクレデンシャルと異なる場合があります。既知のネットワークが使用できない場合、VPN Start Before Login(SBL)は失敗します。SBL モードで許可されるネットワーク プロファイルには、非 802-1X 認証モードを採用するすべてのメディア タイプ(オープン WEP、WPA/WPA2 パーソナル、および静的キー(WEP)ネットワークなど)が含まれます。ネットワーク アクセス マネージャを [ユーザがログインする前(Before User Logon)] に、およびマシン接続認証用に設定している場合、ネットワーク アクセス マネージャはユーザにネットワーク情報を要求し、VPN SBL は正常に行われます。[MKA]:サプリカントは、MACsec キー承諾プロトコル ポリシーと暗号キーをネゴシエートしようとします。MACsec は MAC レイヤ セキュリティで、有線ネットワークで MAC レイヤ暗号化を行います。MACsec プロトコルは、暗号化を使用して MAC レベル フレームを保護する手段であり、MACsec Key Agreement(MKA)エンティティに依存して暗号キーをネゴシエートおよび配布します。[スマート カード PIN を記憶(Remember Smart Card Pin)] パラメータでは、ネットワーク アクセス マネージャがスマート カードから証明書を取得するために使用した PIN を記憶する期間を決定します。使用できるオプションについては、ステップ 2 を参照してください。CHAP(チャレンジ ハンドシェイク認証プロトコル):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。EAP-TTLS PAP は、トークンおよび OTP ベースの認証で使用できます。[なし(None)]:データ トラフィックの整合性チェックは行われますが、暗号化はされません。マシンのアイデンティティとして使用する実際の文字列(プレースホルダなし)逆に、認証が成功した後にのみデータ トラフィックを許可するには、認証の開始に費やした総時間がネットワーク接続タイマーより長くなるような [startPeriod] および [maxStart] になるようにします([startPeriod] x [maxStart] > ネットワーク接続タイマー)。[トークンおよび EAP-GTC を使用して認証する(Authenticate using a token and EAP-GTC)]:マシン認証には使用できません。保護されているマシン アイデンティティのパターンを定義します。PAP(パスワード認証プロトコル):ピアが 2 ウェイ ハンドシェイクを使用してそのアイデンティティを証明する単純な方式を提供します。ID/パスワード ペアは、認証が認められるか失敗するまで、ピアからオーセンティケータに繰り返し送信されます。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。有線(IEEE 802.3)およびワイヤレス(IEEE 802.11)ネットワーク アダプタ。Windows のネットワーク ステータス タスク トレイ アイコンの混同:ネットワーク アクセス マネージャは、Windows のネットワーク管理より優先します。したがって、ネットワーク アクセス マネージャのインストール後、ネットワークに接続するためにネットワーク ステータスのアイコンを使用できません。証明書サーバの検証ルールを定義するには、次の手順を実行します。認証にクライアント証明書を使用する場合:さまざまな X509 証明書プロパティから [username] および [password] のプレースホルダ値を取得します。プロパティは最初の一致に応じて次の順序で解析されます。たとえば、ユーザ認証のアイデンティティが userA@example.com(ユーザ名 =userA、ドメイン =example.com)、マシン認証のアイデンティティが hostA.example.com(ユーザ名 =hostA、ドメイン =example.com)の場合、次のプロパティが解析されます。[トークンを使った認証(Authenticate using a Token)]:トークン コードまたは OTP のライフタイムが短い(通常約 10 秒)ため、より高いセキュリティを備えています単一の認証有線接続がオープンおよび認証ネットワークの両方と動作するように設定できます。これは、[startPeriod] および [maxStart] を注意深く設定して、認証開始試行に費やす合計時間がネットワーク接続タイマーよりも小さくなるようにします([startPeriod] x [maxStart] < ネットワーク接続タイマー)。[ネットワーク グループ(Network Groups)] ウィンドウで、ネットワーク接続を特定のグループに割り当てます。接続をグループに分類することにより、次の複数の利点がもたらされます。[内部方式(Inner Methods)]:TLS トンネルが作成された後で内部方式の使用を指定します。Wi-Fi メディア タイプにのみ使用できます。一般的な、保護されていないアイデンティティ パターンを指定します。EAP が IEEE 802.11X システムで使用中の場合、アクセス ポイントは EAP パススルー モードで動作します。このモードでは、アクセス ポイントはコード、識別子、および長さのフィールドを確認して、サプリカントから受信した EAP パケットを AAA サーバに転送します。AAA サーバ オーセンティケータから受信したパケットは、サプリカントに転送されます。[ネットワーク(Networks)] ウィザードの [セキュリティ レベル(Security Level)] ページで、[オープン ネットワーク(Open Network)]、[認証ネットワーク(Authentication Network)]、または(ワイヤレス ネットワーク メディアにのみ表示される)[共有キー ネットワーク(Shared Key Network)] を選択します。これらのネットワーク タイプの設定フローはそれぞれ異なっており、次の項で説明します。オープン ネットワークは、認証や暗号化を使用しません。オープン(非セキュア)ネットワークを作成するには、次の手順を実行します。Windows OS で ISE ポスチャを使用する場合は、AnyConnect ISE ポスチャを開始する前に Network Access Manager をインストールする必要があります。[高速再接続を有効にする(Enable Fast Reconnect)]:TLS セッション再開を有効にします。これにより、TLS セッション データがクライアントとサーバの両方で保持されている限り、短縮化した TLS ハンドシェイクを使用することによってはるかに高速な再認証ができます。[シングル サインオン クレデンシャルを使用(Use Single Sign On Credentials)]:クレデンシャルをオペレーティング システムのログイン情報から取得します。ログイン クレデンシャルが失敗すると、ネットワーク アクセス マネージャは一時的に(次のログインまで)切り替わり、ユーザに GUI でクレデンシャルの入力を求めます。[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] オプションは、マシン接続認証では使用できません。ネットワーク アクセス マネージャの DHCP 接続テストを無効にすると、多くの場合、接続時間が長くなるためお勧めできません。AnyConnect ISE ポスチャがネットワーク アクセス マネージャとともにインストールされた場合、ISE ポスチャはネットワーク アクセス マネージャ プラグインを使用してネットワーク変更イベントと 802.1X WiFi を検出します。[スタティック クレデンシャルを使用(Use Static Credentials)]:展開ファイルに送信する実際のスタティック パスワードを指定します。スタティック クレデンシャルは、証明書ベースの認証には適用されません。[WPA/WPA2-Personal]:パスフレーズ事前共有キー(PSK)から暗号キーを導出する Wi-Fi セキュリティ プロトコル。ネットワークをグローバルとして定義できます。グローバルとして定義すると、ネットワークは [グローバル ネットワーク(Global Networks)] セクションに表示されます。このセクションは、有線とワイヤレス ネットワーク タイプの間で分割されます。このタイプのネットワークに対しては、ソート順序の編集のみを実行できます。Transport Layer Security(TLS)プロトコル バージョン 1.2Cisco AnyConnect Secure Mobility Client リリース 4.7 管理者ガイドPIN は、証明書自体よりも長く保存されることは決してありません。[認証前にデータ トラフィックを許可(Allow data traffic before authentication)]:認証試行の前にデータ トラフィックが許可されます。[authPeriod (sec)]:認証が開始された場合、認証メッセージの間隔がこの設定を超えるとサプリカントはタイムアウトします。認証を再度開始するには、サプリカントでオーセンティケータが必要です。[maxStart]:サプリカントが、オーセンティケータが存在しないと見なす前に、IEEE 801.X プロトコル パケット、EAPOL Key データ、または EAPoL-Start を送信することで、サプリカントがオーセンティケータの認証を開始する回数です。これが発生した場合は、サプリカントはデータ トラフィックを許可します。Authenticated Diffie-Hellman Protocol(ADHP)を使用して Protected Access Credential(PAC)と呼ばれる共有秘密クレデンシャルを持つクライアントをプロビジョニングするプロビジョニング フェーズ。Microsoft Windows では複数のユーザが同時にログインできますが、Cisco AnyConnect ネットワーク アクセス マネージャではシングル ユーザにネットワーク認証を制限します。AnyConnect ネットワーク アクセス マネージャは、ログインしているユーザの数に関係なく、デスクトップまたはサーバ当たり 1 人のユーザをアクティブにできます。シングル ユーザ ログインの適用は、いつでもシステムにログインできるユーザは 1 人のみで、管理者は現在ログインしているユーザを強制的にログオフできないことを示しています。Network Access Manager をインストールした後、Windows(Vista 以降)では、リモート デスクトップ接続を確立するためにクレデンシャルを2回入力する必要があります。初回は Windows のログイン前認証であり、2 回目はリモート マシンのクレデンシャル プロバイダー向けです。EAP-FAST、PEAP、EAP-TTLS、EAP-TLS、および LEAP(IEEE 802.3 有線のみ EAP-MD5、EAP-GTC、および EAP-MSCHAPv2)。[スマート カードまたは OS 証明書(Smart Card or OS certificates)]:ネットワーク アクセス マネージャは、OS の証明書ストアまたはスマート カードで検出される証明書を使用します。Subject = .../CN=hostA.example.com/...複数の証明書が同一ルールに一致するか、ルールに一致する証明書がない場合は、ACE エンジンが、証明書の優先順位を指定するアルゴリズムを実行し、特定の基準(秘密キーがあるかどうか、マシン ストアからの証明書であるかどうかなど)に基づいて証明書を選択します。複数の証明書の優先順位が同一の場合、ACE エンジンはその優先順位で最初に検出した証明書を選択します。Subject = .../CN=userA/DC=example.com/...[ポート認証例外ポリシー(Port Authentication Exception Policy)] ペインでは、認証プロセス中の IEEE 802.1X サプリカントの動作を変更できます。ポート例外が有効でない場合、サプリカントはその既存の動作を続け、設定が完全に成功した場合のみ(または、この項で前述したように、オーセンティケータからの応答がない状態で maxStarts 数の認証が開始された後に)ポートを開きます。次のいずれかのオプションを選択します。EAP-GTC は、単純なユーザ名とパスワード認証に基づく EAP 認証方式です。チャレンジ/レスポンス方式を使用せずに、ユーザ名とパスワードの両方がクリア テキストで渡されます。この方式は、トンネリング EAP 方式の内部で使用(次のトンネリング EAP 方式を参照)、またはワンタイム パスワード(OTP)を使用する場合に推奨されます。同一ユーザと見なされるためには、クレデンシャルを同じフォーマットにする必要があります。たとえば、user/example は user@example.com と同じではありません。次のリストに、EAP-TLS クライアント証明書が有線およびワイヤレス接続に強固な認証を提供できる主な理由を示します。EAP-FAST は、TLS メッセージを EAP 内にカプセル化します。また、次の 3 つのプロトコル フェーズから構成されます。[ルート認証局(CA)証明書を含める(Include Root Certificate Authority (CA) Certificates)]。ユーザは、管理者が作成したネットワークで定義されたスクリプトまたはアプリケーションは変更できません。EAP カンバセーションには、複数の EAP 認証方式が含まれ、その各認証で要求されるアイデンティティが異なる場合があります(マシン認証の次にユーザ認証が行われるなど)。たとえば、ピアでは最初に nouser@example.com のアイデンティティを要求して認証要求を cisco.com EAP サーバにルーティングする場合があります。しかし、いったん TLS セッションがネゴシエートされると、そのピアは johndoe@example.com のアイデンティティを要求する場合があります。そのため、ユーザのアイデンティティにより保護が提供される場合でも、カンバセーションがローカル認証サーバで終端しない限り、宛先領域は必ずしも一致しません。管理者が定義した最初の非表示社内ネットワークワークステーションのデフォルト設定は 1 です。サーバのデフォルトは 0 です。EAP-FAST では大半の認証サーバが PAC を使用するため、通常は PAC オプションを使用します。このオプションを削除する前に、認証サーバが EAP-FAST で PAC を使用しないことを確認します。使用する場合は、クライアントの認証試行が失敗します。認証サーバが認証された PAC プロビジョニングをサポートする場合は、認証されていないプロビジョニングを無効にすることを推奨します。未認証のプロビジョニングは、サーバ証明書を検証しないため、侵入者がディクショナリ ベースの攻撃を仕掛けることができる可能性があります。[サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。これを有効にすると、管理ユーティリティに 2 つの追加のダイアログが導入されて、ネットワーク アクセス マネージャ プロファイル エディタのタスク リストに [証明書(Certificate)] ペインがさらに追加されます。View with Adobe Reader on a variety of devicesEAP-FAST:GTC、EAP-MSCHAPv2、および EAP-TLS。[社内ネットワーク(Corporate Network)]:[社内(Corporate)] として設定されたネットワークが近接にある場合、まずそのネットワークに強制的に接続します。社内ネットワークが非ブロードキャスト(非表示)SSID を使用し、非表示として設定されている場合、ネットワーク アクセス マネージャは非表示 SSID をアクティブにプローブし、企業 SSID が範囲内にあれば接続を確立します。クレデンシャルがオペレーティング システムから取得される場合:ログイン情報からプレースホルダ値を取得します。ログオフを越えたユーザ接続の延長:ユーザがログオフしても接続は開いたままです。同じユーザが再度ネットワークにログインしても、接続はアクティブのままです。クライアント認証時に 2 つの証明書が存在する場合、ネットワーク アクセス マネージャは証明書の属性に基づいて最適な証明書を自動的に選択します。優先する証明書の条件は顧客によって異なるため、次に示す証明書の選択を定義するフィールドを設定し、また証明書選択をオーバーライドするルールを指定する必要があります。ネットワーク アクセス マネージャ、オーセンティケータ、または EAP-GTC プロトコルのいずれもパスワードとトークン コード間を区別できません。これらのオプションは、ネットワーク アクセス マネージャ内のクレデンシャルのライフタイムにのみ影響を与えます。パスワードは、ログアウトまでかそれ以降も記憶できますが、トークン コードは記憶できません(認証ごとにユーザがトークン コードの入力を求められるため)。[アソシエーション タイムアウト(Association Timeout)]:ネットワーク アクセス マネージャが、使用できるネットワークを再評価するまでに特定のワイヤレス ネットワークとのアソシエーションを待機する時間を入力します。デフォルトのアソシエーション タイムアウトは 5 秒です。EAP-Transport Layer Security(EAP-TLS)は、TLS プロトコル(RFC 2246)に基づく IEEE 802.1X EAP 認証アルゴリズムです。TLS は、X.509 デジタル証明書に基づく相互認証を使用します。EAP-TLS メッセージ交換は、相互認証、暗号スイート ネゴシエーション、キー交換、クライアントと認証サーバ間の検証、およびトラフィック暗号化に使用できるキー関連情報を提供します。ユーザのアイデンティティとして使用する実際の文字列(プレースホルダなし)楕円曲線 Diffie-Hellman(ECDH)キー交換はサポートされています。[サーバ ID の検証(Validate Server Identity)] オプションが [EAP] 方式に設定されている場合、[証明書(Certificate)] パネルが有効になって証明書サーバまたは認証局に対する検証ルールを設定できます。検証の結果によって、証明書サーバまたは認証局が信頼されるかどうかが決定されます。[サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。EAP-GTC(EAP Generic Token Card):ユーザ名とパスワードを伝送するために EAP エンベロープを定義します。相互認証が必要な場合は、PEAP を設定してサーバの証明書を検証する必要があります。パスワードがクリア テキストでオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。この方式は、データベースがリークしている可能性がある場合に推奨されます。Windows 7 以降でのモバイル ブロードバンド(3G)ネットワーク アダプタ(Microsoft モバイル ブロードバンド API をサポートする WAN アダプタが必要です)。[パスワードを使った認証(Authenticate using a Password)]:十分に保護された有線環境にのみ適しています。64 ビット Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Cisco\Cisco AnyConnect Network Access Manager\DisableDHCP を 1 に設定[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)]:スマート カードを使用して認証する場合に高速再接続を使用しません。スマート カードは、ユーザ接続にのみ適用されます。IEEE 802.11i ワイヤレス ネットワーキング標準では、サプリカント(この場合はネットワーク アクセス マネージャ)がアクセス ポイントの RSN IE(堅牢でセキュアなネットワーク情報交換)を検証する必要があることを規定しています。IE は、キー導出時に IEEE 801.X プロトコル パケットの EAPOL キー データに送信され、ビーコン/プローブ応答フレームにあるアクセス ポイントの RSN IE に一致する必要があります。EAP-FAST は、IEEE 802.1X 認証タイプで、柔軟性があり、展開や管理も容易です。EAP-FAST は、さまざまなユーザおよびパスワード データベース タイプ、サーバ主導のパスワードの失効と変更、およびデジタル証明書(任意)をサポートします。OS ストアの ECDSA CA 証明書はサポートされています。[マシン接続(Machine Connection)]:Windows Active Directory に保存されているデバイス名が認証に使用されます。マシン接続は通常、接続時にユーザ クレデンシャルが必要ない場合に使用します。ユーザがログオフし、ユーザ クレデンシャルが使用できない場合でも、エンド ステーションがネットワークにログインする必要がある場合にこのオプションを選択します。このオプションは通常、ユーザがアクセスする前に、ドメインに接続し、ネットワークから GPO および他のアップデートを取得する場合に使用します。この章では、ネットワーク アクセス マネージャ設定の概要について、ならびにユーザ ポリシーおよびネットワーク プロファイルの追加と設定の手順について説明します。[なし(None)]:キー管理プロトコルを使用しません。また、有線暗号化を実行しません。EAP 成功:オーセンティケータは認証に成功した場合にサプリカントに成功パケットを送信します。[username]:ユーザ名を指定します。ユーザが username@domain または domain\username を入力した場合、ドメインの部分は削除されます。強力なパスワードおよび定期的に失効するパスワードを使用しない限り、LEAP はディクショナリ攻撃を受ける場合があります。認証方式がディクショナリ攻撃の被害を受けにくい EAP-FAST、PEAP、または EAP-TLS を使用することをお勧めします。接続の確立試行時のユーザ エクスペリエンスの向上。複数の非表示ネットワークが設定された場合、接続が正常に確立するまで、クライアントは非表示ネットワークのリストを定義された順序で順を追って調べます。このような場合に、接続を確立するために必要な時間を大幅に短縮するためにグループが使用されます。[クレデンシャル(Credentials)] ペインでは、目的のクレデンシャルを関連付けられたネットワークの認証で使用するために指定できます。エンド ユーザは、globalNetworks セクションのネットワークを除き、グループにネットワークを追加できます。これらのネットワークはすべてのグループ内に存在し、プロファイル エディタを使用してしか作成できないためです。ユーザ ログインの前に、スマート カードのサポートは Windows では使用できません。マシン PAC は、短縮化した TLS ハンドシェイクを提供し、内部認証を省きます。この制御は、PAC パラメータを有効/無効にすることによって処理します。ユーザ ログインの前または後にネットワーク接続しようとするかどうかを定義できます。また、スマートカード ユーザが同じ PIN を持っている場合、同一ユーザと見なされます。[クライアント ポリシー(Client Policy)] ペインで [ユーザがログインする前(Before User Logon)] が選択されている場合、Windows スタート画面でユーザがログイン クレデンシャルを入力した後、ネットワーク アクセス マネージャはユーザのクレデンシャルを収集します。Windows がユーザの Windows セッションを開始している間に、ネットワーク接続が確立されます。認証プロトコル選択のメカニズムは、現在のクライアント認証データベースと統合されています。セキュアなワイヤレス LAN 展開では、ユーザが新しい認証システムを作成する必要はありません。ネットワーク アクセス マネージャは、ポリシーに従ってセキュアなレイヤ 2 ネットワークを提供するクライアント ソフトウェアです。最適なレイヤ 2 アクセス ネットワークを検出して選択し、有線ネットワークとワイヤレス ネットワークの両方へのアクセスに対してデバイス認証を実行します。ネットワーク アクセス マネージャは、セキュアなアクセスに必要なユーザおよびデバイス アイデンティティならびにネットワーク アクセス プロトコルを管理します。管理者定義のポリシーに違反する接続をエンド ユーザが確立しないように、インテリジェントに動作します。ネットワーク アクセス マネージャは Mac OS X または Linux には対応していません。トークン クレデンシャル:PAP(レガシー)。チャレンジ/レスポンス方式はトークン ベースの認証には適していないため、ネットワーク アクセス マネージャでサポートされるデフォルト トークン オプションは PAP です。変換は、ネットワーク アクセス マネージャ XML コンフィギュレーション ファイルがすでに存在する場合(userConfiguration.xml)は実行されません。右矢印および左矢印を使用して、[グループ(Group)] ドロップダウン リストから選択したグループに対してネットワークを挿入または削除します。ネットワークが現在のグループから移動された場合は、デフォルト グループに配置されます。デフォルト グループを編集する場合、デフォルト グループからネットワークを移動できません([>] ボタンを使用)。ユーザがログオフすると、現在のユーザのネットワーク接続は終了します。マシン ネットワーク プロファイルが使用可能な場合、NAM はマシン ネットワークに再接続します。他のトンネリング EAP 方式とは異なり、EAP-FAST は内部および外部方式間に暗号化バインドを提供して、攻撃者が有効なユーザの接続をハイジャックする特殊な中間者攻撃を防止します。接続テストで NAM による DHCP トランザクションの使用を無効にする場合は、次のレジストリ キーを DWORD として追加し、指定された値を設定します。MACsec: AES GCM 256: このオプションは、エンタープライズ エッジ(eEdge)統合を備えた特定の IOS バージョンでサポートされており、キー管理に MKA を選択した場合にのみ使用できます。スイッチ側の設定が一致する必要があります。MACsec 256 暗号化規格を有効にすることによって、MACsec Key Agreement(MKA)を使用した802.1AE 暗号化は、MACsec 対応デバイスとホスト デバイス間の暗号化用にダウンリンク ポートでサポートされています。[スタティック クレデンシャルを使用(Use Static Credentials)]:ユーザ クレデンシャルをこのプロファイル エディタが提供するネットワーク プロファイルから取得します。スタティック クレデンシャルが失敗すると、ネットワーク アクセス マネージャは、新しい設定がロードされるまでクレデンシャルを再度使用しません。レガシー IEEE 802.11 WEP または共有キーを選択した場合は、40 ビット、64 ビット、104 ビット、または 128 ビットを選択します。40 または 64 ビットの WEP キーは、5 個の ASCII 文字または 10 桁の 16 進数である必要があります。104 または 128 ビットの WEP キーは、13 個の ASCII 文字または 26 桁の 16 進数である必要があります。スクリプト設定は 1 つのユーザ設定ネットワークに固有であり、ユーザはローカル ファイル(.exe、.bat、または .cmd)を指定して、そのネットワークが接続状態になったときに実行できます。競合を避けるために、スクリプト機能では、ユーザはユーザ定義のネットワークについてのみスクリプトまたはアプリケーションを設定でき、管理者定義のネットワークについては設定できません。スクリプト機能では、スクリプトの実行に関して管理者ネットワークをユーザが変更できません。このため、ユーザは管理者ネットワークのインターフェイスを使用できません。また、ユーザが実行中のスクリプトを設定できないようにする場合、この機能はネットワーク アクセス マネージャ GUI に表示されません。EAP 失敗:オーセンティケータは、認証が失敗した場合、サプリカントに失敗パケットを送信します。ネットワーク アクセス マネージャは、単一ホーム(一度に 1 つのネットワーク接続を許可する)になるよう設計されています。また、有線接続がワイヤレス接続によりも優先されます。そのため、有線接続を使用してネットワークに接続した場合、ワイヤレス アダプタは IP アドレスを失い無効になります。[マシン クレデンシャルを使用(Use Machine Credentials)]:クレデンシャルをオペレーティング システムから取得します。ネットワークの接続性または長い接続時間の瞬時的な喪失:ネットワーク アクセス マネージャをインストールする前に Windows でネットワークが定義済みである場合、Windows の接続マネージャがそのネットワークに接続を試みる場合があります。設定された接続の管理の簡略化。企業内で複数の役割を持つ(または同じ領域に頻繁にアクセスする)ユーザがグループ内のネットワークを調整して選択可能なネットワークのリストを管理しやすくする場合に、管理者ネットワークをユーザ ネットワークから分離できます。別名 Cryptographic Service Provider(CSP)および Key Storage Provider(KSP)というスマート カードのチップとドライバによっては、他より接続に時間がかかるスマート カードもあります。接続タイムアウトを長くすると、ネットワークにスマート カード ベースの認証を実行するのに十分な時間を与えることができます。LEAP(Lightweight EAP)はワイヤレス ネットワークに対応しています。拡張認証プロトコル(EAP)フレームワークに基づき、WEP よりセキュアなプロトコルを作成するためシスコにより開発されました。[高速再接続を有効にする(Enable Fast Reconnect)]:外部 TLS セッション再開のみを有効にします。オーセンティケータは、内部認証を省略するかどうかを制御します。[ネットワーク(Networks)] > [クレデンシャル(Credentials)] ペインで、ユーザ クレデンシャルまたはマシン クレデンシャルのいずれを使用するか指定し、信頼サーバ検証ルールを設定します。Windows ログインは ECDSA 証明書に対応していないため、ネットワーク アクセス マネージャのシングル サインオン(SSO)は ECDSA クライアント証明書に対応していません。[証明書を使用した認証(Authenticate using a certificate)]:証明書を使用する認証に対しての基準を、要求された場合にクライアント証明書を暗号化しないで送信、トンネル内でのみクライアント証明書を送信、またはトンネル内で EAP-TLS を使用してクライアント証明書を送信から決定します。Subject = .../CN=userA/DC=example/DC=com/...まだネゴシエートされていないセッションでは、整合性保護または認証なしで、暗号化されていないアイデンティティ要求および応答が発生します。これらのセッションは、スヌーピングおよびパケット変更の対象になります。マシン接続を使用していてユーザがログインしていないとき、およびユーザ接続を使用していてユーザがログインしているときにネットワークに PC を常時接続するには、このオプションを選択します。[スマート カード証明書のみ(Smart Card certificates only)]:ネットワーク アクセス マネージャは、スマート カードで検出される証明書のみを使用します。[WEP]:スタティック WEP 暗号化とのレガシー IEEE 802.11 オープン システム アソシエーション。[値(Value)] フィールドに、証明書の検索条件を入力します。EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、PEAP を設定してサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。プロファイル エディタを使用してパスおよびスクリプトまたはアプリケーションのファイル名のみを指定できます。スクリプトまたはアプリケーションがユーザのマシンに存在しない場合、エラー メッセージが表示されます。ユーザは、スクリプトまたはアプリケーションがマシンにないこと、およびシステム管理者に問い合わせる必要があると通知されます。EAP カンバセーションには、複数の EAP 認証方式が含まれ、その各認証で要求されるアイデンティティが異なる場合があります(マシン認証の次にユーザ認証が行われるなど)。たとえば、ピアでは最初に nouser@cisco.com のアイデンティティを要求して認証要求を cisco.com EAP サーバにルーティングする場合があります。しかし、いったん TLS セッションがネゴシエートされると、そのピアは johndoe@cisco.com のアイデンティティを要求する場合があります。そのため、ユーザのアイデンティティにより保護が提供される場合でも、カンバセーションがローカル認証サーバで終端しない限り、宛先領域は必ずしも一致しません。すべての非グローバル ネットワークは、グループ内に存在する必要があります。1 つのグループがデフォルトで作成されています。すべてのネットワークがグローバルの場合にそのグループを削除できます。認証プロセスにより、データ暗号化および署名のための相互決定されたキーが生成される。32 ビット Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco AnyConnect Network Access Manager\DisableDHCP を 1 に設定内部方式も特定の認証プロトコルのみに制限される可能性があります。内部方式は、[許可された認証モード(Allowed Authentication Modes)] ペインの外部方式(トンネリング)下にインデントされて表示されます。[証明書を使用した認証(Authenticate using a certificate)]:EAP-TLS に対応。[ユーザ接続(User Connection)]:ユーザ クレデンシャルを認証に使用します。[記憶しない(Never Remember)]:クレデンシャルは一切記憶されません。ネットワーク アクセス マネージャは、認証のためにクレデンシャル情報が必要なたびに、ユーザに入力を求めます。パスワードがオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。データベースがリークしている可能性がある場合は、この方式をお勧めします。Windows マシン クレデンシャルを使用した事前ログイン認証。クライアント証明書が認証に使用されない場合:クレデンシャルをオペレーティング システムから取得し、[username] プレースホルダは割り当てられたマシン名を表します。EAP-GTC によりキー関連情報は提供されないため、MACsec ではこの方式は使用できません。さらなるトラフィック暗号化のためにキー関連情報が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、キー関連情報(および必要に応じて内部および外部の EAP 方式の暗号化バインド)を提供します。[高速再接続を有効にする(Enable Fast Reconnect)]:内部認証が省略されるかどうか、またはオーセンティケータによって制御されているかどうかに関係なく、外部 TLS セッション再開のみを有効にします。複数の用語を入力した場合は、用語を 1 ~ 2 個に減らして、もう一度検索してください。接続されたワークステーションへの RDP は同一ユーザにサポートされています。PEAP は、次のサービスを提供することによって EAP 方式を保護します。MS-CHAP(Microsoft CHAP):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。[永久に記憶(Remember Forever)]:クレデンシャルは永久に記憶されます。記憶されたクレデンシャルが失敗すると、ユーザはクレデンシャルの入力を再度求められます。クレデンシャルはファイルに保存され、ローカル マシン パスワードを使用して暗号化されます。[EAP は成功したがキー管理に失敗(EAP succeeds but key management fails)]:選択すると、EAP は成功してキー管理が失敗した場合、サプリカントはキー サーバとのキーのネゴシエートを試行しますが、何らかの理由によりキー ネゴシエーションに失敗した場合でもデータ トラフィックを許可します。この設定は、キー管理が設定されている場合のみ有効です。キー管理がなしに設定されている場合、このチェックボックスは淡色表示されます。[SSID]:ワイヤレス ネットワークの SSID(サービス セット識別子)を入力します。[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] は、マシン接続認証では使用できません。EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。パスワード クレデンシャル:EAP-MSCHAPv2 または EAP-GTC[EAP 失敗(EAP Fails)]:選択すると、EAP が失敗した場合でも、サプリカントは認証を試行します。認証に失敗した場合、サプリカントは認証に失敗したにもかかわらず、データ トラフィックを許可します。[グループ メンバーシップ(Group Membership)]:このプロファイルが使用できるようにするネットワーク グループ(複数の場合もあり)を選択します。クレデンシャルが静的である場合:プレースホルダを使用しません。保護されていないアイデンティティ情報はクリア テキストで送信されます。最初のクリア テキスト アイデンティティ要求または応答が改ざんされた場合は、TLS セッションが確立されるとサーバがアイデンティティを検証できないことを検出することがあります。たとえば、ユーザ ID が無効であるか、または EAP サーバが処理する領域内にない場合があります。指定のネットワーク内で、各ネットワークの表示名は一意である必要があります。このため、1 つのグループには同じ表示名を持つ 2 つ以上のネットワークを含められません。技術的な問題により、現在検索を利用できません。迅速な解決に向けて現在対応中です。ネットワーク接続タイプを選択した後、それらの接続タイプの認証方式を選択します。認証方式を選択した後、選択した方式に対応するように表示が更新され、追加情報を提供するように要求されます。クレデンシャルのソースがエンド ユーザの場合:ユーザが入力する情報からプレースホルダ値を取得します。パスワード クレデンシャル:EAP-MSCHAPv2、EAP-MD5、PAP(L)、CHAP(L)、MSCHAP(L)、MSCHAP-v2(レガシー)。[ネットワーク メディア(Network Media)]:[有線(Wired)] または [Wi-Fi(ワイヤレス)(Wi-Fi (wireless))] を選択します。[Wi-Fi] を選択すると、次のパラメータも設定できます。上矢印および下矢印を使用してグループ内のネットワークの優先順位を変更します。SubjectAlternativeName: DNS = hostA.example.com配布パッケージの一部として定義されたネットワークはロックされています。これは、ユーザが設定を編集することや、ネットワーク プロファイルを削除することを防止するためです。Intel HW MACsec 対応 NIC の場合、またはハードウェア以外の MACsec を使用している場合に FIPS に準拠しています。[セキュリティ(Security)] ペインで、次のパラメータの値を選択します。1 つまたは複数のユーザ ログインを設定するには、EnforceSingleLogon という名前の DWORD を追加し、1 または 0 の値を指定します。Subject = .../CN=userA@example.com/...ネットワーク アクセス マネージャ クライアントにより制御されるメディアの種類を指定します。EAP-MD5(EAP Message Digest 5):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します(CHAP と類似)。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。マシン接続の場合に、[username] および [domain] プレースホルダが使用されたときは、常に次の条件が適用されます。[ユーザのログイン中記憶(Remember while User is Logged On)]:クレデンシャルはユーザがログオフするまで記憶されます。記憶されたクレデンシャルが失敗すると、ユーザはクレデンシャルの入力を再度求められます。Windows 7 以降では、ネットワーク アクセス マネージャは非表示 SSID をプローブします。最初の非表示 SSID が見つかると、検索を中止します。複数の非表示ネットワークが設定されている場合、ネットワーク アクセス マネージャは次のように SSID を選択します。[保護されたアイデンティティ パターン(Protected Identity Pattern)] でユーザ アイデンティティを定義します。ネットワーク アクセス マネージャでは、次のアイデンティティ プレースホルダのパターンがサポートされます。[OS にインストールされたすべてのルート認証局(CA)を信頼(Trust any Root Certificate Authority (CA) Installed on the OS)]:選択すると、ローカル マシンまたは証明書ストアのみがサーバの証明書チェーン検証の対象になります。Wi-Fi ネットワークは、エンドポイントとネットワーク アクセス ポイント間のデータを暗号化する際に使用される暗号キーを導出するために、共有キーを使用することがあります。WPA または WPA2 Personal を備えた共有キーを使用すると、小規模オフィスや自宅オフィスに適した Medium レベルのセキュリティ クラスが実現します。EAP-TLS:ユーザ証明書を伝送するために EAP エンベロープを定義します。中間者攻撃(有効なユーザの接続のハイジャック)を避けるため、同じオーセンティケータに対する認証用に PEAP(EAP-TLS)および EAP-TLS プロファイルを混在させないことをお勧めします。その設定に応じて、オーセンティケータを設定する必要があります(プレーンおよびトンネリングされた EAP-TLS の両方を有効にしない)。認証にクライアント証明書を使用する場合:さまざまな X509 証明書プロパティから [username] および [password] のプレースホルダ値を取得します。プロパティは最初の一致に応じて次の順序で解析されます。たとえば、ユーザ認証のアイデンティティが userA@cisco.com(ユーザ名 =userA、ドメイン =cisco.com)、マシン認証のアイデンティティが hostA.cisco.com(ユーザ名 =hostA、ドメイン =cisco.com)の場合、次のプロパティが解析されます。EAP 要求:オーセンティケータは、要求パケットをサプリカントに送信します。各要求には type フィールドがあり、要求されている内容を示します。これには、使用するサプリカント アイデンティティや EAP タイプなどが含まれます。シーケンス番号により、オーセンティケータおよびピアは、各 EAP 要求に対応する EAP 応答を一致できます。非 GPO ネイティブ Wi-Fi ユーザ ネットワーク プロファイルだけが変換されます。セキュリティ レベルを共有キー ネットワークにする場合は、次の手順を実行します。CCKM(AES):(Cisco CB21AG ワイヤレス NIC が必要)共有キーによるセキュリティは、企業ワイヤレス ネットワークには推奨しません。EAP-TLS には、次の 2 つのオプションが含まれています。[startPeriod (sec)]:EAPOL-Start メッセージに対する応答をオーセンティケータから受信しない場合に、EAPOL-Start メッセージを再送信する間隔(秒)です。[非表示ネットワーク(Hidden Network)]:SSID をブロードキャストしない場合でも、ネットワークへの接続を許可します。EAP-TTLS:EAP-MD5 および EAP-MSCHAPv2 およびレガシー方式(PAP、CHAP、MSCHAP、および MSCHAPv2)。ネットワークがダイナミック IP アドレスを使用するように設定されている場合は、Windows OS サービスは DHCP を使用して接続を確立しようとします。ただし、オペレーティング システム プロセスがネットワーク アクセス マネージャに DHCP トランザクションが完了したことを通知するまでに最大で 2 分かかる場合があります。OS の DHCP トランザクションに加えて、ネットワーク アクセス マネージャが DHCP トランザクションをトリガーすることによって、OS 経由の接続が確立するまでの時間を短縮し、ネットワーク接続を確認します。EAP は、認証プロトコルを伝送するトランスポート プロトコルから認証プロトコルをデカップリングするための要件を示した IETF RFC です。このデカップリングによって、トランスポート プロトコル(IEEE 802.1X、UDP、または RADIUS など)は、認証プロトコルを変更せずに EAP プロトコルを伝送できます。EAP-GTC は、相互認証を提供しません。クライアントのみ認証するため、不正なサーバがユーザのクレデンシャルを取得するおそれがあります。相互認証が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、サーバ認証を提供します。Protected EAP(PEAP)は、トンネリング TLS ベースの EAP 方式です。PEAP は、内部認証方式の暗号化に対するクライアント認証の前に、サーバ認証に TLS を使用します。内部認証は、信頼される暗号保護されたトンネル内部で実行され、証明書、トークン、およびパスワードを含む、さまざまな内部認証方式をサポートします。ネットワーク アクセス マネージャは、PEAP 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。ACS および ISE は Suite B には対応していませんが、OpenSSL 1.x 搭載の FreeRADIUS 2.x は対応しています。Microsoft NPS 2008 は Suite B に一部対応しています(NPS の証明書は RSA でなければなりません)。ネットワーク設定に応じて IEEE 802.1X 設定を調整します。次の機能は、Windows 7 以降で FIPS 認定されています。例外を次に示します。グループとは、基本的に、設定された接続(ネットワーク)の集合です。設定された各接続は、グループに属するか、すべてのグループのメンバーである必要があります。[username]@[domain]:トンネリングされていない方式の場合。下位互換性を確保するため、Cisco Secure Services Client で展開された管理者作成のネットワークは、SSID をブロードキャストしない非表示ネットワークとして扱われます。ユーザ ネットワークは、SSID をブロードキャストするネットワークとして扱われます。MS-CHAPv2:応答パケット内にピア チャレンジおよび成功パケット内にオーセンティケータ応答を含めることによって、ピア間の相互認証を提供します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃を防ぐために)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。[高速再接続を有効にする(Enable Fast Reconnect)]:セッション再開を有効にします。EAP-FAST で認証セッションを再開する 2 つのメカニズムには、内部認証を再開するユーザ認可 PAC と、短縮化した外部 TLS ハンドシェイクができる TLS セッション再開があります。この [高速再接続を有効にする(Enable Fast Reconnect)] パラメータは、両方のメカニズムを有効または無効にします。オーセンティケータがいずれを使用するかを決定します。802.1X/EAP は、Suite B の遷移プロファイルのみをサポートします(RFC 5430 の定義どおり)。[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] オプションは、ユーザ接続認証にのみ使用できます。この機能はベータ版に入っています。Cisco TAC は、ベータ版には対応していません。[クライアント ポリシー(Client Policy)] ペインで [ユーザがログインした後(After User Logon)] が選択されている場合、ユーザが Windows にログインしてから、接続が開始されます。ネットワークアクセスマネージャおよび SSO で、Windows ログイン クレデンシャルを自動的に使用することはできません。ネットワーク アクセス マネージャで SSO を使用するには、ログオン クレデンシャルを代行受信する必要があります。したがって、インストールまたはログオフの後に再起動を求められます。ネットワーク アクセス マネージャ クライアント モジュールが Windows デスクトップにインストールされている場合、デフォルト動作はシングル ユーザ ログインを適用することです。サーバにインストールされている場合、デフォルト動作はシングル ユーザ ログインの適用を緩和することです。いずれの場合も、デフォルトの動作を変更するようにレジストリを変更または追加できます。ネットワーク プロファイルの(PEM エンコードされた)ECDSA CA 証明書はサポートされています。Windows ログイン クレデンシャルを使用するシングル サインオン ユーザ認証。[クレデンシャル ソースに基づく内部方式(Inner methods based on Credentials Source)]:パスワードまたは証明書を使用する認証ができます。[共有キー タイプ(Shared Key Type)]:共有キーのタイプを決定する共有キー アソシエーション モードを指定します。次の選択肢があります。[証明書フィールド(Certificate Field)] ドロップダウン メニューから、検索条件として使用するフィールドを選択します。このペインは、ワイヤレス ネットワークの場合にのみ表示されます。EAP-FAST は、証明書を使用せず、ディクショナリ攻撃からの保護を提供する IEEE 802.1X EAP タイプを展開するお客様向けに開発されました。Windows ワークステーションまたはサーバで複数のユーザを処理する方法を変更するには、レジストリの EnforceSingleLogon の値を変更します。連邦情報処理標準(FIPS 140-2 Level 1)は、暗号化モジュールのセキュリティ要件を指定する米国政府標準規格です。FIPS は、ソフトウェアとハードウェアのタイプに応じて、MACsec または Wi-Fi 用のネットワーク アクセス マネージャでサポートされています。フェーズ 2 で使用できる認証メカニズムには、次のプロトコルが含まれます。パスワードが認証に使用される場合、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。これは、パスワードがオーセンティケータにクリア テキストで渡されるためです。この方式は、データベースがリークしている可能性がある場合に推奨されます。PEAP:EAP-GTC、EAP-MSCHAPv2、および EAP-TLS。[キー管理(Key Management)]:MACsec 対応有線ネットワークで使用するキー管理プロトコルを決定します。暗号化モード:スタティック WEP(オープンまたは共有)、ダイナミック WEP、TKIP、および AES。.exe、.bat、または .cmd 拡張子のファイルが受け入れられます。MACsec を有効にした場合は、PEAP、EAP-TLS、または EAP-FAST などの MSK キー派生をサポートする EAP 方式を必ず選択します。また、MACsec が有効でない場合にも、ネットワーク アクセス マネージャを使用すると、MACsec を考慮して MTU が 1500 から 1468 に削減されます。[クレデンシャル(Credentials)] パネルでは、目的のマシン クレデンシャルを指定できます。EAP-Tunneled Transport Layer Security(EAP-TTLS)は、EAP-TLS 機能を拡張する 2 フェーズのプロトコルです。フェーズ 1 では、完全な TLS セッションを実行して、フェーズ 2 で使用するセッション キーを導出し、サーバとクライアント間で属性を安全にトンネリングします。フェーズ 2 中では、トンネリングされた属性を使用して、多数のさまざまなメカニズムを使用する追加認証を実行できます。このネットワーク接続タイプを選択すると、[ネットワーク(Networks)] ダイアログに追加のタブが表示されます。これらのタブでは、選択されたネットワーク接続タイプの EAP 方式とクレデンシャルを設定できます。[ネットワーク(Networks)] ウィンドウの [メディア タイプ(Media Type)] ページにより、有線ネットワークまたはワイヤレス ネットワークを作成または編集できます。設定は、選択内容によって異なります。ネットワーク アクセス マネージャ プロファイルは、ネットワーク アクセス マネージャ プロファイル エディタで設定されます。このエディタは ASDM でスタンドアロン Windows アプリケーションとして使用できます。一部のアダプタでは、アクセス ポイントの RSN IE を常に提供するわけではないため、認証試行に失敗し、クライアントが接続されません。ユーザ接続で、プレースホルダ [username] および [domain] を使用する場合、次の条件が当てはまります。典型的な保護されていないマシン アイデンティティのパターンを定義します。ネットワーク アクセス マネージャは、EAP-TTLS 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。証明書が要求されたときに、認証のためにいずれの証明書ソースを使用するかを決定します。ISE ポスチャが開始する前にネットワーク アクセス マネージャをインストールする必要があります。ISE ポスチャは、ネットワーク アクセス マネージャ プラグインを使用して、ネットワーク変更ベントおよび 802.1x WiFi を検出します。Subject = .../DC=hostA.example.com/...[PAC を使用する(Use PACs)]:EAP-FAST 認証での PAC の使用を指定できます。PAC は、ネットワーク認証を最適化するためにクライアントに配布されるクレデンシャルです。anonymous@[domain]:値がクリア テキストで送信されるときに、ユーザ アイデンティティを隠すために、トンネリングされた方式内でよく使用されます。実際のユーザ アイデンティティは、保護されたアイデンティティとして、内部方式で提供されます。SubjectAlternativeName: UPN = userA@example.com内部トンネリングに使用できる EAP 方式は、内部方式のクレデンシャル タイプと外部トンネリング方式に基づいています。次のリストで、外部トンネル方式はそれぞれ、各クレデンシャル タイプに対応した内部方式の種類を一覧表示しています。CCKM(TKIP):(Cisco CB21AG ワイヤレス NIC が必要)ここでは、ネットワーク アクセス マネージャ プロファイル エディタの [セキュリティ レベル(Security Level)] に続く、[ネットワーク(Networks)] ウィンドウの [ネットワーク接続タイプ(network connection type)] ペインについて説明します。次のいずれかの接続タイプを選択します。このシナリオでは、ネットワーク接続タイマーを([startPeriod] x [maxStart])秒だけ大きくして、DHCP アドレスを取得してネットワーク接続を完了するために十分な時間をクライアントに与えることに注意してください。[MACsec: AES-GCM-128]:このオプションは、キー管理に MKA を選択した場合のみ使用できます。AES-GCM-128 を使用して、データ トラフィックが暗号化されます。パスワード ベースの内部方式を使用している場合、認証されていない PAC プロビジョニングを許可する追加オプションが使用できます。[サーバ証明書の確認(Validate Server Certificate)]:サーバ証明書の検証を有効にします。サーバの ECDSA 証明書チェーン検証はサポートされています。プロファイルの変換中は、WLAN サービスがシステムで実行している必要があります。[パスワードを使用した認証(Authenticate using a password)]:[EAP-MSCHAPv2] または [EAP-GTC]。アプリケーションがユーザのパスに存在する場合を除いて、実行するアプリケーションのフル パスを指定する必要があります。アプリケーションがユーザのパスに存在する場合は、アプリケーション名またはスクリプト名だけを指定できます。認証サーバでユーザのクレデンシャル(トークン、ユーザ名/パスワード、またはデジタル証明書)を認証する認証フェーズ。[スクリプトまたはアプリケーション(Script or application)]:ローカル システムで実行するファイルのパスとファイル名を入力するか、フォルダを参照してファイルを選択します。次のルールは、スクリプトおよびアプリケーションに適用されます。[パスワードを使用した認証(Authenticate using a password)]:[EAP-MSCHAPv2] または [EAP-GTC]。EAP-MSCHAPv2 は、相互認証を提供しますが、サーバを認証する前にクライアントを認証します。サーバを最初に認証する相互認証を使用する場合は、EAP-FAST を認証付きプロビジョニングのみに設定して、サーバの証明書を検証します。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、EAP-MSCHAPv2 を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。パスワードは EAP-GTC 内でクリア テキストでオーセンティケータに渡されるため、データベースに対する認証でこのプロトコルを使用できます。定義されているネットワークは、リストの先頭にあるすべてのグループで使用できます。グローバル ネットワーク内にどのネットワークがあるかを制御できるため、ユーザ定義のネットワークが存在する場合も、エンド ユーザが接続できる企業ネットワークを指定できます。エンド ユーザは管理者が設定したネットワークを変更したり、削除したりできません。ユーザが定義した最初の非表示ネットワークネットワーク アクセス マネージャは一度に 1 つの非ブロードキャスト SSID しかプローブできないため、サイトの非表示社内ネットワークは 1 つのみにすることをお勧めします。[一致(Match)] ドロップダウン メニューから、検索にフィールドの完全一致([等しい(Equals)])または部分一致([含む(Includes)])を含めるかどうかを指定します。
Cisco AnyConnect Secure Mobility Client 4.5.3040. ... のバッテリーの充電とに基づいて、コンピュータをスリープ状態にするための自動化のランチャーです。