Cisco Secure ACS - PEAP-MS-CHAPv2 - Part 2



 ◇ 下記の設定前に、IEEE802.1X認証 - PEAP-MS-CHAPv2 - 認証設定の設定も行いましょう。

 ◆ Cisco Secure ACS - PEAP-MS-CHAPv2 - 自己証明書発行

 PEAP-MS-CHAPv2ということは、ユーザ認証の際にはユーザ名とパスワードを入力する必要がありますが
 サーバ認証の際には証明書を使用します。今回は、ACSで自己発行証明書を生成してそれをクライアントPC
 にインストールする必要があります。先ずはACSでの証明書の発行手順を以下に紹介します。以下のとおり
 「System Administration」⇒「Local Server Certificates」⇒「Local Certificates」で「Create」です。

 ※ クライアントPCにACSの自己発行証明書をインストールしておくことで、ACSの持つサーバ証明書が信頼できるものと判断
 できます。このACSの自己発行証明書は、クライアントPCにインストールすべきのいわば「CAのルート証明書」に該当します。

 



 次に、自己証明書(オレオレ証明書)を発行するために Generate Self Signed Certificate をチェック。

 



 「Certificate Subject」では証明書の名前を適当に決めます。クライアントPCにはここで決めた名前の
 証明書をインストールすることになります。「Key Length」で鍵長を決めます。「Expiration TTL」で
 証明書の有効期限を決定します。ここでは5年としているので5年後にはこの証明書を使用した認証は
 できなくなるので、再度生成してクライアントPCにインストールする必要があります。最後にSSL/TLS
 トンネリングにEAPを使用するのでEAPを選択します。

 




 次に、この証明書をクライアントPCにインストールするため、ACSから先ほど生成した証明書を「Export」

 



 「Export Certificate Only」をチェックして「OK」ボタンをクリックします。

 



 「Export」を選択すると以下が表示されるので「保存」を選択してデスクトップなどにダウンロード。

 




 証明書の拡張性は「.cer」となります。また、Windows 7では下図のようなアイコン表示となります。

                  


 ◆ 参考:ADとの連携不具合とその解決策

 まずは、IEEE802.1X認証を使用しない場合のWindowsの通常の起動/ログオンのシーケンスを見てみます。

 @ クライアントPCの電源オン
 A 有線LANまたは無線LANの接続(リンクアップ)
 B DHCPを使用している場合は、DHCPによるIPアドレスの割り当て
 C ドメインコントローラへのセキュアチャネルの確立
 D コンピュータ用のグループポリシーの適用
 E ログオンのダイアログボックスの表示
 F グローバルアカウントでWindowsドメインにログオン
 G ユーザ用グループポリシーの適用


 ユーザ名とパスワードを使用した認証では、802.1X認証とドメイン認証のパスワード一元化が要求されるが
 ADと連携してユーザ名とパスワード情報を使用したPEAPでは、問題が発生する時があります。Windowsの
 ドメイン認証を行うためにはログオン認証の時点でクライアントとドメインコントローラの間で接続性が確保
 されている必要があるが、802.1X認証の場合、Windows OSによっては、デフォルトでは、ユーザが端末に
 ログオン後に802.1X認証が行われるようになっており、このままではWindowsドメインにログオンできない。

 そこで、Windowsにローカルでログオンしてユーザ名とパスワード情報をOSにキャッシュさせます。その後、
 802.1X認証を行い、キャッシュ情報によりWindowsドメインに参加するという流れを取ります。ただしこの
 場合はログオンスクリプトの適用とグループポリシー配布の機能が利用できなくなります。シーケンスは以下。
 以下のA〜DはIEEE802.1X認証が完了していないので、PCがネットワーク接続できなくて、動作しない項目。

 @ クライアントPCの電源オン
 A 有線LANまたは無線LANの接続(リンクアップ)
 B DHCPを使用している場合は、DHCPによるIPアドレスの割り当て
 C ドメインコントローラへのセキュアチャネルの確立
 D コンピュータ用のグループポリシーの適用

 E ログオンのダイアログボックスの表示
 F キャッシュ情報によりグローバルアカウントでローカルログオン
 G IEEE802.1Xのユーザ認証
 H DHCPを使用している場合は、DHCPによるIPアドレスの割り当て
 I DCへのセキュアチャネルが確立
 J Windowsドメインにログオン



 
この問題を解決するためにマシン認証を実行します。マシン認証ではクライアントPCにインストールされた
 証明書などを使用して、端末そのものをIEEE802.1X認証を行います。※ ユーザ認証ではなく、端末の認証。

 ユーザ認証だけでなく、マシン認証を組み合わせると、以下のシーケンス通り最初にマシン認証が行われ
 認証に成功すれば有線LAN/無線LANへの接続(リンクアップ)が完了して、通常通りWindowsドメインへ
 ログオン認証ができる。そして、Windowsのユーザ名とパスワードを使用して802.1Xのユーザ認証を行い
 その認証に成功すると、ログオンスクリプトの適用、及びグループポリシーの適用などが行われますので、
 Active Directory と連携する認証を使用する場合でも、マシン認証とユーザ認証を組み合わせればOKです。

 @ クライアントPCの電源オン
 A IEEE802.1Xによるマシン認証
 B 有線LANまたは無線LANの接続(リンクアップ)
 C DHCPを使用している場合は、DHCPによるIPアドレスの割り当て
 D コンピュータ用のグループポリシーの適用
 E ログオンのダイアログボックスの表示
 F グローバルアカウントでWindowsドメインにログオン
 G IEEE802.1Xによるユーザ認証
 H DHCPを使用している場合は、DHCPによるIPアドレスの再取得
 I ユーザグループポリシーの適用

 ※ クライアントPCでは「コンピュータ情報が利用できるときはコンピュータとして認証する」にチェック。


 つまり、当サイトで紹介している「PEAP-MS-CHAPv2」設定は、マシン認証などの方法は紹介していないので、オフィスの自席にある
 LAN接続では認証なしにして、ログオンスクリプトやグループポリシーなどを適用させて、会議室などの共用エリアやオープンスペース
 において「有線/無線LANの接続する際にPEAP-MS-CHAPv2を使用して、セキュアに接続させることを想定した解説」ということです。



Cisco Secure ACS 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.