Cisco Secure ACS - Windows 7 Wireless LAN - 802.1X



 ◆ Windows 7 の設定 - IEEE802.1X認証 (PEAP-MS-CHAPv2) - 無線LANの設定

 次に、Windows 7 クライアントPCの
無線LANでのIEEE802.1X認証 (PEAP-MS-CHAPv2の設定) を紹介。
 「コントロール パネル」⇒「ネットワークとインターネット」⇒「ワイヤレス ネットワークの管理」で
 「追加」を選択すると、以下の画面が表示されるので「ネットワークプロファイルを・・」を選択します。

 




 「ネットワーク名(E):」でSSID名を入力して「セキュリティの種類(S):」で"WPA2-エンタープライズ"、
 「暗号化の種類(R):」でAESを選択します。また、ポリシーに応じて以下のとおり2項目もチェックします。

 


 「次へ(N)」を選択すると"正常に wifi-test を追加しました"と表示され「接続の設定を変更します(H)」
 が表示されるので、それを選択すると以下の画面が表示されます。チェック項目はセキュリティポリシーに
 応じてチェックしますが、一般的には以下の2項目をチェックします。


       




 次に「セキュリティ」のタブを選択。「セキュリティの種類(E):」に"WPA2-エンタープライズ"が選択され
 「暗号化の種類(N):」に"AES"が選択されていることを確認。「ネットワークの認証方法の選択(O):」で
 「Microsoft:保護されたEAP(PEAP)」を選択します。次に、「設定(S)」を選択します。


        





 以下の通りにチェックします。「信頼されたルート証明機関(R)」では、インストールした証明書を
 チェックします。以下の設定は、有線LAN/無線LAN共通の設定となります。


       

シングルサインオンを使用しない場合 シングルサインオンを使用する場合


 ローカルエリア接続のプロパティ画面に戻り、そこの「 追加の設定(D) 」 を選択すると下図が表示されます。
 先ずは「認証モードを指定する」をチェックし「ユーザー認証」を選択する必要があります。これは必須です。
 つぎにポリシーに応じてチェックすればいいのですが、一般的には、シングルサインオン(一度認証を受ける
 だけで、許可されている機能を全て利用できるようになる仕組み)を有効にするので、それをチェックします。
 次にWindowsログイン時のポリシーが事前に適用されるよう「ユーザログオンの直前に実行する」をチェック。

シングルサインオンを使用しない場合 シングルサインオンを使用する場合


 以上の設定により、IEEE802.1X認証(PEAP-MS-CHAPv2)が行えます。PCを再起動して接続してみよう。


 認証が上手くいかない場合、ネットワーク機器のステータスとしてAuthentication failedだけでなく、その後
 Authorization failed のメッセージも出力されます。この Authorization failed はAuthenticationが成功すれば
 successになるケースが多いので、先ず「Monitoring and Reports → Launch Monitoring & Report Viewer」
 を起動して、「Dashboard → Reports → Catalog → AAA Protocol」のRADIUS Authenticationのログを見て
 みましょう。ここを見れば問題解決できます。PEAP-MS-CHAPv2を使用している場合、ユーザ認証を行う必要
 があるのですが、それにも関わらず「マシン認証」をさせるチェックがある結果、失敗しているケースが多い。



Cisco Secure ACS 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.