目次に戻る

接続セキュリティの設定: Intel(R) PRO/Wireless LAN Mini PCI Adapter ユーザ ガイド


セキュリティと暗号化

データの暗号化と認証の設定
暗号化の概要
WEP 暗号化を有効にする
システム管理者のタスク
クライアントを WEP と MD5 の認証用に設定する
WEP または TKIP 認証でクライアントを WPA-PSK 用に設定する
TKIP 暗号化と TLS 認証を使用してクライアントを WPA 用に設定する
TKIP 暗号化と TLS 認証または PEAP 認証を使用してクライアントを WPA 用に設定する
CKIP 暗号化と LEAP 認証を使用してクライアントを CCX 用に設定する


データの暗号化と認証の設定

WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でのデータの保護を支援します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。 TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。

オープン キーと共有キーの認証

802.11 は、64 ビットと 128 ビットの WEP 暗号化を使用する [オープン システム] と [共有] の 2 種類のネットワーク認証をサポートします。 オープン システムは特定のアクセス ポイントに関連付けるのに暗号化認証の方法を必要としません。 サポートされる認証スキーマは、オープン認証と共有認証です。

ネットワーク キー

データの暗号化 (WEP、WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。 ネットワーク キーは自動的に提供される(ワイヤレス ネットワーク アダプタに提供されている場合など)こともあれば、自分でキーを入力し、キーの長さ(64 ビットか 128 ビット)、キーの形式(ASCII 文字か 16 進数の値)、キー インデックス(特定のキーが保管される場所)を指定することもできます。 キーの長さが長いほど、安全性も高くなります。 キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。

802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。 特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。 受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。

暗号化における静的キーと動的キーのタイプ

802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。 静的暗号化キーは手作業で変更され、安全性は低くなります。 MD5 認証では、静的な暗号化キーのみが使用されます。 動的な暗号化キーは、定期的に自動更新されます。 このため、暗号化キーはより安全です。 動的な暗号化キーを使用するには、TLS、TTLS、PEAP、LEAP などの 802.1x 認証方法を使用することが必要です。

802.1x の認証の要点

802.1x の認証方法では、パスワード、証明書、およびスマート カード(データを保管するプラスチック製のカード)を使用します。 802.1x パスワードの同期機能は、 [MD5、TLS、TTLS、LEAP クリデンシャル] ダイアログの [Windows のログオンを使用する] オプションは、802.1x クリデンシャルが Windows のユーザ名とパスワードを使用できるようにします。 802.1x 認証オプションは、 インフラストラクチャ モードでのみ使用できます。


暗号化の概要

WLAN では、WEP (Wireless Encryption Protocol) によるデータの暗号化を使用にしてセキュリティを強化できます。 64 ビットまたは 128 ビットのレベルの暗号化を選択できます。 また、キーを使用してデータを暗号化することもできます。 キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。 ただし、一度に使用できるキーは 1 つのみです。 また、プライバシーを確実にするためにプロファイルをパスワードで保護できます。

WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するかを選択できます。 64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。 128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キー用の 26 個の16進数文字を入力して、対応するネットワークに接続することができます。

注: ワイヤレス ネットワークにある他のデバイスが使用するのと同じ暗号化の種類、キー インデックス番号と WEP キーを使用する必要があります。


WEP 暗号化を有効にする

次の例では、既存のプロファイルを編集する方法と、WEP 暗号化を適用する方法について説明します。

注: 開始する前に、ネットワーク WEP パスフレーズまたは 16 進キーについてシステム管理者にお問い合わせください。
 

WEP 暗号化を有効にするには以下の手順に従います。

  1. [全般] ページで、[ネットワーク] タブをクリックします。
  2. プロファイル リストからプロファイルを選択して [編集] ボタンをクリックします。
  3. [セキュリティ] タブをクリックします。
  4. [ネットワーク認証] から任意のモードを選択します([オープン システム] を推奨します)。
  5. [WEP] データ暗号化を選択します。
  6. [手動キーの設定] を選択します。
  7. キー インデックス番号に、1、2、3、または 4 を選択します(デフォルトは 1 です)。
  8. 暗号化に 64 ビットまたは 128 ビット を選択します。
  9. 次のいずれかを選択します。
  1. [OK] をクリックしてプロファイル設定を保存します。

システム管理者のタスク

注: 次の情報は、システム管理者を対象に書かれています。 詳細は、管理者権限と制限されたユーザを参照してください。

クライアント証明書の取得

EAP-TLS や EAP-TTLS の証明書がない場合は、認証を行うためにクライアント証明書を入手する必要があります。 一般的に、ネットワークで証明書を取得する方法については、システム ネットワーク管理者に問い合わせてください。 証明書は、Internet Explorer か Windows の [コントロール パネル] からアクセスできる [インターネット オプション] で管理できます。 [インターネット オプション] の [コンテンツ] ページを使用します。

Windows XP と 2000 を使用する場合: クライアント証明書を入手する際に、[秘密キーの保護を強力にする] を選択しないでください。 証明書で秘密キーの保護を強力にすると、この証明書を使用するたびに、パスワードの入力が必要になります。 TLS/TTLS 認証のサービスを設定する際は、このオプションを必ずオフにします。 オンにすると、プロンプト ダイアログを表示する対象となるログインしたユーザが存在しないため、802.1x サービスで認証に失敗します。

スマート カードに関する注意事項

スマート カードをインストールすると、証明書は自動的にコンピュータにインストールされ、個人証明書ストアとルート証明書ストアから選択できるようになります。

クライアントを TLS 認証用に設定する

手順 1: 証明書を入手する

TLS 認証を行うには、ログインしたユーザのアカウントに対し、ローカル データベースに有効なクライアント(ユーザ)証明書が必要です。 また、ルート ストアにトラステッド CA の証明書が必要です。

証明書は、次の 2 つの方法で入手できます。

Windows 2000 の CA から証明書を入手する:

  1. Internet Explorer を起動して http://yourdomainserver.yourdomain/certsrv など、証明書を取得する certsrv のコマンドを使用した証明機関の HTTP サービスの URL を指定します。 また、「192.0.2.12/certsrv」などのサーバの IP アドレスを指定することもできます。
  2. 上記で作成した認証サーバのユーザ アカウントの名前とパスワードを入力して、CA にログオンします。 このユーザ名とパスワードは、現在のユーザに対する Windows ログインのユーザ名/パスワードと一致する必要はありません。
  3. CA の [ようこそ] ページで、証明書の要求を選択して、フォームを送信します。
  4. 要求の種類を選択するページで、詳細な要求を選択して、[次へ] をクリックします。
  5. [証明書の要求の詳細設定] ページで、[フォームを使用してこの CA に証明書の要求を送信] を選択し、[送信] をクリックします。
  6. [証明書の要求の詳細設定] ページで、[ユーザ証明書のテンプレート] を選択します。 [エクスポート可能なキーとしてマークする] を選択して、[次へ] をクリックします。 表示されるデフォルトを使用します。
  7. [証明書は発行されました] ページで、[この証明書のインストール] を選択します。

注: 初めて証明書を入手する場合は、トラステッド CA の証明書をルート ストアにインストールするかどうかを尋ねられます。 ダイアログには、これがトラステッド CA の証明書であることは表示されませんが、証明書の名前が、CA のホストであるトラステッド CA の証明書であることを示します。 [はい]をクリックします。この証明書は、TLS と TTLS の両方に必要です。

  1. 証明書のインストールが完了すると、[新しい証明書は正しくインストールされました。 ] というメッセージが表示されます。
  2. インストールを確認するには、[Internet Explorer] > [ツール] > [インターネット オプション] > [コンテンツ] > [証明書] の順にクリックします。 新しい証明書は、[個人] フォルダにインストールされます。

ファイルから証明書をインポートする

  1. [インターネットのプロパティ] を開きます。 このダイアログを開くには、デスクトップの Internet Explorer をマウスの右ボタンでクリックし、[プロパティ] を選択します。
  2. [コンテンツ] ページの [証明書] ボタンをクリックします。 インストールされている証明書の一覧が表示されます。
  3. 証明書の一覧の下にある [インポート] ボタンをクリックします。 証明書のインポート ウィザードが起動します。 注: 手順 1 から 3 は、証明書のアイコンをダブルクリックして実行することもできます。
  4. ファイルを選択して、[パスワード] ページに進みます。
  5. [パスワード] ページで、ファイルに対するパスワードを指定します。 [秘密キーの保護を強力にする] オプションをオフにします。
  6. [証明書ストア] ページで、[証明書の種類に基づいて証明書を自動的に選択する] を選択します。クライアントの [設定] ダイアログで証明書にアクセスするには、証明書がユーザ アカウントの個人用ストアにあることが必要です このためには、[自動] を選択します。
  7. [証明書のインポートの完了] に進み、[完了] ボタンをクリックします。

TLS 認証を使用して、WEP または TIKP 暗号化を行う WPA 認証を使用するプロファイルを設定するには

手順 2: Intel(R) PROSet で使用する証明書を指定する

注:クライアント証明書を入手して、インストールします。 詳しくは手順 1 を参照するか、システム管理者に問い合わせてください。
  1. [全般] ページで、[ネットワーク] タブをクリックします。
  2. [追加] ボタンをクリックします。
  3. プロファイルとネットワーク(SSID)名を入力します。
  4. 操作モードに [インフラストラクチャ] を選択します。
  5. [次へ] をクリックします。
  6. [ネットワーク認証] に [WPA] を選択します。
  7. データ暗号化に [WEP] または [TKIP] を選択します。
  8. [802.1x 有効] チェックボックスをクリックします。
  9. この接続で使用する認証タイプを [TLS] に設定します。
  10. [設定] ボタンをクリックして、設定のダイアログを開きます。
  11. [ユーザ名] フィールドにユーザ名を入力します。
  12. リストから [証明書発行元] を選択します。 デフォルトとして、[トラステッド CA のいずれか] を選択します。
  13. サーバ/証明書名を入力します。 サーバ/証明書名がわかっている場合は、その名前を入力します。 サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。

  14. クライアント証明書:このオプションでは、Windows のログインしたユーザの個人用証明書ストアから、クライアント証明書が選択されます。 この証明書がクライアントの認証に使用されます。 インストールされている証明書のリストを表示するには、[選択] ボタンをクリックします。

証明書に関する注:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。

  1. 一覧から証明書を選択し、[OK] をクリックします。 [クライアント証明書] に、クライアント証明書の情報が表示されます。
  2. [閉じる] をクリックします。
  3. [次へ] をクリックします。
  4. [完了] ボタンをクリックして、プロファイル設定を保存します。

クライアントを WEP と MD5 の認証用に設定する

WEP 認証と MD5 認証を新しいプロファイルに追加するには以下の手順に従います。

注: 作業を始める前に、システム管理者に RADIUS サーバのユーザ名とパスワードを問い合わせてください。

  1. [全般] ページで、[ネットワーク] タブをクリックします。
  2. プロファイル リストの [追加] ボタンをクリックします。
  3. プロファイルとネットワーク(SSID)名を入力します。
  4. 操作モードに [インフラストラクチャ] を選択します。
  5. [次へ] をクリックします。
  6. [オープン システム](推奨)ネットワーク認証を選択します。
  7. [WEP] データ暗号化を選択します。
  8. キー インデックスに、1、2、3、または 4 のいずれかを選択します。 (デフォルトのキーは 1 です)
  9. [暗号化レベル] に [64 ビット] または [128 ビット] を選択します。
  10. [パス フレーズの使用] または[16 進キーの使用] を選択し、テキストボックスにパス フレーズまたはキーを入力します。
  11. [802.1x 有効] チェックボックスをクリックします。
  12. 802.1x の認証タイプとして [MD5] を選択します。
  13. 次のいずれかを選択します。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
  1. [閉じる] をクリックして、設定を保存します。
  2. [次へ] をクリックします。
  3. 共通プロファイル持続接続 必要な場合、共通プロファイル機能を有効にするには、[このプロファイルは、すべてのユーザにより使用できる(共通)] を選択します。 持続プロファイル機能を有効にするには、[ログオンしているユーザがいない場合にこのプロファイルを使用する(持続)] を選択します。 これらの機能は、ソフトウェアのインストール中にインストールされます。 これらの機能が選択された場合、[詳細設定] で [共通プロファイルと持続プロファイル管理の切り替え] を有効にする必要があります。
  4. [完了] をクリックして、プロファイル設定を保存します。
  5. プロファイル リストの下側にある新しいプロファイルを選択します。 上向きと下向きの矢印を使用して、優先度リストで新しいプロファイルの優先度を指定します。
  6. [接続] をクリックして、選択されたワイヤレス ネットワークに接続します。
  1. [OK] をクリックして Intel(R) PROSet を閉じます。

WEP または TKIP 認証を使用した WPA-PSK をクライアントに設定する

認証サーバを使用していない場合は、WPA-PSK(Wi-Fi Protected Access - Pre Shared Key) を使用します。 このモードは、802.1x 認証プロトコルを使用しません。 このモードでは WEP または TKIP データ暗号化を使用できます。 WPA-PSK では、PSK(Pre-Shared Key)の設定が必要です。 256 ビットの PSK に、パス フレーズか、64 個の 16 進文字を入力します。 データの暗号化キーは、PSK から取得されます。

WPA-PSK ネットワーク認証で WEP または TKIP 暗号化を使用するプロファイルを設定するには以下の手順に従います。

  1. [全般] ページで、[ネットワーク] タブをクリックします。
  2. [追加] ボタンをクリックします。
  3. プロファイルとネットワーク(SSID)名を入力します。
  4. 操作モードに [インフラストラクチャ] を選択します。
  5. [次へ] をクリックします。
  6. ネットワーク認証に [WPA-PSK] を選択します。
  7. データ暗号化に [WEP] または [TKIP] を選択します。
  8. 次のいずれかを選択します。
  9. [次へ] をクリックします。
  10. [完了] をクリックして、プロファイル設定を保存します。
  11. プロファイル リストの下側にある新しいプロファイルを選択します。 上向きと下向きの矢印を使用して、優先度リストで新しいプロファイルの優先度を指定します。
  12. [接続] をクリックして、選択されたワイヤレス ネットワークに接続します。
  13. [OK] をクリックして Intel(R) PROSet を閉じます。

WEP または TKIP 暗号化と TLS 認証を使用した WPA をクライアントに設定する

TLS、TTLS、PEAP では、WPA(Wi-Fi Protected Access)モードを使用できます。 この 802.1x 認証プロトコルでは、データの暗号化オプションに [WEP] または [TKIP] を使用します。 WPA (Wi-Fi Protected Access) モードは、802.1x 認証にバインドします。 データの暗号化キーは、802.1x キー交換から取得されます。 データ暗号化を向上するために、WFP (Wi-Fi Protected) アクセスでは TKIP (Temporal Key Integrity Protocol) が使用されます。 TKIP では、キーの再発行を含む、重要なデータ暗号化の強化が行われます。

  1. クライアント証明書の入手とインストールについては、クライアントを TLS 認証用に設定するを参照するか、システム管理者に問い合わせてください。
  2. [全般] ページで、[ネットワーク] タブをクリックします。
  3. [追加] ボタンをクリックします。
  4. プロファイルとネットワーク(SSID)名を入力します。
  5. 操作モードに [インフラストラクチャ] を選択します。
  6. [次へ] をクリックします。
  7. [WPA] ネットワーク認証を選択します。
  8. データ暗号化に [WEP] または [TKIP] を選択します。
  9. この接続で使用する認証タイプを [TLS] に設定します。
  10. [設定] ボタンをクリックして、設定のダイアログを開きます。
  11. [ユーザ名] フィールドにユーザ名を入力します。

  12. リストから [証明書発行元] を選択します。 デフォルトとして、[トラステッド CA のいずれか] を選択します。

  13. 中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。 チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。

  14. サーバ名を入力します。 サーバ名がわかっている場合は、その名前を入力します。 サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。

  15. [クライアント証明書] オプションの下にある [選択] ボタンをクリックします。

証明書に関する注: 指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。

  1. 一覧から証明書を選択し、[OK] をクリックします。 [クライアント証明書] に、クライアント証明書の情報が表示されます。
  2. [閉じる] をクリックします。
  3. [次へ] をクリックします。
  4. [完了] をクリックして、プロファイル設定を保存します。
  5. プロファイル リストの下側にある新しいプロファイルを選択します。 上向きと下向きの矢印を使用して、優先度リストで新しいプロファイルの優先度を指定します。
  6. [接続] をクリックして、選択されたワイヤレス ネットワークに接続します。
  7. [OK] をクリックして Intel(R) PROSet を閉じます。

WEP または TKIP 暗号化と TTLS または PEAP 認証を使用した WPA をクライアントに設定する

TTLS 認証:これらの設定では、ユーザの認証に使用されるプロトコルと必要な情報が定義されます。 TTLS では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。 クライアントは、この暗号化チャネルを通じたサーバの検証で、別の認証プロトコルを使用することもできます。 一般的にパスワードに基づくプロトコルが使用されます。 チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。

PEAP 認証:PEAP 設定は、クライアントを認証サーバで認証する際に必要になります。 PEAP では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。 クライアントは、この暗号化チャネルを通じたサーバの検証で、別の EAP プロトコルを使用することもできます。 たとえば、MSCHAP (Microsoft Challenge Authentication Protocol) バージョン 2 などです。 チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。

次の例で、TTLS 認証または PEAP 認証を使用して、WEP または TKIP 暗号化と WPA を使用する方法を説明します。

  1. クライアント証明書の入手とインストールについては、クライアントを TLS 認証用に設定するを参照するか、システム管理者に問い合わせてください。
  2. [全般] ページで、[ネットワーク] タブをクリックします。
  3. [追加] ボタンをクリックします。
  4. プロファイルとネットワーク(SSID)名を入力します。
  5. 操作モードに [インフラストラクチャ] を選択します。
  6. [次へ] をクリックします。
  7. [ネットワーク認証] に [WPA] を選択します。
  8. データ暗号化に [WPA] または [TKIP] を選択します。
  9. [802.1x 有効] を選択します。
  10. この接続で使用する認証タイプを [TTLS] または [PEAP ] に設定します。
  11. [設定] ボタンをクリックして、設定のダイアログを開きます。
  12. クリデンシャルのユーザ名を EAP ID に使用する:チェックボックスがオフの場合、あらかじめ定義された文字列「anonymous」が認証プロトコルとして送信されます。この機能では、実際のユーザ名を暗号化せずに送信するという、やや安全度の低い認証方法が使用されます。 このメソッドはすべての認証サーバ、特に有効なユーザ名のみを受け入れる Microsoft IAS RADIUS で使用できます。
  13. リストから [証明書発行元] を選択します。 デフォルトとして、[トラステッド CA のいずれか] を選択します。 [中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。 チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
  14. サーバ名を入力します。

  1. 認証プロトコル:
  2. 次のいずれかを選択します。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
  1. クライアント証明書: このオプションでは、Windows のログインしたユーザの個人用証明書ストアから、クライアント証明書が選択されます。 この証明書がクライアントの認証に使用されます。 インストールされている証明書のリストを表示するには、[選択] ボタンをクリックします。

証明書に関する注:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。

  1. 一覧から証明書を選択し、[OK] をクリックします。 [クライアント証明書] に、クライアント証明書の情報が表示されます。
  2. [閉じる] をクリックします。
  3. [次へ] をクリックします。
  4. プロファイル リストの下側にある新しいプロファイルを選択します。 上向きと下向きの矢印を使用して、優先度リストで新しいプロファイルの優先度を指定します。
  5. [接続] をクリックして、選択されたワイヤレス ネットワークに接続します。
  1. [OK] をクリックして Intel(R) PROSet を閉じます。

CKIP 暗号化と LEAP 認証を使用してクライアントを CCX 用に設定する

Intel(R) PROSet の使用による LEAP の設定
注: LEAP プロファイルは、Intel(R) PROSet を使用してのみ設定できます。

特定の ESS または無線 LAN ネットワークに接続するには Intel(R) PROSet CCX (v1.0) プロファイルを設定する必要があります。 プロファイルの設定には、LEAP、CKIP および Rogue AP 検索の設定が含まれます。

CCX セキュリティ設定のプロファイルを設定するには以下の手順に従います。

  1. [全般] ページで、[ネットワーク] タブをクリックします。
  2. [追加] ボタンをクリックします。
  3. プロファイルとネットワーク(SSID)名を入力します。
  4. 操作モードに [インフラストラクチャ] を選択します。
  5. [Cisco Compatible Extensions を有効にする] チェックボックスをクリックして、CCX セキュリティを有効にします。 [詳細設定] で Cisco の [混合セル] のチェックボックスがチェックされている場合は、このオプションを選択する必要があります。 注: ネットワーク認証とデータ暗号化は CCX セキュリティ オプションを含みます。 802.11 認証では [オープン システム]と[共有]、データ暗号化では、[なし]、[WEP]、[CKIP] を使用できます。
  6. [次へ] をクリックします。
  7. [ネットワーク認証] オプションで [オープン システム] を選択します。
  8. データ暗号化に [CKIP] を選択します。
  9. [ 802.1x 有効] チェックボックスをクリックして、802.1 セキュリティ オプションを有効にします。
  10. 802.1x の認証タイプとして [LEAP] を選択します。
  11. [設定] をクリックして、LEAP 設定のダイアログを開きます。
  12. 次のいずれかを選択します。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
  1. [閉じる] をクリックして設定を保存し、LEAP 設定のダイアログを閉じます。
  2. [次へ] をクリックします。[詳細設定] ページが表示されます。
  3. 共通プロファイル持続接続 必要な場合、共通プロファイル機能を有効にするには、[このプロファイルは、すべてのユーザにより使用できる(共通)] を選択します。 持続プロファイル機能を有効にするには、[ログオンしているユーザがいない場合にこのプロファイルを使用する(持続)] を選択します。 これらの機能は、ソフトウェアのインストール中にインストールされます。 これらの機能が選択された場合、[詳細設定] で [共通プロファイルと持続プロファイル管理の切り替え] を有効にする必要があります。
  4. [一般設定] ページで [Cisco Compatible Extensions を有効にする] チェックボックスを選択して CCX セキュリティを有効にした場合は、Cisco の [Cisco 混合セルを有効にする] チェックボックスが選択されていることを確認します。
  5. [完了] をクリックして、プロファイル設定を保存します。
  6. プロファイル リストの下側にある新しいプロファイルを選択します。 上向きと下向きの矢印を使用して、優先度リストで新しいプロファイルの優先度を指定します。
  7. [接続] をクリックして、選択されたワイヤレス ネットワークに接続します。
  8. LEAP クリデンシャルを入力します。 [ユーザ クリデンシャルの保存] のチェックボックスをチェックして、クリデンシャルをこの 802.1x プロファイルで今後使用するために保存します。
  9. [OK] をクリックして Intel(R) PROSet を閉じます。

CCX アクセス ポイントとクライアント設定

アクセス ポイントは WLAN 環境に従って異なる認証のタイプを選択するための設定を提供します。 クライアントは、802.11 規格で接続を確立するためにクライアントとアクセス ポイント間で行われる認証ハンドシェーク中に認証アルゴリズム フィールドを送信します。 CCX を有効にしたアクセス ポイントによって認識される認証アルゴリズムの値は、認証タイプによって異なります。 たとえば、LEAP を指示する「Network-EAP (ネットワーク EAP)」は 0x80 の値を持ち、802.11 で指定されたオープン システムの認証である「Open (オープン システム)」とEAP ハンドシェークを必要とする 「Required EAP (必須 EAP)」では 0x0 の値を持ちます。

Network-EAP only(ネットワーク EAP のみ)

アクセス ポイント: [Network-EAP] チェックボックスをチェックし、[Open] と [Required EAP] チェックボックスのチェックマークを外して設定する LEAP 認証タイプのみを使用して CCX を有効にしたネットワークです。 これにより、アクセス ポイントは LEAP クライアントのみを認証と接続に許可するように設定されます。 この場合、アクセス ポイントは 802.11 認証アルゴリズムが 0x80(LEAP)に設定されていることを予期し、認証アルゴリズムの値に 0x0 を持つクライアントが認証を試行すると拒否します。

クライアント: クライアントが認証アルゴリズム値 0x80 を送信しない場合、802.11 認証ハンドシェークは失敗します。 起動中に無線 LAN ドライバがすでにロードされているが Intel(R) PROSet サプリカントがまだロードされていない場合には、クライアントは認証アルゴリズム値 0x0 を持つ 802.11 認証を送信します。 Intel(R) PROSet のサプリカントがロードされ、LEAP プロファイルが実行されると、認証アルゴリズムの値に 0x80 を使用して、802.11 認証が送信されます。

Network-EAP、Open、Required EAP

アクセス ポイント: [Network-EAP]、[Open]、[Required EAP] チェックボックスがチェックされている場合、802.11 認証アルゴリズム値 0x0 と 0x80 の両方を受け入れます。 ただし、クライアントが関連付けられ認証されると、アクセス ポイントは EAP ハンドシェークが実行されることを予期します。EAP ハンドシェークがただちに行われない場合、アクセス ポイントは約 60 秒間クライアントに応答しません。

クライアント: この場合は、クライアントは認証アルゴリズム値 0x80 または 0x0 を送信します。 両方の値は受け入れが可能で、802.11 認証ハンドシェークは成功します。 起動中に無線 LAN ドライバがすでにロードされると、クライアントは 認証アルゴリズム値 0x0 で 802.11 認証を送信します。 これは認証を受けるには適していますが、接続を確立するには対応する EAP または LEAP クリデンシャルがアクセス ポイントと通信する必要があります。

[Open] および [Required EAP only]

アクセス ポイント: アクセス ポイントの設定で [ネットワーク-EAP] チェックボックスがオフ、[オープン システム] および [必要な EAP] チェックボックスがオンの場合、アクセス ポイントでは認証アルゴリズム値 0x80 を使用する 802.11 認証を試行するすべてのクライアントが拒否されます。 アクセス ポイントは認証アルゴリズム値 0x0 を使用するクライアントを受け入れ、EAP ハンドシェークがただちに実行されることを予期します。 この場合、クライアントは特定のネットワーク設定に適した MD5、TLS、LEAP または他の EAP 方式を使用します。

クライアント: この場合、クライアントは認証アルゴリズム値 0x0 を送信する必要があります。 前述したように、最初の 802.11 認証ハンドシェークが繰り返されます。 まず、無線 LAN ドライバは認証アルゴリズム値 0x0 を使用して認証を開始し、サプリカントが処理を繰り返します。 クライアントでは、サプリカントがロードされ、LEAP プロファイルが実行された後でも、認証アルゴリズム値 0x0 を持つ 802.11 認証が送信されます。

Rogue AP

LEAP プロファイルは、CCX により要求される Rogue AP 機能のクライアント実装を確実に実行します。 クライアントは、認証に失敗したアクセス ポイントを記録して、その情報を認証と接続が可能なアクセス ポイントに送信します。 また、サプリカントは認証アルゴリズムのタイプを 0x80 に設定します。 実装されるネットワーク設定と上述の [Open] および [Required EAP] のみ での設定が必要になる可能性があります。 この設定を使用可能にするには、クライアントは、認証アルゴリズム値 0x80 を必要とする上述の Network-EAP only と反対に、認証アルゴリズム値 0x0 を使用する必要があります。LEAP プロファイルはクライアントが [Network-EAP only]、[Open] および [Required EAP only] をサポートできるようにします。

注:詳細は、www.cisco.com (英語)にある Cisco Client extensions バージョン 2.0 ドキュメントを参照してください。


目次に戻る