NAC/NAP 環境への ACS の展開
ACS 4. 2 の新機能の設定
この章では、ACS 4.2 で提供されるいくつかの新機能を設定する方法について説明します。
ACS for Windows および ACS SE の両方で提供される新機能については、次の項を参照してくださ い。
• グローバル EAP-FAST 設定の新しいオプション(P.3-2)
• ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化(P.3-4) • NetBIOS の無効化(P.3-6)
• ACS 4.2 の拡張ロギング機能の設定(P.3-7)
• NAP レベルのグループフィルタリングの設定(P.3-8)
• ダイナミックユーザを記録(保存)しないようにするオプション(P.3-9) • Active Directory のマルチフォレストのサポート(P.3-10)
ACS SE のみで提供される新機能については、次の項を参照してください。
• ACS 4.2 でのsyslog の時間形式の設定(P.3-10)
• ACS SE の RSA サポート(P.3-11)
• ping のオン/オフ(P.3-20)
第3章 ACS 4.2 の新機能の設定 グローバル EAP-FAST 設定の新しいオプション
グローバル EAP-FAST 設定の新しいオプション
Global Authentication Setup セクションの EAP-FAST Configuration ページに、いくつかの新しいオプ ションがあります。図3-1 に、EAP-FAST Configuration ページの新しいオプションを示します。
図3-1 グローバル EAP-FAST 設定の新しいオプション
表3-1 に、EAP-FAST の新しい設定の説明を示します。
表3-1 Release 4.2 で提供される、グローバル EAP-FAST 設定の新しいオプション
オプション 説明
Allow Full TLS Renegotiation in Case of Invalid PAC
このオプションでは、PAC が無効または有効期限切れ の場合が処理されます。この状況で、EAP サーバは、
無効な PAC とともに通常使用される暗号とは異なる
暗号を選択して、完全な TLS ハンドシェークと認証 を開始できます。
非常に古い証明書を使用して認証を試みる可能性の あるクライアントが存在する場合は、Allow Full TLS Renegotiation in Case of Invalid PAC チェックボックス をオンにします。
Allow Anonymous In-band PAC Provisioning ACS は、EAP-FAST フェーズ 0 を使用してエンドユー ザ クライアントに PAC をプロビジョニングします。
第3章 ACS 4.2 の新機能の設定
グローバル EAP-FAST 設定の新しいオプション
Enable anonymous TLS renegotiation Allow Anonymous in-band PAC Provisioning チ ェ ッ ク ボックスをオンにした場合は、Enable anonymous TLS
renegotiation チェックボックスもオンにすることがで
きます。
ネットワーク内に Vista クライアントが存在する場合 は、Enable anonymous TLS renegotiation チェックボッ クスをオンにして、Vista ユーザがパスワードの入力 を 2 回求められないようにします。
表3-1 Release 4.2 で提供される、グローバル EAP-FAST 設定の新しいオプション(続き)
オプション 説明
第3章 ACS 4.2 の新機能の設定 ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化
ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効 化
EAP-FAST を使用するがトンネルやマシンの PAC の発行や受け入れは行わないように ACS に指示
する Network Access Profile(NAP; ネットワークアクセスプロファイル)を NAP 設定の Protocols セクションで設定できるようになりました。
図3-2 に、ACS 4.2 の NAP Protocols ページの EAP-FAST セクションを示します。
図3-2 Use PAC オプションと Do Not Use PAC オプション
第3章 ACS 4.2 の新機能の設定
ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化
表3-2 に、NAP Protocols ページの新しいオプションを示します。
表3-2 NAP Protocols ページの新しいオプション
オプション 説明
Use PACs この NAP を適用されたクライアントが、PAC が有効の状態で
EAP-FAST を使用して ACS で認証されるようにする場合は、
Use PACs オプション ボタンをクリックします。
Use PACs オプション ボタンをクリックすると、グローバル
EAP-FAST 設定で使用可能な EAP-FAST 設定オプションと同じ ものが使用可能になります。
Do Not Use PACs この NAP を適用されたクライアントが、PAC が無効の状態で
EAP-FAST を使用して ACS で認証されるようにする場合は、Do Not Use PACs オプション ボタンをクリックします。
Require Client Certificate Do Not Use PACs オプション ボタンをクリックすると、Require Client Certificate オプションが使用可能になります。EAP-FAST トンネルを確立するためにクライアント証明書を要求するに は、このオプションを選択します。
Disable Client Certificate Lookup and Comparisons
Do Not Use PACs オプション ボタンをクリックした場合は、
Disable Client Certificate Lookup and Comparisons チェックボック ス を オ ン に し て ク ラ イ ア ン ト 証 明 書 の 検 索 を 無 効 に し、
EAP-FAST PKI 認可バイパスを有効にできます。
Disable Client Certificate Lookup and Comparisons チェックボック スをオンにすると、ACS は、ユーザデータベース内のユーザグ ループ データまたは公開鍵インフラストラクチャ(PKI)証明 書に基づいてユーザを認可することなく(その代わりに、あら かじめ設定されているユーザグループにユーザをマッピングし
て)、EAP-FAST トンネルを確立します。
Assign Group Disable Client Certificate Lookup and Comparisons チェックボック スをオンにした場合は、Assign Group フィールドにあるユーザ グループのドロップダウン リストから、クライアントに適用す るユーザグループを選択します。
第3章 ACS 4.2 の新機能の設定