URLのホストwww.xxxx.comに192.168.10.1と192.168.10.2、二つのIPアドレス (Aレコード) が割り振られていることをシステムログより確認できます。------------------------- AnyConnect では、2 つのテーマを使用できます。 • [Cisco Default Theme]:Apple iOS のインターフェイスに似た、カラー コントラストがあり、青系統の影の色を強調したテーマです。 • [High Contrast はじめにCPU使用率の確認方法CLIからの確認SNMPポーリングによる確認メモリ使用状況の確認方法CLIからの確認SNMPポーリングによる確認参考情報 はじめに AnyConnect のインストール後に、お客様のニーズに応じて、AnyConnect の Web ポータルサイトへのアクセス制限を必要とされる場合がありま … Do you want to allow this?」, • 接続:「Another application has requested that AnyConnect connect to ‘ host '. This product includes cryptographic software written by Eric Young (eay@cryptsoft.com). 2.

お世話になっております。 現在、下記の検証機材を使用してAnyCoonectのSSL-VPN接続を検証しています。 Windows 10 AnyConnect 4.4.03034 ASA5516-X 9.6(3) 予め作成したクライアントプロファイル(.xml)の設定値に基づいてSSL-VPNを自動接続できるところまで確認が取れています。 iPad 用 Cisco AnyConnect セキュア モビリティ クライアント ユーザ ガイド(リリース 3.0.x), 「Another Application has requested that AnyConnect...Do you want to allow this?」への対処, Apple iOS は Tunnel-all のすべてのローカル LAN トラフィックを許可, このマニュアルでは、Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアント 3.0x について説明します。このマニュアルの構成は、次のとおりです。, Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアントは、エンタープライズ ネットワークに対するシームレスでセキュアなリモート アクセスを実現します。このクライアントを使用すると、インストールされているすべてのアプリケーションで、エンタープライズ ネットワークに直接接続されているかのように通信できます。, App Store でインストール アプリケーションおよびすべての更新が提供されます。Cisco 適応型セキュリティ アプライアンス(ASA)は、VPN へのアクセスを許容するセキュア ゲートウェイですが、Apple iOS 向け AnyConnect の更新はサポートしません。, Apple iOS 向け AnyConnect は、Windows、Mac OS X、および Linux 向け AnyConnect と同様のものです。Apple iOS で AnyConnect を使用する際の追加資料がお客様の組織から提供されることがあります。, (注) AnyConnect は、iPhone 上の場合と同じように iPod Touch 上に表示され、動作します。このデバイスには、『iPhone User Guide for Cisco AnyConnect Secure Mobility Client』を使用してください。, 次の手順で Apple App Store から Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアントをインストールします。, ステップ 3 検索ボックスに anyconnect と入力し、[Suggestions] リストにある [cisco anyconnect] をタップします。, AnyConnect 3.0 へのアップグレードは、Apple App Store を使用して管理します。デバイスをアップグレードする前に次の手順を実行します。, AnyConnect のアップグレードが利用可能であることを示す通知を Apple App Store から受けたら、次の手順に従います。, ステップ 1 iOS のホームページで、[App Store] アイコンをタップします。, ステップ 2 [AnyConnect upgrade notice] をタップします。, AnyConnect のインストール時には、これらの言語のローカリゼーション データが Android デバイスにインストールされます。表示される言語は、[Settings] > [General] > [International] > [Language] で指定されたロケールによって決まります。AnyConnect は最適なものを判断するため、言語仕様を使用してから、リージョン仕様を使用します。たとえば、インストール後にロケール設定をスイス フランス語(fr-ch)にすると、カナダ フランス語(fr-ca)表示になります。AnyConnect の UI とメッセージは、AnyConnect を起動するとすぐに変換されます。選択されたローカリゼーションは、AnyConnect の [Localization Management] 画面に Active と表示されます。, インストール後のローカリゼーション アクティビティとオプションについては、 ローカリゼーションの管理を参照してください。.   コードを掲載した SMS メッセージが送信されます。このコードは 10 分間有効です。 送信されない場合は、[コードの再送信(Resend Code)] をクリックします。, 7. All rights reserved. All rights reserved.   をクリックしてより多くの設定オプションに進むことができます。, グループとは、基本的に、設定された接続(ネットワーク)の集合です。設定された各接続は、グループに属するか、すべてのグループのメンバーである必要があります。, 下位互換性を確保するため、Cisco Secure Services Client で展開された管理者作成のネットワークは、SSID をブロードキャストしない非表示ネットワークとして扱われます。ユーザ ネットワークは、SSID をブロードキャストするネットワークとして扱われます。, 新しいグループを作成できるのは管理者だけです。設定にグループが定義されていない場合、プロファイル エディタによって自動生成グループが作成されます。自動生成グループには、管理者定義のグループに割り当てられていないネットワークが含まれます。クライアントは、アクティブ グループに定義されている接続を使用してネットワーク接続の確立を試みます。[ネットワーク グループ(Network Groups)] ウィンドウの [ネットワークの作成(Create Networks)] オプションの設定に応じて、エンド ユーザは、ユーザ ネットワークをアクティブ グループに追加するか、アクティブ グループからユーザ ネットワークを削除できます。, 定義されているネットワークは、リストの先頭にあるすべてのグループで使用できます。グローバル ネットワーク内にどのネットワークがあるかを制御できるため、ユーザ定義のネットワークが存在する場合も、エンド ユーザが接続できる企業ネットワークを指定できます。エンド ユーザは管理者が設定したネットワークを変更したり、削除したりできません。, エンド ユーザは、globalNetworks セクションのネットワークを除き、グループにネットワークを追加できます。これらのネットワークはすべてのグループ内に存在し、プロファイル エディタを使用してしか作成できないためです。, 企業ネットワークの一般的なエンド ユーザは、このクライアントを使用するためにグループの知識は必要ありません。アクティブ グループは設定内の最初のグループですが、グループが 1 つしか使用できない場合、アクティブ グループは認識されず、表示されません。一方で、複数のグループが存在する場合、UI にはアクティブ グループが選択されたことを示すグループのリストが表示されます。ユーザはアクティブ グループから選択でき、設定はリブート後も保持されます。[ネットワーク グループ(Network Groups)] ウィンドウの [ネットワークの作成(Create Networks)] オプションの設定に応じて、エンド ユーザは、グループを使用せずに自分のネットワークを追加または削除できます。, グループ選択はリブート後も持続して、ネットワークは修復されます(そのためには、トレイ アイコンを右クリックしながら [ネットワーク修復(Network Repair)] を選択します)。ネットワーク アクセス マネージャが修復されるか、またはリスタートされると、以前のアクティブなグループが使用されます。, [ネットワーク(Networks)] ウィンドウの [メディア タイプ(Media Type)] ページにより、有線ネットワークまたはワイヤレス ネットワークを作成または編集できます。設定は、選択内容によって異なります。, [グループ メンバーシップ(Group Membership)]:このプロファイルが使用できるようにするネットワーク グループ(複数の場合もあり)を選択します。, [ネットワーク メディア(Network Media)]:[有線(Wired)] または [Wi-Fi(ワイヤレス)(Wi-Fi (wireless))] を選択します。[Wi-Fi] を選択すると、次のパラメータも設定できます。, [SSID]:ワイヤレス ネットワークの SSID(サービス セット識別子)を入力します。, [非表示ネットワーク(Hidden Network)]:SSID をブロードキャストしない場合でも、ネットワークへの接続を許可します。, [社内ネットワーク(Corporate Network)]:[社内(Corporate)] として設定されたネットワークが近接にある場合、まずそのネットワークに強制的に接続します。社内ネットワークが非ブロードキャスト(非表示)SSID を使用し、非表示として設定されている場合、ネットワーク アクセス マネージャは非表示 SSID をアクティブにプローブし、企業 SSID が範囲内にあれば接続を確立します。, [アソシエーション タイムアウト(Association Timeout)]:ネットワーク アクセス マネージャが、使用できるネットワークを再評価するまでに特定のワイヤレス ネットワークとのアソシエーションを待機する時間を入力します。デフォルトのアソシエーション タイムアウトは 5 秒です。, [スクリプトまたはアプリケーション(Script or application)]:ローカル システムで実行するファイルのパスとファイル名を入力するか、フォルダを参照してファイルを選択します。次のルールは、スクリプトおよびアプリケーションに適用されます。, ユーザは、管理者が作成したネットワークで定義されたスクリプトまたはアプリケーションは変更できません。, プロファイル エディタを使用してパスおよびスクリプトまたはアプリケーションのファイル名のみを指定できます。スクリプトまたはアプリケーションがユーザのマシンに存在しない場合、エラー メッセージが表示されます。ユーザは、スクリプトまたはアプリケーションがマシンにないこと、およびシステム管理者に問い合わせる必要があると通知されます。, アプリケーションがユーザのパスに存在する場合を除いて、実行するアプリケーションのフル パスを指定する必要があります。アプリケーションがユーザのパスに存在する場合は、アプリケーション名またはスクリプト名だけを指定できます。, [接続タイムアウト(Connection Timeout)]:ネットワーク アクセス マネージャが、(接続モードが自動の場合)別のネットワークに接続しようとするか、または別のアダプタを使用するまでにネットワーク接続の確立を待機する秒数を入力します。, 認証を完了するまでに 60 秒近くかかるスマートカード認証システムもあります。スマートカードを使用している場合、特に、スマートカードが接続に成功するまでにいくつかネットワークに接続しなければならない場合に、[接続タイムアウト(Connection Timeout)] 値を増やす必要があります。, [ネットワーク(Networks)] ウィザードの [セキュリティ レベル(Security Level)] ページで、[オープン ネットワーク(Open Network)]、[認証ネットワーク(Authentication Network)]、または(ワイヤレス ネットワーク メディアにのみ表示される)[共有キー ネットワーク(Shared Key Network)] を選択します。これらのネットワーク タイプの設定フローはそれぞれ異なっており、次の項で説明します。, オープン ネットワークの設定:推奨されません。ただし、キャプティブ ポータル環境を介したゲスト アクセスの提供に使用できます。, 共有キーのネットワークの設定:小規模オフィスまたはホーム オフィスなどの無線ネットワークに推奨されます。, [セキュリティ レベル(Security Level)] セクションで [認証ネットワーク(Authenticating Network)] を選択した場合、次に説明するペインが追加で表示されます。これらのペインの設定を完了したら、[次へ(Next)] Troubleshooting, configuration, installation, and technical documentation, VPN Client drivers, firmware, NOS, and application software, Home Skip to content Skip to navigation Skip to footer, パスワードをリセットするためのリンクを送信します。リンクは 1 度しか使用できません。, リクエストしたのに E メールが届かない場合は、迷惑メールのフォルダにシスコからの E メールが届いていないか確認してください。リンクの期限が切れた場合は、新しいリンクをリクエストできます。, 携帯電話番号がすでに確認済みの場合、テキスト メッセージを使ってパスワードをリセットできます。携帯番号の確認方法の手順に従ってください。, パスワードのリセットを開始するには、シスコのアカウントに関連付けられている電子メール アドレスを入力します。, まず、迷惑メールのフォルダにシスコからの E メールが届いていないか確認してください。 パスワードのリセット用 E メールを再送信するようリクエストすることもできます。E メールに含まれるリンクは 1 度しか使用できません。, セキュリティの質問に対する答えとパスワードを忘れてしまいました(お客様およびパートナー), 電子メールまたは SMS によってアカウントが確認されると、次のいずれかの方法でパスワードをリセットすることができます。 セキュリティの質問に回答する、もしくは、(セキュリティの質問への回答を忘れた場合)シスコのアカウント プロファイル内の情報を提供する。, パスワードをリセットする必要があるが、プライマリ メール アドレスにアクセスできない。, そうでない場合は、現在お使いの電子メールを使って新しい Cisco.com アカウントを作成する必要があります。, 1. 正しい番号が入力されていることを確認してから [確認(Verify)] をクリックし、[コードを取得する(Get Gode)] をクリックします。, 5. Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 4.2. タブを選択して [ネットワーク接続タイプ(Network Connection Type)] ダイアログを開きます。, AnyConnect ISE ポスチャがネットワーク アクセス マネージャとともにインストールされた場合、ISE ポスチャはネットワーク アクセス マネージャ プラグインを使用してネットワーク変更イベントと 802.1X WiFi を検出します。, [authPeriod (sec)]:認証が開始された場合、認証メッセージの間隔がこの設定を超えるとサプリカントはタイムアウトします。認証を再度開始するには、サプリカントでオーセンティケータが必要です。, [heldPeriod (sec)]:認証が失敗した場合、サプリカントはこの設定で定義された時間だけ待機し、この時間を超えると別の認証が試行されます。, [startPeriod (sec)]:EAPOL-Start メッセージに対する応答をオーセンティケータから受信しない場合に、EAPOL-Start メッセージを再送信する間隔(秒)です。, [maxStart]:サプリカントが、オーセンティケータが存在しないと見なす前に、IEEE 801.X プロトコル パケット、EAPOL Key データ、または EAPoL-Start を送信することで、サプリカントがオーセンティケータの認証を開始する回数です。これが発生した場合は、サプリカントはデータ トラフィックを許可します。, 単一の認証有線接続がオープンおよび認証ネットワークの両方と動作するように設定できます。これは、[startPeriod] および [maxStart] を注意深く設定して、認証開始試行に費やす合計時間がネットワーク接続タイマーよりも小さくなるようにします([startPeriod] x [maxStart] < ネットワーク接続タイマー)。, このシナリオでは、ネットワーク接続タイマーを([startPeriod] x [maxStart])秒だけ大きくして、DHCP アドレスを取得してネットワーク接続を完了するために十分な時間をクライアントに与えることに注意してください。, 逆に、認証が成功した後にのみデータ トラフィックを許可するには、認証の開始に費やした総時間がネットワーク接続タイマーより長くなるような [startPeriod] および [maxStart] になるようにします([startPeriod] x [maxStart] > ネットワーク接続タイマー)。, [キー管理(Key Management)]:MACsec 対応有線ネットワークで使用するキー管理プロトコルを決定します。, [なし(None)]:キー管理プロトコルを使用しません。また、有線暗号化を実行しません。, [MKA]:サプリカントは、MACsec キー承諾プロトコル ポリシーと暗号キーをネゴシエートしようとします。MACsec は MAC レイヤ セキュリティで、有線ネットワークで MAC レイヤ暗号化を行います。MACsec プロトコルは、暗号化を使用して MAC レベル フレームを保護する手段であり、MACsec Key Agreement(MKA)エンティティに依存して暗号キーをネゴシエートおよび配布します。, [なし(None)]:データ トラフィックの整合性チェックは行われますが、暗号化はされません。, [MACsec: AES-GCM-128]:このオプションは、キー管理に MKA を選択した場合のみ使用できます。AES-GCM-128 を使用して、データ トラフィックが暗号化されます。, 詳細については、「Identity-Based Networking Services: MAC Security」を参照してください。, [ポート認証例外ポリシー(Port Authentication Exception Policy)] ペインでは、認証プロセス中の IEEE 802.1X サプリカントの動作を変更できます。ポート例外が有効でない場合、サプリカントはその既存の動作を続け、設定が完全に成功した場合のみ(または、この項で前述したように、オーセンティケータからの応答がない状態で maxStarts 数の認証が開始された後に)ポートを開きます。次のいずれかのオプションを選択します。, [認証前にデータ トラフィックを許可(Allow data traffic before authentication)]:認証試行の前にデータ トラフィックが許可されます。, [次の場合でも認証後にデータ トラフィックを許可(Allow data traffic after authentication even if)]:次の場合でもデータ トラフィックが許可されます。, [EAP 失敗(EAP Fails)]:選択すると、EAP が失敗した場合でも、サプリカントは認証を試行します。認証に失敗した場合、サプリカントは認証に失敗したにもかかわらず、データ トラフィックを許可します。, [EAP は成功したがキー管理に失敗(EAP succeeds but key management fails)]:選択すると、EAP は成功してキー管理が失敗した場合、サプリカントはキー サーバとのキーのネゴシエートを試行しますが、何らかの理由によりキー ネゴシエーションに失敗した場合でもデータ トラフィックを許可します。この設定は、キー管理が設定されている場合のみ有効です。キー管理がなしに設定されている場合、このチェックボックスは淡色表示されます。, MACsec には、ACS バージョン 5.1 以降および MACsec 対応スイッチが必要です。ACS またはスイッチの設定については、『Catalyst 3750-X and 3560-X Switch Software Configuration Guide』を参照してください。, オープン ネットワークは、認証や暗号化を使用しません。オープン(非セキュア)ネットワークを作成するには、次の手順を実行します。, Wi-Fi ネットワークは、エンドポイントとネットワーク アクセス ポイント間のデータを暗号化する際に使用される暗号キーを導出するために、共有キーを使用することがあります。WPA または WPA2 Personal を備えた共有キーを使用すると、小規模オフィスや自宅オフィスに適した Medium レベルのセキュリティ クラスが実現します。, [WEP]:スタティック WEP 暗号化とのレガシー IEEE 802.11 オープン システム アソシエーション。, [Shared]:スタティック WEP 暗号化とのレガシー IEEE 802.11 共有キー アソシエーション。, [WPA/WPA2-Personal]:パスフレーズ事前共有キー(PSK)から暗号キーを導出する Wi-Fi セキュリティ プロトコル。, ここでは、ネットワーク アクセス マネージャ プロファイル エディタの [セキュリティ レベル(Security Level)] に続く、[ネットワーク(Networks)] ウィンドウの [ネットワーク接続タイプ(network connection type)] ペインについて説明します。次のいずれかの接続タイプを選択します。, [マシン接続(Machine Connection)]:Windows Active Directory に保存されているデバイス名が認証に使用されます。マシン接続は通常、接続時にユーザ クレデンシャルが必要ない場合に使用します。ユーザがログオフし、ユーザ クレデンシャルが使用できない場合でも、エンド ステーションがネットワークにログインする必要がある場合にこのオプションを選択します。このオプションは通常、ユーザがアクセスする前に、ドメインに接続し、ネットワークから GPO および他のアップデートを取得する場合に使用します。, 既知のネットワークが使用できない場合、VPN Start Before Login(SBL)は失敗します。ネットワーク アクセス マネージャを [ユーザがログインする前(Before User Logon)] に、およびマシン接続認証用に設定している場合、ネットワーク アクセス マネージャはユーザにネットワーク情報を要求し、VPN SBL は正常に行われます。, [ユーザ接続(User Connection)]:ユーザ クレデンシャルを認証に使用します。, [クライアント ポリシー(Client Policy)] ペインで [ユーザがログインする前(Before User Logon)] が選択されている場合、Windows スタート画面でユーザがログイン クレデンシャルを入力した後、ネットワーク アクセス マネージャはユーザのクレデンシャルを収集します。Windows がユーザの Windows セッションを開始している間に、ネットワーク接続が確立されます。, [クライアント ポリシー(Client Policy)] ペインで [ユーザがログインした後(After User Logon)] が選択されている場合、ユーザが Windows にログインしてから、接続が開始されます。, ユーザがログオフすると、現在のユーザのネットワーク接続は終了します。マシン ネットワーク プロファイルが使用可能な場合、NAM はマシン ネットワークに再接続します。, [マシンおよびユーザ接続(Machine and User Connection)]:[セキュリティ レベル(Security Level)] ペインで選択したように、[認証ネットワーク(Authenticating Network)] を設定している場合にのみ指定できます。マシン ID とユーザ クレデンシャルの両方を使用しますが、マシン部分はユーザがデバイスにログインしていない場合のみ有効です。2 つの部分の設定は同じですが、マシン接続の認証タイプとクレデンシャルは、ユーザ接続の認証タイプとクレデンシャルと異なる場合があります。, マシン接続を使用していてユーザがログインしていないとき、およびユーザ接続を使用していてユーザがログインしているときにネットワークに PC を常時接続するには、このオプションを選択します。, EAP-FAST が(次のペインで)EAP 方式として設定されている場合、EAP チェーンがサポートされています。つまり、ネットワーク アクセス マネージャによって、マシンおよびユーザが既知のエンティティであり、企業によって管理されていることが検証されます。, このネットワーク接続タイプを選択すると、[ネットワーク(Networks)] ダイアログに追加のタブが表示されます。これらのタブでは、選択されたネットワーク接続タイプの EAP 方式とクレデンシャルを設定できます。, ネットワーク接続タイプを選択した後、それらの接続タイプの認証方式を選択します。認証方式を選択した後、選択した方式に対応するように表示が更新され、追加情報を提供するように要求されます。, MACsec を有効にした場合は、PEAP、EAP-TLS、または EAP-FAST などの MSK キー派生をサポートする EAP 方式を必ず選択します。また、MACsec が有効でない場合にも、ネットワーク アクセス マネージャを使用すると、MACsec を考慮して MTU が 1500 から 1468 に削減されます。, EAP は、認証プロトコルを伝送するトランスポート プロトコルから認証プロトコルをデカップリングするための要件を示した IETF RFC です。このデカップリングによって、トランスポート プロトコル(IEEE 802.1X、UDP、または RADIUS など)は、認証プロトコルを変更せずに EAP プロトコルを伝送できます。, EAP 要求:オーセンティケータは、要求パケットをサプリカントに送信します。各要求には type フィールドがあり、要求されている内容を示します。これには、使用するサプリカント アイデンティティや EAP タイプなどが含まれます。シーケンス番号により、オーセンティケータおよびピアは、各 EAP 要求に対応する EAP 応答を一致できます。, EAP 応答:サプリカントは応答パケットをオーセンティケータに送信し、シーケンス番号を使用して元の EAP 要求と照合します。EAP 応答のタイプは、通常 EAP 要求と一致しますが、応答が負(NAK)の場合は除きます。, EAP 成功:オーセンティケータは認証に成功した場合にサプリカントに成功パケットを送信します。, EAP 失敗:オーセンティケータは、認証が失敗した場合、サプリカントに失敗パケットを送信します。, EAP が IEEE 802.11X システムで使用中の場合、アクセス ポイントは EAP パススルー モードで動作します。このモードでは、アクセス ポイントはコード、識別子、および長さのフィールドを確認して、サプリカントから受信した EAP パケットを AAA サーバに転送します。AAA サーバ オーセンティケータから受信したパケットは、サプリカントに転送されます。, EAP-GTC は、単純なユーザ名とパスワード認証に基づく EAP 認証方式です。チャレンジ/レスポンス方式を使用せずに、ユーザ名とパスワードの両方がクリア テキストで渡されます。この方式は、トンネリング EAP 方式の内部で使用(次のトンネリング EAP 方式を参照)、またはワンタイム パスワード(OTP)を使用する場合に推奨されます。, EAP-GTC は、相互認証を提供しません。クライアントのみ認証するため、不正なサーバがユーザのクレデンシャルを取得するおそれがあります。相互認証が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、サーバ認証を提供します。, EAP-GTC によりキー関連情報は提供されないため、MACsec ではこの方式は使用できません。さらなるトラフィック暗号化のためにキー関連情報が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、キー関連情報(および必要に応じて内部および外部の EAP 方式の暗号化バインド)を提供します。, [パスワードを使った認証(Authenticate using a Password)]:十分に保護された有線環境にのみ適しています。, [トークンを使った認証(Authenticate using a Token)]:トークン コードまたは OTP のライフタイムが短い(通常約 10 秒)ため、より高いセキュリティを備えています, ネットワーク アクセス マネージャ、オーセンティケータ、または EAP-GTC プロトコルのいずれもパスワードとトークン コード間を区別できません。これらのオプションは、ネットワーク アクセス マネージャ内のクレデンシャルのライフタイムにのみ影響を与えます。パスワードは、ログアウトまでかそれ以降も記憶できますが、トークン コードは記憶できません(認証ごとにユーザがトークン コードの入力を求められるため)。, パスワードが認証に使用される場合、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。これは、パスワードがオーセンティケータにクリア テキストで渡されるためです。この方式は、データベースがリークしている可能性がある場合に推奨されます。, EAP-Transport Layer Security(EAP-TLS)は、TLS プロトコル(RFC 2246)に基づく IEEE 802.1X EAP 認証アルゴリズムです。TLS は、X.509 デジタル証明書に基づく相互認証を使用します。EAP-TLS メッセージ交換は、相互認証、暗号スイート ネゴシエーション、キー交換、クライアントと認証サーバ間の検証、およびトラフィック暗号化に使用できるキー関連情報を提供します。, 次のリストに、EAP-TLS クライアント証明書が有線およびワイヤレス接続に強固な認証を提供できる主な理由を示します。, 認証プロセスにより、データ暗号化および署名のための相互決定されたキーが生成される。, [サーバ証明書の確認(Validate Server Certificate)]:サーバ証明書の検証を有効にします。, [高速再接続を有効にする(Enable Fast Reconnect)]:TLS セッション再開を有効にします。これにより、TLS セッション データがクライアントとサーバの両方で保持されている限り、短縮化した TLS ハンドシェイクを使用することによってはるかに高速な再認証ができます。, [スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] オプションは、マシン接続認証では使用できません。, EAP-Tunneled Transport Layer Security(EAP-TTLS)は、EAP-TLS 機能を拡張する 2 フェーズのプロトコルです。フェーズ 1 では、完全な TLS セッションを実行して、フェーズ 2 で使用するセッション キーを導出し、サーバとクライアント間で属性を安全にトンネリングします。フェーズ 2 中では、トンネリングされた属性を使用して、多数のさまざまなメカニズムを使用する追加認証を実行できます。, ネットワーク アクセス マネージャは、EAP-TTLS 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。, PAP(パスワード認証プロトコル):ピアが 2 ウェイ ハンドシェイクを使用してそのアイデンティティを証明する単純な方式を提供します。ID/パスワード ペアは、認証が認められるか失敗するまで、ピアからオーセンティケータに繰り返し送信されます。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。, パスワードがオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。データベースがリークしている可能性がある場合は、この方式をお勧めします。, EAP-TTLS PAP は、トークンおよび OTP ベースの認証で使用できます。, CHAP(チャレンジ ハンドシェイク認証プロトコル):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。, MS-CHAP(Microsoft CHAP):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。, MS-CHAPv2:応答パケット内にピア チャレンジおよび成功パケット内にオーセンティケータ応答を含めることによって、ピア間の相互認証を提供します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃を防ぐために)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。, EAP-MD5(EAP Message Digest 5):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します(CHAP と類似)。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。, EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。, [サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。, これを有効にする場合は、RADIUS サーバにインストールされたサーバ証明書にサーバ認証の拡張キーの使用状況(EKU)が含まれていることを確認します。RADIUS サーバでは、認証時にクライアントにその設定済みの証明書を送信するとき、ネットワーク アクセスおよび認証のためにこのサーバ認証設定が必要です。, [高速再接続を有効にする(Enable Fast Reconnect)]:内部認証が省略されるかどうか、またはオーセンティケータによって制御されているかどうかに関係なく、外部 TLS セッション再開のみを有効にします。, [スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] は、マシン接続認証では使用できません。, [内部方式(Inner Methods)]:TLS トンネルが作成された後で内部方式の使用を指定します。Wi-Fi メディア タイプにのみ使用できます。, Protected EAP(PEAP)は、トンネリング TLS ベースの EAP 方式です。PEAP は、内部認証方式の暗号化に対するクライアント認証の前に、サーバ認証に TLS を使用します。内部認証は、信頼される暗号保護されたトンネル内部で実行され、証明書、トークン、およびパスワードを含む、さまざまな内部認証方式をサポートします。ネットワーク アクセス マネージャは、PEAP 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。, EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、PEAP を設定してサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。, EAP-GTC(EAP Generic Token Card):ユーザ名とパスワードを伝送するために EAP エンベロープを定義します。相互認証が必要な場合は、PEAP を設定してサーバの証明書を検証する必要があります。パスワードがクリア テキストでオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。この方式は、データベースがリークしている可能性がある場合に推奨されます。, EAP-TLS:ユーザ証明書を伝送するために EAP エンベロープを定義します。中間者攻撃(有効なユーザの接続のハイジャック)を避けるため、同じオーセンティケータに対する認証用に PEAP(EAP-TLS)および EAP-TLS プロファイルを混在させないことをお勧めします。その設定に応じて、オーセンティケータを設定する必要があります(プレーンおよびトンネリングされた EAP-TLS の両方を有効にしない)。, [高速再接続を有効にする(Enable Fast Reconnect)]:外部 TLS セッション再開のみを有効にします。オーセンティケータは、内部認証を省略するかどうかを制御します。, [スマート カードを使用するときは無効にする(Disable When Using a Smart Card)]:スマート カードを使用して認証する場合に高速再接続を使用しません。スマート カードは、ユーザ接続にのみ適用されます。, [トークンおよび EAP-GTC を使用して認証する(Authenticate using a token and EAP-GTC)]:マシン認証には使用できません。, [パスワードを使用した認証(Authenticate using a password)]:[EAP-MSCHAPv2] または [EAP-GTC]。, [証明書を使用した認証(Authenticate using a certificate)]:EAP-TLS に対応。, ユーザ ログインの前に、スマート カードのサポートは Windows では使用できません。, EAP-FAST は、IEEE 802.1X 認証タイプで、柔軟性があり、展開や管理も容易です。EAP-FAST は、さまざまなユーザおよびパスワード データベース タイプ、サーバ主導のパスワードの失効と変更、およびデジタル証明書(任意)をサポートします。, EAP-FAST は、証明書を使用せず、ディクショナリ攻撃からの保護を提供する IEEE 802.1X EAP タイプを展開するお客様向けに開発されました。, AnyConnect 3.1 の時点では、マシン接続とユーザ接続の両方が設定されている場合、EAP チェーンがサポートされています。これは、ネットワーク アクセス マネージャが、マシンおよびユーザが既知のエンティティであり、企業によって管理されていること検証することを意味し、社内ネットワークに接続しているユーザ所有資産を制御するのに便利です。EAP チェーンの詳細については、RFC 3748 を参照してください。, EAP-FAST は、TLS メッセージを EAP 内にカプセル化します。また、次の 3 つのプロトコル フェーズから構成されます。, Authenticated Diffie-Hellman Protocol(ADHP)を使用して Protected Access Credential(PAC)と呼ばれる共有秘密クレデンシャルを持つクライアントをプロビジョニングするプロビジョニング フェーズ。, 認証サーバでユーザのクレデンシャル(トークン、ユーザ名/パスワード、またはデジタル証明書)を認証する認証フェーズ。, 他のトンネリング EAP 方式とは異なり、EAP-FAST は内部および外部方式間に暗号化バインドを提供して、攻撃者が有効なユーザの接続をハイジャックする特殊な中間者攻撃を防止します。, [サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。これを有効にすると、管理ユーティリティに 2 つの追加のダイアログが導入されて、ネットワーク アクセス マネージャ プロファイル エディタのタスク リストに [証明書(Certificate)] ペインがさらに追加されます。, [高速再接続を有効にする(Enable Fast Reconnect)]:セッション再開を有効にします。EAP-FAST で認証セッションを再開する 2 つのメカニズムには、内部認証を再開するユーザ認可 PAC と、短縮化した外部 TLS ハンドシェイクができる TLS セッション再開があります。この [高速再接続を有効にする(Enable Fast Reconnect)] パラメータは、両方のメカニズムを有効または無効にします。オーセンティケータがいずれを使用するかを決定します。, マシン PAC は、短縮化した TLS ハンドシェイクを提供し、内部認証を省きます。この制御は、PAC パラメータを有効/無効にすることによって処理します。, [スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] オプションは、ユーザ接続認証にのみ使用できます。, [クレデンシャル ソースに基づく内部方式(Inner methods based on Credentials Source)]:パスワードまたは証明書を使用する認証ができます。, [パスワードを使用した認証(Authenticate using a password)]:[EAP-MSCHAPv2] または [EAP-GTC]。EAP-MSCHAPv2 は、相互認証を提供しますが、サーバを認証する前にクライアントを認証します。サーバを最初に認証する相互認証を使用する場合は、EAP-FAST を認証付きプロビジョニングのみに設定して、サーバの証明書を検証します。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、EAP-MSCHAPv2 を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。パスワードは EAP-GTC 内でクリア テキストでオーセンティケータに渡されるため、データベースに対する認証でこのプロトコルを使用できます。, パスワード ベースの内部方式を使用している場合、認証されていない PAC プロビジョニングを許可する追加オプションが使用できます。, [証明書を使用した認証(Authenticate using a certificate)]:証明書を使用する認証に対しての基準を、要求された場合にクライアント証明書を暗号化しないで送信、トンネル内でのみクライアント証明書を送信、またはトンネル内で EAP-TLS を使用してクライアント証明書を送信から決定します。, [PAC を使用する(Use PACs)]:EAP-FAST 認証での PAC の使用を指定できます。PAC は、ネットワーク認証を最適化するためにクライアントに配布されるクレデンシャルです。, EAP-FAST では大半の認証サーバが PAC を使用するため、通常は PAC オプションを使用します。このオプションを削除する前に、認証サーバが EAP-FAST で PAC を使用しないことを確認します。使用する場合は、クライアントの認証試行が失敗します。認証サーバが認証された PAC プロビジョニングをサポートする場合は、認証されていないプロビジョニングを無効にすることを推奨します。未認証のプロビジョニングは、サーバ証明書を検証しないため、侵入者がディクショナリ ベースの攻撃を仕掛けることができる可能性があります。, LEAP(Lightweight EAP)はワイヤレス ネットワークに対応しています。拡張認証プロトコル(EAP)フレームワークに基づき、WEP よりセキュアなプロトコルを作成するためシスコにより開発されました。, 強力なパスワードおよび定期的に失効するパスワードを使用しない限り、LEAP はディクショナリ攻撃を受ける場合があります。認証方式がディクショナリ攻撃の被害を受けにくい EAP-FAST、PEAP、または EAP-TLS を使用することをお勧めします。, ログオフを越えたユーザ接続の延長:ユーザがログオフしても接続は開いたままです。同じユーザが再度ネットワークにログインしても、接続はアクティブのままです。, 詳細については、「Dictionary Attack on Cisco LEAP Vulnerability」を参照してください。, [ネットワーク(Networks)] > [クレデンシャル(Credentials)] ペインで、ユーザ クレデンシャルまたはマシン クレデンシャルのいずれを使用するか指定し、信頼サーバ検証ルールを設定します。, EAP カンバセーションには、複数の EAP 認証方式が含まれ、その各認証で要求されるアイデンティティが異なる場合があります(マシン認証の次にユーザ認証が行われるなど)。たとえば、ピアでは最初に nouser@cisco.com のアイデンティティを要求して認証要求を cisco.com EAP サーバにルーティングする場合があります。しかし、いったん TLS セッションがネゴシエートされると、そのピアは johndoe@cisco.com のアイデンティティを要求する場合があります。そのため、ユーザのアイデンティティにより保護が提供される場合でも、カンバセーションがローカル認証サーバで終端しない限り、宛先領域は必ずしも一致しません。, ユーザ接続で、プレースホルダ [username] および [domain] を使用する場合、次の条件が当てはまります。, 認証にクライアント証明書を使用する場合:さまざまな X509 証明書プロパティから [username] および [password] のプレースホルダ値を取得します。プロパティは最初の一致に応じて次の順序で解析されます。たとえば、ユーザ認証のアイデンティティが userA@example.com(ユーザ名 =userA、ドメイン =example.com)、マシン認証のアイデンティティが hostA.example.com(ユーザ名 =hostA、ドメイン =example.com)の場合、次のプロパティが解析されます。, SubjectAlternativeName: UPN = userA@example.com.