Network Access Manager について
Network Access Managerは、ポリシーに従ってセキュアなレイヤ 2 ネットワークを提供するクライアント ソフトウェアです。最適なレイヤ 2 アクセス ネットワークを検出して選択し、有線ネットワークとワイヤレス ネットワークの両方へのアクセスに対してデバイス認証を実行します。Network Access Managerは、セキュアなアクセスに必要なユーザおよびデバイス アイデンティティならびにネットワーク アクセス プロトコルを管理します。管理者定義のポリシーに違反する接続をエンド ユーザが確立しないように、インテリジェントに動作します。
Network Access Managerは、単一ホーム(一度に 1 つのネットワーク接続を許可する)になるよう設計されています。また、有線接続がワイヤレス接続によりも優先されます。そのため、有線接続を使用してネットワークに接続した場合、ワイヤレス アダプタは IP アドレスを失い無効になります。
有線またはワイヤレスネットワーク設定や特定の SSID がグループポリシーからプッシュされた場合、それらはNetwork Access Managerの適切な動作と競合する可能性があります。Network Access Managerがインストールされている場合、ワイヤレス設定のグループポリシーはサポートされません。
(注) |
Network Access Manager は macOS または Linux には対応していません。 |
(注) |
Windows OS で ISE ポスチャを使用する場合は、Cisco Secure Client ISE ポスチャを開始する前に Network Access Manager をインストールする必要があります。 |
Cisco Secure Client のNetwork Access Manager コンポーネントは、次の主要な機能に対応しています。
-
キャプティブポータルの検出Network Access Manager によるキャプティブポータル検出要件 を参照してください。キャプティブポータルの検出は、Windows 7 ではサポートされていません。
-
Transport Layer Security(TLS)プロトコルバージョン 1.2
-
有線(IEEE 802.3)およびワイヤレス(IEEE 802.11)ネットワーク アダプタ。
-
Windows 7 以降でのモバイル ブロードバンド(3G)ネットワーク アダプタ(Microsoft モバイル ブロードバンド API をサポートする WAN アダプタが必要です)。
-
Windows マシン クレデンシャルを使用した事前ログイン認証。
-
Windows ログイン クレデンシャルを使用するシングル サインオン ユーザ認証。
-
簡素化された IEEE 802.1X 設定。
-
IEEE MACsec 有線暗号化および企業ポリシー制御。
-
EAP 方式:
-
EAP-FAST、PEAP、EAP-TTLS、EAP-TLS、および LEAP(IEEE 802.3 有線のみ EAP-MD5、EAP-GTC、および EAP-MSCHAPv2)。
-
-
内部 EAP 方式:
-
PEAP:EAP-GTC、EAP-MSCHAPv2、および EAP-TLS。
-
EAP-TTLS:EAP-MD5 および EAP-MSCHAPv2 およびレガシー方式(PAP、CHAP、MSCHAP、および MSCHAPv2)。
-
EAP-FAST:GTC、EAP-MSCHAPv2、および EAP-TLS。
-
-
暗号化モード:スタティック WEP(オープンまたは共有)、ダイナミック WEP、TKIP、および AES。
-
キー確立プロトコル:WPA、WPA2/802.11i。
-
Cisco Secure Client は、次の環境でスマートカードにより提供されるログイン情報に対応します。 -
Windows の Microsoft CAPI 1.0 および CAPI 2.0(CNG)。
-
Windows ログインは ECDSA 証明書に対応していないため、Network Access Managerのシングル サインオン(SSO)は ECDSA クライアント証明書に対応していません。
(注)
WPA3 Enhanced Open(OWE)および WPA3 Personal(SAE)のサポートが、Cisco Secure Client Release 5.0.02075 のネットワーク アクセス マネージャに追加されました。
-
Suite B および FIPS
次の機能は、Windows 7 以降で FIPS 認定されています。例外を次に示します。
-
ACS および ISE は Suite B には対応していませんが、OpenSSL 1.x 搭載の FreeRADIUS 2.x は対応しています。Microsoft NPS 2008 は Suite B に一部対応しています(NPS の証明書は RSA でなければなりません)。
-
802.1X/EAP は、Suite B の遷移プロファイルのみをサポートします(RFC 5430 の定義どおり)。
-
MACsec は FIPS 準拠です。
-
楕円曲線 Diffie-Hellman(ECDH)キー交換はサポートされています。
-
ECDSA クライアント証明書はサポートされています。
-
OS ストアの ECDSA CA 証明書はサポートされています。
-
ネットワーク プロファイルの(PEM エンコードされた)ECDSA CA 証明書はサポートされています。
-
サーバの ECDSA 証明書チェーン検証はサポートされています。
シングルサインオンの「シングルユーザ」の適用
Microsoft Windows では複数のユーザーが同時にログインできますが、Cisco Secure Client Network Access Managerではシングルユーザーにネットワーク認証を制限します。Cisco Secure Client Network Access Managerは、ログインしているユーザーの数に関係なく、デスクトップまたはサーバー当たり 1 人のユーザーをアクティブにできます。シングル ユーザ ログインの適用は、いつでもシステムにログインできるユーザは 1 人のみで、管理者は現在ログインしているユーザを強制的にログオフできないことを示しています。
Network Access Manager クライアント モジュールが Windows デスクトップにインストールされている場合、デフォルト動作はシングル ユーザ ログインを適用することです。サーバにインストールされている場合、デフォルト動作はシングル ユーザ ログインの適用を緩和することです。いずれの場合も、デフォルトの動作を変更するようにレジストリを変更または追加できます。
制約事項
-
Windows 管理者は、現在ログインしているユーザの強制ログオフが制限されています。
-
接続されたワークステーションへの RDP は同一ユーザにサポートされています。
-
同一ユーザと見なされるためには、クレデンシャルを同じフォーマットにする必要があります。たとえば、user/example は user@example.com と同じではありません。
-
また、スマートカード ユーザが同じ PIN を持っている場合、同一ユーザと見なされます。
シングル サインオンのシングル ユーザーの適用の設定
Windows ワークステーションまたはサーバで複数のユーザーを処理する方法を変更するには、レジストリの EnforceSingleLogon の値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002}
1 つまたは複数のユーザー ログインを設定するには、EnforceSingleLogon という名前の DWORD を追加し、1 または 0 の値を指定します。
Windows の場合:
-
1 は、シングル ユーザーにログインを制限します。
-
0 は、複数のユーザーにログインを許可します。