この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録では、Windows XP でのクライアント アダプタの設定および使用方法について説明します。
• 「概要」
この付録では、ACU ではなく Windows XP でクライアント アダプタに対して最小限の設定を行い、Windows XP 用に用意されている 4 つのセキュリティ オプションのうち 1 つを有効にする方法について説明します。 次の「セキュリティ機能の概要」では、十分に情報を得てから設定プロセスを開始できるよう、各オプションについて説明します。
この付録ではさらに、クライアント アダプタが結合されるネットワークを指定したり、クライアント アダプタの現在のステータスを表示したりする場合に Windows XP を使用する際の基本情報も提供します。
(注) Windows XP でのクライアント アダプタの設定または使用に関するさらに詳細な情報が必要な場合は、Microsoft の Windows XP に関するマニュアルを参照してください。
Windows XP でクライアント アダプタを使用するときは、wired equivalent privacy(WEP)暗号化キーを使用してデータを暗号化することで、ワイヤレス ネットワーク経由の転送データを保護することができます。 WEP 暗号化では、送信側デバイスがそれぞれのパケットを WEP キーを使って暗号化し、受信側デバイスが同じキーを使用して各パケットを復号化します。
転送データの暗号化および復号化に使用される WEP キーは、アダプタに静的に関連付けることも、EAP 認証処理の一部として動的に作成することもできます。 使用する WEP キーのタイプは、以下の「静的な WEP キー」および「EAP(動的な WEP キーを使用)」の項を参考に決めてください。 EAP を使用した動的な WEP キーは、静的な WEP キーよりもセキュリティ レベルが高くなります。
WEP キーの長さは、静的または動的にかかわらず、40 または 128 ビット長です。 128 ビットの WEP キーでは、40 ビットのキーよりもセキュリティ レベルが高くなります。
ワイヤレス ネットワーク内の各デバイスには、最大 4 個の静的な WEP キーを指定できます。 デバイスは、適切なキー(相互通信を行うデバイスはすべて同じ WEP キーを使用する必要があります)で暗号化されていないパケットを受信すると、そのパケットを廃棄し、受信側に二度と同じパケットを配信することはありません。
静的な WEP キーは書き込み専用で一時的なものであるため、クライアント アダプタから読み取ることはできません。また、アダプタの電源を切断したり、Windows デバイスをリブートしたりすると、消失します。 静的なキーは一時的なものですが、クライアント アダプタを挿入するたび、あるいは Windows デバイスをリブートするたびに入力しなおす必要はありません。 これは、WEP キーが Windows デバイスのレジストリに保存されるためです。このキーは、セキュリティ上の理由により、暗号化された形で保存されます。 クライアント アダプタのレジストリ パラメータがドライバによってロードされ、読み取られると、静的な WEP キーも検索され、復号化されます。これらのキーは、アダプタの揮発性メモリに保存されます。
ワイヤレス LAN のセキュリティに関する新しい規格は、米国電気電子技術者協会(IEEE)で定義されているように、802.11 の 802.1X、または簡単に 802.1X と呼ばれています。 802.1X とそのプロトコル(Extensible Authentication Protocol(EAP))をサポートしているアクセス ポイントは、ワイヤレス クライアントと認証サーバ間のインターフェイスとして機能します。認証サーバとは、アクセス ポイントがワイヤード ネットワークを介して通信する Remote Authentication Dial-In User Service(RADIUS)サーバなどを指します。
Windows XP で
クライアント アダプタを設定する場合、次の 3 つの 802.1X 認証タイプを使用できます。
• [EAP-TLS]:この認証タイプは、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。
EAP-TLS をサポートする RADIUS サーバには、Cisco Secure ACS バージョン 3.0 以上、Cisco Access Registrar バージョン 1.8 以上があります。
(注) EAP-TLS には、証明書が必要です。 証明書のダウンロードおよびインストールについては、Microsoft のマニュアルを参照してください。
• [Protected EAP](または[PEAP]):PEAP 認証はワイヤレス LAN を経由して One-Time Password(OTP)、Windows NT または 2000 ドメイン、LDAP ユーザ データベースをサポートするように設計されています。 この認証方式は EAP-TLS 認証に基づきますが、認証にクライアント証明書ではなくパスワードまたは PIN を使用します。 PEAP は、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。 ネットワークが OTP ユーザ データベースを使用する場合、PEAP では EAP 認証プロセスを開始し、ネットワークにアクセスするためにハードウェアのトークン パスワードまたはソフトウェアのトークン PIN を入力する必要があります。 ネットワークが Windows NT または 2000 ドメイン ユーザ データベースまたは LDAP ユーザ データベース(NDS など)を使用する場合、PEAP では認証プロセスを開始するためにユーザ名、パスワード、ドメイン名を入力する必要があります。
PEAP 認証をサポートする RADIUS サーバに、Cisco Secure ACS バージョン 3.1 以上があります。
(注) PEAP 認証を使用する場合、インストールの間に PEAP セキュリティ モジュールをインストールするか、Service Pack 1 for Windows XP をインストールする必要があります。 Service Pack には、Microsoft の PEAP サプリカントが収められています。これは Windows のユーザ名とパスワードのみをサポートし、シスコの PEAP サプリカントと相互運用性がありません。 シスコの PEAP サプリカントを使用する場合、Service Pack 1 for Windows XP の後に ACU をインストールします。 この順序でインストールしなければ、PEAP サプリカントは Microsoft の PEAP サプリカントで上書きされます。
• [EAP-SIM]:EAP-SIM 認証は、公衆ワイヤレス LAN で使用できるように設計されており、PCSC 準拠のスマートカード リーダーが装備されているクライアントが必要です。 Install Wizard ファイルに含まれる EAP-SIM サプリカントは、Gemplus SIM+ カードのみをサポートしますが、アップデートされたサプリカントが利用可能で、これは、標準のGSM-SIM カードとEAP-SIM プロトコルの最新バージョンをサポートします。 新しいサプリカントを次の URL の ftpeng FTP サーバからダウンロードできます。
ftp://ftpeng.cisco.com/ftp/pwlan/eapsim/CiscoEapSim.dll
上記の条件は、EAP-SIM 認証を実行するのに必要ですが、問題なく実行するのには十分ではありません。 一般的に、WLAN サービス プロバイダとサービス契約を結ぶ必要があります。WLAN サービス プロバイダは、ネットワーク内で EAP-SIM 認証をサポートしなければなりません。 また、PCSC スマートカード リーダーは標準の GSM-SIM カードやチップを読み込むことができる場合があり、EAP-SIM 認証では通常、サービス プロバイダによって、GSM 携帯電話アカウントが、 WLAN サービス用に提供されることが必要です。
EAP-SIM は、オペレーティング システムを介して有効または無効にされ、動的でセッションベースの WEP キーを使用してデータを暗号化します。このキーは、クライアント アダプタおよび RADIUS サーバから導出されます。 EAP-SIM は、SIM カードとの通信について、ユーザー検証コード、またはPINを入力することを要求します。 PINを、コンピュータに格納する、またはリブート後または認証が試行されるたびに入力が要求されるように選択できます。
EAP-SIM をサポートする RADIUS サーバには、Cisco Access Register バージョン 3.0 以上があります。
アクセス ポイントで Require EAP を有効にし、Windows XP を使用してクライアント アダプタを EAP-TLS、PEAP、または EAP-SIM に設定すると、ネットワークに対する認証は、次のシーケンスで実行されます。
1. クライアント アダプタがアクセス ポイントと結合し、認証プロセスを開始する。
(注) クライアントは RADIUS サーバとの相互認証が成功しない限り、ネットワークにアクセスすることはできません。
2. アクセス ポイントを通じた通信を行うことで、クライアントと RADIUS サーバは認証プロセスを完了し、SIM カードおよびサービス プロバイダの Authentication Center(EAP-SIM)に保存されたパスワード(PEAP)、証明書(EAP-TLS)、または内部キーは認証の共有秘密になります。 パスワードまたは内部キーはプロセス中には送信されません。
3. 相互認証が成功すると、クライアントと RADIUS サーバは、クライアント固有の動的なセッションベースの WEP キーを生成します。
4. RADIUS サーバがワイヤード LAN 上の安全なチャネルを使用して、アクセス ポイントにキーを送信します。
5. セッションの間、アクセス ポイントとクライアントはこのキーを使用して、相互間で伝送されるすべてのユニキャスト パケットの暗号化または復号化を行います(またアクセス ポイントに設定されている場合はパケットをブロードキャストします)。
(注) 802.1X 認証の詳細は、IEEE 802.11 規格を参照してください。RADIUS サーバの詳細は、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt2/scrad.htm
Windows XP でクライアント アダプタを設定する手順は、次のとおりです。
(注) ACU をインストールしているにもかかわらず Windows XP を使用してクライアント アダプタを設定する場合は、ACU を起動して、[Select Profile]画面で[Use Another Application To Configure My Wireless Network Settings]オプションが選択されていることを確認します。
(注) これらの手順は、Windows XP のカテゴリ表示ではなく、クラシック表示を使用していることを想定しています。
ステップ 1 クライアント アダプタのファームウェアがインストールされており、クライアント アダプタが Windows XP デバイスに挿入されていることを確認します。
ステップ 2 [マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。
ステップ 3 [ワイヤレス ネットワーク接続]を右クリックします。
ステップ 4 [プロパティ]をクリックします。[Wireless Network Connection Properties]画面が表示されます。
ステップ 5 [ワイヤレス ネットワーク]タブを選択します。 次の画面が表示されます(図 D-1)。
図 D-1 [Wireless Network Connection Properties]画面([ワイヤレス ネットワーク]タブ)
ステップ 6 [Use Windows to configure my wireless network settings]チェックボックスが選択されていることを確認します。
ステップ 7 使用可能なネットワークのリストから、クライアント アダプタを結合するアクセス ポイントの SSID を選択し、[構成]をクリックします。 使用するアクセス ポイントの SSID がリストにない場合や、アドホック ネットワーク(アクセス ポイントを使用しないコンピュータ間ネットワーク)でクライアント アダプタを使用する場合は、[追加]をクリックします。
(注) 使用可能なネットワークのリストに表示するには、SSID に対してアクセス ポイントの[Allow Broadcast SSID to Associate]オプションを有効にする必要があります。
[Wireless Network Properties]画面が表示されます(図 D-2)。
図 D-2 [Wireless Network Properties]画面
• 使用可能なネットワークのリストから SSID を選択した場合は、SSID が[ネットワーク名
(SSID)]フィールドに表示されることを確認します。
• [追加]をクリックした場合は、アクセス ポイントまたはクライアント アダプタを結合するアドホック ネットワークの大文字と小文字を区別した SSID を[ネットワーク名(SSID)]フィールドに入力します。
ステップ 9 静的または動的な WEP を使用する場合は、[Data encryption(WEP enabled)]チェックボックスを選択します。
ステップ 10 アクセス ポイントとの Open 認証ではなく、Shared Key 認証を使用する場合は、[Network
Authentication(Shared mode)]チェックボックスを選択します。
Open 認証では、WEP の設定に関係なく、クライアント アダプタは、アクセス ポイントとの認証および通信の試みが実行できます。
Shared Key 認証では、クライアント アダプタは同じ WEP キーを持つアクセス ポイントのみと通信することができます。 Shared Key 認証にはセキュリティ上のリスクが伴うため、使用しないことをお勧めします。
(注) EAP-TLS 認証を使用する場合は、このチェック ボックスを選択しないでください。 Shared key 認証では WEP キーが必要とされるにもかかわらず、EAP 認証が完了しないと EAP-TLS に対する WEP キーが設定されないので、EAP-TLS では Shared Key 認証を使用できません。
ステップ 11 静的な WEP を使用する場合は、次の手順に従って、最大 4 つの WEP キーを入力します。
(注) 動的な WEP を使用する EAP-TLS、PEAP、または EAP-SIM 認証を使用する場合は、ステップ 12 に進みます。
a. アクセス ポイント(インフラストラクチャ ネットワーク内)またはその他のクライアント(アドホック ネットワーク内)の WEP キーをシステム管理者から取得し、[Network key]フィールドに入力します。 通信するには、クライアント アダプタはアクセス ポイントまたはその他のクライアントと同じ WEP キーを使用する必要があります。
– ASCII 文字:WEP キーが、英字、数字、および句読点を含む ASCII テキストで入力されることを指定します。
– 16 進数:WEP キーが、0 ~ 9、A ~ F、a ~ f を含む 16 進文字で入力されることを指定します。
(注) ASCII テキスト WEP キーは、Cisco Aironet 1200 シリーズ アクセス ポイント ではサポートされていませんので、このアクセス ポイントでクライアント アダプタを使用する予定の場合は、[16 進数]オプションを選択する必要があります。
– 104 ビット(13 文字/26 桁):クライアント アダプタが 128 ビットの WEP をサポートする場合は、このオプションを選択できます(40 ビット オプションを選択することもできます)。
– 40 ビット(5 文字/10 桁):クライアント アダプタが 40 ビットの WEP のみをサポートする場合は、必ずこのオプションを選択します。
d. [キーのインデックス(詳細)]フィールドで、作成する WEP キーの番号を選択します(0、1、2、または 3)。
(注) クライアント アダプタとアクセス ポイント(インフラストラクチャ ネットワーク内)またはその他のクライアント(アドホック ネットワーク内)の両方に、同じ番号の WEP キーを割り当てる必要があります。
e. 他の WEP キーを入力する場合は、この手順を繰り返します。
ステップ 12 動的な WEP キーを使用する EAP-TLS、PEAP、EAP-SIM を使用する場合は、[キーは自動的に提供される]チェックボックスを選択します。
ステップ 13 アドホック ネットワークでクライアント アダプタを使用する場合は、[This is a computer-to-
computer(ad hoc mode)network; wireless access points are not used]チェックボックスを選択します。
ステップ 14 [OK]をクリックして設定を保存し、この SSID を[優先するネットワーク](図 D-1)のリストに追加します。 クライアント アダプタは、ネットワークへの結合を、示された順序で自動的に試みます。
ステップ 15 EAP 認証を使用する場合、次のいずれかを実行します。
• EAP-TLS 認証を使用する場合は、次の「EAP-TLS 認証の有効化」の手順に従ってください。
• PEAP 認証を使用する場合は、「PEAP 認証の有効化」の手順に従ってください。
• EAP-SIM 認証を使用する場合は、「EAP-SIM 認証の有効化」の手順に従ってください。
初期設定が完了したら、次の手順に従って、クライアント アダプタが EAP-TLS 認証を使用するための準備をします。
ステップ 1 [Wireless Network Connection Properties]画面で[認証]タブをクリックします。 次の画面が表示されます(図 D-3)。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
図 D-3 [Wireless Network Connection Properties]画面([認証]タブ)
ステップ 2 [Enable network access control using IEEE 802.1X]チェックボックスを選択します。
ステップ 3 EAP タイプには、[スマート カードまたはその他の証明書]を選択します。
ステップ 4 [プロパティ]をクリックします。[スマート カードまたはほかの証明書のプロパティ]画面が表示されます(図 D-4)。
図 D-4 [スマート カードまたはほかの証明書のプロパティ]画面
ステップ 5 [このコンピュータの証明書を使う]オプションを選択します。
ステップ 6 サーバの証明書評価が要求される場合は、[Validate server certificate]チェック ボックスを選択します。
ステップ 7 接続するサーバ名を指定する場合は、[Connect only if server name ends with]チェック ボックスを選択し、チェック ボックス内のフィールドに適切なサーバ名の接尾辞を入力します。
(注) サーバ名を入力し、クライアント アダプタが入力したサーバ名と一致しないサーバに接続した場合、認証プロセスの間に接続の続行とキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間は接続が設定されます。
ステップ 8 サーバ証明書をダウンロードした認証局の名前が[Trusted root certificate authority]フィールドに表示されることを確認します。
(注) このフィールドが空欄のままの場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 9 [OK]を 2 度クリックして、設定を保存します。 これで、設定は完了です。
ステップ 10 「EAP 認証プロセスを開始するには証明書の受け入れが必要である」という意味のポップアップ
メッセージがシステム トレイの上に表示された場合は、メッセージをクリックし、その指示に従って証明書を受け入れます。
(注) 以後は、認証の際に証明書を受け入れるように指示されることはありません。 1 つを受け入れると、次から同じ証明書が使用されます。
ステップ 11 サーバの証明書用のルート証明機関を示すメッセージが表示され、それが正しい認証機関の場合は、[OK]をクリックして、接続を承認してください。 そうでない場合は、[Cancel]をクリックしてください。
ステップ 12 クライアント アダプタが接続されたサーバを示すメッセージが表示され、それが接続用の正しいサーバの場合は、[OK]をクリックして、接続を承認してください。 そうでない場合は、[Cancel]をクリックしてください。
これで、クライアント アダプタは EAP 認証を行いました。
(注) コンピュータをリブートして Windows ユーザ名およびパスワードを入力するたびに、EAP 認証プロセスが自動的に開始され、クライアント アダプタは EAP 認証を行います。
ステップ 13 認証を検証するには、[マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。 ステータスが[ワイヤレス ネットワーク接続]の右側に表示されます。[View]および[Refresh]をクリックして、現在のステータスを入手してください。 クライアント アダプタが承認されている場合は、ステータスは[Authentication succeeded]となります。
初期設定が完了したら、次の手順に従って、クライアント アダプタが PEAP 認証を使用するための準備をします。
ステップ 1 [Wireless Network Connection Properties]画面で[認証]タブをクリックします。 次の画面が表示されます(図 D-5)。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
図 D-5 [Wireless Network Connection Properties]画面([認証]タブ)
ステップ 2 [Enable network access control using IEEE 802.1X]チェックボックスを選択します。
ステップ 3 EAP タイプについては、[PEAP]を選択します。[プロパティ]をクリックします。[PEAP Properties]画面が表示されます(図 D-6を参照)。
ステップ 4 サーバの証明書評価が要求される場合は、[Validate server certificate]チェック ボックスを選択します(推奨)。
ステップ 5 接続するサーバ名を指定する場合は、[Connect only if server name ends with]チェック ボックスを選択し、チェック ボックス内のフィールドに適切なサーバ名の接尾辞を入力します。
(注) サーバ名を入力し、クライアント アダプタが入力したサーバ名と一致しないサーバに接続した場合、認証プロセスの間に接続の続行とキャンセルを選択するプロンプトが表示されます。
(注) このフィールドを空白にすると、サーバ名が確認されず、証明書が有効な間は接続が設定されます。
ステップ 6 サーバ証明書をダウンロードした認証局の名前が[Trusted root certificate authority(CA)]フィールドに表示されることを確認します。 必要に応じて、ドロップダウン メニューで矢印をクリックして適切な名前を選択します。
(注) このフィールドが空欄のままの場合、認証プロセス中に、ルート証明機関への接続を承認するように指示されます。
ステップ 7 上記のフィールドで指定した信頼できるルート証明書を証明サーバが必ず使用するようにするには、[Connect only if server is signed by specified trusted root CA]チェック ボックスを選択します。 これによって、クライアントが不正なアクセス ポイントと接続するのが防がれます。
ステップ 8 現在、Generic Token Card は第 2 フェーズの EAP タイプのみが使用できます。[プロパティ]をクリックします。[Generic Token Card Properties]画面が表示されます(図 D-7を参照)。
図 D-7 [Generic Token Card Properties]画面
ステップ 9 ユーザ データベースに応じて、[Static Password(Windows NT/2000, LDAP)]または[One Time Password]オプションを選択します。
• ステップ 9で[Static Password(Windows NT/2000, LDAP)]オプションを選択した場合、ステップ 11に進みます。
• ステップ 9で[One Time Password]オプションを選択した場合、次のチェック ボックスのいずれか、または両方を選択し、1 回限りのパスワードでサポートサポートされるトークンの種類を指定します。
– [Support Hardware Token]:ハードウェア トークン デバイスは 1 回限りのパスワードを取得します。 各自のハードウェア トークン デバイスを使用して、1 回限りのパスワードを取得し、ユーザ クレデンシャルの入力が要求されたらパスワードを入力する必要があります。
– [Support Software Token]:PEAP サプリカントは、ソフトウェア トークン プログラムで動作して、1 回限りのパスワードを取り出します。 1 回限りのパスワードではなく、PIN のみを入力します。 このチェック ボックスを選択した場合、[Supported Type]ドロップダウン ボックスから、クライアント側でインストールされるソフトウェア トークン ソフトウェア(Secure Computing SofToken バージョン 1.3、Secure Computing SofToken II 2.0、または RSA SecurID Software Token v 2.5 など)も選択する必要があります。またSecure Computing SofToken バージョン 1.3 を選択した場合、[Browse]ボタンでソフトウェア プログラム パスを探す必要があります。
(注) [SofToken Program Path]フィールドは、Secure Computing SofToken バージョン 1.3 以外のソフトウェア トークン プログラムが選択されている場合は使用できません。
ステップ 11 [OK]を 3 回クリックして、設定を保存します。 これで、設定は完了です。
ステップ 12 PEAP による認証手順については、「PEAP の使用方法」を参照してください。
初期設定が完了したら、次の手順に従って、クライアント アダプタが EAP-SIM 認証を使用するための準備をします。
ステップ 1 [Wireless Network Connection Properties]画面で[認証]タブをクリックします。 次の画面が表示されます(図 D-8)。
(注) Service Pack 1 for Windows XP では、[認証]タブは前の場所から移動しました。 このタブにアクセスする場合は、[Wireless Networks]タブをクリックし、[Preferred network]リストで設定するネットワークを選択し、[Properties]をクリックします。
図 D-8 [Wireless Network Connection Properties]画面([認証]タブ)
ステップ 2 [Enable network access control using IEEE 802.1X]チェックボックスを選択します。
ステップ 3 EAP タイプについては、[SIM Authentication]を選択します。
ステップ 4 [プロパティ]をクリックします。[SIM Authentication Properties]画面が表示されます(図 D-9)。
図 D-9 [SIM Authentication Properties]画面
ステップ 5 SIM のリソース(データまたはコマンド)にアクセスする場合は、EAP-SIM サプリカントから SIM カードに有効な PIN が提供されなければなりません。この PIN は SIM に保存された PIN と一致する必要があります。 次のオプションのいずれかを選択し、EAP-SIM サプリカントが SIM カードの PIN を処理する方法を指定します。
• [Ask for my PIN once after I turn my computer on](推奨):ソフトウェアは PIN を永続的に保存しません。 各セッションの最初の認証で、ソフトウェアから PIN の入力が 1 度要求されます。セッションは起動からシャットダウンまたはリブートまでの時間として定義されます。
• [Ask for my PIN every time the network asks for authentication]:ソフトウェアは PIN を保存しません。EAP-SIM 認証が実行されるたびに PIN の入力が要求されます。 クライアントがアクセス ポイント間をローミングする場合、またはセッションのタイムアウトが指定されている場合(アカウンティングおよびセキュリティを目的とした場合など)には、このオプションの選択は推奨されません。
• [Let me give my PIN to the computer now and never ask me again; PIN will be encrypted and stored on computer](推奨されません):このオプションの下の[Enter PIN]編集ボックスに、PIN を 1 回だけ入力する必要があります。 ソフトウェアはレジストリに PIN を保存し、要求された場合にレジストリからその PIN を取り出します。 このオプションを選択した場合、この時点で PIN を入力する必要があります。 PIN は認証の試みられたときに評価されます。
(注) このオプションは、他のユーザが PIN を知らなくても SIM を使用できるため、推奨されません。
ステップ 6 [OK]を 2 度クリックして、設定を保存します。 これで、設定は完了です。
コンピュータのレジストリに PIN を保存するように選択している場合、EAP 認証プロセスは自動的に開始し、クライアント アダプタは EAP 認証を行い、保存された PIN を使用して SIM カードにアクセスします。
(注) 保存された PIN が間違っているために、SIM で拒否された場合、EAP-SIM サプリカントは一時的にプロンプト モードをデフォルト設定([Ask for my PIN once after I turn my computer on])に変更し、SIM がロックアップするのを防ぎます。 手動で変更している場合を除き、この設定はコンピュータの電源を切るまで継続します。[SIM Authentication Properties]画面で保存された PIN を変更します。
電源投入またはリブート後、あるいは認証要求のたびに PIN の入力が要求される設定を選択した場合、Windows システム トレイの上に、ネットワークへのアクセスのためにクレデンシャルの入力を要求するポップアップ メッセージが表示されます。 メッセージをクリックし、PIN を入力して[OK]をクリックします。 これで、クライアント アダプタは EAP 認証を行いました。
ステップ 7 認証を検証するには、[マイ コンピュータ]、[コントロール パネル]、および[ネットワーク接続]をダブルクリックします。 ステータスが[ワイヤレス ネットワーク接続]の右側に表示されます。[View]および[Refresh]をクリックして、現在のステータスを入手してください。 クライアント アダプタが承認されている場合は、ステータスは[Authentication succeeded]となります。
(注) 認証がまだ保留状態にあるか、認証サーバが応答できない場合、ACU と Windows XP のシステム トレイ上の[Windows Wireless Network Connection]アイコンに接続ステータスが示される場合があります。
Windows XP では、クライアント アダプタのドライバは、優先するネットワーク(図 D-1を参照)のリスト内の最初のネットワークへの結合を自動的に試行します。 アダプタが結合に失敗するか、結合が失われると、[優先するネットワーク]のリスト内の次のネットワークに自動的に切り替わります。アクセス ポイントに結合されている限り、アダプタはネットワークを切り替えません。 クライアント アダプタを強制的に別のアクセス ポイントに結合するには、使用可能なネットワークのリストから別のネットワークを選択する必要があります([構成]および[OK]をクリックします)。
クライアント アダプタのステータスを表示するには、Windows のシステム トレイで 2 台のコンピュータが接続されているアイコンをクリックします。[Wireless Network Connection Status]画面が表示されます(図 D-10)。
図 D-10 [Wireless Network Connection Status]画面