この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• 「概要」
Cisco Secure Service Client(SSC)は、セキュリティを確保して有線および無線接続を行うための 802.1X 認証サプリカントです。SSC にはステータスを表示し、ユーザのコマンドを受け入れるユーザ インターフェイスがあります。IEEE 802.1X セキュリティ プロトコルで保護されたネットワークにコンピュータを接続できます。クライアント - サーバ認証が正常完了しないと、802.1.X 対応アクセス デバイス(無線アクセス ポイントまたは有線イーサネット スイッチ)のポート アクセス コントロールによってネットワークに対するエンドユーザの接続が許可されません。
cisco.com からダウンロードされた SSC は設定されていません。これは、エンドユーザ バージョンの設定と導出されたバージョンの展開を行う IT 組織向けのバージョンです。この展開バージョンは、サポート対象のさまざまな企業部門および組織での使用に適しています。IT 管理者がユーザ エクスペリエンスおよびエンドユーザが実行可能な選択および設定オプションを管理します。アウトオブザボックス バージョンは、ほとんどの機能へのアクセスを可能にし、初期開始時にネットワークの設定を必要とする完全なオープン ポリシーに基づいています。ただし、IT 管理者が設定およびネットワーク設定のすべてを完全に管理するには、配信パッケージ ファイル、つまり SSC 設定ファイルを展開する必要があります。
アウトオブボックス バージョンには次の 2 つの設定があります。
• デフォルトのダウンロード パッケージ:無期限の有線専用ライセンスで構成されます。
• 再ライセンス パッケージ:トライアルの無線ライセンスが追加されます。
(cisco.com の SSC ページからダウンロードすることもできます)。
ペアのガイドの一方である『Cisco Secure Services Client User Guide』の「Activating the Client」を参照してください。
無線トライアル ライセンスが有効化されると、次の実行が可能になります。
(2)有線および無線の双方の機能を備えた製品の永続的なライセンス取得
展開されるエンドユーザ バージョンは、多くの場合 IT/システム管理者が機能セットの制限などを配信パッケージの記述によって事前設定して、展開されます。通常は、企業ネットワークへの即時接続を許可する事前定義の企業ネットワークが 1 つ以上組み込まれます。次の 2 種類のエンドユーザ インターフェイスを使用できます。
このバージョンでは、設定されたポリシーの範囲内でエンドユーザが新規のネットワーク プロファイルを作成できます。企業ネットワークから自宅または出張先のネットワークに移動するエンドステーションに適した選択です。
このバージョンには、企業ネットワークへの即時接続が可能な、事前設定されたネットワーク プロファイルのみが組み込まれます。管理者が担当する企業ネットワークのみを使用するエンドステーションに適した選択です。
(注) アウトオブザボックスのデフォルトの有線 SSC でサポートされるものは次のとおりです。
• EAP 方式: EAP-MSCHAPv2、EAP-GTC、EAP-TLS の EAP-FAST 方式
• Cisco Trust Agent(CTA)もインストールされている場合は CTA の処理
トライアル ライセンスでサポートされるものは次のとおりです。
• EAP 方式: LEAP、EAP-PEAP、EAP-TTLS、EAP-MD5
サポートされるオペレーティング システム環境は次のとおりです。
• XP Professional (SP1, SP2)、2K (SP4)、Win2K Servers (SP4)、Win2003 Server
• Hotfix TID2972711 適用済みの Novell Client バージョン 4.91 SP1
(注) ただし、Home、Media Center、Tablet PC、Professional x64 など、他のエディションの Windows XP はサポートされません。
配信パッケージでは、個別のエンドユーザ SSC の動作および接続方法が定義されます。配信パッケージには次の機能ブロックがあります。
展開されるエンドユーザ SSC にはまず、シスコシステムズから入手した企業ライセンスが必要です。これは、アウトオブザボックス バージョンに付属するトライアル ライセンスに置き換わるものです。
展開タイプおよびネットワーク メディアのサポートを設定します。
サポート対象ネットワークすべてのタイプおよび機能の制限を設定します。
単一または一連のネットワーク プロファイルの記述が組み込まれます。ネットワーク プロファイルによって、個別のネットワークの特定のプロパティおよび動作が定義されます。このプロファイルには次の特性があります。
–ネットワーク接続に使用されるネットワーク アクセス メディア(有線、Wi-Fi)、およびアダプタの詳細
–ネットワークのセキュリティ クラス(オープン、共有キー、認証)の定義
–ネットワークの接続コンテキストの定義(マシンのみ、ユーザのみ、マシンおよびユーザ)
–Wi-Fi アソシエーションおよび暗号化方式(Wi-Fi ネットワーク)
–信頼できるサーバ(認証ネットワークの場合)、および認証局(CA)証明書の展開、EAP-FAST Protected Access Credential(PAC)の手動プロビジョニングのサポートの定義
配信パッケージの一部として定義されたネットワークはロックされます。このためエンドユーザは構成設定を編集できません。
SSC を必要な企業環境に合わせて調整する際に必要な主要手順は、次のとおりです。
1. 作成:管理者が配信パッケージ ファイルを作成します。個別の配信パッケージ ファイルには、1 つ以上のネットワークの設定の記述を格納できます。配信パッケージの形式、構造、およびコンテンツの詳細は、「配信パッケージの作成」を参照してください。
2. 展開:管理者はアプリケーションおよび配信パッケージ ファイルをパッケージ化してエンド ステーションに展開します。展開オプションと手順の詳細は、「配信パッケージの展開」を参照してください。
3. 導入:SSC によって配信パッケージ ファイルが検出され、使用されます。この手順は自動で行われ、管理者の操作は必要ありません。展開の手順の完了後まもなく、新規の配信パッケージ ファイルの存在が検出されます。その後、確認の処理が行われ、有効性が確認されると、SSC の自動再設定が適宜実行されます。
配信パッケージの作成と展開に必要なすべてのユーティリティ ツールおよびサポート ファイルが 1 つのパッケージ化されたファイル、SSCAdminUtils_{バージョン}.zip に格納されます。この章の後半部分では、項目のそれぞれを紹介して、説明します。
ユーティリティ パッケージは Cisco SSC ダウンロード ページからオンラインでダウンロードできます。まず、下記の SSC 製品サポートにアクセスしてください。
http://www.cisco.com/en/US/products/ps7034/tsd_products_support_series_home.html
次に、 Download Software をクリックして、 wireless software リンクから、SSC ダウンロード ページに移動します。
SSC の配信パッケージ ファイルには、XML 形式が使用されます。特定の .xml 配信パッケージ(設定)ファイルの全体的な構造は、SSC 配信パッケージ スキーマ、distributionPackage.xsd によって定義されます。
SSC 配信パッケージ スキーマは、標準 W3C XML スキーマに準拠したドキュメントで、すべての .xml 設定ファイルのコンテンツの記述および制約に使用されます。このガイドの読者は、W3C XML スキーマ仕様の構文および XML 出力のインスタンス生成に精通しているものと想定されます。
• 配信パッケージ インスタンスの XML ファイルはすべて、エンドユーザの設定を十分に理解できるように読み取り可能なテキスト ファイルになっています。ユーザの可読性をサポートするため、スキーマには次の特性があります。
–構成設定のそれぞれは、特定のスキーマ エレメントで示されます。
–構成設定は、オプション エレメントの存在またはエレメント値によって伝達されます。
–スキーマ アトリビュートを使用することで、より明確な構成設定が可能になります。
• ネットワークの定義は階層的な決定ツリー構造です。スキーマを使用した設定を進めるに従って、選択に応じたツリーが構造化されます。ツリーを詳細に検討することにより、必要な固有のタイプのネットワークに関係する設定可能パラメータのセットが自動的に絞られます。さらに、これによって、特定の設定パラメータに使用可能な値セットも自動的に絞り込まれます。たとえば、無線ネットワークには接続のアソシエーション モードの設定が必要です。このときに、認証ネットワークを選択した場合と共有ネットワークを選択した場合とでは、使用可能な値セットが異なります。決定は基本的に次の順序で行われます。
2. ネットワークのセキュリティ クラス(オープン、共有キー、認証)の選択
3. ネットワークの接続コンテキスト(マシンのみ、ユーザのみ、マシンおよびユーザ)の選択
スキーマには列挙値が含まれますが、使用可能な用途およびエレメントの組み合わせや、非列挙的文字列の要件のすべてを明示的に指定するわけではありません。これらの詳細にはビジネス ルールのセットで対応します(このガイドの 第 2 章「スキーマ エレメント」 で詳細に説明します)。
このため生成される .xml 配信パッケージ ファイルが SSC で受け入れられるようにするには、次の基準を満たす必要があります。
ステップ 1 SSC スキーマおよびこのガイドの 第 2 章「スキーマ エレメント」 に従って、記述 .xml 配信パッケージ ファイルを生成します。これを実行するその他の方法として、次の方法もあります。
• スキーマから XML インスタンス ファイルを直接作成できる市販の XML エディタを使用します。これらのツールで XML を編集する際は、コンテキスト ヘルプを利用してインスタンス ファイルの確認に利用することができます。この種のアプリケーションの例として、次のアプリケーションが挙げられます。
–データディレクト テクノロジーズ社製 Stylus Studio
• 任意のテキスト エディタと、 第 2 章「スキーマ エレメント」 に記載されたスキーマ構造とエレメントの詳細説明を使用して、最初からまたは記載例をカット アンド ペーストして、XML インスタンス ファイルを作成します。
–最初から作成: 第 2 章「スキーマ エレメント」 で、スキーマのガイドおよびエレメント構造の XML の例を参照できます。
–カット アンド ペーストで作成: 付録 B「配信パッケージの例」 に、完全な配信パッケージの例があります。リストから必要なネットワーク環境に最適なものを選択し、 第 2 章「スキーマ エレメント」 の詳細を参照して編集します。SSCAdminUtils zip ファイルで配布されるファイル sscAdminGuideExXml.zip には、個別の .xml ファイルの形式ですべての例が組み込まれ、開始ポイントとして使用して、容易にテキストを編集できます。
ヒント テキスト言語(この場合は XML)の構文を認識するプログラム テキスト エディタを使用することによって、テキストの編集が大幅に簡略化されます。この種のエディタは多数市販されています。終了タグの自動挿入やエレメント インデントのクリーンアップなどの追加機能がサポートされるエディタもあります。
XML の構文規則は非常に単純です。ここでは、基本的な概念のいくつかを紹介します。
–.xml ファイルのそれぞれにルート エレメントがありますが、ここでは configuration です。これは記述エレメントのコンテナとして機能します。
–XML エレメントが正しくネストされている必要があります。
–エレメントには子エレメント、コンテンツ(テキスト値)、アトリビュートを任意の組み合わせで組み込むことができます。
–空白は保持されます(これは、指定の列挙コンテンツ値の入力時などに重要です。列挙値およびブール値には先行空白と後続空白を使用しないでください)。
個別の .xml 配信パッケージ ファイル(配信パッケージ スキーマのインスタンスとも呼ばれます)は、次のビルディング ブロックから構築されます。
<configuration>
<childElement>with content</childElement>
</elementWithAttr> <!-- 終了タグを正しくネストします -->
<emptyElement1></emptyElement1> <!-- 空白エレメントには子やコンテンツはありません -->
<emptyElement2/> <!-- このマニュアルで使用される空白エレメントの短縮形表記 -->
(注) 配信パッケージのファイル名
配信パッケージ命名で要求される唯一の制約として、.xml ファイル拡張子を使用する必要があります。
ステップ 2 生成されたパッケージ配信 .xml ファイルを SSC postprocess コマンドライン ユーティリティ、
sscConfigProcess.exe に転送します。sscConfigProcess ユーティリティでは、次の必須動作が実行されます。
• 後処理後の配信パッケージのスキーマとビジネス ルール違反の検証を行います。
• すべてのクレデンシャルとシークレットを元のクリア テキストから暗号化します。
• 入力ファイルで参照されたすべてオプション ファイルを取得しパッケージ化します。
• 配信パッケージ ファイルにデジタル署名を行い、エンド ステーションに配置された際のコンテンツの不正変更を防止できるようにします。
このユーティリティの記述については、「Postprocessing ユーティリティ」を参照してください。
postprocessing ユーティリティの構文は次のとおりです。
sscConfigProcess [ input | - | -h ] [ -o output ]
|
|
---|---|
標準エラー出力(stderr)には、次のようなエラーが送信されます。
後処理で生成されるエラーの概要については、 付録 C「Postprocessing 検証エラー」 を参照してください。
(注) sscConfigProcess ユーティリティでは、次のサポート ファイルを同じフォルダ内に配置する必要があります。
• distributionPackage.xsd、スキーマ ファイル
• validateRules.xsl、ビジネス ルール ファイル
これらのファイルは、SSCAdminUtil_{バージョン}.zip ファイルにあります。
(注) sscConfigProcess ユーティリティと sscPackageGen(後出)ユーティリティでは、Microsoft
MSVCP71.dll ファイルが使用されます。通常、このファイルは、SSC のインストール時にシステムにロードされます。これらの展開ツールを SSC がないマシンで使用可能にするため、このファイルは SSCAdminUtils_{バージョン}.zip ファイルで提供され、ユーティリティと同じフォルダに配置されます。
シスコでは、すでに IT 管理者にはエンドユーザ ステーションへのファイルの移動に優先的に使用する方法(Microsoft の SMS 方式など)があると想定しています。
このためシスコでは独立したコマンドライン ユーティリティ sscPackageGen.exe を用意して、次のエンタープライズ展開操作を容易にします。
sscPackageGen { insert | patch } <ソース dest ファイル>
|
|
---|---|
(注) シスコが配布する(アウトオブザボックス) SSC のインストール ファイルの汎用的な形式は次のとおりです。
Cisco_SSC-<オペレーティング システム バージョン>-<バージョン>.msi
特に、Windows XP/2000 バージョンの Cisco Secure Services Client の場合は、Cisco_SSC-XP2K-4_1_0_xxxx に変換されます。
sscPackageGen ユーティリティでは、PatchWiz.dll と mspatchc.dll ファイルが使用されます。これらのファイルは実行時にロードされます。このため、sscPackageGen.exe は、dll ファイルが存在しない場合でも実行されます。これらのファイルではパッチ( patch コマンド)を作成する必要がありますが、オリジナル パッケージを設定する( insert コマンド)必要はありません これら 2 つの Microsoft ファイルは、Windows Software Development Kit(SDK)に組み込まれています。これらのファイルを再頒布することはできませんが、次のように Microsoft の Web サイトから無償で入手できます。
1. 最新バージョンを検索するには www.microsoft.com/downloads/ にアクセスします。
2. Download Center ウィンドウの Search All Downloads リストから Developer Tools を選択します。
3. Developer Tools ウィンドウの Show downloads for: ドロップダウン リストから Platform SDK を選択します。 Go をクリックします。
4. Platform SDK ウィンドウから最新の Microsoft Windows Server 2003 Platform SDK Web Install を検索して、選択します。
このマニュアルの作成時点では、Windows Server 2003 R2 Platform SDK Web Install が最新でした。このダウンロードへの直接リンクは、次のとおりです。
http://www.microsoft.com/downloads/details.aspx?FamilyID=0baf2b35-c656-4969-ace8-e4c0c0716adb&DisplayLang=en
5. Windows Server 2003 Platform SDK Web Install の PSDK-x86.exe バージョンをダウンロードして、インストールします。
6. Installation Type ウィンドウでは、 Custom installation を選択します。
7. Custom Installation ウィンドウでは、 Microsoft Windows Installer SDK を除くすべての機能に Will not available を選択します。
8. インストール後に、以下のデフォルトのインストール場所から dll ファイルを取得します。
C:\Program Files\Microsoft Platform SDK for Windows Server 2003 R2\Samples\SysMgmt\Msi\Patching
9. dll ファイルを sscPackageGen.exe ユーティリティが格納されたフォルダにコピーします。
(注) sscPackageGen ユーティリティによって、これら 2 つの dll ファイルのバージョンがチェックされてから、ロードされます。次のバージョンのみが受け入れられます。このバージョン チェックに失敗すると、ユーティリティの実行時にエラー メッセージが表示されます。
• PatchWiz.dll のメジャー バージョンは 3 である必要があります。
• mspatchc.dll のメジャー バージョンは 5 である必要があります。
次の方式のいずれか 1 つを選択して、エンドユーザ SSC の初期インストールを行います。
SSC および対応する配信パッケージは、単一のファイルとして展開され、単一操作でインストールされます(必要なサポート ファイル、オプションの CA 証明書、およびオプションの FAST PAC は、すでに配信パッケージ自体に追加されていることを思い出してください)。sscPackageGen ユーティリティは、アウトオブザボックス インストール ファイル(.msi)、および配信パッケージ ファイル(.xml)を入力として取得し、新たな事前設定済みインストールファイル(.msi)を生成します。
シスコから入手したインストール ファイル(Cisco_SSC-XP2K-4_1_0_xxxx)、および各自の検証および後処理済みの配信パッケージファイル(distributionPackage.xml)から yourSSCInstallPkg.msi という名前の事前設定済みインストール ファイルを作成します。
yourSSCInstallPkg.msi をエンド ステーションに展開して実行すると、SSC が事前定義した配信パッケージ設定でインストールされます。
SSC では、標準の Microsoft インストーラ メカニズムによる 1 ステップのサイレント インストールがサポートされます。この例の場合は、次を実行します。
msiexec /i yourSSCInstallPkg.msi /quiet /norestart .
複数手順の操作(Release 4.1 より前のリリースと同様)も使用できます。
1. シスコから入手したインストール ファイル(Cisco_SSC-XP2K-4_1_0_xxxx)を展開して、インストールします。
次の方式のいずれか 1 つを選択して、エンドユーザの設定を更新します。
初期展開され、インストールされた SSC を更新する場合、sscPackageGen ユーティリティは、元の SSC インストール ファイル(.msi)、または事前設定されたインストール ファイル(.msi)、および配信パッケージ ファイル(.xml)を入力として取得し、パッチ ファイル(.msp)を作成します。
すでに展開されている事前設定済みファイルと更新された配信パッケージ ファイル(.xml)から、 yourSSCUpdatePkg.msp という名前の更新パッチ ファイルを作成します。
(注) 更新された配信パッケージ ファイルは元の配信パッケージ ファイルと同じ名前を設定する必要があります。またこの 2 つのファイルはコンテンツが異なっている必要があります。
シスコから入手した元のインストール ファイルと更新された配信パッケージ ファイル(.xml)から、 yourSSCUpdatePkg.msp という名前の更新パッチ ファイルを作成します。
後処理後の配信パッケージ .xml ファイルの展開(Release 4.1 より前のリリースと同様)も実行できます。
SSC インストーラによって作成された次のフォルダに、新規/更新の後処理後の配信パッケージ .xml ファイルを展開します。
<インストール フォルダ>\distribution、デフォルトの <インストール フォルダ> は、Program Files\Cisco Systems\Cisco Secure Services Client です。
Release 4.1 のエンドユーザ インストールの更新には、次の 2 つのシナリオがあります。
Cisco SSC Release 4.1.x を新しいリリースにアップグレードする処理は、上述の初期インストールの手順と同じです。
以前に展開された(ロックされた)ネットワークのすべてが、更新された配信パッケージ ファイルのものに置き換えられます。このため、新規ネットワークの追加や既存ネットワークを変更する際は、変更なしで保持する必要のあるネットワークもすべて更新設定ファイルに組み込む必要があります。更新配信パッケージで既存のネットワークを削除すると、そのネットワークは削除されます。
Cisco SSC Release 4.0.x を Release 4.1.x にアップグレードする処理は、上述の初期インストールの手順と同じです。
管理者バージョン(すべてのネットワークがユーザ定義される)を更新する場合は、ユーザが設定したネットワークがアップグレード バージョンに移行されます。ただし、有線ネットワークまたは企業 SSID のいずれかについてユーザ作成ネットワークがあり、配信パッケージでもこれらのネットワークの 1 つ以上が設定されている場合は、元のネットワーク プロファイルが新しい配信パッケージ(ロックされた)バージョンに置き換えられます。
展開されたエンドユーザ バージョンを更新する際は、管理者が展開(ロック)したすべての既存ネットワークが、配信パッケージの新規(ロック)ネットワークのセットに置き換えられます。ユーザ設定のネットワークは、アップグレード バージョンに移行されます。ただし、有線ネットワークまたは企業 SSID のいずれかについてユーザ作成ネットワークがあり、配信パッケージでもこれらのネットワークの 1 つ以上が設定されている場合は、元のネットワーク プロファイルが新しい配信パッケージ(ロックされた)バージョンに置き換えられます。
エンドユーザ SSC でクライアント証明書をベースとする EAP 方式が使用される場合は、ユーザのクレデンシャルの提供に使用されるクライアント証明書を別途展開して、適切な Windows 証明書ストア(ユーザの個人用のストア)に配置する必要があります。配信パッケージ ファイルにはクライアント証明書の展開は含まれません。