EAP(Extensible Authentication Protocol)タイプの設定

Wi-Fiまたは有線ネットワークへの認証には、特にインフラストラクチャが複数の認証タイプをサポートしている場合に、さまざまなオプションを利用できます。各オプションには、構成する必要のある固有の設定があります。この記事では、最も一般的な構成オプションについて説明します。エンタープライズ ネットワークの構成の詳細については、Wi-Fi Library Itemの構成イーサネットLibrary Itemの構成に関するサポート記事を参照してください。

ネットワークインフラストラクチャは、選択した EAP タイプをサポートし、認証を許可するように正しく構成されている必要があります。ネットワークの設定方法がわからない場合は、ネットワーク管理者と協力して、ネットワーククライアントがどのように接続するかを判断してください。

EAP-TLS の設定

EAP-TLS は、トランスポート層セキュリティと ID 証明書を使用して、ネットワークに対してデバイスを認証します。

EAP-TLS を使用するには、ID 証明書を提供する必要があります。

  1. [許可されたEAP タイプ] で [TLS] を選択します。

  2. 古い、または弱いTLS バージョンの使用を防ぐには、許可するTLS の最小バージョンを選択します。

  3. インフラストラクチャが最新バージョンの TLS をサポートしていない場合は、使用するTLS の最大バージョンを選択します。

  4. ID 証明書を提供する方法を選択し、適用可能な設定を構成します。詳細については、「Wi-Fiライブラリアイテムの構成」を参照してください。 

EAP-TTLS の設定

Tunneled Transport Layer Security は、TLS トンネルを使用して別の認証プロトコルを暗号化します。ID 証明書は必要ありません。

デバイスは、ユーザー名とパスワード、またはデバイスベースのディレクトリ資格情報を使用して認証できます。 

ユーザー名とパスワード認証:

  1. [認証] で [ユーザー名とパスワード] を選択します。

  2. 必要に応じて、 ユーザー名を入力します。静的な値を使用するか、 Kandjiのグローバル変数 ($EMAIL など) のいずれかを使用できます。ユーザー名を入力しない場合、デバイスはネットワークへの接続時にユーザーにユーザー名を入力するように求めます。

  3. ユーザーにパスワードの入力を求める頻度を選択します。[1 回] を選択し、パスワードを入力しない場合、デバイスはユーザーにパスワードを一度要求し、それを記憶します。[ユーザーがネットワークに接続するたび]を選択すると、デバイスはパスワードを記憶しません。

  4. デバイスで共有のユーザー名とパスワードを使用している場合は、[パスワード] フィールドにパスワードを入力します。パスワードを入力しない場合、デバイスはネットワークへの接続時にユーザーにパスワードの入力を求めます。

ディレクトリサービスにバインドされたMacのデバイスベースのディレクトリ認証:

  1. Active Directoryのコンピュータアカウントを使用する場合「 Computer AD system authentication 」を選択し、Open Directory コンピュータアカウントを使用する場合「 Computer OD system authentication 」を選択してください。

残りの TTLS 設定を構成します。

  1. TTLS を選択すると、デバイスは認証にユーザー名とパスワードまたはデバイスディレクトリの資格情報を使用します。ネットワークで 2 番目の認証要素として ID 証明書が必要な場合は、[2要素認証が必要] を選択します。

  2. [内部認証] で、TLS トンネル内で使用する認証プロトコルを選択します。

  3. 必要に応じて 、[外部 ID] を指定します。 これは、トンネル内で使用される ID とは異なり、内部 ID が公開されないために指定されます。 

  4. 古いまたは弱いTLS バージョンの使用を防ぐには、許可するTLS の最小バージョンを選択します。

  5. インフラストラクチャが最新バージョンの TLS をサポートしていない場合は、使用するTLS の最大バージョンを選択します。

EAP-LEAP の設定

Lightweight Extensible Authentication Protocol は、MS-CHAP と Dynamic WEP に基づく古い認証方式です。ID 証明書は使用しません。

デバイスは、ユーザー名とパスワード、またはデバイスベースのディレクトリ資格情報を使用して認証できます。 

ユーザー名とパスワードの認証:

  1. [認証] で [ユーザー名とパスワード] を選択します。

  2. 必要に応じて、 ユーザー名を入力します。静的な値を使用するか、 Kandjiのグローバル変数 ($EMAIL など) のいずれかを使用できます。ユーザー名を入力しない場合、デバイスはネットワークへの接続時にユーザーにユーザー名を入力するように求めます。

  3. ユーザーにパスワードの入力を求める頻度を選択します。[1 回] を選択し、パスワードを入力しない場合、デバイスはユーザーにパスワードを一度要求し、それを記憶します。[ユーザーがネットワークに接続するたびに] を選択すると、デバイスはパスワードを記憶しません。

  4. デバイスで共有のユーザー名とパスワードを使用している場合は、[パスワード] フィールドにパスワードを入力します。パスワードを入力しない場合、デバイスはネットワークへの接続時にユーザーにパスワードの入力を求めます。

ディレクトリサービスにバインドされたMacのデバイスベースのディレクトリ認証:

  1. [認証] で、 Active Directoryのコンピュータアカウントを使用する場合「 Computer AD system authentication 」を選択し、Open Directory コンピュータアカウントを使用する場合「 Computer OD system authentication 」を選択してください。

EAP-PEAP の設定

Protected Extensible Authentication Protocol は、LEAP などの以前の Extensible Authentication Protocol の欠点に対処します。EAP-TTLSと同様に、PEAPはTLSトンネルを使用して別の認証プロトコルを暗号化します。ID 証明書は必要ありません。

デバイスは、ユーザー名とパスワード、またはデバイスベースのディレクトリ資格情報を使用して認証できます。 

ユーザー名とパスワードの認証:

  1. [認証] で [ユーザー名とパスワード] を選択します。

  2. 必要に応じて、ユーザー名を入力します。静的な値を使用するか、 Kandjiのグローバル変数 ($EMAIL など) のいずれかを使用できます。ユーザー名を入力しない場合、デバイスはネットワークへの接続時にユーザーにユーザー名を入力するように求めます。

  3. ユーザーにパスワードの入力を求める頻度を選択します。[1 回] を選択し、パスワードを入力しない場合、デバイスはユーザーにパスワードを一度要求し、それを記憶します。[ ユーザーがネットワークに接続するたび]を選択すると、デバイスはパスワードを記憶しません。

  4. デバイスで共有のユーザー名とパスワードを使用している場合は、[ パスワード ] フィールドにパスワードを入力します。パスワードを入力しない場合、デバイスはネットワークへの接続時にユーザーにパスワードの入力を求めます。

ディレクトリサービスにバインドされたMacのデバイスベースのディレクトリ認証:

  1. [認証] で、 Active Directoryのコンピュータアカウントを使用する場合「 Computer AD system authentication 」を選択し、Open Directory コンピュータアカウントを使用する場合「 Computer OD system authentication 」を選択してください。

残りの PEAP 設定を構成します。

  1. PEAP を選択すると、デバイスは認証にユーザー名とパスワードまたはデバイスディレクトリの資格情報を使用します。ネットワークで 2 番目の認証要素として ID 証明書が必要な場合は、[2 要素認証が必要] を選択します。

  2. 古いまたは弱い TLS バージョンの使用を防ぐには、許可する TLS の最小バージョン を選択します。

  3. インフラストラクチャが最新バージョンの TLS をサポートしていない場合は、使用する TLS の最大バージョン を選択します。

  4. 必要に応じて、[外部 ID] を指定します。 これは、トンネル内で使用される ID とは異なり、内部 ID が公開されないように指定されます。 

EAP-FAST の設定

Flexible Authentication via Secure Tunneling(FAST)は、TLSトンネルを使用して追加の認証情報を暗号化します。FASTは、Protected Access Credentials(PAC)によるトンネルの高速再確立もサポートしています。ID 証明書は必要ありません。

ユーザー名とパスワード、またはデバイスベースのディレクトリ資格情報を使用して認証を提供できます。

ユーザー名とパスワードの認証:

  1. [認証] で [ユーザー名とパスワード] を選択します。

  2. 必要に応じて、ユーザー名を入力します。静的な値を使用するか、 Kandjiのグローバル変数 ($EMAIL など) のいずれかを使用できます。ユーザー名を入力しない場合、デバイスはネットワークへの接続時にユーザーにユーザー名を入力するように求めます。

  3. ユーザーにパスワードの入力を求める頻度を選択します。[ 1 回 ] を選択し、パスワードを入力しない場合、デバイスはユーザーにパスワードを一度要求し、それを記憶します。[ユーザーがネットワークに接続するたび] を選択するとデバイスはパスワードを記憶しません。

  4. デバイスで共有のユーザー名とパスワードを使用している場合は、[パスワード] フィールドにパスワードを入力します。パスワードを入力しない場合、デバイスはネットワークへの接続時にユーザーにパスワードの入力を求めます。

ディレクトリサービスにバインドされたMacのデバイスベースのディレクトリ認証:

  1. [認証] で、Active Directoryのコンピュータアカウントを使用する場合「 Computer AD system authentication 」を選択し、Open Directory コンピュータアカウントを使用する場合「 Computer OD system authentication 」を選択してください。

残りの EAP-FAST 設定を構成します。

  1. EAP-FAST を選択すると、デバイスは認証にユーザー名とパスワードまたはデバイスディレクトリの資格情報を使用します。ネットワークで 2 番目の認証要素として ID 証明書が必要な場合は、[2 要素認証が必要] を選択します。

  2. 必要に応じて 、[外部 ID] を指定します。 これは、トンネル内で使用される ID とは異なり、内部 ID が公開されないように指定されます。 

  3. Protected Access Credentials を使用するには、[PACを使用する] を選択します。

  4. Protected Access Credentials を使用するには、 PAC のプロビジョニング を選択します。

  5. PAC を匿名でプロビジョニングする場合は、 [PAC を匿名でプロビジョニングする] を選択します。 

EAP-SIM の設定

この認証方法は、 Wi-Fi ライブラリアイテム とのみ互換性があります。

EAP-SIM は、Global System for Mobile Communications(GSM)ネットワークにデバイスの加入者識別モジュール(SIM)を使用して Wi-Fi への認証を行います。この EAP タイプは、モバイルネットワークオペレーター (MNO) や仮想ネットワークモバイルオペレーター (MVNO) など、非常に少数の環境で使用されます。ID 証明書は必要ありません。

  1. デバイスがサーバーから必要とする RAND 値 の最小数を選択します。使用可能なオプションは、 3 (デフォルト)、 2、または [指定しない] です。RANDチャレンジが増えると、キーイングマテリアルがより強固になります。

EAP-AKA の設定

この認証方法は、 Wi-Fiライブラリアイテム とのみ互換性があります。

EAP-AKA(Authentication and Key Agreement)は、Universal Mobile Telecommunications System(UMTS)およびCDMA2000ネットワークにデバイスのIDモジュールを使用してWi-Fiへの認証を行います。この EAP タイプは、モバイルネットワークオペレーター (MNO) や仮想ネットワークモバイル オペレーター (MVNO) など、非常に少数の環境で使用されます。ID 証明書は必要ありません。この EAP タイプに設定するオプションはありません。