HCAP (Host Credential Authorization Protocol) を使用すると、Microsoft ネットワーク アクセス保護 (NAP) ソリューションを Cisco Network Admission Control と統合できます。HCAP をネットワーク ポリシー サーバー (NPS) および NAP と展開すると、NPS は NAP 正常性ポリシーの強制を含め、Cisco 802.1X アクセス クライアントの承認を実行でき、Cisco 認証、承認、およびアカウンティング (AAA) サーバーが認証を実行します。
HCAP サーバーを展開するには、次の操作を行います。
-
NAP 対応のクライアント コンピューターを展開します。ネットワーク アクセスの認証方法として Cisco EAP-FAST を使用するように、クライアント コンピューターを構成します。
-
NAP 展開ドキュメントを使用して、NAP を展開します。これには、クライアント コンピューターをシステム正常性エージェント (SHA) で構成することと、NAP サーバーを対応するシステム正常性検証ツール (SHV) で構成することが含まれます。
-
Cisco 展開ドキュメントを使用して、Cisco Network Admission Control を展開します。
-
サーバー マネージャーから役割の追加ウィザードを使用して、HCAP サーバーをインストールします。HCAP サーバーは、サーバーの役割 "ネットワーク ポリシーとアクセス サービス" の役割サービスです。HCAP サーバーをインストールするときには、同じコンピューターにその他の必須コンポーネントであるインターネット インフォメーション サービス (IIS) と NPS がインストールされます。また、IIS を実行しているサーバーにサーバー証明書が自動登録されて、IIS と Cisco AAA サーバーとの間の SSL (Secure Sockets Layer) 接続が可能になります。
-
指定した IP アドレスをリッスンするように IIS を構成して、Cisco AAA サーバーが承認要求を送信できるようにします。
-
HCAP、NPS、および IIS を実行しているサーバーの URL で Cisco AAA サーバーを構成して、Cisco AAA サーバーが NPS に承認要求を送信できるようにします。
-
HCAP サーバー上の NPS を RADIUS プロキシとして構成して、リモート RADIUS サーバー グループのメンバーである NPS サーバーに承認要求を転送します。HCAP サーバー上の NPS を RADIUS サーバーとして構成して、承認要求をローカルで処理することもできます。
-
NPS サーバーを RADIUS サーバーとして構成して承認を実行します。これには、NAP の展開と、NPS での正常性ポリシーの作成が含まれます。NPS-HCAP サーバーが、リモート RADIUS サーバー グループの NPS RADIUS サーバーに接続要求を転送する RADIUS プロキシである場合は、各 RADIUS サーバー上で RADIUS クライアントを RADIUS プロキシとして構成する必要があります。
-
NPS RADIUS サーバー上で、NAP 正常性ポリシーを使用してネットワーク ポリシーを構成します。NAP と Cisco Network Admission Control との相互運用性を確保する必要がある場合は、ネットワーク ポリシーの条件に HCAP-Group-Name と HCAP-Location-Group を含めることもできます。また、ネットワーク ポリシーで拡張状態条件を使用して、ネットワーク ポリシーと一致する必要があるクライアント コンピューターの拡張状態を指定することができます。拡張状態は Cisco Network Admission Control の要素であり、"移行"、"感染"、および "不明" があります。このネットワーク ポリシー条件を使用すると、クライアント コンピューターがこれらのいずれかの状態にあるかどうかに基づいてアクセスを承認または拒否するように、NPS を構成することができます。
認証と承認のプロセス
Cisco Network Admission Control と NPS を NAP と組み合わせて展開した後の、認証と承認のプロセスは次のようになります。
-
クライアント コンピューターがネットワークへのアクセスを試行します。このクライアントは、802.1X 認証スイッチ、または Cisco AAA サーバーの RADIUS クライアントとして構成されている 802.1X ワイヤレス アクセス ポイントを介して、接続を試行できます。
-
Cisco AAA サーバーがネットワーク アクセス サーバーまたはルーターから接続要求を受け取った後、Cisco AAA サーバーは EAP-TLV (EAP-Type Length Value) を送信して、クライアントからの正常性ステートメント (SoH) データを要求します。
-
クライアント コンピューター上の SHA がクライアント上の NAP エージェントに正常性状態をレポートし、NAP エージェントは SoH を作成します。この SoH が Cisco AAA サーバーに送信されます。
-
Cisco AAA サーバーは HCAP を使用して、SoH をクライアント コンピューターのユーザー ID、コンピューター ID、および場所と共に、NPS プロキシまたはサーバーに転送します。
-
NPS-HCAP サーバーが RADIUS プロキシとして構成されている場合、NPS は承認要求を適切なリモート RADIUS サーバー グループに転送します。構成されている接続要求ポリシーを NPS が評価することによって、この決定がくだされます。NPS-HCAP サーバーが RADIUS サーバーとして構成されている場合、NPS-HCAP サーバーは承認要求を処理します。
-
NPS は SoH を構成されているネットワーク ポリシーと照合して評価し、一致するネットワーク ポリシーが見つかった場合は、クライアントに送り返す正常性ステートメントの応答 (SoHR) を作成します。この SoHR は、NAP 強制状態と拡張状態の情報と共に、HCAP を使用して Cisco AAA サーバーに送り返されます。
-
Cisco AAA サーバーは、NAP 強制状態を Cisco Network Admission Control のポリシーと照合して評価し、ネットワーク アクセス プロファイルを判断します。
-
Cisco AAA サーバーは、ネットワーク アクセス プロファイルをネットワーク アクセス サーバー (スイッチ、AP、またはルーター) に送信します。このネットワーク アクセス プロファイルには、ネットワーク アクセス サーバーがクライアント コンピューターに完全なアクセス許可を与えるか、制限付きのアクセス許可を与えるか、クライアント コンピューターのアクセスを拒否するかを指定する情報が含まれています。
-
Cisco AAA サーバーがクライアント コンピューターに SoHR を送り返します。
-
クライアントの構成が正常性ポリシーに準拠しておらず、SoHR がクライアントに修復を指示している場合、クライアントは、ソフトウェア更新プログラムのダウンロードや構成設定の変更などを試行します。修復が終了すると、クライアントはネットワークへのアクセスを再試行し、認証と承認のプロセスが繰り返されます。
その他の参照情報
詳細については、ネットワーク アクセス保護に関するページ (英語の可能性あり)