The Cable Guyワイヤレス シングル サインオン

Joseph Davies

接続が確立されてからプライベート ネットワークによる認証が必要なワイヤレス接続は、ユーザーにとっても管理者にとっても厄介な問題となることがあります。Active Directory ドメインのメンバである Windows ベースのワイヤレス クライアントが、

セキュリティが確保されたワイヤレス接続を確立して、ドメインにログオンするには IEEE 802.1X ベースの認証を実行する必要があります。認証にはユーザーまたはコンピュータの資格情報が使用され、ドメインへのログオンはネットワーク接続の状態の影響を受けるため、認証を実行する順序の構成時および使用する資格情報の指定時には問題が発生します。これらが原因で、ドメインへのログオンに影響が及び、ユーザーは何度も資格情報の入力を求められることがあります。

さいわい、Windows Vista® のワイヤレス シングル サインオンを使用すると、Wi-Fi Protected Access 2 (WPA2)-Enterprise および WPA-Enterprise の IEEE 802.1X 認証と、Wireless Equivalency Privacy (WEP) を使用した 802.1X 認証を、ユーザー ログオン プロセスの前に実行するように指定できます。これにより、特定の構成で発生するドメイン ログオンの問題を解決できます。また、ワイヤレス シングル サインオンでは、ワイヤレス認証と Windows® ログオン エクスペリエンスがシームレスに統合され、全体的なユーザーの満足度の向上につながります。これらの理由から、今月は、ワイヤレス シングル サインオンの機能、その構成方法、およびユーザー ログオン プロセス中の動作について説明します。

シングル サインオンの要点

Windows ワイヤレス クライアントは、コンピュータの資格情報またはユーザーの資格情報のいずれか、あるいはその両方を組み合わせて使用することで、ワイヤレス ネットワークへの認証を実行できます。コンピュータの資格情報のみを使用する場合、Windows は、Windows ログオン画面が表示される前に 802.1X 認証を実行します。これにより、ワイヤレス クライアント コンピュータは、Active Directory® ドメイン コントローラなどのネットワーク リソースにすぐにアクセスできます。

ユーザーの資格情報のみを使用する場合、シングル サインオンを使用しない Windows では、ユーザー ログオン プロセスの完了後に 802.1X 認証を実行します。図 1 は、このシナリオのスタートアップからログオンまでのタイムラインを示しています。

図 1 ワイヤレス認証にユーザー資格情報のみを使用する場合のタイムライン

図 1** ワイヤレス認証にユーザー資格情報のみを使用する場合のタイムライン **(画像を拡大するには、ここをクリックします)

ワイヤレス認証にユーザーの資格情報のみを使用する場合、ユーザー アカウントの資格情報はローカルにキャッシュされておらず、新しいログオン資格情報を認証するためのドメイン コントローラへの接続が確立されていないため、ユーザーはコンピュータへの最初のドメイン ログオンを実行できません。また、この時点では Active Directory ドメインのドメイン コントローラへの接続が確立されていないため、一部のドメイン ログオン操作は失敗します。ログオン スクリプト、グループ ポリシーの更新、およびユーザー プロファイルの更新は失敗し、Windows イベント ログにエラーが記録されます。

ユーザーの資格情報とコンピュータの資格情報を組み合わせて使用する場合、Windows では、Windows ログオン画面を表示する前にコンピュータの資格情報を使用して 802.1X 認証を実行します。ユーザーがログオンした後、Windows では、ユーザーの資格情報を使用してもう一度 802.1X 認証を実行します。コンピュータの資格情報を使用して認証を行ったコンピュータとユーザーの資格情報を使用して認証を行ったコンピュータに対して、別の仮想 LAN (VLAN) が使用されるネットワーク インフラストラクチャもあります。ユーザーの資格情報を使用したワイヤレス ネットワークへの認証およびユーザー認証 VLAN への切り替えがユーザー ログオン プロセス後に行われる場合、Windows ワイヤレス クライアントは、ユーザー ログオン プロセス中に Active Directory ドメイン コントローラなどのユーザー認証 VLAN のネットワーク リソースにアクセスできません。この場合にも、ドメイン ログオン操作は失敗します。

ユーザーの資格情報を使用したワイヤレス認証で、ユーザー ログオン資格情報とは異なるセキュリティ資格情報が使用されると、別の問題が発生します。このような構成の場合、Windows ではワイヤレス認証の開始時に別のユーザー資格情報の入力を要求します。こうした動作は、混乱を招く可能性があります。

Windows Vista のシングル サインオン機能は、ドメイン ログオンの問題、コンピュータ認証とユーザー認証で異なる VLAN の問題、別々のタイミングで異なる資格情報の入力が求められるという問題などに対応するために開発されました。シングル サインオンを使用することで、ネットワーク管理者は、ユーザー ログオン プロセスの前にユーザー資格情報を使用してワイヤレス認証を実行するように指定できます。ユーザー ログオンで必要なユーザー資格情報とワイヤレス認証で必要なユーザー資格情報が異なる場合、必要なすべての資格情報は Windows ログオン画面で要求され収集されます。

シングル サインオンを使用することで、ユーザー ログオン プロセスの前にユーザー資格情報を使用してワイヤレス ネットワーク認証を実行するように、Windows Vista ワイヤレス クライアントを構成できます。図 2 は、新しいスタートアップからログオンまでタイムラインを示しています。

図 2 ユーザー ログオンの前にユーザー資格情報を使用してワイヤレス ネットワーク認証を実行する場合のタイムライン

図 2** ユーザー ログオンの前にユーザー資格情報を使用してワイヤレス ネットワーク認証を実行する場合のタイムライン **(画像を拡大するには、ここをクリックします)

これにより、ユーザー資格情報のみ、または個別の VLAN でユーザー資格情報とコンピュータ資格情報を組み合わせて使用する構成で、機能性が損なわれることはません。ワイヤレス クライアントが、ユーザー ログオン プロセスの開始前にネットワーク接続またはユーザー認証 VLAN への接続を確立しているため、ドメイン ログオン操作を正常に完了できます。例については、「Windows Vista ワイヤレス クライアントをドメインに参加させる」(microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx) を参照してください。

ワイヤレス プロファイルの構成を基に、シングル サインオンでは、ワイヤレス認証用のユーザー資格情報の入力フィールドが統合され、Windows ログオン画面に追加されます。そのため、ユーザー ログオンおよびユーザー資格情報を使用するワイヤレス認証用のすべてのユーザー資格情報は、ユーザーによって一度に提供されます。

Windows Vista の新しい EAPHost アーキテクチャ向けに作成された拡張認証プロトコル (EAP) メソッドでは、EAP Pre-Logon Authentication Provider (PLAP) サポート API を使用して、認証に必要な入力フィールドを Windows ログオン画面に含めることができます。詳細については、「SSO および PLAP」(msdn2.microsoft.com/bb530584) を参照してください。

シングル サインオン セッションの例として、ドメイン ログオンと 802.1X 認証の両方でユーザーの資格情報および 1 組のユーザー名とパスワードのみを使用して認証を実行するように構成された、Windows Vista ワイヤレス クライアントについて考えてみましょう。Windows Vista の最初の画面でユーザーが Ctrl + Alt + Del キーを押すと、シングル サインオンでは、ユーザー ログオン前に 802.1X 認証を実行する必要があることが認識されます。ユーザーが自身のユーザー名とパスワードを入力すると、シングル サインオンによって、最初にユーザー ベースのワイヤレス ネットワーク認証が実行され、その名前でワイヤレス ネットワークに接続していることを示すメッセージが表示されます。ワイヤレス認証の後、Windows Vista によってユーザー ログオンが実行され、ユーザーのデスクトップが表示されます。

シングル サインオンを構成する

プロセスの詳細

ワイヤレス認証プロセスについての理解をより深めるため、ユーザーが積極的にログオンする場合のプロセスについて詳しく説明します。Windows Vista を実行しているワイヤレス クライアントで、ユーザー ログオンを行うためにユーザーが Ctrl + Alt + Del キーを押すと、次の手順が実行されます。

  1. ワイヤレス自動構成により、使用するワイヤレス ネットワーク プロファイルが確認されます。ワイヤレス クライアントが、コンピュータの資格情報を使用して既に正常に認証を実行している場合は、現在接続しているワイヤレス ネットワークのプロファイルが使用されます。確認されたワイヤレス プロファイルが、コンピュータの資格情報のみを使用して認証を実行するように構成されている場合、ユーザー資格情報を使用した追加のワイヤレス認証は必要ありません。手順 2. ~ 6. は、選択されたワイヤレス プロファイルがユーザー資格情報を使用して認証を実行するように構成されていて、シングル サインオンが有効、かつ [ユーザー ログオンの直前に実行する] が選択されていることを前提としています。
  2. ユーザー ログオンおよびワイヤレス認証 (必要な場合) のための資格情報をユーザーが入力すると、ユーザー ログオン プロセスが開始されます。
  3. Windows は、接続先のワイヤレス ネットワーク名を示すメッセージをユーザーに表示します。
  4. Windows は、ユーザー資格情報を使用してワイヤレス ネットワーク認証を試みます。[シングル サインオン中に追加のダイアログの表示を許可する] チェック ボックスがオンになっていて、EAP がユーザーに追加のダイアログ ボックスを表示する必要がある種類のものである場合、Windows はダイアログ ボックスを表示します。[接続の最大遅延 (秒)] で指定されている時間内にワイヤレス認証が正常に実行されない場合、ワイヤレス認証は中断します。[このネットワークでは、コンピュータとユーザーの資格情報を使用した認証用に別の VLAN を使用する] チェック ボックスがオンになっている場合、Windows は、ワイヤレス認証が成功したときにワイヤレス ネットワーク アダプタの IP アドレス構成の DHCP 更新を実行します。
  5. Windows は、ユーザー ログオン プロセスを実行します。
  6. Windows は、デスクトップを表示します。

[ユーザー ログオンの直後に実行する] が選択されている場合、Windows はこの手順を 1、2、5、3、4、6 の順に実行します。

シングル サインオンを有効化および構成するには、ワイヤレス ネットワーク (IEEE 802.11) ポリシーのグループ ポリシー拡張を使用して、Windows Vista ポリシーのワイヤレス プロファイル用のセキュリティ詳細設定を構成します。詳細については、「Windows Vista 用ワイヤレス グループ ポリシーの設定」(technetmagazine.com/issues/2007/04/CableGuy) を参照してください。

[詳細なセキュリティ設定] ダイアログ ボックスで、[このネットワークに対するシングル サインオンを有効にする] チェック ボックスをオンにし、必要に応じてシングル サインオンのオプションを構成します。図 3 は、シングル サインオンが既定の設定で有効になっている例を示しています。

図 3 既定のシングル サインオン設定

図 3** 既定のシングル サインオン設定 **

シングル サインオンの設定には、ユーザー ログオン プロセスの直前または直後に 802.1X ワイヤレス認証を実行するための設定と、ユーザー ログオン プロセスを開始するまでの 802.1X 認証の遅延時間を指定する設定があります。Windows ログオン画面で、統合された入力フィールド以外のダイアログ ボックスを表示するかどうかを指定することもできます。たとえば、ある EAP の種類で、認証中にリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーから送信された証明書をユーザーが確認する必要がある場合、その EAP の種類ではダイアログ ボックスを表示できます。

また、ユーザー ベースの認証の実行後に、ワイヤレス クライアントで、ワイヤレス アダプタの TCP/IP 構成の動的ホスト構成プロトコル (DHCP) 更新が行われるように指定することもできます。コンピュータ ベース認証およびユーザー ベース認証のワイヤレス クライアントに対して個別の VLAN があり、それらが異なる IPv4 サブネットまたは IPv6 サブネットの場合は、このオプションを選択します。

ポリシー内でシングル サインオン設定を含むワイヤレス プロファイルを作成したら、プロファイルを XML ファイルとしてエクスポートし、エクスポートしたプロファイルを Windows Vista ワイヤレス クライアントにインポートすることで、Windows Vista ワイヤレス クライアントを構成することもできます。

シングル サインオンの XML ワイヤレス プロファイルを作成するには、適切なシングル サインオン設定を使用してワイヤレス プロファイルを作成します。Windows Vista ワイヤレス ポリシーの [全般] タブで、シングル サインオン設定を含むワイヤレス プロファイルをクリックし、[エクスポート] をクリックします。メッセージが表示されたら、プロファイルの XML ファイル名と保存先の場所を指定します。

シングル サインオンの XML プロファイルを使用して別の Windows Vista ワイヤレス クライアントを構成するには、次のコマンドを使用して XML プロファイルをインポートします。

netsh wlan add profile filename=
    "[FileName].xml"

ワイヤレス プロファイルでシングル サインオンが有効になっているかどうかを確認するには、次のコマンドを使用します。

netsh wlan show profile=[ProfileName] 

シングル サインオン設定は、netsh wlan show profile コマンド表示の "Security settings" セクションと、Windows イベント ログのワイヤレス接続イベントの内容に一覧表示されます。また、イベント ビューア スナップインを使用して、アプリケーションとサービス ログの Microsoft\Windows\WLAN-AutoConfig フォルダで、ソースが WLAN-AutoConfig でイベント ID が 13001、13002、13003、および 13004 のイベントを確認することもできます。

詳細については、「ワイヤレス ネットワーク」(microsoft.com/wifi) を参照してくださいシングル サインオン プロセスの詳細については、補足記事「プロセスの詳細」を参照してください。

Joseph Davies は、マイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Microsoft Press から 5 冊の書籍を上梓しており、月刊の TechNet Magazine Cable Guy コラムの執筆者でもあります。**

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.