セキュリティ : Cisco IOS ファイアウォール

送信認証プロキシ認証- Cisco IOS ファイアウォール無しか NAT 設定

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

認証委任状機能はユーザか TACACS+ サーバがネットワークにログインするか、または自動的に RADIUS から取得され、適用されて特定のアクセス プロファイルが HTTP によってインターネットに、アクセスするようにします。 ユーザ・プロファイルは認証済みユーザからアクティブなトラフィックがあるときだけ活発です。

このサンプル コンフィギュレーションはインターネットのすべてのデバイスにブラウザ認証が認証委任状の使用と行われるまで内部ネットワークのホスト デバイスからトラフィックを(40.31.1.47 で)ブロックします。 サーバ(割り当て TCP から渡されるアクセス・コントロール・リスト(ACL)|IP|icmp はあらゆるアクセス・リスト 116 に)許可後一時的にホスト PC からインターネットへのアクセスを許可する動的エントリを加えます。

認証委任状に関する詳細については認証委任状の設定を参照して下さい。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書に記載されている情報はこれらのにソフトウェアおよびハードウェア バージョン基づいています:

  • Cisco IOS か。 ソフトウェア リリース 12.2(15)T

  • Cisco 7206 ルータ

注: IP auth-proxy コマンドは Cisco IOS ファイアウォール ソフトウェア リリース 12.0.5.T でもたらされました。

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

設定例

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

注: この文書で使用されるコマンドに関する詳細を見つけるのにコマンド ルックアップ ツール登録されていた顧客だけ)を使用して下さい。

ネットワーク図

この文書はこのネットワークを設定するのに使用します:

/image/gif/paws/13884/auth1-1.gif

設定

この文書はこの設定を使用します:

7206 ルータ
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname psy-rtr-2
!
logging queue-limit 100
!
username admin password 7 <deleted>
aaa new-model


!--- Enable AAA.


aaa authentication login default group radius none


!--- Use RADIUS to authenticate users.

aaa authorization exec default group radius none 
aaa authorization auth-proxy default group radius 


!--- Utilize RADIUS for auth-proxy authorization.

aaa session-id common
ip subnet-zero
!
ip cef
!
ip auth-proxy auth-proxy-banner


!--- Displays the name of the firewall router 
!--- in the Authentication Proxy login page.

ip auth-proxy auth-cache-time 10


!--- Sets the global Authentication Proxy idle 
!--- timeout value in minutes.


ip auth-proxy name restrict_pc http


!--- Associates connections that initiate HTTP traffic with 
!--- the "restrict_pc" Authentication Proxy name.


ip audit notify log
ip audit po max-events 100
!
no voice hpi capture buffer
no voice hpi capture destination 
!
mta receive maximum-recipients 0
!
!
interface FastEthernet0/0
 ip address 192.168.10.10 255.255.255.0
 ip access-group 116 in


!--- Apply access list 116 in the inbound direction.

 ip auth-proxy restrict_pc


!--- Apply the Authentication Proxy list 
!--- "restrict_pc" configured earlier.


 duplex full
!
interface FastEthernet4/0
 ip address 10.89.129.195 255.255.255.240
 duplex full
!
ip classless
ip http server


!--- Enables the HTTP server on the router. 


!--- The Authentication Proxy uses the HTTP server to communicate 
!--- with the client for user authentication.


ip http authentication aaa


!--- Sets the HTTP server authentication method to AAA.


!
access-list 116 permit tcp host 192.168.10.200 host 192.168.10.10 eq www


!--- Permit HTTP traffic (from the PC) to the router.


access-list 116 deny tcp host 192.168.10.200 any
access-list 116 deny udp host 192.168.10.200 any
access-list 116 deny icmp host 192.168.10.200 any


!--- Deny TCP, UDP, and ICMP traffic from the client by default.


access-list 116 permit tcp 192.168.10.0 0.0.0.255 any
access-list 116 permit udp 192.168.10.0 0.0.0.255 any
access-list 116 permit icmp 192.168.10.0 0.0.0.255 any


!--- Permit TCP, UDP, and ICMP traffic from other 
!--- devices in the 192.168.10.0/24 network.

!
radius-server host 192.168.10.103 auth-port 1645 acct-port 1646 key 7 <deleted>


!--- Specify the IP address of the RADIUS 
!--- server along with the key.


radius-server authorization permit missing Service-Type
call rsvp-sync
!
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
end

PC の認証

このセクションは PC から取られる認証手順を示す画面コピーを提供します。 最初のキャプチャはユーザがどこに認証のためのユーザ名およびパスワードを入力し、OK を押すかウィンドウに示します。

/image/gif/paws/13884/auth1-2.gif

認証が巧妙である場合、このウィンドウは現われます。

/image/gif/paws/13884/auth1-3.gif

RADIUS サーバは適用する委任状 ACL で設定する必要があります。 この例では、これらの ACL エントリは適用します。 これは PC があらゆるデバイスに接続するようにします。

permit tcp host 192.168.10.200 any
permit udp host 192.168.10.200 any
permit icmp host 192.168.10.200 any

Cisco この ACS ウィンドウは委任状 ACL にどこを入るか表示します。

/image/gif/paws/13884/auth1-4.gif

注: RADIUS/TACACS+ サーバを設定する方法に関する詳細については認証委任状の設定を参照して下さい。

確認事項

このセクションはあなたの設定作業をきちんと確認するのに使用できる情報を提供します。

出力インタプリタ ツール登録されていた顧客だけ) (OIT)サポートはコマンドを確認しているが。 分析をの表示するのに OIT を示しますコマンド出力を使用して下さい。

  • 示して下さい IP access-list —ファイアウォールで設定される標準および延長 ACL を表示します(ダイナミック ACL エントリが含まれています)。 ダイナミック ACL エントリはユーザが認証を受けるかどうか定期的に基づいて加えられ、削除されます。

  • 示して下さい IP auth-proxy キャッシュ—認証委任状エントリか実行認証プロキシ コンフィギュレーションを表示します。 認証委任状のホスト IP アドレス、ソース ポート番号、タイムアウトの値、および認証委任状を使用する接続のための状態をリストするキャッシュ キーワード。 認証委任状状態が HTTP_ESTAB である場合、ユーザ認証は成功です。

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするのに使用できる情報を提供します。

これらのコマンドに関しては、他のトラブルシューティングに関する情報と共に、認証委任状のトラブルシューティングを参照して下さい。

注: デバッグ・コマンドを使用する前にデバッグ・コマンドの重要な情報を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13884