ワイヤレス / モビリティ : WLAN セキュリティ

ワイヤレス LAN コントローラの Web 認証の設定例

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 10 月 12 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

このドキュメントでは、シスコが Web 認証を実装する方法について説明し、内部 Web 認証をサポートするために Cisco 4400 シリーズ ワイヤレス LAN(WLAN)コントローラ(WLC)を設定する方法を示します。

前提条件

要件

このドキュメントでは、4400 WLC の初期設定がすでに完了していることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.0.116.0 が稼働する 4400 シリーズ WLC

  • Microsoft でインストールされる Cisco Secure Access Control Server (ACS)バージョン 4.2 か。 Windows 2003 Server

  • Cisco Aironet 1131AG シリーズ Light Weight アクセス ポイント

  • バージョン 4.0 が稼働する Cisco Aironet 802.11 a/b/g Cardbus ワイヤレス アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Web 認証

Web 認証は、レイヤ 3 セキュリティ機能です。これにより、コントローラが、有効なユーザ名とパスワードを提示しないクライアントからの IP トラフィック(DHCP パケットと DNS 関連パケットを除く)を許可することを防ぎます。 これは、サプリカントやクライアント ユーティリティを必要としない簡単な認証方式です。 一般に、Web 認証はゲスト アクセス ネットワークを展開する場合に使用されます。 一般的な展開では、T-Mobile やスターバックスなど、「ホット スポット」の場所を含めることができます。

Web 認証ではデータ暗号化が提供されないことに注意してください。 一般的に、接続性が唯一の懸念事項である「ホット スポット」やキャンパス環境などでの簡単なゲスト アクセスとして Web 認証が使用されます。

Web 認証は以下を使用して実現できます。

  • WLC のデフォルト ログイン ウィンドウ

  • WLC のデフォルト ログイン ウィンドウの修正バージョン。

  • 外部 Web サーバ(外部 Web 認証)で設定する、カスタマイズされたログイン ウィンドウ

  • コントローラにダウンロードする、カスタマイズされたログイン ウィンドウ

このドキュメントでは、内部 Web 認証用のワイヤレス LAN のコントローラが設定されます。

Web 認証プロセス

これは、ユーザが Web 認証用に設定された WLAN に接続するときに発生するプロセスです。

  • ユーザが Web ブラウザを開いて、http://www.cisco.com などの URL を入力します。 クライアントは、宛先の IP を取得するため、この URL の DNS 要求を送信します。 WLC が DNS サーバに DNS 要求をバイパスし、DNS サーバが宛先 http://www.cisco.com の IP アドレスを含む DNS 応答を返します。 この応答はワイヤレス クライアントに転送されます。

  • 続いて、クライアントは宛先 IP アドレスを使用して TCP 接続を開始しようとします。 www.google.com の IP アドレスを宛先とする TCP SYN パケットが送信されます。

  • WLC には、クライアント用に設定されたルールがあるため、www.google.com のプロキシとして動作することができます。 WLC は、www.google.com の IP アドレスを送信元とする TCP SYN-ACK パケットをクライアントに送信します。 クライアントは、3 ウェイ TCP ハンドシェイクを完了するために、TCP ACK パケットを返し、TCP 接続が完全に確立されます。

  • クライアントは、宛先が www.google.com である HTTP GET パケットを送信します。 WLC が、このパケットをインターセプトして、リダイレクト処理用に送信します。 HTTP アプリケーション ゲートウェイは、HTML 本文を準備し、クライアントから要求された HTTP GET への応答として返します。 この HTML によって、クライアントが WLC のデフォルト Web ページ URL(http://<Virtual-Server-IP>/login.html など)に誘導されます。

  • クライアントは、たとえば、www.example.com などの IP アドレスとの TCP 接続を閉じます。

  • ここで、クライアントは http://1.1.1.1/login.html に誘導されます。 つまり、クライアントは WLC の仮想 IP アドレスとの TCP 接続を開こうとします。 WLC へ 1.1.1.1 に対する TCP SYN パケットを送信します。

  • WLC は、TCP SYN-ACK で応答し、クライアントは WLC に TCP ACK を返して、ハンドシェイクが完了します。

  • クライアントが、ログイン ページを要求するために、1.1.1.1 宛ての /login.html の HTTP GET を送信します。

  • この要求は、WLC の Web サーバに到達して許可され、サーバはデフォルト ログイン ページで応答します。 クライアントは、ブラウザ ウィンドウでログイン ページを受信し、ユーザはブラウザでログインできます。

Web 認証プロセスを説明するシスコ サポート コミュニティ のビデオleavingcisco.com へのリンクを次に示します。

Cisco ワイヤレス LAN コントローラ(WLC)での Web 認証 leavingcisco.com

Web-Auth.jpg

ネットワーク構成

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/69340/web_auth_config-01.gif

Web 認証用のコントローラの設定

このドキュメントでは、WLAN が Web 認証用に設定され、専用の VLAN にマップされています。 次のステップは、Web 認証のための WLAN の設定に含まれています。

このセクションでは、Web 認証用にコントローラを設定するための情報を提供しています。

このドキュメントで使用する IP アドレスは次のとおりです。

  • WLC の IP アドレスは 10.77.244.204 です。

  • ACS サーバの IP アドレスは 10.77.244.196 です。

VLAN インターフェイスの作成

次の手順を実行します。

  1. ワイヤレス LAN コントローラの GUI で、一番上のメニューから [Controller] を選択し、左側のメニューから [Interfaces] を選択して、ウィンドウの右上にある [New] をクリックし、新しいダイナミック インターフェイスを作成します。

    [Interfaces > New] ウィンドウが表示されます。 この例では、インターフェイス名に vlan90、VLAN ID に 90 を使用しています。

    web_auth_config-02.gif

  2. [Apply] をクリックして、VLAN インターフェイスを作成します。

    [Interfaces > Edit] ウィンドウが表示され、インターフェイス固有の情報を入力するように求められます。

  3. このドキュメントでは、次のパラメータを使用しています。

    • IP アドレス:10.10.10.2

    • ネットマスク:255.255.255.0(24 ビット)

    • ゲートウェイ:10.10.10.1

    • ポート番号:2

    • プライマリ DHCP サーバ:10.77.244.204

      注: このパラメータには、RADIUS サーバまたは DHCP サーバの IP アドレスを指定する必要があります。 この例では、WLC で内部 DHCP スコープが設定されているため、WLC の管理アドレスを DHCP サーバとして使用しています。

    • セカンダリ DHCP サーバ:0.0.0.0

      注: この例ではセカンダリ DHCP サーバがないので、0.0.0.0 を使用します。 設定にセカンダリ DHCP サーバがある場合は、このフィールドにサーバの IP アドレスを追加します。

    • ACL 名:なし

    web_auth_config-03.gif

  4. [Apply] をクリックして変更を保存します。

内部 Web 認証用の WLC の設定

次の手順では、内部 Web 認証用の WLC を設定します。 内部 Web 認証は WLC でのデフォルトの Web 認証のタイプです。 このパラメータが変更されていなければ、内部 Web 認証をイネーブルにするための設定は必要ありません。 以前に Web 認証パラメータが変更されている場合、内部 Web 認証用に WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI で、[Security] > [Web Auth] > [Web Login Page] の順に選択して、[Web Login] ページにアクセスします。

  2. [Web Authentication Type] ドロップダウン ボックスから、[Internal Web Authentication] を選択します。

  3. [Redirect URL after login] フィールドで、エンド ユーザが認証の成功後にリダイレクトされるページの URL を入力します。

    web_auth_config-04.gif

    注: WLC バージョン 5.0 以降では、Web 認証のログアウト ページもカスタマイズできます。 設定方法については、『ワイヤレス LAN コントローラ コンフィギュレーション ガイド 5.2』の「WLAN 単位のログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て」セクションを参照してください。

WLAN インスタンスの追加

内部 Web 認証がイネーブルになり、Web 認証専用の VLAN インターフェイスを作成した後は、Web 認証ユーザをサポートするために、新しい WLAN/SSID を作成する必要があります。

新しい WLAN/SSID を作成するには、次の手順を実行します。

  1. WLC GUI から、一番上のメニューで [WLAN] をクリックして、右上にある [New] をクリックします。

    Type として [WLAN] を選択します。 Web 認証用のプロファイル名と WLAN SSID を選択します。 この例では、Profile Name と WLAN SSID の両方に Guest を使用しています。

    _auth_config-05.gif

  2. [Apply] をクリックします。

    新しい [WLANs > Edit] ウィンドウが表示されます。

    web_auth_config-06.gif

  3. WLAN の [Status] チェックボックスをオンにして WLAN を有効にします。 [Interface] メニューから、先ほど作成した VLAN インターフェイスの名前を選択します。 この例で使用しているインターフェイス名は vlan90 です。

    注: この画面にある他のパラメータは、デフォルト値のままにしてください。

  4. [Security] タブをクリックします。

      次の手順を実行して Web 認証を設定します。

    1. [Layer 2] タブをクリックし、セキュリティを [None] に設定します。

      注: 802.1x を使用するレイヤ 3 セキュリティとして Web パススルーを設定することはできません。また、WLAN のレイヤ 2 セキュリティとして WPA/WPA2 を設定することもできません。 ワイヤレス LAN コントローラのレイヤ 2 およびレイヤ 3 セキュリティの互換性については、『ワイヤレス LAN コントローラ レイヤ 2 レイヤ 3 セキュリティの互換性マトリクス』を参照してください。

    2. [Layer 3] タブをクリックします。 次に示すように、[Web Policy] ボックスにチェックマークを付け、[Authentication] オプションを選択します。

      _auth_config-07.gif

    3. [Apply] をクリックして、WLAN を保存します。

    4. WLAN 要約ウィンドウに戻ります。 SSID Guest の WLAN テーブルの Security Policies 列で、Web-Auth がイネーブルになっていることを確認します。

Web 認証でユーザを認証する 3 つの方法

Web 認証を使用する場合、ユーザを認証する方法は 3 種類あります。 ローカル認証を使用すると、Cisco WLC でユーザを認証できます。 また、外部 RADIUS サーバまたは LDAP サーバをバックエンド データベースとして使用してユーザを認証することもできます。

このドキュメントでは 3 つの方式すべての設定例を示します。

ローカル認証

ゲスト ユーザのユーザ データベースが WLC のローカル データベースに保存されます。 WLC はこのデータベースと照合してユーザを認証します。

  1. WLC GUI で [Security] を選択します。

  2. 左側の [AAA] メニューから [Local Net Users] をクリックします。

    web_auth_config-08.gif

  3. [New] をクリックして新しいユーザを作成します。

    新しいウィンドウが表示され、ユーザ名とパスワードの情報の入力を求められます。

  4. 新しいユーザを作成するため、ユーザ名とパスワードを入力して、使用するパスワードを確認します。

    この例では、User1 というユーザを作成します。

  5. 必要に応じて説明を追加します。

    この例では Guest User1 使用します。

  6. [Apply]をクリックして、新しいユーザ設定を保存します。

    web_auth_config-09.gif

    web_auth_config-10.gif

  7. さらにデータベースにユーザを追加するには、手順 3 ~ 6 を繰り返します。

Web 認証用の RADIUS サーバ

このドキュメントでは、RADIUS サーバとして Windows 2003 Server 上のワイヤレス ACS を使用しています。 代わりに、ネットワークに現在展開されていて利用可能な任意の RADIUS サーバを使用できます。

注: ACS は、Windows NT または Windows 2000 Server 上で設定できます。 Cisco.com から ACS をダウンロードするには、『ソフトウェア センター(ダウンロード) - Cisco Secure Software』(登録ユーザ専用)を参照してください。 ソフトウェアをダウンロードするには、Cisco Web アカウントが必要です。

ACS の設定」セクションでは、RADIUS を使用するように ACS を設定する方法を説明しています。 Domain Name System(DNS; ドメイン ネーム システム)と RADIUS サーバを含む完全に機能するネットワークが必要です。

ACS の設定

このセクションでは、RADIUS 用に ACS を設定する方法について説明しています。

サーバで ACS を設定した後、次の手順を実行して認証用のユーザを作成します。

  1. 設定のためにブラウザ ウィンドウで ACS を開くかどうかを尋ねられたら、[yes] をクリックします。

    注: ACS をセットアップすると、デスクトップ上にもアイコンが作成されます。

  2. 左側のメニューで、[User Setup] をクリックします。

    この操作は、次に示すように [User Setup] 画面に表示されます:

    web_auth_config-11.gif

  3. Web 認証に使用するユーザを入力し、Add/Edit をクリックします。

    ユーザが作成されると、次に示すように 2 番目のウィンドウが開きます。

    web_auth_config-12.gif

  4. 一番上の [Account Disabled] チェックボックスがオフになっていることを確認します。

  5. [Password Authentication] オプションで、[ACS Internal Database] を選択します。

  6. パスワードを入力します。 管理者には、ACS 内部データベースにユーザを追加しているときに、PAP/CHAP または MD5-CHAP 認証を設定するオプションがあります。 PAP は、コントローラの web-auth ユーザ用のデフォルト認証タイプです。 管理者は、この CLI コマンドを使用して認証方式を chap/md5-chap に変更することもできます。

    config custom-web radiusauth <auth method>
  7. [Submit] をクリックします。

Cisco WLC への RADIUS サーバ情報の入力

次の手順を実行します。

  1. 上部のメニューで [Security] をクリックします。

  2. 左側のメニューで [RADIUS Authentication] をクリックします。

  3. [New] をクリックし、ACS/RADIUS サーバの IP アドレスを入力します。 この例では、ACS サーバの IP アドレスは 10.77.244.196 です。

  4. RADIUS サーバの共有秘密鍵を入力します。 この秘密鍵は、WLC 用の RADIUS サーバで入力した秘密鍵と一致している必要があります。

  5. ポート番号はデフォルト(1812)のままにしておきます。

  6. [Server Status] オプションが [Enabled] であることを確認します。

  7. この RADIUS サーバをワイヤレス ネットワーク ユーザの認証に使用するために、[Network User] の [Enable] チェックボックスをオンにします。

  8. [Apply] をクリックします。

/image/gif/paws/69340/web_auth_config-13.gif

[Network User] ボックスにチェックマークが付いていて、[Admin Status] が [Enabled] であることを確認してください。

/image/gif/paws/69340/web_auth_config-14.gif

RADIUS サーバを使用する WLAN の設定

WLC で RADIUS サーバを設定した後は、その RADIUS サーバを Web 認証で使用するように WLAN を設定する必要があります。 RADIUS サーバを使用するように WLAN を設定するには、次の手順を実行します。

  1. WLC ブラウザを開き、[WLANs] をクリックします。 これで WLC で設定された WLAN の一覧が表示されます。 Web 認証用に作成した WLAN の [Guest] をクリックします。

  2. [WLANs > Edit] ページで [Security] メニューをクリックします。 [Security] の下にある [AAA Servers] タブをクリックします。 次に、RADIUS サーバ(この例では、10.77.244.196)を選択します。

    web_auth_config-15.gif

  3. [Apply] をクリックします。

ACS の確認

ACS をセットアップする際には、最新のパッチとコードをすべてダウンロードしてください。 これにより、差し迫った問題は解決されます。 RADIUS 認証を使用する場合は、WLC が AAA クライアントの 1 つとしてリストされていることを確認します。 これを確認するには、左側にある [Network Configuration] メニューをクリックします。 AAA クライアントをクリックして、設定されているパスワードと認証タイプを確認します。 AAA クライアントの設定方法についての詳細は、『Cisco Secure Access Control Server 4.2 ユーザ ガイド』の「AAA クライアントの設定」セクションを参照してください。

web_auth_config-16.gif

[User Setup] を選択した際に、ユーザが実際に存在することを確認します。 [List All Users] をクリックします。 次に示すウィンドウが表示されます。 作成したユーザが一覧に表示されていることを確認します。

web_auth_config-17.gif

LDAP サーバ

このセクションでは、RADIUS またはローカル ユーザ データベースに似ている、バックエンド データベースとしての Lightweight Directory Access Protocol(LDAP)サーバを設定する方法について説明します。 LDAP バックエンド データベースでは、コントローラは、特定のユーザのクレデンシャル(ユーザ名とパスワード)について LDAP サーバに照会することができます。 このクレデンシャルはユーザの認証に使用されます。

次のステップを実行して、コントローラ GUI を使用する LDAP を設定します。

  1. LDAP サーバを開くには、[Security] > [AAA] > [LDAP] の順にクリックします。

    このページでは、すでに設定している LDAP サーバがあれが一覧が表示されます。

    • 既存の LDAP サーバを削除するのであれば、カーソルをそのサーバの青いドロップダウン矢印に移動して、[Remove] をクリックします。

    • コントローラが特定のサーバに到達できるかどうかを確認する場合は、カーソルをそのサーバの青いドロップダウン矢印に移動し、[Ping] を選択します。

  2. 次のいずれかを実行します。

    • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。 [LDAP Servers > Edit] ページが表示されます。

    • LDAP サーバを追加するには、[New] をクリックします。 [LDAP Servers > New] ページが表示されます。

      web_auth_config-18.gif

  3. 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン ボックスから番号を選択して、他のいずれかの設定済みの LDAP サーバに関係するこのサーバの優先度順を指定します。 サーバは最大 17 個まで設定できます。 コントローラは、最初のサーバに到達できない場合、リストの 2 番目にあるサーバに到達しようとし、できなければその次へと順に試行します。

  4. 新しいサーバを追加している場合は、[Server IP Address] フィールドに LDAP サーバの IP アドレスを入力します。

  5. 新しいサーバを追加している場合は、[Port Number] フィールドに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。

  6. [Enable Server Status] チェック ボックスをオンにしてこの LDAP サーバを有効にするか、チェックマークをオフにして無効にします。 デフォルト値は無効です。

  7. [Simple Bind] ドロップダウン ボックスから、[Anonymous] または [Authenticated] を選択して、LDAP サーバのローカル認証バインド方式を指定します。 [Anonymous] 方式では LDAP サーバへの匿名アクセスが許可され、[Authenticated] 方式ではアクセスをセキュアにするためにユーザ名とパスワードを入力する必要があります。 デフォルト値は [Anonymous] です。

  8. ステップ 7 で [Authenticated] を選択した場合には、次のステップを実行します。

    1. [Bind Username] フィールドに、LDAP サーバへのローカル認証のために使用するユーザ名を入力します。

    2. [Bind Password] フィールドと [Confirm Bind Password] フィールドに、LDAP サーバへのローカル認証のために使用するパスワードを入力します。

  9. [User Base DN] フィールドに、すべてのユーザのリストを含む LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit, .ou=next organizational unit および o=corporation.com などです。 ユーザを含むツリーがベース DN である場合、o=corporation.com または dc=corporation, dc=com と入力します。

  10. [User Attribute] フィールドに、ユーザ名を含むユーザ レコード内の属性の名前を入力します。 この属性はディレクトリ サーバから取得できます。

  11. [User Object Type] フィールドに、対象のレコードをユーザとして識別する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには objectType 属性の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。

  12. [Server Timeout] フィールドに、再送信の秒数を入力します。 有効な範囲は 2 ~ 30 秒であり、デフォルト値は 2 秒です。

  13. [Apply] をクリックして、変更を確定します。

  14. [Save Configuration] をクリックして、変更を保存します。

  15. 特定の LDAP サーバを WLAN に割り当てる場合は、次の手順を実行します。

    1. [WLANs] をクリックして、[WLANs] ページを開きます。

    2. 希望の WLAN の ID 番号をクリックします。

    3. [WLANs > Edit] ページが表示されたときに、[Security] > [AAA Servers] タブをクリックして、[WLANs > Edit]([Security] > [AAA Servers])ページを開きます。

      web_auth_config-19.gif

    4. [LDAP Servers] ドロップダウン ボックスから、この WLAN で使用する LDAP サーバを選択します。 最大 3 つの LDAP サーバを選択でき、その接続試行は優先度順になります。

    5. [Apply] をクリックして、変更を確定します。

    6. [Save Configuration] をクリックして、変更を保存します。

Web 認証で使用する WLAN クライアントの設定

WLC を設定した後は、Web 認証を適切に実行できるようにクライアントを設定する必要があります。 このセクションでは、Web 認証用に Windows システムを設定するための情報を提供しています。

クライアントの設定

このサブスクライバでは、Microsoft ワイヤレス クライアントのほとんどの設定は変更しません。 必要なのは、適切な WLAN/SSID 設定情報の追加だけです。 次の手順を実行します。

  1. Windows の [スタート] メニューから、[設定] > [コントロールパネル] > [ネットワークとインターネット接続] の順に選択します。

  2. [Network Connections]アイコンをクリックします。

  3. [LAN Connection] アイコンを右クリックして、[Disable] を選択します。

  4. [Wireless Connection] アイコンを右クリックして、[Enable] を選択します。

  5. 再度、[Wireless Connection] アイコンを右クリックして、[Properties] を選択します。

  6. [Wireless Network Connection Properties] ウィンドウで、[Wireless Networks] タブをクリックします。

  7. Web 認証 SSID を設定するために、[Preferred networks] 領域で [Add] をクリックします。

  8. Association タブで、Web 認証に使用する Network Name (WLAN/SSID) の値を入力します。

    web_auth_config-20.gif

    注: デフォルトでは、[Data Encryption] は [Wired Equivalent Privacy (WEP)] に設定されています。 Web 認証を機能させるには、Data Encryption を無効にする必要があります。

  9. ウィンドウの下部にある [OK] をクリックして、設定を保存します。

    WLAN と通信するときは、[Preferred Network] ボックスにビーコン アイコンが表示されます。

これは、Web 認証へのワイヤレス接続が成功した状態を示しています。 WLC からは、ワイヤレス Windows クライアントに IP アドレスが提供されています。

web_auth_config-21.gif

注: ワイヤレス クライアントが VPN エンド ポイントでもあり、Web 認証を WLAN 用のセキュリティ機能として設定している場合、ここで説明されている Web 認証プロセスが完了するまで、VPN トンネルは確立されません。 VPN トンネルを確立するには、まずクライアントが Web 認証のプロセスに成功する必要があります。 VPN トンネリングは、その後でのみ成功します。

注: ログインに成功した後、ワイヤレス クライアントがアイドルであり、他のデバイスと通信をしていない場合、そのクライアントはアイドル タイムアウト期間後に認証を解除されます。 タイムアウト期間はデフォルトで 300 秒であり、CLI コマンド、 config network usertimeout <seconds> で変更できます。 タイムアウトが発生すると、クライアントのエントリはコントローラから削除されます。 クライアントは、再度関連付けられると、Webauth_Reqd 状態に戻ります。

注: クライアントは、正常なログイン後にアクティブである場合、認証を解除され、エントリはその WLAN 用に設定されたセッション タイムアウト期間(例:デフォルトで 1800 秒であり、次の CLI コマンド、 config wlan session-timeout <WLAN ID> <seconds> で変更可能)の後にコントローラから削除できます。 タイムアウトが発生すると、クライアントのエントリはコントローラから削除されます。 クライアントは、再度関連付けられた場合、Webauth_Reqd 状態に戻ります。

クライアントが Webauth_Reqd 状態である場合は、クライアントの状態がアクティブかアイドルかに関係なく、クライアントは web-auth required timeout 期間(例:300 秒、この時間はユーザ以外でも設定可能)の後に認証を解除されます。 クライアントからのすべてのトラフィック(Pre-Auth ACL 経由で許可)は中断されます。 クライアントは、再度関連付けを行うと、Webauth_Reqd 状態に戻ります。

クライアントのログイン

次の手順を実行します。

  1. ブラウザ ウィンドウを開いて、URL または IP アドレスを入力します。 これによって、クライアントに Web 認証ページが表示されます。

    コントローラが 3.0 よりも前のリリースを稼働している場合、ユーザは Web 認証ページを表示するために https://1.1.1.1/login.html を入力する必要があります。

    セキュリティ アラート ウィンドウが表示されます。

  2. 先に進むには、[Yes] をクリックします。

  3. [Login] ウィンドウが表示されたら、作成したローカル ネット ユーザのユーザ名とパスワードを入力します。

    web_auth_config-22.gif

    ログインが成功すると、2 つのブラウザ ウィンドウが表示されます。 大きい方のウィンドウはログインに成功したことを示し、このウィンドウを使用してインターネットをブラウズできます。 ゲスト ネットワークの使用が終了してログアウトするには、小さい方のウィンドウを使用します。

    このスクリーンショットは、Web 認証のリダイレクトが成功した状態を示しています。

    次のスクリーンショットは、[Login Successful] ウィンドウを示しています。このウィンドウは認証が実行されると表示されます。

    web_auth_config-23.gif

Cisco 4404/WiSM コントローラは、Web Auth ユーザ ログインを同時に 125 サポートでき、最大 5000 の Web Auth クライアントまで拡大できます。

Cisco 5500 コントローラは、150 の同時 Web Auth ユーザ ログインをサポートできます。

Web 認証のトラブルシューティング

ACS のトラブルシューティング

パスワードの認証に問題がある場合は、ACS の左下にある [Reports and Activity] をクリックして、利用可能なすべてのレポートを開きます。 レポート ウィンドウを開いた後は、RADIUS Accounting、Failed Attempts for login、Passed Authentications、Logged-in Users などのレポートを開くことができます。 これらのレポートは .csv ファイルであり、ユーザのマシンでローカルにファイルを開くことができます。 レポートは、正しくないユーザ名やパスワードなどのような、認証に関する問題を発見するのに役立ちます。 ACS にはオンライン ドキュメントも用意されています。 実稼働中のネットワークに接続しておらず、サービス ポートを定義していない場合、ACS では、イーサネット ポートの IP アドレスがサービス ポートとして使用されます。 ネットワークが接続されていない場合は、通常、Windows の 169.254.x.x というデフォルト IP アドレスになります。

web_auth_config-24.gif

注: 外部の URL を入力すると、WLC により内部の Web 認証ページに自動的に接続されます。 自動接続が機能しない場合は、URL バーに WLC の管理 IP アドレスを入力して、トラブルシューティングを行うことができます。 ブラウザの上部で、Web 認証にリダイレクトすることを伝えるメッセージを確認してください。

Web 認証のトラブルシューティングの詳細は、『Wireless LAN Controller(WLC)での Web 認証のトラブルシューティング』を参照してください。

IPv6 ブリッジングでの Web Auth

IPv6 ブリッジング用の WLAN を設定するには、コントローラの GUI から、[WLANs] に移動します。 次に、希望する WLAN を選択し、[WLANs] > [Edit] ページで [Advanced] を選択します。

この WLAN に接続するクライアントで、IPv6 パケットを受け入れるようにする場合は、[IPv6 Enable] チェックボックスをオンにします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 [IPv6] チェックボックスをディセーブル(またはオフ)にすると、IPv6 は認証後にのみ許可されます。 IPv6 をイネーブルにすると、コントローラはクライアント認証なしで IPv6 トラフィックを渡すことができます。

web_auth_config-25.gif

IPv6 ブリッジングの詳細およびこの機能の使用方法のガイドラインについては、『Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 7.0』の「Ipv6 ブリッジングの設定」セクションを参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69340