ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ワイヤレス LAN コントローラの Web 認証の設定例

2010 年 10 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 7 月 13 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
Web 認証
ネットワークの構成
Web 認証用のコントローラの設定
      VLAN インターフェイスの作成
      WLAN インスタンスの追加
      WLC での DHCP と DNS サーバの設定
      Web 認証でユーザを認証する 3 つの方法
Web 認証を使用するための Windows マシンの設定
      クライアントの設定
      クライアントのログイン
      Web 認証のための証明書の使用
確認
      ACS の確認
      内部 Web 認証の確認
Web 認証のトラブルシューティング
      ACS のトラブルシューティング
カスタマイズされた Web 認証のガイドライン
Web パススルーや Web 認証ログイン ページのカスタマイズ
      WLC からの Web パススルーや Web 認証ログイン ページのカスタマイズ
      WCS を使用した Web パススルーや Web 認証ログイン ページのカスタマイズ
      WLAN ごとのログイン ページ、ログイン失敗ページ、ログアウト ページの割り当て
802.1x 認証での条件付き Web リダイレクト
IPv6 ブリッジングでの Web Auth
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Web 認証クライアントをサポートできるように Cisco 4400 シリーズ ワイヤレス LAN(WLAN)コントローラ(WLC)を設定する方法について説明しています。



前提条件

要件

このドキュメントでは、4400 WLC の初期設定がすでに完了していることを前提としています。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.0.98.0 が稼働する 5500 シリーズ WLC

  • Microsoft Windows 2003 Server にインストールされた Cisco Secure Access Control Server(ACS)バージョン 4.2

  • Cisco Aironet 1140 シリーズ Light Weight アクセス ポイント

  • バージョン 4.0 が稼働する Cisco Aironet 802.11 a/b/g Cardbus ワイヤレス アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



Web 認証

Web 認証とは、事前認証 Access Control List(ACL; アクセス コントロール リスト)で許可されたトラフィックを除いて、有効なユーザ名とパスワードが正しく入力されるまで特定のクライアントからの IP トラフィック(DHCP 関連のパケット/DNS 関連のパケットは除く)をコントローラで許可しないようにするレイヤ 3 セキュリティ機能です。Web 認証は、認証の前にクライアントが IP アドレスを取得することを許可する唯一のセキュリティ ポリシーです。これは、サプリカントやクライアント ユーティリティを必要としない簡単な認証方式です。Web 認証は WLC 上でローカルに実行することも、RADIUS サーバ経由で実行することもできます。一般に、Web 認証はゲスト アクセス ネットワークを展開する場合に使用されます。一般的な展開では、T-Mobile やスターバックスなど、「ホット スポット」の場所を含めることができます。

Web 認証を使用すると、サプリカントやクライアント ユーティリティなしで簡単な認証を行えます。Web 認証ではデータ暗号化が提供されないことに注意してください。一般的に、接続性が唯一の懸念事項である「ホット スポット」やキャンパス環境などでの簡単なゲスト アクセスとして Web 認証が使用されます。

このドキュメントでは、Web 認証用の WLAN とともに、新しい VLAN インターフェイスを作成します。この VLAN インターフェイスを WLAN に割り当てると、WLAN に関連付けられたユーザは別個のサブネットに所属することになります。別個のサブネットを作成することが望ましくない場合は、WLAN に管理インターフェイスを関連付けることができます。このドキュメントの「Web 認証用のコントローラの設定」セクションでは、新しい VLAN インターフェイスを作成する手順について説明しています。

注:通常、事前認証 ACL は、外部 Web 認証のために 2100/5500 シリーズ コントローラで Web 認証に実装されています。ユーザからのトラフィックは、通常の場合、WLC でクライアントの認証が成功するまで WLC の通過を許可されません。事前認証 ACL を使用すると、その名前からわかるように、クライアントの認証前であっても特定の IP アドレスから送受信されるクライアント トラフィックを許可することができます。これは、Web 認証プロセスでユーザの認証に使用される外部 Web 認証サーバ(WLC ネットワークの外部)へクライアント トラフィックを転送するのに役立ちます。

注:4400 には、外部 Web 認証のために事前認証 ACL を設定する必要はありません。ユーザは、Web 認証の前に何らかのトラフィックを引き続き許可する場合、事前認証 ACL を自由に設定でき、要件に従ってトラフィックを許可できます。たとえば、アンチウイルスをダウンロードするためにトラフィックを許可するなどです。

注:事前認証 ACL の設定方法についての詳細は、『ワイヤレス LAN コントローラを使用した外部 Web 認証の設定例』の「事前認証 ACL の作成」セクションを参照してください。



ネットワークの構成

このドキュメントでは、次のネットワーク構成を使用しています。

web_auth_config-01.gif



Web 認証用のコントローラの設定

このドキュメントでは、WLAN が Web 認証用に設定され、専用の VLAN にマップされています。次のステップは、Web 認証のための WLAN の設定に含まれています。

このセクションでは、Web 認証用にコントローラを設定するための情報を提供しています。

このドキュメントで使用する IP アドレスは次のとおりです。

  • WLC の IP アドレスは 10.77.244.204 です。

  • ACS サーバの IP アドレスは 10.77.244.196 です。



VLAN インターフェイスの作成

次の手順を実行します。

  1. メインの [Controller] ウィンドウで、一番上のメニューから [Controller] を選択し、左側のメニューから [Interfaces] を選択して、ウィンドウの右上にある [New] をクリックします。

    図 1 のウィンドウが表示されます。この例では、インターフェイス名に vlan90、VLAN ID に 90 を使用しています。

    図 1

    web_auth_config-02.gif

  2. [Apply] をクリックして、VLAN インターフェイスを作成します。

    新しいウィンドウが表示され、情報の入力を求められます。

  3. このドキュメントでは、次のパラメータを使用しています。

    • IP アドレス:10.10.10.2

    • ネットマスク:255.255.255.0(24 ビット)

    • ゲートウェイ:10.10.10.1

    • ポート番号:2

    • プライマリ DHCP サーバ:10.77.244.204

      注:このパラメータには、RADIUS サーバまたは DHCP サーバの IP アドレスを指定する必要があります。この例では、WLC で内部 DHCP スコープが設定されているため、WLC の管理アドレスを DHCP サーバーとして使用しています。

    • セカンダリ DHCP サーバ:0.0.0.0

      注:この例ではセカンダリ DHCP サーバがないので、0.0.0.0 を使用しています。設定にセカンダリ DHCP サーバがある場合は、このフィールドにサーバの IP アドレスを追加します。

    • ACL 名:なし

    図 2 に、これらのパラメータが設定されたスクリーンショットを示します。

    図 2

    web_auth_config-03.gif

  4. [Apply] をクリックして変更を保存します。



WLAN インスタンスの追加

Web 認証専用の VLAN インターフェイスを作成した後は、Web 認証ユーザをサポートするために、新しい WLAN/SSID を作成する必要があります。

新しい WLAN/SSID を作成するには、次の手順を実行します。

  1. WLC ブラウザを開き、一番上のメニューで [WLAN] をクリックして、右上にある [New] をクリックします。図 3 に示す画面が表示されます。

    Type として [WLAN] を選択します。Web 認証用のプロファイル名と WLAN SSID を選択します。この例では、Profile Name と WLAN SSID の両方に Guest を使用しています。

    図 3

    web_auth_config-05.gif

  2. [Apply] をクリックします。

    図 4 に示すように、新しい [WLANs > Edit] ウィンドウが表示されます。

    図 4

    web_auth_config-06.gif

  3. WLAN の [Status] チェックボックスをオンにして WLAN をイネーブルにします。[Interface] メニューから、先ほど作成した VLAN インターフェイスの名前を選択します。この例で使用しているインターフェイス名は vlan90 です。

    注:この画面にある他のパラメータは、デフォルト値のままにしてください。

  4. [Security] タブをクリックします。図 5 に示すウィンドウが表示されます。

    図 5

    web_auth_config-07.gif

      次の手順を実行して Web 認証を設定します。

    1. [Layer 2] タブをクリックし、セキュリティを [None] に設定します。

      注:802.1x を使用するレイヤ 3 セキュリティとして Web パススルーを設定することはできません。また、WLAN のレイヤ 2 セキュリティとして WPA/WPA2 を設定することもできません。ワイヤレス LAN コントローラのレイヤ 2 およびレイヤ 3 セキュリティの互換性については、『Wireless LAN コントローラ レイヤ 2 レイヤ 3 セキュリティの互換性マトリクス』を参照してください。

    2. [Layer 3] タブをクリックします。図 5 に示すように、[Web Policy] チェックボックスをオンにし、[Authentication] オプションを選択します。

    3. [Apply] をクリックして、WLAN を保存します。

    4. WLAN 要約ウィンドウに戻ります。SSID Guest の WLAN テーブルの Security Policies 列で、Web-Auth がイネーブルになっていることを確認します。



WLC での DHCP と DNS サーバの設定

次の手順を実行します。

  1. 上部のメニューで [Controller] をクリックします。

  2. 左側のメニューで [Internal DHCP Server] をクリックします。

  3. [New] をクリックして DHCP プールを作成します。

  4. クライアントに対して使用する DHCP プールを入力します。

  5. [Apply] をクリックします。

    [DHCP Scope > Edit] ウィンドウが表示されます。

  6. プールの開始アドレスと終了アドレスを入力します。この例で使用している DHCP プールのアドレスの範囲は 10.10.10.3 〜 10.10.10.10 です。

  7. デフォルト ルータの IP アドレス(この例では 10.10.10.1)を入力します。

  8. DNS サーバの DNS ドメイン名と IP アドレスを入力します。[Status] がイネーブルであることを確認します。

    図 7 に例を示します。

    図 7

    web_auth_config12.gif

  9. [Apply] をクリックします。



Web 認証でユーザを認証する 3 つの方法

Web 認証を使用する場合、ユーザを認証する方法は 3 種類あります。ローカル認証を使用すると、Cisco WLC でユーザを認証できます。また、外部 RADIUS サーバまたは LDAP サーバをバックエンド データベースとして使用してユーザを認証することもできます。

WLC 内でローカル認証を設定するには、次の手順を実行します。

ローカル認証

ユーザ名とパスワードはコントローラのローカル データベースに格納されます。WLC はこのデータベースと照合してユーザを認証します。WLC で新しいユーザ名とパスワードを作成するには、次の手順を実行します。

  1. 一番上にあるメニューで [Security] を選択して、WLC の [Security] ウィンドウに移動します。

  2. 左側の [AAA] メニューで [Local Net Users] を選択します。

    図 8 に例を示します。

    図 8

    web_auth_config-08.gif

  3. 新しいユーザを作成するには、右上の [New] をクリックします。

    新しいウィンドウが表示され、ユーザ名とパスワードの情報を求められます。

  4. ユーザ名とパスワードを入力し、使用するパスワードを再入力して確認します。

    この例では、ユーザ User1 を作成しています。

  5. 正しい WLAN プロファイルが割り当てられていることを確認します。これにより、ユーザは特定の WLAN に対してだけ認証されるようになります。

    この例で使用している WLAN プロファイルは Guest です。このプロファイルは Web 認証で使用されます。

  6. 必要に応じて説明を追加します。

    この例では、GuestUser1 と入力しています。

  7. [Apply] をクリックして、新しいユーザ設定を保存します。

    図 9 にパラメータの例を示します。

    図 9

    web_auth_config-09.gif

    web_auth_config-10.gif

Web 認証用の RADIUS サーバ

このドキュメントでは、RADIUS サーバとして Windows 2003 Server 上のワイヤレス ACS を使用しています。代わりに、ネットワークに現在展開されていて利用可能な任意の RADIUS サーバを使用することもできます。

注:ACS は、Windows NT または Windows 2000 Server 上で設定できます。Cisco.com から ACS をダウンロードするには、Software Center(Downloads)- Cisco Secure Software (登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。ソフトウェアをダウンロードするには、Cisco Web アカウントが必要です。

RADIUS サーバで Web 認証を行うと、認証の最初のクエリは WLC でローカルに試みられます。WLC で応答がない場合には、2 番目のクエリが RADIUS サーバに送信されます。「ACS の設定」セクションでは、RADIUS を使用するように ACS を設定する方法を説明しています。Domain Name System(DNS; ドメイン ネーム システム)と RADIUS サーバを含む完全に機能するネットワークが必要です。

ACS の設定

このセクションでは、RADIUS を使用するように ACS を設定する方法について説明しています。

サーバで ACS を設定した後、次の手順を実行して認証用のユーザを作成します。

  1. 設定のためにブラウザ ウィンドウで ACS を開くかどうかを尋ねられたら、[yes] をクリックします。

    注:ACS を設定し終わったら、デスクトップにアイコンが表示されるようになります。

  2. 左側のメニューで、[User Setup] をクリックします。

    この操作を行うと、図 10 に示す [User Setup] 画面に移動します。

    図 10

    web_auth_config-11.gif

  3. Web 認証に使用するユーザを入力し、[Add/Edit] をクリックします。

    ユーザが作成されると、図 11 に示す 2 番目のウィンドウが開きます。

    図 11

    web_auth_config-12.gif

  4. 図 11 に示すように、一番上の [Account Disabled] チェックボックスがオフになっていることを確認します。

  5. [Password Authentication] オプションで、[ACS Internal Database] を選択します。

  6. パスワードを入力します。管理者には、ACS 内部データベースにユーザを追加しているときに、PAP/CHAP または MD5-CHAP 認証を設定するオプションがあります。PAP は、コントローラの web-auth ユーザ用のデフォルト認証タイプです。管理者は、この CLI コマンドを使用して認証方式を chap/md5-chap に変更することもできます。

    config custom-web radiusauth <auth method>
  7. [Submit] をクリックします。

Cisco WLC への RADIUS サーバ情報の入力

次の手順を実行します。

  1. 上部のメニューで [Security] をクリックします。

  2. 左側のメニューで [RADIUS Authentication] をクリックします。

  3. [New] をクリックし、ACS/RADIUS サーバの IP アドレスを入力します。この例では、ACS サーバの IP アドレスは 10.77.244.196 です。

  4. RADIUS サーバの共有秘密鍵を入力します。この秘密鍵は、WLC 用の RADIUS サーバで入力した秘密鍵と一致している必要があります。

  5. ポート番号はデフォルト(1812)のままにしておきます。

  6. [Server Status] オプションが [Enabled] であることを確認します。

  7. この RADIUS サーバをワイヤレス ネットワーク ユーザの認証に使用するために、[Network User] の [Enable] チェックボックスをオンにします。

  8. [Apply] をクリックします。

図 12 に例を示します。

図 12

web_auth_config-13.gif

図 13 は、設定済みの RADIUS サーバを示しています。[Network User] チェックボックスがオンになっていて、[Admin Status] が [Enabled] であることを確認してください。

図 13

web_auth_config-14.gif

RADIUS サーバを使用する WLAN の設定

WLC で RADIUS サーバを設定した後は、その RADIUS サーバを Web 認証で使用するように WLAN を設定する必要があります。RADIUS サーバを使用するように WLAN を設定するには、次の手順を実行します。

  1. WLC ブラウザを開き、[WLANs] をクリックします。これで WLC で設定された WLAN の一覧が表示されます。Web 認証用に作成した WLAN [Guest] をクリックします。

  2. [WLANs > Edit] ページで [Security] メニューをクリックします。[Security] の下にある [AAA Servers] タブをクリックします。次に、図 14 に示すように、適切な RADIUS サーバ(この例では 10.77.244.196)を選択します。

    図 14

    web_auth_config-15.gif

  3. [Apply] をクリックします。

LDAP サーバ

このセクションでは、RADIUS またはローカル ユーザ データベースに似ている、バックエンド データベースとしての Lightweight Directory Access Protocol(LDAP)サーバを設定する方法について説明します。LDAP バックエンド データベースでは、コントローラは、特定のユーザのクレデンシャル(ユーザ名とパスワード)について LDAP サーバにクエリすることができます。これらのクレデンシャルは、ユーザの認証に使用されます。

次のステップを実行して、コントローラ GUI を使用する LDAP を設定します。

  1. [Security] > [AAA] > [LDAP] をクリックして、LDAP サーバを開きます。

    このページでは、すでに設定している LDAP サーバがあれが一覧が表示されます。

    • 既存の LDAP サーバを削除するのであれば、カーソルをそのサーバの青いドロップダウン矢印に移動して、[Remove] をクリックします。

    • コントローラが特定のサーバに到達できるかどうかを確認する場合は、カーソルをそのサーバの青いドロップダウン矢印に移動し、[Ping] を選択します。

  2. 次のいずれかを実行します。

    • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。[LDAP Servers > Edit] ページが表示されます。

    • LDAP サーバを追加するには、[New] をクリックします。[LDAP Servers > New] ページが表示されます。

      図 16

      web_auth_config-18.gif

  3. 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン ボックスから番号を選択して、他のいずれかの設定済みの LDAP サーバに関係するこのサーバの優先度順を指定します。サーバは最大 17 個まで設定できます。コントローラは、最初のサーバに到達できない場合、リストの 2 番目にあるサーバに到達しようとし、できなければその次へと順に試行します。

  4. 新しいサーバを追加している場合は、[Server IP Address] フィールドに LDAP サーバの IP アドレスを入力します。

  5. 新しいサーバを追加している場合は、[Port Number] フィールドに LDAP サーバの TCP ポート番号を入力します。有効な範囲は 1 〜 65535 であり、デフォルト値は 389 です。

  6. [Enable Server Status] チェック ボックスをオンにしてこの LDAP サーバをイネーブルにするか、チェックマークをオフにしてディセーブルにします。デフォルト値はディセーブルです。

  7. [Simple Bind] ドロップダウン ボックスから、[Anonymous] または [Authenticated] を選択して、LDAP サーバのローカル認証バインド方式を指定します。[Anonymous] 方式では LDAP サーバへの匿名アクセスが許可され、[Authenticated] 方式ではアクセスをセキュアにするためにユーザ名とパスワードを入力する必要があります。デフォルト値は [Anonymous] です。

  8. ステップ 7 で [Authenticated] を選択した場合には、次のステップを実行します。

    1. [Bind Username] フィールドに、LDAP サーバへのローカル認証のために使用するユーザ名を入力します。

    2. [Bind Password] フィールドと [Confirm Bind Password] フィールドに、LDAP サーバへのローカル認証のために使用するパスワードを入力します。

  9. [User Base DN] フィールドに、すべてのユーザのリストを含む LDAP サーバ内のサブツリーの Distinguished Name(DN; 識別名)を入力します。たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com などです。ユーザを含むツリーがベース DN である場合、o=corporation.com または dc=corporation, dc=com と入力します。

  10. [User Attribute] フィールドに、ユーザ名を含むユーザ レコード内の属性の名前を入力します。この属性はディレクトリ サーバから取得できます。

  11. [User Object Type] フィールドに、対象のレコードをユーザとして特定する LDAP objectType 属性の値を入力します。多くの場合、ユーザ レコードには objectType 属性用の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。

  12. [Server Timeout] フィールドに、再送信の秒数を入力します。有効な範囲は 2 〜 30 秒であり、デフォルト値は 2 秒です。

  13. [Apply] をクリックして、変更を確定します。

  14. [Save Configuration] をクリックして、変更を保存します。

  15. (オプション)特定の LDAP サーバを WLAN に割り当てる場合は、次の手順を実行します。

    1. [WLANs] をクリックして、[WLANs] ページを開きます。

    2. 希望の WLAN の ID 番号をクリックします。

    3. [WLANs > Edit] ページが表示されたときに、[Security] > [AAA Servers] タブをクリックして、[WLANs > Edit]([Security] > [AAA Servers])ページを開きます。

      図 17

      web_auth_config-19.gif

    4. [LDAP Servers] ドロップダウン ボックスから、この WLAN で使用する LDAP サーバを選択します。最大 3 つの LDAP サーバを選択でき、その接続試行は優先度順になります。

    5. [Apply] をクリックして、変更を確定します。

    6. [Save Configuration] をクリックして、変更を保存します。



Web 認証を使用するための Windows マシンの設定

WLC を設定した後は、Web 認証を適切に実行できるようにクライアントを設定する必要があります。このセクションでは、Web 認証用に Windows システムを設定するための情報を提供しています。



クライアントの設定

このサブスクライバでは、Microsoft ワイヤレス クライアントのほとんどの設定は変更しません。必要なのは、適切な WLAN/SSID 設定情報の追加だけです。次の手順を実行します。

  1. Windows の [Start] メニューから、[Settings] > [Control Panel] > [Network and Internet Connections] の順に選択します。

  2. [Network Connections] アイコンをクリックします。

  3. [LAN Connection] アイコンを右クリックして、[Disable] を選択します。

  4. [Wireless Connection] アイコンを右クリックして、[Enable] を選択します。

  5. 再度、[Wireless Connection] アイコンを右クリックして、[Properties] を選択します。

  6. [Wireless Network Connection Properties] ウィンドウで、[Wireless Networks] タブをクリックします。

  7. Web 認証 SSID を設定するために、[Preferred networks] 領域で [Add] をクリックします。

  8. Association タブで、Web 認証に使用する Network Name (WLAN/SSID) の値を入力します。

    図 18 に例を示します。

    図 18

    web_auth_config-20.gif

    注:デフォルトでは、[Data Encryption] は [Wired Equivalent Privacy (WEP)] に設定されています。Web 認証を機能させるには、[Data Encryption] をディセーブルにする必要があります。

  9. ウィンドウの下部にある [OK] をクリックして、設定を保存します。

    WLAN と通信するときは、[Preferred Network] ボックスにビーコン アイコンが表示されます。

図 19 は、Web 認証へのワイヤレス接続が成功した状態を示しています。WLC からは、ワイヤレス Windows クライアントに IP アドレスが提供されています。

図 19

web_auth_config-21.gif

注:ワイヤレス クライアントが VPN エンド ポイントでもあり、Web 認証を WLAN 用のセキュリティ機能として設定している場合、ここで説明されている Web 認証プロセスが完了するまで、VPN トンネルは確立されません。VPN トンネルを確立するには、まずクライアントが Web 認証のプロセスに成功する必要があります。VPN トンネリングは、その後でのみ成功します。

注:ログインに成功した後、ワイヤレス クライアントがアイドルであり、他のデバイスと通信をしていない場合、そのクライアントはアイドル タイムアウト期間後に認証を解除されます。タイムアウト期間はデフォルトで 300 秒であり、CLI コマンド、config network usertimeout <seconds> で変更できます。タイムアウトが発生すると、クライアントのエントリはコントローラから削除されます。クライアントは、再度関連付けられると、Webauth_Reqd 状態に戻ります。

注:クライアントは、正常なログイン後にアクティブである場合、認証を解除され、エントリはその WLAN 用に設定されたセッション タイムアウト期間(例:デフォルトで 1800 秒であり、次の CLI コマンド、config wlan session-timeout <WLAN ID> <seconds> で変更可能)の後にコントローラから削除できます。タイムアウトが発生すると、クライアントのエントリはコントローラから削除されます。クライアントは、再度関連付けられた場合、Webauth_Reqd 状態に戻ります。

クライアントが Webauth_Reqd 状態である場合は、クライアントの状態がアクティブかアイドルかに関係なく、クライアントは web-auth required timeout 期間(例:300 秒、この時間はユーザ以外でも設定可能)の後に認証を解除されます。クライアントからのすべてのトラフィック(Pre-Auth ACL 経由で許可)は中断されます。クライアントは、再度関連付けを行うと、Webauth_Reqd 状態に戻ります。



クライアントのログイン

次の手順を実行します。

  1. ブラウザ ウィンドウを開いて、URL または IP アドレスを入力します。これによって、クライアントに Web 認証ページが表示されます。

    コントローラが 3.0 よりも前のリリースを稼働している場合、ユーザは Web 認証ページを表示するために https://1.1.1.1/login.html を入力する必要があります。

    セキュリティ アラート ウィンドウが表示されます。

  2. [Yes] をクリックして、続行します。

  3. [Login] ウィンドウが表示されたら、作成したローカル ネット ユーザのユーザ名とパスワードを入力します。

    ログインが成功すると、2 つのブラウザ ウィンドウが表示されます。大きい方のウィンドウはログインに成功したことを示し、このウィンドウを使用してインターネットをブラウズできます。ゲスト ネットワークの使用が終了してログアウトするには、小さい方のウィンドウを使用します。

    注:これは Cisco が提供するデフォルトの Web 認証ページです。このページはカスタマイズできます。カスタマイズの方法の詳細は、このドキュメントの「Web パススルーや Web 認証ログイン ページのカスタマイズ」セクションを参照してください。

    図 21 は [Login Successful] ウィンドウを示しています。このウィンドウは、ACS 内で認証が実行されると表示されます。

    図 21

    web_auth_config-23.gif

Cisco 4404/WiSM コントローラは、Web Auth ユーザ ログインを同時に 125 サポートでき、最大 5000 の Web Auth クライアントまで拡大できます。

Cisco 5500 コントローラは、150 の同時 Web Auth ユーザ ログインをサポートできます。



Web 認証のための証明書の使用

また、証明書で Web 認証を実行することもできます。証明書を作成し、WLC にダウンロードする方法の詳細は、『WLAN コントローラ(WLC)上でのサード パーティ証明書用の証明書署名要求(CSR)の生成』を参照してください。

クライアント側では、WLC に証明書を発行した CA のルート証明書がアップロードされていることを確認する必要があります。証明書を受け入れるためにクライアントを設定する方法については、『ACS 4.0 と Windows 2003 を使用した Unified Wireless Network 環境での EAP-TLS』の「Windows Zero Touch を使用した EAP-TLS 用のクライアント設定」セクションを参照してください。



確認



ACS の確認

ACS をセットアップする際には、最新のパッチとコードをすべてダウンロードしてください。これにより、差し迫った問題は解決されます。RADIUS 認証を使用している場合は、図 22 に示すように、AAA クライアントの 1 つとして WLC が表示されていることを確認します。これを確認するには、左側にある [Network Configuration] メニューをクリックします。AAA クライアントをクリックして、設定されているパスワードと認証タイプを確認します。AAA クライアントの設定方法についての詳細は、『Cisco Secure Access Control Server 4.2 ユーザ ガイド』の「AAA クライアントの設定」セクションを参照してください。

図 22

web_auth_config-16.gif

[User Setup] を選択した際に、ユーザが実際に存在することを確認します。[List All Users] をクリックします。図 23 に示すウィンドウが表示されます。作成したユーザが一覧に表示されていることを確認します。

図 23

web_auth_config-17.gif



内部 Web 認証の確認

ここでは、内部 Web 認証の設定が正常に動作していることを確認します。

Web 認証の設定はそれほど複雑ではありません。忘れずに、ワイヤレス ネットワーク接続の Windows クライアントで、簡単な属性を確認してください。[Wireless Networks] タブで、[Use Windows to Configure My Wireless Network] 設定を探します。Windows Zero Configuration を使用している場合は、このオプションにチェックマークが付いていることを確認します。他のクライアントを使用している場合は、そのクライアントに付属するドキュメントを参照して、Web 認証を設定してください。[Controller > Interfaces] ページで、仮想インターフェイスが適切に設定されていることを確認します。また、この WLAN/SSID を WLC で指定していること、WLAN/SSID をイネーブルにしていること、および Web 認証用に正しく設定していることも確認します。



Web 認証のトラブルシューティング

ACS のトラブルシューティング

パスワードの認証に問題がある場合は、ACS の左下にある [Reports and Activity] をクリックして、利用可能なすべてのレポートを開きます。レポート ウィンドウを開いた後は、RADIUS Accounting、Failed Attempts for login、Passed Authentications、Logged-in Users などのレポートを開くことができます。これらのレポートは .csv ファイルであり、ユーザのマシンでローカルにファイルを開くことができます。図 24 を参照してください。レポートは、正しくないユーザ名やパスワードなどのような、認証に関する問題を発見するのに役立ちます。ACS にはオンライン ドキュメントも用意されています。実稼働中のネットワークに接続しておらず、サービス ポートを定義していない場合、ACS では、イーサネット ポートの IP アドレスがサービス ポートとして使用されます。ネットワークが接続されていない場合は、通常、Windows の 169.254.x.x というデフォルト IP アドレスになります。

図 24

web_auth_config-24.gif

注:外部の URL を入力すると、WLC により内部の Web 認証ページに自動的に接続されます。自動接続が機能しない場合は、URL バーに WLC の管理 IP アドレスを入力して、トラブルシューティングを行うことができます。ブラウザの上部で、Web 認証にリダイレクトすることを伝えるメッセージを確認してください。

Web 認証のトラブルシューティングの詳細は、『Wireless LAN Controller(WLC)での Web 認証のトラブルシューティング』を参照してください。



カスタマイズされた Web 認証のガイドライン

Web 認証用のカスタマイズされたログイン ページを作成する場合は、次のガイドラインに従ってください。

  • ログイン ページの名前を login.html とします。コントローラは、この名前に基づいて Web 認証 URL を作成します。webauth bundle が .tar 形式から展開された後にこのファイルが見つからなかった場合、webauth bundle は廃棄され、エラー メッセージが表示されます。

  • ユーザ名とパスワードの両方の入力フィールドを用意します。

  • リダイレクト URL は、元の URL から抽出した後、非表示の入力項目のままにしておきます。

  • 元の URL からアクション URL を抽出してページに設定します。

  • リターン ステータス コードをデコードするスクリプトを組み入れます。

  • メイン ページで使用されているすべてのパス(たとえば、画像を参照するパス)が相対パスになっていることを確認します。

  • カスタマイズされたページを WLC にアップロードする前に、カスタマイズされたページと画像ファイルを .tar 形式に圧縮します。この .tar ファイルがローカル TFTP サーバからダウンロードされると、WLC は自身のファイル システム内でこれらのファイルを展開して抽出します。GNU に準拠していない .tar 圧縮アプリケーションで webauth bundle をロードすると、コントローラは webauth bundle 内のファイルを抽出できず、「Extracting error」および「TFTP transfer failed」というエラー メッセージが表示されます。そのため、GNU 標準に準拠したアプリケーション(PicoZip など)を使用して .tar ファイルを圧縮することを推奨いたします。



Web パススルーや Web 認証ログイン ページのカスタマイズ

WLC からの Web パススルーや Web 認証ログイン ページのカスタマイズ

Web パススルーまたは Web 認証ログイン ページをカスタマイズするには、WLC GUI から次の手順を実行します。

  1. WLC GUI で、[Commands] > [Download File] の順に選択します。

    [Download File to Controller] ページが表示されます。

  2. [File Type] プルダウン メニューから、[Webauth Bundle] を選択します。

  3. TFTP サーバの IP アドレス、ファイル パス(TFTP サーバのルート ディレクトリ)、カスタマイズしたログイン スクリプトのファイル名(ダウンロードする .tar ファイルの名前)を入力します。[Download] をクリックします。

    カスタマイズされた新しいログイン ページがコントローラにダウンロードされます。次に例を示します。

    図 25

    web_auth_config22.gif

  4. [Security] > [Web Login Page] の順に選択して [Web Login] ページにアクセスします。

  5. [Web Authentication Type] ドロップダウン ボックスから、[Customized (Downloaded)] を選択します。

  6. [Apply] をクリックして、変更を確定します。次の図は、この方法を示しています。

    図 26

    web_auth_config23.gif

  7. コントローラの設定を保存します。

    注: 4.1 よりも古いバージョンの WLC では、WLC ごとに 1 つの Web 認証ページしか使用できません。WLC バージョン 4.2 以降では、カスタマイズされた Web 認証ページを WLC の WLAN ごとに使用できます。詳細は、『Cisco Wireless LAN Controller コンフィギュレーション ガイド Software Release 7.0』の「GUI を使用した、WLAN ごとのログイン ページ、ログイン失敗ページ、ログアウト ページの割り当て」セクションを参照してください。



WCS を使用した Web パススルーや Web 認証ログイン ページのカスタマイズ

WCS を使用して Web パススルーまたは Web 認証のログイン ページをカスタマイズするには、WCS GUI から次の手順を実行します。

  1. Wireless Control System の GUI で、[Configure] > [Controllers] の順に選択します。

    [All Controllers] ページが表示されます。

  2. Web 認証ページまたは Web パススルー ログイン ページをカスタマイズする必要のあるコントローラを選択します。

  3. [Select the Command] プルダウン メニューから [Download Customized WebAuth] を選択し、[Go] をクリックします。

    図 27

    web_auth_config24.gif

  4. [Download Customized Web Auth Bundle to Controller] ページで、ファイル名(カスタマイズされたログイン .tar ファイルの名前)を入力し、[Download] をクリックします。

  5. カスタマイズされた [Web Auth/Web Passthrough] ページがコントローラにプッシュされます。

  6. このカスタマイズされたページを Web ログインで使用するには、このドキュメントの「WLC からの Web パススルーや Web 認証ログイン ページのカスタマイズ」セクションの手順 4 〜 7 を(WLC GUI で)実行します。



WLAN ごとのログイン ページ、ログイン失敗ページ、ログアウト ページの割り当て

Web 認証のログイン ページ、ログイン失敗ページ、ログアウト ページは、WLAN ごとに異なるものを表示できます。この機能によって、ゲスト ユーザやある組織の別々の部署内の社員など、さまざまなネットワーク ユーザのためにユーザ固有の Web 認証ページを表示できます。

すべての Web 認証タイプ(内部、外部、カスタマイズ)にはさまざまなログイン ページを利用できます。ただし、異なるログイン失敗ページとログアウト ページは、Web 認証タイプに [Customized] を選択したときにだけ指定できます。

Cisco では、最大 5MB の Web 認証 .tar バンドルをサポートしています。5MB を超える Web 認証 .tar バンドルをダウンロードしようとした場合は、WLC にインストールされない可能性もあります。

GUI を使用した WLAN ごとのログイン ページ、ログイン失敗ページ、ログアウト ページの割り当て

コントローラ GUI を使用すると、WLAN にログイン ページ、ログイン失敗ページ、ログアウト ページを割り当てることができます。次の手順を実行します。

  1. [WLANs] をクリックして、[WLANs] ページを開きます。

  2. Web のログイン、ログイン失敗、またはログアウト ページを割り当てる WLAN のプロファイル名をクリックします。

  3. [Security] > [Layer 3] を選択します。

  4. [Web Policy] と [Authentication] が選択されていることを確認します。

  5. グローバル認証設定 Web 認証ページを無効にするには、[Override Global Config] チェック ボックスをオンにします。

  6. [Web Auth Type] ドロップダウン ボックスが表示されたら、次のいずれかのオプションを選択して、ワイヤレス ゲスト ユーザ用の Web 認証ページを定義します。

    • [Internal]:コントローラ用のデフォルトの Web ログイン ページを表示します。これはデフォルト値です。

    • [Customized]:カスタム Web ログイン ページ、ログイン失敗ページ、ログアウト ページを表示します。このオプションを選択した場合、3 つの独立したドロップダウン ボックスがログイン ページ、ログイン失敗ページ、ログアウト ページの選択用に表示されます。3 つのオプションすべてに対してカスタマイズ ページを定義する必要はありません。オプションのカスタマイズ ページを表示したくない場合は、適切なドロップダウン ボックスから [None] を選択します。

      注:これらのオプションのログイン ページ、ログイン失敗ページ、ログアウト ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。カスタム ページのダウンロードについての詳細は、『カスタマイズした Web 認証ログイン ページのダウンロード』を参照してください。

    • [External]:認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択した場合、URL フィールドに外部サーバの URL を入力することも必要です。

      [WLANs > Edit]([Security] > [AAA Servers])ページで特定の RADIUS サーバまたは LDAP サーバを選択して、外部認証を提供できます。さらに、サーバが認証を提供する優先度を定義できます。

  7. ステップ 6 で Web 認証タイプに [External] を選択した場合、[AAA Servers] をクリックして、ドロップダウン ボックスから最大 3 つの RADIUS サーバと LDAP サーバを選択します。

    注:RADIUS および LDAP の外部サーバは、[WLANs > Edit]([Security] > [AAA Servers])ページで選択可能なオプションにするために事前に設定しておく必要があります。これらのサーバは、[RADIUS Authentication Servers] ページと [LDAP Servers] ページで設定できます。

  8. サーバが Web 認証を実行するために問い合わせる優先度を確立するには、次のステップを実行します。デフォルトの順序は、ローカル、RADIUS、LDAP です。

    1. 最初に問い合わせをしたいサーバ タイプ(ローカル、RADIUS、LDAP のいずれか)を [Up] ボタンまたは [Down] ボタンの隣のボックスで強調表示させます。

    2. 希望のサーバ タイプがボックスの先頭になるまで、[Up] ボタンと [Down] ボタンをクリックします。

    3. サーバ タイプを左側にある優先度ボックスに移動するために、[<] 矢印をクリックします。

    4. 他のサーバに優先度を割り当てるためにこれらのステップを繰り返します。

  9. [Apply] をクリックして、変更を確定します。

  10. 変更を保存するには、[Save Configuration] をクリックします。



802.1x 認証での条件付き Web リダイレクト

コントローラ ソフトウェアのリリース 4.0.206.0 の新機能を使用すると、802.1x 認証が正常に完了した後で、ユーザを特定の Web ページに条件付きでリダイレクトできます。このような条件としては、ユーザのパスワードの有効期限が切れたときや、引き続き使用するにはユーザが料金を支払う必要があるとき、などがあります。リダイレクト ページ、および、RADIUS サーバでリダイレクトを実行する条件を指定できます。RADIUS サーバから Cisco AV ペア「url-redirect」が返された場合、ユーザはブラウザを開くと、指定された URL にリダイレクトされます。さらにサーバから Cisco AV ペア「url-redirect-acl」も返された場合は、指定された Access Control List(ACL; アクセス コントロール リスト)が、そのクライアントの事前認証 ACL としてインストールされます。クライアントは、この時点では完全に認証されているとは見なされませんが、事前認証 ACL で許可されているトラフィックだけは渡すことができます。

指定されている URL でクライアントが特定の操作(パスワードの変更や料金の支払いなど)を完了した後で、クライアントは再度認証を行う必要があります。RADIUS サーバから「url-redirect」が返されない場合、クライアントは完全に認証されたものと見なされ、トラフィックを渡すことを許可されます。条件付き Web リダイレクト機能は、802.1x または WPA1+WPA2 レイヤ 2 セキュリティ用に設定されている WLAN でのみ使用できます。この機能は、コントローラの GUI または CLI を使用して設定できます。

この機能についての詳細は、『Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 7.0』の「802.1X 認証での Web リダイレクトの設定」セクションを参照してください。



IPv6 ブリッジングでの Web Auth

IPv6 ブリッジングと IPv4 Web Auth の設定は、同一の WLAN 上で行うことができます。ユーザが同一の WLAN 上で IPv6 と Web 認証を設定した場合、その他のセキュリティ ポリシー設定はこの WLAN には許可されません。この「IPv6 + Web 認証」用に設定すると、コントローラは、この WLAN 上のすべてのクライアントからの IPv6 トラフィックをブリッジングしますが、IPv4 トラフィックは、通常の Web 認証プロセスを通過する必要があります。デュアル スタック クライアントに対して、コントローラは、関連付け後にすべての IPv6 トラフィックをブリッジングします。ただし、IPv4 トラフィックは、クライアントが IPv4 を使用した Web 認証を実行するまでブロックされます。

注:web-auth が設定された WLAN 上で IPv6 ブリッジングがイネーブルにならない場合、クライアントは、IPv6 アドレスを取得する可能性もありますが、IPv6 トラフィックを通過させることができません。デュアル スタック クライアントに対して、IPv4 クライアントによって Web 認証が正常に実行された後は、IPv6 トラフィックも通過できます。

ローカル スイッチング WLAN のある H-REAP はこの設定をサポートしません。ただし、中央スイッチング WLAN はこの機能をサポートしています。

この WLAN に関連付けられた IPv6 クライアントでは、IPv6 専用クライアントが DHCP や WEB-AUTH をまったく行わないので、DHCP_REQD 状態または WEB_AUTH_REQD 状態でのタイムアウトはありません。この場合、クライアントが RUN 状態になる可能性はありませんが、クライアントは引き続き IPv6 トラフィックを通過できます。クライアントのアイドルおよびセッション タイムアウトは、期待どおりに引き続き動作します。クライアントが認証で繰り返し失敗する場合には、クライアントの除外は引き続き発生します。

IPv6 はゲスト トンネリングではサポートされません。シンメトリック トンネリングでは、すべての IPv4 トラフィックは、クライアントとの間で双方向にトンネリングされます。ただし、IPv6 クライアント トラフィックの場合、すべてのトラフィックはローカルでブリッジングされます。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報

Document ID: 69340