ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ワイヤレス LAN コントローラを使用した外部 Web 認証の設定例

2011 年 1 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 7 月 19 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
      外部 Web 認証プロセス
ネットワークの構成
      設定
      WLC でのゲスト ユーザ用のローカル データベースの作成
      事前認証 ACL の作成(2000 シリーズ WLC 専用)
      ゲスト ユーザ用のダイナミック インターフェイスの作成
      ゲスト ユーザ用の WLAN の設定
      外部 Web 認証用の WLC の設定
確認
トラブルシューティング
      Web 認証/パススルー用にカスタマイズされたロゴがプレビュー時にロードされない
      外部 Web 認証サーバにリダイレクトされたクライアントが証明書警告を受信する
      エラー:「page cannot be displayed」
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、外部 Web サーバを使用して、Web 認証用に Wireless LAN Controller(WLC; ワイヤレス LAN コントローラ)を設定する方法について説明しています。



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight Access Point(LAP; Lightweight アクセス ポイント)および Cisco WLC の設定に関する基礎知識

  • Lightweight Access Point Protocol(LWAPP; Lightweight アクセス ポイント プロトコル)に関する基礎知識

  • 外部 Web サーバのセットアップ方法および設定方法に関する知識

  • DHCP サーバと DNS サーバのセットアップ方法および設定方法に関する知識



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 4.0 が稼働している Cisco 2006 WLC

  • Cisco 1000 シリーズ LAP

  • ファームウェア リリース 2.6 が稼働している Cisco 802.11a/b/g ワイヤレス クライアント アダプタ

  • Web 認証ログイン ページをホストする外部 Web サーバ

  • ワイヤレス クライアントに対するアドレス解決と IP アドレス割り当てに使用する DNS サーバおよび DHCP サーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

Web 認証とは、有効なユーザ名とパスワードが正しく入力されるまで特定のクライアントからの IP トラフィック(DHCP 関連のパケットは除く)をコントローラで許可しないようにするレイヤ 3 セキュリティ機能です。Web 認証を使用してクライアントを認証する場合は、クライアントごとにユーザ名とパスワードを定義する必要があります。クライアントが Wireless LAN(WLAN; ワイヤレス LAN)に参加しようとする際、ログイン ウィンドウで要求される場合には、ユーザ名とパスワードを入力する必要があります。

次の機能を使用して、WLC で Web 認証を実行します。

  • デフォルト ログイン ウィンドウ

  • 修正バージョンのデフォルト ログイン ウィンドウ

  • 外部 Web サーバ(外部 Web 認証)で設定する、カスタマイズされたログイン ウィンドウ

  • コントローラにダウンロードする、カスタマイズされたログイン ウィンドウ

このドキュメントでは、外部 Web サーバからログイン スクリプトを使用するように WLC を設定する方法の説明のために設定例を提供します。



外部 Web 認証プロセス

これは、外部 Web 認証がイネーブルに設定された WLAN ネットワークにワイヤレス クライアントがアクセスを試行するときの一連のイベントのことです。

  1. クライアント(エンド ユーザ)は、www.yahoo.com などの URL を指定して Web ブラウザを開きます。

  2. クライアントが認証されていない場合、WLC は、クライアント認証クレデンシャルを収集するため、WLC の Web サーバに要求を転送します。

  3. 外部 Web 認証を使用しているため、WLC はユーザを外部 Web サーバの URL にリダイレクトします。外部 Web 認証ログイン URL には、カスタマーがスイッチ Web サーバへの問い合わせに必要な AP_Mac_Address、client_url(www.yahoo.com)、action_URL などのパラメータが付加されます。

  4. 外部 Web サーバの URL でユーザをログイン ページに誘導します。この時点で、ユーザは事前認証 Access Control List(ACL; アクセス コントロール リスト)を使用して、閉域サイトにアクセスできます。

  5. ログイン ページはユーザ クレデンシャルの入力を受け取り、WLC Web サーバの action_URL(http://1.1.1.1/login.html など)に要求を送信して戻します。これが入力パラメータとしてカスタマーのリダイレクト URL に提供されます。ここで、1.1.1.1 は、スイッチの仮想インターフェイス アドレスです。

  6. WLC Web サーバは、認証のためにユーザ名とパスワードを送信します。

  7. WLC は RADIUS サーバ要求を開始するか、WLC 上のローカル データベースを使用してユーザを認証します。

  8. 認証が成功すれば、WLC Web サーバは、設定されたリダイレクト URL またはクライアントが開始された URL(www.yahoo.com など)にユーザを転送します。

  9. 認証が失敗した場合、WLC Web サーバはカスタマー ログイン URL にユーザをリダイレクトして戻します。

注:HTTP、HTTPS 以外のポートを使用するように外部 Web 認証を設定するには、次のコマンドを発行します。

(Cisco Controller) >config network web-auth-port 

<port>         Configures an additional port to be redirected for web authentication.


ネットワークの構成

設定例では次のような構成を使用します。LAP は WLC に登録されています。ゲスト ユーザ用に WLAN ゲストを設定し、そのユーザの Web 認証をイネーブルにする必要があります。また、コントローラによってユーザを確実に外部 Web サーバの URL(外部 Web 認証)にリダイレクトさせる必要があります。外部 Web サーバは、認証に使用する Web ログイン ページをホストします。

注:ログイン スクリプトをカスタマイズしたバージョンを使用して Web 認証を行うことができます。ここに、外部 Web 認証に使用できるサンプルの web_authentication.zip スクリプトがあります。このスクリプトを右クリックして、使用している外部 Web サーバのディレクトリに保存します。

ユーザ クレデンシャルは、コントローラで保持されるローカル データベースに対して有効である必要があります。認証が成功した後、WLAN ゲストに対するアクセス権が許可されます。この構成には、コントローラなどのデバイスの設定が必要です。

注:このドキュメントでは、DHCP、DNS、および外部 Web サーバが設定されているものとします。DHCP、DNS、および外部 Web サーバの設定方法については、適切なサードパーティのドキュメントを参照してください。



設定

外部 Web 認証用に WLC を設定する前に、基本動作用に WLC を設定し、WLC に LAP を登録する必要があります。このドキュメントでは、基本動作用に WLC が設定されており、WLC に LAP が登録されていることを前提としています。LAP を使用した基本動作用に WLC を初めて設定する場合は、『ワイヤレス LAN コントローラ(WLC)への Lightweight AP(LAP)の登録』を参照してください。

この構成用に LAP および WLC を設定するには、次の手順を実行します。

  1. WLC でのゲスト ユーザ用のローカル データベースの作成

  2. 事前認証 ACL の作成(2000 シリーズ WLC 専用)

  3. ゲスト ユーザ用のダイナミック インターフェイスの作成

  4. ゲスト ユーザ用の WLAN の設定

  5. 外部 Web 認証用の WLC の設定



WLC でのゲスト ユーザ用のローカル データベースの作成

ローカル認証を使用すると、WLC に対するユーザのローカル認証が可能になります。ローカル ネット ユーザを作成し、Web 認証クライアント ログイン用のパスワードを定義する必要があります。WLC でユーザ データベースを作成するには、次の手順を実行します。

  1. WLC GUI で [Security] を選択します。

  2. 左側の [AAA] メニューから [Local Net Users] をクリックします。

  3. [New] をクリックして新しいユーザを作成します。

    新しいウィンドウが表示され、ユーザ名とパスワードの情報の入力を求められます。

    ext-web-auth-wlc1.gif

  4. 新しいユーザを作成するため、ユーザ名とパスワードを入力して、使用するパスワードを確認します。

    この例では、User1 というユーザを作成します。

  5. 必要に応じて説明を追加します。

    この例では Guest User を使用します。

  6. [Apply] をクリックして、新しいユーザ設定を保存します。

    ext-web-auth-wlc2.gif

  7. さらにデータベースにユーザを追加するには、手順 3 〜 6 を繰り返します。

    注:Cisco Secure ACS やその他の RADIUS サーバなど、RADIUS サーバを使用して、ユーザ データベースを作成することもできます。ユーザ データベースの作成方法については、RADIUS サーバのドキュメントを参照してください。



事前認証 ACL の作成(2000 シリーズ WLC 専用)

2000 シリーズの WLC では、ワイヤレス クライアントを外部 Web サーバ ログイン URL にリダイレクトできるように、WLAN に事前認証 ACL を設定する必要があります。この ACL は、Web ポリシーに従って、WLAN の事前認証 ACL として設定する必要があります。WLAN の事前認証 ACL を設定するには、次の手順を実行します。

  1. WLC GUI で、[Security] > [Access Control Lists] の順に選択します。

    このウィンドウでは、標準的なファイアウォール ACL に類似した現在の ACL を確認できます。

  2. [New] をクリックして新しい ACL を作成します。

    ext-web-auth-wlc3.gif

  3. ACL の名前を入力し、[Apply] をクリックします。

    この例では、ACL の名前を Preauthentication-ACL としています。

    ext-web-auth-wlc4.gif

  4. 作成した新しい ACL の [Edit] をクリックします。

    ext-web-auth-wlc5.gif

    [Access Control Lists > Edit] ウィンドウが表示されます。このウィンドウでは、新しい規則を定義したり、既存の ACL の規則を変更したりできます。

  5. [Add New Rule] をクリックします。

    ext-web-auth-wlc6.gif

  6. クライアントの外部 Web サーバへのアクセスを許可する ACL 規則を定義します。

    この例では、172.16.1.92 が外部 Web サーバの IP アドレスです。

    ext-web-auth-wlc7.gif

    ext-web-auth-wlc8.gif

  7. [Apply] をクリックして、変更を確定します。

    ext-web-auth-wlc9.gif

    注:Cisco 4100 シリーズの WLC および Cisco 4400 シリーズの WLC では、事前認証 ACL を設定する必要はありません。



ゲスト ユーザ用のダイナミック インターフェイスの作成

ゲスト ユーザ用のダイナミック インターフェイスを作成するには、次の手順を実行します。

  1. WLC GUI で、[Controllers] > [Interfaces] の順に選択します。

    [Interfaces] ウィンドウが表示されます。このウィンドウには、コントローラに設定されているインターフェイスの一覧が表示されます。これには、デフォルトのインターフェイス(管理インターフェイス、AP マネージャ インターフェイス、仮想インターフェイス、サービス ポート インターフェイス)、およびユーザ定義のダイナミック インターフェイスが含まれます。

    ext-web-auth-wlc10.gif

  2. 新しいダイナミック インターフェイスを作成するには、[New] をクリックします。

  3. [Interfaces > New] ウィンドウで、インターフェイス名と VLAN ID を入力します。次に、[Apply] をクリックします。

    この例では、ダイナミック インターフェイスの名前に guest を指定し、VLAN ID に 10 を割り当てています。

    ext-web-auth-wlc11.gif

  4. [Interfaces > Edit] ウィンドウで、ダイナミック インターフェイスの IP アドレス、サブネット マスク、デフォルト ゲートウェイを入力します。ダイナミック インターフェイスを WLC の物理ポートに割り当て、DHCP サーバの IP アドレスを入力します。次に、[Apply] をクリックします。

    ext-web-auth-wlc12.gif



ゲスト ユーザ用の WLAN の設定

次の手順に従って、ゲスト ユーザ用の WLAN を作成します。また、ゲスト ユーザおよびワイヤレス ユーザを認証するために使用するセキュリティ方式を定義する必要があります。次の手順を実行します。

  1. WLAN を作成するには、コントローラの GUI で [WLANs] をクリックします。

    [WLANs] ウィンドウが表示されます。このウィンドウには、コントローラに設定されている WLAN の一覧が表示されます。

  2. [New] をクリックして新規の WLAN を設定します。

    この例では、WLAN の名前に Guest を使用し、WLAN ID は 1 です。

  3. [Apply] をクリックします。

    ext-web-auth-wlc13.gif

  4. [WLANs > Edit] ウィンドウで、WLAN 固有のパラメータを定義します。

    1. ゲスト WLAN の [Interface Name] フィールドで適切なインターフェイスを選択します。

      この例では、先に作成したダイナミック インターフェイスである guest を WLAN ゲストにマップしています。

    2. [Layer 3 Security] フィールドで、[Web Policy] チェックボックスにチェック マークを入れて、[Authentication] オプションを選択します。

      Web 認証を使用してワイヤレス ゲスト クライアントを認証するため、このオプションを選択します。

      注:802.1x 認証による Web 認証はサポートされません。これは、Web 認証を使用する場合、レイヤ 2 セキュリティとして、802.1x または 802.1x を使用する WPA/WPA2 を選択できないことを意味します。

      注:その他のすべてのレイヤ 2 セキュリティ パラメータを使用した Web 認証がサポートされます。

    3. [Preauthentication ACL] ドロップダウン メニューから適切な事前認証 ACL を選択します。

      この例では、すでに作成済みの事前認証 ACL を使用します。

    4. [Apply] をクリックします。

      ext-web-auth-wlc14.gif

      注:この例では、ゲスト ユーザを認証するためにレイヤ 2 セキュリティ方式は使用しません。したがって、[Layer 2 Security] フィールドで [None] を選択します。デフォルトで、レイヤ 2 セキュリティ オプションは 802.1x です。



外部 Web 認証用の WLC の設定

最後の手順では、外部 Web 認証用に WLC を設定します。次の手順を実行します。

  1. コントローラの GUI で、[Security] > [Web Login Page] の順に選択して [Web Login] ページにアクセスします。

  2. [Web Authentication Type] ドロップダウン ボックスから、[External (Redirect to external server)] を選択します。

  3. [URL] フィールドに、使用している Web サーバ上のカスタマイズした Web 認証ログイン ウィンドウの URL を入力します。最大 252 文字入力できます。

    ext-web-auth-wlc15.gif

    これで、すべてのデバイスが設定されました。ワイヤレス クライアントの接続を試し、意図したとおりに設定が機能しているかを確認します。

    注:内部 Web 認証を選択した場合、GUI に表示される [Redirect URL after login] フィールドに示される URL は、外部 Web 認証にも使用されます。ログイン後に外部 Web 認証のリダイレクト URL を変更するには、次の CLI コマンドを使用します。

    config custom-web redirectUrl <URL>

    注:WLC バージョン 5.0 以降では、Web 認証のログアウト ページもカスタマイズできます。設定方法については、『ワイヤレス LAN コントローラ コンフィギュレーション ガイド 5.2』の「WLAN 単位のログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て」セクションを参照してください。



確認

ワイヤレス クライアントが起動したら、Web ブラウザに URL(www.yahoo.com など)を入力します。ユーザが認証されていないため、WLC はそのユーザを外部 Web ログイン URL にリダイレクトします。

ユーザ クレデンシャルの入力が求められます。ユーザ名とパスワードを入力すると、ログイン ページでユーザ クレデンシャルの入力を受け取り、WLC Web サーバの action_URL(http://1.1.1.1/login.html など)に要求を on submit で送信して戻します。これが入力パラメータとしてカスタマーのリダイレクト URL に提供されます。ここで、1.1.1.1 は、スイッチの仮想インターフェイス アドレスです。

WLC は、WLC に設定されたローカル データベースと照らし合わせてユーザを認証します。認証が成功した後、WLC Web サーバは、設定されたリダイレクト URL またはクライアントが開始された URL(www.yahoo.com など)にユーザを転送します。

ext-web-auth-wlc16.gif

ext-web-auth-wlc17.gif

ext-web-auth-wlc18.gif



トラブルシューティング

設定のトラブルシューティングを行うには、次の debug コマンドを使用します。

  • debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx>

  • debug aaa all enable

  • debug pem state enable

  • debug pem events enable

  • debug dhcp message enable

  • debug dhcp packet enable

  • debug pm ssh-appgw enable

  • debug pm ssh-tcp enable

このセクションは、設定のトラブルシューティングを行う際に参照してください。



Web 認証/パススルー用にカスタマイズされたロゴがプレビュー時にロードされない

これは、Cisco Bug ID CSCsg45847登録ユーザ専用)が原因です。Web 認証/パススルー用の WLC の内部(デフォルト)ログイン ページを使用する場合は、プレビュー ページ(WLC の [Security > Web login] ページで使用できます)が問題なくロードされます。ただし、Web 認証ページ(コントローラ内部で使用可能)上のロゴをカスタマイズした場合は、プレビュー機能は動作しません。

ワイヤレス クライアントがワイヤレス ネットワークに対して認証を試行する際には、Web 認証/パススルー ページでカスタマイズした Web ロゴを正しくロードされます。プレビュー機能だけが動作しません。この不具合はコード 4.0.206.0 で解決しています。



外部 Web 認証サーバにリダイレクトされたクライアントが証明書警告を受信する

問題:クライアントがシスコの外部 Web 認証サーバにリダイレクトされると、クライアントが証明書警告を受信します。サーバには有効な証明書があり、外部 Web 認証サーバに直接接続する場合は、証明書警告は受信しません。これは、証明書に関連付けられた外部 Web 認証サーバの実際の IP アドレスではなく、WLC の仮想 IP アドレス(1.1.1.1)がクライアントに示されていることが原因でしょうか。

解決策:はい。ローカルまたは外部のいずれの Web 認証を実行するかにかかわりなく、コントローラの内部 Web サーバをヒットしています。外部 Web サーバにリダイレクトする場合でも、コントローラ自体に有効な証明書がない限り、コントローラから証明書警告を受信します。リダイレクトが https に送信された場合、コントローラおよび外部 Web サーバの両方に有効な証明書がない限り、両方から証明書警告を受信します。

すべてまとめて証明書警告を受信しないようにするには、ルート レベルの証明書を発行して、コントローラにダウンロードする必要があります。証明書はホスト名に対して発行されるため、そのホスト名をコントローラの仮想インターフェイスの [DNS host name] ボックスに入力します。また、そのホスト名をローカル DNS サーバに追加し、WLC の仮想 IP アドレス(1.1.1.1)を指すようにする必要があります。

詳細については、『WLAN コントローラ(WLC)上でのサード パーティ証明書用の証明書署名要求(CSR)の生成』を参照してください。



エラー:「page cannot be displayed」

問題:コントローラを 4.2.61.0 にアップグレードした後、Web 認証用にダウンロードした Web ページを使用すると、「page cannot be displayed」のエラー メッセージが表示されます。アップグレードする以前は機能していました。デフォルトの内部 Web ページでは問題なくロードされます。

解決策:WLC バージョン 4.2 以降から、Web 認証用にカスタマイズされたログイン ページを複数使用できる新しい機能が導入されています。

Web ページを適切にロードさせるには、[Security] > [Web Auth] > [Web login page] で Web 認証の種類をグローバルに [customized] として設定するだけでは十分ではありません。特定の WLAN でも設定する必要があります。このためには、次の手順を実行します。

  1. WLC の GUI にログインします。

  2. [WLANs] タブをクリックし、Web 認証用に設定された WLAN のプロファイルにアクセスします。

  3. [WLANs > Edit] ページで [Security] タブをクリックします。次に、[Layer 3] を選択します。

  4. このページで、レイヤ 3 セキュリティとして [None] を選択します。

  5. [Web Policy] ボックスにチェックマークを入れ、[Authentication] オプションを選択します。

  6. [Over-ride Global Config] の [Enable] ボックスにチェックマークを入れ、Web 認証タイプとして [Customized (Downloaded)] を選択して、[Login Page] プルダウン メニューから目的のログイン ページを選択します。[Apply] をクリックします。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71881