ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

ワイヤレス LAN コントローラ上の Web 認証プロキシの設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ワイヤレス LAN コントローラ(WLC)で Web 認証プロキシ機能を使用するための設定例を紹介します。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する知識があること。

  • Lightweight Access Point Protocol(LWAPP)/Control And Provisioning of Wireless Access Points(CAPWAP)の知識があること。

  • Web 認証に関する知識があること。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 7.0.116.0 が稼働している Cisco 4400 WLC

  • Cisco 1130AG シリーズ LAP

  • ファームウェア リリース 4.2 が稼働している Cisco 802.11a/b/g ワイヤレス クライアント アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

WLC 上の Web 認証プロキシ

このドキュメントでは、読者に、Web 認証の事前知識があり、Cisco WLC で Web 認証を設定する手順に関する知識があることを前提としています。 新しいユーザの場合は、Web 認証プロセスを詳しく説明した次のドキュメントを参照してください。

Web 認証プロキシ機能は WLC バージョン 7.0.116.0 で導入されました。

Web ブラウザには、ユーザが設定できる次の 3 種類のインターネット設定があります。

  • 自動検出

  • システム プロキシ

  • マニュアル

この機能を使用すると、ブラウザで手動 Web プロキシが有効になっているクライアントに対し、コントローラによる認証を強化することができます。

Web 認証用に設定されたネットワークで、クライアントが手動プロキシ設定用に設定されている場合、コントローラでは該当するプロキシ ポートをリッスンせず、そのため、クライアントはコントローラとの TCP の接続を確立できません。 ユーザは事実上、認証用のログイン ページを表示できず、ネットワークにアクセスできません。

Web 認証プロキシ機能が有効になった状態でクライアントが任意の URL を要求すると、コントローラでは、プロキシ設定を自動的に検出するようにインターネット プロキシ設定を変更するようユーザに促す Web ページで応答します。

このプロセスにより、ブラウザの手動プロキシ設定が失われることを防ぎます。 ユーザはこの機能を設定したあと、Web 認証ポリシーを通じてネットワークにアクセスできます。

ポート 80、8080、および 3128 は Web プロキシ サーバでよく使用されているポートであるため、デフォルトでこの機能が提供されています。

WLC 上の Web 認証プロキシを設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

設定

コントローラ GUI を使用して Web 認証プロキシを設定するには、次のステップを実行します。

  1. コントローラの GUI で、[Controller] > [General] の順に選択します。

  2. WebAuth プロキシを有効にするには、[WebAuth Proxy Redirection Mode] ドロップダウン リストから [Enabled] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-01.gif

  3. [WebAuth Proxy Redirection Port] テキスト ボックスに、Web 認証プロキシのポート番号を入力します。 このテキスト ボックスでは、コントローラが Web 認証プロキシ リダイレクションをリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-02.gif

  4. [Apply] をクリックします。

CLI から Web 認証のプロキシを設定するには、次のコマンドを発行します。

config network web-auth proxy-redirect {enable | disable}

config network web-auth port <port-number> コマンドを使用して Web 認証ポート番号を設定します。

WLC を設定したら、設定を保存し、設定を有効にするためにコントローラをリブートします。

確認

Web 認証プロキシ設定の現在のステータスを表示するには、show network summary コマンドまたは show running-config command コマンドを発行します。

(Cisco Controller) >show network summary

RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP

--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect  ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled

ここで、Web 認証用に設定したゲスト SSID にワイヤレス クライアントを接続します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-03.gif

内部 DHCP サーバがあり、クライアントは WLAN Guest1 に接続して IP アドレスを取得すると想定してあります。 クライアントが URL(www.cisco.com など)にアクセスしようとすると、手動プロキシがクライアントのブラウザで有効であるため、Web 認証プロキシ機能を使用するコントローラでは、プロキシ設定を自動的に検出するためにインターネット プロキシ設定を変更するようユーザに促す Web ページで応答します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-04.gif

この時点で、クライアントでは手動プロキシ設定を無効にする必要があることを認識しています。 ここでは、Firefox バージョン 3.6 で手動プロキシ設定を無効にする例を示します。

  1. Firefox ブラウザの [Tools] > [Options] を選択し、次に [Advanced] を選択します。

  2. [Network] タブをクリックし、[Settings] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-05.gif

  3. [Connection Settings] ウィンドウで、[Auto-detect proxy settings for this network] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-06.gif

これが完了した後で、ブラウザを更新し、URL に再度アクセスしてみます。 今回は、[Web Authentication] ページにリダイレクトされます。 クライアントは、クレデンシャルを提示でき、ゲスト ネットワークにログインできます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113151-web-auth-proxy-07.gif


関連情報


Document ID: 113151