ワイヤレス / モビリティ : WLAN セキュリティ

Web 認証プロキシの設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、プロキシ設定を使用するように Web 認証を設定する方法について説明します。

Cisco TAC エンジニア Nick Tate 著

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ワイヤレス LAN コントローラの基本設定
  • Web 認証のセキュリティ

使用するコンポーネント

このドキュメントの情報は、シスコ ワイヤレス LAN コントローラ バージョン 7.0 以降に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

プロキシ サーバのあるネットワークのネットワーク管理者は、まずにプロキシ サーバに Web トラフィックを送信し、プロキシ サーバがインターネットにトラフィックをリレーします。 クライアントとプロキシ サーバ間の接続では、通信にポート 80 以外の TCP ポートを使用できます。 このポートは通常は TCP ポート 3128 または 8080 です。 デフォルトで、Web 認証はポート 80 だけをリッスンします。 そのため、コンピュータから送信される HTTP GET は、プロキシ ポートに向かいますが、コントローラによってドロップされます。

このセクションでは、プロキシ設定を使用するように Web 認証を設定する方法について説明します。

  1. プロキシ ポートをリッスンするために Cisco Wireless LAN Controller(WLC)を設定します。
  2. 仮想 IP アドレスを直接返すように Proxy Auto-Configuration(PAC)ファイルを設定します。
  3. Web 認証の前にクライアントで PAC ファイルをダウンロードできるようにするために、事前認証のアクセス コントロール リスト(ACL)を作成します。

手っ取り早い解決策として、1.1.1.1 を返すように Web ブラウザを手動で設定できます。

これらのプロセスそれぞれの詳細は、次のサブセクションにあります。

WLC の設定

この手順では、コントローラがリッスンするポートをプロキシ サーバがリッスンするポートに変更する方法について説明します。

  1. [Controller] > [General] のページに移動します。

    116052-config-webauth-proxy-01.png

  2. [WebAuth Proxy Redirection Port] フィールドで、クライアントのリダイレクトのために WLC でリッスンするポートを入力します。

  3. [WebAuth Proxy Redirection Mode] ドロップダウン リストから [Disabled] または [Enabled] を選択します。

    1. [Disabled] を選択すると、パススルーまたは認証用の通常の Web 認証のページがクライアントに表示されます。 したがってプロキシを使用する場合は、1.1.1.1(または WLC で使用他の仮想 IP アドレス)に対してプロキシを使用しないようにすべてのクライアント ブラウザを設定する必要があります。 「手っ取り早い解決策: Web ブラウザを設定する」を参照してください。

    2. [Enabled] を選択すると、WLC ではデフォルトでポート 80、8080、および 3128 をリッスンするため、[WebAuth Proxy Redirection Port] テキスト フィールドにこれらのポートを入力する必要はありません。 クライアントがこれらのポートで HTTP GET を送信する場合、プロキシ設定を自動に変更するように求める画面が表示されます。

      116052-config-webauth-proxy-02.png

  4. 設定を保存します。

  5. コントローラをリブートします。

つまり、WLC がリッスンするポートを定義するためには [WebAuth Proxy Redirection Port] にポート番号を入力します。 リダイレクション モードが有効になっている場合は、プロキシ設定画面にクライアントがリダイレクトされ、自動プロキシ設定のために Web Proxy Auto-Discovery(WPAD)または PAC ファイルが動的にプッシュされることを予期します。 無効の場合、クライアントは通常の Web 認証ページにリダイレクトされます。

PAC ファイルを設定する

Web 認証でユーザを正しく認証するには、WLC の仮想 IP アドレスが「直接」返される必要があります。 「直接」とは、プロキシ サーバが要求のプロキシ処理を行わず、クライアントがこの IP アドレスに直接到達するアクセス許可を持つことを意味します。 これは通常、プロキシ サーバの管理者によってプロキシ サーバの WPAD または PAC ファイルに設定されます。 次に PAC ファイルの設定例を示します。

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "1.1.1.1"))   <-- (Line states return 1.1.1 directly)       {
         return "DIRECT";
      }
      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

事前認証 ACL を作成する

ワイヤレス クライアントが Web 認証にログインする前に、クライアントで PAC ファイルをダウンロードできるように Web 認証サービス セット識別子(SSID)に事前認証 ACL を配置します。 事前認証 ACL は PAC ファイルにあるポートにのみアクセスを許可する必要があります。 プロキシ ポートへのアクセスは、クライアントが Web 認証なしでインターネットに到達できるようにします。

  1. コントローラに ACL を作成するには、[Security] > [Access Control List] に移動します。
     
  2. PAC ダウンロード ポートでプロキシへの両方向のトラフィックを許可するルールを作成します。

    116052-config-webauth-proxy-03.png

    : プロキシ HTTP ポートは許可しません。

  3. コントローラの WLAN 設定で、作成したばかりの ACL を事前認証 ACL として選択することを忘れないでください。

    116052-config-webauth-proxy-04.png
     

手っ取り早い解決策: Web ブラウザを設定する

この手順では、クライアントの Web ブラウザが 1.1.1.1 に直接到達するように手動で例外を設定する方法について説明します。

  1. Internet Explorer で、[Tools] > [Internet Options] の順に選択します。

  2. [Connections] タブをクリックしてから [LAN Settings] ボタンをクリックします。

  3. [Proxy server] エリアで [Use a proxy server for your LAN] をオンにし、サーバのリッスンする IP アドレスおよびポートを入力します。

    116052-config-webauth-proxy-05.png

  4. [Advanced] ボタンをクリックし、[Exceptions] 領域で WLC の仮想 IP アドレスを入力します。

    116052-config-webauth-proxy-06.png

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報



Document ID: 116052