2016 年 6 月 18 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料は HTTPS 上の Web 認証 リダイレクションについての設定を説明したものです。 これは Cisco Unified 無線ネットワーク(CUWN)リリース 8.0 で導入される機能です。

Dhiresh Yadav によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることを推奨しています。

  • ワイヤレス LAN コントローラ(WLC) Web 認証の基本的な知識
  • Web 認証のための WLC の設定方法。

使用するコンポーネント

この文書に記載されている情報は CUWN ファームウェアのバージョン 8.0 を実行する WLC に Cisco 5500 シリーズ基づいています。

: この資料で提供される設定および Webauth 説明は 8.0.100.0 よりまたはそれ以降と等しいすべての WLC モデルおよび CUWN イメージに適当です。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

Web 認証はレイヤ3 セキュリティ機能です。 それは無線クライアントが有効なユーザ名およびパスワードを供給するまですべての IP/data トラフィックを、特定のクライアントからの DHCP 関連のパケット DNS 関連のパケットを除いて、ブロックします。一般に、Web 認証はゲスト アクセス ネットワークを展開する場合に使用されます。Web 認証は、クライアントからの最初の TCP HTTP(ポート 80)GET パケットをコントローラがインターセプトしたときに開始されます。

クライアントの Web ブラウザがそこまで到達するには、クライアントがまず IP アドレスを取得し、Web ブラウザのために URL の IP アドレスへの変換(DNS 解決)を行う必要があります。 これによって、Web ブラウザが HTTP GET を送信する IP アドレスを認識できます。 クライアントが TCPポート 80 に最初の HTTP GET を送信 するとき、コントローラは https にクライアントをリダイレクトします: 処理のための <virtual IP>/login.html。 このプロセスは最終的にログイン Web ページを起動します。

先のリリース CUWN 8.0 より前(すなわち無線クライアントが HTTPS ページ(443) TCP を示せばまで 7.6)、ページは Web 認証ポータルにリダイレクトされません。 さらに多くの Webサイトが HTTPS を使用し始めると同時にこの機能はリリース CUWN 8.0 およびそれ以降に含まれています。 この機能によって、無線クライアントが https:// <website> を試せば、Webauth ログイン ページにリダイレクトされます。 またこの機能はアプリケーションの https 要求を送信 する デバイスに非常に役立ちます(ないブラウザと)。

Certificate エラー

警告メッセージ「認証信頼された認証局によって発行されません」。は https リダイレクト 機能を設定した後ブラウザで現われます。 これは図 1 に示すようにコントローラの有効なルートかチェーン証明書がおよび図 2.あっても見られます。 原因はコントローラでインストールした certficiate が仮想 IP アドレスに発行されることです。 

: HTTP リダイレクトを試み、WLC のこの certifcate がある場合、この認証に警告エラーを得ません。  ただし HTTPS リダイレクトの場合には、このエラーは現われます。

クライアントが HTTPS:// <website> を試すとき、DNS によって解決されるブラウザはサイトの IP アドレスに発行される認証を期待します。 ただし受け取るものは、ブラウザが警告を発します WLC (仮想 IP アドレス)の内部Webサーバに発行された認証です。 これは HTTPS が常にはたらかせ、起こる方法が理由で Webauth リダイレクションがはたらくことができるように HTTPS セッションを代行受信することを試みる場合全くそうなったものです。

異なるブラウザすべての異なる Certificate エラーメッセージが以前に記述されていると同じ問題に関連するのを見るかもしれません。

図 1

これはエラーがクロムにどのようにの現われることができるか例です:

図 2

設定

HTTPS リダイレクションのための WLC を設定して下さい

この設定は Wireless LAN (WLAN)がレイヤ3 Web authentciation セキュリティ用に既に設定されていると仮定します。 この Webauth WLAN の HTTPS リダイレクトをディセーブルにするため有効に するか、または:

(WLC)>config wlan security web-auth enable 10
(WLC)>config network web-auth https-redirect enable
WARNING! - You have chosen to enable https-redirect.
This might impact performance significantly

設定例が示すので、これは HTTPS リダイレクションない HTTP リダイレクションのためのスループットに影響を与えるかもしれません

Web 認証 WLAN のおよび設定詳細については、WLAN コントローラの Web 認証を参照して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

(WLC)>show network summary

Web Auth Secure Web ....................... Enable
Web Auth Secure Redirection ............... Enable
  1. これらのデバッグを有効に して下さい:
    (WLC) debug client <MAC address>

    (WLC)> debug web-auth redirect enable
  2. デバッグを確認して下さい:
    (WLC) >show debug

    MAC Addr 1.................................. 24:77:03:52:56:80

    Debug Flags Enabled:
    webauth redirect enabled.
  3. Webauth によって有効に される SSID にクライアントを関連付けて下さい。
  4. これらのデバッグを探して下さい:
    *webauthRedirect: Jan 16 03:35:35.678: 24:77:3:52:56:80- received connection.
    client socket = 9
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- trying to read on socket 95
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- calling parser with bytes = 204
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- bytes parsed = 204
    *webauthRedirect: Jan 16 03:35:35.679: captive-bypass detection enabled,
    checking for wispr in HTTP GET, client mac=24:77:3:52:56:80
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Preparing redirect
    URL according to configured Web-Auth type
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- got the hostName
    for virtual IP(wirelessguest.test.com)
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Checking custom-web
    config for WLAN ID:10
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Global status is
    enabled, checking on web-auth type
    *webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Web-auth type Customized,
    using URL:https://wirelessguest.test.com/fs/customwebauth/login.html

    : セキュア Web (構成ネットワーク secureweb)が有効または無効になりますようにして下さい HTTPS リダイレクト作業を作るためにまたはセキュア Webauth は(構成ネットワーク Webauth secureweb は有効または無効になります)有効に なります。 また HTTPS 上のリダイレクションが使用されるときスループットにわずかなリダクションがあるかもしれませんことに注目して下さい。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118826