Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
Cisco IOS ルータ用承諾機能
Cisco IOS ルータ用承諾機能
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco IOS ルータ用承諾機能

機能情報の確認

この章の構成

Cisco IOS ルータ用承諾機能の前提条件

Cisco IOS ルータ用承諾機能について

認証プロキシの概要

統合された承認および認証プロキシ Web ページ

認証プロキシの承諾処理の設定方法

認証プロキシの承諾処理に使用される IP 許可ルールの設定

トラブルシューティングのヒント

認証プロキシの承諾処理に使用されるパラメータ マップの定義

認証プロキシの承諾処理の設定例

入力インターフェイスの ACL と インターセプト ACL の設定例

承諾ページのポリシーの設定例

パラメータ マップの設定例

承諾処理の IP 許可ルールの設定例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Cisco IOS ルータ用承諾機能の機能情報

Cisco IOS ルータ用承諾機能

Cisco IOS 用承諾機能を使用すると、組織は承諾 Web ページを表示して、エンド ユーザが有線ネットワークおよび無線ネットワークからインターネット アクセスや企業アクセスを一時的に利用できるようにすることが可能です。この Web ページには、組織が要求されたアクセスをエンド ユーザに許可する条項および条件が記載されています。ユーザは、承諾 Web ページの利用条件を承諾しないとネットワークに接続できません。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Cisco IOS ルータ用承諾機能の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

Cisco IOS ルータ用承諾機能の前提条件

承諾 Web ページを表示するには、Advanced Enterprise イメージを実行している必要があります。

Cisco IOS ルータ用承諾機能について

Cisco IOS ルータ用承諾機能をイネーブルにする前に、次の概念を理解しておく必要があります。

「認証プロキシの概要」

「統合された承認および認証プロキシ Web ページ」

認証プロキシの概要

認証プロキシは、HTTP、Telnet、FTP のいずれかのプロトコルに向けられた入トラフィックの有効なユーザ名とパスワードの各クレデンシャルをエンド ユーザが提示した場合にのみ、そのユーザに(インターフェイス外で)アクセスを許可する進入認証機能です。提示された認証クレデンシャルが Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバに設定されているクレデンシャルと照らし合わせて確認された後、要求元(送信元 IP アドレス)にアクセスが許可されます。

エンド ユーザが HTTP(S)、FTP、Telnet のいずれかの要求をルータの認証プロキシが有効になっている入力インターフェイスで転送すると、同じホストがすでに認証されているかどうかを Network Authenticating Device(NAD; ネットワーク認証デバイス)が検証します。セッションがすでに存在する場合は、進入要求は再認証されず、ダイナミック(Auth-Proxy)ACE および入力インターフェイスの ACE の対象となります。エントリが存在しない場合は、認証プロキシは有効なユーザ名とそのパスワードの入力を求めるメッセージを表示して、進入接続要求に応答します。認証されると、適用される Network Access Profiles(NAP; ネットワーク アクセス プロファイル)が AAA サーバからダウンロードされるか、ローカルで設定されているプロファイルから取得されます。

統合された承認および認証プロキシ Web ページ

HTTP 認証プロキシ Web ページが拡張され、承諾 Web ページ機能のオプション ボタン(「承諾する」および「承諾しない」)がサポートされました。承諾 Web ページのオプション ボタンは、ユーザ名とパスワードの認証プロキシの入力フィールドの後にあります(図 1 を参照)。

承諾には、次のケースがあります。

承諾が拒否(「Don't Accept」オプション ボタンが選択)された場合、認証プロキシのオプション ボタンがディセーブルになります。進入クライアント セッションのアクセスは、デフォルトの入力インターフェイスの ACL で管理されます。

承諾された(「Accept」オプション ボタンが選択された)場合、認証プロキシのオプション ボタンがイネーブルになります。入力されたユーザ名とパスワードの各クレデンシャルが間違っていた場合は、HTTP-Auth-Proxy 認証が失敗します。進入クライアント セッションのアクセスは、もう一度デフォルトの入力インターフェイスの ACL のみで管理されます。

承諾され(「Accept」オプション ボタンが選択され)、有効なユーザ名とパスワードの各クレデンシャルが入力された場合は、HTTP-Auth-Proxy 認証が成功します。したがって、次のいずれかの処理が実行されます。

進入クライアント セッションのアクセス要求が HTTP_GET である場合は、目的の Web ページが開き、進入クライアント セッションのアクセスはデフォルトの入力インターフェイスの ACL およびダイナミック(Auth-Proxy)ACE で管理されます。

進入クライアント セッションのアクセス要求が HTTPS_GET である場合は、[Security Dialogue Box] がクライアントのブラウザに表示されます。ユーザが [Security Dialogue Box] ウィンドウで [YES] を選択すると、目的の Web ページが開き、進入クライアント セッションのアクセスがデフォルトの入力インターフェイスの ACL とダイナミック(Auth-Proxy)ACE によって管理されます。ユーザが [Security Dialogue Box] ウィンドウで [NO] を選択すると、目的の Web ページは開かず、「ページを表示することはできません」というメッセージが表示されますが、進入クライアント セッションのアクセスはデフォルトの入力インターフェイスの ACL とダイナミック(Auth-Proxy)ACE によって管理されます。

図 1 承諾 Web ページの例


) HTTP 認証プロキシが Consent Feature とともに設定されている場合は、HTTP 認証プロキシに関連する設定やポリシーは、承諾ページに関連する設定やポリシーよりも優先されます。たとえば、ip admission name admission-name consent コマンドが設定されている場合、ip admission consent banner コマンドは無視され、ip admission auth-proxy-banner コマンドで設定されているバナーのみが表示されます。


認証プロキシの承諾処理の設定方法

次の作業を行って、承諾 Web ページを設定し、エンド ユーザに表示される 承諾 Web ページをイネーブルにします。

「認証プロキシの承諾処理に使用される IP 許可ルールの設定」

「認証プロキシの承諾処理に使用されるパラメータ マップの定義」

認証プロキシの承諾処理に使用される IP 許可ルールの設定

次の作業を行って、認証プロキシの承諾処理に使用される IP 許可ルールを定義し、インターフェイスに関連付けます。

手順の概要

1. enable

2. configure terminal

3. ip admission name admission-name consent [[ absolute-timer minutes ] [ event ] [ inactivity-time minutes ] [ list { acl | acl-name }] [ parameter-map consent-parameter-map-name ]]

4. ip admission consent banner [ file file-name | text banner-text ]

5. interface type number

6. ip admission admission-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip admission name admission-name consent [[absolute-timer minutes] [event] [inactivity-time minutes]
[list {acl | acl-name}] [parameter-map consent-parameter-map-name]]

 

Router(config)# ip admission name consent_rule consent absolute-timer 304 list 103 inactivity-time 204 parameter-map consent_parameter_map

認証プロキシの承諾処理に使用される IP 許可ルールを定義します。

ステップ 4

ip admission consent banner [file file-name | text banner-text]

 

Router(config)# ip admission consent banner file flash:consent_page.html

(省略可能)認証プロキシの承諾 Web ページにバナーを表示します。

ステップ 5

interface type number

 

Router(config)# interface FastEthernet 0/0

承諾処理の IP 許可ルールが適用されるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 6

ip admission admission-name

 

Router(config-if)# ip admission consent_rule

ステップ 3 で作成した IP 許可ルールをインターフェイスに適用します。

トラブルシューティングのヒント

ルータの認証プロキシの承諾ページに関する情報を表示するために、 debug ip admission consent コマンドを使用できます。

Router# debug ip admission consent errors
IP Admission Consent Errors debugging is on
 
Router# debug ip admission consent events
IP Admission Consent Events debugging is on
 
Router# debug ip admission consent messages
IP Admission Consent Messages debugging is on
Router#
Router# show debugging
 
IP Admission Consent:
IP Admission Consent Errors debugging is on
IP Admission Consent Events debugging is on
IP Admission Consent Messages debugging is on

認証プロキシの承諾処理に使用されるパラメータ マップの定義

次の作業を行って、認証プロキシの承諾処理に使用されるパラメータ マップを定義します。

手順の概要

1. enable

2. configure terminal

3. parameter-map type consent parameter-map-name

4. copy src-file-name dst-file-name

5. file file-name

6. authorize accept identity identity-policy-name

7. timeout file download minutes

8. logging enabled

9. exit

10. show parameter-map type consent [ parameter-map-name ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type consent parameter-map-name

 

Router(config)# parameter-map type consent consent_parameter_map

認証プロキシの承諾処理に固有のパラメータ マップを定義し、parameter-map type consent コンフィギュレーション モードを開始します。

デフォルトのポリシー マップを使用するには、parameter-map-name に default と入力します。

ステップ 4

copy src-file-name dst-file-name

 

Router(config-profile)# copy tftp://192.168.104.136/consent_page.html flash:consent_page.html

ファイル(承諾 Web ページ)を外部サーバからデバイスのローカル ファイル システムに転送します。

ステップ 5

file file-name

 

Router(config-profile)# file flash:consent_page.html

(任意)承諾 Web ページとして使用されるローカル ファイルの名前を指定します。

ステップ 6

authorize accept identity identity-policy-name

 

Router(config-profile)# authorize accept identity consent_identity_policy

(任意)承諾ポリシーを設定します。

(注) 現時点では、1 つの承諾ポリシーのみを設定できます。

ステップ 7

timeout file download minutes

 

Router(config-profile)# timeout file download 35791

(任意)承諾 Web ページのファイルを外部 TFTP サーバからダウンロードする頻度を指定します。

ステップ 8

logging enabled

 

Router(config-profile)# logging enabled

(任意)syslog メッセージをイネーブルにします。

ステップ 9

exit

 

Router(config-profile )# exit

Router(config)# exit

グローバル コンフィギュレーション モードおよび特権 EXEC モードに戻ります。

ステップ 10

show parameter-map type consent [parameter-map-name]

 

Router# show parameter-map type consent

(任意)設定済みの承諾プロファイルをすべて、または指定したものだけ表示します。

認証プロキシの承諾処理の設定例

ここでは、次の設定例について説明します。

「入力インターフェイスの ACL と インターセプト ACL の設定例」

「承諾ページのポリシーの設定例」

「パラメータ マップの設定例」

「承諾処理の IP 許可ルールの設定例」

入力インターフェイスの ACL と インターセプト ACL の設定例

次の例は、承諾ページのポリシーの ACE が動的に追加される入力インターフェイスの ACL を( ip access-list extended 102 コマンドで)定義する方法を示しています。また、承諾処理の IP 許可ルールによって、進入トラフィックを遮断するインターセプト ACL を( ip access-list extended 103 コマンドで)定義する方法も示しています。

ip access-list extended 102
permit ip any 192.168.100.0 0.0.0.255
permit ip any host 192.168.104.136
permit udp any any eq bootps
permit udp any any eq domain
permit tcp any any eq www
permit tcp any any eq 443
permit udp any any eq 443
exit
!
ip access-list extended 103
permit ip any host 192.168.104.136
permit udp any host 192.168.104.132 eq domain
permit tcp any host 192.168.104.136 eq www
permit udp any host 192.168.104.136 eq 443
permit tcp any host 192.168.104.136 eq 443
exit
!

承諾ページのポリシーの設定例

次の例は、承諾ページのポリシー ACL と ID ポリシーを設定する方法を示しています。

ip access-list extended consent-pg-ip-acc-group
permit ip any host 192.168.104.128
permit ip any host 192.168.104.136
exit
!
identity policy consent_identity_policy
description ### Consent Page Identity Policy ###
access-group consent-pg-ip-acc-group
exit

パラメータ マップの設定例

次の例は、承諾処理に固有のパラメータ マップ「consent_parameter_map」と承諾処理のデフォルトのパラメータ マップを定義する方法を示しています。

parameter-map type consent consent_parameter_map
copy tftp://192.168.104.136/consent_page.html flash:consent_page.html
authorize accept identity consent_identity_policy
timeout file download 35791
file flash:consent_page.html
logging enabled
exit
!
parameter-map type consent default
copy tftp://192.168.104.136/consent_page.html flash:consent_page.html
authorize accept identity test_identity_policy
timeout file download 35791
file flash:consent_page.html
logging enabled
exit
!

承諾処理の IP 許可ルールの設定例

次の例は、「パラメータ マップの設定例」で定義した承諾ページのパラメータ マップを含む、承諾処理の IP 許可ルールを設定する方法を示しています。

ip admission name consent-rule consent inactivity-time 204 absolute-timer 304 param-map
consent_parameter_map list 103
ip admission consent-banner file flash:consent_page.html
ip admission consent-banner text ^C Consen-Page-Banner-Text ^C
ip admission max-login-attempts 5
ip admission init-state-timer 15
ip admission auth-proxy-audit
ip admission inactivity-timer 205
ip admission absolute-timer 305
ip admission ratelimit 100
ip http server
ip http secure-server
!
interface FastEthernet 0/0
description ### CLIENT-N/W ###
ip address 192.168.100.170 255.255.255.0
ip access-group 102 in
ip admission consent-rule
no shut
exit
!
interface FastEthernet 0/1
description ### AAA-DHCP-AUDIT-SERVER-N/W ###
ip address 192.168.104.170 255.255.255.0
no shut
exit
!
line con 0
exec-timeout 0 0
login authentication noAAA
exit
!
line vty 0 15
exec-timeout 0 0
login authentication noAAA
exit
!

その他の参考資料

ここでは、Cisco IOS ルータ用承諾機能の関連資料について説明します。

関連資料

内容
参照先

認証プロキシのその他の設定作業

Configuring Authentication Proxy 」フィーチャ モジュールを参照してください。

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

Cisco IOS ルータ用承諾機能の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 Cisco IOS ルータ用承諾機能の機能情報

機能名
リリース
機能情報

Cisco IOS ルータ用承諾機能

12.4(15)T

Cisco IOS 用承諾機能を使用すると、組織は承諾 Web ページを表示して、エンド ユーザが有線ネットワークおよび無線ネットワークからインターネット アクセスや企業アクセスを一時的に利用できるようにすることが可能です。この Web ページには、組織が要求されたアクセスをエンド ユーザに許可する条項および条件が記載されています。ユーザは、承諾 Web ページの利用条件を承諾しないとネットワークに接続できません。

この機能は、Cisco IOS リリース 12.4(15)T で導入されました。

導入または変更されたコマンドは、 authorize accept identity copy (consent-parameter-map) debug ip admission consent file (consent-parameter-map )、 ip admission consent banner ip admission name logging enabled parameter-map type show ip admission timeout file download です。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2007-2009 Cisco Systems, Inc.
All rights reserved.