Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
ユーザ ログイン ページとゲスト アク セスの設定
ユーザ ログイン ページとゲスト アクセスの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ユーザ ログイン ページとゲスト アクセスの設定

ユーザ ログイン ページ

Unauthenticated ロール トラフィック ポリシー

プロキシの設定

デフォルト ログイン ページの追加

ページ タイプの(フレームベースまたは小型画面への)変更

ログイン ページの Web クライアントのイネーブル化

CAA/ActiveX/アプレットによる DHCP のリリースと更新

ログイン ページのコンテンツのカスタマイズ

右フレームのコンテンツの作成

リソース ファイルのアップロード

ログイン ページのスタイルのカスタマイズ

その他のログイン プロパティの設定

ログイン サクセス ページのリダイレクト

ログアウト ページの情報の指定

ゲスト ユーザ アクセス

ログイン ページ Guest Access のイネーブル化

証明書のあるゲスト ユーザのイネーブル化

ユーザ ログイン ページとゲスト アクセスの設定

この章では、すべてのユーザが認証に必要とするデフォルト ログイン ページの追加方法および Web ログイン ユーザ用のログイン ページのカスタマイズ方法を説明します。また、「ゲスト ユーザ アクセス」の設定方法についても説明します。この章の内容は以下のとおりです。

「ユーザ ログイン ページ」

「デフォルト ログイン ページの追加」

「ページ タイプの(フレームベースまたは小型画面への)変更」

「ログイン ページの Web クライアントのイネーブル化」

「ログイン ページのコンテンツのカスタマイズ」

「右フレームのコンテンツの作成」

「リソース ファイルのアップロード」

「ログイン ページのスタイルのカスタマイズ」

「その他のログイン プロパティの設定」

「ゲスト ユーザ アクセス」

Web ログイン ユーザのユーザ同意ページの設定に関する詳細は、「ユーザ同意ページのカスタマイズ」を参照してください。

Clean Access Agent(CAA)ユーザの Acceptable User Policy ページの設定に関する詳細は、「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください。

ユーザ ロールおよびローカル ユーザの設定については、 第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。

認証サービスの設定に関する詳細は、 第 7 章「ユーザ管理:認証サーバの設定」 を参照してください。

ユーザ ロールのトラフィック ポリシーの設定に関する詳細は、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。

ユーザ ログイン ページ

ログイン ページは、Cisco NAC アプライアンスによって生成され、ロール別にエンド ユーザに表示されます。ユーザが初めて Web ブラウザからネットワークへのアクセスを試行すると、HTML ログイン ページが表示され、ユーザ名とパスワードの入力をユーザに求めます。Cisco NAC アプライアンスは、選択された認証プロバイダーにこの証明書を提出し、これを使用してユーザに割り当てるロールを判断します。この Web ログイン ページは、ユーザの VLAN ID、サブネット、OS に基づいて特定のユーザ用にカスタマイズできます。


注意 Web ログインと CAA のいずれの場合も、ユーザを認証するためには、システム内にログイン ページが追加され、存在していなければなりません。CAA ユーザの場合は、デフォルト ログイン ページがないと、ログイン試行時にエラー ダイアログが表示されます([Clean Access Server is not properly configured, please report to your administrator.])。デフォルト ログイン ページの簡単な追加方法については、「デフォルト ログイン ページの追加」を参照してください。

Cisco NAC アプライアンスは、Windows、Mac OS、Linux、Unix、Palm、Windows CE など、いくつかのクライアント OS(オペレーティング システム)を検出します。Cisco NAC アプライアンスは、クライアントで稼働している OS を、HTTP GET 要求内の OS ID から判断します。これは最も信頼性が高くスケーラブルな方法です。Windows XP など、検出された OS からユーザが Web 要求を実行した場合、CAS はその OS 専用のページで応答できます。

ログイン ページのカスタマイズには、以下のようないくつかのスタイルを使用できます。

フレームベースのログイン ページ(左側のフレームにログイン フィールドが表示される)。このスタイルでは、ページの右側のフレームで、ロゴ、ファイル、または URL を参照できます。

フレームなしのログイン ページ(図5-6を参照)

フレームなしの小さいログイン ページ。小さいログイン ページは Palm や Windows CE デバイスに適しています。ページの寸法は、約 300 × 430 ピクセルです。

さらに、画像、テキスト、色など、ページのほとんどのプロパティをカスタマイズできます。

ここでは、Clean Access Manager(CAM)のグローバル フォームを使用して、すべての Clean Access Server(CAS)用のログイン ページを追加およびカスタマイズする方法を説明します。グローバル設定を無効にし、特定の CAS用にログイン ページをカスタマイズする場合は、 Device Management > CCA Servers > Manage [CAS_IP] > Misc > Login Page のローカル設定ページを使用します。詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Relase 4.1(1) を参照してください。

Unauthenticated ロール トラフィック ポリシー

外部 URL やサーバ リソースを参照するようにログイン ページをカスタマイズする場合は、その URL やサーバへのユーザ HTTP アクセスを許可するような Unauthenticated ロールのトラフィック ポリシーを作成する必要があります。ユーザ ロールのトラフィック ポリシーの設定に関する詳細は、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。


) ログイン ページで参照される要素へのアクセスを許可するように Unauthenticated ロール ポリシーが設定されていない場合、または参照 Web ページが何らか理由で利用できなくなった場合、ログイン証明書が送信されたあとに、ログイン ページがリダイレクトを続けるなどのエラーが見られる可能性があります。


プロキシの設定

デフォルトでは、CAS はポート 80 および 443 のクライアント トラフィックをログイン ページにリダイレクトします。非信頼ネットワーク上のユーザがプロキシ サーバや別のポートを使用する必要がある場合、適切に(Unauthenticated ユーザの)HTTP/HTTPS クライアント トラフィックをログイン ページにリダイレクトしたり、(Quarantine または Temporary ロール ユーザの)HTTP/HTTPS/FTP トラフィックを許可されたホストにリダイレクトしたりするために、対応プロキシ サーバ情報を使用して CAS を設定することができます。以下を指定することができます。

プロキシ サーバ ポートのみ(たとえば、8080、8000) ― ユーザがプロキシ サーバを利用できるもののその IP アドレスを知らないような(大学などの)環境で、有効です。

プロキシ サーバの IP アドレスとポートのペア(たとえば、10.10.10.2:80) ― 使用されるプロキシ サーバの IP とポートがわかっているような環境(企業など)で、有効です。


) プロキシ設定は、CAS 上に設定されたローカル ポリシーで、Device Management > Clear Access Server > Manage [CAS_IP_address] > Advanced > Proxy で設定されます。詳細は、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Relase 4.1(1) を参照してください。


また、「プロキシ サーバとホスト ポリシー」も参照してください。

デフォルト ログイン ページの追加

ユーザがログインできるようにするためには、デフォルト ログイン ページをシステムに追加する必要があります。以下の手順を行うと、試しにまず、すべてをデフォルトの設定値(*)のままにして、デフォルト ログイン ページを追加できます。その後、目的のサブネットやユーザ OS 専用のログイン ページを定義できます。すべての CAS 用のログイン ページを CAM に追加する手順は、次のとおりです。

1. Administration > User Pages > Login Page に進みます。

2. Add サブメニュー リンクをクリックします。

3. ページの対象として、 VLAN ID Subnet (IP/Mask) 、または Operating System を指定します。あらゆる VLAN ID またはサブネットを指定する場合は、フィールドにアスタリスク( * )を使用します。あらゆる OS を指定する場合は、 ALL を選択します。

図5-1 ログイン ページの追加

 

4. Add をクリックします。

5. Administartor > User Pages > Login Page > List に新しいページが追加されます。

図5-2 ログイン ページのリスト

 

ログイン ページの追加後、他のすべての属性を設定するためにログイン ページを編集する必要があります。詳細は、以下を参照してください。

「ページ タイプの(フレームベースまたは小型画面への)変更」

「ログイン ページの Web クライアントのイネーブル化」

「ログイン ページのコンテンツのカスタマイズ」

「右フレームのコンテンツの作成」

「ログイン ページのスタイルのカスタマイズ」

「その他のログイン プロパティの設定」

ページ タイプの(フレームベースまたは小型画面への)変更

ログイン ページを追加したあと、その General プロパティを編集してこれをイネーブル/ディセーブルにし、ターゲット VLAN ID/サブネットやオペレーティング システムを変更して、フレームベースまたは小型画面にページ タイプを変更するか、ActiveX/Java アプレット制御の使用をイネーブルにします(詳細についてはログイン ページの Web クライアントのイネーブル化を参照)。

デフォルトのフレームなしフォーマットからページのフォーマットを変更するには、次の手順を行います。

1. Administration > User Pages > Login Page > List から、カスタマイズするページの横にある Edit ボタンをクリックします。

2. デフォルトで、 General サブタブ ページが表示されます。

図5-3 General ログイン ページのプロパティ -- ページ タイプの設定

 

3. PageType ドロップダウン メニューから、次のいずれかのオプションを選択します。

Frameless (デフォルト)

Frame-based ― ページの左フレームに表示されるログイン フィールドを設定します。また独自にカスタマイズされたコンテンツ(組織のロゴ、参照 URL など)を持つ右フレームを設定することができます。詳細は、「右フレームのコンテンツの作成」を参照してください。

Small Screen (frameless) ― 小型ページが Palm や Windows CE デバイスでうまく機能するようにログイン ページを設定します。ページの寸法は、約 300 × 430 ピクセルです。

4. 他の設定はデフォルトのままにしておきます。

5. Update をクリックして変更を保存します。

ログイン ページの Web クライアントのイネーブル化

すべての構成に対して Web コンテンツ オプションをイネーブルにすることができますが、このオプションは L3 アウトオブバンド(OOB)で必須です。

L3 OOB 配置の Cisco NAC アプライアンスを設定するには、ログイン ページをイネーブルにして、CAS から複数の L3 ホップ離れているユーザに ActiveX 制御または Java アプレットのいずれかを配布する必要があります。ユーザが Web ログインを実行する際に ActiveX 制御/Java アプレットがダウンロードされ、クライアントの正しい MAC アドレスを取得するために使用されます。OOB 配置では、Certified リストと Port Profile のデバイス フィルタ設定に従ってポートを管理するために、CAM は正しいクライアント MAC アドレスが必要です。


) CAA がインストールされると、エージェントが自動的にクライアント上にあるすべてのネットワーク アダプタの MAC アドレスを CAS に送信します。「CAA によるすべての使用可能なアダプタの IP/MAC の送信」を参照してください。


CAA/ActiveX/アプレットによる DHCP のリリースと更新

認証およびポスチャ評価のあと、CAA や ActiveX 制御/Java アプレットを使用して クライアント マシンの DHCP IP アドレスを更新することができますが、その際ポート バウンスは不要です。この機能は、VoIP 環境で NAC アプライアンス OOB 配置を簡単に行えるようにすることを目的としています。

(デフォルトのアクセス VLAN がポート プロファイル内のアクセス VLAN である L2 OOB 仮想ゲートウェイを除く)ほとんどの OOB 配置で、ポスチャ評価のあと、クライアントは別の IP アドレスをアクセス VLAN から取得する必要があります。

クライアントが新しい IP アドレスを取得する方法が 2 種類あります。

Bounce the port after VLAN is changed ポート プロファイル オプションのイネーブル化。この場合、アクセス VLAN に割り当て後クライアントに接続されているスイッチ ポートがバウンスされ、DHCP を使用しているクライアントが IP アドレスを更新しようとします。この手法には、次のような制限があります。

VoIP 配置では、ポート バウンスが同じスイッチ ポートに接続されている IP フォンを切断して再接続するため、進行中の通信が中断されます。

スイッチ ポートがバウンスされても、クライアントのオペレーティング システムの中には自動的に DHCP IP アドレスを更新しないものがあります。

スイッチ ポートのシャットダウンと復帰プロセス、およびクライアントのオペレーティング システムでのポート バウンスの検出と IP アドレスの更新には時間が掛かる場合があります。

CAA、ActiveX 制御、または Java アプレットを使用した、ポート バウンスなしでのクライアント DHCP IP アドレスの更新。これにより、クライアントはアクセス VLAN 内の新しい IP アドレスを取得することが可能になり、ポート プロファイルの Bounce the switch port after VLAN is changed オプションはディセーブルのままにしておくことができます。

エージェント ログイン

クライアントが CAA を使用してログインする場合、クライアントがアクセス VLAN で新しい IP アドレスが必要になると、エージェントは自動的に DHCP IP アドレスを更新します。

Web ログイン

必要なときに ActiveX/アプレットがクライアントの IP アドレスを更新するために、次の User Login Page 設定で Web クライアントの使用をイネーブルにしておく必要があります。

Administration > User Pages > Login Page> Edit > General

Device Management > CCA Servers > Authentication > Login Page > Edit > General

Login Page 設定で、クライアントの IP アドレスの更新に Active X/アプレット Web クライアントを使用するために 2 つのオプションをチェックする必要があります。

Web クライアントを使用して、クライアント MAC アドレスとオペレーティング システムを検出します。

Web クライアントを使用して、必要なときに IP アドレスをリリースし更新します(OOB)。

同じ設定ページで、ネットワーク管理者は Web クライアント プリファレンスを設定することができます。通常、Linux/Mac OS クライアントは、IP アドレスの更新時に、クライアント ユーザに更新権限がない場合にルート/管理者パスワードの入力を求められます。Linux/Mac OS クライアントの IP アドレス更新でルート/管理者パスワードのプロンプトを回避するために、別のオプション( Install DHCP Refresh tool into Linux/Mac OS system directory オプション)が使用されます。


) DHCP Release、VLAN Change、DHCP Renew Delays for OOB の設定に関する詳細については、「高度な設定」を参照してください。


1. Administration > User Pages > Login Page > Edit | General の順番に進みます。

図5-4 Web クライアントのイネーブル化(ActiveX/Java アプレット)

 

2. Web Client(ActiveX/Applet) ドロップダウン メニューから、以下のいずれかのオプションを選択します。Preferred オプションの場合、優先されるオプションが最初にロードされ、失敗した場合は別のオプションがロードされます。Internet Explorer を使用する場合、Java アプレットよりも高速に動作するため、ActiveX が優先されます。

ActiveX Only ― ActiveX のみが実行されます。ActiveX が失敗した場合、Java アプレットの実行は試行されません。

Java Applet Only ― Java アプレットのみが実行されます。Java アプレットが失敗した場合、ActiveX の実行は試行されません。

ActiveX Preferred ― ActiveX が最初に実行されます。ActiveX が失敗した場合、Java アプレットの実行が試行されます。

Java Applet Preferred ― Java アプレットが最初に実行されます。Java アプレットが失敗した場合、ActiveX の実行が試行されます。

ActiveX on IE, Java Applet on non-IE Browser (デフォルト) ― Internet Explorer が検出された場合 ActiveX が実行され、別の(IE 以外の)ブラウザが検出された場合に Java アプレットが実行されます。IE で ActiveX が失敗した場合、CAS で Java アプレットの実行が試行されます。IE 以外のブラウザの場合、Java アプレットのみが実行されます。

クライアントの IP アドレスの更新に Active X/アプレット Web クライアントを使用するために、2 つのオプションをチェックする必要があります。

3. Use web client to detect client MAC address and Operating System のチェックボックスをオンにします。

4. Use web client to release and renew IP address when necessary (OOB) のチェックボックスをオンにして、スイッチ ポートのバウンスなしで認証後に OOB クライアントの IP アドレスをリリース/更新します。

5. Linux/Mac OS クライアントの IP アドレスリリース/更新で Web クライアントの使用がイネーブルの場合、任意で Install DHCP Refresh tool into Linux/Mac OS system directory オプションのチェックボックスをオンにすることができます。これにより、クライアントに DHCP 更新ツールがインストールされて、IP アドレス更新時にルート/管理者パスワード プロンプトが回避されます。

6. Update をクリックして設定値を保存します。


) この機能を使用するには、Device Management > CCA Servers > Manage [CAS_IP] > Network > IP で Enable L3 support をイネーブルにする必要があります。


詳細は、『 Cisco NAC Appliance - Cisco Clean Access Server Installation and Administration Guide 』の「Configuring Layer 3 Out-of Band (L3 OOB)」を参照してください。

ログイン ページのコンテンツのカスタマイズ

ログイン ページの追加後、ページに表示されるコンテンツを編集することができます。

1. Administration > User Pages > Login Page > List から、カスタマイズするページの横にある Edit ボタンをクリックします。

2. Content サブメニュー リンクをクリックします。ログイン ページの Content フォームが表示されます。

図5-5 ログイン ページのコンテンツ

 

3. 以下のテキスト フィールドおよびオプションを使用して、このページのログイン ページ制御値を設定します。

Image ― ログイン ページに表示したい画像ファイル(ロゴなど)。使用するロゴを参照できるように、まずロゴの画像をアップロードします。「リソース ファイルのアップロード」を参照してください。

Title ― ページのタイトル。ブラウザ ウィンドウのタイトル バーをログイン フィールドの上に表示されます。

Username Label ― ユーザ名入力フィールドのラベル

Password Label ― パスワード入力フィールドのラベル

Login Label ― ログイン証明書提出用のボタンのラベル

Provider Label ― 認証プロバイダーのドロップダウン リストの横に表示されるラベル

Default Provider ― ユーザに提示されるデフォルト プロバイダー

Available Providers ― このチェックボックスを使用して、ログイン ページ上の Providers ドロップダウン メニューから使用できる認証ソースを指定します。Provider Label とこれらのオプションのどちらも選択しないと、ログイン ページにプロバイダー メニューは表示されず、デフォルト プロバイダーが使用されます。

Instructions ― ユーザへの通知メッセージ。ログイン フィールドの下に表示されます。

Guest Label ― ページ上にゲスト アクセス ボタンとそのラベルを表示するかどうかを決定します。このオプションを選択すると、ログイン アカウントを持たないユーザがゲスト ユーザとしてネットワークにアクセスできるようになります。デフォルトでは、ゲスト ユーザは Unauthenticated ロールのローカル ユーザです。このデフォルト設定では、このロールには、狭いアクセス権限が定義されています。詳細は、「ゲスト ユーザ アクセス」を参照してください。

Help Label ― ページ上にヘルプ ボタンとそのラベルを表示するかどうかを決定します。

Help Contents ― ポップアップ ヘルプ ウィンドウのテキスト(ヘルプ ボタンをイネーブルにした場合)。このフィールドに入力できるのは HTML コンテンツだけです(URL は参照できません)。

Root CA Label ― ルート CA 証明書ファイルをインストールするためにユーザがクリックできるボタンをページに表示します。インストールされると、ユーザはネットワーク アクセス時に明示的に証明書に同意する必要はありません。

Root CA File ― 使用するルート CA 証明書ファイル

4. Update をクリックして変更を保存します。

5. 変更を保存したら、 View をクリックして、カスタマイズしたページがユーザにどのように表示されるのかを確認します。図5-6 は、各フィールドと、作成されたログイン ページの要素の対応を示したものです。

図5-6 ログイン ページの要素

 

右フレームのコンテンツの作成

1. Administration > User Pages > Login Page > List から、カスタマイズするページの横にある Edit ボタンをクリックします。(ページ タイプの(フレームベースまたは小型画面への)変更で説明されているように)ログイン ページをフレームベースに設定した場合は、 Right Frame サブメニュー リンクが表示されます。

2. Edit フォームから、 Right Frame サブリンクをクリックすると Right Frame Content フォーム(図5-7)が表示されます。

図5-7 ログイン ページ -- Right Frame Content

 

3. 右フレームには URL または HTML コンテンツを入力できます。

a. URL の入力 :(右フレームに表示される単一の Web ページ)

外部 URL の場合は、 http://www.webpage.com 形式を使用します。

CAM 上の URL の場合は、以下の形式を使用します。

https://<CAM_IP>/upload/file_name.htm

<CAM_IP> は、証明書に表示されるドメイン名または IP です。


) 外部 URL または CAM の URL を指定する場合は、その外部サーバ または CAM へのユーザ HTTP アクセスを許可する Unauthenticated ロールのトラフィック ポリシーが作成されていることを確認してください。さらに、ログイン ページで参照される外部 URL を変更または更新する場合、Unauthenticated ロール ポリシーも更新されていることを確認します。詳細は、「Unauthenticated ロール トラフィック ポリシー」および「デフォルト ロールのトラフィック ポリシーの追加」を参照してください。


b. HTML の入力 :(ロゴと HTML リンクなど、リソースの組み合わせを追加する場合)

Right Frame Content フィールドに、直接、HTML コンテンツを入力します。

HTML コンテンツ(画像、JavaScript ファイル、CSS を含む)の一部として、 File Upload タブでアップロード済みのリソースを参照する場合は、次の形式を使用します。

アップロードされた HTML ファイルへのリンクを参照する場合は、次の形式を使用します。

<a href=”file_name.html”> file_name.html </a>

画像ファイル(JPEG ファイルなど)を参照する場合は、次のように入力します。

<img src=”file_name.jpg”>

「リソース ファイルのアップロード」も参照してください。

4. Update をクリックして変更を保存します。

5. 変更を保存したら、 View をクリックして、カスタマイズしたページがユーザにどのように表示されるのかを確認します。

リソース ファイルのアップロード

Content フォームの Image フィールドのロゴなどのリソース ファイルを追加したり、HTML ページ、画像、ロゴ、JavaScript ファイル、CSS ファイルなど、フレーム ベースのログイン ページ用のリソースを追加するには、次の手順を行います。

1. Administration > User Pages > File Upload の順番に進みます。

図5-8 File Upload 画面

 

2. ご使用の PC から、ロゴ画像ファイルまたはその他のリソース ファイルをブラウズし、これを Filename で選択します。

3. (任意) Description フィールドに説明を入力します。

4. Upload をクリックします。そのファイルがリソース リストに表示されるはずです。


) • Administration > User Pages > File Upload を使用して CAM にアップロードされたファイルは、CAM とすべての CAS で使用可能です。これらのファイルは、CAM の /perfigo/control/tomcat/normal-webapps/upload に保存されます。

3.6(2)+ より前に CAM へアップロードされたファイルは削除されず、引き続き /perfigo/control/tomcat/normal-webapps/admin に保存されます。

Device Management > CCA Servers > Manage [CAS_IP] > Misc > Login Page > File Upload を使用して、特定の CAS にアップロードされたファイルは、CAM とそのローカル CAS のみで使用できます。CAS では、アップロードされたファイルは、 /perfigo/access/tomcat/webapps/auth に保存されます。詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Relase 4.1(1) を参照してください。


 

User Agreement Page(Web ログイン/ネットワーク スキャン ユーザ用)のコンテンツのアップロードについては、「ユーザ同意ページのカスタマイズ」も参照してください。

CAM に保存されたファイルへのクライアント アクセスを許可するようなトラフィック ポリシーの設定については、「デフォルト ロールのトラフィック ポリシーの追加」を参照してください。

ログイン ページのスタイルのカスタマイズ

1. ページの CSS プロパティを変更するには、 Login Page > Edit > Style の順番に進みます。

図5-9 ログイン ページのスタイル

 

2. BG(バックグラウンド)と FG(フォアグラウンド)の色およびプロパティを変更できます。 Form プロパティはログイン フィールドが含まれているページ部分に適用される点に注意してください(図5-6のグレーの網掛け部分)。

Left Frame Width:ログイン フィールドが含まれる左側のフレームの幅

Body BG_Color, Body FG_Color:ログイン ページの本体部分のバックグラウンドおよびフォアグラウンドの色

Form BG_Color, Form FG_Color:フォーム部分のバックグラウンドおよびフォアグラウンドの色

Misc BG_Color, Misc FG_Color:ログイン ページのその他の部分のバックグラウンドおよびフォアグラウンドの色

Body CSS:ログイン ページ本体部分の書式設定用の CSS タグ

Title CSS:ログイン ページのタイトル部分の書式設定用 CSS タグ

Form CSS:ログイン ページのフォーム部分の書式設定用 CSS タグ

Instruction CSS:ログイン ページのインストラクション部分の書式設定用 CSS タグ

Misc CSS:ログイン ページのその他の部分の書式設定用の CSS タグ

3. Update をクリックして Style ページでの変更を実行してから、View をクリックして、変更されたログイン ページを表示します。

その他のログイン プロパティの設定

「ログイン サクセス ページのリダイレクト」

「ログアウト ページの情報の指定」

ログイン サクセス ページのリダイレクト

デフォルトでは、CAM は認証済みの Web ログイン ユーザを元の要求ページに導きます。ロール別に認証済みユーザが別の場所にリダイレクトされるように指定することも可能です。リダイレクションの宛先を設定する手順は次のとおりです。

1. User Management > User Roles > List of Roles の順番に進みます。

2. ログイン サクセス ページを設定するロールの横の Edit ボタンをクリックします(図5-10)。

図5-10 ユーザ ロール変更ページ

 

3. After Successful Login Redirect to オプションで、[ this URL ] をクリックし、テキスト フィールドに宛先 URL を入力します。URL には必ず [ http:// ] も入力してください。その Web ページにユーザが到達できるように、HTTP アクセスを許可するトラフィック ポリシーがそのロール用に作成されていることを確認してください( IP ベースのグローバル トラフィック ポリシーを参照)。

4. 完了したら、 Save Role をクリックします。


) 通常、リダイレクト ページが指定されている場合は、新しいブラウザが開きます。クライアント上でポップアップ ブロッカーがイネーブルになっていると、Cisco NAC アプライアンス は、ログイン ステータス、ログアウト情報、VPN 情報(ある場合)を表示するために、ログアウト ページとしてメイン ブラウザ ウィンドウを使用します。



) Web ログインおよび CAA の認証には、クライアント ブラウザに高度暗号化(64 ビットまたは 128 ビット)が必要です。


ログアウト ページの情報の指定

正常なログイン後、クライアント マシン上のブラウザ内、通常、ログイン サクセス ブラウザの後ろに、ログアウト ページがポップアップします(図5-11)。

図5-11 ログアウト ページ

 

ロール別にログアウト ページに表示される情報を指定することができます。手順は以下のとおりです。

1. User Management > User Roles > List of Roles ページに進みます。

2. ログアウト ページを指定するロールの横にある Edit ボタンをクリックします。

3. Edit Role ページ(図5-10)で、該当する Show Logged on Users オプションをクリックすると、それらがログアウト ページに表示されます。

IPSec info ― そのユーザの IPSec 鍵。ダイナミック IPSec 鍵のオプションがイネーブルになっている場合は、ワンタイムの 128 ビット鍵がユーザに通知されます。ロール プロパティ ページでダイナミック IPSec 鍵のオプションがディセーブルに設定されると、ユーザにはデフォルトの事前鍵が与えられます。

PPP info ― ネットワーク上の PPP アクセス用のパスワード

User info ― ユーザ名など、そのユーザについての情報

Logout button ― ネットワーク ログオフ用のボタン


) 1 つもオプションを選択しないと、ログアウト ページは表示されません。


詳細は、「ローカル ユーザ アカウントの作成」を参照してください。

ゲスト ユーザ アクセス

ゲスト アクセスを使用すると、ビジターや一時的なユーザに限定されたネットワーク アクセス権を簡単に提供できます。インストール時に、CAM にはゲスト ユーザ アカウントが組み込まれています。デフォルトでは、ローカル ユーザ guest は、Unauthenticated ロールに属し、CAM 自体(プロバイダー: ローカル DB)によって検証されます。ゲスト ユーザに対して別のロールを指定して、ネットワークのゲスト ユーザに最適であるように、ログイン リダイレクション、トラフィック制御、タイムアウト ポリシーについてそのロールを設定します。

ゲスト アクセスにゲスト アカウント メソッドを使用すると、ゲスト ユーザは認証済みユーザと同じネットワークを使用します。イベント ログでは、すべてのゲスト ユーザをユーザ名 guest で表示しますが、各ゲストはログイン タイムスタンプと MAC/IP アドレス(L2 の場合)または IP アドレス(L3 の場合)によって識別されます。


) 組み込まれているゲスト アクセス アカウントを使用するには、ローカル認証をイネーブルにする必要があります。


ゲスト アクセスを実装するために、次の 2 つの方法があります。

ログイン ページ Guest Access のイネーブル化

この方法では、 Guest Access ボタンがユーザ ログイン ページでイネーブルになります。訪問者がこのボタンをクリックすると、ユーザ名とパスワード guest / guest が認証用に CAM に送信され、ゲスト ユーザが即座に希望する Web ページにリダイレクトされます。ゲスト ユーザに関連付けるための新規ユーザ ロールを設定する必要があることに注意してください。

1. ゲスト ユーザ ロールの作成

a. User Management > User Roles > New Role の順番に進みます。

b. 新しい Role Name (たとえば、Guest Role)を入力します。

c. After Successful Login Redirect to フィールドで、[ this URL: ] のオプションをクリックし、リダイレクション URL(たとえば、http://www.cisco.com/)を入力します。

d. Create Role をクリックします。

2. ゲスト ユーザとロールの関連付け

a. User Management > Local Users > List of Local User の順番に進みます。

b. ユーザ guest Edit ボタンをクリックします。

c. Role ドロップダウン リストから、作成したゲスト ロールを選択します。

d. Save User をクリックします。

3. ゲスト ロールのトラフィック ポリシーの設定

a. User Management > User Roles > List of Roles の順番に進み、ゲスト ロールの横の Policies ボタンをクリックします(ロールの Traffic Control ページが表示されます)。

b. Host サブリンク タブをクリックします。そのロールの Host Policies ページが表示されます。

c. Trusted DNS Server で、 Add ボタンをクリックして信頼できる DNS サーバをロールに追加します。

d. 許可済のホスト www.cisco.com など)を入力し、 Match オプション(たとえば、 contains )を選択し、 Add をクリックして、ユーザ ロールに設定したリダイレクション URL のポリシーを追加します。

e. IP または Host 設定ページでロールに必要な他のトラフィック ポリシーを設定します。

f. 必要な場合、 User Management > User Roles > Schedule > Session Timer > Edit [user role] で、ロールのセッション タイムアウトを設定します。

詳細は、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。

4. ログイン ページ上での Guest Access ボタンのイネーブル化

a. Administration > User Pages > Login Page > List の順番に進んで、ゲスト アクセスを提供するログイン ページの横にある Edit ボタンをクリックします。

b. Content サブリンクをクリックして、ページを編集します( Guest Label のチェックボックスをオンにします)。必要に応じて、ゲスト アクセス ボタンに表示されるラベルを変更します。

c. オプションで、他のユーザ入力ログイン フィールドをディセーブルにして、関連するゲスト ユーザへの指示を Instructions テキスト フィールドに入力します。左ペインのログイン画面を設定するには、 General サブリンクでページをフレームベースに設定します。詳細は、「ログイン ページのコンテンツのカスタマイズ」を参照してください。

d. Update をクリックします。

証明書のあるゲスト ユーザのイネーブル化

この方法を使用すると、ゲスト ユーザはログインに Guest Access ボタンを使用せずに、ログイン証明書として任意の ID を入力することができます。この方法により、ゲスト ユーザは E メール アドレスを送信することができます。ユーザがログインしている間、ユーザがログイン ページで送信する ID(E メール アドレスなど)が、Online Users ページに User Name として表示されます。

1. ゲスト ユーザ ロールの作成

2. ゲスト ユーザとロールの関連付け

3. ゲスト ロールのトラフィック ポリシーの設定

4. ゲスト ロールへの全許可管理プロバイダーのマッピング

a. User Management > Auth Servers > New の順番に進んで、 Authentication Type ドロップダウン メニューから Allow All を選択します。

b. Default Role で、ゲスト ユーザ用に作成済みの Guest ユーザ ロールを選択します。

c. Add Server をクリックします(詳細については、 Allow Allを参照してください)。

5. ログイン ページの設定

a. Administration > User Pages > Login Page > List > Edit [login page] | Content の順番に進みます。

b. ログイン ページで、 Username Label Email Address にするか、または ID の提供をユーザに求めない場合はユーザ名ラベルを隠します(Allow All 認証プロバイダー用の黙示的なユーザ名とパスワードは、guest/guestです)。

c. ログイン ページで、パスワード ラベル、プロバイダー、ゲスト ラベル ボタンを隠します。

d. この手順の最初のステップで設定した Allow All 認証プロバイダーにデフォルト プロバイダーを設定します。

これで、ゲストはログイン証明書なしでネットワークをアクセスできます。ログイン ページにユーザが E メール アドレスなどの ID を提出する場合は、ユーザがログインしている間、Online Users ページにその ID が表示されます。