Cisco Catalyst Blade Switch 3030 for Dell Software コンフィギュレーション ガイド
Web ベース認証の設定
Web ベース認証の設定
発行日;2012/01/31 | 英語版ドキュメント(2011/09/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

Web ベース認証の設定

Web ベース認証の概要

デバイスの役割

ホストの検出

セッションの作成

認証プロセス

ローカル Web 認証バナー

Web 認証カスタマイズ可能な Web ページ

注意事項

Web ベース認証とその他の機能との相互作用

ポート セキュリティ

LAN ポート IP

ゲートウェイ IP

ACL

コンテキストベース アクセス コントロール

802.1x 認証

EtherChannel

Web ベース認証の設定

Web ベース認証のデフォルト設定

Web ベース認証設定時の注意事項と制約事項

Web ベース認証設定タスク リスト

認証ルールとインターフェイスの設定

AAA 認証の設定

および RADIUS サーバ間の通信の設定

HTTP サーバの設定

認証プロキシ Web ページのカスタマイズ

正常なログインで使用されるリダイレクション URL の指定

AAA 失敗ポリシーの設定

Web ベース認証パラメータの設定

Web 認証ローカル バナーの設定

Web ベース認証キャッシュ エントリの削除

Web ベース認証ステータスの表示

Web ベース認証の設定

この章では、Web ベース認証を設定する方法について説明します。内容は次のとおりです。

「Web ベース認証の概要」

「Web ベース認証の設定」

「Web ベース認証ステータスの表示」


) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


Web ベース認証の概要

IEEE 802.1x サプリカントを実行していないホスト システムでエンド ユーザを認証するには、Web 認証プロキシと呼ばれる Web ベース認証機能を使用します。


) Web ベース認証はレイヤ 2 およびレイヤ 3 インターフェイスで設定できます。


HTTP セッションを開始すると、Web ベース認証はホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。このユーザは自分の資格情報を入力します。Web ベース認証機能は、認証のために、これを Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)サーバに送信します。

認証が正常に行われると、Web ベース認証は Login-Successful HTML ページをホストに送信し、AAA サーバにより返されたアクセス ポリシーを適用します。

認証に失敗した場合、Web ベース認証はユーザに Login-Fail HTML ページを転送し、ログインの再試行を促します。ユーザの認証試行回数が最大値を超えた場合、Web ベース認証はホストに Login-Expired HTML ページを転送します。同時に、このユーザは一定の待機期間中、監視対象リストに載せられます。

ここでは、AAA の一部としての Web ベース認証の役割について説明します。

「デバイスの役割」

「ホストの検出」

「セッションの作成」

「認証プロセス」

「Web 認証カスタマイズ可能な Web ページ」

「Web ベース認証とその他の機能との相互作用」

デバイスの役割

Web ベース認証では、ネットワーク上のデバイスには、次のように特別な役割があります。

クライアント :LAN およびサービスへのアクセスを要求して、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Java Script に対応した HTML ブラウザが稼動している必要があります。

認証サーバ :クライアントを認証します。認証サーバはクライアントの識別情報を確認し、そのクライアントが LAN およびスイッチ サービスへのアクセスを認可されているか、または拒否されているかをスイッチに通知します。

スイッチ :クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求して、その情報を認証サーバで確認し、クライアントに応答をリレーします。

図 9-1 は、ネットワークでのこれらのデバイスの役割を示しています。

図 9-1 Web ベース認証デバイスの役割

 

ホストの検出

スイッチは、検出されたホストに関する情報を格納するための IP デバイス トラッキング テーブルを維持します。


) デフォルトでは、スイッチの IP デバイス トラッキング機能はディセーブルにされています。Web ベース認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。


レイヤ 2 インターフェイスでは、Web ベース認証は、次のメカニズムを使用して IP ホストを検出します。

ARP ベースのトリガ:ARP リダイレクト ACL により、Web ベース認証は、スタティック IP アドレス、またはダイナミック IP アドレスを使用して、ホストを検出できるようになります。

ダイナミック ARP インスペクション

DHCP スヌーピング:Web ベース認証は、スイッチがホスト用の DHCP バインディング エントリを作成したときに通知を受けます。

セッションの作成

Web ベース認証は新しいホストを検出すると、次のようにしてセッションを作成します。

例外リストを確認します。

ホスト IP が例外リストに含まれている場合、例外リスト エントリのポリシーが適用され、セッションが確立されます。

認証バイパスを確認します。

ホスト IP が例外リストに含まれていない場合、Web ベース認証は NonResponsive-Host(NRH; 応答しないホスト)要求をサーバに送信します。

サーバの応答が access accepted である場合、認証はこのホストにバイパスされます。セッションが確立されます。

HTTP 代行受信 ACL を設定します。

NRH 要求へのサーバの応答が access rejected である場合、HTTP 代行受信 ACL がアクティブ化され、セッションはホストからの HTTP トラフィックを待ちます。

認証プロセス

Web ベース認証をイネーブルにすると、次のイベントが発生します。

ユーザは HTTP セッションを開始します。

HTTP トラフィックが代行受信され、認証が開始されます。スイッチはユーザにログイン ページを送信します。ユーザはユーザ名とパスワードを入力します。スイッチは入力内容を認証サーバに送信します。

認証が正常に終了すると、スイッチは認証サーバからユーザのアクセス ポリシーをダウンロードし、アクティブ化します。login success ページがユーザに送信されます。

認証に失敗した場合、スイッチは login fail ページを送信します。ユーザはログインを再試行します。失敗回数が最大試行回数に達した場合、スイッチはログイン login expired ページを送信します。同時に、このホストは監視対象リストに載せられます。監視対象リストのタイム アウト後、ユーザは認証プロセスを再試行できます。

認証サーバがスイッチに応答しないときに、AAA 失敗ポリシーが設定されていれば、スイッチはホストに失敗アクセス ポリシーを適用します。login success ページがユーザに送信されます(「ローカル Web 認証バナー」を参照)。

ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しない場合、またはレイヤ 3 インターフェイス上で、アイドル時間内にトラフィックを送信しなかった場合、スイッチはクライアントを再認証します。

この機能では、ダウンロードされたタイムアウト、またはローカルに設定されたセッション タイムアウトが適用されます。

Terminate-Action が RADIUS である場合、この機能は応答しないホスト(NRH)要求をサーバに送信します。Terminate-Action はサーバからの応答に含まれます。

Terminate-Action がデフォルトの場合、セッションは破棄され、適用されたポリシーは削除されます。

ローカル Web 認証バナー

Web 認証を使用してスイッチにログインしたときに表示されるバナーを作成することができます。

このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。

Authentication Successful

Authentication Failed

Authentication Expired

バナーの作成には、ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドを使用します。ログイン ページには、デフォルト バナー Cisco Systems および Switch host-name Authentication が表示されます。Cisco Systems は、図 9-2 のように、認証結果を示すポップアップ ページに表示されます。

図 9-2 Authentication Successful バナー

 

図 9-3 に示すように、バナーをカスタマイズすることもできます。

スイッチ、ルータ、または企業名をバナーに追加するには、ip admission auth-proxy-banner http banner-text グローバル コンフィギュレーション コマンドを使用します。

ロゴ、またはテキスト ファイルをバナーに追加するには、ip admission auth-proxy-banner http file-path グローバル コンフィギュレーション コマンドを使用します。

図 9-3 カスタマイズされた Web バナー

 

バナーをイネーブルにしなかった場合、Web 認証ログイン画面にはユーザ名とパスワードのダイアログボックスだけが表示されます。 図 9-4 に示すように、スイッチにログインするときにはバナーは表示されません。

図 9-4 バナーの表示されていないログイン画面

 

「Web 認証ローカル バナーの設定」を参照してください。

Web 認証カスタマイズ可能な Web ページ

Web ベース認証プロセス中、スイッチ内部の HTTP サーバは、4 ページの HTML ページをホストし、認証中のクライアントに配信します。サーバはこれらのページを使用して、次の 4 種類の認証プロセス ステートをユーザに通知します。

Login:資格情報が要求されます。

Success:ログインに成功しました。

Fail:ログインに失敗しました。

Expire:ログインの失敗回数が多すぎたため、ログイン セッションが期限切れになりました。

注意事項

デフォルトの内部 HTML ページを独自の HTML ページで置き換えることができます。

login、success、failure、および expire Web ページでは、ロゴを使用したり、テキストを指定したりすることができます。

バナー ページでは、login ページのテキストを指定できます。

これらのページは、HTML で記述されています。

指定された URL にアクセスするには、Success ページに HTML リダイレクト コマンドを組み込む必要があります。

この URL 文字列は有効な URL(例:http://www.cisco.com)である必要があります。不完全な URL は、Web ブラウザでの page not found またはこれに類するエラーの原因となる可能性があります。

HTTP 認証のための Web ページを設定する場合、このページには、適切な HTML コマンド(例:ページのタイムアウトを設定、非表示のパスワードの設定、または同じページが 2 回送信されていないことの確認を行うためのコマンド)を組み込む必要があります。

特定の URL にユーザをリダイレクトする CLI コマンドは、設定されたログイン フォームがイネーブルにされている場合、使用できません。管理者は、リダイレクションが Web ページで設定されていることを確認する必要があります。

認証後、特定の URL にユーザをリダイレクトする CLI コマンドの入力に続けて、Web ページを設定するコマンドが入力された場合、ユーザを特定の URL にリダイレクトする CLI コマンドは機能しません。

設定された Web ページはスイッチ ブート フラッシュ、またはフラッシュにコピーできます。

4 ページすべてを設定する必要があります。

Web ページを使って設定されたバナー ページは機能しません。

システム ディレクトリ(例:flash、disk0、disk)に格納され、login ページに表示されるべきロゴ ファイル(イメージ、フラッシュ、音声、ビデオなど)はすべて、web_auth_<filename> という形式の名前を使用する必要があります。

設定された認証プロキシ機能では、HTTP と SSL の両方がサポートされています。

図 9-5 に示すように、デフォルトの内部 HTML ページを独自の HTML ページで置き換えることができます。また、認証後にユーザがリダイレクトされる URL を指定することもできます。内部 Success ページはこの URL で置き換えられます。

図 9-5 カスタマイズ可能な認証ページ

 

詳細については、「認証プロキシ Web ページのカスタマイズ」を参照してください。

ポート セキュリティ

Web ベース認証、およびポート セキュリティを同じポートに設定することができます。Web ベース認証はポートを認証します。また、ポート セキュリティは、クライアントの MAC アドレスを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。この場合、このポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

ポート セキュリティをイネーブルにする手順については、 第 24 章「ポート セキュリティの設定」 を参照してください。

LAN ポート IP

LAN Port IP(LPIP; LAN ポート IP)およびレイヤ 2 Web ベース認証を同じポートに設定することができます。ホストは、まず、Web ベース認証を使用して認証され、次に LPIP ポスチャ検証が行われます。LPIP ホスト ポリシーは、Web ベース認証ホスト ポリシーよりも優先されます。

Web ベース認証アイドル時間が経過した場合、NAC ポリシーは削除されます。ホストが認証され、ポスチャは再度、検証されます。

ゲートウェイ IP

VLAN のスイッチ ポートのいずれかに Web ベース認証が設定されている場合、レイヤ 3 VLAN インターフェイスに Gateway IP(GWIP; ゲートウェイ IP)は設定できません。

同じレイヤ 3 インターフェイス上の Web ベース認証をゲートウェイ IP として設定できます。両方の機能のホスト ポリシーがソフトウェアで適用されます。GWIP ポリシーは、Web ベース認証ホスト ポリシーよりも優先されます。

ACL

インターフェイスで VLAN ACL または Cisco IOS ACL を設定した場合、Web ベース認証ホスト ポリシーの適用後に、ACL がホスト トラフィックだけに適用されます。

レイヤ 2 Web ベース認証では、ポートに接続されたホストからの入力トラフィックに対するデフォルト アクセス ポリシーとして、Port ACL(PACL; ポート ACL)を設定する必要があります。認証後、Web ベース認証ホスト ポリシーは、PACL よりも優先されます。

同じインターフェイス上に MAC ACL と Web ベース認証を設定することはできません。

VACL キャプチャ用に設定されたアクセス VLAN を持つポートで Web ベース認証を設定することはできません。

コンテキストベース アクセス コントロール

ポート VLAN のレイヤ 3 VLAN インターフェイス上に Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)が設定されている場合、レイヤ 2 ポート上に Web ベース認証は設定できません。

802.1x 認証

フォールバック認証方式として設定する場合を除き、Web ベース認証を 802.1x 認証と同じポートに設定することはできません。

EtherChannel

レイヤ 2 EtherChannel インターフェイスで Web ベース認証を設定できます。この Web ベース認証設定は、すべてのメンバー チャネルに適用されます。

Web ベース認証の設定

「Web ベース認証のデフォルト設定」

「Web ベース認証設定時の注意事項と制約事項」

「Web ベース認証設定タスク リスト」

「認証ルールとインターフェイスの設定」

「AAA 認証の設定」

「スイッチおよび RADIUS サーバ間の通信の設定」

「HTTP サーバの設定」

「Web ベース認証パラメータの設定」

「Web ベース認証キャッシュ エントリの削除」

Web ベース認証のデフォルト設定

表 9-1 に、Web ベース認証のデフォルト設定を示します。

 

表 9-1 Web ベース認証のデフォルト設定

機能
デフォルト設定

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

指定なし

1812

指定なし

無活動タイムアウトのデフォルト値

3,600 秒

無活動タイムアウト

イネーブル

Web ベース認証設定時の注意事項と制約事項

Web ベース認証は入力だけの機能です。

Web ベース認証を設定できるのはアクセスポートだけです。Web ベース認証は、トランク ポート、EtherChannel メンバー ポート、ダイナミック トランク ポートではサポートされていません。

Web ベース認証を設定する前に、インターフェイスにデフォルト ACL を設定する必要があります。レイヤ 2 インターフェイスについてはポート ACL、レイヤ 3 インターフェイスについては Cisco IOS ACL を設定します。

スタティック ARP キャッシュが割り当てられているレイヤ 2 インターフェイス上のホストは認証できません。このようなホストは ARP メッセージを送信しないため、Web ベース認証機能では検出されません。

デフォルトでは、スイッチの IP デバイス トラッキング機能はディセーブルにされています。Web ベース認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。

スイッチ HTTP サーバを実行するには、少なくとも IP アドレスを 1 つ設定する必要があります。各ホスト IP アドレスに到達するためのルートの設定も必要です。HTTP サーバは、ホストに HTTP ログイン ページを送信します。

STP トポロジを変更した結果、ホスト トラフィックが異なるポートに到着するようになった場合、2 ホップ以上離れたホストへのトラフィックが停止します。この原因として、レイヤ 2(STP)トポロジの変更後、ARP および DHCP アップデートが送信されなかったことが考えられます。

Web ベース認証は、ダウンロード可能なホスト ポリシーとして、VLAN 割り当てをサポートしていません。

IPv6 トラフィックについては、Web ベース認証はサポートされていません。

認証ルールとインターフェイスの設定

 

コマンド
目的

ステップ 1

ip admission name name proxy http

Web ベース認証用に認証ルールを設定します。

ステップ 2

interface type slot/port

インターフェイス コンフィギュレーション モードを開始し、Web ベース認証でイネーブルにされるように入力レイヤ 2 またはレイヤ 3 インターフェイスを指定します。

type には、fastethernet、gigabit ethernet、または tengigabitethernet を指定できます。

ステップ 3

ip access-group name

デフォルト ACL を適用します。

ステップ 4

ip admission name

指定されたインターフェイスで Web ベース認証を設定します。

ステップ 5

exit

コンフィギュレーション モードに戻ります。

ステップ 6

ip device tracking

IP デバイス トラッキング テーブルをイネーブルにします。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show ip admission configuration

設定を表示します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、ファスト イーサネット ポート 5/1 上で Web ベース認証をイネーブルにする方法を示します。

Switch(config)# ip admission name webauth1 proxy http
Switch(config)# interface fastethernet 5/1
Switch(config-if)# ip admission webauth1
Switch(config-if)# exit
Switch(config)# ip device tracking

次の例では、設定の検証方法を示します。

Switch# show ip admission configuration
Authentication Proxy Banner not configured
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
 
Authentication Proxy Rule Configuration
Auth-proxy name webauth1
http list not specified inactivity-time 60 minutes
 
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 認証の設定

 

コマンド
目的

ステップ 1

aaa new-model

AAA 機能をイネーブルにします。

ステップ 2

aaa authentication login default group { tacacs+ | radius }

ログイン時の認証方式のリストを定義します。

ステップ 3

aaa authorization auth-proxy default group { tacacs+ | radius }

Web ベース 認証で使用される認証方式のリストを作成します。

ステップ 4

tacacs-server host { hostname | ip_address }

AAA サーバを指定します。RADIUS サーバについては、「スイッチおよび RADIUS サーバ間の通信の設定」を参照してください。

ステップ 5

tacacs-server key { key-data }

スイッチと TACACS サーバの間で使用される認証および暗号鍵を設定します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、AAA をイネーブルにする方法を示します。

Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group tacacs+
Switch(config)# aaa authorization auth-proxy default group tacacs+

スイッチおよび RADIUS サーバ間の通信の設定

RADIUS セキュリティ サーバの識別情報は次のとおりです。

ホスト名

ホストの IP アドレス

ホスト名および特定の UDP ポート番号

IP アドレスおよび特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って選択されます。

RADIUS サーバ パラメータを設定するには、次のタスクを実行します。

 

コマンド
目的

ステップ 1

ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを持つことを指示します。

ステップ 2

radius-server host { hostname | ip-address } test username username

リモート RADIUS サーバのホスト名、または IP アドレスを指定します。

test username username オプションは、RADIUS サーバ接続の自動テストをイネーブルにします。指定された username は有効なユーザ名である必要はありません。

key オプションは、スイッチと RADIUS サーバの間で使用される認証と暗号鍵を指定します。

複数の RADIUS サーバを使用するには、サーバごとにこのコマンドを繰り返し入力します。

ステップ 3

radius-server key string

スイッチと、RADIUS サーバ上で実行される RADIUS デーモンの間で使用される認証および暗号鍵を設定します。

ステップ 4

radius-server vsa send authentication

RADIUS サーバからの ACL のダウンロードをイネーブルにします。この機能は、Cisco IOS Release 12.2(50)SG でサポートされています。

ステップ 5

radius-server dead-criteria tries num-tries

RADIUS サーバに送信したメッセージへの応答がない場合に、このサーバが非アクティブであると見なすまでのメッセージ送信回数を指定します。 num-tries の範囲は 1 ~ 100 です。

RADIUS サーバ パラメータを設定する場合

key string は、単独でコマンドラインに指定します。

key string には、 スイッチ と RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。key は文字列であり、RADIUS サーバで使用されている暗号鍵と一致する必要があります。

key string を指定するときには、鍵の中間および末尾にスペースを使用します。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL の『 Cisco IOS Security Configuration Guide, Release 12.2 』および『 Cisco IOS Security Command Reference , Release 12.2』を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


) スイッチの IP アドレス、サーバとスイッチの両方で共有されるキー ストリング、Downloadable ACL(DACL; ダウンロード可能な ACL)など、一部の設定は RADIUS サーバで行う必要があります。詳細については、RADIUS サーバのマニュアルを参照してください。


次の例では、スイッチで RADIUS サーバ パラメータを設定する方法を示します。

Switch(config)# ip radius source-interface Vlan80
Switch(config)# radius-server host 172.l20.39.46 test username user1
Switch(config)# radius-server key rad123
Switch(config)# radius-server dead-criteria tries 2

HTTP サーバの設定

Web ベース認証を使用するには、スイッチで HTTP サーバをイネーブルにする必要があります。このサーバは HTTP または HTTPS のいずれかについてイネーブルにできます。

 

コマンド
目的

ステップ 1

ip http server

HTTP サーバをイネーブルにします。Web ベース認証機能は HTTP サーバを使用して、ホストと通信し、ユーザ認証を行います。

ステップ 2

ip http secure-server

HTTPS をイネーブルにします。

正常にログインを行うために、カスタム認証プロキシ Web ページを設定するか、またはリダイレクション URL を指定することができます。


) ip http secure-secure コマンドを入力したときに、セキュア認証が確実に行われるようにするために、ユーザが HTTP 要求を送った場合でも、ログイン ページは必ず HTTPS(セキュア HTTP)です。


「認証プロキシ Web ページのカスタマイズ」

「正常なログインで使用されるリダイレクション URL の指定」

認証プロキシ Web ページのカスタマイズ

Web ベースの認証中に、スイッチのデフォルトの HTML ページの代わりに、ユーザに 4 種類の HTML ページを表示するように Web 認証を設定できます。

カスタム認証プロキシ Web ページの使用を指定するには、まず、カスタム HTML ファイルをスイッチのフラッシュ メモリに格納し、その後、グローバル コンフィギュレーション モードで次のタスクを実行します。

 

コマンド
目的

ステップ 1

ip admission proxy http login page file device:login-filename

デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を、スイッチのメモリのファイル システムから指定します。 device: はフラッシュ メモリです。

ステップ 2

ip admission proxy http success page file device:success-filename

デフォルトの login success ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 3

ip admission proxy http failure page file device:fail-filename

デフォルトの login failure ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 4

ip admission proxy http login expired page file device:expired-filename

デフォルトの login expired ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

カスタマイズした認証プロキシ Web ページを設定するときには、次の注意事項に従ってください。

カスタム Web ページ機能をイネーブルにするには、4 種類のカスタム HTML ファイルをすべて指定します。指定したファイルが 4 つ未満であった場合、内部デフォルト HTML ページが使用されます。

4 つのカスタム HTML ファイルは、スイッチのフラッシュ メモリに存在していなければなりません。各 HTML ファイルの最大サイズは 8 KB です。

カスタム ページ上のイメージはすべて、アクセス可能な HTTP サーバ上に存在する必要があります。アドミッション ルールの範囲内で、代行受信 ACL を設定します。

カスタム ページからの外部リンクはすべて、アドミッション ルールの範囲内での代行受信 ACL の設定を必要とします。

有効な DNS サーバにアクセスするには、外部リンクまたはイメージにより必要とされるすべての名前解決で、アドミッション ルールの範囲内での代行受信 ACL の設定が必要です。

カスタム Web ページ機能がイネーブルにされている場合、設定された auth-proxy-banner は使用されません。

カスタム Web ページ機能がイネーブルにされている場合、ログインの成功に対するリダイレクション URL は使用できません。

カスタム ファイルの指定を削除するには、このコマンドの no 形式を使用します。

カスタム ログイン ページはパブリック Web フォームですから、このページについては次の注意事項に従ってください。

ログイン フォームはユーザ名とパスワードのユーザ入力を受け付け、これらを uname および pwd として示す必要があります。

カスタム ログイン ページは、ページ タイムアウト、非表示パスワード、冗長な送信の防止など、Web フォームのベスト プラクティスに従う必要があります。

次の例では、カスタム認証プロキシ Web ページを作成する方法を示します。

Switch(config)# ip admission proxy http login page file flash:login.htm
Switch(config)# ip admission proxy http success page file flash:success.htm
Switch(config)# ip admission proxy http fail page file flash:fail.htm
Switch(config)# ip admission proxy http login expired page flash flash:expired.htm
 

次の例では、カスタム認証プロキシ Web ページの設定を確認する方法を示します。

Switch# show ip admission configuration
Authentication proxy webpage
Login page : flash:login.htm
Success page : flash:success.htm
Fail Page : flash:fail.htm
Login expired Page : flash:expired.htm
 
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

正常なログインで使用されるリダイレクション URL の指定

認証後、ユーザのリダイレクト先となる URL を指定し、内部 Success HTML ページを事実上、置き換えることができます。

 

コマンド
目的

ip admission proxy http success redirect url-string

デフォルトの login success ページの代わりに、ユーザのリダイレクト先 URL を指定します。

正常なログインで使用されるリダイレクション URL を使用する場合は、次の注意事項を考慮してください。

カスタム認証プロキシ Web ページ機能がイネーブルにされている場合、リダイレクション URL 機能はディセーブルにされ、CLI では使用できません。リダイレクションは custom-login success ページで実行できます。

リダイレクション URL 機能がイネーブルにされている場合、設定された auth-proxy-banner は使用されません。

リダイレクション URL の指定を削除するには、このコマンドの no 形式を使用します。

次の例では、正常なログインにおけるリダイレクション URL の設定方法について説明します。

Switch(config)# ip admission proxy http success redirect www.cisco.com
 

次の例では、正常なログインにおけるリダイレクション URL の確認方法について説明します。

Switch# show ip admission configuration
Authentication Proxy Banner not configured
Customizable Authentication Proxy webpage not configured
HTTP Authentication success redirect to URL: http://www.cisco.com
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Max HTTP process is 7
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 失敗ポリシーの設定

 

コマンド
目的

ステップ 1

ip admission name rule-name proxy http event timeout aaa policy identity identity_policy_name

AAA 失敗ルールを作成し、AAA サーバが到達不能である場合にセッションに適用されるアイデンティティのポリシーを関連付けます。

グローバル コンフィギュレーション コマンドを使用します。

ステップ 2

ip admission ratelimit aaa-down number_of_sessions

(任意)AAA ダウン ステートにおけるホストからの認証の試行をレート制限します。これにより、AAA サーバがサービスを再開したときに、このサーバのフラッディングを回避することができます。

次の例では、AAA 失敗ポリシーを適用する方法を示します。

Switch(config)# ip admission name AAA_FAIL_POLICY proxy http event timeout aaa policy identity GLOBAL_POLICY1
 

次の例では、接続されたホストに AAA ダウン ステートのホストが含まれているかどうかを判断する方法を示します。

Switch# show ip admission cache
Authentication Proxy Cache
Client IP 209.165.201.11 Port 0, timeout 60, state ESTAB (AAA Down)
 

次の例では、ホスト IP アドレスに基づいて、特定のセッションに関する詳細情報を表示する方法を示します。

Switch# show ip admission cache 209.165.201.11
Address : 209.165.201.11
MAC Address : 0000.0000.0000
Interface : Vlan333
Port : 3999
Timeout : 60
Age : 1
State : AAA Down
AAA Down policy : AAA_FAIL_POLICY
 

Web ベース認証パラメータの設定

クライアントが待機期間中、監視対象リストに載せられるまでのログイン試行の最大失敗回数を設定できます。

 

コマンド
目的

ステップ 1

ip admission max-login-attempts number

失敗ログイン試行の最大回数を設定します。指定できる範囲は 1 ~ 2147483647 回です。デフォルト値は 5 です。

ステップ 2

end

特権 EXEC モードに戻ります。

ステップ 3

show ip admission configuration

認証プロキシの設定を表示します。

ステップ 4

show ip admission cache

認証エントリのリストを表示します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、ログイン試行の失敗の最大回数を 10 に設定する方法を示します。

Switch(config)# ip admission max-login-attempts 10

Web 認証ローカル バナーの設定

Web 認証が設定されているスイッチでローカル バナーを設定するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip admission auth-proxy-banner http [banner-text | file-path]

ローカル バナーをイネーブルにします。

(任意)C banner-text C と入力して、カスタム バナーを作成します。ここで、C は区切り文字、またはバナーに表示されるファイル(たとえば、ロゴやテキスト ファイル)を表すファイルパスを示します。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、カスタム メッセージ My Switch が表示されたローカル バナーを設定する方法を示します。

Switch(config) configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa ip auth-proxy auth-proxy-banner C My Switch C
Switch(config) end
 

ip auth-proxy auth-proxy-banner コマンドの詳細は、Cisco.com にある『Cisco IOS Security Command Reference』の「Authentication Proxy Commands」を参照してください。

Web ベース認証キャッシュ エントリの削除

 

コマンド
目的

clear ip auth-proxy cache { * | host ip address }

認証プロキシ エントリを削除します。キャッシュ エントリをすべて削除するには、アスタリスクを使用します。ある 1 つのホストのエントリを削除するには、具体的な IP アドレスを入力します。

clear ip admission cache { * | host ip address }

認証プロキシ エントリを削除します。キャッシュ エントリをすべて削除するには、アスタリスクを使用します。ある 1 つのホストのエントリを削除するには、具体的な IP アドレスを入力します。

次の例は、IP アドレス 209.165.201.1 のクライアントで Web ベース認証セッションを削除する方法を示します。

Switch# clear ip auth-proxy cache 209.165.201.1

Web ベース認証ステータスの表示

すべてのインターフェイス、または特定のポートに対する Web ベース認証設定を表示するには、次のタスクを実行します。

 

コマンド
目的

ステップ 1

show authentication sessions
[ interface type slot/port ]

Web ベース認証の設定を表示します。

type には、fastethernet、gigabit ethernet、または tengigabitethernet を指定できます。

(任意)特定のインターフェイスの Web ベース認証設定を表示するには、 interface キーワードを使用します。

次の例では、グローバル Web ベース認証ステータスだけを表示する方法を示します。

Switch# show authentication sessions
 

次の例では、ギガビット インターフェイス 3/27 の Web ベース認証設定を表示する方法を示します。

Switch# show authentication sessions interface gigabitethernet 3/27