Catalyst 2975 スイッチ ソフトウェア コンフィギュレーション ガイド,12.2(52)SE
Web-Based 認証の設定
Web-Based 認証の設定
発行日;2012/02/05 | 英語版ドキュメント(2009/10/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Web-Based 認証の設定

Web-Based 認証の概要

デバイスの役割

ホストの検出

セッションの作成

認証プロセス

ローカル Web 認証バナー

Web 認証のカスタマイズ可能な Web ページ

注意事項

Web-Based 認証とその他の機能の相互作用

ポート セキュリティ

LAN ポート IP

ゲートウェイ IP

ACL

コンテキスト ベース アクセス コントロール

802.1x 認証

EtherChannel

Web-Based 認証の設定

Web-Based 認証のデフォルト設定

Web-Based 認証の設定に関する注意事項および制限事項

Web-Based 認証の設定作業リスト

認証ルールおよびインターフェイスの設定

AAA 認証の設定

と RADIUS サーバの通信の設定

HTTP サーバの設定

認証プロキシ Web ページのカスタマイズ

成功したログインに対するリダイレクション URL の指定

AAA 失敗ポリシーの設定

Web-Based 認証のパラメータの設定

Web 認証ローカル バナーの設定

Web-Based 認証のキャッシュ エントリの削除

Web-Based 認証ステータスの表示

Web-Based 認証の設定

この章では、Web-Based 認証を設定する方法について説明します。内容は次のとおりです。

「Web-Based 認証の概要」

「Web-Based 認証の設定」

「Web-Based 認証ステータスの表示」


) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


Web-Based 認証の概要

Web-Based 認証機能(Web 認証プロキシ)を使用して、IEEE 802.1x サプリカントを実行していないホスト システム上のエンド ユーザを認証します。


) レイヤ 2 およびレイヤ 3 インターフェイスで Web-Based 認証を設定できます。


HTTP セッションを開始すると、Web-Based 認証はホストからの入力 HTTP パケットを代行受信し、HTML ログイン ページをユーザに送信します。ユーザが資格情報を入力すると、Web-Based 認証機能はそれらを認証するために authentication, authorization, and accounting(AAA; 認証、認可、アカウンティング)サーバに送信します。

認証が成功すると、Web-Based 認証は Login-Successful HTML ページをホストに送信し、AAA サーバから返されるアクセス ポリシーを適用します。

認証が失敗すると、Web-Based 認証は Login-Fail HTML ページをユーザに転送し、ユーザにログインの再試行を促します。ユーザが最大試行回数を超えた場合、Web-Based 認証は Login-Expired HTML ページをホストに転送し、ユーザは待機期間が経過するまで監視リストに加えられます。

次の項では、AAA の一環としての Web-Based 認証の役割について説明します。

「デバイスの役割」

「ホストの検出」

「セッションの作成」

「認証プロセス」

「Web 認証のカスタマイズ可能な Web ページ」

「Web-Based 認証とその他の機能の相互作用」

デバイスの役割

Web-Based 認証で、ネットワークのデバイスは次のような特定の役割を担います。

クライアント :LAN およびサービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションは、Java Script が有効になっている HTML ブラウザを実行している必要があります。

認証サーバ :クライアントを認証します。認証サーバは、クライアントの識別情報を検証し、クライアントに LAN およびスイッチサービスへのアクセスを許可すべきか、クライアントを拒否すべきかをスイッチに通知します。

スイッチ :クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。

図 11-1 に、ネットワークでのこれらのデバイスの役割を示します。

図 11-1 Web-Based 認証のデバイスの役割

 

ホストの検出

スイッチは、検出されたホストに関する情報を格納するための IP デバイス トラッキング テーブルを保持します。


) デフォルトでは、IP デバイス トラッキング機能はスイッチでディセーブルになっています。Web-Based 認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。


レイヤ 2 インターフェイスの場合、Web-Based 認証は、次のメカニズムを使用して IP ホストを検出します。

ARP ベースのトリガー:ARP リダイレクト ACL により、Web-Based 認証はスタティック IP アドレスまたはダイナミック IP アドレスを使ってホストを検出できます。

ダイナミック ARP インスペクション

DHCP スヌーピング:Web-Based 認証は、スイッチがホストの DHCP バインディング エントリを作成したときに通知を受けます。

セッションの作成

Web-Based 認証は、新しいホストを検出したときに次のようにセッションを作成します。

例外リストを確認する。

ホスト IP が例外リストに含まれている場合、例外リスト エントリのポリシーが適用され、セッションが確立されます。

許可省略を確認する。

ホスト IP が例外リストにない場合、Web-Based 認証は nonresponsive-host(NRH)要求をサーバに送信します。

サーバ応答が access accepted の場合、このホストに対する許可は省略されます。セッションを確立します。

HTTP 代行受信 ACL を設定する。

NRH 要求へのサーバ応答が access rejected の場合、HTTP 代行受信 ACL がアクティブ化され、セッションはホストからの HTTP トラフィックを待機します。

認証プロセス

Web-Based 認証をイネーブルにすると、次のイベントが発生します。

ユーザが HTTP セッションを開始します。

HTTP トラフィックが代行受信され、許可が開始されます。スイッチは、ユーザにログイン ページを送信します。ユーザがユーザ名とパスワードを入力し、スイッチは認証サーバにエントリを送信します。

認証が成功すると、スイッチは認証サーバからユーザのアクセス ポリシーをダウンロードしてアクティブ化します。ログイン成功ページがユーザに送信されます。

認証が失敗すると、スイッチはログイン失敗ページを送信します。ユーザがログインを再試行します。最大試行回数失敗すると、スイッチはログイン失効ページを送信し、ホストは監視リストに加えられます。監視リストがタイムアウトした後、ユーザは認証プロセスを再試行できます。

認証サーバがスイッチに応答しない場合、および AAA 失敗ポリシーが設定されている場合、スイッチは失敗アクセス ポリシーをホストに適用します。ログイン成功ページがユーザに送信されます(「ローカル Web 認証バナー」を参照)。

スイッチは、ホストがレイヤ 2 インターフェイスで ARP プローブに応答しない場合、またはレイヤ 3 インターフェイスでホストがアイドル タイムアウト内にトラフィックを送信しない場合、クライアントを再認証します。

機能は、ダウンロードされたタイムアウトまたはローカルで設定されたセッション タイムアウトに適用されます。

終端処理が RADIUS の場合、機能はサーバに nonresponsive host(NRH)要求を送信します。終端処理はサーバからの応答に含まれています。

終端処理がデフォルトの場合、セッションは破棄され、適用されたポリシーは削除されます。

ローカル Web 認証バナー

Web 認証を使用してスイッチにログインしたときに表示されるよう、バナーを作成できます。

このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。

Authentication Successful

Authentication Failed

Authentication Expired

バナーは、ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドで作成します。ログイン ページには、デフォルトのバナー Cisco Systems および Switch host-name Authentication が表示されます。認証結果ポップアップ ページには、Cisco Systems と表示されます(図 11-2を参照)。

図 11-2 Authentication Successful バナー

 

バナーをカスタマイズすることもできます(図 11-3を参照)。

ip admission auth-proxy-banner http banner-text グローバル コンフィギュレーション コマンドを使用して、スイッチ名やルータ名、会社名をバナーに追加する。

ip admission auth-proxy-banner http file-path グローバル コンフィギュレーション コマンドを使用して、ロゴやテキスト ファイルをバナーに追加する。

図 11-3 カスタマイズされた Web バナー

 

バナーをイネーブルにしない場合は、ユーザ名とパスワードのダイアログボックスだけが、Web 認証ログイン画面に表示され、スイッチへのログイン時にバナーは表示されません( 図 11-4 を参照)

図 11-4 バナーのないログイン画面

 

詳細については、『Cisco IOS Security Command Reference』および「Web 認証ローカル バナーの設定」を参照してください。

Web 認証のカスタマイズ可能な Web ページ

Web-Based 認証プロセスで、スイッチ内部の HTTP サーバは、認証クライアントに配信するための 4 つの HTML ページをホストします。サーバは、これらのページを使用して、次の 4 つの認証プロセス ステートを通知します。

Login:資格情報が要求されます。

Success:ログインは成功しました。

Fail:ログインは失敗しました。

Expire:ログインの失敗回数が多すぎるため、ログイン セッションは失効しました。

注意事項

デフォルトの内部 HTML ページを独自の HTML ページに置き換えることができます。

ログイン、成功、失敗、失効の各 Web ページでは、ロゴを使用することも、テキストを指定することもできます。

バナー ページで、ログイン ページのテキストを指定できます。

ページは HTML 形式です。

特定の URL にアクセスするには、成功ページに HTML リダイレクト コマンドを含める必要があります。

URL 文字列は、有効な URL(たとえば http://www.cisco.com)である必要があります。URL が不完全だと、page not found または同様のエラーが Web ブラウザで表示される場合があります。

HTTP 認証を行うように Web ページを設定する場合、ページには、適切な HTML コマンドを含める必要があります(たとえば、ページのタイムアウトを設定する、非表示パスワードを設定する、同じページが 2 回送信されないことを確認するためのコマンドなど)。

ユーザを特定の URL にリダイレクトするための CLI コマンドは、設定されたログイン フォームがイネーブルになっている場合は使用できません。管理者は、Web ページでリダイレクションが設定されていることを確認する必要があります。

認証後に特定の URL にユーザをリダイレクトする CLI コマンドが入力されてから、Web ページを設定するコマンドが入力された場合、特定の URL にユーザをリダイレクトする CLI コマンドは無効になります。

設定された Web ページは、スイッチ ブート フラッシュまたはフラッシュにコピーできます。

設定されたページには、スタック マスターまたはメンバー上のフラッシュからアクセスできます。

ログイン ページを 1 つのフラッシュにし、成功ページと失敗ページを別のフラッシュ(たとえば、スタック マスターまたはメンバー上のフラッシュ)にすることができます。

4 つのページすべてを設定する必要があります。

バナー ページは、Web ページで設定されている場合、無効になります。

システム ディレクトリ(たとえば、フラッシュ、disk0、またはディスク)に格納され、ログイン ページに表示する必要があるすべてのロゴ ファイル(画像、フラッシュ、オーディオ、ビデオなど)は、web_auth_<filename> というファイル名を使用する必要があります。

設定された認証プロキシ機能は、HTTP と SSL の両方をサポートします。

デフォルトの内部 HTML ページを独自の HTML ページに置き換えることができます(図 11-5 を参照)。認証後にユーザがリダイレクトされる URL を指定して、内部の成功ページを置き換えることもできます。

図 11-5 カスタマイズ可能な認証ページ

 

詳細については、「認証プロキシ Web ページのカスタマイズ」を参照してください。

ポート セキュリティ

同じポートで Web-Based 認証とポート セキュリティを設定できます。Web-Based 認証はポートを認証し、ポート セキュリティは、クライアントの MAC アドレスなど、すべての MAC アドレスに対するネットワーク アクセスを管理します。この場合、ポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

ポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

LAN ポート IP

同じポートで LAN ポート IP(LPIP)とレイヤ 2 Web-Based 認証を設定できます。ホストは最初に Web-Based 認証を使用して認証されます。その後、LPIP ポスチャ検証が続きます。LPIP ホスト ポリシーは、Web-Based 認証のホスト ポリシーを上書きします。

Web-Based 認証のアイドル タイマーの期限が切れると、NAC ポリシーは削除されます。ホストは認証され、ポスチャは再び検証されます。

ゲートウェイ IP

Web-Based 認証が VLAN 内のいずれかのスイッチ ポートで設定されている場合は、レイヤ 3 VLAN インターフェイスでゲートウェイ IP(GWIP)を設定できません。

ゲートウェイ IP と同じレイヤ 3 インターフェイスで Web-Based 認証を設定できます。両方の機能のホスト ポリシーがソフトウェアで適用されます。GWIP ポリシーは、Web-Based 認証のホスト ポリシーを上書きします。

ACL

インターフェイスで VLAN ACL または Cisco IOS ACL を設定すると、ACL は、Web-Based 認証のホスト ポリシーが適用された後にだけホスト トラフィックに適用されます。

レイヤ 2 の Web-Based 認証では、ポートに接続されているホストからの入力トラフィックのデフォルト アクセス ポリシーとして、ポート ACL(PACL)を設定する必要があります。認証後、Web-Based 認証のホスト ポリシーは PACL を上書きします。

同じインターフェイスに MAC ACL と Web-Based 認証を設定することはできません。

アクセス VLAN が VACL の取り込みのために設定されているポートで、Web-Based 認証を設定することはできません。

コンテキスト ベース アクセス コントロール

Context-Based Access Control(CBAC; コンテキスト ベース アクセス コントロール)がポート VLAN のレイヤ 3 VLAN インターフェイスで設定されている場合は、Web-Based 認証をレイヤ 2 ポートで設定できません。

802.1x 認証

フォールバック認証方式の場合を除き、802.1x 認証と同じポートで Web-Based 認証を設定することはできません。

EtherChannel

レイヤ 2 EtherChannel インターフェイスでは Web-Based 認証を設定できます。Web-Based 認証の設定は、すべてのメンバー チャネルに適用されます。

Web-Based 認証の設定

「Web-Based 認証のデフォルト設定」

「Web-Based 認証の設定に関する注意事項および制限事項」

「Web-Based 認証の設定作業リスト」

「認証ルールおよびインターフェイスの設定」

「AAA 認証の設定」

「スイッチと RADIUS サーバの通信の設定」

「HTTP サーバの設定」

「Web-Based 認証のパラメータの設定」

「Web-Based 認証のキャッシュ エントリの削除」

Web-Based 認証のデフォルト設定

表 11-1 に、Web-Based 認証のデフォルト設定を示します。

 

表 11-1 Web-Based 認証のデフォルト設定

機能
デフォルト設定

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

指定なし

1812

指定なし

無活動タイムアウトのデフォルト値

3600 秒

無活動タイムアウト

イネーブル

Web-Based 認証の設定に関する注意事項および制限事項

Web-Based 認証は、入力専用の機能です。

Web-Based 認証はアクセス ポートでだけ設定できます。Web-Based 認証は、トランク ポート、EtherChannel メンバー ポート、またはダイナミック トランク ポートではサポートされません。

Web-Based 認証を設定する前に、インターフェイスでデフォルト ACL を設定する必要があります。レイヤ 2 インターフェイスにポート ACL、またはレイヤ 3 インターフェイスに Cisco IOS ACL を設定します。

スタティック ARP キャッシュが割り当てられているレイヤ 2 インターフェイスではホストを認証できません。これらのホストは、ARP メッセージを送信しないため、Web-Based 認証機能によって検出されません。

デフォルトでは、IP デバイス トラッキング機能はスイッチでディセーブルになっています。Web-Based 認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。

スイッチ HTTP サーバを実行するには、少なくとも 1 つの IP アドレスを設定する必要があります。また、各ホスト IP アドレスに到達するためのルートも設定する必要があります。HTTP サーバは、HTTP ログイン ページをホストに送信します。

STP トポロジ変更によってホスト トラフィックが異なるポートに到達する場合、複数ホップ離れているホストではトラフィックの中断が発生する場合があります。これは、レイヤ 2(STP)トポロジ変更後に ARP および DHCP 更新が送信されていない可能性があるために発生します。

Web-Based 認証は、VLAN 割り当てをダウンロード可能なホスト ポリシーとしてサポートしません。

Web-Based 認証は、IPv6 トラフィックに対してはサポートされません。

認証ルールおよびインターフェイスの設定

 

コマンド
目的

ステップ 1

ip admission name name proxy http

Web-Based 認証の認証ルールを設定します。

ステップ 2

interface type slot/port

インターフェイス コンフィギュレーション モードを開始し、Web-Based 認証に対してイネーブルにする入力レイヤ 2 またはレイヤ 3 インターフェイスを指定します。

type には、fastethernet、gigabit ethernet、または tengigabitethernet を指定します。

ステップ 3

ip access-group name

デフォルト ACL を適用します。

ステップ 4

ip admission name

指定されたインターフェイスで Web-Based 認証を設定します。

ステップ 5

exit

コンフィギュレーション モードに戻ります。

ステップ 6

ip device tracking

IP デバイス トラッキング テーブルをイネーブルにします。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show ip admission configuration

設定を表示します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、ファスト イーサネット ポート 5/1 で Web-Based 認証をイネーブルにする例を示します。

Switch(config)# ip admission name webauth1 proxy http
Switch(config)# interface fastethernet 5/1
Switch(config-if)# ip admission webauth1
Switch(config-if)# exit
Switch(config)# ip device tracking
 

次に、設定を確認する例を示します。

Switch# show ip admission configuration
Authentication Proxy Banner not configured
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
 
Authentication Proxy Rule Configuration
Auth-proxy name webauth1
http list not specified inactivity-time 60 minutes
 
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 認証の設定

 

コマンド
目的

ステップ 1

aaa new-model

AAA 機能をイネーブルにします。

ステップ 2

aaa authentication login default group { tacacs+ | radius }

ログイン時の認証方式のリストを定義します。

ステップ 3

aaa authorization auth-proxy default group { tacacs+ | radius }

Web-Based 認証の許可方式リストを作成します。

ステップ 4

tacacs-server host { hostname | ip_address }

AAA サーバを指定します。RADIUS サーバについては、「スイッチと RADIUS サーバの通信の設定」を参照してください。

ステップ 5

tacacs-server key { key-data }

スイッチと TACACS サーバとの間で使用される許可および暗号鍵を設定します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、AAA をイネーブルにする例を示します。

Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group tacacs+
Switch(config)# aaa authorization auth-proxy default group tacacs+

スイッチと RADIUS サーバの通信の設定

RADIUS セキュリティ サーバの識別情報には次のものがあります。

ホスト名

ホスト IP アドレス

ホスト名および特定の UDP ポート番号

IP アドレスおよび特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の 2 つの異なるホスト エントリが同じサービス(たとえば、認証)に対して設定されている場合、設定されている 2 番目のホスト エントリは最初のエントリのフェールオーバー バックアップとして機能します。RADIUS ホスト エントリは、設定した順序に従って選択されます。

RADIUS サーバのパラメータを設定するには、次のタスクを実行します。

 

コマンド
目的

ステップ 1

ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを持つように指定します。

ステップ 2

radius-server host { hostname | ip-address } test username username

リモート RADIUS サーバのホスト名または IP アドレスを指定します。

test username username オプションにより、RADIUS サーバ接続のテストを自動化できます。指定する username は、有効なユーザ名である必要はありません。

key オプションは、スイッチと RADIUS サーバの間で使用する認証および暗号鍵を指定します。

複数の RADIUS サーバを使用する場合は、サーバごとにこのコマンドを再入力します。

ステップ 3

radius-server key string

スイッチと RADIUS サーバ上で動作する RADIUS デーモンの間で使用する認証および暗号鍵を設定します。

ステップ 4

radius-server vsa send authentication

RADIUS サーバから ACL をダウンロードできるようにします。この機能は、
Cisco IOS リリース 12.2(50)SG でサポートされます。

ステップ 5

radius-server dead-criteria tries num-tries

RADIUS サーバを非アクティブにするまでの、サーバに対する応答がない送信メッセージ数を指定します。 num-tries の範囲は 1 ~ 100 です。

RADIUS サーバのパラメータを設定するときは、次の操作を行います。

別のコマンド ラインで key string を指定します。

key string には、 スイッチ と RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUS サーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。

key string を指定するとき、鍵内および鍵の末尾でスペースを使用します。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、
Cisco IOS Security Configuration Guide, Release 12.2 』および
次の URL の『 Cisco IOS Security Command Reference, Release 12.2 』を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


) スイッチ IP アドレス、サーバとスイッチの両方によって共有される鍵文字列、およびダウンロード可能 ACL(DACL)を含め、RADIUS サーバで一部の設定を行う必要があります。詳細については、RADIUS サーバのマニュアルを参照してください。


次に、スイッチで RADIUS サーバのパラメータを設定する例を示します。

Switch(config)# ip radius source-interface Vlan80
Switch(config)# radius-server host 172.l20.39.46 test username user1
Switch(config)# radius-server key rad123
Switch(config)# radius-server dead-criteria tries 2

HTTP サーバの設定

Web-Based 認証を使用するには、スイッチ内で HTTP サーバをイネーブルにする必要があります。サーバでは HTTP または HTTPS をイネーブルにできます。

 

コマンド
目的

ステップ 1

 

ip http server

HTTP サーバをイネーブルにします。Web-Based 認証機能は、HTTP サーバを使用して、ユーザ認証用のホストと通信します。

ステップ 2

ip http secure-server

HTTPS をイネーブルにします。

カスタム認証プロキシ Web ページを設定するか、成功したログインに対するリダイレクション URL を指定できます。


) ip http secure-secure コマンドを入力するときにセキュア認証を確実にするために、ユーザが HTTP 要求を送信した場合でも、ログイン ページは常に HTTPS(セキュア HTTP)形式になります。


認証プロキシ Web ページのカスタマイズ

成功したログインに対するリダイレクション URL の指定

認証プロキシ Web ページのカスタマイズ

Web-Based 認証時にスイッチのデフォルト HTML ページの代わりに 4 つの代替 HTML ページをユーザに表示するように、Web 認証を設定できます。

カスタム認証プロキシ Web ページの使用を指定するには、最初にスイッチ フラッシュ メモリにカスタム HTML ファイルを格納してから、グローバル コンフィギュレーション モードで次のタスクを実行します。

 

コマンド
目的

ステップ 1

ip admission proxy http login page file device:login-filename

デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルのスイッチ メモリ ファイル システム内の場所を指定します。 device: はフラッシュ メモリです。

ステップ 2

ip admission proxy http success page file device:success-filename

デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 3

ip admission proxy http failure page file device:fail-filename

デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 4

ip admission proxy http login expired page file device:expired-filename

デフォルトのログイン失効ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

カスタマイズされた認証プロキシ Web ページを設定するときは、次の注意事項に従ってください。

カスタム Web ページ機能をイネーブルにする場合は、4 つのカスタム HTML ファイルをすべて指定します。ファイルが 4 つすべて指定されていない場合は、内部のデフォルト HTML ページが使用されます。

4 つのカスタム HTML ファイルは、スイッチのフラッシュ メモリに格納される必要があります。各 HTML ファイルの最大サイズは 8 KB です。

カスタム ページの画像は、アクセス可能な HTTP サーバに格納する必要があります。許可ルールの範囲内で代行受信 ACL を設定します。

カスタム ページからの外部リンクは、許可ルールの範囲内での代行受信 ACL の設定を必要とします。

有効な DNS サーバにアクセスするために、外部リンクまたは画像に必要な名前解決において、許可ルールの範囲内で代行受信 ACL の設定が必要になります。

カスタム Web ページ機能がイネーブルになっている場合、設定された auth-proxy-banner は使用されません。

カスタム Web ページ機能がイネーブルになっている場合、成功したログインに対するリダイレクション URL 機能は使用できません。

カスタム ファイルの指定を削除するには、コマンドの no 形式を使用します。

カスタム ログイン ページはパブリック Web フォームなので、このページについては次の注意事項に従ってください。

ログイン フォームは、ユーザ名とパスワードのユーザ入力を受け付ける必要があり、それらを uname および pwd として表示する必要があります。

カスタム ログイン ページは、ページ タイムアウト、非表示パスワード、冗長的な送信の防止など、Web フォームのベスト プラクティスに従う必要があります。

次に、カスタム認証プロキシ Web ページを設定する例を示します。

Switch(config)# ip admission proxy http login page file flash:login.htm
Switch(config)# ip admission proxy http success page file flash:success.htm
Switch(config)# ip admission proxy http fail page file flash:fail.htm
Switch(config)# ip admission proxy http login expired page flash flash:expired.htm
 

次に、カスタム認証プロキシ Web ページの設定を確認する例を示します。

Switch# show ip admission configuration
Authentication proxy webpage
Login page : flash:login.htm
Success page : flash:success.htm
Fail Page : flash:fail.htm
Login expired Page : flash:expired.htm
 
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
 

成功したログインに対するリダイレクション URL の指定

認証後にユーザがリダイレクトされる URL を指定して、内部の Success HTML ページを事実上置き換えることができます。

 

コマンド
目的

ip admission proxy http success redirect url-string

デフォルトのログイン成功ページに代わるユーザのリダイレクション用 URL を指定します。

成功したログインに対してリダイレクション URL を設定するときは、次の注意事項に従ってください。

カスタム認証プロキシ Web ページ機能がイネーブルになっている場合、リダイレクション URL 機能はディセーブルで、CLI で使用できません。カスタム ログイン成功ページでリダイレクションを実行できます。

リダイレクション URL 機能がイネーブルになっている場合、設定された auth-proxy-banner は使用されません。

リダイレクション URL の指定を削除するには、コマンドの no 形式を使用します。

次に、成功したログインに対するリダイレクション URL を設定する例を示します。

Switch(config)# ip admission proxy http success redirect www.cisco.com
 

次に、成功したログインに対するリダイレクション URL を確認する例を示します。

Switch# show ip admission configuration
Authentication Proxy Banner not configured
Customizable Authentication Proxy webpage not configured
HTTP Authentication success redirect to URL: http://www.cisco.com
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Max HTTP process is 7
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 失敗ポリシーの設定

 

コマンド
目的

ステップ 1

ip admission name rule-name proxy http event timeout aaa policy identity identity_policy_name

AAA 失敗ルールを作成し、AAA サーバが到達不能な場合にセッションに適用する ID ポリシーを関連付けます。

グローバル コンフィギュレーション コマンドを使用します。

ステップ 2

ip admission ratelimit aaa-down number_of_sessions

(任意)AAA ダウン ステートのホストからの認証試行をレート制限して、サービスに戻るときに AAA サーバのフラッディングを回避します。

次に、AAA 失敗ポリシーを適用する例を示します。

Switch(config)# ip admission name AAA_FAIL_POLICY proxy http event timeout aaa policy identity GLOBAL_POLICY1
 

次に、接続されたホストが AAA ダウン ステートにあるかどうかを判断する例を示します。

Switch# show ip admission cache
Authentication Proxy Cache
Client IP 209.165.201.11 Port 0, timeout 60, state ESTAB (AAA Down)
 

次に、ホスト IP アドレスを基にして特定のセッションに関する詳細情報を表示する例を示します。

Switch# show ip admission cache 209.165.201.11
Address : 209.165.201.11
MAC Address : 0000.0000.0000
Interface : Vlan333
Port : 3999
Timeout : 60
Age : 1
State : AAA Down
AAA Down policy : AAA_FAIL_POLICY
 

Web-Based 認証のパラメータの設定

ログイン試行の最大失敗回数を設定できます。この回数を超えると、クライアントは待機期間が経過するまで監視リストに加えられます。

 

コマンド
目的

ステップ 1

ip admission max-login-attempts number

ログイン試行の最大失敗回数を設定します。指定できる範囲は 1 ~ 2147483647 回です。デフォルト値は 5 です。

ステップ 2

end

特権 EXEC モードに戻ります。

ステップ 3

show ip admission configuration

認証プロキシ設定を表示します。

ステップ 4

show ip admission cache

認証設定のリストを表示します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、ログイン試行の最大失敗回数を 10 に設定する例を示します。

Switch(config)# ip admission max-login-attempts 10

Web 認証ローカル バナーの設定

Web 認証を設定しているスイッチでローカル バナーを設定するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip admission auth-proxy-banner http [banner-text | file-path]

ローカル バナーをイネーブルにします。

(任意)C banner-text C と入力して、カスタム バナーを作成します。C は区切り文字、file-path は、バナーに表示させるファイル(ロゴやテキストのファイル)を示します。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、カスタム メッセージ My Switch でローカル バナーを設定する方法を示しています。

Switch(config) configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa ip auth-proxy auth-proxy-banner C My Switch C
Switch(config) end
 

ip auth-proxy auth-proxy-banner コマンドの詳細については、Cisco.com にある『Cisco IOS Security Command Reference』の「Authentication Proxy Commands」の項を参照してください。

Web-Based 認証のキャッシュ エントリの削除

 

コマンド
目的

clear ip auth-proxy cache { * | host ip address }

認証プロキシ エントリを削除します。すべてのキャッシュ エントリを削除するには、アスタリスクを使用します。1 つのホストのエントリを削除するには、特定の IP アドレスを入力します。

clear ip admission cache { * | host ip address }

認証プロキシ エントリを削除します。すべてのキャッシュ エントリを削除するには、アスタリスクを使用します。1 つのホストのエントリを削除するには、特定の IP アドレスを入力します。

次に、IP アドレス 209.165.201.1 のクライアントの Web-Based 認証セッションを削除する例を示します。

Switch# clear ip auth-proxy cache 209.165.201.1

Web-Based 認証ステータスの表示

次のタスクを実行して、すべてのインターフェイスまたは特定のポートの Web-Based 認証設定を表示します。

 

コマンド
目的

ステップ 1

show authentication sessions
[ interface type slot/port ]

Web-Based 認証設定を表示します。

type には、fastethernet、gigabitethernet、または tengigabitethernet を指定できます。

(任意)特定のインターフェイスの Web-Based 認証設定を表示するには、キーワード interface を使用します。

次に、グローバル Web-Based 認証ステータスだけを表示する例を示します。

Switch# show authentication sessions
 

次に、ギガビット インターフェイス 3/27 の Web-Based 認証設定を表示する例を示します。

Switch# show authentication sessions interface gigabitethernet 3/27