Catalyst 6500 Release 12.2SXH and Later Software コンフィギュレーション ガイド
Web ベース認証の設定
Web ベース認証の設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

Web ベース認証の設定

Web ベース認証の概要

装置のロール

ホスト検出

セッション作成

認証プロセス

Web ベース認証の他の機能との相互作用

ポート セキュリティ

LAN ポート IP

ゲートウェイ IP

ACL

コンテキスト ベースのアクセス制御

802.1x 認証

EtherChannel

スイッチオーバー

Web ベース認証の設定

デフォルトの Web ベース認証の設定

Web ベース認証設定時の注意事項および制約事項

Web ベース認証設定時の作業一覧

認証ルールとインターフェイスの設定

AAA 認証の設定

と RADIUS サーバ間の通信設定

HTTP サーバの設定

Web ベース認証のパラメータ設定

Web ベース認証のキャッシュ エントリの削除

Web ベース認証 SSO の設定

Web ベース認証ステータスの表示

Web ベース認証の設定

この章では、Web ベース認証を設定する手順について説明します。Web ベース認証は、Release12.2(33)SXH 以降のリリースでサポートされます。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Software Releases 12.2SX Command References』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


この章で説明する内容は、次のとおりです。

「Web ベース認証の概要」

「Web ベース認証の設定」

「Web ベース認証ステータスの表示」

Web ベース認証の概要

Web ベース認証機能は、Web ベース認証を実装していて、Web 認証プロキシとも呼ばれています。

Web ベースの認証機能を使用して、IEEE 802.1X サプリカントを実行していないホスト システムでエンドユーザを認証できます。レイヤ 2 およびレイヤ 3 インターフェイスで Web ベース認証機能を設定することができます。

ユーザが HTTP セッションを開始する際に、Web ベースの認証機能がホストからの入力 HTTP パケットを代行受信して、HTML ログイン ページをユーザに送信します。ユーザが認定証に入力し、認証するために Web ベース 認証機能がこれを AAA サーバに送信します。認証が成功すると、Web ベース認証がログイン成功 HTML ページをホストに送信し、AAA サーバによって戻されたアクセス ポリシーが適用されます。

認証に失敗すると、Web ベース認証がログイン失敗 HTML ページをユーザに送信し、ログイン試行を再試行するようにユーザに要求します。ユーザが失敗ログイン試行の最大数を超過すると、ユーザはウォッチ リストに配置されます。

ここでは、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)システムの一部として Web ベース認証のロールについて説明します。

「装置のロール」

「ホスト検出」

「セッション作成」

「認証プロセス」

「Web ベース認証の他の機能との相互作用」

装置のロール

Web ベースの認証では、図53-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図53-1 Web ベースの認証装置のロール

 

図53-1 に示す特定のロールは、次のとおりです。

クライアント -- LAN へのアクセスおよびスイッチ サービスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーションは、Java スクリプトがイネーブルの HTML ブラウザを実行している必要があります。

認証サーバ -- クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。

スイッチ -- クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。

ホスト検出

レイヤ 3 インターフェイスの場合、インターフェイス上に Web ベース認証が設定されると(またはインターフェイスがサービス中になると)Web ベース認証が HTTP 代行受信 ACL を設定します。

レイヤ 2 インターフェイスの場合、以下のメカニズムを使用して Web ベース認証が IP ホストを検出します。

ARP ベース トリガー -- ARP リダイレクト ACL により、Web ベース認証で固定 IP アドレスまたは動的に取得された IP アドレスを有するホストを検出することができます。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)

DHCP スヌーピング -- スイッチがホストの DHCP バインディング エントリの作成時にWeb ベース認証が通知されます。

セッション作成

Web ベース認証で新規ホストが検出されると、次のようにセッションを作成します。

例外リストをチェックします。

ホスト IP が例外リストに含まれている場合、例外リスト エントリからのポリシーが適用され、セッションが確立されているとみなされます。

認証バイパスをチェックします。

ホスト IP が例外リストにない場合、Web ベース認証は Nonresponsive Host(NRH; 非応答ホスト)要求をサーバに送信します。

サーバ応答が Access Accepted である場合、このホスト用の許可がバイパスされます。セッションが確立されているとみなされます。

HTTP 代行受信 ACL を設定します。

NRH 要求に対するサーバ応答が Access Rejected である場合、HTTP 代行受信 ACL が Ternary CAM(TCAM)にプログラミングされ、セッションはホストから HTTP トラフィックを待機します。

認証プロセス

Web ベース認証がイネーブルの場合、以下のイベントが発生します。

ユーザが HTTP セッションを開始します。

HTTP トラフィックが代行受信され、許可が開始されます。ログイン ページがユーザに送信されます。ユーザが認定証に入力して、スイッチが認定証をサーバに送信します。

クライアント ID が有効で認証に成功した場合、スイッチがサーバから送信されたポリシーを TCAM に記述します。

認証に失敗すると、スイッチがログイン失敗を送信します。ユーザがログインを再試行し、最大ログイン試行回数を超過すると、ホストがウォッチ リストに配置されます。ウォッチ リストのタイムアウト後、ユーザは認証プロセスを再試行することができます。

ホストがレイヤ 2 インターフェイスの ARP プローブに応答しなかったり、ホストがレイヤ 3 インターフェイスでアイドル タイムアウト中に何らかのトラフィックを送信しない場合、スイッチがクライアントを再認証します。

この機能は、ダウンロードされたタイムアウトやローカルに設定されたセッション タイムアウトに適用されます。

終了処理が RADIUS の場合、この機能はNon Responsive Host(NRH; 非応答ホスト)要求をサーバに送信します。終了アクションは、サーバからの応答に含まれています。

終了アクションがデフォルトの場合、セッションが停止されて適用されたポリシーが削除されます。

Web ベース認証の他の機能との相互作用

ここでは、Web ベース認証の以下の機能との相互作用について説明します。

「ポート セキュリティ」

「LAN ポート IP」

「ゲートウェイ IP」

「ACL」

「コンテキスト ベースのアクセス制御」

「802.1x 認証」

「EtherChannel」

「スイッチオーバー」

ポート セキュリティ

同一ポート上で Web ベース認証とポート セキュリティを設定することができます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定します)。ポート セキュリティおよび Web 認証をポートでイネーブルにする際に、Web ベース認証がポートを認証し、ポート セキュリティでクライアントを含むすべての MAC アドレスのネットワーク アクセスを管理します。その後、ポートを介してネットワークにアクセス可能なクライアント数またはクライアント グループを制限することができます。

ポート セキュリティをイネーブルにする場合の詳細については、「ポート セキュリティの設定」を参照してください。

LAN ポート IP

同一ポート上で LAN Port IP(LPIP; LAN ポート IP)とレイヤ 2 Web ベース認証を設定できます。最初に Web ベース認証を使用してホストが認証されて、その後 LPIP ポスチャ検証が実行されます。LPIP ホスト ポリシーは、Web ベース認証ホスト ポリシーを上書きします。

Web ベース認証アイドル タイマーの期限が満了した場合、NAC ポリシーが削除されます。ホストが認証され、再びポスチャを検証します。

ゲートウェイ IP

Web ベース認証が VLAN のスイッチ ポートに設定されている場合、レイヤ 3 VLAN インターフェイス上にゲートウェイ IP を設定できません。

ゲートウェイ IP と同じレイヤ 3 インターフェイスで Web ベース認証を設定することができます。両方の機能のホスト ポリシーがソフトウェアに適用されます。GWIP ポリシーは、Web ベース認証ホスト ポリシーを上書きします。

ACL

VLAN ACL または Cisco IOS ACL をインターフェイス上に設定する場合、Web ベース認証ホスト ポリシーが適用されたあとに ACL がホスト トラフィックに適用されます。

レイヤ 2 Web ベース認証の場合、ポートに接続されたホストからの入力トラフィックのデフォルト アクセス ポリシーとしてポート ACL(PACL)を設定しなければなりません。認証後、Web ベース認証ホストポリシーは PACL を上書きします。

MAC ACL と Web ベース認証は同じインターフェイスに設定できません。

アクセス VLAN に設定済み VACL キャプチャのあるポート上に Web ベース認証は設定できません。

コンテキスト ベースのアクセス制御

Context-based Access Control(CBAC; コンテキストベース アクセス コントロール)がポート VLAN のレイヤ 3 VLAN インターフェイスに設定されている場合、Web ベース認証をレイヤ 2 ポートに設定することはできません。

802.1x 認証

同一ポート上で Web ベース認証と 802.1x 認証を設定することはできません。

EtherChannel

レイヤ 2 EtherChannel インターフェイス上に Web ベース認証を設定することができます。Web ベース認証設定はすべてのメンバチャネルに適用されます。

スイッチオーバー

RPR モードの冗長性の冗長スーパーバイザ エンジンを搭載した Catalyst 6500 シリーズ スイッチでは、スイッチオーバーの発生時に、現在認証されているホストの情報がすべて失われます。すべてのユーザは再認証する必要があります。

SSO モード冗長性を使用している場合、 ip admission ha コマンドを入力してスタンバイ スーパーバイザ エンジンとのホスト セッション テーブル同期をイネーブルにすることができます。IP アドミッション ハイ アベイラビリティ機能がイネーブルの場合、スイッチオーバー発生時に確立済みセッションの再検証は不要です。これらのホストはスイッチオーバー後でも中断しません。

Web ベース認証の設定

ここでは、Web ベース認証の設定方法を説明します。

「デフォルトの Web ベース認証の設定」

「Web ベース認証設定時の注意事項および制約事項」

「Web ベース認証設定時の作業一覧」

「認証ルールとインターフェイスの設定」

「AAA 認証の設定」

「スイッチと RADIUS サーバ間の通信設定」

「HTTP サーバの設定」

「Web ベース認証のパラメータ設定」

「Web ベース認証のキャッシュ エントリの削除」

「Web ベース認証 SSO の設定」

デフォルトの Web ベース認証の設定

表53-1 に、デフォルトの Web ベース認証の設定を示します。

 

表53-1 デフォルトの Web ベース認証の設定

機能
デフォルト設定

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

キー

指定なし

1812

指定なし

無活動タイムアウトのデフォルト値

3600 秒

無活動タイムアウト

イネーブル

Web ベース認証設定時の注意事項および制約事項

以下は Web ベース認証の設定時の注意事項です。

Web ベースの認証は入力のみの機能です。

Web ベース認証はアクセス ポートにのみ設定可能で、トランク ポートには設定できません。

Web ベースを設定する前に、デフォルト ACL をインターフェイス上に設定する必要があります。レイヤ 2 インターフェイスのポート ACL を設定するか、レイヤ 3 インターフェイスの Cisco IOS ACL を設定します。

レイヤ 2 インターフェイス上では、スタティック ARP キャッシュ割り当てのあるホストを認証することができません。ARP メッセージを送信しないため、これらのホストは Web ベース認証機能で検出されません。

スイッチ上で HTTP サーバを実行するためには、少なくとも 1 つの IP アドレスを指定する必要があります。また、各ホストの IP アドレスに到達するためのルートを設定しなければなりません。HTTP サーバが HTTP ログイン ページをホストに送信します。

STP トポロジの変更によりホスト トラフィックが別のポートに到着した場合に、複数ホップ離れているホストはトラフィックが中断する可能性があります。これは、レイヤ 2(STP)トポロジ変更後に ARP および DHCP アップデートが送信されていない可能性があるためです。

Web ベース認証はダウンロード可能ホスト ポリシーとして VLAN 割り当てをサポートしていません。

Web ベースの認証は IPv6 トラフィックをサポートしません。

Web ベース認証は、トランク ポート、EtherChannel メンバ ポート、またはダイナミック トランク ポートではサポートされません。

Web ベース認証設定時の作業一覧

Web ベース認証機能を設定するには、次の作業を行います。

認証ルールとインターフェイスを設定します。

AAA パラメータを設定します。

TACACS または RADIUS サーバの各パラメータを設定します。

HTTP サーバを設定します。

Web ベースの認証パラメータを設定します。

認証ルールとインターフェイスの設定

Web ベースの認証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission name name proxy http

Web ベース許可の認証ルールを設定します。

Router(config)# no ip admission name name

認証ルールを削除します。

ステップ 2

Router(config)# interface type 1 slot/port

インターフェイス コンフィギュレーション モードを開始し、Web ベース認証をイネーブルにする入力レイヤ 2 またはレイヤ 3 インターフェイスを指定します。

ステップ 3

Router(config-if)# ip access-group name

デフォルト ACL を適用します。

ステップ 4

Router(config-if)# ip admission name

指定したインターフェイスで Web ベース認証を設定します。

ステップ 5

Router(config-if)# end

コンフィギュレーション モードに戻ります。

ステップ 6

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show ip admission configuration

設定を表示します。

1.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 の Web ベース認証をイネーブルにする例を示します。

Router(config)# ip admission name webauth1 proxy http
Router(config)# interface fastethernet 5/1
Router(config-if)# ip admission webauth1
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show ip admission configuration
Authentication Proxy Banner not configured
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
 
Authentication Proxy Rule Configuration
Auth-proxy name webauth1
http list not specified inactivity-time 60 minutes
 
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 認証の設定

Web ベース認証をイネーブルにするには、AAA をイネーブルにして認証方式を指定する必要があります。次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA 機能をイネーブルにします。

Router(config)# no aaa new-model

AAA 機能をディセーブルにします。

ステップ 2

Router(config)# aaa authentication login default group { tacacs | radius }

ログイン時の認証方式のリストを定義します。

ステップ 3

Router(config)# aaa authorization auth-proxy default group { tacacs | radius }

Web ベース許可の許可方式リストを作成します。

ステップ 4

Router(config)# no aaa authentication auth-proxy default group { tacacs | radius }

設定されている方式リストを消去します。

ステップ 5

Router(config)# tacacs-server host host name

AAA サーバを指定します。RADIUS サーバの場合は、「スイッチと RADIUS サーバ間の通信設定」を参照してください。

ステップ 6

Router(config)# tacacs-server key

スイッチと TACACS サーバとの間で使用される認証キーおよび暗号キーを設定します。

次に、AAA をイネーブルにする例を示します。

Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+
Router(config)# aaa authorization auth-proxy default group tacacs+
Router(config-if)# end

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、次のいずれかによって識別されます。

ホスト名

ホスト IP アドレス

ホスト名と特定の UDP ポート番号

IP アドレスと特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして機能します。RADIUS ホスト エントリは、設定した順序に従って選択されます。

RADIUS サーバ パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを含むように指定します。

Router(config)# no ip radius source-interface

RADIUS パケットが、以前に指定されたインターフェイスの IP アドレスを含まないようにします。

ステップ 2

Router(config)# radius-server host { hostname | ip_address }

スイッチに RADIUS サーバ ホスト名または IP アドレスを設定します。

複数の RADIUS サーバを使用する場合は、このコマンドを再度入力します。

Router(config)# no radius-server host { hostname | ip_address }

指定した RADIUS サーバを削除します。

ステップ 3

Router(config)# radius-server key string

スイッチと、RADIUS サーバ上で動作する
RADIUS デーモンとの間で使用する、認証キーおよび暗号キーを設定します。

RADIUS サーバ パラメータを設定する場合、次の点に注意してください。

hostname または ip_address には、リモート RADIUS サーバのホスト名または IP アドレスを指定します。

別のコマンドラインには、 key string を指定します。

key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証キーおよび暗号キーを指定します。キーは、RADIUS サーバで使用する暗号キーに一致するテキスト ストリングでなければなりません。

key string を指定する場合、キーの途中および末尾のスペースが利用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。キーは RADIUS デーモンで使用する暗号に一致している必要があります。

radius-server host グローバル コンフィギュレーション コマンドを使用して、タイムアウト、再送信回数、暗号キーの値を、すべての RADIUS サーバにグローバルに設定できます。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL の『 Cisco IOS Security Configuration Guide 』 Release 12.2、『 Cisco IOS Security Command Reference 』Release 12.2 を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/index.htm


) RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。


次に、スイッチで RADIUS サーバ パラメータを設定する例を示します。

Router(config)# ip radius source-interface Vlan80
Router(config)# radius-server host 172.l20.39.46
Router(config)# radius-server key rad123

HTTP サーバの設定

Web ベース認証を使用するには、HTTP サーバをイネーブルにする必要があります。サーバをイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# ip http server

HTTP サーバをイネーブルにします。Web ベース認証機能では、HTTP サーバを使用してユーザ認証用のホストと通信します。

Web ベース認証のパラメータ設定

タイムアウト期間を手動で指定したり、RADIUS サーバで指定されたセッションタイムアウト期間を使用することができます。

Web ベースの認証パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission inactivity-timer min

無活動タイマーを設定します。

ステップ 2

Router(config)# ip admission max-login-attempts numb

失敗ログイン試行の最大数を設定します。

ステップ 3

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show ip admission configuration

認証プロキシ設定を表示します。

ステップ 5

Router# show ip admission cache

認証エントリのリストを表示します。

次に、再認証試行の間隔を 4,000 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# ip auth-proxy inactivity-timer 4000

Web ベース認証のキャッシュ エントリの削除

既存セッション エントリを削除するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# clear ip auth-proxy { * | host ip address }

認証プロキシ エントリを削除します。すべてのキャッシュ エントリを削除するにはアスタリスクを使用します。単一ホストのエントリを削除するには、特定の IP アドレスを入力します。

次に、ポート FastEthernet 5/1 に接続されているクライアントに対する Web ベース認証セッションを削除する例を示します。

Router# clear ip auth-proxy interface fastethernet 5/1

Web ベース認証 SSO の設定

Web ベース認証を設定して、スタンバイ スーパーバイザ エンジンとセッション情報を同期させることができます。これにより、Stateful Switchover(SSO)でユーザ許可が保持されます。


ip admission ha コマンドは、Web ベース認証機能と NAC 機能をイネーブルにします。NAC の詳細については、「NAC の設定」を参照してください。


IP アドミッション SSO を設定するには、次の作業を実行します。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# ip admission ha

IP アドミッション ハイ アベイラビリティをイネーブルにします。

ステップ 3

Router(config)# ip admission ha update update_interval

アクティブ スーパーバイザ エンジンが同期アップデートをスタンバイに送信する頻度を定義します。

インターバルは 30 ~ 60 秒の範囲です。

ステップ 4

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 5

Router# show ip admission ha stats

セッション同期に関連した統計を表示します。

ステップ 6

Router# clear ip admission ha stats

(任意)セッション同期に関連した統計を表示します。


) アクティブな Web ベース認証または ポスチャ検証セッションがある場合、IP アドミッション ハイ アベイラビリティ機能をイネーブルにすることはできません。


IP アドミッション ハイ アベイラビリティをディセーブルにするには、 no ip admission ha コンフィギュレーション コマンドを使用します。

次に、IP アドミッション ハイ アベイラビリティを設定する例を示します。

Router# configure terminal
Router(config)# ip admission ha
Router(config)# ip admission ha update 50
Router(config)# end
Router(config)# clear ip admission ha stats
Router(config-identity-prof)# show ip admission ha stats

Web ベース認証ステータスの表示

すべてのインターフェイスまたは特定のポートのWeb ベース認証設定を表示するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# show fm ip-admission l2http [all | interface type 2 slot/port]

Web ベース認証設定を表示します。

(任意) all キーワードを使用して、Web ベース認証を使用するすべてのインターフェイスを表示します。

(任意) interface キーワードを使用して、特定のインターフェイスの Web ベース認証設定を表示します。

2.type = fastethernetgigabitethernet、または tengigabitethernet

次に、グローバル Web ベース認証ステータスのみを表示する例を示します。

Router# show fm ip-admission l2http all
 

次に、インターフェイス GigabitEthernet 3/27 の Web ベース認証を表示する例を示します。

Router# show fm ip-admission l2http interface gigabitethernet 3/27
 

この出力に表示されるフィールドの詳細については、『 Cisco IOS Software Releases 12.2SX Command References 』を参照してください。