Cisco Wireless LAN Controller コンフィギュレーション ガイド Release 4.2
ユーザ アカウントの管理
ユーザ アカウントの管理
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ユーザ アカウントの管理

ゲスト ユーザ アカウントの作成

ロビー アンバサダー アカウントの作成

GUI を使用したロビー アンバサダー アカウントの作成

CLI を使用したロビー アンバサダー アカウントの作成

ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成

ゲスト ユーザ アカウントの表示

GUI を使用したゲスト アカウントの表示

CLI を使用したゲスト アカウントの表示

Web 認証プロセス

Web 認証ログイン ウィンドウの選択

デフォルト Web 認証ログイン ウィンドウの選択

GUI を使用したデフォルト Web 認証ログイン ウィンドウの選択

CLI を使用したデフォルトの Web 認証ログイン ウィンドウの選択

変更されたデフォルトの Web 認証ログイン ウィンドウの例

カスタマイズされた Web 認証ログイン ウィンドウの作成

外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの使用

GUI を使用した、外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの選択

CLI を使用した、外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの選択

カスタマイズされた Web 認証ログイン ウィンドウのダウンロード

GUI を使用した、カスタマイズされた Web 認証ログイン ウィンドウのダウンロード

CLI を使用した、カスタマイズされた Web 認証ログイン ウィンドウのダウンロード

カスタマイズされた Web 認証ログイン ウィンドウの例

CLI を使用した、Web 認証ログイン ウィンドウ設定の確認

WLAN ごとのログイン ページの割り当て

GUI を使用した WLAN ごとのログイン ページの割り当て

CLI を使用した WLAN ごとのログイン ページの割り当て

有線ゲスト アクセスの設定

設定の概要

設定のガイドライン

GUI を使用した有線ゲスト アクセスの設定

CLI を使用した有線ゲスト アクセスの設定

ユーザ アカウントの管理

この章では、ゲスト ユーザ アカウントの作成および管理方法、Web 認証プロセス、および、Web 認証ログイン ウィンドウのカスタマイズ手順について説明します。この章の内容は、次のとおりです。

「ゲスト ユーザ アカウントの作成」

「Web 認証プロセス」

「Web 認証ログイン ウィンドウの選択」

「有線ゲスト アクセスの設定」

ゲスト ユーザ アカウントの作成

コントローラは、WLAN 上でゲスト ユーザ アクセスを提供できます。ゲスト ユーザ アカウント作成の最初の手順では、ロビー アンバサダー アカウントとしても知られる、ロビー管理者アカウントを作成します。このアカウントを作成すると、ロビー アンバサダーはゲスト ユーザ アカウントをコントローラ上で作成および管理できます。ロビー アンバサダーは、ゲスト アカウントを管理するために使用する Web ページのみの設定権限やアクセスを制限します。

ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。

ローカル ユーザ データベースは、最大エントリ数が 2048 に制限され、デフォルト値は、512 エントリです(Security > General ページ)。データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ネット ユーザ(ゲスト ユーザを含む)、MACフィルタ エントリ、および無効になったクライアントで共有します。これらを合わせて、設定済みのデータベース容量を超えることはできません。

ロビー アンバサダー アカウントの作成

GUI または CLI を使用して、コントロール上にロビー アンバサダー アカウントを作成することができます。

GUI を使用したロビー アンバサダー アカウントの作成

コントローラ GUI を使用してロビー アンバサダー アカウントを作成する手順は、次のとおりです。


ステップ 1 Management > Local Management Users の順にクリックして、Local Management Users ページを開きます(図9-1 を参照)。

図9-1 Local Management Users ページ

 

このページは、ローカル管理ユーザの名前やアクセス権限の一覧表示です。


) コントローラから任意のユーザ アカウントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。ただし、デフォルトの管理ユーザを削除すると、 GUI および CLI によるコントローラへのアクセスは両方とも禁止されます。したがって、デフォルトのユーザを削除する前に、管理権限(ReadWrite)を持つユーザを作成しなければなりません。


ステップ 2 ロビー アンバサダー アカウントを作成するには、New をクリックします。Local Management Users > New ページが表示されます(図9-2 を参照)。

図9-2 Local Management Users > New ページ

 

ステップ 3 User Name フィールドに、ロビー アンバサダー アカウントのユーザ名を入力します。


) 管理ユーザ名は、すべて単一データベース内に保存されるため、一意である必要があります。


ステップ 4 Password フィールドおよび Confirm Password フィールドに、ロビー アンバサダー アカウントのパスワードを入力します。


) パスワードは大文字と小文字が区別されます。


ステップ 5 User Access Mode ドロップダウン ボックスから LobbyAdmin を選択します。このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。


) ReadOnly オプションでは、読み取り専用の権限を持つアカウントを作成し、ReadWrite オプションでは、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


ステップ 6 Apply をクリックして、変更を適用します。ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。

ステップ 7 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用したロビー アンバサダー アカウントの作成

コントローラ CLI を使用してロビー アンバサダー アカウントを作成するには、以下のコマンドを入力します。

config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


) lobby-admin を read-only に置き換えると、読み取り専用の権限を持つアカウントを作成します。lobby-admin を read-write に置き換えると、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成

ロビー アンバサダーは、次の手順に従ってゲスト ユーザ アカウントを作成します。


) ロビー アンバサダーは、コントローラの CLI インタフェースにアクセスできないため、コントローラの GUI からのみゲスト ユーザ アカウントを作成できます。



ステップ 1 上記の「ロビー アンバサダー アカウントの作成」の項で指定されたユーザ名およびパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。Lobby Ambassador Guest Management > Guest Users List ページが表示されます(図9-3 を参照)。

図9-3 Lobby Ambassador Guest Management > Guest Users List ページ

 

ステップ 2 New をクリックして、ゲスト ユーザ アカウントを作成します。Lobby Ambassador Guest Management > Guest Users List > New ページが表示されます(図9-4 を参照)。

図9-4 Lobby Ambassador Guest Management > Guest Users List > New ページ

 

ステップ 3 User Name フィールドに、ゲスト ユーザの名前を入力します。最大 24 文字を入力することができます。

ステップ 4 次のいずれかの操作を行います。

このゲスト ユーザ用のパスワードを自動的に生成する場合は、Generate Password チェックボックスを選択します。生成されたパスワードは、Password フィールドおよび Confirm Password フィールドに自動的に入力されます。

このゲスト ユーザ用にパスワードを作成する場合は、Generate Password チェック ボックスを選択せずに、Password フィールドおよび Confirm Password フィールドの両方にパスワードを入力します。


) パスワードは最大 24 文字まで含めることができ、大文字と小文字が区別されます。


ステップ 5 Lifetime ドロップダウン ボックスから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。4 つのフィールド値をすべてゼロ(0)にすると、永久アカウントとなります。

デフォルト:1 日

範囲:5 分から 30 日


) 小さい方の値、またはゲスト アカウントが作成された WLAN であるゲスト WLAN のセッション タイムアウトが、優先します。たとえば、WLAN セッションのタイムアウトが 30 分でも、ゲスト アカウントのライフタイムが 10 分の場合、アカウントはゲスト アカウントの失効に従い、10 分で削除されます。同様に、WLAN セッションがゲスト アカウントのライフタイムより前にタイムアウトする場合、クライアントは、再認証を要求するセッション タイムアウトを繰り返すことになります。



) ゼロ以外の値がライフタイムに設定されているゲスト ユーザ アカウントの値は、アカウントがアクティブになっている間、いつでも別の値に変更できます。しかし、ゲスト ユーザ アカウントを永久アカウントにするため、または、永久アカウントをゲスト アカウントにするためには、そのアカウントを削除してから再度アカウントを作成しなければなりません。


ステップ 6 WLAN SSID ドロップダウン ボックスから、ゲスト ユーザが使用する SSID を選択します。リストアップされた WLAN のみにレイヤ 3 の Web 認証が設定されています。


) 潜在的な競合を阻止するために、システム管理者が特定のゲスト WLAN を作成することをお勧めします。ゲスト アカウントの有効期限が切れ、RADIUS サーバ上でアカウント名が競合し、両アカウントとも同じWLAN上にある場合、両アカウントにアソシエートしているユーザのアソシエートが解除されてから、ゲスト アカウントが削除されます。


ステップ 7 Description フィールドに、ゲスト ユーザ アカウントの説明を入力します。最大 32 文字を入力することができます。

ステップ 8 Apply をクリックして、変更を適用します。新しいゲスト ユーザ アカウントが、Guest Users List ページのゲスト ユーザ リストに表示されます(図9-5 を参照)。

図9-5 Lobby Ambassador Guest Management > Guest Users List ページ

 

このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。また、ゲスト ユーザ アカウントを編集、または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ステップ 9 新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。


 

ゲスト ユーザ アカウントの表示

ロビー アンバサダーがゲスト ユーザ アカウントを作成後、システム管理者は、コントローラの GUI または CLI からそれらのアカウントを表示できます。

GUI を使用したゲスト アカウントの表示

コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、Security > AAA > Local Net Users をクリックします。Local Net Users ページが表示されます(図9-6 を参照)。

図9-6 Local Net Users ページ

 

このページから、システム管理者はすべてのローカル ネット ユーザ アカウント(ゲストユーザアカウントを含む)を表示し、必要に応じて編集または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

CLI を使用したゲスト アカウントの表示

コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。

show netuser summary

Web 認証プロセス

Web 認証は、レイヤ 3 セキュリティ機能です。これにより、コントローラは、クライアントが有効なユーザ名およびパスワードを正しく提供しない限り、そのクライアントに対する IP トラフィック(DHCP 関連パケットを除く)を許可しません。Web 認証を使用してクライアントを認証する場合、各クライアントのユーザ名とパスワードを定義する必要があります。クライアントは、無線 LAN に接続する際に、ログイン画面の指示に従ってユーザ名とパスワードを入力する必要があります。

Web 認証が(レイヤ 3 セキュリティ下で)有効になっている場合、ユーザが、最初にある URL にアクセスしようとした際に、Web ブラウザにセキュリティ警告が表示されることがあります。図9-7 は一般的なセキュリティ警告を示しています。

図9-7 一般的な Web ブラウザ セキュリティ警告ウィンドウ

 

ユーザが Yes をクリックして続行した後、(または、クライアントのブラウザにセキュリティ警告が表示されない場合)、Web 認証システムのログイン画面が表示されます(図9-8 を参照)。

セキュリティ警告が表示されないようにするために、次の手順を実行できます。


ステップ 1 Security Alert ウィンドウで View Certificate をクリックします。

ステップ 2 Install Certificate をクリックします。

ステップ 3 Certificate Import Wizard が表示されたら、 New をクリックします。

ステップ 4 Place all certificates in the following store を選択して、 Browse をクリックします。

ステップ 5 Select Certificate Store ウィンドウの下部で、 Show Physical Stores チェック ボックスをオンにします。

ステップ 6 Trusted Root Certification Authorities フォルダを展開して、 Local Computer を選択します。

ステップ 7 OK をクリックします。

ステップ 8 Next > Finish の順にクリックします。

ステップ 9 "The import was successful" というメッセージが表示されたら、 OK をクリックします。

ステップ 10 コントローラの自己署名証明書の issuer フィールドは空白であるため、Internet Explorer を開いて、 Tools > Internet Options > Advanced の順にクリックし、Security の下の Warn about Invalid Site Certificates チェック ボックスをオフにして、 OK をクリックします。

ステップ 11 PC をリブートします。次回 Web 認証を試みるときには、ログイン ウィンドウが表示されます(図9-8 を参照)。

図9-8 デフォルト Web 認証ログイン ウィンドウ

 

デフォルトのログイン ウィンドウには、Cisco ロゴや Cisco 特有のテキストが表示されます。Web 認証システムが次のいずれかを表示するように選択できます。

デフォルトのログイン ウィンドウ

デフォルトのログイン ウィンドウの変更バージョン

外部の Web サーバに設定する、カスタマイズされたログイン ウィンドウ

コントローラにダウンロードする、カスタマイズされたログイン ウィンドウ

「Web 認証ログイン ウィンドウの選択」には、Web 認証ログイン ウィンドウの表示方法を選択する手順が記載されています。

ユーザが、Web 認証ログイン ウィンドウで有効なユーザ名とパスワードを入力し、Submit をクリックすると、Web 認証システムは、ログインに成功したことを示すウィンドウを表示し、認証されたクライアントは要求した URL にリダイレクトされます。図9-9 は一般的なログイン成功ウィンドウを示します。

図9-9 ログイン成功ウィンドウ

 

デフォルトのログイン成功ウィンドウには、仮想ゲートウェイ アドレスのURL
(https://1.1.1.1/logout.html)が表示されます。コントローラの仮想インターフェイスに設定した IP アドレスは、ログイン ウィンドウのリダイレクト アドレスとして機能します(仮想インターフェイスの詳細は、 を参照)。

Web 認証ログイン ウィンドウの選択

この項では、Web 認証ログイン ウィンドウの内容および外観を指定するための手順を説明します。いずれかの項の手順に従って、コントローラ GUI または CLI を使用して Web 認証ログイン ウィンドウを選択します。

「デフォルト Web 認証ログイン ウィンドウの選択」

「カスタマイズされた Web 認証ログイン ウィンドウの作成」

「外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの使用」

「カスタマイズされた Web 認証ログイン ウィンドウのダウンロード」

「WLAN ごとのログイン ページの割り当て」

デフォルト Web 認証ログイン ウィンドウの選択

デフォルトの Web 認証ログイン ウィンドウをそのまま使用する場合(図9-8 を参照)、または、多少変更を加えて使用する場合、次の GUI または CLI 手順の指示に従ってください。

GUI を使用したデフォルト Web 認証ログイン ウィンドウの選択


ステップ 1 Security > Web Auth > Web Login Page の順にクリックして、Web Login ページを開きます(図9-10 を参照)。

図9-10 Web Login ページ

 

ステップ 2 Web Authentication Type ドロップダウン ボックスから Internal (Default) を選択します。

ステップ 3 デフォルトの Web 認証ログイン ウィンドウをそのまま使用する場合、ステップ 8 に進みます。デフォルトのログイン ウィンドウを変更する場合、ステップ 4 に進みます。

ステップ 4 デフォルト ウィンドウの右上に表示されている Cisco ロゴを非表示にする場合、Cisco Logo Hide オプションを選択します。それ以外の場合は、Show オプションをクリックします。

ステップ 5 ユーザをログイン後に特定の URL(会社のURLなど)にダイレクトさせる場合、Redirect URL After Login フィールドに必要な URL(www.AcompanyBC.com など)を入力します。最大 254 文字を入力することができます。

ステップ 6 ログイン ウィンドウで独自のヘッドラインを作成する場合、Headline フィールドに必要なテキストを入力します。最大 127 文字を入力することができます。デフォルトのヘッドラインは、「Welcome to the Cisco wireless network.」です。

ステップ 7 ログイン ウィンドウで独自のメッセージを作成する場合、Message フィールドに必要なテキストを入力します。最大 2047 文字を入力することができます。デフォルトのメッセージは、「Cisco is pleased to provide the Wireless LAN infrastructure for your network. Please login and put your air space to work.」です。

ステップ 8 Apply をクリックして、変更を適用します。

ステップ 9 Preview をクリックして、Web 認証ログイン ウィンドウを表示します。

ステップ 10 ログイン ウィンドウの内容と外観に満足したら、Save Configuration をクリックして変更を保存します。納得いかない場合は、納得する結果を得られるように必要に応じて上記手順を繰り返します。


 

CLI を使用したデフォルトの Web 認証ログイン ウィンドウの選択


ステップ 1 デフォルトの Web 認証タイプを指定するには、次のコマンドを入力します。

config custom-web webauth_type internal

ステップ 2 デフォルトの Web 認証ログイン ウィンドウをそのまま使用する場合、ステップ 7 に進みます。デフォルトのログイン ウィンドウを変更する場合、ステップ 3 に進みます。

ステップ 3 デフォルトのログイン ウィンドウの右上に表示されている Cisco ロゴの表示/非表示を切り替えるには、次のコマンドを入力します。

config custom-web weblogo {enable | disable}

ステップ 4 ユーザをログイン後に特定の URL (会社のURLなど)にダイレクトさせる場合、次のコマンドを入力します。

config custom-web redirecturl url

URL には最大 130 文字を入力することができます。リダイレクト先をデフォルトの設定に戻すには、clear redirecturl と入力します。

ステップ 5 ログイン ウィンドウで独自のヘッドラインを作成する場合、次のコマンドを入力します。

config custom-web webtitle title

最大 130 文字を入力することができます。デフォルトのヘッドラインは、「Welcome to the Cisco wireless network.」です。ヘッドラインをデフォルトの設定に戻すには、 clear webtitle と入力します。

ステップ 6 ログイン ウィンドウで独自のヘッドラインを作成する場合、次のコマンドを入力します。

config custom-web webmessage message

最大 130 文字を入力することができます。デフォルトのメッセージは、「Cisco is pleased to provide the Wireless LAN infrastructure for your network. Please login and put your air space to work.」です。メッセージをデフォルトの設定に戻すには、 clear webmessage と入力します。

ステップ 7 save config と入力して、設定を保存します。

ステップ 8 独自のロゴをWeb認証ログイン ウィンドウにインポートする場合、次の手順に従ってください。

a. Trivial File Transfer Protocol(TFTP)サーバがダウンロードのために使用可能であることを確認します。TFTP サーバをセットアップする際の注意事項は次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。そうでない場合は、コントローラ上に静的ルートを作成する必要があります。

ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

サードパーティの TFTP サーバと WCS 内蔵型 TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Cisco WCS と同じコンピュータ上で実行できません。

b. ping ip-address を入力して、コントローラが TFTP サーバと通信可能であることを確認します。

c. TFTP サーバのデフォルト ディレクトリにロゴ ファイル(.jpg、.gif、または .png 形式)を移動します。ファイル サイズは 30KB 以内です。うまく収まるようにするには、ロゴは、横 180 ピクセルX縦 360 ピクセル前後の大きさにします。

d. ダウンロード モードを指定するには、 transfer download mode tftp と入力します。

e. ダウンロードするファイルのタイプを指定するには、transfer download datatype image と入力します。

f. TFTP サーバの IP アドレスを指定するには、 transfer download serverip tftp-server-ip-address と入力します。


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


g. ダウンロード パスを指定するには、 transfer download path absolute-tftp-server-path-to-file と入力します。

h. ダウンロードするファイルを指定するには、 transfer download filename {filename.jpg | filename.gif | filename.png} と入力します。

i. transfer download start と入力して更新した設定を表示し、プロンプトに y と応答して現在のダウンロード設定を確認し、ダウンロードを開始します。次のような情報が表示されます。

Mode........................................... TFTP
Data Type...................................... Login Image
TFTP Server IP................................. xxx.xxx.xxx.xxx
TFTP Path...................................... <directory path>
TFTP Filename..................................... <filename.jpg|.gif|.png>
This may take some time.
Are you sure you want to start? (y/n) y
TFTP Image transfer starting.
Image installed.

j. save config と入力して、設定を保存します。


) Web 認証ログイン ウィンドウからロゴを削除するには、clear webimage と入力します。


ステップ 9 「CLI を使用した、Web 認証ログイン ウィンドウ設定の確認」の指示に従って、設定を確認します。


 

変更されたデフォルトの Web 認証ログイン ウィンドウの例

図9-11 は、変更されたデフォルトの Web 認証ログイン ウィンドウの例を示しています。

図9-11 変更されたデフォルトの Web 認証ログイン ウィンドウの例

 

次の CLI コマンドは、このウィンドウの作成に使用されたものです。

config custom-web weblogo disable

config custom-web webtitle Welcome to the AcompanyBC Wireless LAN!

config custom-web webmessage Contact the System Administrator for a Username and Password.

transfer download start

Mode........................................... TFTP
Data Type...................................... Login Image
TFTP Server IP................................. xxx.xxx.xxx.xxx
TFTP Path...................................... /
TFTP Filename..................................... Logo.gif
This may take some time.
Are you sure you want to start? (y/n) y
TFTP Image transfer starting.
Image installed.
 

config custom-web redirecturl http://www.AcompanyBC.com

show custom-web

Cisco Logo.................. Disabled
CustomLogo.................. 00_logo.gif
Custom Title................ Welcome to the AcompanyBC Wireless LAN!
Custom Message ............. Contact the System Administrator for a Username and Password.
Custom Redirect URL......... http://www.AcompanyBC.com
Web Authentication Mode..... Disabled
Web Authentication URL........ Disabled

カスタマイズされた Web 認証ログイン ウィンドウの作成

この項では、カスタマイズされた Web 認証ログイン ウィンドウを作成するための情報を提供します。作成後は、外部 Web サーバからアクセスできるようになります。

次に、Web 認証ログイン ウィンドウのテンプレートを示します。カスタマイズされたウィンドウを作成する際に、モデルとして使用できます。

<html>
<head>
<meta http-equiv="Pragma" content="no-cache">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<title>Web Authentication</title>
<script>
 
function submitAction(){
var link = document.location.href;
var searchString = "redirect=";
var equalIndex = link.indexOf(searchString);
var redirectUrl = "";
var urlStr = "";
if(equalIndex > 0) {
equalIndex += searchString.length;
urlStr = link.substring(equalIndex);
if(urlStr.length > 0){
redirectUrl += urlStr;
if(redirectUrl.length > 255)
redirectUrl = redirectUrl.substring(0,255);
document.forms[0].redirect_url.value = redirectUrl;
}
}
 
document.forms[0].buttonClicked.value = 4;
document.forms[0].submit();
}
 
function loadAction(){
var url = window.location.href;
var args = new Object();
var query = location.search.substring(1);
var pairs = query.split("&");
for(var i=0;i<pairs.length;i++){
var pos = pairs[i].indexOf('=');
if(pos == -1) continue;
var argname = pairs[i].substring(0,pos);
var value = pairs[i].substring(pos+1);
args[argname] = unescape(value);
}
//alert( "AP MAC Address is " + args.ap_mac);
//alert( "The Switch URL to post user credentials is " + args.switch_url);
//document.forms[0].action = args.switch_url;
 
// This is the status code returned from webauth login action
// Any value of status code from 1 to 5 is error condition and user
// should be shown error as below or modify the message as it suits
// the customer
if(args.statusCode == 1){
alert("You are already logged in. No further action is required on your part.");
}
else if(args.statusCode == 2){
alert("You are not configured to authenticate against web portal. No further action is required on your part.");
}
else if(args.statusCode == 3){
alert("The username specified cannot be used at this time. Perhaps the username is already logged into the system?");
}
else if(args.statusCode == 4){
alert("The User has been excluded. Please contact the administrator.");
}
else if(args.statusCode == 5){
alert("Invalid username and password. Please try again.");
}
 
}
 
</script>
</head>
<body topmargin="50" marginheight="50" onload="loadAction();">
<form method="post" action="http://1.1.1.1/login.html">
<input TYPE="hidden" NAME="buttonClicked" SIZE="16" MAXLENGTH="15" value="0">
<input TYPE="hidden" NAME="redirect_url" SIZE="255" MAXLENGTH="255" VALUE="">
<input TYPE="hidden" NAME="err_flag" SIZE="16" MAXLENGTH="15" value="0">
 
<div align="center">
<table border="0" cellspacing="0" cellpadding="0">
<tr> <td>&nbsp;</td></tr>
 
<tr align="center"> <td colspan="2"><font size="10" color="#336699">Web Authentication</font></td></tr>
 
<tr align="center">
 
<td colspan="2"> User Name &nbsp;&nbsp;&nbsp;<input type="TEXT" name="username" SIZE="25" MAXLENGTH="63" VALUE="">
</td>
</tr>
<tr align="center" >
<td colspan="2"> Password &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<input type="Password" name="password" SIZE="25" MAXLENGTH="24">
</td>
</tr>
 
<tr align="center">
<td colspan="2"><input type="button" name="Submit" value="Submit" class="button" onclick="submitAction();">
</td>
</tr>
</table>
</div>
 
</form>
</body>
</html>

ユーザのインターネット ブラウザがカスタマイズされたログイン ウィンドウにリダイレクトされるときに、次のパラメータが URL に追加されます。

ap_mac :無線ユーザがアソシエートされているアクセス ポイントの MAC アドレス。

switch_url :ユーザの資格情報を記録するコントローラの URL。

redirect :認証に成功した後、ユーザがリダイレクトされる URL。

statusCode :コントローラの Web 認証サーバから戻されるステータス コード。

wlan :無線ユーザがアソシエートされている WLAN SSID。

使用可能なステータス コードは次のとおりです。

ステータス コード 1:"You are already logged in. No further action is required on your part."(すでにログインしています。これ以上の操作は不要です。)

ステータス コード 2:"You are not configured to authenticate against web portal. No further action is required on your part."(Web ポータルに対して認証するように設定されていません。これ以上の操作は不要です。)

ステータス コード 3:"The username specified cannot be used at this time. Perhaps the username is already logged into the system?"(指定されたユーザ名は、今回使用できません。ユーザ名はすでにログインされている可能性があります。)

ステータス コード 4:"You have been excluded."(除外されています。)

ステータス コード 5:"The User Name and Password combination you have entered is invalid. Please try again."(入力したユーザ名とパスワードの組み合わせが無効です。再入力してください。)


) 詳細は、次の URL にある『External Web Authentication with Wireless LAN Controllers Configuration Example』を参照してください。
http://www.cisco.com/en/US/partner/tech/tk722/tk809/technologies_configuration_example09186a008076f974.shtml


外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの使用

外部 Web サーバで設定した、カスタマイズされた Web 認証ログイン ウィンドウを使用する場合、次の GUI または CLI 手順の指示に従ってください。この機能を有効にすると、ユーザは、外部 Web サーバ上のカスタマイズされたログイン ウィンドウへダイレクトされます。


) 外部 Web サーバに対して、事前認証アクセス コントロール リスト(ACL)を WLAN上 で設定してから、Security Policies > Web Policy on the WLANs > Edit ページで、WLAN 事前認証 ACL としてその ACL を選択する必要があります。ACL の詳細は、 を参照してください。


GUI を使用した、外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの選択


ステップ 1 Security > Web Auth > Web Login Page の順にクリックして、Web Login ページを開きます(図9-12 を参照)。

図9-12 Web Login ページ

 

ステップ 2 Web Authentication Type ドロップダウン ボックスから External (Redirect to external server) を選択します。

ステップ 3 URL フィルードに、Web サーバ上のカスタマイズされた Web 認証ログイン ウィンドウの URL を入力します。最大 252 文字を入力することができます。

ステップ 4 Web Server IP Address フィールドに、Web サーバの IP アドレスを入力します。Web サーバは、コントローラ サービス ポート ネットワークとは異なるネットワーク上に存在しなくてはなりません。

ステップ 5 Add Web Server をクリックします。このサーバは、外部 Web サーバ リスト上に表示されます。

ステップ 6 Apply をクリックして、変更を適用します。

ステップ 7 ログイン ウィンドウの内容と外観に満足したら、Save Configuration をクリックして変更を保存します。


 

CLI を使用した、外部 Web サーバでカスタマイズされた Web 認証ログイン ウィンドウの選択


ステップ 1 Web 認証タイプを指定するには、次のコマンドを入力します。

config custom-web webauth_type external.

ステップ 2 Web サーバ上のカスタマイズされた Web 認証ログイン ウィンドウの URL を指定するには、次のコマンドを入力します。

config custom-web ext-webauth-url url

URL には最大 252 文字を入力することができます。

ステップ 3 Web サーバの IP アドレスを指定するには、次のコマンドを入力します。

config custom-web ext-webserver {add | delete} server_IP_address

ステップ 4 save config と入力して、設定を保存します。

ステップ 5 「CLI を使用した、Web 認証ログイン ウィンドウ設定の確認」の指示に従って、設定を確認します。


 

カスタマイズされた Web 認証ログイン ウィンドウのダウンロード

Web 認証ログイン ウィンドウで使用するページやイメージ ファイルをコントローラへダウンロードするために .tar ファイルに圧縮できます。これらのファイルは、 webauth bundle と呼ばれています。ファイルの最大許容サイズは、非圧縮の状態で 1 MB です。.tar ファイルがローカル TFTP サーバからダウンロードされる際、コントローラのファイル システムには、展開済みファイルとして取り込まれます。


) webauth bundle を GNU に準拠していない .tar 圧縮アプリケーションでロードすると、コントローラはこの bundle のファイルを解凍できず、「Extracting error」および「TFTP transfer failed」というエラー メッセージが表示されます。このため、PicoZip など GNU 標準に準拠するアプリケーションを使用して、webauth bundle の .tar ファイルを圧縮することをお勧めします。


カスタマイズされたログイン ウィンドウを作成する際のガイドラインは、次のとおりです。

ログイン ページの名前を「login.html」とします。コントローラは、この名前に基づき Web 認証 URL を作成します。webauth bundle の展開後にこのファイルが見つからない場合、bundle は破棄され、エラー メッセージが表示されます。

ユーザ名とパスワードの両方に入力フィールドを提供する。

リダイレクト先の URL を元の URL から抽出後、非表示入力アイテムとして保持する。

元の URL からアクション URL を抽出して、ページに設定する。

リターン ステータス コードをデコードするスクリプトを提供する。

メインページで使用されるすべてのパス(たとえば、イメージへの参照など)が相対タイプであることを確認する。

サンプルのログイン ページを Cisco WCS からダウンロードし、カスタマイズの足がかりとして利用できます。手順は、『Cisco Wireless Control System Configuration Guide, Release 4.2』の「Using Templates」の章の「Downloading a Customized Web Auth Page」を参照してください。

カスタマイズされた Web 認証ログイン ウィンドウをコントローラにダウンロードする場合、次の GUI または CLI 手順の指示に従ってください。

GUI を使用した、カスタマイズされた Web 認証ログイン ウィンドウのダウンロード


ステップ 1 ファイルのダウンロードで TFTP サーバを使用できることを確認します。「CLI を使用したデフォルトの Web 認証ログイン ウィンドウの選択」ステップ 8 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 2 ログイン ページが含まれる .tar ファイルを TFTP サーバのデフォルトディレクトリに移動します。

ステップ 3 Commands > Download File の順にクリックして、Download File to Controller ページ(図9-13 を参照)を開きます。

図9-13 Download File to Controller ページ

 

ステップ 4 File Type ドロップダウン ボックスから、Webauth Bundle を選択します。

ステップ 5 IP Address フィールドに、TFTP サーバの IP アドレスを入力します。

ステップ 6 Maximum Retries フィールドに、コントローラによる .tar ファイルのダウンロードの最大試行回数を入力します。

範囲: 1 ~ 254

デフォルト: 10

ステップ 7 Timeout フィールドに、コントローラによる *.tar ファイルのダウンロード試行がタイムアウトするまでの時間(秒数)を入力します。

範囲:1 ~ 254秒

デフォルト: 6秒

ステップ 8 File Path フィールドに、ダウンロードする .tar ファイルのパスを入力します。デフォルト値は「/」です。

ステップ 9 File Name フィールドに、ダウンロードする .tar ファイルの名前を入力します。

ステップ 10 Download をクリックして、.tar ファイルをコントローラへダウンロードします。

ステップ 11 Security > Web Auth > Web Login Page の順にクリックして、Web Login ページを開きます。

ステップ 12 Web Authentication Type ドロップダウン ボックスから Customized (Downloaded) を選択します。

ステップ 13 Apply をクリックして、変更を適用します。

ステップ 14 Preview クリックして、カスタマイズされた Web 認証ログイン ウィンドウを表示します。

ステップ 15 ログイン ウィンドウの内容と外観に満足したら、Save Configuration をクリックして変更を保存します。


 

CLI を使用した、カスタマイズされた Web 認証ログイン ウィンドウのダウンロード


ステップ 1 ファイルのダウンロードで TFTP サーバを使用できることを確認します。「CLI を使用したデフォルトの Web 認証ログイン ウィンドウの選択」ステップ 8 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 2 ログイン ページが含まれる .tar ファイルを TFTP サーバのデフォルトディレクトリに移動します。

ステップ 3 ダウンロード モードを指定するには、 transfer download mode tftp と入力します。

ステップ 4 ダウンロードするファイルのタイプを指定するには、transfer download datatype webauthbundle と入力します。

ステップ 5 TFTP サーバの IP アドレスを指定するには、 transfer download serverip tftp-server-ip-address と入力します。


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


ステップ 6 ダウンロード パスを指定するには、 transfer download path absolute-tftp-server-path-to-file と入力します。

ステップ 7 ダウンロードするファイルを指定するには、 transfer download filename filename.tar と入力します。

ステップ 8 transfer download start と入力して更新した設定を表示し、プロンプトに y と応答して現在のダウンロード設定を確認し、ダウンロードを開始します。

ステップ 9 Web 認証タイプを指定するには、config custom-web webauth_type customized と入力します。

ステップ 10 save config と入力して、設定を保存します。

ステップ 11 「CLI を使用した、Web 認証ログイン ウィンドウ設定の確認」の指示に従って、設定を確認します。


 

カスタマイズされた Web 認証ログイン ウィンドウの例

図9-14 は、カスタマイズされた Web 認証ログイン ウィンドウの例を示しています。

図9-14 カスタマイズされた Web 認証ログイン ウィンドウの例

 

CLI を使用した、Web 認証ログイン ウィンドウ設定の確認

show custom-web と入力して、Web 認証ログイン ウィンドウへの変更を確認します。次の例は、構成設定がデフォルト値に設定されている際に表示する情報を示します。

Cisco Logo..................................... Enabled
CustomLogo..................................... Disabled
Custom Title................................... Disabled
Custom Message................................. Disabled
Custom Redirect URL............................ Disabled
Web Authentication Mode........................ Disabled
Web Authentication URL......................... Disabled
This example shows the information that appears when the configuration settings have been modified:
Cisco Logo..................................... Disabled
CustomLogo..................................... 00_logo.gif
Custom Title................................... Welcome to the AcompanyBC Wireless LAN!
Custom Message................................. Contact the System Administrator for a
Username and Password.
Custom Redirect URL............................ http://www.AcompanyBC.com
Web Authentication Mode........................ Internal
Web Authentication URL............................ Disabled

WLAN ごとのログイン ページの割り当て

クライアントが異なる WLAN にアソシエートする際に異なる Web ログイン ページを表示する場合、Web Login ページの Web 認証タイプの設定を無効にすると、WLAN ごとに固有のログイン ページを選択できます。この機能は、組織内の異なる部門で独自のロゴ、メッセージなどをログイン ページに表示する場合に役立ちます。

GUI を使用した WLAN ごとのログイン ページの割り当て

コントローラの GUI を使用して、WLAN に Web ログイン ページを割り当てる手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページを開きます。

ステップ 2 ログイン ページを割り当てる WLAN のプロファイル名をクリックします。

ステップ 3 Security > Layer 3 の順にクリックします。

ステップ 4 Web Policy Authentication が選択されていることを確認します。

ステップ 5 Web Login ページに設定されているグローバル認証設定を無効にするには、 Override Global Config チェック ボックスをオンにします。

ステップ 6 Web Auth Type ドロップダウン ボックスが表示されたら、次のオプションのいずれかを選択して、無線ゲスト ユーザ用の Web ログイン ページを定義します。

Internal :コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

Customized :コントローラにダウンロードされたカスタム Web ログイン ページを表示します。このオプションを選択する場合、Login Page ドロップダウン ボックスから必要なログイン ページも選択する必要があります。これらのオプションのログイン ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。


) ログイン ページ専用のカスタマイズされた Web ページを使用できます。ログインおよびログアウトのエラー ページはカスタマイズできません。


External :認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択する場合、URL フィールドに外部サーバの URL も入力する必要があります。


) 外部サーバの詳細がまだ定義されていない場合、RADIUS Authentication Servers ページまたは TACACS+ Authentication Servers ページ上で設定できます。


ステップ 7 Apply をクリックして、変更を適用します。

ステップ 8 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した WLAN ごとのログイン ページの割り当て

コントローラの CLI を使用して、WLAN に Web ログイン ページを割り当てる手順は、次のとおりです。


ステップ 1 Web ログイン ページを割り当てる WLAN の ID 番号を決定するには、次のコマンドを入力します。

show wlan summary

ステップ 2 カスタマイズされた Web ログイン ページに無線ゲスト ユーザをログインさせる場合は、次のコマンドを入力して、Web ログイン ページのファイル名および表示する WLAN を指定します。

config wlan custom-web login_page page_name wlan_id


) ログイン ページ専用のカスタマイズされた Web ページを使用できます。ログインおよびログアウトのエラー ページはカスタマイズできません。


ステップ 3 無線ゲスト ユーザが Web ログイン ページにアクセスする前に無線ゲスト ユーザを外部サーバにリダイレクトする場合は、次のコマンドを入力して、外部サーバの URL を指定します。

config wlan custom-web ext-webauth-url ext_web_url wlan_id

ステップ 4 無線ゲスト ユーザー用の Web ログイン ページを定義するには、次のコマンドを入力します。

config wlan custom-web webauth-type { internal | customized | external } wlan_id

このとき、次のようになります。

Internal は、コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

customized は、ステップ 2 で設定したカスタム Web ログイン ページを表示します。

external は、ステップ 3 で設定された URL にユーザをリダイレクトします。

ステップ 5 グローバル カスタム Web 設定ではなく、WLAN 固有のカスタム Web 設定を使用するには、次のコマンドを入力します。

config wlan custom-web global disable wlan_id


config wlan custom-web global enable wlan_id コマンドを入力すると、カスタム Web 認証がグローバル レベルで設定されます。


ステップ 6 変更を保存するには、次のコマンドを入力します。

save config


 

有線ゲスト アクセスの設定

有線ゲスト アクセスにより、ゲスト ユーザはゲスト アクセス用に指定および設定されている有線イーサネット接続からゲスト アクセス ネットワークに接続できます。有線ゲスト アクセス ポートは、ゲスト オフィスからまたは会議室の特定のポートを介して利用することもできます。無線ゲスト ユーザ アカウントと同様に、有線ゲスト アクセス ポートは、ロビー アンバサダー機能を使用してネットワークに追加されます。

有線ゲスト アクセスは、スタンドアロン設定または、アンカー コントローラと外部コントローラの両方を使用するデュアル コントローラ設定で設定できます。この後者の設定は、有線ゲスト アクセス トラフィックをさらに隔離するために使用されますが、有線ゲスト アクセスの展開には必要ありません。

有線ゲスト アクセス ポートは最初、レイヤ 2 アクセス スイッチ上で、または有線ゲスト アクセス トラフィック用の VLAN インターフェイスで設定されているスイッチ ポート上で終端します。有線ゲスト トラフィックはその後、アクセス スイッチからコントローラへトランクされます。このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。図9-15を参照してください。

図9-15 1 つのコントローラを使用した有線ゲスト アクセスの例

 

2 つのコントローラが使用されている場合、有線ゲスト トラフィックをアクセス スイッチから受信する外部コントローラは、アンカー コントローラへそのトラフィックを転送します。このトラフィックを処理するために、外部コントローラとアンカー コントローラとの間で双方向 EoIP トンネルが確立されます。図9-16を参照してください。

図9-16 2 つのコントローラを使用した有線ゲスト アクセスの例

 


) 2 つのコントローラが展開されるとき、有線ゲスト アクセスはアンカーと外部アンカーによって管理されますが、有線ゲスト アクセス クライアントではモビリティがサポートされていません。この場合、DHCP およびクライアントの Web 認証は、アンカー コントローラによって処理されます。



) QoS ロールと帯域幅コントラクトを設定することにより、ネットワーク内の有線ゲスト ユーザに割り当てられている帯域幅の量を指定できます。これらの機能の設定の詳細は、「Quality of Service ロールの設定」を参照してください。


設定の概要

無線ネットワーク上で有線ゲスト アクセスを設定する手順は、次のとおりです。

1. 有線ゲスト ユーザ アクセス用の動的インターフェイス(VLAN)を設定します。

2. ゲスト ユーザ アクセス用の有線 LAN を作成します。

3. コントローラを設定します。

4. アンカー コントローラを設定します(別のコントローラでトラフィックを終端する場合)。

5. ゲスト LAN 用のセキュリティを設定します。

6. 設定を確認します。

設定のガイドライン

ネットワーク上で有線ゲスト アクセスを使用するには、次のガイドラインに従ってください。

有線ゲスト アクセスは、次のコントローラ上でのみサポートされています。4400 シリーズ コントローラ、Cisco WiSM、および Catalyst 3750G 統合型無線 LAN コントローラ スイッチ。

有線ゲスト アクセス インターフェイスは、タグ付きである必要があります。

有線ゲスト アクセス ポートは、外部コントローラと同じレイヤ 2 ネットワークになければなりません。

コントローラ上で、最大 5 つの有線ゲスト アクセス LAN を設定できます。

有線ゲスト アクセス クライアントに対して、レイヤ 3 Web 認証と Web パススルーがサポートされています。レイヤ 2 セキュリティはサポートされていません。

GUI を使用した有線ゲスト アクセスの設定

コントローラの GUI を使用して、ネットワーク上で有線ゲスト ユーザ アクセスを設定する手順は、次のとおりです。


ステップ 1 有線ゲスト ユーザ アクセス用の動的インターフェイスを作成するために、 Controller > Interfaces の順にクリックします。Interfaces ページが表示されます。

ステップ 2 New をクリックして、Interfaces > New ページを開きます。

ステップ 3 新しいインターフェイスの名前と VLAN ID を入力します。

ステップ 4 Apply をクリックして、変更を適用します。

ステップ 5 Interfaces > Edit ページで、インターフェイスの IP アドレス、ネットマスク、およびゲートウェイ アドレスを入力します(図9-17 を参照)。

図9-17 Interfaces > Edit ページ

 

ステップ 6 Port Number フィールドに、有効なポート番号を入力します。0 ~ 25(両端の値を含む)の数値を入力できます。

ステップ 7 Guest LAN チェックボックスをオンにします。

ステップ 8 プライマリ DHCP サーバの IP アドレスを入力します。

ステップ 9 Apply をクリックして、変更を適用します。

ステップ 10 ゲスト ユーザ アクセス用に有線 LAN を作成するために、 WLANs をクリックします。

ステップ 11 WLANs ページで、 New をクリックします。WLANs > New ページが表示されます(図9-18 を参照)。

図9-18 WLANs > New ページ

 

ステップ 12 Type ドロップダウン ボックスから、 Guest LAN を選択します。

ステップ 13 Profile Name フィールドに、ゲスト LAN を識別する名前を入力します。スペースを使用しないでください。

ステップ 14 WLAN SSID フィールドに、ゲスト LAN を識別する SSID を入力します。スペースを使用しないでください。

ステップ 15 Apply をクリックして、変更を適用します。WLANs > Edit ページが表示されます(図9-19 を参照)。

図9-19 WLANs > Edit ページ

 

ステップ 16 Status パラメータに対する Enabled チェックボックスをオンにします。

ステップ 17 Web 認証(Web-Auth)は、デフォルトのセキュリティ ポリシーです。これを Web パススルーに変更する場合は、ステップ 18ステップ 19 を終了してから、 Security タブをクリックします。

ステップ 18 Ingress Interface ドロップダウン ボックスから、ステップ 3 で作成した VLAN を選択します。この VLAN は、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。

ステップ 19 Egress Interface ドロップダウン ボックスから、インターフェイスの名前を選択します。この WLAN は、有線ゲスト クライアント トラフィックのコントローラから送信されるパスを提供します。


) 設定でコントローラが 1 つしかない場合は、Egress Interface ドロップダウン ボックスから management を選択します。


ステップ 20 認証方式を変更する(たとえば、Web 認証から Web パススルーへ)場合、 Security > Layer 3 の順にクリックします。WLANs > Edit (Security > Layer 3) ページが表示されます(図9-20 を参照)。

図9-20 WLANs > Edit(Security > Layer 3)ページ

 

ステップ 21 Layer 3 Security ドロップダウン ボックスから、次のいずれかを選択します。

None:レイヤ 3 セキュリティが無効になっています。

Web Authentication:無線ネットワークに接続する際に、ユーザにユーザ名とパスワードの入力を求めます。これはデフォルト値です。

Web Passthrough:ユーザがユーザ名とパスワードを入力せずに、ネットワークにアクセスすることを許可します。

ステップ 22 Web パススルー オプションを選択する場合、 Email Input チェックボックスが表示されます。ユーザがネットワークに接続を試みているときに、電子メール アドレスの入力を求める場合、このチェックボックスをオンにします。

ステップ 23 Web Login ページに設定されているグローバル認証設定を無効にするには、 Override Global Config チェック ボックスをオンにします。

ステップ 24 Web Auth Type ドロップダウン ボックスが表示されたら、次のオプションのいずれかを選択して、有線ゲスト ユーザ用の Web ログイン ページを定義します。

Internal :コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

Customized :コントローラにダウンロードされたカスタム Web ログイン ページを表示します。このオプションを選択する場合、Login Page ドロップダウン ボックスから必要なログイン ページも選択する必要があります。これらのオプションのログイン ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。


) ログイン ページ専用のカスタマイズされた Web ページを使用できます。ログインおよびログアウトのエラー ページはカスタマイズできません。


External :認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択する場合、URL フィールドに外部サーバの URL も入力する必要があります。


) 外部サーバの詳細がまだ定義されていない場合、RADIUS Authentication Servers ページまたは TACACS+ Authentication Servers ページ上で設定できます。


ステップ 25 Apply をクリックして、変更を適用します。

ステップ 26 Save Configuration をクリックして、変更内容を保存します。

ステップ 27 2 番目の(アンカー)コントローラがネットワークで使用中の場合は、このプロセスを繰り返します。


 

CLI を使用した有線ゲスト アクセスの設定

コントローラの CLI を使用して、ネットワーク上で有線ゲスト ユーザ アクセスを設定する手順は、次のとおりです。


ステップ 1 有線ゲスト ユーザのアクセス用の動的インターフェイス(VLAN)を作成するには、次のコマンドを入力します。

config interface create interface_name vlan_id

ステップ 2 リンク集約トランクが設定されていない場合、次のコマンドを入力して、物理ポートをインターフェイスにマップします。

config interface port interface_name primary_port { secondary_port }

ステップ 3 ゲスト LAN VLAN を有効または無効にするには、次のコマンドを入力します。

config interface guest-lan interface_name { enable | disable}

この VLAN は、ステップ 5 で作成した ingress インターフェイスに後でアソシエートされます。

ステップ 4 有線クライアント トラフィックを作成してインターフェイスにアソシエートさせるには、次のコマンドを入力します。

config guest-lan create guest_lan_id interface_name

ゲスト LAN ID は、1 ~ 5(両端の値を含む)にする必要があります。


) 有線ゲスト LAN を削除するには、次のコマンドを入力します。config guest-lan delete guest_lan_id


ステップ 5 レイヤ 2 アクセス スイッチ経由で有線ゲスト クライアントとコントローラ間のパスを提供する、有線ゲスト VLAN の ingress インターフェイスを設定するには、次のコマンドを入力します。

config guest-lan ingress-interface guest_lan_id interface_name

ステップ 6 コントローラから有線ゲスト トラフィックを送信する egress インターフェイスを設定するには、次のコマンドを入力します。

config guest-lan interface guest_lan_id interface_name


) 有線ゲスト トラフィックが別のコントローラで終端する場合は、終点の(アンカー)コントローラに対してステップ 4ステップ 6 を繰り返し、起点の(外部)コントローラに対してステップ 1ステップ 5 を繰り返します。さらに、両方のコントローラに対して次のコマンドを設定します。
config mobility group anchor add {guest-lan guest_lan_id | wlan wlan_id} IP_address


ステップ 7 有線ゲスト LAN のセキュリティ ポリシーを設定するには、次のコマンドを入力します。

config guest-lan security { web-auth enable guest_lan_id | web-passthrough enable guest_lan_id }


) Web 認証はデフォルト設定です。


ステップ 8 有線ゲスト LAN を有効または無効にするには、次のコマンドを入力します。

config guest-lan {enable | disable} guest_lan_id

ステップ 9 カスタマイズされた Web ログイン ページに有線ゲスト ユーザをログインさせる場合は、次のコマンドを入力して、Web ログイン ページのファイル名および表示する有線 LAN を指定します。

config guest-lan custom-web login_page page_name guest_lan_id


) ログイン ページ専用のカスタマイズされた Web ページを使用できます。ログインおよびログアウトのエラー ページはカスタマイズできません。


ステップ 10 有線ゲスト ユーザが Web ログイン ページにアクセスする前に無線ゲスト ユーザを外部サーバにリダイレクトする場合は、次のコマンドを入力して、外部サーバの URL を指定します。

config guest-lan custom-web ext-webauth-url ext_web_url guest_lan_id

ステップ 11 有線ゲスト ユーザー用の Web ログイン ページを定義するには、次のコマンドを入力します。

config guest-lan custom-web webauth-type { internal | customized | external } guest_lan_id

このとき、次のようになります。

Internal は、コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

customized は、ステップ 9 で設定したカスタム Web ログイン ページを表示します。

external は、ステップ 10 で設定された URL にユーザをリダイレクトします。

ステップ 12 グローバル カスタム Web 設定ではなく、ゲスト LAN 固有のカスタム Web 設定を使用するには、次のコマンドを入力します。

config guest-lan custom-web global disable guest_lan_id


config guest-lan custom-web global enable guest_lan_id コマンドを入力すると、カスタム Web 認証がグローバル レベルで設定されます。


ステップ 13 変更を保存するには、次のコマンドを入力します。

save config

ステップ 14 ローカル インターフェイスの要約を表示するには、次のコマンドを入力します。

show interface summary

次のような情報が表示されます。

Interface Name Port Vlan Id IP Address Type Ap Mgr Guest
-------------------------------- ---- -------- --------------- ------- ------ -----
ap-manager 1 untagged 1.100.163.25 Static Yes No
 
management 1 untagged 1.100.163.24 Static No No
 
service-port N/A N/A 172.19.35.31 Static No No
 
virtual N/A N/A 1.1.1.1 Static No No
 
wired 1 20 10.20.20.8 Dynamic No No
 
wired-guest 1 236 10.20.236.50 Dynamic No Yes

) この例の有線ゲスト LAN のインターフェイス名は、wired-guest 、その VLAN ID は 236 です。


ステップ 15 詳細なインターフェイス情報を表示するには、次のコマンドを入力します。

show interface detailed interface_name

次のような情報が表示されます。

Interface Name................................... wired-guest
MAC Address...................................... 00:11:92:ff:e7:eb
IP Address....................................... 10.20.236.50
IP Netmask....................................... 255.255.255.0
IP Gateway....................................... 10.50.236.1
VLAN............................................. 236
Quarantine-vlan.................................. no
Active Physical Port............................. LAG (29)
Primary Physical Port............................ LAG (29)
Backup Physical Port............................. Unconfigured
Primary DHCP Server.............................. 10.50.99.1
Secondary DHCP Server............................ Unconfigured
DHCP Option 82................................... Disabled
ACL.............................................. Unconfigured
AP Manager....................................... No
Guest Interface............................... Yes

ステップ 16 特定の有線ゲスト LAN の設定を表示するには、次のコマンドを入力します。

show guest-lan guest_lan_id

次のような情報が表示されます。

Guest LAN Identifier............................. 1
Profile Name..................................... guestlan
Network Name (SSID).............................. guestlan
Status........................................... Enabled
AAA Policy Override.............................. Disabled
Number of Active Clients......................... 1
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. Infinity
Interface........................................ wired
Ingress Interface................................ wired-guest
WLAN ACL......................................... unconfigured
DHCP Server...................................... 10.20.236.90
DHCP Address Assignment Required................. Disabled
Quality of Service............................... Silver (best effort)
Security
Web Based Authentication...................... Enabled
ACL........................................... Unconfigured
Web-Passthrough............................... Disabled
Conditional Web Redirect...................... Disabled
Auto Anchor................................... Disabled
Mobility Anchor List
GLAN ID IP Address Status
------- --------------- ------

show guest-lan summary と入力して、コントローラ上で設定されているすべての有線ゲスト LAN を表示します。


ステップ 17 有線ゲスト LAN クライアントを有効または無効にするには、次のコマンドを入力します。

show client summary guest-lan

次のような情報が表示されます。

Number of Clients................................ 1
MAC Address AP Name Status WLAN Auth Protocol Port Wired
------------------- ------- ----------- ----- ----- --------- ----- ------
00:16:36:40:ac:58 N/A Associated 1 No 802.3 1 Yes

ステップ 18 特定のクライアントの詳細情報を表示するには、次のコマンドを入力します。

show client detail mac_address

次のような情報が表示されます。

Client MAC Address............................... 00:16:36:40:ac:58
Client Username ................................. N/A
Client State..................................... Associated
Guest LAN Id..................................... 1
IP Address....................................... 10.20.236.50
Session Timeout.................................. 0
QoS Level........................................ Silver
Diff Serv Code Point (DSCP)...................... disabled
Mobility State................................... Local
Internal Mobility State.......................... apfMsMmInitial
Security Policy Completed........................ No
Policy Manager State............................. WEBAUTH_REQD
Policy Manager Rule Created...................... Yes
NPU Fast Fast Notified........................... Yes
Last Policy Manager State........................ WEBAUTH_REQD
Client Entry Create Time......................... 460 seconds
Interface........................................ wired-guest
VLAN............................................. 236
Client Statistics:
Number of Bytes Received..................... 0
Number of Bytes Sent......................... 0
Number of Packets Received................... 0
Number of Packets Sent.................... 0