Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド ソフトウェア リリース 7.2
ユーザ アカウントの管理
ユーザ アカウントの管理
発行日;2012/10/04 | 英語版ドキュメント(2012/09/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ユーザ アカウントの管理

ゲスト ユーザ アカウントの作成

ゲスト アカウントの作成について

ガイドラインと制限事項

ロビー アンバサダー アカウントの作成

ロビー アンバサダー アカウントの作成(GUI)

ロビー アンバサダー アカウントの作成(CLI)

ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)

ゲスト ユーザ アカウントの表示

ゲスト アカウントの表示(GUI)

ゲスト アカウントの表示(CLI)

その他の参考資料

Web 認証証明書の入手

Web 認証証明書について

チェーン証明書のサポート

Web 認証証明書の入手

Web 認証証明書の入手(GUI)

Web 認証証明書の入手(CLI)

Web 認証プロセス

Web 認証プロセスについて

ガイドラインと制限事項

デフォルトの Web 認証ログイン ページの選択

デフォルトの Web 認証ログイン ページについて

ガイドラインと制限事項

デフォルトの Web 認証ログイン ページの選択(GUI)

デフォルトの Web 認証ログイン ページの選択(CLI)

例:変更されたデフォルトの Web 認証ログイン ページの例

例:カスタマイズされた Web 認証ログイン ページの作成

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択

カスタマイズされた Web 認証ログイン ページについて

ガイドラインと制限事項

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(GUI)

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(CLI)

その他の参考資料

カスタマイズされた Web 認証ログイン ページのダウンロード

カスタマイズされた Web 認証ログイン ページのダウンロードについて

ガイドラインと制限事項

その他の参考資料

カスタマイズされた Web 認証ログイン ページのダウンロード(GUI)

カスタマイズされた Web 認証ログイン ページのダウンロード(CLI)

その他の参考資料

例:カスタマイズされた Web 認証ログイン ページ

Web 認証ログイン ページの設定の確認(CLI)

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当てについて

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(GUI)

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(CLI)

有線ゲスト アクセスの設定

有線ゲスト アクセスについて

有線ゲストのアクセスを設定するための前提条件

ガイドラインと制限事項

有線ゲスト アクセスの設定

有線ゲスト アクセスの設定(GUI)

有線ゲスト アクセスの設定(CLI)

IPv6 クライアントのゲスト アクセスのサポート

ゲスト ユーザ アカウントの作成

この項では、次のトピックを扱います。

「ゲスト アカウントの作成について」

「ガイドラインと制限事項」

「ロビー アンバサダー アカウントの作成」

「ゲスト ユーザ アカウントの表示」

ゲスト アカウントの作成について

コントローラは、WLAN 上でゲスト ユーザ アクセスを提供できます。ゲスト ユーザ アカウント作成の最初の手順では、ロビー アンバサダー アカウントとしても知られる、ロビー管理者ユーザを作成します。このアカウントを作成すると、ロビー アンバサダーはゲスト ユーザ アカウントをコントローラ上で作成および管理できます。ロビー アンバサダーは、限定的な設定権限を持ち、ゲスト アカウントを管理するために使用する Web ページのみにアクセスできます。

ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。

ガイドラインと制限事項

ローカル ユーザ データベースは、最大エントリ数が 2048(デフォルト値)に制限されています。データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの認可リスト エントリで共有します。これらを合わせて、設定されている最大値を超えることはできません。

ロビー アンバサダー アカウントの作成(GUI)


ステップ 1 [Management] > [Local Management Users] の順に選択して、[Local Management Users] ページを開きます。

図 11-1 [Local Management Users] ページ

 

このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。


) コントローラから任意のユーザ アカウントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。ただし、デフォルトの管理ユーザを削除すると、GUI および CLI によるコントローラへのアクセスは両方とも禁止されます。したがって、デフォルトのユーザを削除する前に、管理権限(ReadWrite)を持つユーザを作成しなければなりません。


ステップ 2 [New] をクリックして、ロビー アンバサダー アカウントを作成します。[Local Management Users > New] ページが表示されます。

ステップ 3 [User Name] テキスト ボックスに、ロビー アンバサダー アカウントのユーザ名を入力します。


) 管理ユーザ名は、すべて単一データベース内に保存されるため、一意である必要があります。


ステップ 4 [Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに、ロビー アンバサダー アカウントのパスワードを入力します。


) パスワードは大文字と小文字が区別されます。管理の [User Details] のパラメータの設定は、[Password Policy] ページで行う設定によって異なります。パスワードについて、次の要件が実施されます。

パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字クラスが含まれる必要があります。

パスワード内で同じ文字を連続して 4 回以上繰り返すことはできません。

パスワードに管理ユーザ名やユーザ名を逆にした文字列を含めることはできません。

パスワードには、Cisco、oscic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列は使用しないでください。

ステップ 5 [User Access Mode] ドロップダウン リストから [LobbyAdmin] を選択します。このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。


) [ReadOnly] オプションでは、読み取り専用の権限を持つアカウントを作成し、[ReadWrite] オプションでは、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


ステップ 6 [Apply] をクリックして、変更を確定します。ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。

ステップ 7 [Save Configuration] をクリックして、変更を保存します。


 

ロビー アンバサダー アカウントの作成(CLI)

ロビー アンバサダー アカウントを作成するには、次のコマンドを使用します。

config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


lobby-adminread-only に置き換えると、読み取り専用の権限を持つアカウントを作成します。lobby-adminread-write に置き換えると、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)


ステップ 1 ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。[Lobby Ambassador Guest Management] > [Guest Users List] ページが表示されます。

図 11-2 [Lobby Ambassador Guest Management] > [Guest Users List] ページ

 

ステップ 2 [New] をクリックして、ゲスト ユーザ アカウントを作成します。[Lobby Ambassador Guest Management] > [Guest Users List > New] ページが表示されます。

ステップ 3 [User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。最大 24 文字を入力することができます。

ステップ 4 次のいずれかの操作を行います。

このゲスト ユーザ用のパスワードを自動的に生成する場合は、[Generate Password] チェックボックスをオンにします。生成されたパスワードは、[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに自動的に入力されます。

このゲスト ユーザ用にパスワードを作成する場合は、[Generate Password] チェックボックスをオフのままにし、[Password] および [Confirm Password] の両テキスト ボックスにパスワードを入力します。


) パスワードは最大 24 文字まで含めることができ、大文字と小文字が区別されます。


ステップ 5 [Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。

デフォルト :1 日

範囲 :5 分から 30 日


) 小さい方の値、またはゲスト アカウントが作成された WLAN であるゲスト WLAN のセッション タイムアウトが、優先します。たとえば、WLAN セッションのタイムアウトが 30 分でも、ゲスト アカウントのライフタイムが 10 分の場合、アカウントはゲスト アカウントの失効に従い、10 分で削除されます。同様に、WLAN セッションがゲスト アカウントのライフタイムより前にタイムアウトする場合、クライアントは、再認証を要求するセッション タイムアウトを繰り返すことになります。



) ゼロ以外の値がライフタイムに設定されているゲスト ユーザ アカウントの値は、アカウントがアクティブになっている間、いつでも別の値に変更できます。しかし、コントローラ GUI を使用してゲスト ユーザ アカウントを永続的なアカウントにするには、そのアカウントを一度削除した後、再度アカウントを作成しなければなりません。必要に応じて、config netuser lifetime user_name 0 コマンドを使用すれば、アカウントを削除してから再度作成することなく、ゲスト ユーザ アカウントを永続的なアカウントにすることができます。


ステップ 6 [WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。


) 潜在的な競合を阻止するために、特定のゲスト WLAN を作成することを推奨します。ゲスト アカウントの有効期限が切れ、RADIUS サーバ上でアカウント名が競合し、両アカウントとも同じ WLAN 上にある場合、両アカウントにアソシエートしているユーザのアソシエートが解除されてから、ゲスト アカウントが削除されます。


ステップ 7 [Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。最大 32 文字を入力することができます。

ステップ 8 [Apply] をクリックして、変更を確定します。新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。

このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。また、ゲスト ユーザ アカウントを編集、または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ステップ 9 新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。


 

ゲスト ユーザ アカウントの表示

この項では、次のトピックを扱います。

「ゲスト アカウントの表示(GUI)」

「ゲスト アカウントの表示(CLI)」

ゲスト アカウントの表示(GUI)

コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、[Security] > [AAA] > [Local Net Users] を選択します。[Local Net Users] ページが表示されます。

図 11-3 [Local Net Users] ページ

 

このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ゲスト アカウントの表示(CLI)

コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。

show netuser summary

Web 認証証明書の入手

この項では、次のトピックを扱います。

「Web 認証証明書について」

「チェーン証明書のサポート」

「Web 認証証明書の入手」

Web 認証証明書について

コントローラのオペレーティング システムが十分な機能を持つ Web 認証証明書を自動的に生成するため、何もすることなく、レイヤ 3 Web 認証で証明書を使用することができます。ただし、必要に応じて、新しい Web 認証証明書を生成するようにオペレーティング システムに指示したり、外部で生成された SSL 証明書をダウンロードすることもできます。

チェーン証明書のサポート

5.1.151.0 よりも前のコントローラのバージョンでは、Web 認証証明書はデバイス証明書としてのみ使用でき、デバイス証明書にチェーンされた CA ルートを含むことはできません(チェーン証明書なし)。

バージョン 5.1.151.0 以降のコントローラの場合は、デバイス証明書を Web 認証用のチェーン証明書としてダウンロードできます(最大レベル 2)。チェーン証明書の詳細については、 http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a0080a77592.shtml の『 Generate CSR for Third-Party Certificates and Download Chained Certificates to the WLC 』を参照してください。

Web 認証証明書の入手

この項では、次のトピックを扱います。

「Web 認証証明書の入手(GUI)」

「Web 認証証明書の入手(CLI)」

Web 認証証明書の入手(GUI)


ステップ 1 [Security] > [Web Auth] > [Certificate] を選択して、[Web Authentication Certificate] ページを開きます。

図 11-4 [Web Authentication Certificate] ページ

 

このページには、現在の Web 認証証明書の詳細が示されます。

ステップ 2 オペレーティング システムで生成された新しい Web 認証証明書を使用する手順は、次のとおりです。

a. [Regenerate Certificate] をクリックします。オペレーティング システムが新しい Web 認証証明書を生成し、Web 認証証明書の生成が完了したことを示すメッセージが表示されます。

b. コントローラをリブートして、新しい証明書を登録します。

ステップ 3 外部で生成された Web 認証証明書を使用する手順は、次のとおりです。

a. コントローラが TFTP サーバに ping を送ることができることを確認します。

b. [Download SSL Certificate] チェックボックスをオンにします。

c. [Server IP Address] テキスト ボックスに、TFTP サーバの IP アドレスを入力します。

[Maximum Retries] テキスト ボックスの 10 回の再試行および [Timeout] テキスト ボックスの 6 秒というデフォルト値は、調整しなくても適切に機能します。ただし、これらの値は変更できます。

d. 各ダウンロードを試行できる最大回数を [Maximum Retries] テキスト ボックスに入力し、各ダウンロードに許容される時間(秒単位)を [Timeout] テキスト ボックスに入力します。

e. [Certificate File Path] テキスト ボックスに、証明書のディレクトリ パスを入力します。

f. [Certificate File Name] テキスト ボックスに、証明書の名前を入力します( certname .pem)。

g. [Certificate Password] テキスト ボックスに、証明書のパスワードを入力します。

h. [Apply] をクリックして、変更を確定します。オペレーティング システムが TFTP サーバから新しい証明書をダウンロードします。

i. コントローラをリブートして、新しい証明書を登録します。


 

Web 認証証明書の入手(CLI)


ステップ 1 次のコマンドを入力して、現在の Web 認証証明書を表示します。

show certificate summary

以下に類似した情報が表示されます。

Web Administration Certificate................... Locally Generated
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:............... off

ステップ 2 オペレーティング システムで新しい Web 認証証明書を生成する手順は、次のとおりです。

a. 新しい証明書を生成するには、次のコマンドを入力します。

config certificate generate webauth

b. コントローラをリブートして、新しい証明書を登録するには、次のコマンドを入力します。

reset system

ステップ 3 外部で生成された Web 認証証明書を使用する手順は、次のとおりです。


) クライアントのブラウザが Web 認証 URL と Web 認証証明書のドメインを照合できるように、外部で生成された Web 認証証明書の Common Name(CN)は 1.1.1.1(または相当する仮想インターフェイス IP アドレス)にすることを推奨します。


a. 次のコマンドを入力して、ダウンロードする証明書の名前、パス、およびタイプを指定します。

transfer download mode tftp

transfer download datatype webauthcert

transfer download serverip server_ip_address

transfer download path server_path_to_file

transfer download filename certname .pem

transfer download certpassword password

transfer download tftpMaxRetries retries

transfer download tftpPktTimeout timeout


) 10 回の再試行および 6 秒のタイムアウトというデフォルト値は、調整しなくても適切に機能します。ただし、これらの値は変更できます。そのためには、各ダウンロードを試行できる最大回数を retries パラメータに、各ダウンロードに許容される時間(秒単位)を timeout パラメータに入力します。


b. 次のコマンドを入力して、ダウンロード プロセスを開始します。

transfer download start

c. 次のコマンドを入力して、コントローラをリブートして新しい証明書を登録します。

reset system


 

Web 認証プロセス

この項では、次のトピックを扱います。

「Web 認証プロセスについて」

「ガイドラインと制限事項」

Web 認証プロセスについて

Web 認証は、レイヤ 3 セキュリティ機能です。これにより、コントローラは、クライアントが有効なユーザ名およびパスワードを正しく提供しない限り、そのクライアントに対する IP トラフィック(DHCP 関連パケットを除く)を許可しません。Web 認証を使用してクライアントを認証する場合、各クライアントのユーザ名とパスワードを定義する必要があります。クライアントは、ワイヤレス LAN に接続する際に、ログイン ページの指示に従ってユーザ名とパスワードを入力する必要があります。

ガイドラインと制限事項

Web 認証が(レイヤ 3 セキュリティ下で)有効になっている場合、ユーザが、最初にある URL にアクセスしようとした際に、Web ブラウザにセキュリティ警告が表示されることがあります。

図 11-5 一般的な Web ブラウザ セキュリティ警告ウィンドウ

 


) VPN ユーザを許可するよう設定されている事前認証 ACL でクライアントが WebAuth SSID に接続すると、クライアントは数分ごとに SSID から切断されます。Webauth SSID の接続には、Web ページでの認証が必要です。


ユーザが [Yes] をクリックして続行した後(または、クライアントのブラウザにセキュリティ警告が表示されない場合)、Web 認証システムのログイン ページが表示されます(図 11-6を参照)。

セキュリティ警告が表示されないようにするには、次の手順を実行します。


ステップ 1 [Security Alert] ページで [View Certificate] をクリックします。

ステップ 2 [Install Certificate] をクリックします。

ステップ 3 [Certificate Import Wizard] が表示されたら、[New] をクリックします。

ステップ 4 [Place all certificates in the following store] を選択して、[Browse] をクリックします。

ステップ 5 [Select Certificate Store] ページの下部で、[Show Physical Stores] チェックボックスをオンにします。

ステップ 6 [Trusted Root Certification Authorities] フォルダを展開して、[Local Computer] を選択します。

ステップ 7 [OK] をクリックします。

ステップ 8 [Next] > [Finish] の順に選択します。

ステップ 9 「The import was successful」というメッセージが表示されたら、[OK] をクリックします。

d. コントローラの自己署名証明書の issuer テキスト ボックスは空白であるため、Internet Explorer を開いて、[Tools] > [Internet Options] > [Advanced] の順に選択し、[Security] の下の [Warn about Invalid Site Certificates] チェックボックスをオフにして、[OK] をクリックします。

ステップ 10 PC をリブートします。次回 Web 認証を試みるときには、ログイン ページが表示されます。

図 11-6 デフォルトの Web 認証ログイン ページ

 

デフォルトのログイン ページには、Cisco ロゴや Cisco 特有のテキストが表示されます。Web 認証システムが次のいずれかを表示するように選択できます。

デフォルトのログイン ページ

デフォルトのログイン ページの変更バージョン

外部の Web サーバに設定する、カスタマイズされたログイン ページ

コントローラにダウンロードする、カスタマイズされたログイン ページ

「デフォルトの Web 認証ログイン ページの選択」には、Web 認証ログイン ページの表示方法を選択する手順が記載されています。

Web 認証ログイン ページで、ユーザが有効なユーザ名とパスワードを入力し、[Submit] をクリックすると、Web 認証システムは、ログインに成功したことを示すページを表示し、認証されたクライアントは要求した URL にリダイレクトされます。

図 11-7 ログイン成功ページ

 

デフォルトのログイン成功ページには、仮想ゲートウェイ アドレスの URL(https://1.1.1.1/logout.html)が表示されます。コントローラの仮想インターフェイスに設定した IP アドレスは、ログイン ページのリダイレクト アドレスとして機能します(仮想インターフェイスの詳細については、を参照)。


 

デフォルトの Web 認証ログイン ページの選択

この項では、次のトピックを扱います。

「デフォルトの Web 認証ログイン ページについて」

「ガイドラインと制限事項」

「デフォルトの Web 認証ログイン ページの選択(GUI)」

「デフォルトの Web 認証ログイン ページの選択(CLI)」

「例:変更されたデフォルトの Web 認証ログイン ページの例」

「例:カスタマイズされた Web 認証ログイン ページの作成」

デフォルトの Web 認証ログイン ページについて

内部コントローラの Web サーバによって処理されるカスタムの webauth bundle を使用する場合は、ページに 5 つを超える要素(HTML、CSS、イメージなど)を含めることはできません。これは、内部コントローラの Web サーバが実装する DoS 保護メカニズムにより、各クライアントが開く同時 TCP 接続が負荷に応じて最大 5 つに制限されるためです。ブラウザが DoS 保護を処理する方法によっては、ページに多くの要素が含まれているためにページのロードが遅くなることがあり、一部のブラウザは、同時に 5 つを超える TCP セッションを開こうとする場合があります(Firefox 4 など)。

複雑なカスタムの Web 認証モジュールが存在する場合は、コントローラ上の外部 Web 認証設定を使用して、完全なログイン ページが外部 Web サーバでホストされるようにすることを推奨します。

ガイドラインと制限事項

ユーザが SSLv2 専用に設定されているブラウザを使用して Web ページに接続するのを防止する場合は、 config network secureweb cipher-option sslv2 disable コマンドを入力して、Web 認証に対して SSLv2 を無効にできます。このコマンドを使用すると、ユーザは、SSLv3 以降のリリースなどのよりセキュアなプロトコルを使用するように設定したブラウザを使用しなければなりません。デフォルト値は有効(enable)です。

デフォルトの Web 認証ログイン ページの選択(GUI)


ステップ 1 [Security] > [Web Auth] > [Web Login Page] の順に選択して、[Web Login Page] を開きます。

図 11-8 Web Login Page

 

ステップ 2 [Web Authentication Type] ドロップダウン リストから [Internal (Default)] を選択します。

ステップ 3 デフォルトの Web 認証ログイン ページをそのまま使用する場合、ステップ 8 に進みます。デフォルトのログイン ページを変更する場合、ステップ 4 に進みます。

ステップ 4 デフォルト ページの右上に表示されている Cisco ロゴを非表示にするには、[Cisco Logo] の [Hide] オプションを選択します。表示する場合は、[Show] オプションをクリックします。

ステップ 5 ログイン後にユーザを特定の URL(会社の URL など)にダイレクトさせる場合、[Redirect URL After Login] テキスト ボックスに必要な URL を入力します。最大 254 文字を入力することができます。


) コントローラでは、HTTP(HTTP over TCP)サーバへの Web 認証リダイレクトのみがサポートされています。HTTPS(HTTP over SSL)サーバへの Web 認証リダイレクトはサポートしていません。


ステップ 6 ログイン ページで独自のヘッドラインを作成する場合、[Headline] テキスト ボックスに必要なテキストを入力します。最大 127 文字を入力することができます。デフォルトのヘッドラインは、「Welcome to the Cisco wireless network」です。

ステップ 7 ログイン ページで独自のメッセージを作成する場合、[Message] テキスト ボックスに必要なテキストを入力します。最大 2047 文字を入力することができます。デフォルトのメッセージは、「Cisco is pleased to provide the Wireless LAN infrastructure for your network.Please login and put your air space to work.」です。

ステップ 8 [Apply] をクリックして、変更を確定します。

ステップ 9 [Preview] をクリックして、Web 認証ログイン ページを表示します。

ステップ 10 ログイン ページの内容と外観に満足したら、[Save Configuration] をクリックして変更を保存します。納得いかない場合は、納得する結果を得られるように必要に応じて上記手順を繰り返します。


 

デフォルトの Web 認証ログイン ページの選択(CLI)


ステップ 1 次のコマンドを入力して、デフォルトの Web 認証タイプを指定します。

config custom-web webauth_type internal

ステップ 2 デフォルトの Web 認証ログイン ページをそのまま使用する場合、ステップ 7 に進みます。デフォルトのログイン ページを変更する場合、ステップ 3 に進みます。

ステップ 3 デフォルトのログイン ページの右上に表示されている Cisco ロゴの表示/非表示を切り替えるには、次のコマンドを入力します。

config custom-web weblogo { enable | disable }

ステップ 4 ユーザをログイン後に特定の URL(会社の URL など)に転送させる場合、次のコマンドを入力します。

config custom-web redirecturl url

URL には最大 130 文字を入力することができます。リダイレクト先をデフォルトの設定に戻すには、 clear redirecturl コマンドを入力します。


) コントローラでは、HTTP(HTTP over TCP)サーバへの Web 認証リダイレクトのみがサポートされています。HTTPS(HTTP over SSL)サーバへの Web 認証リダイレクトはサポートしていません。


ステップ 5 ログイン ページで独自のヘッドラインを作成する場合、次のコマンドを入力します。

config custom-web webtitle title

最大 130 文字を入力することができます。デフォルトのヘッドラインは、「Welcome to the Cisco wireless network」です。ヘッドラインをデフォルトの設定に戻すには、 clear webtitle コマンドを入力します。

ステップ 6 ログイン ページで独自のメッセージを作成する場合、次のコマンドを入力します。

config custom-web webmessage message

最大 130 文字を入力することができます。デフォルトのメッセージは、「Cisco is pleased to provide the Wireless LAN infrastructure for your network.Please login and put your air space to work.」です。メッセージをデフォルトの設定に戻すには、 clear webmessage コマンドを入力します。

ステップ 7 save config コマンドを入力して、設定を保存します。

ステップ 8 次の手順で独自のロゴを Web 認証ログイン ページにインポートします。

a. Trivial File Transfer Protocol(TFTP)サーバがダウンロードのために使用可能であることを確認します。TFTP サーバをセットアップするときには、次のガイドラインに従ってください。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。そうでない場合は、コントローラ上に静的ルートを作成する必要があります。

ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

サードパーティの TFTP サーバと WCS 内蔵 TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Cisco WCS と同じコンピュータ上で実行できません。

b. 次のコマンドを入力して、コントローラが TFTP サーバと通信可能であることを確認します。

ping ip-address

c. TFTP サーバのデフォルト ディレクトリにロゴ ファイル(.jpg、.gif、または .png 形式)を移動します。ファイル サイズは 30 キロビット以内です。うまく収まるようにするには、ロゴは、横 180 ピクセル X 縦 360 ピクセル前後の大きさにします。

d. 次のコマンドを入力して、ダウンロード モードを指定します。

transfer download mode tftp

e. 次のコマンドを入力して、ダウンロードするファイルのタイプを指定します。

transfer download datatype image

f. 次のコマンドを入力して、TFTP サーバの IP アドレスを指定します。

transfer download serverip tftp-server-ip-address


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


g. 次のコマンドを入力して、ダウンロード パスを指定します。

transfer download path absolute-tftp-server-path-to-file

h. 次のコマンドを入力して、ダウンロードするファイルを指定します。

transfer download filename { filename.jpg | filename.gif | filename.png }

i. 次のコマンドを入力して、更新した設定を表示し、プロンプトに y と応答して現在のダウンロード設定を確認し、ダウンロードを開始します。

transfer download start

以下に類似した情報が表示されます。

Mode........................................... TFTP
Data Type...................................... Login Image
TFTP Server IP................................. xxx.xxx.xxx.xxx
TFTP Path...................................... <directory path>
TFTP Filename..................................... <filename.jpg|.gif|.png>
This may take some time.
Are you sure you want to start? (y/n) y
TFTP Image transfer starting.
Image installed.

j. 次のコマンドを入力して、設定を保存します。

save config


) Web 認証ログイン ページからロゴを削除するには、clear webimage コマンドを入力します。


ステップ 9 「Web 認証ログイン ページの設定の確認(CLI)」の指示に従って、設定を確認します。


 

例:変更されたデフォルトの Web 認証ログイン ページの例

図 11-9 は、デフォルトの Web 認証ログイン ページを変更した例を示しています。

図 11-9 変更されたデフォルトの Web 認証ログイン ページの例

 

このログイン ページは、次の CLI コマンドを使用して作成されました。

config custom-web weblogo disable

config custom-web webtitle Welcome to the AcompanyBC Wireless LAN!

config custom-web webmessage Contact the System Administrator for a Username and Password.

transfer download start

以下に類似した情報が表示されます。

Mode........................................... TFTP
Data Type...................................... Login Image
TFTP Server IP................................. xxx.xxx.xxx.xxx
TFTP Path...................................... /
TFTP Filename..................................... Logo.gif
This may take some time.
Are you sure you want to start? (y/n) y
TFTP Image transfer starting.
Image installed.
 

config custom-web redirecturl url

show custom-web

Cisco Logo.................. Disabled
CustomLogo.................. 00_logo.gif
Custom Title................ Welcome to the AcompanyBC Wireless LAN!
Custom Message ............. Contact the System Administrator for a Username and Password.
Custom Redirect URL......... http://www.AcompanyBC.com
Web Authentication Mode..... Disabled
Web Authentication URL........ Disabled

例:カスタマイズされた Web 認証ログイン ページの作成

この項では、カスタマイズされた Web 認証ログイン ページの作成について説明します。作成後は、外部 Web サーバからアクセスできるようになります。

Web 認証ログイン ページのテンプレートを次に示します。カスタマイズされたページを作成する際に、モデルとして使用できます。

<html>
<head>
<meta http-equiv="Pragma" content="no-cache">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<title>Web Authentication</title>
<script>
 
function submitAction(){
var link = document.location.href;
var searchString = "redirect=";
var equalIndex = link.indexOf(searchString);
var redirectUrl = "";
if (document.forms[0].action == "") {
var url = window.location.href;
var args = new Object();
var query = location.search.substring(1);
var pairs = query.split("&");
for(var i=0;i<pairs.length;i++){
var pos = pairs[i].indexOf('=');
if(pos == -1) continue;
var argname = pairs[i].substring(0,pos);
var value = pairs[i].substring(pos+1);
args[argname] = unescape(value);
}
document.forms[0].action = args.switch_url;
}
if(equalIndex >= 0) {
equalIndex += searchString.length;
redirectUrl = "";
redirectUrl += link.substring(equalIndex);
}
if(redirectUrl.length > 255)
redirectUrl = redirectUrl.substring(0,255);
document.forms[0].redirect_url.value = redirectUrl;
document.forms[0].buttonClicked.value = 4;
document.forms[0].submit();
}
 
function loadAction(){
var url = window.location.href;
var args = new Object();
var query = location.search.substring(1);
var pairs = query.split("&");
for(var i=0;i<pairs.length;i++){
var pos = pairs[i].indexOf('=');
if(pos == -1) continue;
var argname = pairs[i].substring(0,pos);
var value = pairs[i].substring(pos+1);
args[argname] = unescape(value);
}
//alert( "AP MAC Address is " + args.ap_mac);
//alert( "The Switch URL to post user credentials is " + args.switch_url);
document.forms[0].action = args.switch_url;
 
// This is the status code returned from webauth login action
// Any value of status code from 1 to 5 is error condition and user
// should be shown error as below or modify the message as it suits
// the customer
if(args.statusCode == 1){
alert("You are already logged in. No further action is required on your part.");
}
else if(args.statusCode == 2){
alert("You are not configured to authenticate against web portal. No further action is required on your part.");
}
else if(args.statusCode == 3){
alert("The username specified cannot be used at this time. Perhaps the username is already logged into the system?");
}
else if(args.statusCode == 4){
alert("The User has been excluded. Please contact the administrator.");
}
else if(args.statusCode == 5){
alert("Invalid username and password. Please try again.");
}
else if(args.statusCode == 6){
alert("Invalid email address format. Please try again.");
}
}
 
</script>
</head>
<body topmargin="50" marginheight="50" onload="loadAction();">
<form method="post" action="https://209.165.200.225/login.html">
<input TYPE="hidden" NAME="buttonClicked" SIZE="16" MAXLENGTH="15" value="0">
<input TYPE="hidden" NAME="redirect_url" SIZE="255" MAXLENGTH="255" VALUE="">
<input TYPE="hidden" NAME="err_flag" SIZE="16" MAXLENGTH="15" value="0">
 
<div align="center">
<table border="0" cellspacing="0" cellpadding="0">
<tr> <td>&nbsp;</td></tr>
 
<tr align="center"> <td colspan="2"><font size="10" color="#336699">Web Authentication</font></td></tr>
 
<tr align="center">
 
<td colspan="2"> User Name &nbsp;&nbsp;&nbsp;<input type="TEXT" name="username" SIZE="25" MAXLENGTH="63" VALUE="">
</td>
</tr>
<tr align="center" >
<td colspan="2"> Password &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<input type="Password" name="password" SIZE="25" MAXLENGTH="24">
</td>
</tr>
 
<tr align="center">
<td colspan="2"><input type="button" name="Submit" value="Submit" class="button" onclick="submitAction();">
</td>
</tr>
</table>
</div>
 
</form>
</body>
</html>

ユーザのインターネット ブラウザがカスタマイズされたログイン ページにリダイレクトされるときに、次のパラメータが URL に追加されます。

ap_mac :無線ユーザがアソシエートされているアクセス ポイントの MAC アドレス。

switch_url :ユーザの資格情報を記録するコントローラの URL。

redirect :認証に成功した後、ユーザがリダイレクトされる URL。

statusCode :コントローラの Web 認証サーバから戻されるステータス コード。

wlan :無線ユーザがアソシエートされている WLAN SSID。

使用できるステータス コードは、次のとおりです。

ステータス コード 1:「You are already logged in.No further action is required on your part.」

ステータス コード 2:「You are not configured to authenticate against web portal.No further action is required on your part.」

ステータス コード 3:「The username specified cannot be used at this time.Perhaps the username is already logged into the system?」

ステータス コード 4:「You have been excluded.」

ステータス コード 5:「The User Name and Password combination you have entered is invalid.Please try again.」


) 詳細については、次の URL にある『External Web Authentication with Wireless LAN Controllers Configuration Example』を参照してください。http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076f974.shtml


外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択

この項では、次のトピックを扱います。

「カスタマイズされた Web 認証ログイン ページについて」

「ガイドラインと制限事項」

「外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(GUI)」

「外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(CLI)」

カスタマイズされた Web 認証ログイン ページについて

Web 認証ログイン ページをカスタマイズして、外部 Web サーバにリダイレクトすることができます。この機能を有効にすると、ユーザは、外部 Web サーバ上のカスタマイズされたログイン ページへダイレクトされます。

ガイドラインと制限事項

Cisco 5500 シリーズ コントローラ、Cisco 2500 シリーズ コントローラ、およびコントローラ ネットワーク モジュールでは、外部 Web サーバに対して、事前認証アクセス コントロール リスト(ACL)を WLAN 上で設定してから、[Security Policies] > [Web Policy on the WLANs] > [Edit] ページで、WLAN 事前認証 ACL としてその ACL を選択する必要があります。

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択

この項では、次のトピックを扱います。

「外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(GUI)」

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(GUI)


ステップ 1 [Security] > [Web Auth] > [Web Login Page] の順に選択して、[Web Login Page] を開きます。

図 11-10 Web Login Page

 

ステップ 2 [Web Authentication Type] ドロップダウン リストから [External (Redirect to external server)] を選択します。

ステップ 3 [URL] テキスト ボックスに、Web サーバ上でカスタマイズされた Web 認証ログイン ページの URL を入力します。最大 252 文字を入力することができます。

ステップ 4 [Web Server IP Address] テキスト ボックスに、Web サーバの IP アドレスを入力します。Web サーバは、コントローラ サービス ポート ネットワークとは異なるネットワーク上に存在しなくてはなりません。

ステップ 5 [Add Web Server] をクリックします。このサーバは、外部 Web サーバ リスト上に表示されます。

ステップ 6 [Apply] をクリックして、変更を確定します。

ステップ 7 ログイン ページの内容と外観に満足したら、[Save Configuration] をクリックして変更を保存します。


 

外部 Web サーバでのカスタマイズされた Web 認証ログイン ページの選択(CLI)


ステップ 1 次のコマンドを入力して、Web 認証タイプを指定します。

config custom-web webauth_type external

ステップ 2 次のコマンドを入力して、Web サーバ上でカスタマイズされた Web 認証ログイン ページの URL を指定します。

config custom-web ext-webauth-url url

URL には最大 252 文字を入力することができます。

ステップ 3 次のコマンドを入力して、Web サーバの IP アドレスを指定します。

config custom-web ext-webserver { add | delete } server_IP_address

ステップ 4 save config コマンドを入力して、設定を保存します。

ステップ 5 「Web 認証ログイン ページの設定の確認(CLI)」の指示に従って、設定を確認します。


 

その他の参考資料

ACL の詳細については、を参照してください。

カスタマイズされた Web 認証ログイン ページのダウンロード

この項では、次のトピックを扱います。

「カスタマイズされた Web 認証ログイン ページのダウンロードについて」

「ガイドラインと制限事項」

「カスタマイズされた Web 認証ログイン ページのダウンロード(GUI)」

「カスタマイズされた Web 認証ログイン ページのダウンロード(CLI)」

「例:カスタマイズされた Web 認証ログイン ページ」

「Web 認証ログイン ページの設定の確認(CLI)」

カスタマイズされた Web 認証ログイン ページのダウンロードについて

Web 認証ログイン ページに使用するページやイメージ ファイルを .tar ファイルに圧縮してコントローラへダウンロードできます。これらのファイルは、webauth bundle と呼ばれています。ファイルの最大許容サイズは、非圧縮の状態で 1 MB です。.tar ファイルがローカル TFTP サーバからダウンロードされる際、コントローラのファイル システムには、展開済みファイルとして取り込まれます。


) webauth bundle を GNU に準拠していない .tar 圧縮アプリケーションでロードすると、コントローラはこの bundle のファイルを解凍できず、「Extracting error」および「TFTP transfer failed」というエラー メッセージが表示されます。このため、PicoZip など GNU 標準に準拠するアプリケーションを使用して、webauth bundle の .tar ファイルを圧縮することを推奨します。



) 設定のバックアップには、webauth bundle や外部ライセンスなど、ダウンロードしてコントローラに格納した付加的なファイルやコンポーネントは含まれないため、このようなファイルやコンポーネントの外部バックアップ コピーは手動で保存する必要があります。



) カスタマイズされた webauth bundle に異なる要素が 4 つ以上含まれる場合は、コントローラ上の TCP レート制限ポリシーが原因で発生するページの読み込み上の問題を防ぐために、外部サーバを使用してください。


ガイドラインと制限事項

ログイン ページの名前を「login.html」とする。コントローラは、この名前に基づき Web 認証 URL を作成します。webauth bundle の展開後にこのファイルが見つからない場合、bundle は破棄され、エラー メッセージが表示されます。

ユーザ名とパスワードの両方に入力テキスト ボックスを提供する。

リダイレクト先の URL を元の URL から抽出後、非表示入力アイテムとして保持する。

元の URL からアクション URL を抽出して、ページに設定する。

リターン ステータス コードをデコードするスクリプトを提供する。

メイン ページで使用されているすべてのパス(たとえば、イメージを参照するパス)を確認する。

バンドル内のすべてのファイル名が 30 文字以内であることを確認する。

その他の参考資料

ログイン ページ例を Cisco NCS からダウンロードし、カスタマイズの足がかりとして利用できます。手順については、『 Cisco Prime Network Control System Configuration Guide, Release 1.1 』の「Using Templates」の章の「Downloading a Customized Web Auth Page」を参照してください。

カスタマイズされた Web 認証ログイン ページのダウンロード(GUI)


ステップ 1 ファイルのダウンロードで TFTP サーバを使用できることを確認します。「デフォルトの Web 認証ログイン ページの選択(GUI)」ステップ 8 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 2 ログイン ページが含まれる .tar ファイルを TFTP サーバのデフォルトディレクトリに移動します。

ステップ 3 [Commands] > [Download File] の順に選択して、[Download File to Controller] ページを開きます。

図 11-11 [Download File to Controller] ページ

 

ステップ 4 [File Type] ドロップダウン リストから、[Webauth Bundle] を選択します。

ステップ 5 [Transfer Mode] ドロップダウン リストから、[TFTP] または [FTP] を選択します。

ステップ 6 [IP Address] テキスト ボックスに、TFTP サーバの IP アドレスを入力します。

ステップ 7 TFTP サーバを使用している場合は、コントローラによる .tar ファイルのダウンロードの最大試行回数を [Maximum Retries] テキスト ボックスに入力します。

指定できる範囲は 1 ~ 254 です。

デフォルトは 10 です。

ステップ 8 TFTP サーバを使用している場合は、コントローラによる *.tar ファイルのダウンロード試行がタイムアウトするまでの時間(秒数)を [Timeout] テキスト ボックスに入力します。

指定できる範囲は 1 ~ 254 秒です。

デフォルトは 6 秒です。

ステップ 9 [File Path] テキスト ボックスに、ダウンロードする .tar ファイルのパスを入力します。デフォルト値は「/」です。

ステップ 10 [File Name] テキスト ボックスに、ダウンロードする .tar ファイルの名前を入力します。

ステップ 11 FTP サーバを使用している場合は、次の手順に従います。

a. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。

b. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。

c. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP サーバのポート番号を入力します。デフォルト値は 21 です。

ステップ 12 [Download] をクリックして、.tar ファイルをコントローラへダウンロードします。

ステップ 13 [Security] > [Web Auth] > [Web Login Page] の順に選択して、[Web Login Page] を開きます。

ステップ 14 [Web Authentication Type] ドロップダウン リストから [Customized (Downloaded)] を選択します。

ステップ 15 [Apply] をクリックして、変更を確定します。

ステップ 16 [Preview] をクリックして、カスタマイズされた Web 認証ログイン ページを表示します。

ステップ 17 ログイン ページの内容と外観に満足したら、[Save Configuration] をクリックして変更を保存します。


 

カスタマイズされた Web 認証ログイン ページのダウンロード(CLI)


ステップ 1 ファイルのダウンロードで TFTP サーバを使用できることを確認します。「デフォルトの Web 認証ログイン ページの選択(CLI)」ステップ 8 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 2 ログイン ページが含まれる .tar ファイルを TFTP サーバのデフォルトディレクトリに移動します。

ステップ 3 次のコマンドを入力して、ダウンロード モードを指定します。

transfer download mode tftp

ステップ 4 次のコマンドを入力して、ダウンロードするファイルのタイプを指定します。

transfer download datatype webauthbundle

ステップ 5 次のコマンドを入力して、TFTP サーバの IP アドレスを指定します。

transfer download serverip tftp-server-ip-address


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


ステップ 6 次のコマンドを入力して、ダウンロード パスを指定します。

transfer download path absolute-tftp-server-path-to-file

ステップ 7 次のコマンドを入力して、ダウンロードするファイルを指定します。

transfer download filename filename.tar

ステップ 8 次のコマンドを入力して、更新した設定を表示し、プロンプトに y と応答して現在のダウンロード設定を確認し、ダウンロードを開始します。

transfer download start

ステップ 9 次のコマンドを入力して、Web 認証タイプを指定します。

config custom-web webauth_type customized

ステップ 10 save config コマンドを入力して、設定を保存します。

その他の参考資料

「Web 認証プロセス」を参照してください。


 

例:カスタマイズされた Web 認証ログイン ページ

次の図は、カスタマイズされた Web 認証ログイン ページの例を示しています。

図 11-12 カスタマイズされた Web 認証ログイン ページの例

 

Web 認証ログイン ページの設定の確認(CLI)

show custom-web コマンドを入力して、Web 認証ログイン ページに対する変更を確認します。この例は、設定がデフォルト値に設定された際に表示される情報を示しています。

Cisco Logo..................................... Enabled
CustomLogo..................................... Disabled
Custom Title................................... Disabled
Custom Message................................. Disabled
Custom Redirect URL............................ Disabled
Web Authentication Mode........................ Disabled
Web Authentication URL......................... Disabled

以下に類似した情報が表示されます。

Cisco Logo..................................... Disabled
CustomLogo..................................... 00_logo.gif
Custom Title................................... Welcome to the AcompanyBC Wireless LAN!
Custom Message................................. Contact the System Administrator for a
Username and Password.
Custom Redirect URL............................
Web Authentication Mode........................ Internal
Web Authentication URL............................ Disabled

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て

この項では、次のトピックを扱います。

「WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当てについて」

「WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(GUI)」

「WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(CLI)」

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当てについて

ユーザに対して、WLAN ごとに異なる Web 認証ログイン ページ、ログイン失敗ページ、ログアウト ページを表示できます。この機能を使用すると、ゲスト ユーザや組織内のさまざまな部署の従業員など、さまざまなネットワーク ユーザに対し、ユーザ固有の Web 認証ページを表示できます。

すべての Web 認証タイプ([Internal]、[External]、[Customized])で異なるログイン ページを使用できます。ただし、Web 認証タイプで [Customized] を選んだ場合に限り、異なるログイン失敗ページとログアウト ページを指定できます。

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 Web ログイン ページ、ログイン失敗ページ、またはログアウト ページを割り当てる WLAN の ID 番号をクリックします。

ステップ 3 [Security] > [Layer 3] の順に選択します。

ステップ 4 [Web Policy] と [Authentication] が選択されていることを確認します。

ステップ 5 [Override Global Config] チェックボックスをオンにして、Web 認証ページに設定されているグローバル認証設定を無効にします。

ステップ 6 [Web Auth Type] ドロップダウン リストが表示されたら、次のオプションのいずれかを選択して、無線ゲスト ユーザ用の Web 認証ページを定義します。

[Internal] コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

[Customized] カスタム Web ログイン ページ、ログイン失敗ページ、ログアウト ページを表示します。このオプションを選択すると、ログイン ページ、ログイン失敗ページ、ログアウト ページに対して 3 つの個別のドロップダウン リストが表示されます。3 つのオプションすべてに対してカスタマイズしたページを定義する必要はありません。オプションのカスタマイズ ページを表示しない場合は、適切なドロップダウン リストから [None] を選択します。


) これらオプションのログイン ページ、ログイン失敗ページ、ログアウト ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。カスタム ページのダウンロードの詳細については、「カスタマイズされた Web 認証ログイン ページのダウンロード」を参照してください。


[External] 認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択する場合、[URL] テキスト ボックスに外部サーバの URL も入力する必要があります。

[WLANs > Edit]([Security] > [AAA Servers])ページで、外部認証を行う特定の RADIUS サーバまたは LDAP サーバを選択できます。また、サーバによる認証の優先順位を定義することもできます。

ステップ 7 ステップ 6 で Web 認証タイプとして [External] を選択した場合は、[AAA Servers] を選択して、ドロップダウン リストから最大 3 つの RADIUS サーバおよび LDAP サーバを選択します。


) RADIUS および LDAP の外部サーバは、[WLANs > Edit]([Security] > [AAA Servers])ページでオプションを選択できるようにするため、あらかじめ設定しておく必要があります。[RADIUS Authentication Servers] ページと [LDAP Servers] ページでこれらのサーバを設定できます。


ステップ 8 次の手順で、Web 認証で接続するサーバの優先順位を指定します。


) デフォルトでは、[Local]、[RADIUS]、[LDAP] の順になっています。


a. [Up] ボタンと [Down] ボタンの隣にあるボックスで、最初に接続するサーバの種類([Local]、[Radius]、[LDAP])を強調表示します。

b. 希望のサーバ タイプがボックスの先頭になるまで、[Up] および [Down] をクリックします。

c. [<] 矢印をクリックして、そのサーバ タイプを左側の優先順位ボックスに移動します。

d. この手順を繰り返して他のサーバにも優先順位を割り当てます。

ステップ 9 [Apply] をクリックして、変更を確定します。

ステップ 10 [Save Configuration] をクリックして、変更を保存します。


 

WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て(CLI)


ステップ 1 次のコマンドを入力して、Web ログイン ページ、ログイン失敗ページ、ログアウト ページを割り当てる WLAN の ID 番号を決定します。

show wlan summary

ステップ 2 カスタマイズされた Web ログイン ページ、ログイン失敗ページ、ログアウト ページに無線ゲスト ユーザをログインさせる場合は、次のコマンドを入力して Web 認証ページのファイル名および表示する WLAN を指定します。

config wlan custom-web login-page page_name wlan_id :指定した WLAN に対するカスタマイズしたログイン ページを定義します。

config wlan custom-web loginfailure-page page_name wlan_id :指定した WLAN に対するカスタマイズしたログイン失敗ページを定義します。


) コントローラのデフォルトのログイン失敗ページを使用するには、config wlan custom-web loginfailure-page none wlan_id コマンドを入力します。


config wlan custom-web logout-page page_name wlan_id :指定した WLAN に対するカスタマイズしたログアウト ページを定義します。


) コントローラのデフォルトのログアウト ページを使用するには、config wlan custom-web logout-page none wlan_id コマンドを入力します。


ステップ 3 次のコマンドを入力して外部サーバの URL を指定することにより、Web ログイン ページにアクセスする前に無線ゲスト ユーザを外部サーバにリダイレクトします。

config wlan custom-web ext-webauth-url ext_web_url wlan_id

ステップ 4 次のコマンドを入力して、Web 認証サーバの接続順序を定義します。

config wlan security web-auth server-precedence wlan_id { local | ldap | radius } { local | ldap | radius } { local | ldap | radius }

サーバの Web 認証は、デフォルトではローカル、RADIUS、LDAP の順になっています。


) すべての外部サーバをコントローラで事前に設定しておく必要があります。[RADIUS Authentication Servers] ページと [LDAP Servers] ページでこれらを設定できます。


ステップ 5 次のコマンドを入力して、無線ゲスト ユーザ用の Web 認証ページを定義します。

config wlan custom-web webauth-type { internal | customized | external } wlan_id

ここで、

internal は、コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

customized は、ステップ 2 で設定したカスタム Web ログイン ページを表示します。


) ログイン失敗ページとログアウト ページは常にカスタマイズされているため、ステップ 5 で Web 認証タイプを定義する必要はありません。


external は、ステップ 3 で設定された URL にユーザをリダイレクトします。

ステップ 6 次のコマンドを入力して、グローバル カスタム Web 設定ではなく、WLAN 固有のカスタム Web 設定を使用します。

config wlan custom-web global disable wlan_id


config wlan custom-web global enable wlan_id コマンドを入力すると、カスタム Web 認証がグローバル レベルで設定されます。


ステップ 7 次のコマンドを入力して、変更を保存します。

save config


 

有線ゲスト アクセスの設定

この項では、次のトピックを扱います。

「有線ゲスト アクセスについて」

「有線ゲストのアクセスを設定するための前提条件」

「ガイドラインと制限事項」

「有線ゲスト アクセスの設定」

有線ゲスト アクセスについて

有線ゲスト アクセスにより、ゲスト ユーザはゲスト アクセス用に指定および設定されている有線イーサネット接続からゲスト アクセス ネットワークに接続できます。有線ゲスト アクセス ポートは、ゲスト オフィスからまたは会議室の特定のポートを介して利用することもできます。無線ゲスト ユーザ アカウントと同様に、有線ゲスト アクセス ポートは、ロビー アンバサダー機能を使用してネットワークに追加されます。

有線ゲスト アクセスは、スタンドアロン設定または、アンカー コントローラと外部コントローラの両方を使用するデュアル コントローラ設定で設定できます。この後者の設定は、有線ゲスト アクセス トラフィックをさらに隔離するために使用されますが、有線ゲスト アクセスの展開には必須ではありません。

有線ゲスト アクセス ポートは最初、レイヤ 2 アクセス スイッチ上で、または有線ゲスト アクセス トラフィック用の VLAN インターフェイスで設定されているスイッチ ポート上で終端します。有線ゲスト トラフィックはその後、アクセス スイッチからコントローラへトランクされます。このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。図 11-13 を参照してください。

図 11-13 1 つのコントローラを使用した有線ゲスト アクセスの例

 

2 つのコントローラが使用されている場合、有線ゲスト トラフィックをアクセス スイッチから受信する外部コントローラは、アンカー コントローラへそのトラフィックを転送します。このトラフィックを処理するために、外部コントローラとアンカー コントローラとの間で双方向 EoIP トンネルが確立されます。図 11-14 を参照してください。

図 11-14 2 つのコントローラを使用した有線ゲスト アクセスの例

 


) 2 つのコントローラが展開されるとき、有線ゲスト アクセスはアンカーと外部アンカーによって管理されますが、有線ゲスト アクセス クライアントではモビリティがサポートされていません。この場合、DHCP およびクライアントの Web 認証は、アンカー コントローラによって処理されます。



) QoS ロールと帯域幅コントラクトを設定することにより、ネットワーク内の有線ゲスト ユーザに割り当てられている帯域幅の量を指定できます。これらの機能の設定の詳細については、 を参照してください。


有線ゲストのアクセスを設定するための前提条件

無線ネットワーク上で有線ゲスト アクセスを設定するには、次の手順を実行する必要があります。

1. 有線ゲスト ユーザ アクセス用の動的インターフェイス(VLAN)を設定します。

2. ゲスト ユーザ アクセス用の有線 LAN を作成します。

3. コントローラを設定します。

4. アンカー コントローラを設定します(別のコントローラでトラフィックを終端する場合)。

5. ゲスト LAN 用のセキュリティを設定します。

6. 設定を確認します。

ガイドラインと制限事項

有線ゲスト アクセスは、Cisco 5500 シリーズおよび Cisco Flex 7500 シリーズ コントローラ、Cisco WiSM2 でのみサポートされます。

有線ゲスト アクセス インターフェイスは、タグ付きである必要があります。

有線ゲスト アクセス ポートは、外部コントローラと同じレイヤ 2 ネットワークになければなりません。

コントローラ上で、最大 5 つの有線ゲスト アクセス LAN を設定できます。また、有線ゲスト アクセス LAN では、複数のアンカーがサポートされます。

有線ゲスト アクセス クライアントに対して、レイヤ 3 Web 認証と Web パススルーがサポートされています。レイヤ 2 セキュリティはサポートされていません。

予期しない結果が生じる場合があるため、有線ゲスト VLAN を複数の外部コントローラにトランクしないでください。

有線ゲスト アクセスの設定

この項では、次のトピックを扱います。

「有線ゲスト アクセスの設定(GUI)」

「有線ゲスト アクセスの設定(CLI)」

有線ゲスト アクセスの設定(GUI)


ステップ 1 [Controller] > [Interfaces] の順に選択して、有線ゲスト ユーザ アクセス用の動的インターフェイスを作成します。[Interfaces] ページが表示されます。

ステップ 2 [New] をクリックして、[Interfaces > New] ページを開きます。

ステップ 3 新しいインターフェイスの名前と VLAN ID を入力します。

ステップ 4 [Apply] をクリックして、変更を確定します。

ステップ 5 [Port Number] テキスト ボックスに、有効なポート番号を入力します。0 ~ 25(両端の値を含む)の数値を入力できます。

ステップ 6 [Guest LAN] チェックボックスをオンにします。

ステップ 7 [Apply] をクリックして、変更を確定します。

ステップ 8 ゲスト ユーザ アクセス用に有線 LAN を作成するために、[WLANs] を選択します。

ステップ 9 [WLANs] ページで、ドロップダウン リストから [Create New] を選択し、[Go] をクリックします。[WLANs > New] ページが表示されます。

図 11-15 [WLANs > New] ページ

 

ステップ 10 [Type] ドロップダウン リストから、[Guest LAN] を選択します。

ステップ 11 [Profile Name] テキスト ボックスに、ゲスト LAN を識別する名前を入力します。スペースを使用しないでください。

ステップ 12 [WLAN ID] ドロップダウン リストから、このゲスト LAN の ID 番号を選択します。


) 最大 5 つのゲスト LAN を作成できるので、[WLAN ID] オプションは 1 ~ 5(両端の値を含む)です。


ステップ 13 [Apply] をクリックして、変更を確定します。[WLANs > Edit] ページが表示されます。

図 11-16 [WLANs > Edit] ページ

 

ステップ 14 [Status] パラメータの [Enabled] チェックボックスをオンにします。

ステップ 15 Web 認証([Web-Auth])は、デフォルトのセキュリティ ポリシーです。これを Web パススルーに変更する場合は、ステップ 16ステップ 17 を終了してから、[Security] タブを選択します。

ステップ 16 [Ingress Interface] ドロップダウン リストから、ステップ 3 で作成した VLAN を選択します。この VLAN は、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。

ステップ 17 [Egress Interface] ドロップダウン リストから、インターフェイスの名前を選択します。この WLAN は、有線ゲスト クライアント トラフィックのコントローラから送信されるパスを提供します。

ステップ 18 認証方式を変更する(たとえば、Web 認証から Web パススルーへ)場合、[Security] > [Layer 3] の順に選択します。[WLANs > Edit]([Security] > [Layer 3])ページが表示されます。

図 11-17 [WLANs > Edit]([Security] > [Layer 3])ページ

 

ステップ 19 [Layer 3 Security] ドロップダウン リストから、次のいずれかを選択します。

[None]:レイヤ 3 セキュリティが無効になっています。

[Web Authentication]:無線ネットワークに接続する際に、ユーザにユーザ名とパスワードの入力を求めます。これはデフォルト値です。

[Web Passthrough]:ユーザがユーザ名とパスワードを入力せずに、ネットワークにアクセスすることを許可します。


) ゲスト有線 VLAN にはレイヤ 3 ゲートウェイが存在しないようにしてください。コントローラによる Web 認証がバイパスされるためです。


ステップ 20 [Web Passthrough] オプションを選択する場合、[Email Input] チェックボックスが表示されます。ユーザがネットワークに接続しようとしたとき、電子メール アドレスの入力を求める場合は、このチェックボックスをオンにします。

ステップ 21 [Web Login Page] に設定されているグローバル認証設定を無効にするには、[Override Global Config] チェックボックスをオンにします。

ステップ 22 [Web Auth Type] ドロップダウン リストが表示されたら、次のオプションのいずれかを選択して、有線ゲスト ユーザ用の Web 認証ページを定義します。

[Internal] コントローラのデフォルト Web ログイン ページを表示します。これはデフォルト値です。

[Customized] カスタム Web ログイン ページ、ログイン失敗ページ、ログアウト ページを表示します。このオプションを選択すると、ログイン ページ、ログイン失敗ページ、ログアウト ページに対して 3 つの個別のドロップダウン リストが表示されます。3 つのオプションすべてに対してカスタマイズしたページを定義する必要はありません。オプションのカスタマイズ ページを表示しない場合は、適切なドロップダウン リストから [None] を選択します。


) これらオプションのログイン ページ、ログイン失敗ページ、ログアウト ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。


[External] 認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択する場合、[URL] テキスト ボックスに外部サーバの URL も入力する必要があります。

[WLANs > Edit]([Security] > [AAA Servers])ページで、外部認証を行う特定の RADIUS サーバまたは LDAP サーバを選択できます。また、サーバによる認証の優先順位を定義することもできます。

ステップ 23 ステップ 22 で Web 認証タイプとして [External] を選択した場合は、[AAA Servers] を選択して、ドロップダウン リストから最大 3 つの RADIUS サーバおよび LDAP サーバを選択します。


) RADIUS および LDAP の外部サーバは、[WLANs > Edit]([Security] > [AAA Servers])ページでオプションを選択できるようにするため、あらかじめ設定しておく必要があります。[RADIUS Authentication Servers] ページと [LDAP Servers] ページでこれらのサーバを設定できます。


ステップ 24 次の手順で、Web 認証で接続するサーバの優先順位を指定します。


) デフォルトでは、[Local]、[RADIUS]、[LDAP] の順になっています。


a. [Up] ボタンと [Down] ボタンの隣にあるボックスで、最初に接続するサーバの種類([Local]、[Radius]、[LDAP])を強調表示します。

b. 希望のサーバ タイプがボックスの先頭になるまで、[Up] および [Down] をクリックします。

c. [<] 矢印をクリックして、そのサーバ タイプを左側の優先順位ボックスに移動します。

d. この手順を繰り返して他のサーバにも優先順位を割り当てます。

ステップ 25 [Apply] をクリックして、変更を確定します。

ステップ 26 [Save Configuration] をクリックして、変更を保存します。

ステップ 27 2 番目の(アンカー)コントローラがネットワークで使用中の場合は、このプロセスを繰り返します。


 

有線ゲスト アクセスの設定(CLI)


ステップ 1 次のコマンドを入力して、有線ゲスト ユーザのアクセス用の動的インターフェイス(VLAN)を作成します。

config interface create interface_name vlan_id

ステップ 2 リンク集約トランクが設定されていない場合、次のコマンドを入力して、物理ポートをインターフェイスにマッピングします。

config interface port interface_name primary_port { secondary_port }

ステップ 3 次のコマンドを入力して、ゲスト LAN VLAN を有効または無効にします。

config interface guest-lan interface_name { enable | disablty5 save config


) 設定された Web 認証ページの情報は、show run-config コマンドおよび show running-config コマンドの両方に表示されます。


ステップ 4 次のコマンドを入力して、特定のゲスト LAN に対するカスタマイズ Web 認証設定を表示します。

show custom-web {all | guest-lan guest_lan_id}


) 内部の Web 認証が設定されていると、Web Authentication Type は、外部(コントローラ レベル)またはカスタマイズ(WLAN プロファイル レベル)ではなく内部として表示されます。


show custom-web all コマンドに対しては、次のような情報が表示されます。

Radius Authentication Method..................... PAP
Cisco Logo....................................... Enabled CustomLogo....................................... None
Custom Title..................................... None
Custom Message................................... None
Custom Redirect URL.............................. None
Web Authentication Type............... External
External Web Authentication URL............ http:\\9.43.0.100\login.html
 
External Web Server list
Index IP Address
----- ---------------
1 9.43.0.100
2 0.0.0.0
3 0.0.0.0
4 0.0.0.0
5 0.0.0.0
...
20 0.0.0.0
 
Configuration Per Profile:
 
WLAN ID: 1
WLAN Status................................... Enabled
Web Security Policy........................... Web Based Authentication
Global Status................................. Disabled
WebAuth Type.................................. Customized
Login Page.................................... login1.html
Loginfailure page name....................... loginfailure1.html
Logout page name............................. logout1.html
 
WLAN ID: 2
WLAN Status................................... Enabled
Web Security Policy........................... Web Based Authentication
Global Status................................. Disabled
WebAuth Type.................................. Internal
Loginfailure page name........................ None
Logout page name.............................. None
 
WLAN ID: 3
WLAN Status................................... Enabled
Web Security Policy........................... Web Based Authentication
Global Status................................. Disabled
WebAuth Type.................................. Customized
Login Page.................................... login.html
Loginfailure page name........................ LF2.html
Logout page name.............................. LG2.html
 

show custom-web guest-lan guest_lan_id コマンドに対しては、次のような情報が表示されます。

Guest LAN ID: 1
Guest LAN Status.............................. Disabled
Web Security Policy........................... Web Based Authentication
Global Status................................. Enabled
WebAuth Type.................................. Internal
Loginfailure page name........................ None
Logout page name.............................. None

 

ステップ 5 次のコマンドを入力して、ローカル インターフェイスの要約を表示します。

show interface summary

以下に類似した情報が表示されます。

Interface Name Port Vlan Id IP Address Type Ap Mgr Guest
-------------------------------- ---- -------- --------------- ------- ------ -----
ap-manager 1 untagged 1.100.163.25 Static Yes No
 
management 1 untagged 1.100.163.24 Static No No
 
service-port N/A N/A 172.19.35.31 Static No No
 
virtual N/A N/A 1.1.1.1 Static No No
 
wired 1 20 10.20.20.8 Dynamic No No
 
wired-guest 1 236 10.20.236.50 Dynamic No Yes

) この例の有線ゲスト LAN のインターフェイス名は、wired-guest、VLAN ID は 236 です。


次のコマンドを入力して、詳細なインターフェイス情報を表示します。

show interface detailed interface_name

以下に類似した情報が表示されます。

Interface Name................................... wired-guest
MAC Address...................................... 00:1a:6d:dd:1e:40
IP Address....................................... 0.0.0.0
DHCP Option 82................................... Disabled
Virtual DNS Host Name............................ Disabled
AP Manager....................................... No
Guest Interface.................................. No

ステップ 6 次のコマンドを入力して、特定の有線ゲスト LAN の設定を表示します。

show guest-lan guest_lan_id

以下に類似した情報が表示されます。

Guest LAN Identifier............................. 1
Profile Name..................................... guestlan
Network Name (SSID).............................. guestlan
Status........................................... Enabled
AAA Policy Override.............................. Disabled
Number of Active Clients......................... 1
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. Infinity
Interface........................................ wired
Ingress Interface................................ wired-guest
WLAN ACL......................................... unconfigured
DHCP Server...................................... 10.20.236.90
DHCP Address Assignment Required................. Disabled
Quality of Service............................... Silver (best effort)
Security
Web Based Authentication...................... Enabled
ACL........................................... Unconfigured
Web-Passthrough............................... Disabled
Conditional Web Redirect...................... Disabled
Auto Anchor................................... Disabled
Mobility Anchor List
GLAN ID IP Address Status
------- --------------- ------

show guest-lan summary コマンドを入力して、コントローラ上で設定されているすべての有線ゲスト LAN を表示します。


ステップ 7 次のコマンドを入力して、アクティブな有線ゲスト LAN クライアントを表示します。

show client summary guest-lan

以下に類似した情報が表示されます。

Number of Clients................................ 1
MAC Address AP Name Status WLAN Auth Protocol Port Wired
------------------- ------- ----------- ----- ----- --------- ----- ------
00:16:36:40:ac:58 N/A Associated 1 No 802.3 1 Yes

ステップ 8 次のコマンドを入力して、特定のクライアントの詳細情報を表示します。

show client detail client_mac

以下に類似した情報が表示されます。

Client MAC Address............................... 00:40:96:b2:a3:44
Client Username ................................. N/A
AP MAC Address................................... 00:18:74:c7:c0:90
Client State..................................... Associated
Wireless LAN Id.................................. 1
BSSID............................................ 00:18:74:c7:c0:9f
Channel.......................................... 56
IP Address....................................... 192.168.10.28
Association Id................................... 1
Authentication Algorithm......................... Open System
Reason Code...................................... 0
Status Code...................................... 0
Session Timeout.................................. 0
Client CCX version............................... 5
Client E2E version............................... No E2E support
Diagnostics Capability........................... Supported
S69 Capability................................... Supported
Mirroring........................................ Disabled
QoS Level........................................ Silver
...

IPv6 クライアントのゲスト アクセスのサポート

ゲスト ユーザがアソシエートされると、ユーザは、クライアントが認証されるまで RUN 状態になります。コントローラは、この状態の IPv4 トラフィックと IPv6 トラフィックの両方を代行受信し、コントローラの仮想 IP アドレスにリダイレクトします。ユーザが認証されると、ユーザの MAC アドレスが RUN 状態に移行し、IPv4 トラフィックと IPv6 トラフィックは通過を許可されます。

IPv6 専用クライアントのリダイレクションをサポートするために、コントローラは、コントローラに設定された IPv4 仮想アドレスに基づいて IPv6 仮想アドレスを自動的に作成します。仮想 IPv6 アドレスは、[::ffff:<仮想 IPv4 アドレス>] という表記法に従います。たとえば、仮想 IP アドレス 192.0.2.1 は、[::ffff:192.0.2.1] に変換されます。IPv6 キャプティブ ポータルが表示されるためには、ユーザは、DNSv6(AAAA)レコードを返す、IPv6 に解決できる DNS エントリ(ipv6.google.com など)を要求する必要があります。