Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
Web 認証プロキシの設定
Web 認証プロキシの設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Web 認証プロキシの設定

Web 認証プロキシについて

この機能を使用すると、ブラウザで手動 Web プロキシが有効になっているクライアントに対し、コントローラによる認証を強化することができます。 ユーザのブラウザで、ポート番号 8080 または 3128 を使用して手動プロキシが設定されている場合、クライアントが URL を要求すると、コントローラは応答の Web ページで、プロキシ設定が自動的に検出されるようにインターネットのプロキシ設定を変更するようユーザに要求します。これにより、ブラウザの手動プロキシ設定情報が失われることはなくなります。 ユーザはこの設定を有効にしたあと、Web 認証ポリシーを通じてネットワークにアクセスできます。 この機能がポート 8080 および 3128 に提供されるのは、それらのポートが Web プロキシ サーバで最も一般的に使用されているからです。


(注)  


Web 認証プロキシ リダイレクト ポートは、CPU ACL ではブロックされません。 Web 認証プロキシ設定の中で、ポート 8080、3128、および 1 つのランダムなポートをブロックするように CPU ACL が設定されていても、これらのポートはブロックされません。なぜなら、クライアントが webauth_req 状態でない限り、Web 認証ルールは CPU ACL ルールよりも優先されるからです。


Web ブラウザには、次の 3 種類のインターネット設定をユーザが指定できます。

  • 自動検出
  • システム プロキシ
  • 手動

手動プロキシ サーバ設定では、ブラウザはプロキシ サーバの IP アドレスとポートを使用します。 ブラウザでこの設定が有効になると、ワイヤレス クライアントは設定されたポートで宛先プロキシ サーバの IP と通信します。 Web 認証シナリオでは、コントローラはこのようなプロキシ ポートをリッスンしないので、クライアントはコントローラとの TCP 接続を確立できません。 ユーザは事実上、認証用のログイン ページを表示できず、ネットワークにアクセスすることはできません。

ワイヤレス クライアントが Web 認証された WLAN ネットワークに入った場合、そのクライアントは URL にアクセスしようとします。 クライアントのブラウザに手動プロキシが設定されていると、クライアントから発信されるすべての Web トラフィックは、ブラウザに設定されたプロキシ IP およびポートに送信されます。

  • TCP 接続は、クライアントと、コントローラがプロキシとして動作しているプロキシ サーバの IP アドレスの間で確立されます。
  • クライアントは DHCP 応答を処理し、コントローラから JavaScript ファイルを取得します。 このスクリプトによって、そのセッションに関するクライアントのプロキシ設定はすべて無効になります。

    (注)  


    外部クライアントに対しては、コントローラはログイン ページを現状のまま(JavaScipt なしで)送信します。


  • プロキシ設定をバイパスする要求。 そのあと、コントローラは Web リダイレクション、ログイン、認証を実行できます。
  • クライアントがネットワークから出て独自のネットワークに戻った場合は、DHCP が更新され、クライアントはブラウザに設定された以前のプロキシ設定を引き続き使用します。
  • 外部 DHCP サーバで Web 認証プロキシを使用する場合、該当するスコープの DHCP サーバで DHCP オプション 252 を設定する必要があります。 オプション 252 の値の形式は http://<virtual ip>/proxy.js です。 内部の DHCP サーバでは、追加設定は必要ありません。

    (注)  


    FIPS モードでセキュアな Web 認証を設定する場合は、ブラウザに Mozilla Firefox を使用することをお勧めします。


Web 認証プロキシの設定(GUI)


    ステップ 1   [Controller] > [General] の順に選択します。
    ステップ 2   [WebAuth Proxy Redirection Mode] メニューから [Enabled] を選択して、Web 認証プロキシを有効にします。
    ステップ 3   [WebAuth Proxy Redirection Port] テキスト ボックスに、Web 認証プロキシのポート番号を入力します。

    このテキスト ボックスでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

    ステップ 4   [Apply] をクリックします。

    Web 認証プロキシの設定(CLI)

    • 次のコマンドを入力して、Web 認証プロキシ リダイレクションを有効にします。 config network web-auth proxy-redirect {enable | disable}

    • 次のコマンドを入力して、Web 認証ポート番号を設定します。 config network web-auth port <port-number>

      このパラメータでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

    • Web 認証プロキシ設定の現在のステータスを表示するには、次のいずれかのコマンドを入力します。

      • show network summary
      • show running-config