Cisco ワイヤレス LAN コントローラ構成ガイド リリース 8.1
Web 認証プロキシの設定
Web 認証プロキシの設定

Web 認証プロキシの設定

Web 認証プロキシについて

この機能を使用すると、ブラウザで手動 Web プロキシが有効になっているクライアントに対し、コントローラによる認証を強化することができます。 ユーザのブラウザで、ポート番号 8080 または 3128 を使用して手動プロキシが設定されている場合、クライアントが URL を要求すると、コントローラは応答の Web ページで、プロキシ設定が自動的に検出されるようにインターネットのプロキシ設定を変更するようユーザに要求します。これにより、ブラウザの手動プロキシ設定情報が失われることはなくなります。 ユーザはこの設定を有効にしたあと、Web 認証ポリシーを通じてネットワークにアクセスできます。 この機能がポート 8080 および 3128 に提供されるのは、それらのポートが Web プロキシ サーバで最も一般的に使用されているからです。


(注)  


Web 認証プロキシのリダイレクト ポートは CPU ACL でブロックされません。 Web 認証プロキシ設定の中で、ポート 8080、3128、および 1 つのランダムなポートをブロックするように CPU ACL が設定されていても、これらのポートはブロックされません。これは、クライアントが webauth_req 状態でない限り、Web 認証ルールは CPU ACL ルールよりも優先されるからです。


Web ブラウザに設定できる 3 種類のインターネット設定を次に示します。

  • 自動検出

  • システム プロキシ

  • 手動

手動プロキシ サーバ設定では、ブラウザはプロキシ サーバの IP アドレスとポートを使用します。 この設定がブラウザで有効になっている場合、ワイヤレス クライアントは、設定されたポート上の宛先プロキシ サーバの IP アドレスと通信します。 Web 認証シナリオでは、コントローラはこのようなプロキシ ポートをリッスンしないので、クライアントはコントローラとの TCP 接続を確立できません。 ユーザは、認証用のログイン ページを表示できず、ネットワークにアクセスすることはできません。

ワイヤレス クライアントは、Web 認証された WLAN に入ると、URL にアクセスしようとします。 クライアントのブラウザに手動プロキシが設定されている場合、クライアントから発信されるすべての Web トラフィックは、ブラウザに設定されたプロキシ IP およびポートに送信されます。

  • TCP 接続は、クライアントと、コントローラがプロキシとして動作しているプロキシ サーバの IP アドレスの間で確立されます。

  • クライアントは DHCP 応答を処理し、コントローラから JavaScript ファイルを取得します。 このスクリプトによって、そのセッションに関するクライアントのプロキシ設定はすべて無効になります。

    (注)  


    外部クライアントに対しては、コントローラはログイン ページを現状のまま(JavaScipt なしで)送信します。


  • プロキシ設定をバイパスする要求。 そのあと、コントローラは Web リダイレクション、ログイン、認証を実行できます。

  • クライアントがネットワークから出て独自のネットワークに戻った場合は、DHCP が更新され、クライアントはブラウザに設定された以前のプロキシ設定を引き続き使用します。

  • 外部 DHCP サーバで Web 認証プロキシを使用する場合、該当するスコープの DHCP サーバで DHCP オプション 252 を設定する必要があります。 オプション 252 の値の形式は http://<virtual ip>/proxy.js です。 内部の DHCP サーバでは、追加設定は必要ありません。


    (注)  


    FIPS モードでセキュアな Web 認証を設定する場合は、ブラウザに Mozilla Firefox を使用することをお勧めします。


  • HTTPS への Web 認証リダイレトが有効になっている場合は、クライアントの HTTPS 要求と HTTP 要求の両方が HTTPS Web 認証にリダイレクトされます。


    (注)  


    この拡張機能は、リリース 8.0 で導入されました。


Web 認証プロキシの設定(GUI)


    ステップ 1   [Controller] > [General] の順に選択します。
    ステップ 2   [WebAuth Proxy Redirection Mode] ドロップダウン リストから、[Enabled] または [Disabled] を選択します。
    ステップ 3   [WebAuth Proxy Redirection Port] テキスト ボックスに、Web 認証プロキシのポート番号を入力します。

    このテキスト ボックスでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

    ステップ 4   [Apply] をクリックします。

    Web 認証プロキシの設定(CLI)

    • 次のコマンドを入力して、Web 認証プロキシ リダイレクションを有効にします。 config network web-auth proxy-redirect {enable | disable}

    • 次のコマンドを入力して、クライアントに対してセキュア Web(https)認証を設定します。 config network web-auth secureweb {enable | disable}

      デフォルトでは、クライアントのセキュア Web(https)認証は有効になっています。

      (注)  


      config network web-auth secureweb disable コマンドを使用してクライアントのセキュア Web(https)認証を禁止するように設定する場合、Cisco WLC をリブートして変更を適用する必要があります。

    • 次のコマンドを入力して、Web 認証ポート番号を設定します。 config network web-auth portport-number

      このパラメータでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

    • 次のいずれかのコマンドを入力して、Web 認証プロキシ設定の現在のステータスを表示します。

      • show network summary
      • show running-config