ワイヤレスLANコントローラのWeb認証の設定

ダウンロード オプション

  • PDF     (961.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.4 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2011 年 7 月 13 日
Document ID:69340

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、シスコの Web 認証の実装方法を説明し、Cisco 4400 シリーズ ワイヤレス LAN(WLAN)コントローラ(WLC)を設定して内部 Web 認証をサポートする方法を示しています。

前提条件

要件

このドキュメントは、4400 WLC 上で初期設定がすでに実施済みであることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • バージョン 7.0.116.0 が稼働している 4400 シリーズ WLC

  • Microsoft® Windows 2003 Server にインストールされている Cisco Secure Access Control Server(ACS)バージョン 4.2

  • Cisco Aironet 1131AG シリーズ Lightweight アクセス ポイント

  • バージョン 4.0 が稼働する Cisco Aironet 802.11 a/b/g CardBus ワイヤレス アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Web 認証

Web 認証は、レイヤ 3 セキュリティ機能です。これにより、コントローラが、有効なユーザ名とパスワードを提示しないクライアントからの IP トラフィック(DHCP パケットと DNS 関連パケットを除く)を許可することを防ぎます。これは、サプリカントやクライアント ユーティリティを必要としない簡単な認証方式です。一般に、Web 認証はゲスト アクセス ネットワークを展開する場合に使用されます。一般的な展開では、T-Mobile やスターバックスなどの「ホット スポット」の場所がこれに該当します。

Web 認証はデータ暗号化を提供しないことを注意してください。一般に Web 認証は、接続性が唯一の問題である「ホット スポット」またはキャンパス環境に対するシンプルなゲスト アクセスとして使用されます。

Web 認証は次の方法を使用して実行できます。

  • WLC のデフォルトのログイン ウィンドウ。

  • WLC のデフォルトのログイン ウィンドウの修正バージョン。

  • ユーザが外部 Web サーバ(外部 Web 認証)で設定する、カスタマイズされたログイン ウィンドウ。

  • コントローラにダウンロードする、カスタマイズされたログイン ウィンドウ。

このマニュアルでは、内部 Web 認証用のワイヤレス LAN コントローラが設定されています。

Web 認証プロセス

ユーザが Web 認証用に設定された WLAN に接続する場合は、次のようになります。

  • ユーザは、Web ブラウザを開き、URL として、たとえば、http://www.cisco.com を入力します。クライアントは、宛先の IP を取得するため、この URL の DNS 要求を送信します。WLC は DNS サーバに DNS 要求をバイパスし、DNS サーバは宛先 www.cisco.com の IP アドレスを含む DNS 応答で返答します。次にこれがワイヤレス クライアントに転送されます。

  • 続いて、クライアントは宛先 IP アドレスを使用して TCP 接続を開始しようとします。www.cisco.com の IP アドレスを宛先とする TCP SYN パケットが送信されます。

  • WLC にはクライアント用に設定されたルールがあるため、www.cisco.com のプロキシとして機能します。WLC は、www.cisco.com の IP アドレスを送信元とする TCP SYN-ACK パケットをクライアントに戻します。クライアントは、3 ウェイ TCP ハンドシェイクを完了するために、TCP ACK パケットを返し、TCP 接続が完全に確立されます。

  • クライアントは、宛先が www.cisco.com である HTTP GET パケットを送信します。WLC はこのパケットをインターセプトして、リダイレクト処理用に送信します。HTTP アプリケーション ゲートウェイは、HTML 本文を準備し、クライアントから要求された HTTP GET への応答として返します。この HTML により、クライアントは WLC のデフォルト Web ページの URL(たとえば、http://<Virtual-Server-IP>/login.html.)に転送されます。

  • クライアントは、たとえば、www.cisco.com などの IP アドレスとの TCP 接続を閉じます。

  • ここで、クライアントが http://1.1.1.1/login.html に移動したいとします。そのため、クライアントは WLC の仮想 IP アドレスとの TCP 接続を開こうとします。WLC に 1.1.1.1 の TCP SYN パケットを送信します。

  • WLC は TCP SYN-ACK で返答し、クライアントはハンドシェイクを完了するために、TCP ACK を WLC に戻します。

  • クライアントは、ログイン ページの要求のために、1.1.1.1 宛ての /login.html 用に HTTP GET を送信します。

  • この要求は、WLC の Web サーバで許可され、サーバはデフォルト ログイン ページで応答します。クライアントが、ブラウザ ウィンドウでユーザがログイン可能なログイン ページを受信します。

Web認証プロセスを説明するシスコサポートコミュニティのビデオへのリンクを CUCM IP Phone (SCCP) Keepalive and Failover Architecture を参照してください。leavingcisco.com 、次に示します。

Cisco ワイヤレス LAN コントローラ(WLC)での Web 認証 leavingcisco.com

Web-Auth.jpg

ネットワークのセットアップ

このドキュメントでは、次のネットワーク セットアップを使用します。

web_auth_config-01.gif

Web 認証用のコントローラの設定

このドキュメントでは、WLAN は Web 認証用に設定され、専用 VLAN にマップされています。以下に示すのは、Web 認証用の WLAN の設定に関係した手順です。

このセクションでは、Web 認証用にコントローラを設定するための情報を提供します。

このドキュメントで使用する IP アドレスは次のとおりです。

  • WLC の IP アドレスは 10.77.244.204 です。

  • ACS サーバの IP アドレスは 10.77.244.196 です。

VLAN インターフェイスの作成

次のステップを実行します。

  1. ワイヤレス LAN コントローラ GUI で、上部のメニューから [Controller] を選択し、左側のメニューから [Interfaces] を選択し、ウィンドウの右上の [New] をクリックして、新しい動的インターフェイスを作成します。

    [Interfaces] > [New] ウィンドウが表示されます。この例では、[Interface Name] には vlan90 を、[VLAN ID] には 90 をそれぞれ使用しています。

    web_auth_config-02.gif

  2. VLAN インターフェイスを作成するには、[Apply] をクリックします。

    [Interfaces] > [Edit] ウィンドウが表示され、インターフェイス固有の情報を入力することが求められます。

  3. このドキュメントでは、次のパラメータを使用します。

    • IP アドレス:10.10.10.2

    • ネットマスク:255.255.255.0(24 ビット)

    • ゲートウェイ:10.10.10.1

    • ポート番号:2

    • プライマリ DHCP サーバ:10.77.244.204

      注:このパラメータは、RADIUSサーバまたはDHCPサーバのIPアドレスである必要があります。この例では、内部 DHCP スコープが WLC 上で設定されているため、WLC の管理アドレスは DHCP サーバとして使用されます。

    • セカンダリ DHCP サーバ:0.0.0.0

      注:この例にはセカンダリDHCPサーバがないため、0.0.0.0を使用します。設定にセカンダリDHCPサーバがある場合は、このフィールドにサーバのIPアドレスを追加します。

    • ACL 名:なし

    web_auth_config-03.gif

  4. [Apply] をクリックして変更を保存します。

内部 Web 認証用の WLC の設定

次の手順では、内部 Web 認証用の WLC を設定します。内部 Web 認証は、WLC 上でのデフォルトの Web 認証タイプです。このパラメータが変更されていなければ、内部 Web 認証を有効にするための設定は必要ありません。Web 認証パラメータが以前に変更されている場合には、内部 Web 認証用に WLC を設定するために、次の手順を実行します。

  1. コントローラの GUI で、[Security] > [Web Auth] > [Web Login Page] の順に選択して、[Web Login] ページにアクセスします。

  2. [Web Authentication Type] ドロップダウン ボックスから、[Internal Web Authentication] を選択します。

  3. [Redirect URL after login] フィールドで、エンド ユーザが認証の成功後にリダイレクトされるページの URL を入力します。

    web_auth_config-04.gif

    注:WLCバージョン5.0以降では、Web認証用のログアウトページもカスタマイズできます。設定方法については、『ワイヤレス LAN コントローラ コンフィギュレーション ガイド 5.2』の「WLAN 単位のログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て」セクションを参照してください。

WLAN インスタンスの追加

内部 Web 認証が有効になっており、Web 認証専用の VLAN があるので、Web 認証ユーザをサポートするために新しい WLAN/SSID を提供する必要があります。

新しい WLAN/SSID を作成するには、次の手順を実行します。

  1. WLC GUI から、最上部のメニューで [WLAN] をクリックし、右上にある [New] をクリックします。

    [Type] で [WLAN] を選択します。Web 認証用のプロファイル名と WLAN SSID を選択します。この例では [Profile Name] と [WLAN SSID] の両方に Guest を使用しています。

    web_auth_config-05.gif

  2. [Apply] をクリックします。

    新しい [WLANs] > [Edit] ウィンドウが表示されます。

    web_auth_config-06.gif

  3. WLAN のステータス ボックスをオンにして、WLAN を有効にします。[Interface] メニューで、以前に作成した VLAN インターフェイスの名前を選択します。この例では、インターフェイス名は vlan90 です。

    注:この画面の他のパラメータのデフォルト値はそのままにします。

  4. [Security] タブをクリックします。

      次の手順を実行して、Web 認証を設定します。

    1. [Layer 2] タブをクリックして、セキュリティを [None] に設定します。

      注:Webパススルーは、802.1xを使用するレイヤ3セキュリティまたはWPA/WPA2をWLANのレイヤ2セキュリティとして設定することはできません。ワイヤレス LAN コントローラのレイヤ 2 とレイヤ 3 セキュリティの互換性の詳細については、「ワイヤレス LAN コントローラ レイヤ 2 レイヤ 3 セキュリティの互換性マトリックス」を参照してください。

    2. [レイヤ3(Layer 2)] タブをクリックします[Web Policy] ボックスをオンにして、次に示す [Authentication] オプションを選択します。

      web_auth_config-07.gif

    3. [Apply] をクリックして、WLAN を保存します。

    4. WLAN 概要ウィンドウに戻ります。SSID ゲストの WLAN テーブルの [Security Policies] 列の下で、Web 認証が有効になっていることを確認します。

Web 認証でユーザを認証する 3 とおりの方法

Web 認証を使用する場合には、ユーザを認証する 3 とおりの方法があります。ローカル認証によって、Cisco WLC のユーザを認証することができます。さらに、外部 RADIUS サーバまたは LDAP サーバをバックエンド データベースとして使用してユーザを認証することもできます。

このドキュメントでは、3 つすべての方法での設定例を示しています。

ローカル認証

ゲスト ユーザのユーザ データベースは、WLC のローカル データベースに保存されます。ユーザはこのデータベースに対して WLC で認証されます。

  1. WLC GUI で [Security] を選択します。

  2. 左側の [AAA] メニューから [Local Net Users] をクリックします。

    web_auth_config-08.gif

  3. [New] をクリックして新しいユーザを作成します。

    新しいウィンドウが表示され、ユーザ名とパスワード情報の入力が求められます。

  4. 新しいユーザを作成するには、[User Name] と [Password] に入力し、使用するパスワードを [Confirm Password] で確認します。

    この例では、User1 というユーザを作成します。

  5. 任意で説明を追加します。

    この例では、Guest User1 を使用します。

  6. [Apply] をクリックして、新規ユーザ設定を保存します。

    web_auth_config-09.gif

    web_auth_config-10.gif

  7. さらにデータベースにユーザを追加するには、手順 3 ~ 6 を繰り返します。

Web 認証用の RADIUS サーバ

このドキュメントは、RADIUS サーバとして Windows Server 2003 上のワイヤレス ACS を使用します。ネットワークで現在展開されている使用可能な任意の RADIUS サーバを使用できます。

注:ACSはWindows NTまたはWindows 2000 Serverで設定できます。Cisco.com から ACS をダウンロードするには、Software Center(Downloads)- Cisco Secure Software を参照してください(登録ユーザ専用)。 ソフトウェアをダウンロードするには、Cisco Web アカウントが必要です。

ACS の設定」のセクションでは、RADIUS 用に ACS を設定する方法を示しています。ドメイン ネーム システム(DNS)および RADIUS サーバがある、完全に機能するネットワークが必要です。

ACS の設定

このセクションでは、RADIUS 用に ACS を設定するための情報を提供します。

サーバ上で ACS を設定し、認証用のユーザを作成するために次の手順を実行します。

  1. ACS によりブラウザ ウィンドウで ACS を開いて設定するかどうかが尋ねられた場合は、[yes] をクリックします。

    注:ACSを設定した後、デスクトップにアイコンが表示されます。

  2. 左側のメニューで、[User Setup] をクリックします。

    このアクションにより、次に示す [User Setup] 画面が表示されます。

    web_auth_config-11.gif

  3. Web 認証に使用するユーザを入力して、[Add/Edit] をクリックします。

    ユーザの作成後に、次に示す 2 番目のウィンドウが表示されます。

    web_auth_config-12.gif

  4. 上部の [Account Disabled] ボックスがオンになっていないことを確認します。

  5. [Password Authentication] オプションに [ACS Internal Database] を選択します。

  6. パスワードを入力します。管理者には、ACS 内部データベースでのユーザの追加時に、PAP/CHAP または MD5-CHAP 認証を設定することをオプションとして選択できます。PAP は、コントローラ上の Web 認証ユーザのための、デフォルトの認証タイプです。管理者は、次の CLI コマンドを使用して、認証メソッドを柔軟に chap/md5-chap に変更できます。

    config custom-web radiusauth <auth method>

  7. [Submit] をクリックします。

Cisco WLC への RADIUS サーバ情報の入力

次のステップを実行します。

  1. 上部のメニューで [Security] をクリックします。

  2. 左側のメニューで [RADIUS Authentication] をクリックします。

  3. [New] をクリックし、ACS/RADIUS サーバの IP アドレスを入力します。この例では、ACS サーバの IP アドレスは 10.77.244.196 です。

  4. RADIUS サーバの共有秘密を入力します。この秘密鍵が、WLC の RADIUS サーバで入力した秘密鍵と同じであることを確認します。

  5. ポート番号はデフォルトの 1812 のままにしておきます。

  6. [Server Status] オプションが [Enabled] であることを確認します。

  7. [Network User] の [Enable] ボックスをオンにして、この RADIUS サーバをワイヤレス ネットワークのユーザの認証に使用します。

  8. [Apply] をクリックします。

web_auth_config-13.gif

[Network User] ボックスがオンになっており、[Admin Status] が [Enabled] になっていることを確認します。

web_auth_config-14.gif

RADIUS サーバでの WLAN の設定

RADIUS サーバが WLC 上で設定されたので、この RADIUS サーバを Web 認証に使用するように WLAN を設定する必要があります。RADIUS サーバで WLAN を設定するには、次の手順を実行します。

  1. WLC ブラウザを開き、[WLANs] をクリックします。これにより、WLC 上で設定されているすべての WLAN のリストが表示されます。Web 認証用に作成された WLAN のゲストをクリックします。

  2. [WLANs] > [Edit] ページで、[Security] メニューをクリックします。[Security] の下の [AAA Servers] タブをクリックします。次に、RADIUS サーバを選択します。この例では 10.77.244.196 です。

    web_auth_config-15.gif

  3. [Apply] をクリックします。

ACS の確認

ACS を設定するときには、最新のパッチと最新のコードをすべて必ずダウンロードしてください。これにより、差し迫った問題が解決されることになります。RADIUS 認証を使用する場合は、使用している WLC が AAA クライアントの 1 つとしてリストされていることを確認します。これを確認するには、左側の [Network Configuration] メニューをクリックします。[AAA Client] をクリックし、設定されているパスワードと認証タイプを確認します。AAA クライアントの設定の詳細については、『Cisco Secure Access Control Server 4.2 ユーザ ガイド』の「AAA クライアントの設定」のセクションを参照してください。

web_auth_config-16.gif

[User Setup] を選択したら、ユーザが実際に存在していることを再度確認します。[List All Users] をクリックします。次に示すウィンドウが表示されます。作成したユーザがリスト内にあることを確認します。

web_auth_config-17.gif

LDAP サーバ

この項では、Lightweight Directory Access Protocol(LDAP)サーバを、RADIUS データベースやローカル ユーザ データベースに類似したバックエンド データベースとして設定する方法について説明します。LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。これらの資格情報は、ユーザの認証に使用されます。

コントローラ GUI を使用して LDAP を設定するには、次の手順を実行します。

  1. [Security] > [AAA] > [LDAP] をクリックして、LDAP サーバを開きます。

    このページでは、これまでに設定されたすべての LDAP サーバが表示されます。

    • 既存の LDAP サーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを移動して、[Remove] を選択します。

    • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。

  2. 次のいずれかの操作を行います。

    • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。[LDAP Servers > Edit] ページが表示されます。

    • LDAP サーバを追加するには、[New] をクリックします。[LDAP Servers] > [New] ページが表示されます。

      web_auth_config-18.gif

  3. 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン ボックスから数字を選択し、その他の設定済み LDAP サーバに対してこのサーバの優先順位を指定します。最大 17 台のサーバを設定できます。コントローラが最初のサーバに接続できない場合、リストの 2 番目のサーバへの接続を試行する、というようになります。

  4. 新しいサーバを追加する場合は、[Server IP Address] フィールドに、LDAP サーバの IP アドレスを入力します。

  5. 新しいサーバを追加する場合は、[Port Number] フィールドに、LDAP サーバの TCP ポート番号を入力します。有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。

  6. [Enable Server Status] チェックボックスをオンにしてこの LDAP サーバを有効にします。無効にする場合は、オフにします。デフォルト値は [disabled] です。

  7. [Simple Bind] ドロップダウン ボックスから、[Anonymous] または [Authenticated] を選択して、LDAP サーバ用のローカル認証バインド方式を指定します。匿名方式では LDAP サーバへの匿名アクセスが可能です。一方、認可方式ではユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。デフォルトでは [Anonymous] になっています。

  8. 手順 7 で [Authenticated] を選択した場合は、次の手順に従ってください。

    1. [Bind Username] フィールドに、LDAP サーバに対するローカル認証に使用されるユーザ名を入力します。

    2. [Bind Password] フィールドおよび [Confirm Bind Password] フィールドには、LDAP サーバに対するローカル認証で使用されるパスワードを入力します。

  9. [User Base DN] フィールドに、すべてのユーザの一覧を含む LDAP サーバ内のサブツリーの Distinguished Name(DN; 識別名)を入力します。たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com のようになります。ユーザが含まれているツリーがベース DN である場合、o=corporation.com または dc=corporation, dc=com と入力します。

  10. [User Attribute] フィールドに、ユーザ名を含むユーザ レコード内の属性の名前を入力します。この属性はディレクトリ サーバから取得できます。

  11. [User Object Type] フィールドに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。

  12. [Server Timeout] フィールドに、再送信の間隔(秒数)を入力します。有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。

  13. [Apply] をクリックして、変更を確定します。

  14. [Save Configuration] をクリックして変更を保存します。

  15. 特定の LDAP サーバを WLAN に割り当てるには、次の手順を実行します。

    1. [WLANs] をクリックして、[WLANs] ページを開きます。

    2. 必要な WLAN の ID 番号をクリックします。

    3. [WLANs] > [Edit] ページが表示されたら [Security] > [AAA Servers] タブをクリックし、[WLANs] > [Edit]([Security] > [AAA Servers])ページを開きます。

      web_auth_config-19.gif

    4. [LDAP Servers] ドロップダウン ボックスから、この WLAN に使用する LDAP サーバを選択します。最大 3 台の LDAP サーバを選択できます。これらのサーバは優先順位に従って試行されます。

    5. [Apply] をクリックして、変更を確定します。

    6. [Save Configuration] をクリックして変更を保存します。

Web 認証を使用するための WLAN クライアントの設定

WLC を設定したら、クライアントは Web 認証用に正しく設定される必要があります。このセクションでは、Web 認証用に Windows システムを設定するための情報を提供します。

クライアントの設定

Microsoft ワイヤレス クライアントの設定は、このサブスクライバの場合はほとんど変更されません。適切な WLAN/SSID 設定情報を追加するだけで済みます。次のステップを実行します。

  1. Windows の [Start] メニューから、[Settings] > [Control Panel] > [Network and Internet Connections] を選択します。

  2. [Network Connections] アイコンをクリックします。

  3. [LAN Connection] アイコンを右クリックして、[Disable] を選択します。

  4. [Wireless Connection] アイコンを右クリックして、[Enable] を選択します。

  5. [Wireless Connection] アイコンを再度右クリックして、[Properties] を選択します。

  6. [Wireless Network Connection Properties] ウィンドウから、[Wireless Networks] をクリックします。

  7. 推奨されるネットワーク エリアの下で、[Add] をクリックして、Web 認証 SSID を設定します。

  8. [Association] タブの下で、Web 認証に使用するネットワーク名(WLAN/SSID)の値を入力します。

    web_auth_config-20.gif

    注:データ暗号化は、デフォルトでWired Equivalent Privacy(WEP)です。Web 認証を機能させるには、[Data encryption] を [Disabled] にします。

  9. ウィンドウの下部にある [OK] をクリックして、設定を保存します。

    WLAN と通信する場合は、[Preferred Network] ボックスにビーコン アイコンが表示されます。

これは Web 認証とのワイヤレス接続が正常であることを示します。WLC は、ワイヤレス Windows クライアントに IP アドレスを提供済みです。

web_auth_config-21.gif

注:ワイヤレスクライアントがVPNエンドポイントでもあり、Web認証がWLANのセキュリティ機能として設定されている場合、ここで説明するWeb認証プロセスを実行するまでVPNトンネルは確立されません。VPN トンネルを確立するには、クライアントはまず Web 認証のプロセスを正常に完了する必要があります。それを完了しない限り、VPN トンネリングは正常に確立されません。

注:ログインが成功した後、ワイヤレスクライアントがアイドル状態で、他のデバイスと通信しない場合、クライアントはアイドルタイムアウト期間が経過すると認証解除されます。タイムアウト間隔はデフォルトでは 300 秒であり、CLI コマンドconfig network usertimeout <seconds> を使用して変更できます。タイムアウトになると、クライアント エントリはコントローラから削除されます。クライアントが再度関連付けを行えば、これは Webauth_Reqd 状態に戻ります。

注:クライアントがログインに成功した後でアクティブになると、認証が解除され、そのWLANに設定されているセッションタイムアウト期間(デフォルトでは1800秒)後もコントローラからエントリを削除できます(次のCLIコマンドを使用して変更できます)。config wlan session-timeout <WLAN ID> <seconds>)。 タイムアウトになると、クライアント エントリはコントローラから削除されます。クライアントが再度関連付けを行えば、これは Webauth_Reqd 状態に戻ります。

クライアントが Webauth_Reqd 状態であれば、アクティブであってもアイドルであっても、Web 認証必須タイムアウト期間が経過すると認証解除されます(たとえば 300 秒などが設定され、この時間はユーザは設定不可)。 クライアントからの(事前認証 ACL により許可された)すべてのトラフィックは中断されます。クライアントが再度関連付けを行えば、これは Webauth_Reqd 状態に戻ります。

クライアント ログイン

次のステップを実行します。

  1. ブラウザ ウィンドウを開き、URL または IP アドレスを入力します。こうするとクライアントに Web 認証ページが表示されます。

    コントローラが 3.0 より前のリリースを実行している場合には、ユーザは https://1.1.1.1/login.html を入力して、Web 認証ページを起動します。

    セキュリティ アラート ウィンドウが表示されます。

  2. [Yes] をクリックして続行します。

  3. [Login] ウィンドウが表示されたら、作成したローカル ネット ユーザのユーザ名とパスワードを入力します。

    web_auth_config-22.gif

    ログインが成功したら、2 つのブラウザ ウィンドウが表示されます。大きいほうのウィンドウはログインが正常に実行されたことを示し、このウィンドウでインターネットをブラウズできます。小さいほうのウィンドウは、ゲスト ネットワークの使用が完了したときのログアウトに使用します。

    このスクリーンショットは、Web 認証の正常なリダイレクトを示しています。

    次のスクリーンショットは、認証が完了したときに表示されるログイン成功ウィンドウを示しています。

    web_auth_config-23.gif

Cisco 4404/WiSM コントローラは、125 の同時 Web 認証ユーザ ログインをサポートでき、最大で 5000 の Web 認証クライアントまでサポートを拡大できます。

Cisco 5500 コントローラは、150 の同時 Web 認証ユーザ ログインをサポートできます。

Web 認証のトラブルシューティング

ACS のトラブルシューティング

パスワード認証で問題が発生する場合は、ACS の 左下にある [Reports and Activity] をクリックして、使用可能なすべてのレポートを開きます。[Reports] ウィンドウを開くと、[RADIUS Accounting]、ログインの [Failed Attempts]、[Passed Authentications]、[Logged-in Users]、および他のレポートを選択して開くことができます。これらのレポートは .csv ファイルであり、ご使用のマシン上でローカルに開くことができます。レポートは、認証の問題(ユーザ名やパスワードの誤りなど)を検出するために役立ちます。ACS には、オンライン ドキュメントが付属しています。ライブ ネットワークに接続しておらず、サービス ポートを定義していない場合、ACS はサービス ポートにイーサネット ポートの IP アドレスを使用します。ネットワークに接続していない場合、たいていは Windows 169.254.x.x のデフォルト IP アドレスを使用することになります。

web_auth_config-24.gif

注:外部URLを入力すると、WLCによって自動的に内部Web認証ページに接続されます。自動接続が機能しない場合には、URL バーで WLC の管理 IP アドレスを入力するとトラブルシューティングができます。ブラウザの上部で Web 認証のリダイレクトについて通知するメッセージを確認します。

Web 認証のトラブルシューティングの詳細については、「ワイヤレス LAN コントローラ(WLC)上の Web 認証のトラブルシューティング」を参照してください。

IPv6 ブリッジングでの Web 認証

WLAN を IPv6 ブリッジング用に設定するには、コントローラ GUI から [WLANs] に移動します。次に、目的の WLAN を選択し、[WLANs] > [Edit] ページから [Advanced] を選択します。

この WLAN に接続するクライアントで、IPv6 パケットを受け入れるようにする場合は、[IPv6 Enable] チェックボックスをオンにします。それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。[IPv6 Enable] チェックボックスを無効(オフ)にすると、IPv6 は認証後にのみ許可されます。IPv6 を有効にすると、コントローラはクライアント認証なしで IPv6 トラフィックを渡せるようになります。

web_auth_config-25.gif

IPv6 ブリッジングとこの機能の使用のガイドラインについて詳しくは、『Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.0』の「IPv6 ブリッジングの設定」のセクションを参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
13-Jul-2011
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています