FQDN ACL の設定に関する制約事項
FQDN ACL 機能の設定は、IPv4 ワイヤレス セッションでのみサポートされます。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このドキュメントでは、完全修飾ドメイン名(FQDN)を使用したアクセス コントロール リスト(ACL )を設定する方法について説明します。FQDN ACL 機能を設定することによって、ドメイン名システム(DNS )に基づいて、ワイヤレス セッションに ACL を設定および適用することができます。ドメイン名を IP アドレスに解決されます。IP アドレスは、DNS 応答の一部としてクライアントに提供され、FQDN は、IP アドレスに基づいて、ACL にマッピングされます。
FQDN ACL 機能の設定は、IPv4 ワイヤレス セッションでのみサポートされます。
アクセス コントロール リスト(ACL)が、完全修飾ドメイン名(FQDN)を使用して設定されている場合、宛先ドメイン名に基づいて ACL を適用できます。宛先のドメイン名はその後、DNS 応答の一部としてクライアントに提供される IP アドレスに解決されます。
ゲスト ユーザーは、FQDN ACL 名で構成されるパラメータ マップでネットワーク認証を使用してログインできます。
FQDN ACL を設定する前に、次の作業を実行してください。
IP アクセス リストを設定します。
IP ドメイン名のリストを設定します。
ドメイン名と FQDN ACL をマッピングします。
コントローラに fqdn-acl-name AAA 属性を送信するように RADIUS サーバーを設定して、アクセス リストを特定のドメインに適用できます。オペレーティング システムは、パススルー ドメイン リストとそのマッピングを確認し、FQDN を許可します。FQDN ACL により、クライアントは認証なしで設定されたドメインのみにアクセスできます。
(注) |
デフォルトでは、IP アクセスリスト名は、パススルー ドメイン名と同じ名前で設定されます。デフォルト名を上書きするために、グローバル コンフィギュレーション モードでaccess-session passthrou-access-group access-group-name passthrou-domain-list domain-list-name コマンドを使用できます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
ip access-list extended name 例:
|
IP アクセス リストを作成します。 |
ステップ 2 |
permit ip any any 例:
|
ワイヤレス クライアントに許可されるドメインを指定します。ドメインはドメイン名リストで指定されます。 |
アクセス ポイントによる DNS スヌーピングが許可されたドメイン名のリストを含むドメイン名リストを設定できます。DNS ドメイン リスト名の文字列は、拡張アクセス リスト名と一致している必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
passthrou-domain-list name 例:
|
パススルー ドメイン名リストを設定します。 |
ステップ 2 |
match word 例:
|
パススルー ドメイン リストを設定します。クライアントが RADIUS サーバーを介して認証される必要なくアクセスの照会が許可される Web サイトのリストを追加します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
access-session passthrou-access-group access-group-name passthrou-domain-list domain-list-name 例:
|
ドメイン名リストと FQDN ACL AAA 属性名をマッピングします。中央 Web 認証を設定する場合、このコマンドを使用します。 |
ステップ 2 |
parameter-map type webauth domain-list-name and login-auth-bypass fqdn-acl-name acl-name domain-name domain-name 例:
|
ドメイン名リストと FQDN ACL 名をマッピングします。コントローラでローカル認証を設定する場合、このコマンドを使用します。 RADIUS サーバーは、認証されたユーザー プロファイルの一部として FQDN ACL 名を返すように設定できます。FQDN ACL がコントローラで定義される場合、コントローラは FQDN ACL をユーザーに動的に適用します。 |
次のコマンドを使用して FQDN ACL をモニターできます。
コマンド |
目的 |
show access-session interface interface-name details |
インターフェイスに設定された FQDN ACL 情報を表示します。 |
show access-session fqdn fqdn-maps |
ドメイン名リストにマッピングされた FQDN ACL を表示します。 |
show access-session fqdn list-domain domain-name |
ドメイン名を表示します。 |
show access-session fqdn passthru-domain-list |
設定されているドメインを表示します。 |
# config terminal
(config)# ip access-list extended abc
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# end
# show ip access-list abc
# config terminal
(config)# passthrou-domain-list abc
(config-fqdn-acl-domains)# match play.google.com
(config-fqdn-acl-domains)# end
# show access-session fqdn fqdn-maps
# config terminal
(config)# access-session passthrou-access-group abc passthrou-domain-list abc
(config)# end
# show access-session interface vlan 20
# config terminal
(config)# parameter-map type webauth abc
(config-params-parameter-map)# login-auth-bypass fqdn-acl-name abc domain-name abc
(config-params-parameter-map)# end
# show access-session fqdn fqdn-maps
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS コマンド |
|
セキュリティ コマンド |
|
ACL 設定ガイド |
『セキュリティコンフィギュレーションガイド』の「アクセスコントロールリスト」 |
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
FQDN ACL の設定 |
FQDN ACL 機能を設定することで、ドメイン名システム(DNS)に基づいてワイヤレス セッションにアクセス コントロール リスト(ACL)を設定、適用することができます。ドメイン名が IP アドレスが DNS 応答の一部として、クライアントに割り当てるられる IP アドレスに解決されます。次に FQDN が IP アドレスに基づいて ACL にマッピングされます。 次のコマンドが導入または変更されました。access session passthrou access group 、login-auth-bypass 、parameter-map type webauth global 、 pass throu domain list name 、show access-session fqdn |