この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
アイデンティティ制御ポリシーは、Identity-Based Networking Services が、特定の条件およびサブスクライバのイベントに対応して実行するアクションを定義します。 一貫したポリシー言語を使用して、各種のシステム アクション、条件、およびイベントを組み合わせることができます。 このモジュールでは、Identity-Based Networking Services のアイデンティティ制御ポリシーの設定方法に関する情報を提供します。
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
Identity-Based Networking Services では、IEEE 802.1x(dot1x)、MAC 認証バイパス(MAB)、および Web 認証方式を同時に実行することができます。これにより、1 つの加入者セッションに対して複数の認証方式を同時に呼び出すことができるようになります。 これにより、クライアントでサポートされている方式を、シリアル化に伴う遅延なしに極力早く完了できます。
通常、ホストの承認に使用されるアクセス制御方法は、エンドポイントまで残されます。 たとえば、802.1x サプリカントのないネットワーク プリンタは MAB のみで承認され、従業員のデスクトップは 802.1x のみで、そしてゲストは Web 認証のみで承認されます。 デフォルトの優先順序は 802.1x の次に MAB、そして Web 認証です。 複数の方式の優先度が同じ場合は、最初にセッションを正常に認証した方式が優先されます。
セッションのライフタイム中に複数の方式が成功する可能性がある例として、802.1x の成功の保留中に、MAB が暫定アクセスの提供に使用される場合があります。 ホストも、クレデンシャルを更新できるように Web サーバへの暫定アクセスを許可されている場合があります。そのため、認証が失敗した後に 802.1x が成功する場合があります。
Identity-Based Networking Services により、以前サポートされていた認証コマンドおよびポリシー コマンドの多くに代わる新しい Cisco IOS コマンドが導入されています。 これらのコマンドは、Identity-Based Networking Services をサポートする Cisco Common Classification Policy Language (C3PL)表示モードをイネーブルにした後でのみ使用できます。 並列認証および IPv6 を使用した Web 認証などの Identity-Based Networking Services 機能は、レガシー モードではサポートされません。
次のいずれかを行わないかぎり、デバイスはデフォルトでレガシー設定モードを使用します。
authentication display new-style コマンドを入力する。このコマンドは C3PL 表示モードへと切り替えを行い、レガシー設定を一時的に Identity-Based Networking Services の設定へと変換して、永続的な変換を行う前にこの設定を確認できるようにします。 authentication display legacy コマンドを使用して、レガシー モードに切り替えることができます。 「Identity-Based Networking Services の表示モードのイネーブル化」のセクションを参照してください。
Identity-Based Networking Services 設定コマンドを入力する。最初に明示的な Identity-Based Networking Services コマンドが入力されると、設定は C3PL 表示モードへと永続的に変更され、レガシー コマンドが抑制されます。 authentication display コマンドはディセーブルになり、レガシーの設定モードに戻すことはできません。
制御ポリシーは、各種の加入者ライフサイクル イベントの処理を定義します。 セッションの開始やセッション障害などの各種イベントに対して、制御ポリシーでアクションを指定できます。 これらのアクションは、さまざまな一致基準に基づき、異なる加入者に対して条件付きで実行できます。 制御ポリシーは、インターフェイス上でアクティブ化され、一般に、加入者 ID の認証、およびセッションにおけるサービスのアクティベーションを制御します。 たとえば、特定の加入者を認証し、それらの加入者に特定のサービスへのアクセス権を付与するように制御ポリシーを設定できます。
制御ポリシーは、1 つ以上の制御ポリシー ルールと、そのポリシー ルールの評価方法を制御する決定戦略から構成されます。 制御ポリシー ルールは、制御クラス(柔軟な条件句)、条件が評価されるイベント、および、1 つ以上のアクションで構成されます。 アクションとは「認証」や「アクティブ化」などの一般的なシステム機能です。イベントがトリガーする特定のアクションを定義します。また、一部のイベントにはデフォルトのアクションがあります。
次の図は、各制御ポリシーに、加入者のライフ サイクルに適用可能と見なされるイベントのリストがどのように含まれているのかを説明しています。 各イベント タイプ内には、加入者 ID に対する各種の一致基準が設定された制御クラスがあり、各クラスには、実行されるアクションのリストがあります。
制御ポリシーは、イベント、条件、およびアクションに関するシステム機能を表します。 制御ポリシーの定義には次の 3 つの手順があります。
1 つ以上の制御クラスを作成する。制御クラスは、制御ポリシーがアクティブ化されるために満たす必要のある基準を指定します。 制御クラスには複数の条件を含めることができ、各条件は true または false の評価を行います。 Match ディレクティブは、クラスが true と評価されるためには、各条件のすべてが true と評価されるか、いずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを指定します。 または、いずれの条件も含まず、常に true と評価するデフォルトの制御クラスを指定することもできます。
制御ポリシーを作成する。制御ポリシーには 1 つ以上の制御ポリシー ルールが含まれます。 制御ポリシー ルールは制御クラス、クラスが評価される原因となる 1 つのイベント、および 1 つ以上のアクションから構成されます。 アクションに番号が付けられ、順に実行されます。
制御ポリシーを適用する。制御ポリシーは、インターフェイスに適用することによってアクティブ化されます。
パラメータ マップを使用して、制御ポリシーで指定されたアクションの動作を制御するパラメータを指定することができます。 Identity-Based Networking Services の場合、認証パラメータ マップは、authenticate using webauth コマンドを使用して指定されたアクションに使用するパラメータを定義します。 次のパラメータ マップのタイプを設定できます。
パラメータ マップはオプションです。 名前付きパラメータ マップを設定しない場合は、グローバル パラメータ マップで指定されたデフォルトのパラメータが使用されます。
共通の非アクティブ化エージング機能は、Web 認証セッションに対する RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)のサポートを拡張し、802.1X、MAC 認証バイパス(MAB)、Web 認証などのすべての認証方式で、一貫した非アクティブ化処理を実現します。 AAA サーバは、ユーザ認証の一環としてこれらの属性を送信します。 セッションが、属性 28 で指定された期間アイドルのままの場合、または属性 29 で設定されているタイムアウトの時間に到達した場合、そのセッションは終了します。
ローカルで定義したサービス テンプレートを使用して、非アクティブ タイムアウトと絶対タイムアウトをセッションに適用することもできます。 非アクティブ タイムアウトをイネーブルにする場合は、セッションが終了する前に送信されるアドレス解決プロトコル(ARP)プローブもイネーブルにできます。 設定の詳細については、「アイデンティティ サービス テンプレートの設定」モジュールを参照してください。
Identity-Based Networking Services 機能は、Cisco Common Classification Policy Language(C3PL)表示モードで設定されています。 レガシーの認証マネージャ モードはデフォルトでイネーブルです。 C3PL 表示モードに切り替えて、レガシーのコンフィギュレーション コマンドをすべて一時的に C3PL の同等のコマンドに変換するには、次の手順に従います。 これにより、永続的な変換を行う前に、レガシーの設定を Identity-Based Networking Services 設定としてプレビューすることができます。 Identity-Based Networking Services コマンドを明示的に入力すると、変換は永続的になり、レガシー モードに戻ることはできません。
1. enable
2. authentication display {legacy | new-style}
制御クラスは、制御ポリシーのアクションが実行される条件を定義します。 制御ポリシーのアクションを実行するためには、条件のすべてまたはいずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを定義します。 制御クラスは、制御ポリシーで指定されたイベントに基づいて評価されます。
(注) |
この手順では、制御クラスで設定できる一致条件をすべて示します。 制御クラスを有効にするためには、制御クラスで少なくとも 1 つの条件を有効にする必要があります。 他のすべての条件および対応するステップはオプションです(下記のステップ 4~18)。 |
1. enable
2. configure terminal
3. class-map type control subscriber {match-all | match-any | match-none} control-class-name
4. {match | no-match} activated-service-template template-name
5. {match | no-match} authorization-status {authorized | unauthorized}
6. {match | no-match} authorizing-method-priority {eq | gt | lt} priority-value
7. {match | no-match} client-type {data | switch | video | voice}
8. {match | no-match} current-method-priority {eq | gt | lt} priority-value
9. {match | no-match} ip-address ip-address
10. {match | no-match} ipv6-address ipv6-address
11. {match | no-match} mac-address mac-address
12. {match | no-match} method {dot1x | mab | webauth}
13. {match | no-match} port-type {l2-port | l3-port | dot11-port}
14. {match | no-match} result-type [method {dot1x | mab | webauth}] result-type
15. {match | no-match} service-template template-name
16. {match | no-match} tag tag-name
17. {match | no-match} timer timer-name
18. {match | no-match} username username
19. end
20. show class-map type control subscriber {all | name control-class-name}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | class-map type control subscriber {match-all | match-any | match-none} control-class-name 例: Device(config)# class-map type control subscriber match-all DOT1X_NO_AGENT |
制御クラスを作成し、制御クラスマップ フィルタ モードを開始します。 |
ステップ 4 | {match | no-match} activated-service-template template-name 例: Device(config-filter-control-classmap)# match activated-service-template SVC_1 |
(任意)セッションでアクティブ化されているサービス テンプレートに基づいて true と評価される条件を作成します。 |
ステップ 5 | {match | no-match} authorization-status {authorized | unauthorized} 例: Device(config-filter-control-classmap)# match authorization-status authorized |
(任意)セッションの認可ステータスに基づいて true と評価される条件を作成します。 |
ステップ 6 | {match | no-match} authorizing-method-priority {eq | gt | lt} priority-value 例: Device(config-filter-control-classmap)# match authorizing-method-priority eq 10 |
(任意)認可方式の優先度に基づいて true と評価される条件を作成します。 |
ステップ 7 | {match | no-match} client-type {data | switch | video | voice} 例: Device(config-filter-control-classmap)# match client-type data |
(任意)イベントのデバイス タイプに基づいて true と評価される条件を作成します。 |
ステップ 8 | {match | no-match} current-method-priority {eq | gt | lt} priority-value 例: Device(config-filter-control-classmap)# match current-method-priority eq 10 |
(任意)現在の認証方式の優先度に基づいて true と評価される条件を作成します。 |
ステップ 9 | {match | no-match} ip-address ip-address 例: Device(config-filter-control-classmap)# match ip-address 10.10.10.1 |
(任意)イベント ソースの IPv4 アドレスに基づいて true と評価される条件を作成します。 |
ステップ 10 | {match | no-match} ipv6-address ipv6-address 例: Device(config-filter-control-classmap)# match ipv6-address FE80::1 |
(任意)イベント ソースの IPv6 アドレスに基づいて true と評価される条件を作成します。 |
ステップ 11 | {match | no-match} mac-address mac-address 例: Device(config-filter-control-classmap)# match mac-address aabb.cc00.6500 |
(任意)イベントの MAC アドレスに基づいて true と評価される条件を作成します。 |
ステップ 12 | {match | no-match} method {dot1x | mab | webauth} 例: Device(config-filter-control-classmap)# match method dot1x |
(任意)イベントの認証方式に基づいて true と評価される条件を作成します。 |
ステップ 13 | {match | no-match} port-type {l2-port | l3-port | dot11-port} 例: Device(config-filter-control-classmap)# match port-type l2-port |
(任意)イベントのインターフェイス タイプに基づいて true と評価される条件を作成します。 |
ステップ 14 | {match | no-match} result-type [method {dot1x | mab | webauth}] result-type 例: Device(config-filter-control-classmap)# match result-type agent-not-found |
(任意)指定した認証結果に基づいて true と評価される条件を作成します。 |
ステップ 15 | {match | no-match} service-template template-name 例: Device(config-filter-control-classmap)# match service-template svc_1 |
(任意)イベントのサービス テンプレートに基づいて true と評価される条件を作成します。 |
ステップ 16 | {match | no-match} tag tag-name 例: Device(config-filter-control-classmap)# match tag tag_1 |
(任意)イベントに関連付けられたタグに基づいて true と評価される条件を作成します。 |
ステップ 17 | {match | no-match} timer timer-name 例: Device(config-filter-control-classmap)# match timer restart |
(任意)イベント タイマーに基づいて true と評価される条件を作成します。 |
ステップ 18 | {match | no-match} username username 例: Device(config-filter-control-classmap)# match username josmiths |
(任意)イベントのユーザ名に基づいて true と評価される条件を作成します。 |
ステップ 19 | end 例: Device(config-filter-control-classmap)# end |
(任意)制御クラスマップ フィルタのコンフィギュレーション モードを終了し、特権 EXEC モードへ戻ります。 |
ステップ 20 | show class-map type control subscriber {all | name control-class-name} 例: Device# show class-map type control subscriber all |
(任意)Identity-Based Networking Services の制御クラスに関する情報を表示します。 |
次の例は、2 つの一致条件が設定された制御クラスを示しています。
class-map type control subscriber match-all DOT1X_NO_AGENT match method dot1x match result-type agent-not-found
制御ポリシーは、指定されたイベントと条件に応じて実行されるアクションを決定します。 制御ポリシーには、制御クラスを 1 つ以上のアクションに関連付ける 1 つ以上の制御ポリシー ルールが含まれます。 ポリシー ルールで設定できるアクションは、指定するイベントのタイプに応じて異なります。
(注) |
この作業には、イベントにかかわらず、制御ポリシーで設定できるすべてのアクションが含まれます。 これらのすべてのアクションおよび対応するステップはオプションです(下記のステップ 6~21)。 特定のイベントに対してサポートされるアクションを表示するには、疑問符(?)のオンライン ヘルプ機能を使用します。 |
1. enable
2. configure terminal
3. policy-map type control subscriber control-policy-name
4. event event-name [match-all | match-first]
5. priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]
6. action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]}
7. action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}]
8. action-number authentication-restart seconds
9. action-number authorize
10. action-number clear-authenticated-data-hosts-on-port
11. action-number clear-session
12. action-number deactivate {policy type control subscriber control-policy-name | service-template template-name}
13. action-number err-disable
14. action-number pause reauthentication
15. action-number protect
16. action-number replace
17. action-number restrict
18. action-number resume reauthentication
19. action-number set-timer timer-name seconds
20. action-number terminate {dot1x | mab | webauth}
21. action-number unauthorize
22. end
23. show policy-map type control subscriber {all | name control-policy-name}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | policy-map type control subscriber control-policy-name 例: Device(config)# policy-map type control POLICY_1 |
加入者セッションに対する制御ポリシーを定義します。 |
ステップ 4 | event event-name [match-all | match-first] 例: Device(config-event-control-policymap)# event session-started |
|
ステップ 5 | priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success] 例: Device(config-class-control-policymap)# 10 class always |
制御ポリシーを制御クラスの 1 つ以上のアクションに関連付けます。 |
ステップ 6 | action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]} 例: Device(config-action-control-policymap)# 10 activate service-template FALLBACK |
(任意)加入者セッションの制御ポリシーまたはサービス テンプレートをアクティブ化します。 |
ステップ 7 | action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}] 例: Device(config-action-control-policymap)# 10 authenticate using dot1x priority 10 |
(任意)指定されたメソッドを使用して加入者セッションの認証を開始します。 |
ステップ 8 | action-number authentication-restart seconds 例: Device(config-action-control-policymap)# 20 authentication-restart 60 |
(任意)認証または認可の失敗後、認証プロセスを再起動するようにタイマーを設定します。 |
ステップ 9 | action-number authorize 例: Device(config-action-control-policymap)# 10 authorize |
(任意)加入者セッションの認可を開始します。 |
ステップ 10 | action-number clear-authenticated-data-hosts-on-port 例: Device(config-action-control-policymap)# 20 clear-authenticated-data-hosts-on-port |
(任意)認証失敗後にポートの認証済みデータ ホストをクリアします。 |
ステップ 11 | action-number clear-session 例: Device(config-action-control-policymap)# 30 clear-session |
(任意)アクティブな加入者セッションをクリアします。 |
ステップ 12 | action-number deactivate {policy type control subscriber control-policy-name | service-template template-name} 例: Device(config-action-control-policymap)# 20 deactivate service-template |
(任意)加入者セッションの制御ポリシーまたはサービス テンプレートを非アクティブ化します。 |
ステップ 13 | action-number err-disable 例: Device(config-action-control-policymap)# 10 err-disable |
(任意)セッション違反イベント後に一時的にポートをディセーブルにします。 |
ステップ 14 | action-number pause reauthentication 例: Device(config-action-control-policymap)# 20 pause reauthentication |
(任意)認証の失敗後に再認証を一時停止します。 |
ステップ 15 | action-number protect 例: Device(config-action-control-policymap)# 10 protect |
(任意)セッション違反イベント後に違反パケットを暗黙的にドロップします。 |
ステップ 16 | action-number replace 例: Device(config-action-control-policymap)# 10 replace |
(任意)違反イベント後に既存のセッションをクリアし、新しいセッションを作成します。 |
ステップ 17 | action-number restrict 例: Device(config-action-control-policymap)# 10 restrict |
(任意)セッションの違反イベント後に違反パケットをドロップし、syslog エントリを生成します。 |
ステップ 18 | action-number resume reauthentication 例: Device(config-action-control-policymap)# 20 resume reauthentication |
(任意)認証失敗後に再認証プロセスを再開します。 |
ステップ 19 | action-number set-timer timer-name seconds 例: Device(config-action-control-policymap)# 20 set-timer RESTART 60 |
(任意)名前付きのポリシー タイマーを開始します。 |
ステップ 20 | action-number terminate {dot1x | mab | webauth} 例: Device(config-action-control-policymap)# 20 terminate webauth |
(任意)加入者セッションの認証方式を終了します。 |
ステップ 21 | action-number unauthorize 例: Device(config-action-control-policymap)# 20 unauthorize |
(任意)加入者セッションからすべての認可データを削除します。 |
ステップ 22 | end 例: Device(config-action-control-policymap)# end |
(任意)制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、選択特権 EXEC モードへ戻ります。 |
ステップ 23 | show policy-map type control subscriber {all | name control-policy-name} 例: Device# show policy-map type control subscriber name POLICY_1 |
(任意)アイデンティティ制御ポリシーに関する情報を表示します。 |
次の例は、認証を開始するために必要な最小限の設定を使用した、簡単な制御ポリシーを示します。
policy-map type control subscriber POLICY_1 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x
並列認証および連続認証に対する制御ポリシーの詳細な例については、「アイデンティティ制御ポリシーの設定例」のセクションを参照してください。
制御ポリシーは、一般に、加入者 ID の認証およびセッションでのサービスのアクティブ化を制御します。 インターフェイスに制御ポリシーを適用するには、この作業を実行します。
1. enable
2. configure terminal
3. interface type number
4. service-policy type control subscriber control-policy-name
5. subscriber aging {inactivity-timer seconds [probe] | probe}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | interface type number 例: Device(config)# interface tengigabitethernet 1/0/1 |
インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 | service-policy type control subscriber control-policy-name 例: Device(config-if)# service-policy type control subscriber POLICY_1 |
以前に設定した制御ポリシーを適用します。 |
ステップ 5 | subscriber aging {inactivity-timer seconds [probe] | probe} 例: Device(config-if)# subscriber aging inactivity-timer 60 probe |
加入者セッションに対する非アクティブ タイマーをイネーブルにします。 |
interface TenGigabitEthernet 1/0/2 subscriber aging inactivity-timer 60 probe service-policy type control subscriber POLICY_1
ポートの許可状態、ホストのアクセス モード、事前認証アクセス、および認証の方向など、ポートへのアクセスを制御するには、この作業を実行します。
1. enable
2. configure terminal
3. interface type number
4. access-session port-control {auto | force-authorized | force-unauthorized}
5. access-session host-mode {multi-auth | multi-domain | multi-host | single-host}
6. access-session closed
7. access-session control-direction {both | in}
8. end
9. show access-session interface interface-type interface-number [details]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | interface type number 例: Device(config)# interface gigabitethernet 1/0/2 |
選択したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 | access-session port-control {auto | force-authorized | force-unauthorized} 例: Device(config-if)# access-session port-control auto |
ポートの認可状態を設定します。 |
ステップ 5 | access-session host-mode {multi-auth | multi-domain | multi-host | single-host} 例: Device(config-if)# access-session host-mode single-host |
ホストの制御ポートへのアクセスを許可します。 |
ステップ 6 | access-session closed 例: Device(config-if)# access-session closed |
このポートへの事前認証アクセスを防止します。 |
ステップ 7 | access-session control-direction {both | in} 例: Device(config-if)# access-session control-direction in |
ポートでの認証制御の方向を設定します。 |
ステップ 8 | end 例: Device(config-if)# end |
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 9 | show access-session interface interface-type interface-number [details] 例: Device# show access-session interface gigabitethernet 1/0/2 details |
指定されたクライアント インターフェイスに一致する加入者セッションに関する情報を表示します。 |
interface GigabitEthernet 1/0/2 access-session host-mode single-host access-session closed access-session port-control auto access-session control-direction in
パラメータ マップを使用して、制御ポリシーで設定されたアクションの動作を制御するパラメータを変更することができます。 Web ベース認証のパラメータ マップは、認証中に加入者セッションに適用できるパラメータを設定します。 パラメータ マップを作成しない場合、ポリシーではデフォルトのパラメータが使用されます。
Web ベース認証に対してグローバルまたは名前付きパラメータ マップのいずれかを定義するには、次の手順に従います。
(注) |
グローバル パラメータ マップで使用できる設定コマンドは、名前付きパラメータ マップで使用できるコマンドとは異なります。 |
1. enable
2. configure terminal
3. parameter-map type webauth {parameter-map-name | global}
4. banner {file location:filename | text banner-text}
5. consent email
6. custom-page {failure | login expired | success} device location:filename
7. max-http-conns number
8. ratelimit init-state-sessions rate-limit
9. redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}}
10. timeout init-state min minutes
11. type {authbypass | consent | webauth | webconsent}
12. virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address}
13. watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled}
14. end
15. show ip admission status [banners | custom-pages | parameter-map [parameter-map]]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | parameter-map type webauth {parameter-map-name | global} 例: Device(config)# parameter-map type webauth MAP_2 |
パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。 |
ステップ 4 | banner {file location:filename | text banner-text} 例: Device(config-params-parameter-map)# banner file flash:webauth_banner.html |
(任意)Web 認証ログイン Web ページにバナーを表示します。 |
ステップ 5 | consent email 例: Device(config-params-parameter-map)# consent email |
(任意)Web 認証ログイン Web ページでユーザの電子メール アドレスを要求します。 |
ステップ 6 | custom-page {failure | login expired | success} device location:filename 例: Device(config-params-parameter-map)# custom-page login device flash:webauth_login.html Device(config-params-parameter-map)# custom-page login expired device flash:webauth_expire.html Device(config-params-parameter-map)# custom-page success device flash:webauth_success.html Device(config-params-parameter-map)# custom-page failure device flash:webauth_fail.html |
(任意)Web ベースの認証中に、カスタムの認証プロキシ Web ページを表示します。 |
ステップ 7 | max-http-conns number 例: Device(config-params-parameter-map)# max-http-conns 5 |
(任意)各 Web 認証クライアントの HTTP 接続の数を制限します。 |
ステップ 8 | ratelimit init-state-sessions rate-limit 例: Device(config-params-parameter-map)# ratelimit init-state-sessions 500 |
(任意)Init 状態の Web ベース認証セッションの数を制限します。 |
ステップ 9 | redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}} 例: Device(config-params-parameter-map)# redirect portal ipv6 FE80::1 Device(config-params-parameter-map)# redirect on-failure http://10.10.3.34/~sample/failure.html |
(任意)Web ベースの認証時に特定の URL にユーザを転送します。 |
ステップ 10 | timeout init-state min minutes 例: Device(config-params-parameter-map)# timeout init-state min 15 |
(任意)Web ベースの認証セッションに対して Init 状態タイムアウトを設定します。 |
ステップ 11 | type {authbypass | consent | webauth | webconsent} 例: Device(config-params-parameter-map)# type consent |
(任意)Web ベースの認証パラメータ マップでサポートされる方式を定義します。 |
ステップ 12 | virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address} 例: Device(config-params-parameter-map)# virtual-ip ipv6 FE80::1 |
(任意)Web ベース認証クライアントの仮想 IP アドレスを指定します。 |
ステップ 13 | watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled} 例: Device(config-params-parameter-map)# watch-list enabled Device(config-params-parameter-map)# watch-list dynamic-expiry-timeout 20 Device(config-params-parameter-map)# watch-list add-item ipv6 FE80::1 |
(任意)Web ベース認証クライアントのウォッチ リストをイネーブルにします。 |
ステップ 14 | end 例: Device(config-params-parameter-map)# end |
(任意)parameter-map コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 15 | show ip admission status [banners | custom-pages | parameter-map [parameter-map]] 例: Device# show ip admission status custom-pages |
(任意)設定されたバナーおよびカスタム ページに関する情報を表示します。 |
parameter-map type webauth PMAP_2 type webconsent timeout init-state min 15 max-http-conns 5 consent email custom-page login device flash:webauth_login.html custom-page success device flash:webauth_success.html custom-page failure device flash:webauth_fail.html custom-page login expired device flash:webauth_expire.html
制御ポリシーの設定時に authenticate using コマンドでパラメータ マップを指定することにより、そのパラメータ マップをセッションに適用します。 「制御ポリシーの設定」のセクションを参照してください。
次の例は、並行認証を許可するように設定されている制御ポリシーを示しています。 セッションの開始時に、3 種類の方式のすべて(dot1x、MAB、Web 認証)が同時に実行されます。 dot1x 方式の優先度が最高に設定され、Web 認証の優先度が最低に設定されます。つまり、複数のメソッドが成功した場合は、プライオリティの高い方式が優先されます。
認証が失敗すると、セッション マネージャはすべての方式が失敗しているかどうかを確認します。すべてが失敗している場合は、再起動タイマーが 60 秒に設定され、60 秒が経過すると、3 種類すべての方式の再開が試行されます。 認証が正常に行われると、セッション マネージャは優先度が低い方式(dot1x の場合は MAB および Web 認証、MAB の場合は Web 認証)をすべて終了します。 最後に、セッション マネージャが、dot1x クライアント(agent-found)を検出した場合は、dot1x のみがトリガーされます。
ALL-FAILED という名前のクラス マップが、3 つの方式がすべて実行されて完了し(その時点で結果タイプが none)、それらのいずれも成功しなかったことを確認します。 つまり、3 つの方式はすべて完了しましたが、失敗しました。
(注) |
並列認証のための制御ポリシーを設定する場合は、優先度の高いメソッドが成功した場合は次のメソッドを明示的に終了するポリシー規則を含める必要があります。 |
class-map type subscriber control match-all ALL_FAILED no-match result-type method dot1x none no-match result-type method dot1x success no-match result-type method mab none no-match result-type method mab success no-match result-type method webauth none no-match result-type method webauth success ! class-map type control subscriber match-all DOT1X match method dot1x ! class-map type control subscriber match-all MAB match method mab ! policy-map type control subscriber CONCURRENT_DOT1X_MAB_WEBAUTH event session-started match-all 10 class always do-until-failure 10 authenticate using mab priority 20 20 authenticate using dot1x priority 10 30 authenticate using webauth parameter-map WEBAUTH_DEFAULT priority 30 event authentication-failure match-first 10 class ALL_FAILED 10 authentication-restart 60 event authentication-success match-all 10 class DOT1X 10 terminate MAB 20 terminate webauth 20 class MAB 10 terminate webauth event agent-found match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10
次の例は、802.1X(dot1x)、MAB、および Web 認証を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。
parameter-map type webauth WEBAUTH_FALLBACK type webauth ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber POLICY_Gi3/0/10 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 event authentication-failure match-first 10 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 20 class MAB_FAILED do-until-failure 10 terminate mab 20 authenticate using webauth parameter-map WEBAUTH_FALLBACK priority 30 30 class always do-until-failure 10 terminate dot1x 20 terminate mab 30 terminate webauth 40 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 terminate webauth 30 authenticate using dot1x priority 10
次の例は、802.1X および MAB を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。 認証が失敗した場合は、VLAN のサービス テンプレートがアクティブ化されます。
service-template VLAN210 vlan 210 ! class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber POLICY_Gi3/0/14 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x retries 2 retry-time 0 priority 10 event authentication-failure match-first 10 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 20 class MAB_FAILED do-until-failure 10 terminate mab 20 activate service-template VLAN210 30 authorize 30 class DOT1X_FAILED do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 40 class always do-until-failure 10 terminate dot1x 20 terminate mab 30 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 authenticate using dot1x retries 2 retry-time 0 priority 10
次の例は、グローバル パラメータ マップの設定を示しています。
parameter-map type webauth global timeout init-state min 15 logging enabled watch-list enabled virtual-ip ipv6 FE80::1 redirect on-failure http://10.10.3.34/~sample/failure.html ratelimit init-state-sessions 500 max-http-conns 100 watch-list dynamic-expiry-timeout 5000 banner file flash:webauth_banner.html
次の例は、2 つの名前付きパラメータ マップ(Web 認証用と認証バイパス用)の設定を示しています。 この例には、対応する制御ポリシーの設定も表示されています。
parameter-map type webauth WEBAUTH_BANNER type webauth banner ! parameter-map type webauth WEBAUTH_NRH type authbypass ! class-map type control subscriber match-all NRH_FAIL match method webauth match current-method-priority eq 254 ! policy-map type control subscriber WEBAUTH_NRH event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map WEBAUTH_NRH priority 254 event authentication-failure match-all 10 class NRH_FAIL do-until-failure 10 terminate webauth 20 authenticate using webauth parameter-map WEBAUTH_BANNER priority 30
次の例は、ログイン プロセス用のカスタム ページを定義する Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する制御ポリシーとともに示しています。
parameter-map type webauth CUSTOM_WEBAUTH type webauth custom-page login device flash:login_page.htm custom-page success device flash:success_page.htm custom-page failure device flash:fail_page.htm custom-page login expired device flash:expire_page.htm ! policy-map type control subscriber CUSTOM_WEBAUTH event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CUSTOM_WEB retries 2 retry-time 0
次にの例は、同意のための名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。
parameter-map type webauth CONSENT type consent ! ip access-list extended GUEST_ACL permit ip any 172.30.30.0 0.0.0.255 permit ip any host 172.20.249.252 ! service-template GUEST_POLICY access-group GUEST_ACL ! policy-map type control subscriber CONSENT event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CONSENT event authentication-success match-all 10 class always do-until-failure 10 activate service-template GUEST_POLICY
次の例は、同意を伴う Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。
parameter-map type webauth WEBAUTH_CONSENT type webconsent ! ip access-list extended GUEST_ACL permit ip any 172.30.30.0 0.0.0.255 permit ip any host 172.20.249.252 ! service-template GUEST_POLICY access-group GUEST_ACL ! policy-map type control subscriber WEBAUTH_CONSENT event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CONSENT event authentication-success match-all 10 class always do-until-failure 10 activate service-template GUEST_POLICY
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS コマンド |
|
Identity-Based Networking Services コマンド |
『Cisco IOS Identity-Based Networking Services Command Reference』 |
アドレス解決プロトコル(ARP)コマンド |
|
ARP 設定作業 |
『IP Addressing - ARP Configuration Guide』 |
認証、許可、およびアカウンティング(AAA)の設定作業 |
『Authentication Authorization and Accounting Configuration Guide』 |
AAA コマンド |
『Cisco IOS Security Command Reference』 |
標準/RFC |
Title |
---|---|
RFC 5176 |
『Dynamic Authorization Extensions to RADIUS』 |
説明 |
Link |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
Cisco Common Classification Policy Language ベースのアイデンティティの設定 |
Cisco IOS XE Release 3.2SE |
アイデンティティ制御ポリシーは、指定されたイベントと条件に対応して実行されるアクションを定義します。 導入されたコマンド:activate(policy-map action)、authenticate using、authentication display、authentication-restart、authorize、banner(parameter-map webauth)、class、class-map type control subscriber、clear-authenticated-data-hosts-on-port、clear session、consent email custom-page、deactivate、err-disable、event、logging enabled(parameter-map webauth)、match、max-http-conns、parameter-map type webauth、pause reauthentication、policy-map type control subscriber、protect(policy-map action)、ratelimit init-state-sessions、redirect(parameter-map webauth)、replace、restrict、resume reauthentication、service-policy type control subscriber、set-timer、show access-session、show class-map type control subscriber、show policy-map type control subscriber、terminate、type(parameter-map webauth)、unauthorize、virtual-ip、watch-list。 |
並列認証 |
Cisco IOS XE Release 3.2SE |
802.1x、MAB、および Web 認証方式の並列処理を許可し、1 つのセッションで複数の認証方式を並行して呼び出すことができるようにします。 |
複数の方式に対するユーザごとの非アクティブ化処理 |
Cisco IOS XE Release 3.2SE |
RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)をサポートします。 |
目次
アイデンティティ制御ポリシーは、Identity-Based Networking Services が、特定の条件およびサブスクライバのイベントに対応して実行するアクションを定義します。 一貫したポリシー言語を使用して、各種のシステム アクション、条件、およびイベントを組み合わせることができます。 このモジュールでは、Identity-Based Networking Services のアイデンティティ制御ポリシーの設定方法に関する情報を提供します。
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
Identity-Based Networking Services では、IEEE 802.1x(dot1x)、MAC 認証バイパス(MAB)、および Web 認証方式を同時に実行することができます。これにより、1 つの加入者セッションに対して複数の認証方式を同時に呼び出すことができるようになります。 これにより、クライアントでサポートされている方式を、シリアル化に伴う遅延なしに極力早く完了できます。
通常、ホストの承認に使用されるアクセス制御方法は、エンドポイントまで残されます。 たとえば、802.1x サプリカントのないネットワーク プリンタは MAB のみで承認され、従業員のデスクトップは 802.1x のみで、そしてゲストは Web 認証のみで承認されます。 デフォルトの優先順序は 802.1x の次に MAB、そして Web 認証です。 複数の方式の優先度が同じ場合は、最初にセッションを正常に認証した方式が優先されます。
セッションのライフタイム中に複数の方式が成功する可能性がある例として、802.1x の成功の保留中に、MAB が暫定アクセスの提供に使用される場合があります。 ホストも、クレデンシャルを更新できるように Web サーバへの暫定アクセスを許可されている場合があります。そのため、認証が失敗した後に 802.1x が成功する場合があります。
Identity-Based Networking Services により、以前サポートされていた認証コマンドおよびポリシー コマンドの多くに代わる新しい Cisco IOS コマンドが導入されています。 これらのコマンドは、Identity-Based Networking Services をサポートする Cisco Common Classification Policy Language (C3PL)表示モードをイネーブルにした後でのみ使用できます。 並列認証および IPv6 を使用した Web 認証などの Identity-Based Networking Services 機能は、レガシー モードではサポートされません。
次のいずれかを行わないかぎり、デバイスはデフォルトでレガシー設定モードを使用します。
authentication display new-style コマンドを入力する。このコマンドは C3PL 表示モードへと切り替えを行い、レガシー設定を一時的に Identity-Based Networking Services の設定へと変換して、永続的な変換を行う前にこの設定を確認できるようにします。 authentication display legacy コマンドを使用して、レガシー モードに切り替えることができます。 「Identity-Based Networking Services の表示モードのイネーブル化」のセクションを参照してください。
Identity-Based Networking Services 設定コマンドを入力する。最初に明示的な Identity-Based Networking Services コマンドが入力されると、設定は C3PL 表示モードへと永続的に変更され、レガシー コマンドが抑制されます。 authentication display コマンドはディセーブルになり、レガシーの設定モードに戻すことはできません。
制御ポリシーは、各種の加入者ライフサイクル イベントの処理を定義します。 セッションの開始やセッション障害などの各種イベントに対して、制御ポリシーでアクションを指定できます。 これらのアクションは、さまざまな一致基準に基づき、異なる加入者に対して条件付きで実行できます。 制御ポリシーは、インターフェイス上でアクティブ化され、一般に、加入者 ID の認証、およびセッションにおけるサービスのアクティベーションを制御します。 たとえば、特定の加入者を認証し、それらの加入者に特定のサービスへのアクセス権を付与するように制御ポリシーを設定できます。
制御ポリシーは、1 つ以上の制御ポリシー ルールと、そのポリシー ルールの評価方法を制御する決定戦略から構成されます。 制御ポリシー ルールは、制御クラス(柔軟な条件句)、条件が評価されるイベント、および、1 つ以上のアクションで構成されます。 アクションとは「認証」や「アクティブ化」などの一般的なシステム機能です。イベントがトリガーする特定のアクションを定義します。また、一部のイベントにはデフォルトのアクションがあります。
次の図は、各制御ポリシーに、加入者のライフ サイクルに適用可能と見なされるイベントのリストがどのように含まれているのかを説明しています。 各イベント タイプ内には、加入者 ID に対する各種の一致基準が設定された制御クラスがあり、各クラスには、実行されるアクションのリストがあります。
制御ポリシーは、イベント、条件、およびアクションに関するシステム機能を表します。 制御ポリシーの定義には次の 3 つの手順があります。
1 つ以上の制御クラスを作成する。制御クラスは、制御ポリシーがアクティブ化されるために満たす必要のある基準を指定します。 制御クラスには複数の条件を含めることができ、各条件は true または false の評価を行います。 Match ディレクティブは、クラスが true と評価されるためには、各条件のすべてが true と評価されるか、いずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを指定します。 または、いずれの条件も含まず、常に true と評価するデフォルトの制御クラスを指定することもできます。
制御ポリシーを作成する。制御ポリシーには 1 つ以上の制御ポリシー ルールが含まれます。 制御ポリシー ルールは制御クラス、クラスが評価される原因となる 1 つのイベント、および 1 つ以上のアクションから構成されます。 アクションに番号が付けられ、順に実行されます。
制御ポリシーを適用する。制御ポリシーは、インターフェイスに適用することによってアクティブ化されます。
共通の非アクティブ化エージング機能は、Web 認証セッションに対する RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)のサポートを拡張し、802.1X、MAC 認証バイパス(MAB)、Web 認証などのすべての認証方式で、一貫した非アクティブ化処理を実現します。 AAA サーバは、ユーザ認証の一環としてこれらの属性を送信します。 セッションが、属性 28 で指定された期間アイドルのままの場合、または属性 29 で設定されているタイムアウトの時間に到達した場合、そのセッションは終了します。
ローカルで定義したサービス テンプレートを使用して、非アクティブ タイムアウトと絶対タイムアウトをセッションに適用することもできます。 非アクティブ タイムアウトをイネーブルにする場合は、セッションが終了する前に送信されるアドレス解決プロトコル(ARP)プローブもイネーブルにできます。 設定の詳細については、「アイデンティティ サービス テンプレートの設定」モジュールを参照してください。
Identity-Based Networking Services 機能は、Cisco Common Classification Policy Language(C3PL)表示モードで設定されています。 レガシーの認証マネージャ モードはデフォルトでイネーブルです。 C3PL 表示モードに切り替えて、レガシーのコンフィギュレーション コマンドをすべて一時的に C3PL の同等のコマンドに変換するには、次の手順に従います。 これにより、永続的な変換を行う前に、レガシーの設定を Identity-Based Networking Services 設定としてプレビューすることができます。 Identity-Based Networking Services コマンドを明示的に入力すると、変換は永続的になり、レガシー モードに戻ることはできません。
1. enable
2. authentication display {legacy | new-style}
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
||
ステップ 2 | authentication display {legacy | new-style} 例: Device# authentication display new-style |
認証およびポリシー設定の表示モードを設定します。
|
制御クラスは、制御ポリシーのアクションが実行される条件を定義します。 制御ポリシーのアクションを実行するためには、条件のすべてまたはいずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを定義します。 制御クラスは、制御ポリシーで指定されたイベントに基づいて評価されます。
1. enable
2. configure terminal
3. class-map type control subscriber {match-all | match-any | match-none} control-class-name
4. {match | no-match} activated-service-template template-name
5. {match | no-match} authorization-status {authorized | unauthorized}
6. {match | no-match} authorizing-method-priority {eq | gt | lt} priority-value
7. {match | no-match} client-type {data | switch | video | voice}
8. {match | no-match} current-method-priority {eq | gt | lt} priority-value
9. {match | no-match} ip-address ip-address
10. {match | no-match} ipv6-address ipv6-address
11. {match | no-match} mac-address mac-address
12. {match | no-match} method {dot1x | mab | webauth}
13. {match | no-match} port-type {l2-port | l3-port | dot11-port}
14. {match | no-match} result-type [method {dot1x | mab | webauth}] result-type
15. {match | no-match} service-template template-name
16. {match | no-match} tag tag-name
17. {match | no-match} timer timer-name
18. {match | no-match} username username
19. end
20. show class-map type control subscriber {all | name control-class-name}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | class-map type control subscriber {match-all | match-any | match-none} control-class-name 例: Device(config)# class-map type control subscriber match-all DOT1X_NO_AGENT |
制御クラスを作成し、制御クラスマップ フィルタ モードを開始します。 |
ステップ 4 | {match | no-match} activated-service-template template-name 例: Device(config-filter-control-classmap)# match activated-service-template SVC_1 |
(任意)セッションでアクティブ化されているサービス テンプレートに基づいて true と評価される条件を作成します。 |
ステップ 5 | {match | no-match} authorization-status {authorized | unauthorized} 例: Device(config-filter-control-classmap)# match authorization-status authorized |
(任意)セッションの認可ステータスに基づいて true と評価される条件を作成します。 |
ステップ 6 | {match | no-match} authorizing-method-priority {eq | gt | lt} priority-value 例: Device(config-filter-control-classmap)# match authorizing-method-priority eq 10 |
(任意)認可方式の優先度に基づいて true と評価される条件を作成します。 |
ステップ 7 | {match | no-match} client-type {data | switch | video | voice} 例: Device(config-filter-control-classmap)# match client-type data |
(任意)イベントのデバイス タイプに基づいて true と評価される条件を作成します。 |
ステップ 8 | {match | no-match} current-method-priority {eq | gt | lt} priority-value 例: Device(config-filter-control-classmap)# match current-method-priority eq 10 |
(任意)現在の認証方式の優先度に基づいて true と評価される条件を作成します。 |
ステップ 9 | {match | no-match} ip-address ip-address 例: Device(config-filter-control-classmap)# match ip-address 10.10.10.1 |
(任意)イベント ソースの IPv4 アドレスに基づいて true と評価される条件を作成します。 |
ステップ 10 | {match | no-match} ipv6-address ipv6-address 例: Device(config-filter-control-classmap)# match ipv6-address FE80::1 |
(任意)イベント ソースの IPv6 アドレスに基づいて true と評価される条件を作成します。 |
ステップ 11 | {match | no-match} mac-address mac-address 例: Device(config-filter-control-classmap)# match mac-address aabb.cc00.6500 |
(任意)イベントの MAC アドレスに基づいて true と評価される条件を作成します。 |
ステップ 12 | {match | no-match} method {dot1x | mab | webauth} 例: Device(config-filter-control-classmap)# match method dot1x |
(任意)イベントの認証方式に基づいて true と評価される条件を作成します。 |
ステップ 13 | {match | no-match} port-type {l2-port | l3-port | dot11-port} 例: Device(config-filter-control-classmap)# match port-type l2-port |
(任意)イベントのインターフェイス タイプに基づいて true と評価される条件を作成します。 |
ステップ 14 | {match | no-match} result-type [method {dot1x | mab | webauth}] result-type 例: Device(config-filter-control-classmap)# match result-type agent-not-found |
(任意)指定した認証結果に基づいて true と評価される条件を作成します。 |
ステップ 15 | {match | no-match} service-template template-name 例: Device(config-filter-control-classmap)# match service-template svc_1 |
(任意)イベントのサービス テンプレートに基づいて true と評価される条件を作成します。 |
ステップ 16 | {match | no-match} tag tag-name 例: Device(config-filter-control-classmap)# match tag tag_1 |
(任意)イベントに関連付けられたタグに基づいて true と評価される条件を作成します。 |
ステップ 17 | {match | no-match} timer timer-name 例: Device(config-filter-control-classmap)# match timer restart |
(任意)イベント タイマーに基づいて true と評価される条件を作成します。 |
ステップ 18 | {match | no-match} username username 例: Device(config-filter-control-classmap)# match username josmiths |
(任意)イベントのユーザ名に基づいて true と評価される条件を作成します。 |
ステップ 19 | end 例: Device(config-filter-control-classmap)# end |
(任意)制御クラスマップ フィルタのコンフィギュレーション モードを終了し、特権 EXEC モードへ戻ります。 |
ステップ 20 | show class-map type control subscriber {all | name control-class-name} 例: Device# show class-map type control subscriber all |
(任意)Identity-Based Networking Services の制御クラスに関する情報を表示します。 |
制御ポリシーは、指定されたイベントと条件に応じて実行されるアクションを決定します。 制御ポリシーには、制御クラスを 1 つ以上のアクションに関連付ける 1 つ以上の制御ポリシー ルールが含まれます。 ポリシー ルールで設定できるアクションは、指定するイベントのタイプに応じて異なります。
1. enable
2. configure terminal
3. policy-map type control subscriber control-policy-name
4. event event-name [match-all | match-first]
5. priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]
6. action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]}
7. action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}]
8. action-number authentication-restart seconds
9. action-number authorize
10. action-number clear-authenticated-data-hosts-on-port
11. action-number clear-session
12. action-number deactivate {policy type control subscriber control-policy-name | service-template template-name}
13. action-number err-disable
14. action-number pause reauthentication
15. action-number protect
16. action-number replace
17. action-number restrict
18. action-number resume reauthentication
19. action-number set-timer timer-name seconds
20. action-number terminate {dot1x | mab | webauth}
21. action-number unauthorize
22. end
23. show policy-map type control subscriber {all | name control-policy-name}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | policy-map type control subscriber control-policy-name 例: Device(config)# policy-map type control POLICY_1 |
加入者セッションに対する制御ポリシーを定義します。 |
ステップ 4 | event event-name [match-all | match-first] 例: Device(config-event-control-policymap)# event session-started |
|
ステップ 5 | priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success] 例: Device(config-class-control-policymap)# 10 class always |
制御ポリシーを制御クラスの 1 つ以上のアクションに関連付けます。 |
ステップ 6 | action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]} 例: Device(config-action-control-policymap)# 10 activate service-template FALLBACK |
(任意)加入者セッションの制御ポリシーまたはサービス テンプレートをアクティブ化します。 |
ステップ 7 | action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}] 例: Device(config-action-control-policymap)# 10 authenticate using dot1x priority 10 |
(任意)指定されたメソッドを使用して加入者セッションの認証を開始します。 |
ステップ 8 | action-number authentication-restart seconds 例: Device(config-action-control-policymap)# 20 authentication-restart 60 |
(任意)認証または認可の失敗後、認証プロセスを再起動するようにタイマーを設定します。 |
ステップ 9 | action-number authorize 例: Device(config-action-control-policymap)# 10 authorize |
(任意)加入者セッションの認可を開始します。 |
ステップ 10 | action-number clear-authenticated-data-hosts-on-port 例: Device(config-action-control-policymap)# 20 clear-authenticated-data-hosts-on-port |
(任意)認証失敗後にポートの認証済みデータ ホストをクリアします。 |
ステップ 11 | action-number clear-session 例: Device(config-action-control-policymap)# 30 clear-session |
(任意)アクティブな加入者セッションをクリアします。 |
ステップ 12 | action-number deactivate {policy type control subscriber control-policy-name | service-template template-name} 例: Device(config-action-control-policymap)# 20 deactivate service-template |
(任意)加入者セッションの制御ポリシーまたはサービス テンプレートを非アクティブ化します。 |
ステップ 13 | action-number err-disable 例: Device(config-action-control-policymap)# 10 err-disable |
(任意)セッション違反イベント後に一時的にポートをディセーブルにします。 |
ステップ 14 | action-number pause reauthentication 例: Device(config-action-control-policymap)# 20 pause reauthentication |
(任意)認証の失敗後に再認証を一時停止します。 |
ステップ 15 | action-number protect 例: Device(config-action-control-policymap)# 10 protect |
(任意)セッション違反イベント後に違反パケットを暗黙的にドロップします。 |
ステップ 16 | action-number replace 例: Device(config-action-control-policymap)# 10 replace |
(任意)違反イベント後に既存のセッションをクリアし、新しいセッションを作成します。 |
ステップ 17 | action-number restrict 例: Device(config-action-control-policymap)# 10 restrict |
(任意)セッションの違反イベント後に違反パケットをドロップし、syslog エントリを生成します。 |
ステップ 18 | action-number resume reauthentication 例: Device(config-action-control-policymap)# 20 resume reauthentication |
(任意)認証失敗後に再認証プロセスを再開します。 |
ステップ 19 | action-number set-timer timer-name seconds 例: Device(config-action-control-policymap)# 20 set-timer RESTART 60 |
(任意)名前付きのポリシー タイマーを開始します。 |
ステップ 20 | action-number terminate {dot1x | mab | webauth} 例: Device(config-action-control-policymap)# 20 terminate webauth |
(任意)加入者セッションの認証方式を終了します。 |
ステップ 21 | action-number unauthorize 例: Device(config-action-control-policymap)# 20 unauthorize |
(任意)加入者セッションからすべての認可データを削除します。 |
ステップ 22 | end 例: Device(config-action-control-policymap)# end |
(任意)制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、選択特権 EXEC モードへ戻ります。 |
ステップ 23 | show policy-map type control subscriber {all | name control-policy-name} 例: Device# show policy-map type control subscriber name POLICY_1 |
(任意)アイデンティティ制御ポリシーに関する情報を表示します。 |
次の例は、認証を開始するために必要な最小限の設定を使用した、簡単な制御ポリシーを示します。
policy-map type control subscriber POLICY_1 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x
並列認証および連続認証に対する制御ポリシーの詳細な例については、「アイデンティティ制御ポリシーの設定例」のセクションを参照してください。
1. enable
2. configure terminal
3. interface type number
4. service-policy type control subscriber control-policy-name
5. subscriber aging {inactivity-timer seconds [probe] | probe}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | interface type number 例: Device(config)# interface tengigabitethernet 1/0/1 |
インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 | service-policy type control subscriber control-policy-name 例: Device(config-if)# service-policy type control subscriber POLICY_1 |
以前に設定した制御ポリシーを適用します。 |
ステップ 5 | subscriber aging {inactivity-timer seconds [probe] | probe} 例: Device(config-if)# subscriber aging inactivity-timer 60 probe |
加入者セッションに対する非アクティブ タイマーをイネーブルにします。 |
1. enable
2. configure terminal
3. interface type number
4. access-session port-control {auto | force-authorized | force-unauthorized}
5. access-session host-mode {multi-auth | multi-domain | multi-host | single-host}
6. access-session closed
7. access-session control-direction {both | in}
8. end
9. show access-session interface interface-type interface-number [details]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | interface type number 例: Device(config)# interface gigabitethernet 1/0/2 |
選択したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 | access-session port-control {auto | force-authorized | force-unauthorized} 例: Device(config-if)# access-session port-control auto |
ポートの認可状態を設定します。 |
ステップ 5 | access-session host-mode {multi-auth | multi-domain | multi-host | single-host} 例: Device(config-if)# access-session host-mode single-host |
ホストの制御ポートへのアクセスを許可します。 |
ステップ 6 | access-session closed 例: Device(config-if)# access-session closed |
このポートへの事前認証アクセスを防止します。 |
ステップ 7 | access-session control-direction {both | in} 例: Device(config-if)# access-session control-direction in |
ポートでの認証制御の方向を設定します。 |
ステップ 8 | end 例: Device(config-if)# end |
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 9 | show access-session interface interface-type interface-number [details] 例: Device# show access-session interface gigabitethernet 1/0/2 details |
指定されたクライアント インターフェイスに一致する加入者セッションに関する情報を表示します。 |
パラメータ マップを使用して、制御ポリシーで設定されたアクションの動作を制御するパラメータを変更することができます。 Web ベース認証のパラメータ マップは、認証中に加入者セッションに適用できるパラメータを設定します。 パラメータ マップを作成しない場合、ポリシーではデフォルトのパラメータが使用されます。
Web ベース認証に対してグローバルまたは名前付きパラメータ マップのいずれかを定義するには、次の手順に従います。
(注) |
グローバル パラメータ マップで使用できる設定コマンドは、名前付きパラメータ マップで使用できるコマンドとは異なります。 |
1. enable
2. configure terminal
3. parameter-map type webauth {parameter-map-name | global}
4. banner {file location:filename | text banner-text}
5. consent email
6. custom-page {failure | login expired | success} device location:filename
7. max-http-conns number
8. ratelimit init-state-sessions rate-limit
9. redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}}
10. timeout init-state min minutes
11. type {authbypass | consent | webauth | webconsent}
12. virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address}
13. watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled}
14. end
15. show ip admission status [banners | custom-pages | parameter-map [parameter-map]]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例: Device> enable |
特権 EXEC モードをイネーブルにします。 |
ステップ 2 | configure terminal 例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 | parameter-map type webauth {parameter-map-name | global} 例: Device(config)# parameter-map type webauth MAP_2 |
パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。 |
ステップ 4 | banner {file location:filename | text banner-text} 例: Device(config-params-parameter-map)# banner file flash:webauth_banner.html |
(任意)Web 認証ログイン Web ページにバナーを表示します。 |
ステップ 5 | consent email 例: Device(config-params-parameter-map)# consent email |
(任意)Web 認証ログイン Web ページでユーザの電子メール アドレスを要求します。 |
ステップ 6 | custom-page {failure | login expired | success} device location:filename 例: Device(config-params-parameter-map)# custom-page login device flash:webauth_login.html Device(config-params-parameter-map)# custom-page login expired device flash:webauth_expire.html Device(config-params-parameter-map)# custom-page success device flash:webauth_success.html Device(config-params-parameter-map)# custom-page failure device flash:webauth_fail.html |
(任意)Web ベースの認証中に、カスタムの認証プロキシ Web ページを表示します。 |
ステップ 7 | max-http-conns number 例: Device(config-params-parameter-map)# max-http-conns 5 |
(任意)各 Web 認証クライアントの HTTP 接続の数を制限します。 |
ステップ 8 | ratelimit init-state-sessions rate-limit 例: Device(config-params-parameter-map)# ratelimit init-state-sessions 500 |
(任意)Init 状態の Web ベース認証セッションの数を制限します。 |
ステップ 9 | redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}} 例: Device(config-params-parameter-map)# redirect portal ipv6 FE80::1 Device(config-params-parameter-map)# redirect on-failure http://10.10.3.34/~sample/failure.html |
(任意)Web ベースの認証時に特定の URL にユーザを転送します。 |
ステップ 10 | timeout init-state min minutes 例: Device(config-params-parameter-map)# timeout init-state min 15 |
(任意)Web ベースの認証セッションに対して Init 状態タイムアウトを設定します。 |
ステップ 11 | type {authbypass | consent | webauth | webconsent} 例: Device(config-params-parameter-map)# type consent |
(任意)Web ベースの認証パラメータ マップでサポートされる方式を定義します。 |
ステップ 12 | virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address} 例: Device(config-params-parameter-map)# virtual-ip ipv6 FE80::1 |
(任意)Web ベース認証クライアントの仮想 IP アドレスを指定します。 |
ステップ 13 | watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled} 例: Device(config-params-parameter-map)# watch-list enabled Device(config-params-parameter-map)# watch-list dynamic-expiry-timeout 20 Device(config-params-parameter-map)# watch-list add-item ipv6 FE80::1 |
(任意)Web ベース認証クライアントのウォッチ リストをイネーブルにします。 |
ステップ 14 | end 例: Device(config-params-parameter-map)# end |
(任意)parameter-map コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 15 | show ip admission status [banners | custom-pages | parameter-map [parameter-map]] 例: Device# show ip admission status custom-pages |
(任意)設定されたバナーおよびカスタム ページに関する情報を表示します。 |
parameter-map type webauth PMAP_2 type webconsent timeout init-state min 15 max-http-conns 5 consent email custom-page login device flash:webauth_login.html custom-page success device flash:webauth_success.html custom-page failure device flash:webauth_fail.html custom-page login expired device flash:webauth_expire.html
制御ポリシーの設定時に authenticate using コマンドでパラメータ マップを指定することにより、そのパラメータ マップをセッションに適用します。 「制御ポリシーの設定」のセクションを参照してください。
次の例は、並行認証を許可するように設定されている制御ポリシーを示しています。 セッションの開始時に、3 種類の方式のすべて(dot1x、MAB、Web 認証)が同時に実行されます。 dot1x 方式の優先度が最高に設定され、Web 認証の優先度が最低に設定されます。つまり、複数のメソッドが成功した場合は、プライオリティの高い方式が優先されます。
認証が失敗すると、セッション マネージャはすべての方式が失敗しているかどうかを確認します。すべてが失敗している場合は、再起動タイマーが 60 秒に設定され、60 秒が経過すると、3 種類すべての方式の再開が試行されます。 認証が正常に行われると、セッション マネージャは優先度が低い方式(dot1x の場合は MAB および Web 認証、MAB の場合は Web 認証)をすべて終了します。 最後に、セッション マネージャが、dot1x クライアント(agent-found)を検出した場合は、dot1x のみがトリガーされます。
ALL-FAILED という名前のクラス マップが、3 つの方式がすべて実行されて完了し(その時点で結果タイプが none)、それらのいずれも成功しなかったことを確認します。 つまり、3 つの方式はすべて完了しましたが、失敗しました。
(注) |
並列認証のための制御ポリシーを設定する場合は、優先度の高いメソッドが成功した場合は次のメソッドを明示的に終了するポリシー規則を含める必要があります。 |
class-map type subscriber control match-all ALL_FAILED no-match result-type method dot1x none no-match result-type method dot1x success no-match result-type method mab none no-match result-type method mab success no-match result-type method webauth none no-match result-type method webauth success ! class-map type control subscriber match-all DOT1X match method dot1x ! class-map type control subscriber match-all MAB match method mab ! policy-map type control subscriber CONCURRENT_DOT1X_MAB_WEBAUTH event session-started match-all 10 class always do-until-failure 10 authenticate using mab priority 20 20 authenticate using dot1x priority 10 30 authenticate using webauth parameter-map WEBAUTH_DEFAULT priority 30 event authentication-failure match-first 10 class ALL_FAILED 10 authentication-restart 60 event authentication-success match-all 10 class DOT1X 10 terminate MAB 20 terminate webauth 20 class MAB 10 terminate webauth event agent-found match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10
次の例は、802.1X(dot1x)、MAB、および Web 認証を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。
parameter-map type webauth WEBAUTH_FALLBACK type webauth ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber POLICY_Gi3/0/10 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 event authentication-failure match-first 10 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 20 class MAB_FAILED do-until-failure 10 terminate mab 20 authenticate using webauth parameter-map WEBAUTH_FALLBACK priority 30 30 class always do-until-failure 10 terminate dot1x 20 terminate mab 30 terminate webauth 40 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 terminate webauth 30 authenticate using dot1x priority 10
次の例は、802.1X および MAB を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。 認証が失敗した場合は、VLAN のサービス テンプレートがアクティブ化されます。
service-template VLAN210 vlan 210 ! class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber POLICY_Gi3/0/14 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x retries 2 retry-time 0 priority 10 event authentication-failure match-first 10 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 20 class MAB_FAILED do-until-failure 10 terminate mab 20 activate service-template VLAN210 30 authorize 30 class DOT1X_FAILED do-until-failure 10 terminate dot1x 20 authenticate using mab priority 20 40 class always do-until-failure 10 terminate dot1x 20 terminate mab 30 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 authenticate using dot1x retries 2 retry-time 0 priority 10
次の例は、グローバル パラメータ マップの設定を示しています。
parameter-map type webauth global timeout init-state min 15 logging enabled watch-list enabled virtual-ip ipv6 FE80::1 redirect on-failure http://10.10.3.34/~sample/failure.html ratelimit init-state-sessions 500 max-http-conns 100 watch-list dynamic-expiry-timeout 5000 banner file flash:webauth_banner.html
次の例は、2 つの名前付きパラメータ マップ(Web 認証用と認証バイパス用)の設定を示しています。 この例には、対応する制御ポリシーの設定も表示されています。
parameter-map type webauth WEBAUTH_BANNER type webauth banner ! parameter-map type webauth WEBAUTH_NRH type authbypass ! class-map type control subscriber match-all NRH_FAIL match method webauth match current-method-priority eq 254 ! policy-map type control subscriber WEBAUTH_NRH event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map WEBAUTH_NRH priority 254 event authentication-failure match-all 10 class NRH_FAIL do-until-failure 10 terminate webauth 20 authenticate using webauth parameter-map WEBAUTH_BANNER priority 30
次の例は、ログイン プロセス用のカスタム ページを定義する Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する制御ポリシーとともに示しています。
parameter-map type webauth CUSTOM_WEBAUTH type webauth custom-page login device flash:login_page.htm custom-page success device flash:success_page.htm custom-page failure device flash:fail_page.htm custom-page login expired device flash:expire_page.htm ! policy-map type control subscriber CUSTOM_WEBAUTH event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CUSTOM_WEB retries 2 retry-time 0
次にの例は、同意のための名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。
parameter-map type webauth CONSENT type consent ! ip access-list extended GUEST_ACL permit ip any 172.30.30.0 0.0.0.255 permit ip any host 172.20.249.252 ! service-template GUEST_POLICY access-group GUEST_ACL ! policy-map type control subscriber CONSENT event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CONSENT event authentication-success match-all 10 class always do-until-failure 10 activate service-template GUEST_POLICY
次の例は、同意を伴う Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。
parameter-map type webauth WEBAUTH_CONSENT type webconsent ! ip access-list extended GUEST_ACL permit ip any 172.30.30.0 0.0.0.255 permit ip any host 172.20.249.252 ! service-template GUEST_POLICY access-group GUEST_ACL ! policy-map type control subscriber WEBAUTH_CONSENT event session-started match-all 10 class always do-until-failure 10 authenticate using webauth parameter-map CONSENT event authentication-success match-all 10 class always do-until-failure 10 activate service-template GUEST_POLICY
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS コマンド |
|
Identity-Based Networking Services コマンド |
『Cisco IOS Identity-Based Networking Services Command Reference』 |
アドレス解決プロトコル(ARP)コマンド |
|
ARP 設定作業 |
『IP Addressing - ARP Configuration Guide』 |
認証、許可、およびアカウンティング(AAA)の設定作業 |
『Authentication Authorization and Accounting Configuration Guide』 |
AAA コマンド |
『Cisco IOS Security Command Reference』 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
Cisco Common Classification Policy Language ベースのアイデンティティの設定 |
Cisco IOS XE Release 3.2SE |
アイデンティティ制御ポリシーは、指定されたイベントと条件に対応して実行されるアクションを定義します。 導入されたコマンド:activate(policy-map action)、authenticate using、authentication display、authentication-restart、authorize、banner(parameter-map webauth)、class、class-map type control subscriber、clear-authenticated-data-hosts-on-port、clear session、consent email custom-page、deactivate、err-disable、event、logging enabled(parameter-map webauth)、match、max-http-conns、parameter-map type webauth、pause reauthentication、policy-map type control subscriber、protect(policy-map action)、ratelimit init-state-sessions、redirect(parameter-map webauth)、replace、restrict、resume reauthentication、service-policy type control subscriber、set-timer、show access-session、show class-map type control subscriber、show policy-map type control subscriber、terminate、type(parameter-map webauth)、unauthorize、virtual-ip、watch-list。 |
並列認証 |
Cisco IOS XE Release 3.2SE |
802.1x、MAB、および Web 認証方式の並列処理を許可し、1 つのセッションで複数の認証方式を並行して呼び出すことができるようにします。 |
複数の方式に対するユーザごとの非アクティブ化処理 |
Cisco IOS XE Release 3.2SE |
RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)をサポートします。 |