Web ベース認証の概要
Web 認証プロキシと呼ばれる Web ベース認証機能を使用して、IEEE 802.1x サプリカントを実行していないホスト システムでエンド ユーザを認証します。
(注) レイヤ 2 およびレイヤ 3 インターフェイスで Web ベース認証を設定できます。
HTTP セッションを開始するときに、Web ベース認証はホストからの HTTP の入力パケットを代行受信し、ユーザにログイン用 HTML ページを送信します。ユーザは資格情報を入力します。資格情報は、認証のために Web ベース認証機能によって Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバに送信されます。
認証が成功すると、Web ベース認証は Login-Successful の HTML ページをホストに送信し、AAA サーバが返したアクセス ポリシーを適用します。
認証が失敗した場合、Web ベース認証は Login-Fail の HTML ページをユーザに送信し、ユーザにログインを再試行するように求めるプロンプトを表示します。最大試行回数を超えると、Web ベース認証はホストに Login-Expired の HTML ページを転送し、待機期間中はそのユーザをウォッチ リストに配置します。
ここでは、AAA の一部としての Web ベース認証の役割について説明します。
• 「デバイスの役割」
• 「ホストの検出」
• 「セッションの作成」
• 「認証プロセス」
• 「Web 認証のカスタマイズ可能な Web ページ」
• 「Web ベース認証と他の機能の相互作用」
デバイスの役割
Web ベース認証では、ネットワーク上のデバイスに次のような固有の役割があります。
• クライアント :LAN およびサービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、JavaScript を有効にした HTML ブラウザを実行している必要があります。
• 認証サーバ :クライアントを認証します。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうか、またはクライアントを拒否するかをスイッチに通知します。
• スイッチ :クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。
図 10-1 にネットワーク内のデバイスの役割を示します。
図 10-1 Web ベース認証におけるデバイスの役割
ホストの検出
スイッチは、IP デバイス トラッキング テーブルを維持して検出されたホストの情報を格納します。
(注) スイッチでは、デフォルトで IP デバイス トラッキング機能がディセーブルになっています。Web ベース認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。
レイヤ 2 インターフェイスの場合、Web ベース認証では次の 3 つのメカニズムを使用して IP ホストを検出します。
• ARP ベースのトリガ:ARP リダイレクト ACL により、Web ベース認証でスタティック IP アドレスまたはダイナミック IP アドレスを持つホストを検出することができます。
• ダイナミック ARP インスペクション
• DHCP スヌーピング:スイッチがホストの DHCP バインディング エントリを作成するときに Web ベース認証が通知されます。
セッションの作成
Web ベース認証で新しいホストが検出されると、セッションが次のように作成されます。
• 例外リストの確認
ホストの IP が例外リストに含まれている場合、例外リスト エントリのポリシーが適用され、セッションが確立されます。
• 認証バイパスの確認
ホストの IP が例外リストにない場合、Web ベース認証は Nonresponsive-host(NRH; 非応答ホスト)要求をサーバに送信します。
サーバの応答が access accepted である場合、このホストの認可がバイパスされます。そしてセッションが確立されます。
• HTTP 代行受信 ACL の設定
NRH 要求に対するサーバの応答が access rejected である場合、HTTP 代行受信 ACL がアクティブになり、セッションはホストからの HTTP トラフィックを待機します。
認証プロセス
Web ベース認証をイネーブルにすると、次のイベントが発生します。
• ユーザが HTTP セッションを開始します。
• HTTP トラフィックが代行受信され、認可を開始します。スイッチがログイン ページをユーザに送信します。ユーザがユーザ名とパスワードを入力すると、スイッチは認証サーバにエントリを送信します。
• 認証が成功すると、スイッチは認証サーバからそのユーザのアクセス ポリシーをダウンロードし、アクティブにします。ログイン成功のページがユーザに送信されます。
• 認証が失敗した場合、スイッチはログイン失敗のページを送信します。ユーザがログインを再試行します。失敗が最大試行回数になると、スイッチはログインの有効期限切れのページを送信し、そのホストはウォッチ リストに配置されます。ウォッチ リストがタイムアウトすると、ユーザは認証プロセスを再試行できます。
• 認証サーバがスイッチに応答しない場合、および AAA 失敗ポリシーが設定されている場合、スイッチはエラー用のアクセス ポリシーをホストに適用します。ログイン成功のページがユーザに送信されます(「ローカル Web 認証バナー」を参照)。
• ホストがレイヤ 2 インターフェイスの APR プローブに応答しなかったり、ホストがレイヤ 3 インターフェイスでアイドル タイムアウトの時間内にトラフィックを送信しない場合は、スイッチがクライアントを再認証します。
• この機能は、ダウンロードのタイムアウトやローカルに設定されたセッション タイムアウトに適用されます。
• 終了時のアクションが RADIUS の場合、この機能によって Nonresponsive Host(NRH)要求がサーバに送信されます。終了時のアクションはサーバからの応答に含まれます。
• 終了時のアクションがデフォルトの場合、セッションが廃棄され、適用されたポリシーが削除されます。
ローカル Web 認証バナー
Web 認証を使用すると、スイッチへのログイン時に表示されるバナーを作成できます。
バナーはログイン ページと認証結果のポップアップ ページの両方に表示されます。
• Authentication Successful
• Authentication Failed
• Authentication Expired
ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドを使用して、バナーを作成できます。ログイン ページに表示されるデフォルトのバナーは、Cisco Systems および Switch ホスト名 Authentication です。Cisco Systems のバナーは、図 10-2 のように認証結果のポップアップ ページに表示されます。
図 10-2 Authentication Successful のバナー
バナーは図 10-3 のようにカスタマイズすることもできます。
• ip admission auth-proxy-banner http banner-text グローバル コンフィギュレーション コマンドを使用して、スイッチ、ルータ、または会社名をバナーに追加します。
• ip admission auth-proxy-banner http file-path グローバル コンフィギュレーション コマンドを使用して、ロゴまたはテキスト ファイルをバナーに追加します。
図 10-3 カスタマイズした Web バナー
バナーを有効にしない場合、ユーザ名とパスワードのダイアログ ボックスだけが Web 認証ログイン画面に表示されます。スイッチへのログイン時にバナーは表示されません( 図 10-4 を参照)。
図 10-4 バナーのないログイン画面
「Web 認証ローカル バナーの設定」を参照してください。
Web 認証のカスタマイズ可能な Web ページ
Web ベース認証のプロセスでは、スイッチの内部 HTTP サーバに 4 つの HTML ページがホストされ、認証するクライアントに提供されます。サーバは、これらのページを使用して、次の 4 つの認証プロセスの状態を通知します。
• ログイン:資格情報が要求されます。
• 成功:ログインに成功しました。
• 失敗:ログインに失敗しました。
• 期限切れ:ログインに失敗した回数が制限を超えたため、ログイン セッションの期限が切れました。
注意事項
• デフォルトの内部 HTML ページの代わりに独自の HTML ページを使用できます。
• ログイン、成功、失敗、および期限切れのページにロゴを使用したり、テキストを指定できます。
• バナー ページには、ログイン ページのテキストを指定できます。
• ページは HTML 形式です。
• 成功ページには、特定の URL にアクセスする HTML リダイレクト コマンドを挿入する必要があります。
• その URL 文字列は有効な URL(http://www.cisco.com など)である必要があります。不完全な URL を使用すると、Web ブラウザに「ページが見つかりません」などが表示される場合があります。
• HTTP 認証の Web ページを設定する場合、そのページには適切な HTML コマンドを挿入する必要があります(たとえば、ページのタイムアウトの設定、パスワードを非表示にする設定、同じページが 2 回送信されないようにする設定など)。
• 設定済みのログイン形式がイネーブルの場合、ユーザを特定の URL にリダイレクトする CLI コマンドを使用できません。管理者はリダイレクトが Web ページ内に設定されていることを確認する必要があります。
• 認証が発生した後にユーザを特定の URL にリダイレクトする CLI コマンドが入力され、その後に Web ページを設定するコマンドが入力された場合、ユーザを特定の URL にリダイレクトする CLI コマンドは有効になりません。
• 設定された Web ページをスイッチのブート フラッシュまたはフラッシュにコピーできます。
• 設定されたページは、スタック マスターまたはメンバーのフラッシュからアクセスできます。
• ログイン ページをあるフラッシュに配置し、成功および失敗ページを別のフラッシュ(スタック マスターまたはメンバーのフラッシュなど)に配置できます。
• 4 つのページすべてを設定する必要があります。
• Web ページでバナー ページを設定した場合、そのバナー ページは影響を受けません。
• システム ディレクトリ(フラッシュ、disk0、またはディスク)に格納されたすべてのロゴ ファイル(イメージ、フラッシュ、音声、ビデオなど)、およびログイン ページに表示する必要があるすべてのロゴ ファイルは、ファイル名に web_auth_<filename> を使用する必要があります。
• 設定する認証プロキシ機能では、HTTP と SSL の両方をサポートします。
図 10-5に示すように、デフォルトの内部 HTML ページを独自の HTML ページで置き換えることができます。また、認証が発生した後にユーザがリダイレクトされる URL を指定することもできます。これは、内部の成功ページと置き換えられます。
図 10-5 カスタマイズ可能な認証ページ
詳細については、「認証プロキシの Web ページのカスタマイズ」を参照してください。
ポート セキュリティ
同じポート上で Web ベース認証とポート セキュリティを設定できます。Web ベース認証はポートを認証し、ポート セキュリティはクライアントを含むすべての MAC アドレスのネットワーク アクセスを管理します。この場合、そのポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
ポート セキュリティをイネーブルにする場合の詳細については、「ポート セキュリティの設定」を参照してください。
LAN ポート IP
同じポート上に LAN port IP(LPIP; LAN ポート IP)およびレイヤ 2 の Web ベース認証を設定できます。最初に Web ベース認証を使用してホストが認証され、その後に LPIP ポスチャの検証が行われます。LPIP のホスト ポリシーは Web ベース認証のホスト ポリシーよりも優先されます。
Web ベース認証のアイドル タイマーの期限が切れると、NAC ポリシーが削除されます。ホストが認証され、ポスチャが再び検証されます。
ゲートウェイ IP
Web ベース認証が VLAN のスイッチ ポートに設定されている場合、レイヤ 3 の VLAN インターフェイスに Gateway IP(GWIP; ゲートウェイ IP)を設定できません。
ゲートウェイ IP と同じレイヤ 3 インターフェイスに Web ベース認証を設定できます。両方の機能のホスト ポリシーがソフトウェアに適用されます。GWIP ポリシーは Web ベース認証のホスト ポリシーより優先されます。
ACL
VLAN ACL または Cisco IOS ACL をインターフェイスに設定する場合、Web ベース認証のホスト ポリシーが適用された後に限り、ACL がホスト トラフィックに適用されます。
レイヤ 2 の Web ベース認証の場合、ポートに接続されたホストからの入力トラフィックのデフォルト アクセス ポリシーとして、Port ACL(PACL; ポート ACL)を設定する必要があります。認証後は、Web ベース認証のホスト ポリシーが PACL よりも優先されます。
MAC ACL と Web ベース認証は同じインターフェイスに設定できません。
VACL キャプチャ用にアクセス VLAN が設定されているポートに Web ベース認証を設定できません。
コンテキストベース アクセス コントロール
Context-based Access Control(CBAC; コンテキストベース アクセス コントロール)がポート VLANのレイヤ 3 VLAN インターフェイスに設定されている場合、Web ベース認証をレイヤ 2 ポートに設定できません。
802.1X 認証
フォールバック認証メソッドである場合を除き、802.1x 認証と同じポートに Web ベース認証を設定できません。
EtherChannel
レイヤ 2 EtherChannel インターフェイスに Web ベース認証を設定できます。Web ベース認証の設定はすべてのメンバー チャネルに適用されます。
Web ベース認証の設定
• 「Web ベース認証のデフォルト設定」
• 「Web ベース認証設定時の注意事項および制約事項」
• 「Web ベース認証の設定のタスク リスト」
• 「認証ルールとインターフェイスの設定」
• 「AAA 認証の設定」
• 「スイッチから RADIUS サーバへの通信のコンフィギュレーション」
• 「HTTP サーバの設定」
• 「Web ベース認証のパラメータの設定」
• 「Web ベース認証のキャッシュ エントリの削除」
Web ベース認証のデフォルト設定
表 10-1 に、Web ベース認証のデフォルト設定を示します。
表 10-1 Web ベース認証のデフォルト設定
|
|
AAA |
ディセーブル |
RADIUS サーバ • IP アドレス • UDP 認証ポート • 鍵 |
無活動タイムアウトのデフォルト値 |
3600 秒 |
無活動タイムアウト |
イネーブル |
Web ベース認証設定時の注意事項および制約事項
• Web ベース認証は入力するだけの機能です。
• Web ベース認証はアクセス ポートにだけ設定できます。トランク ポート、EtherChannel メンバー ポート、またはダイナミック トランク ポートでは Web ベース認証をサポートしていません。
• Web ベース認証を設定する前に、デフォルトの ACL をインターフェイスに設定する必要があります。レイヤ 2 インターフェイスのポート ACL を設定するか、レイヤ 3 インターフェイスの Cisco IOS ACL を設定します。
• レイヤ 2 インターフェイスでは、スタティック ARP キャッシュ割り当てのあるホストを認証できません。これらのホストは ARP メッセージを送信しないため、Web ベース認証の機能では検出されません。
• スイッチでは、デフォルトで IP デバイス トラッキング機能がディセーブルになっています。Web ベース認証を使用するには、IP デバイス トラッキング機能をイネーブルにする必要があります。
• スイッチの HTTP サーバを実行するには、少なくとも 1 つの IP アドレスを設定する必要があります。また、各ホストの IP アドレスに到達するためのルートを設定する必要があります。HTTP サーバが HTTP ログイン ページをユーザに送信します。
• STP トポロジが変更されたためにホスト トラフィックが別のポートに到着した場合、複数ホップ離れているホストはトラフィックが中断する可能性があります。これは、レイヤ 2(STP)トポロジの変更後に ARP および DHCP のアップデートが送信されていない可能性があるために発生します。
• Web ベース認証はダウンロード ホストのポリシーとして VLAN 割り当てをサポートしていません。
• Web ベース認証は IPv6 トラフィックをサポートしていません。
認証ルールとインターフェイスの設定
|
|
ステップ 1 |
ip admission name name proxy http |
Web ベース認可の認証ルールを設定します。 |
ステップ 2 |
interface type slot/port |
インターフェイス コンフィギュレーション モードを開始し、入力にレイヤ 2 またはレイヤ 3 インターフェイスを指定して、Web ベース認証をイネーブルにします。 type には fastethernet、gigabitethernet、または tengigabitethernet を使用できます。 |
ステップ 3 |
ip access-group name |
デフォルトの ACL を適用します。 |
ステップ 4 |
ip admission name |
指定したインターフェイスに Web ベース認証を設定します。 |
ステップ 5 |
exit |
コンフィギュレーション モードに戻ります。 |
ステップ 6 |
ip device tracking |
IP デバイス トラッキング テーブルをイネーブルにします。 |
ステップ 7 |
end |
特権 EXEC モードに戻ります。 |
ステップ 8 |
show ip admission configuration |
設定を表示します。 |
ステップ 9 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ファスト イーサネット ポート 5/1 の Web ベース認証をイネーブルにする方法を示します。
Switch(config)# ip admission name webauth1 proxy http
Switch(config)# interface fastethernet 5/1
Switch(config-if)# ip admission webauth1
Switch(config)# ip device tracking
次に、設定を確認する例を示します。
Switch# show ip admission configuration
Authentication Proxy Banner not configured
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Rule Configuration
http list not specified inactivity-time 60 minutes
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
AAA 認証の設定
|
|
ステップ 1 |
aaa new-model |
AAA 機能をイネーブルにします。 |
ステップ 2 |
aaa authentication login default group { tacacs+ | radius } |
ログイン時の認証方式のリストを定義します。 |
ステップ 3 |
aaa authorization auth-proxy default group { tacacs+ | radius } |
Web ベース認可の認可方法のリストを作成します。 |
ステップ 4 |
tacacs-server host { hostname | ip_address } |
AAA サーバを指定します。RADIUS サーバの場合は、「スイッチから RADIUS サーバへの通信のコンフィギュレーション」を参照してください。 |
ステップ 5 |
tacacs-server key { key-data } |
スイッチと TACACS サーバ間で使用される認可と暗号鍵を設定します。 |
ステップ 6 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、AAA をイネーブルにする例を示します。
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group tacacs+
Switch(config)# aaa authorization auth-proxy default group tacacs+
スイッチから RADIUS サーバへの通信のコンフィギュレーション
RADIUS セキュリティ サーバは、次の内容によって識別されます。
• ホスト名
• ホスト IP アドレス
• ホスト名と特定の UDP ポート番号
• IP アドレスと特定の UDP ポート番号
IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして機能します。RADIUS ホスト エントリは、設定した順序に従って選択されます。
RADIUS サーバ パラメータを設定するには、次のタスクを実行します。
|
|
ステップ 1 |
ip radius source-interface interface_name |
RADIUS のパケットが指定されたインターフェイスの IP アドレスを持つように指定します。 |
ステップ 2 |
radius-server host { hostname | ip-address } test username username |
リモートの RADIUS サーバのホスト名または IP アドレスを指定します。 test username username オプションを使用すると、RADIUS サーバ接続の自動テストを実行できます。指定する username は有効なユーザ名である必要はありません。 key オプションには、スイッチと RADIUS サーバ間の認証と暗号鍵を指定します。 複数の RADIUS サーバを使用するには、各サーバにこのコマンドを繰り返し入力します。 |
ステップ 3 |
radius-server key string |
RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号鍵を設定します。 |
ステップ 4 |
radius-server vsa send authentication |
RADIUS サーバからの ACL のダウンロードをイネーブルにします。この機能は、Cisco IOS Release 12.2(50)SG でサポートされています。 |
ステップ 5 |
radius-server dead-criteria tries num-tries |
サーバが非アクティブであると見なす前に、RADIUS サーバに送信された応答のないメッセージの数を指定します。指定できる num-tries の範囲は 1 ~ 100 です。 |
RADIUS サーバ パラメータを設定する場合は、次の点に注意してください。
• key string は別のコマンドラインに指定します。
• key string には、 スイッチ と RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUS サーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。
• key string を指定する場合、鍵の中間および末尾にスペースを使用します。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。
• すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout 、 radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL の『 Cisco IOS Security Configuration Guide , Release 12.2』および『 Cisco IOS Security Command Reference , Release 12.2』を参照してください。
http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html
(注) RADIUS サーバでも、スイッチの IP アドレス、サーバとスイッチの両方が共有するキー ストリング、Downloadable ACL(DACL; ダウンロード ACL)など、いくつかの値を設定する必要があります。詳細については、RADIUS サーバのマニュアルを参照してください。
次に、スイッチで RADIUS サーバ パラメータを設定する例を示します。
Switch(config)# ip radius source-interface Vlan80
Switch(config)# radius-server host 172.l20.39.46 test username user1
Switch(config)# radius-server key rad123
Switch(config)# radius-server dead-criteria tries 2
HTTP サーバの設定
Web ベース認証を使用するには、スイッチで HTTP サーバをイネーブルにする必要があります。サーバでは HTTP または HTTPS のいずれかをイネーブルにできます。
|
|
|
ip http server |
HTTP サーバをイネーブルにします。Web ベース認証機能では、HTTP サーバを使用してユーザ認証用のホストと通信します。 |
ステップ 2 |
ip http secure-server |
HTTPS をイネーブルにします。 |
認証プロキシのカスタム Web ページを設定したり、ログインが成功した場合のリダイレクション URL を指定できます。
(注) ip http secure-secure コマンドを開始する場合にセキュア認証を使用するには、ユーザが HTTP 要求を送信した場合でもログイン ページには常に HTTPS(セキュア HTTP)を使用します。
• 認証プロキシの Web ページのカスタマイズ
• ログインが成功した場合のリダイレクション URL の指定
認証プロキシの Web ページのカスタマイズ
Web ベース認証を実行中に表示するスイッチのデフォルトの HTML ページの代わりに、ユーザに別の 4 つの HTML ページを表示するように Web 認証を設定できます。
認証プロキシのカスタム Web ページを使用するように指定するには、最初にカスタム HTML ファイルをスイッチのフラッシュ メモリに格納し、このタスクをグローバル コンフィギュレーション モードで実行します。
|
|
ステップ 1 |
ip admission proxy http login page file device:login-filename |
デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルがあるスイッチ メモリ ファイル システムの場所を指定します。 device: はフラッシュ メモリを表します。 |
ステップ 2 |
ip admission proxy http success page file device:success-filename |
デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 |
ステップ 3 |
ip admission proxy http failure page file device:fail-filename |
デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 |
ステップ 4 |
ip admission proxy http login expired page file device:expired-filename |
デフォルトのログイン期限切れページの代わりに使用するカスタム HTML ファイルの場所を指定します。 |
認証プロキシのカスタマイズされた Web ページを設定する際には、次の注意事項に従ってください。
• カスタム Web ページ機能をイネーブルにするには、4 つすべてのカスタム HTML ファイルを指定します。指定されたページが 4 つより少ない場合、内部のデフォルトの HTML ページが使用されます。
• 4 つのカスタム HTML ファイルは、スイッチのフラッシュ メモリに存在する必要があります。各 HTML ファイルの最大サイズは、8 KB です。
• カスタム ページのイメージは、アクセス可能な HTTP サーバ上に存在する必要があります。管理ルールに代行受信 ACL を設定します。
• カスタム ページからの外部リンクには、管理ルールに代行受信 ACL を設定する必要があります。
• 有効な DNS サーバにアクセスする場合に、外部リンクまたはイメージに必要な名前解決を行うには、管理ルールに代行受信 ACL を設定する必要があります。
• カスタム Web ページ機能がイネーブルの場合、設定された auth-proxy-banner は使用されません。
• カスタム Web ページ機能がイネーブルの場合、ログインが成功した場合のリダイレクション URL 機能は使用できません。
• カスタム ファイルの指定を削除するには、コマンドの no 形式を使用します。
カスタムのログイン ページはパブリックな Web フォームであるため、次の注意事項を考慮してください。
• ログイン フォームではユーザ名とパスワードのユーザ エントリを受け入れる必要があります。また、ユーザ名とパスワードを uname および pwd として表示する必要があります。
• カスタムのログイン ページは、ページのタイムアウト、パスワードの非表示、送信の重複の防止など、Web フォームのベスト プラクティスに従う必要があります。
次に、認証プロキシのカスタムの Web ページを設定する例を示します。
Switch(config)# ip admission proxy http login page file flash:login.htm
Switch(config)# ip admission proxy http success page file flash:success.htm
Switch(config)# ip admission proxy http fail page file flash:fail.htm
Switch(config)# ip admission proxy http login expired page flash flash:expired.htm
次に、認証プロキシのカスタムの Web ページの設定を確認する例を示します。
Switch# show ip admission configuration
Authentication proxy webpage
Login page : flash:login.htm
Success page : flash:success.htm
Fail Page : flash:fail.htm
Login expired Page : flash:expired.htm
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
ログインが成功した場合のリダイレクション URL の指定
認証後にユーザをリダイレクトする URL を指定して、内部の成功 HTML ページを効率的に置き換えることができます。
|
|
ip admission proxy http success redirect url-string |
デフォルトのログイン成功ページの代わりに、ユーザをリダイレクトする URL を指定します。 |
ログインが成功した場合のリダイレクション URL を設定する場合は、次の注意事項に従ってください。
• 認証プロキシのカスタム Web ページ機能がイネーブルの場合、リダイレクション URL 機能はディセーブルになり、CLI で使用できません。カスタムのログイン成功ページではリダイレクションを実行できます。
• リダイレクション URL 機能がイネーブルの場合、設定された auth-proxy-banner は使用されません。
• リダイレクション URL の指定を削除するには、コマンドの no 形式を使用します。
次に、ログインが成功した場合のリダイレクション URL を設定する例を示します。
Switch(config)# ip admission proxy http success redirect www.cisco.com
次に、ログインが成功した場合のリダイレクション URL を確認する例を示します。
Switch# show ip admission configuration
Authentication Proxy Banner not configured
Customizable Authentication Proxy webpage not configured
HTTP Authentication success redirect to URL: http://www.cisco.com
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Max HTTP process is 7
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
AAA 失敗ポリシーの設定
|
|
ステップ 1 |
ip admission name rule-name proxy http event timeout aaa policy identity identity_policy_name |
AAA サーバが到達不能である場合にセッションに適用する AAA 失敗ポリシーを作成して、アイデンティティ ポリシーを関連付けます。 グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 2 |
ip admission ratelimit aaa-down number_of_sessions |
(任意)AAA ダウン ステートの場合に、ホストから試行する認証のレートを制限し、サービスに返されるときに AAA サーバがフラッディングするのを回避します。 |
次に、AAA 失敗ポリシーを適用する例を示します。
Switch(config)# ip admission name AAA_FAIL_POLICY proxy http event timeout aaa policy identity GLOBAL_POLICY1
次に、接続されたホストが AAA ダウン ステートであるかどうかを判断する例を示します。
Switch# show ip admission cache
Authentication Proxy Cache
Client IP 209.165.201.11 Port 0, timeout 60, state ESTAB (AAA Down)
次に、ホストの IP アドレスに基づいて特定のセッションの詳細情報を表示する例を示します。
Switch# show ip admission cache 209.165.201.11
MAC Address : 0000.0000.0000
AAA Down policy : AAA_FAIL_POLICY
Web ベース認証のパラメータの設定
待機期間にクライアントがウォッチリストに配置される前に、ログイン試行の失敗の最大回数を設定できます。
|
|
ステップ 1 |
ip admission max-login-attempts number |
ログイン試行の失敗の最大回数を設定します。指定できる範囲は 1 ~ 2147483647 回です。デフォルトは 5 です。 |
ステップ 2 |
end |
特権 EXEC モードに戻ります。 |
ステップ 3 |
show ip admission configuration |
認証ポリシーの設定を表示します。 |
ステップ 4 |
show ip admission cache |
認証エントリのリストを表示します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ログイン試行の失敗の最大回数を 10 回に設定する例を示します。
Switch(config)# ip admission max-login-attempts 10
Web 認証ローカル バナーの設定
Web 認証を設定したスイッチにローカル バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip admission auth-proxy-banner http [banner-text | file-path] |
ローカル バナーをイネーブルにします。 (任意)C banner-text C を入力し、カスタム バナーを作成します。C は、バナーに表示されるファイルのファイル パスを示しています(ロゴまたはテキスト ファイルなど)。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、カスタム メッセージ My Switch を表示するローカル バナーを設定する例を示します。
Switch(config) configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa ip auth-proxy auth-proxy-banner C My Switch C
ip auth-proxy auth-proxy-banner コマンドの詳細については、Cisco.com にアクセスして『Cisco IOS Security Command Reference』の「Authentication Proxy Commands」セクションを参照してください。
Web ベース認証のキャッシュ エントリの削除
|
|
clear ip auth-proxy cache { * | host ip address } |
認証プロキシのエントリを削除します。すべてのキャッシュ エントリを削除するには、アスタリスクを使用します。1 つのホストのエントリを削除するには、特定の IP アドレスを入力します。 |
clear ip admission cache { * | host ip address } |
認証プロキシのエントリを削除します。すべてのキャッシュ エントリを削除するには、アスタリスクを使用します。1 つのホストのエントリを削除するには、特定の IP アドレスを入力します。 |
次に、IP アドレスが 209.165.201.1 のクライアントの Web ベース認証のセッションを削除する例を示します。
Switch# clear ip auth-proxy cache 209.165.201.1