Web ベース プロキシ認証の設定
この章では、Catalyst 6500 シリーズ スイッチ上で Web ベース プロキシ認証を設定する手順について説明します。
(注) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。
(注) IEEE 802.1X 認証の設定については、「802.1X 認証の設定」を参照してください。
(注) MAC(メディア アクセス制御)アドレス認証バイパスの設定については、「MAC 認証バイパスの設定」を参照してください。
(注) イーサネット、ファスト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合に、ポート セキュリティ機能を使用してポートへのアクセスをブロックする手順については、「ポート セキュリティの設定」を参照してください。また、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングする場合に、ポート セキュリティ機能を使用する手順についても説明します。
(注) Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチの CLI(コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法については、「AAA によるスイッチ アクセスの設定」を参照してください。
この章で説明する内容は、次のとおりです。
• 「Web ベース プロキシ認証の機能概要」
• 「他の機能との相互作用」
• 「Web ベース プロキシ認証のデフォルト設定」
• 「Web ベース認証時の注意事項および制限事項」
• 「Web ベース プロキシ認証の設定」
Web ベース プロキシ認証の機能概要
Catalyst 6500 シリーズ スイッチは、ネットワーク クライアントが IEEE 802.1X ホストをサポートしない場合、Web ベース プロキシ認証を行います。Web ベース プロキシ認証では、フロントエンド システムの標準 Web ベース インターフェイス(HTTP/HTTPS)を介して、クライアント ID および証明書入力の認証を行います。
802.1X ポートベース認証では、LAN およびスイッチのサービスにアクセスし、スイッチからの要求に応答するために、 要求元 が必要です。
(注) 802.1X では、クライアントまたはホストに対して要求元という用語を使用します。Catalyst 6500 シリーズ CLI の構文ではホストが使用されるので、このマニュアルでは、要求元ではなくホストを使用します。
Web ベース プロキシ認証では、すべての 802.1X 認証をサポートし、ホスト非対応クライアントのサポートを提供します。
802.1X 認証については、「802.1X 認証の設定」の章を参照してください。
ここでは、Web ベース プロキシ認証機能について説明します。
• 「デバイスの役割」
• 「認証の開始とメッセージ交換」
デバイスの役割
Web ベース プロキシ認証は、標準の Web ベース インターフェイスを介して認証を行います(図41-1 を参照)。
図41-1 デバイス統合 Web ベース プロキシ認証
ホスト(要求元) ― Web ベース プロキシ認証をイネーブルにすると、ホストは LAN およびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答できるようになります。
スイッチ ― ホストが Web ベース プロキシ認証がイネーブルなスイッチ ポートに接続している場合、 Network Access Device(NAD)または Catalyst 6500 シリーズ スイッチは、すべての HTML ページをホスティングします。ログイン Web ページは、ローカル ファイル システムまたは外部 Web サーバでホスティングされます。ホストが IP アドレスを受信すると、Web ブラウザが開かれます。HTTP パケットが代行受信されると、Catalyst 6500 シリーズ スイッチはホストとの TCP 接続を確立し、ログイン Web ページを送信するか(ログイン Web ページがスイッチ上でローカルに保管されている場合)、または URL が外部ログイン Web ページの URL のロケーションにクライアントをリダイレクトします。外部 Web サーバから直接ログイン ページをダウンロードできます。
証明書(ユーザ名、パスワード、およびその他のオプションを含む)は、ホストで入力されます。次に、ホストはそのページを提出します。Catalyst 6500 シリーズ スイッチは、この HTTP POST 要求を代行受信して、接続を確立し、POST 要求を取り込みます。Catalyst 6500 シリーズ スイッチは POST 要求を取り込むと、Web ページを処理して証明書を抽出します。
認証サーバ ― サーバはホストの ID を確認し、このホストが LAN およびスイッチ サービスへのアクセスを許可されているかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはホストにトランスペアレントです。Extensible Authentication Protocol(EAP)拡張機能搭載の Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムが唯一のサポート対象認証サーバです。Cisco Secure Access Control Server バージョン 3.0 で利用できます。RADIUS は、RADIUS サーバと 1 つまたは複数の RADIUS クライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。
認証の開始とメッセージ交換
ホストは、Web 認証を実行する必要があるスイッチ ポートと接続されます。ホストが IP アドレスを受信すると、Web ブラウザが開かれます。HTTP パケットが代行受信されると、NAD はホストとの TCP 接続を確立し、ログイン Web ページを送信するか(ログイン Web ページがスイッチ上でローカルに保管されている場合)、または URL が外部ログイン Web ページの URL のロケーションにクライアントをリダイレクトして、クライアントが外部 Web サーバから直接ログイン ページをダウンロードできるようにします。
証明書(ユーザ名、パスワード、およびその他のオプションを含む)は、ホストから入力および提出できます。NAD はこの情報を代行受信して、接続を確立し、要求を取り込みます。次に、NAD は Web ページ情報を処理して、外部 Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバ(RADIUS)により認証される証明書を抽出します。次のように、NAD は認証結果に基づいて、クライアントに認証成功または認証失敗のページを送信します。
• 認証が成功した場合、NAD はこのホストの RADIUS から受信した新しいポリシー グループにより Policy-based ACL(PBACL)を更新します。URL は、クライアントが最初にアクセスしようとした URL にクライアントをリダイレクトします。
• 認証が失敗した場合、NAD はホストにログイン失敗 Web ページを送信します。ここでは、ログイン失敗フィールドおよび入力フィールドが示されます。外部のログイン失敗ページが指定される場合、NAD URL はログイン失敗ページのロケーションにクライアントをリダイレクトします。
ログインまたはログイン失敗ページが外部の Web サーバを示す場合、ホストが認証される前でも、デフォルト ポリシーによりこの Web サーバへの HTTP アクセスが許可されます。
(注) デフォルト ポリシーが HTTP アクセスおよび外部ページを許可しない場合は、クライアントはこれらの Web ページをダウンロードできず、Web ベース プロキシ認証は機能しません。
ログイン/ログイン失敗ページには、NAD が処理するようプログラミングされているユーザ名、パスワード、およびその他のフィールドと同じ変数名と変数タイプが含まれます。デフォルト ページは、NAD 上でログイン ファイルが設定されていない場合に使用されます。
最初のログイン ページは、HTTP および HTTPS を使用して送信され、Catalyst 6500 シリーズ スイッチにユーザ証明書を提出するのに使用されます。HTTPS 機能が完全に動作可能となるまで、証明書転送には HTTP が使用されます。
認証開始およびメッセージ交換の一連のイベントに関しては、図41-2 を参照してください。
図41-2 認証の開始とメッセージ交換
ホスト検出および HTTP トラフィックの代行受信
Address Resolution Protocol(ARP; アドレス解決プロトコル)検査は、割り当てられたスタティックな IP アドレスによりホストのアドレスを指定するのに使用されます。ARP 検査が Web 認証ポート上で任意の ARP 要求を受信すると、Web ベース プロキシ認証がホスト IP アドレス用にトリガーされます。Web ベース プロキシ認証が動作可能なポート上でイネーブルの場合、Web ベース プロキシ認証が Dynamic Host Configuration Protocol(DHCP)スヌーピング テーブル内のすべての IP アドレスで開始されます。DHCP スヌーピング エントリが存在しない場合、DHCP スヌーピング エントリが作成されるか、または ARP 要求が受信されるまで、Web ベース プロキシ認証はトリガーされません。
ホストが検出されると、ホストからの HTTP トラフィックは代行受信され、スーパバイザ エンジンにリダイレクトされます。このプロセスは、URL リダイレクションともいいます。URL リダイレクションを設定するには、 permit url-redirect コマンドを入力して、Access Control List(ACL; アクセス制御リスト)を設定し、スーパバイザ エンジンにすべての TCP ポート 80 およびポート 8080 の着信トラフィックをリダイレクトする必要があります。 permit url-redirect コマンドにより、すべての TCP ポート 80 およびポート 8080 のトラフィックがスーパバイザ エンジンにリダイレクトされます。
この Access Control Entry(ACE; アクセス制御エントリ)によりポート/ポート VLAN にマッピングされる任意の ACL は、ACE 基準に一致するすべての HTTP/HTTPS プロトコル パケットをスーパバイザ エンジンにリダイレクトします。
この ACE を設定せずに、Web ベース プロキシ認証をイネーブルにすると、HTTP/HTTPS パケットは代行受信されず、認証は開始されません。この場合、ホスト トラフィックはポート/VLAN 上に設定されたデフォルト ポリシーにより制御されます。
Web ベース プロキシ認証では、新しいホストが検出されると、ソフトウェアを介して URL リダイレクションを通知し、代行受信された HTTP パケットにコールバック機能を提供します。
アクセス制御
アクセス制御は、PBACL により提供されます。PBACL を使用して、代行受信、デフォルト、およびホスト固有の ACL を設定できます。
PBACL は、VLAN にマッピングされます。VLAN 内のすべてのポートは、PBACL よってのみデフォルト アクセスが指定されています。
(注) VLAN 内のすべてのポート上で、Web ベース プロキシ認証をイネーブルにすることを推奨します。
ログイン ページ
ログイン ページは、クライアント側で最初の URL 代行受信への応答として表示されます。Web ベース プロキシ認証は、カスタマイズされたログイン ページをサポートします。カスタマイズされたログイン ページには、ログイン ページの URL(HTTP のみ)が必要です。ログイン ページには、次のフィールドが含まれます。
• ユーザ名 ― 文字列
• パスワード ― 文字列
• 次のオプション付きオプション ボタン
–I have a registered account(登録済みアカウントがある)
–I have a Guest account(ゲスト アカウントがある)
–I don't have an account(アカウントがない)
(注) スイッチが HTTPS プロトコルをサポートしている場合、ログイン ページの送信ボタンは HTTPS URL を示します。スイッチが HTTPS をサポートしていない場合、ログイン ページは HTTP URL を示します。
カスタマイズされたログイン ページが指定されない場合、デフォルトのログイン ページが送信されます。
成功ページ
成功ページは、認証成功後に表示されます。成功ページは、最初にアクセスを試みた URL にクライアント ブラウザを自動的にリダイレクトする自動リダイレクション ページです。
ログイン失敗ページ
ログイン失敗ページには、認証失敗についての情報が含まれます。ここでは、認証失敗の場合に証明書を再入力できます。ログイン失敗ページには、ログイン ページのすべてのフィールドおよび認証失敗についての情報が含まれます。
(注) 誤ったユーザ名/パスワードを入力したり、[I don't have an account] オプションを選択したり、スイッチでこのオプションのデフォルト ポリシーが設定されていない場合、認証失敗が発生する可能性があります。
カスタマイズされたログイン失敗ページが指定されない場合、デフォルトのログイン失敗ページが表示されます。
ポートごとに複数のホスト
Web ベース プロキシ認証では、ポート上で確認されるすべてのホスト(IP アドレス)を認証します。ポート上でサポートされるホストの最大数は、32 です。
ポート上で確認されたすべての新しいホストには、新しい Web ベース プロキシ認証ステートが作成されます。複数の DHCP バインディングがすでに作成されているポート上で、Web ベース プロキシ認証をイネーブルにした場合、すべての IP アドレスに対して Web ベース プロキシ認証が初期化されます。
ハイ アベイラビリティ
Web ベース プロキシ認証はハイ アベイラビリティをサポートします。認証済みホストからの情報だけが、スタンバイ スーパバイザ エンジンに同期化されます。スイッチオーバー時は、すべての認証済みホストは認証されたままです。認証されないホストまたは認証実行中のホストからの通知は、同期化されません。Web ベース プロキシ認証では、スイッチオーバー時にこれらのホストを初期化するため、認証が再起動します。
たとえば、証明書を入力し、ログイン ページを提出し、スイッチが RADIUS に 証明書を送信して応答を待機している場合に、スイッチオーバーが発生すると、入力した証明書は失われ、任意の URL にアクセスを試みた際にログイン ページがホストに再送されます。証明書を再入力する必要があります。
ホスト ステート
ホストのステートによって、ホストがネットワーク アクセスを許可されているかどうかがわかります。ホスト ステートは、次のとおりです。
• 初期化 ― このホストの IP アドレスが、ホストからスーパバイザ エンジンへ任意の HTTP パケットをリダイレクトする URL リダイレクションに登録されている場合に発生します。最初の HTTP パケットを代行受信すると、ホスト ステートは接続ステートに変更されます。
• 接続 ― ログイン ページがクライアントに表示され、クライアントからの応答を待機する際に発生します。ホストが HTTP POST 応答を受信すると、ホスト ステートは認証ステートに変更されます。
• 認証 ― ホストの応答(HTTP POST メッセージ)が処理され、証明書を抽出できる場合に発生します。証明書は外部 RADIUS サーバにより、次のように認証されます。
–HTTP 応答が失敗した場合、ステートは解析エラー ステートに変更されます。たとえば、指定の外部ログイン ページが、スイッチが処理するようプログラミングされている変数/フィールド名に適合しなければ、このステートは発生します。
–認証が成功した場合、ステートは認証済みステートに変更されます。認証が失敗して、再試行カウントが最大設定値より少ない場合、ステートは認証失敗ステートまたは保留ステートに変更されます。
–認証済み ― 認証成功時に発生します。認証済みステートでは、RADIUS 属性が処理され、ポリシーはホストに適用され、戻されます。HTTP パケットは代行受信されず、スーパバイザ エンジンにリダイレクトされません。セッション タイマーが満了すると、ステートはセッションタイムアウト ステートに変更されます。
–認証失敗 ― RADIUS が許可/拒否ページまたはログイン失敗ページに認証失敗情報を組み込んで送信すると、発生します。
–解析エラー ― HTTP POST メッセージからユーザ証明書を抽出できない場合に発生します。NAD 内部に保存されている標準のログイン ページが、クライアントに送信されます。ホストが HTTP POST 応答を受信すると、ステートは認証ステートに変更されます。
–セッションタイムアウト ― セッション タイマーの満了時に発生します。ユーザ ポリシーは削除され、ステートは初期化ステートに変更されます。
–保留 ― 認証再試行カウントが、設定された最大再試行数を超過した場合に発生します。HTTP パケットは、代行受信されません。ポートの初期化および DHCP バインディングの取り消しにより、保留ステートの指示は解除されます。
他の機能との相互作用
Web ベース プロキシ認証は、次の機能と相互作用します。
• DHCP スヌーピング ― 同じポート/VLAN 上で、Web ベース プロキシ認証と DHCP スヌーピングをイネーブルにできます。Web ベース プロキシ認証用のデフォルト ACL には、DHCP スヌーピングを許可する ACE が含まれます。DHCP スヌーピング バインディングを作成すると、Web ベース プロキシ認証がトリガーされます。
• Dynamic ARP Inspection(DAI) ― 同じポート/VLAN 上で、Web ベース プロキシ認証と DAI をイネーブルにできます。デフォルトの ACL では、ARP 検査を許可する ACE が必要です。ホストには、スタティックな IP アドレスが設定されています。ARP 検査により、Web ベース プロキシ認証がトリガーされます。
• IP Souce Guard(IPSG) ― 同じポート上で、Web ベース プロキシ認証と IPSG をイネーブルにできます。IPSG はアクセス ポリシーに PACL を使用します。一方、Web ベース プロキシ認証はアクセス ポリシーに PBACL を使用します。IPSG を Web ベース プロキシ認証と連動させるには、ポート ACL をマージ モードにする必要があります。
• 802.1X ― Web ベース プロキシ認証と 802.1X は独立した ID 認証プロトコルで、レイヤ 2 で 802.1X を、レイヤ 3 で Web ベース認証を行います。Web ベース プロキシ認証を 802.1X と同時にイネーブルにできます。ポート上に Web ベース プロキシ認証および 802.1X を設定すると、ポートは 802.1X を使用して認証しようとします。認証の成功後、RADIUS からポリシーを受け取ります。ポリシーがすべての Web(HTTP/HTTPS)トラフィックを許可する場合、Web ベース プロキシ認証は実行されません。802.1X ポリシーが Web トラフィックを許可する場合、ホストは認証されません。802.1X ポリシーが Web トラフィックを許可しない場合に、ホストがポリシーで許可されていない最初の HTTP/HTTPS パケットを送信すると、Web ベース プロキシ認証が実行されます。パケットは、URL リダイレクト ACE により代行受信されます。
• MAC 認証バイパス ― MAC 認証バイパスは、MAC アドレスを使用するレイヤ 2 認証です。MAC 認証バイパスでは、実際の認証は行われません。MAC 認証バイパスが設定されたインターフェイス上で、Web ベース プロキシ認証を設定すると、MAC 認証バイパスの完了後、Web ベース プロキシ認証が実行されます。MAC 認証バイパスは、VLAN にポートを追加し、DHCP により IP アドレスを取得します。これにより、Web ベース プロキシ認証がトリガーされます。
• ポート セキュリティ ― ポート上で、ポート セキュリティおよび Web ベース プロキシ認証をイネーブルにすると、ポート セキュリティにより保護されたホストが Web 認証されます。
• Voice VLAN ID(VVID) ― Web ベース プロキシ認証および VVID のサポートは、ポート VLAN ホストに制限されます。
• ゲスト VLAN ― 802.1X 認証または MAC 認証バイパスが終了すると、ポートは 802.1X または MAC 認証バイパスの認証結果に基づいて、ゲスト VLAN に追加されます。ポートは、ゲスト VLAN 内の DHCP を使用して IP アドレスを受け取ります。IP アドレス受信後、Web ベース プロキシ認証が実行されます。
• 認証失敗 VLAN ― Web ベース プロキシ認証および認証失敗 VLAN を同じポート/VLAN 上でイネーブルにできます。
• Network Admission Control(NAC) ― 同じポート/VLAN 上で、Web ベース プロキシ認証と NAC をイネーブルにできます。両方の機能をイネーブルにすると、まず Web ベース プロキシ認証が実行されてから、NAC がトリガーされます。Web ベース プロキシ認証で、認証の再開が決定されると、NAC のホスト ステートが初期化されます。
Web ベース認証時の注意事項および制限事項
ここでは、Web ベース プロキシ認証の設定時の注意事項および制限事項について説明します。
• Web ベース認証は、トランク インターフェイスまたはポートチャネル インターフェイス上でサポートされません。
• PBACL は VLAN にマッピングされるため、VLAN 内のすべてのポートは、PBACL デフォルト ポリシーによりデフォルト アクセスが指定されています。VLAN 内のすべてのポート上で、Web ベース認証をイネーブルにすることを推奨します。
• ポート上で Web ベース プロキシ認証をイネーブルにする前に、次の ACE を使用して VLAN に PBACL をマッピングする必要があります。
–DHCP snooping
–ARP inspection
–Allow DNS
–Policy config
–URL Redirect
–Default policy
• ポート上で Web ベース プロキシ認証をイネーブルにする前に、スタティック IP ホストの ARP 検査をイネーブルにして、スタティック ARP 検査のルールを設定する必要があります。
次に、これらの ACE を使用して一般的な ACL を設定する例を示します。
permit arp-inspection <ip_addr> <hwaddr>
permit udp any eq dns any [permit DNS]
permit tcp any eq domain any [permit DNS w/TCP]
permit ip group Exception ExpServers
permit ip group Engineer EngServers
permit ip group Manager MgrServers
permit ip group Admin any
permit url-redirect [permit URL redirection]
deny ip any any [Default policy]
最初にホストがアップされた際、ホスト IP およびすべてのホスト トラフィックにはポリシーが設定されていません。ただし、デフォルト ポリシーによって制御され、PBACL で設定される HTTP トラフィックは除きます。HTTP トラフィックは、スーパバイザ エンジンにリダイレクトされます。Web ベース プロキシ認証では、DHCP または ARP からのトリガーを受信すると、URL リダイレクションにこの IP を登録します。スーパバイザ エンジン上の URL リダイレクション モジュールはパケットを受信し、これを Web ベース プロキシ認証に伝送します。
認証の成功後、Web ベース プロキシ認証は RADIUS から受信したグループにホスト IP を追加し、PBACL を拡張して、Ternary CAM(TCAM)を更新します。ホスト トラフィックは、ポリシー設定により制御されます。HTTP リダイレクションの ACE は最後なので、ホスト ポリシーがある場合でも、影響されません。ホスト ポリシーが削除されると(セッション タイムアウトを超過したあと)、ホスト トラフィックは再度デフォルト ポリシーにより処理され、HTTP トラフィックはスーパバイザ エンジンにリダイレクトされます。
Web ベース プロキシ認証の設定
ここでは、Web ベース プロキシ認証を設定する手順について説明します。
• 「Web ベース プロキシ認証のグローバルなイネーブル化またはディセーブル化」
• 「ポート上での Web ベース プロキシ認証のイネーブル化またはディセーブル化」
• 「ポート上での Web ベース プロキシ認証の初期化」
• 「ログイン ページ URL の設定」
• 「ログイン失敗ページ URL の設定」
• 「セッション タイムアウト時間の指定」
• 「待機時間の指定」
• 「ログインの最大試行回数の指定」
• 「Web ベース プロキシ認証情報の表示」
Web ベース プロキシ認証のグローバルなイネーブル化またはディセーブル化
Web ベース プロキシ認証を各ポートで設定する前に、システム全体でイネーブルにする必要があります。Web ベース プロキシ認証をグローバルにイネーブルにしたあとで、各ポートに Web ベース プロキシ認証を設定できます。各ポートで Web ベース プロキシ認証をイネーブルにするには、「ポート上での Web ベース プロキシ認証のイネーブル化またはディセーブル化」を参照してください。
Web ベース プロキシ認証をグローバルにイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
Web ベース プロキシ認証をグローバルにイネーブルにします。 |
set web-auth enable |
Web ベース プロキシ認証をグローバルにディセーブルにします。 |
set web-auth disable |
次に、Web ベース プロキシ認証をグローバルにイネーブルにする例を示します。
Console> (enable) set web-auth enable
web-authentication successfully enabled on globally.
次に、Web ベース プロキシ認証をグローバルにディセーブルにする例を示します。
Console> (enable) set web-auth disable
web-authentication successfully disabled on globally.
ポート上での Web ベース プロキシ認証のイネーブル化またはディセーブル化
Web ベース プロキシ認証をグローバルにイネーブルにしたあと、各ポートで Web ベース プロキシ認証をイネーブルにできます。Web ベース プロキシ認証をグローバルにイネーブルにするには、「Web ベース プロキシ認証のグローバルなイネーブル化またはディセーブル化」を参照してください。
(注) Web ベース プロキシ認証をグローバルにディセーブルにした場合、ポート上で Web ベース プロキシ認証は開始されませんが、設定には保存されます。
ポート上で Web ベース プロキシ認証をイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
ポート上で Web ベース プロキシ認証をイネーブルにします。 |
set port web-auth mod/port enable |
ポート上で Web ベース プロキシ認証をディセーブルにします。 |
set port web-auth mod/port disable |
次に、ポート上で Web ベース プロキシ認証をイネーブルにする例を示します。
Console> (enable) set port web-auth 1/1 enable
web-authentication successfully enabled on Interface 1/1.
次に、ポート上で Web ベース プロキシ認証をディセーブルにする例を示します。
Console> (enable) set port web-auth 1/1 disable
web-authentication successfully disabled on Interface 1/1.
ポート上での Web ベース プロキシ認証の初期化
set port web-auth initialize コマンドを使用して、ポートを初期化すると、ポートは最初のステートに戻ります。このステートでは、ホストの IP アドレスが、ホストからスーパバイザ エンジンへ任意の HTTP パケットをリダイレクトする URL リダイレクションに登録されます。
ip_addr 引数を指定する場合、Web ベース プロキシ認証はこのホストに対してのみ初期化されます。 ip_addr 引数を指定しない場合、Web ベース プロキシ認証はすべてのホストに対して初期化されます。
認証用の Web ベース プロキシ認証ポートを再度初期化する前に、Web ベース プロキシ認証をグローバルおよび各ポートでイネーブルにする必要があります。
認証用の Web ベース プロキシ認証ポートを再度初期化するには、イネーブル モードで次の作業を実行します。
|
|
認証用の Web ベース プロキシ認証ポートを再度初期化します。 |
set port web-auth mod/port initialize [ ip_addr ] |
次に、ポート上のすべてのホストで Web ベース プロキシ認証を再度初期化する例を示します。
Console> (enable) set port web-auth 2/1 initialize
Initialized web-authentication for all hosts on port 2/1.
次に、特定ホストで Web ベース プロキシ認証を再度初期化する例を示します。
Console> (enable) set port web-auth 2/1 initialize 10.1.1.1
Initialized web-authentication for host 10.1.1.1 on port 2/1.
ログイン ページ URL の設定
URL を入力する場合、url = http:// string を使用します。
ログイン ページに URL を設定するには、イネーブル モードで次の作業を実行します。
|
|
ログイン ページに URL を設定します。 |
set web-auth login-page url url |
次に、ログイン ページの URL を設定する例を示します。
Console> (enable) set web-auth login-page url http://proxyauth.cisco.com/login.html
web-auth login-page configured.
ログイン失敗ページ URL の設定
URL を入力する場合、フォーマット、url = http:// string を使用します。
ログイン失敗ページに URL を設定するには、イネーブル モードで次の作業を実行します。
|
|
ログイン失敗ページに URL を設定します。 |
set web-auth login-fail-page url url |
次に、ログイン失敗ページの URL を設定する例を示します。
Console> (enable) set web-auth login-fail-page url http://proxyauth.cisco.com/login.html
web-auth login fail page configured.
セッション タイムアウト時間の指定
このセッションが有効である時間(長さ)を指定できます。この時間を超過すると、Web 認証されたセッションは終了します。RADIUS が提供するセッション タイムアウトは、ローカルに設定された値よりも優先されます。
グローバルな Web ベース プロキシ認証セッションのタイムアウト時間を指定するには、イネーブル モードで次の作業を実行します。
|
|
グローバルな Web ベース プロキシ認証セッションのタイムアウト時間を指定します。 |
set web-auth session-timeout seconds |
次に、グローバルな Web ベース プロキシ認証セッションのタイムアウト時間を指定する例を示します。
Console> (enable) set web-auth session-timeout 20
web-authentication session-timeout set to 20 seconds.
待機時間の指定
認証者がホストを認証できないときは、一定時間のアイドル状態を経て再試行します。アイドル時間は、quiet-period の値によって決まります。デフォルトは 60 秒です。設定できる seconds 値は、0 ~ 65535 秒です。
待機時間の長さを指定するには、イネーブル モードで次の作業を行います。
|
|
待機時間を指定します。 |
set web-auth quiet-timeout seconds |
次に、待機時間を指定する例を示します。
Console> (enable) set web-auth quiet-timeout 20
web-authentication quiet-timeout set to 20 seconds.
ログインの最大試行回数の指定
ユーザがブロックされるまでの、失敗ログインの最大試行回数を指定できます。
ログインの最大試行回数を指定するには、イネーブル モードで次の作業を行います。
|
|
ログインの最大試行回数を指定します。 |
set web-auth login-attempts count |
次に、ログインの最大試行回数を指定する例を示します。
Console> (enable) set web-auth login-attempts
web-authentication max retry count set to <count>
セッション情報の要約の表示
vlan vlan_id キーワードおよび引数を指定すると、指定 VLAN の情報の要約が表示されます。
コマンド出力では、以下が適用されます。
• * は、RADIUS が割り当てた値を示します。
• State フィールドには、所定のホストの現在の Web 認証ステートが表示されます。
Web ベース プロキシ認証セッションの情報の要約を表示するには、ユーザ モードで次の作業を実行します。
|
|
Web ベース プロキシ認証セッションの情報の要約を表示します。 |
show web-auth summary [ vlan vlan_id ] |
次に、Web ベース プロキシ認証セッションの情報の要約を表示する例を示します。
Console> (enable) show web-auth summary
Web-authentication enabled globally
Login-page location url http://proxyauth.cisco.com/login.html
Login-fail-page location url http://proxyauth.cisco.com/loginfail.html
session-timeout : 3600 secs
Max Login attempt count: 3
--------------------------------------------------------------------------------------------------------------------------
IP Address Interface Web Auth State Session-Timeout Leftover-Session-Time VLAN
------------------------------------------------------------------------------------------------------------------------------------------
9.9.150. 1 1/1 Authenticated * 7200 200 100
9.9.150.2 1/2 Authenticating 3600 - 100
9.9.150.3 1/3 Authentication-fai 3600 - 100
9.9.160.10 1/4 Held 3600 - 200
9.9.170.15 1/5 Connecting 3600 - 300
次に、特定 VLAN の Web ベース プロキシ認証セッションの情報の要約を表示する例を示します。
Console> (enable) show web-auth summary vlan 100
--------------------------------------------------------------------------------------------------------------------------
IP Address Interface Web Auth State Session-Timeout Leftover-Session-Time
--------------------------------------------------------------------------------------------------------------------------
9.9.150. 1 1/1 Authenticated * 7200 200
9.9.150.2 1/2 Authenticating 3600 -
9.9.150.3 1/3 Held 3600 -
ポート単位の情報の表示
show port web-auth コマンドを使用すると、次の情報が表示されます。
• ホストの IP アドレス
• 現在のステート
• セッションタイムアウト。表示される時間は、RADIUS から提供されない場合に設定されたタイムアウトです。
• 残りのセッション タイムアウト値
Web ベース プロキシ認証ポートの情報を表示するには、ユーザ モードで次の作業を実行します。
|
|
Web ベース プロキシ認証ポートの情報を表示します。 |
show port web-auth mod/port |
次に、Web ベース プロキシ認証ポートを表示する例を示します。
Console> (enable) show port web-auth 2/1
Web Authentication Information for port 2/1
-----------------------------------------------------------------------------------------------
IP Address Web Auth State Session-Timeout Leftover-Session-Time
-----------------------------------------------------------------------------------------------
9.9.150. 1 Authenticated 7200 200
9.9.150.4 URL-Redirected 3600 -
9.9.150.10 Connecting 3600 -