ローカル Web 認証の概要
IEEE 802.1x サプリカントが実行されていないホスト システムでエンド ユーザを認証するには、Web 認証プロキシとして知られているローカル Web 認証機能を使用します。
(注) |
Web ベース認証は、レイヤ 2 およびレイヤ 3 インターフェイス上に設定できます。 |
HTTP セッションを開始すると、ローカル Web 認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。ユーザはクレデンシャルを入力します。このクレデンシャルは、ローカル Web 認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバに送信されます。
認証に成功した場合、ローカル Web 認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバから返されたアクセス ポリシーを適用します。
認証に失敗した場合、ローカル Web 認証は、ログインの失敗を示す HTML ページをユーザに転送し、ログインを再試行するように、ユーザにプロンプトを表示します。最大試行回数を超過した場合、ローカル Web 認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザは Web 認証の失敗という除外理由で除外されます。
(注) |
WLAN のグローバルまたはパラメータ マップ(method-type、custom、redirect)は、同じ Web 認証方式(consent、web consent、webauth など)を使用するときにのみ使用する必要があります。WLAN にパラメータマップを設定していない場合は、グローバル パラメータマップがデフォルトで適用されます。 |
(注) |
Webauth クライアントの認証試行時に受信する traceback には、パフォーマンスや行動への影響はありません。これは、ACL アプリケーションの EPM に FFM が返信したコンテキストがすでにキュー解除済み(タイマーの有効期限切れの可能性あり)で、セッションが「未承認」になった場合にまれに発生します。 |
Web ページがホストされている場所に基づいて、ローカル Web 認証は次のように分類できます。
-
内部:ローカル Web 認証時に、コントローラ の内部デフォルト HTML ページ(ログイン、成功、失敗、および期限切れ)が使用されます。
-
カスタマイズ:ローカル Web 認証時に、カスタマイズされた Web ページ(ログイン、成功、失敗、および期限切れ)がコントローラ にダウンロードされ、使用されます。
-
外部:組み込みまたはカスタム Web ページを使用する代わりに、外部 Web サーバ上でカスタマイズされた Web ページがホストされます。
さまざまな Web 認証ページに基づき、Web 認証のタイプは次のように分類できます。
-
Webauth:これが基本的な Web 認証です。この場合、コントローラ はユーザ名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザは正しいクレデンシャルを入力する必要があります。
-
Consent または web-passthrough:この場合、コントローラは [Accept] ボタンまたは [Deny] ボタンが表示されたポリシー ページを提示します。ネットワークにアクセスするには、ユーザは [Accept] ボタンをクリックする必要があります。
-
Webconsent:これは webauth と consent の Web 認証タイプの組み合わせです。この場合、コントローラ は、[Accept] ボタンまたは [Deny] ボタンがあり、ユーザ名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザは正しいクレデンシャルを入力して [Accept] ボタンをクリックする必要があります。
(注) |
|
デバイスのロール
ローカル Web 認証では、ネットワーク上のデバイスに次のような固有の役割があります。
-
クライアント:LAN およびサービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。このワークステーションでは、Java Script がイネーブルに設定された HTML ブラウザが実行されている必要があります。
-
認証サーバ:クライアントを認証します。認証サーバはクライアントの識別情報を確認し、そのクライアントが LAN およびスイッチのサービスへのアクセスを許可されたか、あるいはクライアントが拒否されたのかをスイッチに通知します。
-
スイッチ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。
認証プロセス
ローカル Web 認証を有効にすると、次のイベントが発生します。
-
ユーザが HTTP セッションを開始します。
-
HTTP トラフィックが代行受信され、認証が開始されます。スイッチは、ユーザにログイン ページを送信します。ユーザはユーザ名とパスワードを入力します。スイッチはこのエントリを認証サーバに送信します。
-
認証に成功した場合、スイッチは認証サーバからこのユーザのアクセス ポリシーをダウンロードし、アクティブ化します。ログインの成功ページがユーザに送信されます
-
認証に失敗した場合は、スイッチはログインの失敗ページを送信します。ユーザはログインを再試行します。失敗の回数が試行回数の最大値に達した場合、スイッチはログイン期限切れページを送信します。このホストはウォッチ リストに入れられます。ウォッチ リストのタイム アウト後、ユーザは認証プロセスを再試行することができます。
-
認証サーバがスイッチに応答せず、AAA 失敗ポリシーが設定されている場合、スイッチはホストに失敗アクセス ポリシーを適用します。ログインの成功ページがユーザに送信されます
-
ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しなかった場合、またはホストがレイヤ 3 インターフェイスでアイドル タイムアウト内にトラフィックを送信しなかった場合、スイッチはクライアントを再認証します。
-
この機能は、ダウンロードされたタイムアウト、またはローカルに設定されたセッション タイムアウトを適用します。
(注)
Cisco IOS XE Denali 16.1.1 以降では、WLC でのローカル Web 認証のデフォルトのセッション タイムアウト値は 1800 秒です。Cisco IOS XE Denali 16.1.1 より前は、デフォルトのセッション タイムアウト値は無限の秒数でした。
-
Termination-Action が RADIUS である場合、この機能は、サーバに NRH 要求を送信します。Termination-Action は、サーバからの応答に含まれます。
-
Termination-Action がデフォルトである場合、セッションは廃棄され、適用されたポリシーは削除されます。
ローカル Web 認証バナー
Web 認証を使用して、デフォルトのカスタマイズ済み Web ブラウザ バナーを作成して、スイッチにログインしたときに表示するようにできます。
このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。デフォルトのバナー メッセージは次のとおりです。
-
認証成功
-
認証失敗
-
認証期限切れ
ローカル Web 認証バナーは、新スタイル(セッション認識型)の CLI モードで次のように設定できます。
-
新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。
parameter-map type webauth global
banner text <text>
ログイン ページには、デフォルトのバナー、Cisco Systems、および Switch host-name Authentication が表示されます。Cisco Systems は認証結果ポップアップ ページに表示されます。
バナーは次のようにカスタマイズ可能です。
-
スイッチ名、ルータ名、または会社名などのメッセージをバナーに追加する。
-
新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。
parameter-map type webauth global
banner text <text>
-
-
ロゴまたはテキスト ファイルをバナーに追加する。
-
新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。
parameter-map type webauth global
banner file <filepath>
-
バナーがイネーブルにされていない場合、Web 認証ログイン画面にはユーザ名とパスワードのダイアログボックスだけが表示され、スイッチにログインしたときにはバナーは表示されません。
カスタマイズされたローカル Web 認証
ローカル Web 認証プロセスでは、スイッチ内部の HTTP サーバは、認証中のクライアントに配信される 4 種類の HTML ページをホストします。サーバはこれらのページを使用して、ユーザに次の 4 種類の認証プロセス ステートを通知します。
-
ログイン:資格情報が要求されています。
-
成功:ログインに成功しました。
-
失敗:ログインに失敗しました。
-
期限切れ:ログインの失敗回数が多すぎて、ログイン セッションが期限切れになりました。
ガイドライン
-
デフォルトの内部 HTML ページの代わりに、独自の HTML ページを使用することができます。
-
ロゴを使用することもできますし、ログイン、成功、失敗、および期限切れ Web ページでテキストを指定することもできます。
-
バナー ページで、ログイン ページのテキストを指定できます。
-
これらのページは、HTML で記述されています。
-
成功ページには、特定の URL にアクセスするための HTML リダイレクト コマンドを記入する必要があります。
-
この URL 文字列は有効な URL(例:http://www.cisco.com)でなければなりません。不完全な URL は、Web ブラウザで、「ページが見つかりません」またはこれに類似するエラーの原因となる可能性があります。
-
HTTP 認証で使用される Web ページを設定する場合、これらのページには適切な HTML コマンド(例:ページのタイム アウトを設定、暗号化されたパスワードの設定、同じページが 2 回送信されていないことの確認など)を記入する必要があります.
-
設定されたログイン フォームがイネーブルにされている場合、特定の URL にユーザをリダイレクトする CLI コマンドは使用できません。管理者は、Web ページにリダイレクトが設定されていることを保証する必要があります。
-
認証後、特定の URL にユーザをリダイレクトする CLI コマンドを入力してから、Web ページを設定するコマンドを入力した場合、特定の URL にユーザをリダイレクトする CLI コマンドは効力を持ちません。
-
設定された Web ページは、スイッチのブート フラッシュ、またはフラッシュにコピーできます。
-
ログイン ページを 1 つのフラッシュ上に、成功ページと失敗ページを別のフラッシュ(たとえば、スタック マスター、またはメンバのフラッシュ)にすることができます。
-
4 ページすべてを設定する必要があります。
-
Web ページを使ってバナー ページを設定した場合、このバナー ページには効果はありません。
-
システム ディレクトリ(たとえば、flash、disk0、disk)に保存されていて、ログイン ページに表示する必要のあるロゴ ファイル(イメージ、フラッシュ、オーディオ、ビデオなど)すべてには、必ず、web_auth_<filename> の形式で名前をつけてください。
-
設定された認証プロキシ機能は、HTTP と SSL の両方をサポートしています。
デフォルトの内部 HTML ページの代わりに、自分の HTML ページを使用することができます。認証後のユーザのリダイレクト先で、内部成功ページの代わりとなる URL を指定することもできます。
成功ログインに対するリダイレクト URL の注意事項
成功ログインに対するリダイレクション URL を設定する場合、次の注意事項に従ってください。
-
カスタム認証プロキシ Web ページ機能がイネーブルに設定されている場合、リダイレクション URL 機能はディセーブルにされ、CLI では使用できません。リダイレクションは、カスタム ログイン成功ページで実行できます。
-
リダイレクション URL 機能が有効に設定されている場合、設定された auth-proxy-banner は使用されません。
-
リダイレクション URL の指定を解除するには、このコマンドの no 形式を使用します。
-
Web ベースの認証クライアントが正常に認証された後にリダイレクション URL が必要な場合、URL 文字列は有効な URL(たとえば http://)で開始し、その後に URL 情報が続く必要があります。http:// を含まない URL が指定されると、正常に認証が行われても、そのリダイレクション URL によって Web ブラウザでページが見つからないまたは同様のエラーが生じる場合があります。