Web ベース認証

この章では、デバイスで Web ベース認証を設定する方法について説明します。この章の内容は、次のとおりです。

ローカル Web 認証の概要

Web 認証は、オープン認証または適切なレイヤ 2 セキュリティ方式を使用して、WLAN 上のホストへの簡単で安全なゲストアクセスを提供するように設計されたレイヤ 3 セキュリティソリューションです。Web 認証を使用すると、クライアント側で最小限の設定を行うだけで、ユーザーはワイヤレスクライアントの Web ブラウザを介して認証を受けることができます。これにより、ユーザーはユーザープロファイルを設定しなくても、オープン SSID に関連付けることができます。ホストは DHCP サーバーから IP アドレスと DNS 情報を受け取りますが、認証に成功するまでネットワークリソースにアクセスできません。ホストがゲストネットワークに接続すると、WLC はホストを認証 Web ページにリダイレクトします。そこで、ユーザーは有効なログイン情報を入力する必要があります。ログイン情報は WLC または外部認証サーバーによって認証され、認証に成功すると、ネットワークへのフルアクセスが許可されます。また、事前認証 ACL 機能を設定する必要がある認証の前に、特定のネットワークリソースへの制限付きアクセスをホストに許可することもできます。

次に、さまざまなタイプの Web 認証方式を示します。

  • ローカル Web 認証(LWA):コントローラ上のレイヤ 3 セキュリティとして設定され、Web 認証ページと事前認証 ACL はコントローラでローカルに設定されます。コントローラは、htttp(s) トラフィックを代行受信し、認証のためにクライアントを内部 Web ページにリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。

  • 外部 Web 認証(EWA):コントローラ上のレイヤ 3 セキュリティとして設定され、コントローラは htttp(s) トラフィックを代行受信し、外部 Web サーバーでホストされているログインページにクライアントをリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。事前認証 ACL は、コントローラで静的に設定されます。

  • 中央 Web 認証(CWA):主にコントローラ上のレイヤ 2 セキュリティとして設定され、リダイレクト URL と事前認証 ACL は ISE 上に存在し、レイヤ 2 認証時にコントローラにプッシュされます。コントローラは、クライアントからのすべての Web トラフィックを ISE ログインページにリダイレクトします。ISE は、HTTPS を介してクライアントによって入力されたログイン情報を検証し、ユーザーを認証します。

IEEE 802.1x サプリカントが実行されていないホスト システムでエンド ユーザーを認証するには、Web 認証プロキシとして知られているローカル Web 認証機能を使用します。

クライアントが HTTP セッションを開始すると、ローカル Web 認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザーに HTML ログインページを送信します。ユーザーはクレデンシャルを入力します。このクレデンシャルは、ローカル Web 認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバーに送信されます。

認証に成功した場合、ローカル Web 認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバーから返されたアクセス ポリシーを適用します。

認証に失敗した場合、ローカル Web 認証は、ログインの失敗を示す HTML ページをユーザーに転送し、ログインを再試行するように、ユーザーにプロンプトを表示します。最大試行回数を超過した場合、ローカル Web 認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザーは Web 認証の失敗という除外理由で除外されます

クライアントが最大 HTTP 接続(設定されている場合は最大 200 接続)に達すると、Transmission Control Protocol(TCP)がリセットされ、クライアントが除外されます。


(注)  

WLAN のグローバルまたはパラメータ マップ(method-type、custom、redirect)は、同じ Web 認証方式(consent、web consent、webauth など)を使用するときにのみ使用する必要があります。WLAN にパラメータマップを設定していない場合は、グローバル パラメータマップがデフォルトで適用されます。


(注)  

Webauth クライアントの認証試行時に受信するトレースバックには、パフォーマンスや行動への影響はありません。これは、ACL アプリケーションの EPM に FFM が返信したコンテキストがすでにキュー解除済み(タイマーの有効期限切れの可能性あり)で、セッションが「未承認」になった場合にまれに発生します。


(注)  

コマンド許可が TACACS を介した AAA 認証構成の一部として有効になっていて、対応する方式リストが HTTP 構成の一部として設定されていない場合、WebUI ページでデータが読み込まれません。ただし、一部のワイヤレス機能ページは、コマンドベースではなく権限ベースであるため、動作する場合があります。

Web ページがホストされている場所に基づいて、ローカル Web 認証は次のように分類できます。

  • 内部:ローカル Web 認証時に、コントローラ の内部デフォルト HTML ページ(ログイン、成功、失敗、および期限切れ)が使用されます。

  • カスタマイズ:ローカル Web 認証時に、カスタマイズされた Web ページ(ログイン、成功、失敗、および期限切れ)がコントローラ にダウンロードされ、使用されます。

  • 外部:組み込みまたはカスタム Web ページを使用する代わりに、外部 Web サーバー上でカスタマイズされた Web ページがホストされます。

さまざまな Web 認証ページに基づき、Web 認証のタイプは次のように分類できます。

  • Webauth:これが基本的な Web 認証です。この場合、コントローラ はユーザー名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザーは正しいクレデンシャルを入力する必要があります。

  • Consent または web-passthrough:この場合、コントローラは [Accept] ボタンまたは [Deny] ボタンが表示されたポリシー ページを提示します。ネットワークにアクセスするには、ユーザーは [Accept] ボタンをクリックする必要があります。

  • Webconsent:これは webauth と consent の Web 認証タイプの組み合わせです。この場合、コントローラ は、[Accept] ボタンまたは [Deny] ボタンがあり、ユーザー名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザーは正しいクレデンシャルを入力して [Accept] ボタンをクリックする必要があります。


(注)  

  • webauth パラメータマップ情報は、show running-config コマンドの出力を使用して表示できます。

  • ワイヤレス Web 認証機能は、バイパス タイプをサポートしていません。

  • AP の再接続が発生するまで、Web 認証パラメータマップのリダイレクトログイン URL の変更は発生しません。新しい URL リダイレクションを適用するには、WLAN を有効または無効にする必要があります。

(注)  
カスタマイズされた Web 認証ログイン ページを作成する場合は、シスコのガイドラインに従うことをお勧めします。Google Chrome または Mozilla Firefox ブラウザの最新バージョンにアップグレードした場合は、Web 認証バンドルの login.html ファイルに次の行が含まれていることを確認します。 
<body onload="loadAction();">

デバイスのロール

ローカル Web 認証では、ネットワーク上のデバイスに次のような固有の役割があります。

  • クライアント:ネットワークおよびコントローラへのアクセスを要求し、コントローラからの要求に応答するデバイス(ワークステーション)。このワークステーションでは、Java Script が有効な HTML ブラウザが実行されている必要があります。

  • 認証サーバー:クライアントを認証します。認証サーバーはクライアントの ID を確認し、そのクライアントにネットワークおよびコントローラサービスへのアクセスを許可するか、そのクライアントを拒否するかをコントローラに通知します。

  • コントローラ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。コントローラはクライアントと認証サーバーとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、識別情報を認証サーバーで確認し、クライアントに応答をリレーします。

図 1. ローカル Web 認証のデバイスの役割

認証プロセス

ページがコントローラでホストされている場合、コントローラは仮想 IP(通常は 192.0.2.1 などのルーティング不可能な IP)を使用してリクエストを処理します。ページが外部でホストされている場合、Web リダイレクトは最初にクライアントを仮想 IP に送信します。その後、仮想 IP の場所などの引数が URL に追加されて、ユーザーが外部ログインページに再度送信されます。ページが外部でホストされている場合でも、ユーザーはそのログイン情報を仮想 IP に送信します。

ローカル Web 認証を有効にすると、次のイベントが発生します。

  • ユーザーが HTTP セッションを開始します。

  • HTTP トラフィックが横取りされ、認証が開始されます。コントローラは、ユーザーにログインページを送信します。ユーザーはユーザー名とパスワードを入力します。コントローラはこのエントリを認証サーバーに送信します。

  • 認証に成功した場合、コントローラは、認証サーバーからこのユーザーのアクセスポリシーをダウンロードし、アクティブ化します。ログインの成功ページがユーザーに送信されます

  • 認証に失敗した場合、コントローラはログインの失敗ページを送信します。ユーザーはログインを再試行します。失敗の回数が試行回数の最大値に達した場合、コントローラは、ログイン期限切れページを送信します。このホストはウォッチリストに入れられます。ウォッチ リストのタイム アウト後、ユーザーは認証プロセスを再試行することができます。

  • 認証サーバーを利用できない場合、Web 認証が再試行された後、クライアントは除外状態に移行し、クライアントに [Authentication Server is Unavailable] ページが表示されます。

  • ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しなかった場合、またはホストがレイヤ 3 インターフェイスでアイドルタイムアウト内にトラフィックを送信しなかった場合、コントローラはクライアントを再認証します。

  • クライアントにはすでに IP アドレスが割り当てられており、VLAN が変更された場合はクライアントの IP アドレスを変更できないため、Web 認証セッションは認証ポリシーの一部として新しい VLAN を適用できません。

  • Termination-Action がデフォルトである場合、セッションは廃棄され、適用されたポリシーは削除されます。


(注)  

GUI アクセスのユーザー名を設定する場合は、セミコロン(;)を使用しないでください。

ローカル Web 認証バナー

Web 認証を使用して、デフォルトのカスタマイズ済み Web ブラウザバナーを作成して、コントローラにログインしたときに表示されるようにできます。

このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。デフォルトのバナー メッセージは次のとおりです。

  • 認証成功

  • 認証失敗

  • 認証期限切れ

ローカル Web 認証バナーは、次のように設定できます。

  • 次のグローバル コンフィギュレーション コマンドを使用します。

    Device(config)# parameter map type webauth global
Device(config-params-parameter-map)# banner ?
file <file-name>
text <Banner text>
title <Banner title>

ログインページには、デフォルトのバナー、Cisco Systems、および Switch host-name Authentication が表示されます。Cisco Systems は認証結果ポップアップ ページに表示されます。

図 2. 認証成功バナー

バナーは次のようにカスタマイズ可能です。

  • スイッチ名、ルータ名、または会社名などのメッセージをバナーに追加する。

    • 新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。

      parameter-map type webauth global

      banner text <text>

  • ロゴまたはテキスト ファイルをバナーに追加する。

    • 新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。

      parameter-map type webauth global

      banner file <filepath>

    図 3. カスタマイズされた Web バナー

バナーが有効にされていない場合、Web 認証ログイン画面にはユーザー名とパスワードのダイアログボックスだけが表示され、スイッチにログインしたときにはバナーは表示されません。

図 4. バナーが表示されていないログイン画面

カスタマイズされたローカル Web 認証

ローカル Web 認証プロセスでは、スイッチの内部 HTTP サーバーは、認証中のクライアントに配信される 4 種類の HTML ページをホストします。サーバーはこれらのページを使用して、ユーザーに次の 4 種類の認証プロセスステートを通知します。

  • ログイン:ログイン情報が要求されます

  • 成功:ログインに成功しました

  • 失敗:ログインに失敗しました

  • 期限切れ:ログインの失敗回数が多すぎて、ログインセッションが期限切れになりました


(注)  

カスタム Web 認証を設定するには、仮想 IP アドレスが必要です。

Cisco IOS XE Dublin 17.11.1 以降、ö や à などの特殊文字がログインポータルでバナータイトルとバナーテキストに対してサポートされます。バナーテキストでサポートされる文字数が 2 倍の 400 文字になりました。特殊文字をサポートするには、line console(シリアルポートの場合)または line vty(SSH の場合)で、exec-character-bits コマンドを設定してください。


(注)  

  • バナーテキストの文字列が最大 400 文字という制限を超えると、エラーメッセージが表示され、設定が拒否されます。また、パーサーには、1 行あたり 254 文字の制限があります(CLI キーワードを含む)。254 文字を超える場合は、必ず複数の行に分けてください。

  • banner コマンドが設定されていない場合、WebAuth ログインページにはデフォルトのバナー文字列のみが表示されます。

ガイドライン

  • デフォルトの内部 HTML ページの代わりに、独自の HTML ページを使用することができます。

  • ロゴを使用することもできますし、ログイン成功失敗、および期限切れ Web ページでテキストを指定することもできます。

  • バナー ページで、ログイン ページのテキストを指定できます。

  • これらのページは、HTML で記述されています。

  • 成功ページには、特定の URL にアクセスするための HTML リダイレクト コマンドを記入する必要があります。

  • この URL 文字列は有効な URL(例:http://www.cisco.com)でなければなりません。不完全な URL は、Web ブラウザで、「ページが見つかりません」またはこれに類似するエラーの原因となる可能性があります。

  • HTTP 認証で使用される Web ページを設定する場合、これらのページには適切な HTML コマンド(例:ページのタイム アウトを設定、暗号化されたパスワードの設定、同じページが 2 回送信されていないことの確認など)を記入する必要があります。WebAuth バンドルのカスタムページのサンプルには、変更できるものと変更できないものに関する画像と詳細が含まれています。

  • 設定されたログイン フォームが有効な場合、特定の URL にユーザーをリダイレクトする CLI コマンドは使用できません。管理者は、Web ページにリダイレクトが設定されていることを保証する必要があります。

  • 認証後、特定の URL にユーザーをリダイレクトする CLI コマンドを入力してから、Web ページを設定するコマンドを入力した場合、特定の URL にユーザーをリダイレクトする CLI コマンドは効力を持ちません。

  • 設定された Web ページは、スイッチのブート フラッシュ、またはフラッシュにコピーできます。

  • ログインページを任意のフラッシュ上に配置でき、成功ページと失敗ページを別のフラッシュ(たとえば、アクティブスイッチ、またはメンバスイッチのフラッシュ)に配置できます。

  • 4 ページすべてを設定する必要があります。

  • システムディレクトリ(たとえば、flash、disk0、disk)に保存されていて、ログインページに表示する必要のあるロゴファイル(イメージ、フラッシュ、オーディオ、ビデオなど)すべてには、必ず、web_auth_<filename> の形式で名前を付けてください。

  • 設定された認証プロキシ機能は、HTTP と SSL の両方をサポートしています。

デフォルトの内部 HTML ページの代わりに、自分の HTML ページを使用することができます。認証後のユーザーのリダイレクト先で、内部成功ページの代わりとなる URL を指定することもできます。

図 5. カスタマイズ可能な認証ページ

成功ログインに対するリダイレクト URL の注意事項

成功ログインに対するリダイレクション URL を設定する場合、次の注意事項に従ってください。

  • カスタム認証プロキシ Web ページ機能が有効に設定されている場合、リダイレクション URL 機能は無効にされ、CLI では使用できません。リダイレクションは、カスタム ログイン成功ページで実行できます。

  • リダイレクション URL 機能が有効に設定されている場合、設定された auth-proxy-banner は使用されません。

  • リダイレクション URL の指定を解除するには、このコマンドの no 形式を使用します。

  • Web ベースの認証クライアントが正常に認証された後にリダイレクション URL が必要な場合、URL 文字列は有効な URL(たとえば http://)で開始し、その後に URL 情報が続く必要があります。http:// を含まない URL が指定されると、正常に認証が行われても、そのリダイレクション URL によって Web ブラウザでページが見つからないまたは同様のエラーが生じる場合があります。

ローカル Web 認証の設定方法

デフォルトのローカル Web 認証の設定

次の表に、ローカル Web 認証に必要なデフォルト設定を示します。

表 1. デフォルトのローカル Web 認証の設定

機能

デフォルト設定

AAA

無効

RADIUS サーバ

  • IP アドレス

  • UDP 認証ポート

  • 指定なし

無活動タイムアウトのデフォルト値

3600 秒

無活動タイムアウト

無効

AAA ウィザードに関する情報

AAA ウィザードを使用すると、複数のウィンドウにアクセスしなくても、認証、許可、およびアカウンティングの詳細を追加できます。


(注)  

コマンド許可が TACACS を介した AAA 認証構成の一部として有効になっていて、対応する方式リストが HTTP 構成の一部として設定されていない場合、WebUI ページでデータが読み込まれません。ただし、一部のワイヤレス機能ページは、コマンドベースではなく権限ベースであるため、動作する場合があります。

(注)  
9800 WebUI の TACACS+ ユーザーに関する次の制限に注意してください。

  • 権限レベル 1 ~ 10 のユーザーは、[Monitor] タブのみ表示できます。

  • 権限レベル 15 のユーザーには、完全なアクセス権があります。

  • 権限レベル 15 および特定のコマンドのみを許可するコマンドセットを持つユーザーはサポートされていません。


(注)  

AAA 認証および許可属性を設定するときは、次の形式に従う必要があります。

  • protocol:attr=bla

  • protocol:attr#0=bla

  • protocol:attr#*=bla

  • attr=bla

  • attr#0=bla

  • attr=bla

attr は、サポートされている AAA 属性にマッピングされます。attr が不明または未定義の属性である場合、radius-server disallow unknown vendor-code コマンドを設定すると、警告メッセージ parse unknown cisco vsa が表示されます。それ以外の場合、トランザクションは失敗として扱われます。

前述の形式に従ってコマンドを設定することをお勧めします。それ以外の場合、トランザクションは失敗します。渡された属性が前述のいずれのパターンにも一致しない場合、AAA はその特定の属性の復号に失敗し、要求を失敗としてマークします。

ウィザードを使用して入力した内容を編集するには、それぞれの画面を使用します。

手順

ステップ 1

[Configuration] > [Security] > [AAA] を選択します。

ステップ 2

[+ AAA Wizard] をクリックします。

[Add Wizard] ページが表示されます。

ステップ 3

[RADIUS] タブをクリックします。

RADIUS サーバーオプションはデフォルトで有効になっています。オプションボタンを使用して、[Basic] オプションと [Advanced] オプションを切り替えることができます。

  1. [Name] フィールドに、RADIUS サーバーの名前を入力します。

  2. [IPv4 / IPv6 Server Address] フィールドに、IPv4 または IPv6 アドレス、またはホスト名を入力します。

  3. [PAC Key] チェックボックスをオンにして、Protected Access Credential(PAC)認証キーオプションを有効にします。

  4. [Key Type] ドロップダウンリストから、認証キータイプを選択します。

  5. [Key] フィールドに、認証キーを入力します。

  6. [Confirm Key] フィールドに、認証キーを再入力します。

  7. [Advanced] オプションボタンをクリックします。

    [Advanced] オプションが有効になります。

  8. [Auth Port] フィールドに許可ポート番号を入力します。

  9. [Acct Port] フィールドにアカウンティングポート番号を入力します。

  10. [Server Timeout] フィールドに、タイムアウト期間(秒単位)を入力します。

  11. [Retry Count] フィールドに再試行回数を入力します。

  12. [Support for CoA] トグルボタンを使用して、認可変更(CoA)を有効または無効にします。

ステップ 4

[TACACS+] チェックボックスをオンにします。

[TACACS+] オプションが有効になります。オプションボタンを使用して、[Basic] オプションと [Advanced] オプションを切り替えることができます。

  1. [Name] フィールドに、TACACS+ サーバーの名前を入力します。

  2. [IPv4 / IPv6 Server Address] フィールドに、IPv4 または IPv6 アドレス、またはホスト名を入力します。

  3. [Key] フィールドに、認証キーを入力します。

  4. [Confirm Key] フィールドに、認証キーを再入力します。

  5. [Advanced] オプションボタンをクリックします。

    [Advanced] オプションが有効になります。

  6. [Port] フィールドに、使用するポート番号を入力します。

  7. [Server Timeout] フィールドに、タイムアウト期間(秒単位)を入力します。

ステップ 5

[LDAP] チェックボックスをオンにします。

[LDAP] オプションが有効になります。オプションボタンを使用して、[Basic] オプションと [Advanced] オプションを切り替えることができます。

  1. [Server Name] フィールドに、LDAP サーバーの名前を入力します。

  2. [IPv4 / IPv6 Server Address] フィールドに、IPv4 または IPv6 アドレス、またはホスト名を入力します。

  3. [Port Number] フィールドに、使用するポート番号を入力します。

  4. [Simple Bind] ドロップダウンリストから、認証キータイプを選択します。

  5. [User Base DN] フィールドに、詳細を入力します。

  6. [Advanced] オプションボタンをクリックします。

    [Advanced] オプションが有効になります。

  7. [User Attribute] ドロップダウンリストから、ユーザー属性を選択します。

  8. [User Object Type] フィールドで、オブジェクトタイプの詳細を入力し、[+] アイコンをクリックします。

    追加されたオブジェクトは、以下の領域に一覧表示されます。各オブジェクトの横にある x マークを使用してオブジェクトを削除します。

  9. [Server Timeout] フィールドに、タイムアウト期間(秒単位)を入力します。

  10. セキュアモードを有効にするには、[Secure Mode] チェックボックスをオンにします。

    オンにすると、[Trustpoint Name] ドロップダウンリストが有効になります。

  11. [Trustpoint Name] ドロップダウンリストからトラストポイントを選択します。

  12. [Next] をクリックします。

    [Server Group Association] ページが有効になり、[RADIUS] タブがデフォルトで選択されます。

ステップ 6

[RADIUS] タブで次のアクションを実行します。

  1. [Name] フィールドに、RADIUS サーバーグループの名前を入力します。

  2. [MAC-Delimiter] ドロップダウンリストから、RADIUS サーバーに送信される MAC アドレスで使用されるデリミタを選択します。

  3. [MAC Filtering] ドロップダウン リストから、MAC アドレスをフィルタリングするための基準値を選択します。

  4. サーバーグループのデッドタイムを設定し、稼働特性が異なる別のサーバーグループに AAA トラフィックを転送するには、[Dead-Time] フィールドに、サーバーが停止していると見なされる時間を分単位で入力します。

  5. [Available Servers] リストから、サーバー グループに含めるサーバーを選択し、それらを [Assigned Servers] リストに移動します。

  6. [Next] をクリックします。

    サーバーの設定で [TACACS+] を選択した場合は、[TACACS+] ウィンドウが表示されます。

ステップ 7

[TACACS+] ウィンドウを使用して、次の詳細を入力します。

  1. [Name] フィールドに、 TACACS+ サーバーグループの名前を入力します。

  2. [Available Servers] リストから、サーバーグループに含めるサーバーを選択し、[Assigned Servers] リストに移動します。

  3. [Next] をクリックします。

    サーバーの設定で [LDAP] を選択した場合は、[LDAP] ウィンドウが表示されます。

ステップ 8

[LDAP] ウィンドウを使用して、次の詳細を入力します。

  1. [Name] フィールドに、 LDAP サーバーグループの名前を入力します。

  2. [Available Servers] リストから、サーバーグループに含めるサーバーを選択し、[Assigned Servers] リストに移動します。

ステップ 9

[Next] をクリックします。

[MAP AAA] ウィンドウが表示されます。

チェックボックスを使用して、[Authentication]、[Authorization]、および [Accounting] タブを有効にします。3 つすべてのオプションを選択解除することはできません。少なくとも 1 つのオプションを選択する必要があります。

ステップ 10

[Authentication] タブを使用して、認証の詳細を入力します。

  1. [Method List Name] フィールドに、メソッドリストの名前を入力します。

  2. [Type] ドロップダウンリストから、ネットワークへのアクセスを許可する前に実行するアカウンティングのタイプを選択します。

  3. [Group Type] ドロップダウンリストから、サーバーグループをアクセスサーバーとして割り当てるか、ローカルサーバーを使用してアクセスを認証するかに応じて値を選択します。

    ローカルオプションを選択すると、ローカルオプションへの [Fallback] が削除されます。

  4. グループ内のサーバーが使用できない場合にフォールバック方式として機能するようにローカルサーバーを設定するには、[Fallback to local] チェックボックスをオンにします。

  5. [Available Server Groups] リストで、ネットワークへのアクセスの認証に使用するサーバーグループを選択し、[>] アイコンをクリックして [Assigned Server Groups] リストに移動します。

ステップ 11

[Authorization] チェックボックスをオンにして、許可の詳細を設定します。

  1. [Method List Name] フィールドに、メソッドリストの名前を入力します。

  2. [Type] ドロップダウンリストから、ネットワークへのアクセスを許可する前に実行する認証のタイプを選択します。

  3. [Group Type] ドロップダウンリストから、サーバーグループをアクセスサーバーとして割り当てるか、ローカルサーバーを使用してアクセスを認証するかに応じて値を選択します。

    ローカルオプションを選択すると、ローカルオプションへの [Fallback] が削除されます。

  4. グループ内のサーバーが使用できない場合にフォールバック方式として機能するようにローカルサーバーを設定するには、[Fallback to local] チェックボックスをオンにします。

  5. [Available Server Groups] リストで、ネットワークへのアクセスの認証に使用するサーバーグループを選択し、[>] アイコンをクリックして [Assigned Server Groups] リストに移動します。

ステップ 12

[Accounting] チェックボックスをオンにして、アカウンティングの詳細を設定します。

  1. [Method List Name] フィールドに、メソッドリストの名前を入力します。

  2. [Type] ドロップダウンリストから、実行するアカウンティングのタイプを選択します。

  3. [Available Server Groups] リストで、ネットワークへのアクセスの認証に使用するサーバーグループを選択し、[>] アイコンをクリックして [Assigned Server Groups] リストに移動します。

ステップ 13

[Apply to Device] をクリックします。

AAA 認証の設定(GUI)


(注)  

WebUI は、AAA RADIUS サーバーグループ設定における ipv6 radius source-interface をサポートしていません。

手順

ステップ 1

[Configuration] > [Security] > [AAA] を選択します。

ステップ 2

[Authentication] セクションで [Add] をクリックします。

ステップ 3

表示される [Quick Setup: AAA Authentication] ウィンドウに、メソッド リストの名前を入力します。

ステップ 4

ネットワークへのアクセスを許可する前に実行する認証のタイプを [Type] ドロップダウン リストから選択します。

ステップ 5

[Group Type] ドロップダウン リストから、サーバーのグループをアクセス サーバーとして割り当てるか、またはローカル サーバーを使用してアクセスを認証するかを選択します。

ステップ 6

グループ内のサーバーが使用できない場合にフォールバック方式として機能するようにローカル サーバーを設定するには、[Fallback to local] チェックボックスをオンにします。

ステップ 7

[Available Server Groups] リストで、ネットワークへのアクセスの認証に使用するサーバー グループを選択し、[>] アイコンをクリックして [Assigned Server Groups] リストに移動します。

ステップ 8

[Save & Apply to Device] をクリックします。

AAA 認証の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

aaa new-model

例:


Device(config)# aaa new-model

AAA 機能を有効にします。

ステップ 2

aaa authentication login {default | named_authentication_list} group AAA_group_name

例:


Device(config)# aaa authentication login default group group1

ログイン時の認証方法のリストを定義します。

named_authentication_list は、31 文字未満の名前を示します。

AAA_group_name はサーバー グループ名を示します。サーバーグループ server_name をその先頭で定義する必要があります。

ステップ 3

aaa authorization network {default | named} group AAA_group_name

例:


Device(config)# aaa authorization network default group group1

Web ベース許可の許可方式リストを作成します。

ステップ 4

tacacs server server-name

例:


Device(config)# tacacs server yourserver

AAA サーバーを指定します。

ステップ 5

address {ipv4 | ipv6}ip_address

例:


Device(config-server-tacacs)# address ipv4 10.0.1.12

TACACS サーバーの IP アドレスを設定します。

ステップ 6

single-connection

例:

Device(config-server-tacacs)# single-connection

単一の TCP 接続を介してすべてのパケットを TACACS サーバーに多重送信します。

ステップ 7

tacacs-server host {hostname | ip_address}

例:


Device(config)# tacacs-server host 10.1.1.1

AAA サーバーを指定します。

HTTP/HTTPS サーバーの設定(GUI)

手順

ステップ 1

[Administration] > [Management] > [HTTP/HTTPS/Netconf] の順に選択します。

ステップ 2

[HTTP/HTTPS Access Configuration] セクションで、[HTTP Access] を有効にして、HTTP 要求をリッスンするポートを入力します。デフォルトのポートは 80 です。有効な値は、80 または 1025 ~ 65535 の値です。

ステップ 3

デバイスで [HTTPS Access] を有効にし、HTTPS 要求をリッスンする指定ポートを入力します。デフォルトのポートは 1025 です。有効な値は、443 または 1025 ~ 65535 の値です。セキュア HTTP 接続の場合、HTTP サーバが送受信するデータは暗号化されてインターネットに送信されます。SSL 暗号化を伴う HTTP は、Web ブラウザからスイッチを設定するような機能に、セキュアな接続を提供します。

ステップ 4

[Personal Identity Verification] について [enabled] または [disabled] を選択します。

ステップ 5

[HTTP Trust Point Configuration] セクションで、[Enable Trust Point] を有効にして、認証局サーバーをトラストポイントとして使用します。

ステップ 6

[Trust Points] ドロップダウン リストから、トラスト ポイントを選択します。

ステップ 7

[Timeout Policy Configuration] セクションで、HTTP タイムアウト ポリシーを秒単位で入力します。有効な値の範囲は、10 ~ 600 秒です。

ステップ 8

セッションがタイムアウトするまでに許容される非アクティブな時間(分数)を入力します。有効な値の範囲は、180 ~ 1200 秒です。

ステップ 9

サーバーの有効期間を秒単位で入力します。有効値の範囲は、1 ~ 86400 秒です。

ステップ 10

デバイスが受け取ることのできる要求の最大数を入力します。有効値の範囲は、1 ~ 86400 件です。

ステップ 11

設定を保存します。

HTTP サーバーの設定(CLI)

ローカル Web 認証を使用するには、デバイス内で HTTP サーバーを有効にする必要があります。このサーバーは HTTP または HTTPS のいずれかについて有効にできます。


(注)  

Apple の疑似ブラウザは、ip http secure-server コマンドを設定するだけでは開きません。ip http server コマンドも設定する必要があります。

HTTP または HTTPS のいずれかについてサーバーを有効にするには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip http server

例:


Device(config)# ip http server

HTTP サーバーを有効にします。ローカル Web 認証機能は、HTTP サーバーを使用してホストと通信し、ユーザー認証を行います。

ステップ 3

ip http secure-server

例:


Device(config)# ip http secure-server

HTTPS を有効にします。

カスタム認証プロキシ Web ページを設定するか、成功ログインのリダイレクション URL を指定します。

(注)  

 

ip http secure-server コマンドを入力したときに、セキュア認証が確実に行われるようにするには、ユーザーが HTTP 要求を送信した場合でも、ログイン ページは必ず HTTPS(セキュア HTTP)形式になるようにします。

ステップ 4

end

例:

Device(config)# end

設定モードを終了します。

シリアルポートの特殊文字の許可

始める前に

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

line console line-num

例:

Device(config)# line console 0

プライマリ端末回線番号を設定します。

ステップ 3

exec-timeout mins sec

例:

Device(config-line)# exec-timeout 12 0

アイドル状態の EXEC セッションを切断する時間を設定します。

ステップ 4

login authentication word default

例:

Device(config-line)# login authentication NO_LOGIN

ログイン認証チェックを設定します。これは名前付きの認証リストまたはデフォルトの認証リストです。

ステップ 5

exec-character-bit { 7 | 8}

例:

Device(config-line)# exec-character-bit 8

EXEC コマンド文字の文字幅を設定します。

ステップ 6

stopbits { 1 | 1.5| 2}

例:

Device(config-line)# stopbits 1

コンソールポートのストップビットを設定します。

ステップ 7

end

例:

Device(config-line)# end

特権 EXEC モードに戻ります。

VTY ポートの特殊文字の許可

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth global

例:

Device(config)# parameter-map type webauth global

パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。

ステップ 3

banner text text

例:

Device(config-params-parameter-map)# banner text #Hêllö#

c <banner-text> c と入力して、カスタムバナー(最大 400 文字)を作成できます。この c は区切り文字です。

文字列が最大 400 文字という制限を超えると、エラーメッセージが表示され、構成が拒否されます。また、パーサーには、1 行あたり 254 文字の制限があります(CLI キーワードを含む)。254 文字を超える場合は、必ず複数の行に分けてください。

banner コマンドが設定されていない場合、WebAuth ログインページにはデフォルトのバナー文字列のみが表示されます。

ステップ 4

end

例:

Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

Web 認証用の HTTP および HTTPS リクエストの設定

Web 認証用の HTTP および HTTPS リクエストの設定に関する情報

Web 認証用の HTTP および HTTPS リクエストの設定機能を使用すると、デバイス管理への HTTPS アクセスと Web 認証への HTTP アクセスが可能です。Web 認証モジュールに送信される HTTP および HTTPS リクエストを制御するには、グローバル パラメータ マップ モードで secure-webauth-disable および webauth-http-enable コマンドを実行します。


(注)  

secure-webauth-disable および webauth-http-enable コマンドはデフォルトでは有効になっていないため、明示的に設定する必要があります。

次の表に、CLI のさまざまな組み合わせを示します。

表 2. CLI の組み合わせ

管理者(デバイス管理)

Web 認証

必要な設定

HTTP アクセス

 HTTPS アクセス

HTTP アクセス

 HTTPS アクセス

Admin

Web 認証

非対応

対応

対応

対応

 
no ip http server

ip http secure-server

no ip http server
ip http secure-server

parameter-map type webauth global
   webauth-http-enable

非対応

対応

非対応

対応

 
no ip http server

ip http secure-server

no ip http server
ip http secure-server

非対応

対応

対応

非対応

 
no ip http server
ip http secure-server

no ip http server
ip http secure-server

parameter-map type webauth global
   webauth-http-enable
   secure-webauth-disable

非対応

対応

非対応

非対応

 
no ip http server
ip http secure-server

no ip http server
ip http secure-server

parameter-map type webauth global
   secure-webauth-disable

非対応

非対応

非対応

対応

 
no ip http server
no ip http secure-server

未サポート

非対応

非対応

対応

非対応

 
no ip http server
no ip http secure-server

no ip http server
no ip http secure-server

parameter-map type webauth global
   webauth-http-enable

対応

非対応

対応

非対応

 
ip http server
no ip http secure-server

ip http server
no ip http secure-server

対応

対応

対応

非対応

 
ip http server
ip http secure-server

ip http server
ip http secure-server

parameter-map type webauth global
   secure-webauth-disable

(注)  

  • ip http server コマンドと ip http secure-server コマンドは、それぞれ HTTP と HTTPS のアクセスを許可します。たとえば、表の最初の行では、Web 認証への HTTP アクセスの場合、ip http server コマンドは必要ありません。グローバルパラメータマップで新しい webauth-http-enable コマンドを使用して、HTTP アクセスを許可できます。

  • WebAuth への HTTPS アクセスには、ip http secure-server コマンドが必要なため、管理者認証と Web 認証の両方の HTTPS アクセスが最初の行で有効になっています。Web 認証の HTTPS アクセスを無効にするには、secure-webauth-disable コマンドを設定します。たとえば、表の 4 行目では、secure-webauth-disable コマンドが設定されているため、Web 認証に対して HTTPS アクセスが無効になっています。

注意事項と制約事項

次に、Web 認証用の HTTP および HTTPS リクエストを設定するための注意事項と制約事項を示します。

  • デバイス管理で HTTPS を有効にしないと、HTTPS Web 認証を有効にできません。

  • secure-webauth-disable コマンドが設定されている場合、クライアントからの最初の要求が https://< > の場合、中央 Web 認証を実行できません。

Web 認証用の HTTP および HTTPS リクエストの設定(CLI)

WebAuth モジュールに送信される HTTP および HTTPS リクエストを設定するには、以下の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

no ip http server

例:

Device(config)# no ip http server

HTTP サーバーをデフォルトに設定します。

ステップ 4

ip http {server | secure-server}

例:

Device(config)# ip http server

HTTP サーバーまたは HTTP セキュアサーバーを有効にします。

ステップ 5

parameter-map type webauth global

例:

Device(config)# parameter-map type webauth global

グローバル パラメータ マップ モードを有効にします。

ステップ 6

secure-webauth-disable

例:

Device(config-params-parameter-map)# secure-webauth-disable

Web 認証用の HTTP セキュアサーバーを無効にします。

ステップ 7

webauth-http-enable

例:

Device(config-params-parameter-map)# webauth-http-enable

Web 認証用の HTTP サーバーを有効にします。

パラメータマップの作成(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Web Auth] の順に選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Policy Map] をクリックします。

ステップ 4

[Parameter Name]、[Maximum HTTP connections]、[Init-State Timeout(secs)] を入力し、[Type] ドロップダウンリストで [webauth] を選択します。

ステップ 5

[Apply to Device] をクリックします。

パラメータ マップの作成

ローカル Web 認証の設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Web Auth]を選択します。

ステップ 2

[Web Auth] ページで、[Add] をクリックします。

ステップ 3

表示される [Create Web Auth Parameter] ウィンドウで、パラメータ マップの名前を入力します。

ステップ 4

[Maximum HTTP Connections] フィールドに、許可する HTTP 接続の最大数を入力します。

ステップ 5

[Init-State Timeout] フィールドに、ユーザーがログイン ページで有効なログイン情報を入力できなかったために初期状態タイマーを期限切れにするまでの時間を入力します。

ステップ 6

Web 認証パラメータのタイプを選択します。

ステップ 7

[Apply to Device] をクリックします。

ステップ 8

[Web Auth] ページで、パラメータ マップの名前をクリックします。

ステップ 9

表示される [Edit WebAuth Parameter] ウィンドウで、必要な [Banner Type] を選択します。

  • [Banner Text] を選択した場合は、表示するバナー テキストを入力します。
  • [File Name] を選択した場合は、バナー テキストを取得する取得元のファイルのパスを指定します。

ステップ 10

必要に応じて、仮想 IP アドレスを入力します。

ステップ 11

[WebAuth Intercept HTTPS]、[Captive Bypass Portal] の適切なステータスを設定します。

ステップ 12

[Disable Success Window]、[Disable Logout Window]、および [Login Auth Bypass for FQDN] の適切なステータスを設定します。

ステップ 13

スリープ状態のクライアントの認証を有効にするには、[Sleeping Client Status] チェックボックスをオンにし、[Sleeping Client Timeout] を分単位で指定します。有効な範囲は 10 ~ 43200 分です。

ステップ 14

[Advanced] タブをクリックします。

ステップ 15

外部 Web 認証を設定するには、次のタスクを実行します。

  1. [Redirect for log-in] フィールドに、ログイン要求を送信する外部サーバーの名前を入力します。

  2. [Redirect On-Success] フィールドに、ログインが成功した後にリダイレクトする外部サーバーの名前を入力します。

  3. [Redirect On-Failure] フィールドに、ログインが失敗した後にリダイレクトする外部サーバーの名前を入力します。

  4. (任意) [Redirect to External Server] の [edirect Append for AP MAC Address] フィールドに、AP の MAC アドレスを入力します。

  5. (任意) [Redirect Append for Client MAC Address] フィールドに、クライアントの MAC アドレスを入力します。

  6. (任意) [Redirect Append for WLAN SSID] フィールドに、WLAN SSID を入力します。

  7. [Portal IPV4 Address] フィールドに、リダイレクトを送信するポータルの IPv4 アドレスを入力します。

  8. IPv6 アドレスを使用する場合は、[Portal IPV6 Address] フィールドに、リダイレクトを送信するポータルの IPv6 アドレスを入力します。

ステップ 16

カスタマイズされたローカル Web 認証を設定するには、次のタスクを実行します。

  1. [Customized Page] で、次のページを指定します。

    • [Login Failed Page]

    • [Login Page]

    • [Logout Page]

    • [Login Successful Page]

ステップ 17

[Update & Apply] をクリックします。

内部ローカル Web 認証の設定(CLI)

内部ローカル Web 認証を設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth {parameter-map-name | global}

例:


Device(config)# parameter-map type webauth sample

パラメータ マップを作成します。

parameter-map-name は 99 文字を超えないようにする必要があります。

ステップ 3

end

例:


Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

カスタマイズされたローカル Web 認証の設定(CLI)

カスタマイズされたローカル Web 認証を設定するには、次の手順に従います。


(注)  

カスタム Web 認証には仮想 IP アドレスが必要です。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth parameter-map-name

例:


Device(config)# parameter-map type webauth sample

webauth タイプ パラメータを設定します。

(注)  

 

カスタマイズされた Web 認証バンドルを使用するには、グローバルパラメータマップで仮想 IP を設定する必要があります。

ステップ 3

type {authbypass | consent | webauth | webconsent}

例:


Device(config-params-parameter-map)# type webauth

WebAuth のサブタイプとして、passthru、consent、webauth、webconsent などを設定します。

ステップ 4

custom-page login device html-filename

例:


Device(config-params-parameter-map)# custom-page login device bootflash:login.html

カスタマイズされたログイン ページを設定します。

ステップ 5

custom-page login expired device html-filename

例:


Device(config-params-parameter-map)# custom-page login expired device bootflash:loginexpired.html

カスタマイズされたログイン期限切れページを設定します。

ステップ 6

custom-page success device html-filename

例:


Device(config-params-parameter-map)# custom-page success device bootflash:loginsuccess.html

カスタマイズされたログイン成功ページを設定します。

ステップ 7

custom-page failure device html-filename

例:


Device(config-params-parameter-map)# custom-page failure device bootflash:loginfail.html

カスタマイズされたログイン失敗ページを設定します。

ステップ 8

end

例:


Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

外部ローカル Web 認証の設定(CLI)

外部ローカル Web 認証を設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth parameter-map-name

例:


Device(config)# parameter-map type webauth sample

webauth タイプ パラメータを設定します。

ステップ 3

type {authbypass | consent | webauth | webconsent}

例:


Device(config-params-parameter-map)# type webauth

WebAuth のサブタイプとして、authbypass、consent、passthru、webauth、webconsent などを設定します。

ステップ 4

redirect [for-login | on-failure | on-success] URL

例:


Device(config-params-parameter-map)# redirect for-login
http://www.cisco.com/login.html

ログイン ページ、失敗ページ、および成功ページのリダイレクト URL を設定します。

(注)  

 

リダイレクト url では、Ctrl+v キーを押し、「?」を入力して ? 文字を設定する必要があります。

? 文字は、ISE が外部ポータルとして設定されている場合に、URL で一般的に使用されます。

ステップ 5

redirect portal {ipv4 | ipv6} ip-address

例:


Device(config-params-parameter-map)# redirect portal ipv4 23.0.0.1

外部ポータルの IPv4 アドレスを設定します。

(注)  

 

FQDN を使用する場合、IP アドレスはランダムな IP アドレスではなく、ドメインに関連付けられた IP アドレスの 1 つである必要があります。特定のドメインが複数の IP アドレスに解決される場合は、ここで FQDN URL を使用することをお勧めします。

ステップ 6

end

例:


Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

Web 認証 WLAN の設定

Web 認証セキュリティを使用して WLAN を設定し、認証リストとパラメータ マップをマッピングするには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id ssid-name

例:


Device(config)# wlan mywlan 34 mywlan-ssid

WLAN の名前と ID を指定します。

profile-name は、最大 32 文字の英数字からなる WLAN 名です。

wlan-id はワイヤレス LAN の ID です。有効な範囲は 1 ~ 512 です。

ssid-name は、最大 32 文字の英数字からなる SSID です。

ステップ 3

no security wpa

例:


Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 4

security web-auth

例:


Device(config-wlan)# security web-auth

WLAN の Web 認証を有効にします。

ステップ 5

security web-auth { authentication-list authentication-list-name | parameter-map parameter-map-name}

例:


Device(config-wlan)# security web-auth authentication-list webauthlistlocal
Device(config-wlan)# security web-auth parameter-map sample

WLAN の Web 認証を有効にします。

ここで、各変数は次のように定義されます。

  • authentication-list authentication-list-name :IEEE 802.1x の認証リストを指定します。

  • parameter-map parameter-map-name :パラメータ マップを設定します。

(注)  

 

security web-auth が有効になっている場合、デフォルトの authentication-list とグローバルの parameter-map がマッピングされます。これは、明示的に記述されていない認証リストとパラメータマップに適用されます。

ステップ 6

end

例:


Device(config-wlan)# end

特権 EXEC モードに戻ります。

認証前 Web 認証 ACL の設定(GUI)

始める前に

アクセス コントロール リスト(ACL)と WLAN の設定を完了していることを確認します。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

WLAN の名前をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで、[Security] タブをクリックし、[Layer3] タブをクリックします。

ステップ 4

[Show Advanced Settings] をクリックします。

ステップ 5

[Preauthenticaion ACL] セクションで、WLAN にマッピングする適切な ACL を選択します。

ステップ 6

[Update & Apply to Device] をクリックします。

認証前 Web 認証 ACL の設定(CLI)

認証前 Web 認証 ACL を設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

access-list access-list-number {deny | permit} hostname source-wildcard-bits

例:


Device(config)# access-list 2 deny your_host 10.1.1.1 log

ACL リストを作成します。

access-list-number には、1 ~ 99、100 ~ 199、300 ~ 399、600 ~ 699、1300 ~ 1999、2000 ~ 2699、または 2700 ~ 2799 の 10 進数を指定します。

条件が一致した場合に拒否する場合は deny、許可する場合は permit を指定します。

source には、パケットの送信元となるネットワークまたはホストのアドレスを次の形式で指定します。

  • ドット付き 10 進表記による 32 ビット長の値。

  • キーワード any は 0.0.0.0 255.255.255.255 という source および source-wildcard の省略形です。source-wildcard を入力する必要はありません。

  • キーワード host は source 0.0.0.0 という source および source-wildcard の省略形です。

(任意)source-wildcard は、ワイルドカード ビットを送信元アドレスに適用します。

ステップ 3

wlan profile-name wlan-id ssid-name

例:


Device(config)# wlan mywlan 34 mywlan-ssid

WLAN を作成します。

profile-name は、最大 32 文字の英数字からなる WLAN 名です。

wlan-id はワイヤレス LAN の ID です。有効な範囲は 1 ~ 512 です。

ssid-name は、最大 32 文字の英数字からなる SSID です。

ステップ 4

ip access-group web access-list-name

例:


Device(config-wlan)# ip access-group web name

ACL を Web 認証 WLAN にマッピングします。

access-list-name は IPv4 ACL 名または ID です。

ステップ 5

end

例:


Device(config-wlan)# end

特権 EXEC モードに戻ります。

Web 認証要求の最大再試行回数の設定

Web 認証要求の最大再試行回数を設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wireless security web-auth retries number

例:


Device(config)# wireless security web-auth retries 2

number は Web 認証要求の最大試行回数です。有効な範囲は 0 ~ 20 です。

ステップ 4

end

例:


Device(config)# end

特権 EXEC モードに戻ります。

Web 認証ページ内のローカル バナーの設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Web Auth] の順に選択します。

ステップ 2

[Webauth Parameter Map] タブで、パラメータ マップ名をクリックします。[Edit WebAuth Parameter] ウィンドウが表示されます。

ステップ 3

[General] タブで、必要なバナー タイプを選択します。

  • [Banner Text] を選択した場合は、表示するバナー テキストを入力します。

  • [File Name] を選択した場合は、バナー テキストを取得する取得元のファイルのパスを指定します。

ステップ 4

[Update & Apply] をクリックします。

Web 認証ページ内のローカル バナーの設定(CLI)

Web 認証ページ内のローカル バナーを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth param-map

例:

Device(config)# parameter-map type webauth param-map

Web 認証パラメータを設定します。パラメータ マップ コンフィギュレーション モードを開始します。

ステップ 3

banner [ file | banner-text | title]

例:

Device(config-params-parameter-map)# banner http C My Switch C

ローカル バナーを有効にします。

C banner-text C(C は区切り文字)、バナーに表示されるファイル(ロゴやテキストファイル)の file、またはバナーのタイトルを示す title を入力して、カスタムバナーを作成します。

ステップ 4

end

例:

Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

タイプ(WebAuth、Consent、または両方)の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device # configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth parameter-map name

例:

Device (config)  # parameter-map type webauth webparalocal

webauth タイプ パラメータを設定します。

ステップ 3

type consent

例:

Device (config-params-parameter-map) # type consent

WebAuth タイプを同意として設定します。タイプは、WebAuth、Consent、またはその両方(Webconsent)として設定できます。

ステップ 4

end

例:

Device (config-params-parameter-map) # end

特権 EXEC モードに戻ります。

ステップ 5

show running-config | section parameter-map type webauth parameter-map

例:

Device (config) # show  running-config | section  parameter-map type webauth test

設定の詳細を表示します。

事前認証 ACL の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name

例:

Device (config)# wlan ramban

wlan-name にはプロファイル名を入力します。

ステップ 3

shutdown

例:

Device (config-wlan)# shutdown

WLAN を無効にします。

ステップ 4

ip access-group web preauthrule

例:

Device (config-wlan)# ip access-group web preauthrule

認証前に適用する必要のある ACL を設定します。

ステップ 5

no shutdown

例:

Device (config)# no shutdown

WLAN を有効にします。

ステップ 6

end

例:

Device (config-wlan)# end

特権 EXEC モードに戻ります。

ステップ 7

show wlan name wlan-name

例:

Device# show wlan name ramban

設定の詳細を表示します。

ローカル Web 認証のトラストポイントの設定

始める前に

証明書がコントローラ にインストールされていることを確認します。トラストポイントコントローラを使用すると、クライアントブラウザが *.com ポータルにリダイレクトされるときに信頼するドメイン固有の証明書が提示されます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth global

例:

Device (config)# parameter-map type webauth global

パラメータ マップを作成します。

ステップ 3

trustpoint trustpoint-name

例:

Device (config-params-parameter-map)# trustpoint trustpoint-name

ローカル Web 認証のトラストポイントを設定します。

ステップ 4

end

例:

Device (config-params-parameter-map)# end

特権 EXEC モードに戻ります。

ローカル Web 認証の設定例

例:Web 認証証明書の入手

次の例は、Web 認証証明書を取得する方法を示しています。 

Device# configure terminal
Device(config)# crypto pki import cert pkcs12 tftp://9.1.0.100/ldapserver-cert.p12 cisco
Device(config)# end
Device# show crypto pki trustpoints cert
	Trustpoint cert:
    Subject Name: 
    e=rkannajr@cisco.com
    cn=sthaliya-lnx
    ou=WNBU
    o=Cisco
    l=SanJose
    st=California
    c=US
          Serial Number (hex): 00
    Certificate configured.
Device# show  crypto pki certificates cert
Certificate
  Status: Available
  Certificate Serial Number (hex): 04
  Certificate Usage: General Purpose
  Issuer: 
    e=rkannajr@cisco.com
    cn=sthaliya-lnx
    ou=WNBU
    o=Cisco
    l=SanJose
    st=California
    c=US
  Subject:
    Name: ldapserver
    e=rkannajr@cisco.com
    cn=ldapserver
    ou=WNBU
    o=Cisco
    st=California
    c=US
  Validity Date: 
    start date: 07:35:23 UTC Jan 31 2012
    end   date: 07:35:23 UTC Jan 28 2022
  Associated Trustpoints: cert ldap12 
  Storage: nvram:rkannajrcisc#4.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00
  Certificate Usage: General Purpose
  Issuer: 
    e=rkannajr@cisco.com
    cn=sthaliya-lnx
    ou=WNBU
    o=Cisco
    l=SanJose
    st=California
    c=US
  Subject: 
    e=rkannajr@cisco.com
    cn=sthaliya-lnx
    ou=WNBU
    o=Cisco
    l=SanJose
    st=California
    c=US
  Validity Date: 
    start date: 07:27:56 UTC Jan 31 2012
    end   date: 07:27:56 UTC Jan 28 2022
  Associated Trustpoints: cert ldap12 ldap 
  Storage: nvram:rkannajrcisc#0CA.cer

例:Web 認証証明書の表示

次の例は、Web 認証証明書を表示する方法を示しています。 

Device# show crypto ca certificate verb
					Certificate
  			Status: Available
  			Version: 3
  			Certificate Serial Number (hex): 2A9636AC00000000858B
  			Certificate Usage: General Purpose
  			Issuer:
    cn=Cisco Manufacturing CA
    o=Cisco Systems
  		Subject:
    Name: WS-C3780-6DS-S-2037064C0E80
    Serial Number: PID:WS-C3780-6DS-S SN:FOC1534X12Q
    cn=WS-C3780-6DS-S-2037064C0E80
    serialNumber=PID:WS-C3780-6DS-S SN:FOC1534X12Q
  		CRL Distribution Points:
    http://www.cisco.com/security/pki/crl/cmca.crl
  		Validity Date:
    start date: 15:43:22 UTC Aug 21 2011
    end   date: 15:53:22 UTC Aug 21 2021
  		Subject Key Info:
    Public Key Algorithm: rsaEncryption
    RSA Public Key: (1024 bit)
  		Signature Algorithm: SHA1 with RSA Encryption
  		Fingerprint MD5: A310B856 A41565F1 1D9410B5 7284CB21
  		Fingerprint SHA1: 04F180F6 CA1A67AF 9D7F561A 2BB397A1 0F5EB3C9
 			X509v3 extensions:
    X509v3 Key Usage: F0000000
      Digital Signature
      Non Repudiation
      Key Encipherment
      Data Encipherment
    X509v3 Subject Key ID: B9EEB123 5A3764B4 5E9C54A7 46E6EECA 02D283F7
    X509v3 Authority Key ID: D0C52226 AB4F4660 ECAE0591 C7DC5AD1 B047F76C
    Authority Info Access:
  		Associated Trustpoints: CISCO_IDEVID_SUDI
  		Key Label: CISCO_IDEVID_SUDI

例:デフォルトの Web 認証ログイン ページの選択

次の例は、デフォルトの Web 認証ログイン ページを選択する方法を示しています。 

Device# configure terminal
Device(config)# parameter-map type webauth test
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will 
disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding.
Do you wish to continue? [yes]: yes
Device(config)# wlan wlan50
Device(config-wlan)# shutdown
Device(config-wlan)# security web-auth authentication-list test
Device(config-wlan)# security web-auth parameter-map test
Device(config-wlan)# no shutdown
Device(config-wlan)# end
Device# show running-config | section wlan50
wlan wlan50 50 wlan50
 security wpa akm cckm
 security wpa wpa1
 security wpa wpa1 ciphers aes
 security wpa wpa1 ciphers tkip
 security web-auth authentication-list test
 security web-auth parameter-map test
 session-timeout 1800
 no shutdown

Device# show running-config | section parameter-map type webauth test
parameter-map type webauth test
 type webauth

例:IPv4 外部 Web サーバーでのカスタマイズされた Web 認証ログイン ページの選択

次の例は、IPv4 外部 Web サーバーでのカスタマイズされた Web 認証ログイン ページを選択する方法を示しています。 

Device# configure terminal
Device(config)# parameter-map type webauth global
Device(config-params-parameter-map)# virtual-ip ipv4 192.0.2.1.
Device(config-params-parameter-map)# parameter-map type webauth test
Device(config-params-parameter-map)# type webauth
Device(config-params-parameter-map)# redirect for-login http://9.1.0.100/login.html
Device(config-params-parameter-map)# redirect portal ipv4 9.1.0.100
Device(config-params-parameter-map)# end
Device# show running-config | section parameter-map
parameter-map type webauth global
virtual-ip ipv4 192.0.2.1.
parameter-map type webauth test
type webauth
redirect for-login http://9.1.0.100/login.html
redirect portal ipv4 9.1.0.100
security web-auth parameter-map rasagna-auth-map
security web-auth parameter-map test

例:IPv6 外部 Web サーバーでのカスタマイズされた Web 認証ログイン ページの選択

次の例は、IPv6 外部 Web サーバーでのカスタマイズされた Web 認証ログイン ページを選択する方法を示しています。 

Device# configure terminal
Device(config)# parameter-map type webauth global
Device(config-params-parameter-map)# virtual-ip ipv6 2001:DB8::/48
Device(config-params-parameter-map)# parameter-map type webauth test
Device(config-params-parameter-map)# type webauth
Device(config-params-parameter-map)# redirect for-login http://9:1:1::100/login.html
Device(config-params-parameter-map)# redirect portal ipv6 9:1:1::100
Device(config-params-parameter-map)# end
Device# show running-config | section parameter-map
parameter-map type webauth global
virtual-ip ipv6 2001:DB8::/48
parameter-map type webauth test
type webauth
redirect for-login http://9:1:1::100/login.html
redirect portal ipv6 9:1:1::100
security web-auth parameter-map rasagna-auth-map
security web-auth parameter-map test

例:WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページの割り当て

次の例は、WLAN ごとのログイン ページ、ログイン失敗ページ、およびログアウト ページを割り当てる方法を示しています。 

Device# configure terminal
Device(config)# parameter-map type webauth test
Device(config-params-parameter-map)# custom-page login device flash:loginsantosh.html
Device(config-params-parameter-map)# custom-page login expired device flash:loginexpire.html
Device(config-params-parameter-map)# custom-page failure device flash:loginfail.html
Device(config-params-parameter-map)# custom-page success device flash:loginsucess.html
Device(config-params-parameter-map)# end
Device# show running-config | section parameter-map type webauth test
	parameter-map type webauth test
 type webauth
 redirect for-login http://9.1.0.100/login.html
 redirect portal ipv4 9.1.0.100
 custom-page login device flash:loginsantosh.html
 custom-page success device flash:loginsucess.html
 custom-page failure device flash:loginfail.html
 custom-page login expired device flash:loginexpire.html

例:事前認証 ACL の設定

次の例は、事前認証 ACL を設定する方法を示しています。 

Device# configure terminal
Device(config)# wlan fff
Device(config-wlan)# shutdown
Device(config-wlan)# ip access-group web preauthrule
Device(config-wlan)# no shutdown
Device(config-wlan)# end
Device# show wlan name fff

例:Webpassthrough の設定

次の例は、Webpassthrough を設定する方法を示しています。 

Device# configure terminal
Device(config)# parameter-map type webauth webparalocal
Device(config-params-parameter-map)# type consent
Device(config-params-parameter-map)# end
Device# show running-config | section parameter-map type webauth test
	parameter-map type webauth test
 type webauth
 redirect for-login http://9.1.0.100/login.html
 redirect portal ipv4 9.1.0.100

Web 認証タイプの確認

Web 認証タイプを確認するには、次のコマンドを実行します。

Device# show parameter-map type webauth all
Type Name
---------------------------------
Global global
Named webauth
Named ext
Named redirect
Named abc
Named glbal
Named ewa-2

Device# show parameter-map type webauth global
Parameter Map Name : global
Banner:
Text : CisCo
Type : webauth
Auth-proxy Init State time : 120 sec
Webauth max-http connection : 100
Webauth logout-window : Enabled
Webauth success-window : Enabled
Consent Email : Disabled
Sleeping-Client : Enabled
Sleeping-Client timeout : 60 min
Virtual-ipv4 : 192.0.2.1.
Virtual-ipv4 hostname :
Webauth intercept https : Disabled
Webauth Captive Bypass : Disabled
Webauth bypass intercept ACL :
Trustpoint name :
HTTP Port : 80
Watch-list:
Enabled : no
Webauth login-auth-bypass:
Device# show parameter-map type webauth name global
Parameter Map Name : global
Type : webauth
Auth-proxy Init State time : 120 sec
Webauth max-http connection : 100
Webauth logout-window : Enabled
Webauth success-window : Enabled
Consent Email : Disabled
Sleeping-Client : Disabled
Webauth login-auth-bypass:

外部 Web 認証(EWA)

単一 WebAuth サーバーアドレスとデフォルトポート(80/443)を使用した EWA の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authentication login

例:

Device(config)# aaa authentication login WEBAUTH local

ログイン時の認証方法を定義します。

ステップ 3

parameter-map type webauth parameter-map-name

例:

Device(config)# parameter-map type webauth ISE-Ext-Webauth_IP

パラメータ マップを作成します。

parameter-map-name は 99 文字を超えないようにする必要があります。

ステップ 4

type webauth

例:

Device(config-params-parameter-map)# type webauth

webauth タイプ パラメータを設定します。

ステップ 5

redirect for-login URL-String

例:

Device(config-params-parameter-map)#  redirect for-login https://192.168.0.98:443/portal/PortalSetup.action?portal=ad64b062-1098-11e7-8591-005056891b52

ログイン時のリダイレクト用の URL 文字列を設定します。

ステップ 6

redirect portal ipv4 ip-address

例:

Device(config-params-parameter-map)# redirect portal ipv4 192.168.0.98

外部ポータルの IPv4 アドレスを設定します。

ステップ 7

exit

例:

Device(config-params-parameter-map)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

wlan wlan-name wlan-id SSID-name

例:

Device(config)#  wlan EWLC3-GUEST 3 EWLC3-GUEST

WLAN を設定します。

ステップ 9

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 11r を無効にします。

ステップ 10

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 11

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 12

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化を無効にします。

ステップ 13

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 14

security web-auth

例:

Device(config-wlan)# security web-auth

WLAN の Web 認証を有効にします。

ステップ 15

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth authentication-list WEBAUTH

dot1x セキュリティ用の認証リストを有効にします。

ステップ 16

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map ISE-Ext-Webauth_IP

パラメータ マップを設定します。

(注)  

 

パラメータ マップが WLAN に関連付けられていない場合は、グローバル パラメータ マップの設定と見なされます。

ステップ 17

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

複数の Web サーバーやデフォルト(80/443)とは異なるポートを使用した EWA の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip access-list extended name

例:

Device(config)# ip access-list extended preauth_ISE_Ext_WA

名前を使用して拡張 IPv4 アクセスリストを定義し、アクセス リスト コンフィギュレーション モードを開始します。

ステップ 3

access-list-number permit tcp any host external_web_server_ip_address1 eq port-number

例:

Device(config)# 10 permit tcp any host 192.168.0.98 eq 8443

任意のホストから外部 Web サーバーポート番号 8443 へのアクセスを許可します。

ステップ 4

access-list-number permit tcp any host external_web_server_ip_address2 eq port-number

例:

Device(config)# 10 permit tcp any host 192.168.0.99 eq 8443

任意のホストから外部 Web サーバーポート番号 8443 へのアクセスを許可します。

ステップ 5

access-list-numberpermit udp any any eq domain

例:

Device(config)# 20 permit udp any any eq domain

DNS UDP トラフィックを許可します。

ステップ 6

access-list-numberpermit udp any any eq bootpc

例:

Device(config)# 30 permit udp any any eq bootpc

DHCP トラフィックを許可します。

ステップ 7

access-list-numberpermit udp any any eq bootps

例:

Device(config)# 40 permit udp any any eq bootps

DHCP トラフィックを許可します。

ステップ 8

access-list-number permit tcp host external_web_server_ip_address1 eq port_number any

例:

Device(config)# 50 permit tcp host 192.168.0.98 eq 8443 any

外部 Web サーバーポート 8443 から任意のホストへのアクセスを許可します。

ステップ 9

access-list-number permit tcp host external_web_server_ip_address2 eq port_number any

例:

Device(config)# 50 permit tcp host 192.168.0.99 eq 8443 any

外部 Web サーバーポート 8443 から任意のホストへのアクセスを許可します。

ステップ 10

access-list-numberpermit tcp any any eq domain

例:

Device(config)# 60 permit tcp any any eq domain

DNS TCP トラフィックを許可します。

ステップ 11

access-list-numberdeny ip any any

例:

Device(config)# 70 deny ip any any

他のすべてのトラフィックを拒否します。

ステップ 12

wlan wlan-name wlan-id ssid

例:

Device(config)# wlan EWLC3-GUEST 3 EWLC3-GUEST

WLAN を作成します。

ステップ 13

ip access-group web name

例:

Device(config-wlan)# ip access-group web preauth_ISE_Ext_WA

IPv4 WLAN の Web ACL を設定します。変数の name はユーザー定義の IPv4 ACL の名前を指定します。

ステップ 14

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

複数の Web サーバーやデフォルト(80/443)とは異なるポートを使用した有線ゲスト EWA の設定

始める前に

有線ゲスト LAN 設定に手動 ACL を割り当てることはできません。回避策は、グローバルパラメータマップでバイパス ACL を使用することです。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip access-list extended name

例:

Device(config)# ip access-list extended BYPASS_ACL

名前を使用して拡張 IPv4 アクセスリストを定義し、アクセス リスト コンフィギュレーション モードを開始します。

ステップ 3

access-list-number deny ip any host hostname

例:

Device(config)# 10 deny ip any host 192.168.0.45

トラフィックを中央でスイッチングできるようにします。

ステップ 4

access-list-number deny ip any host hostname

例:

Device(config)# 20 deny ip any host 4.0.0.1

トラフィックを中央でスイッチングできるようにします。

ステップ 5

parameter-map type webauth global

例:

Device(config)# parameter-map type webauth global

パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。

ステップ 6

webauth-bypass-intercept name

例:

Device(config-params-parameter-map)# webauth-bypass-intercept BYPASS_ACL

ACL 名を使用して WebAuth バイパス代行受信を作成します。

(注)  

 

有線ゲストプロファイルに手動 ACL を適用し、複数の IP アドレスまたは異なるポートを使用して外部 web 認証を設定することはできません。回避策は、有線ゲストプロファイルにバイパス ACL を使用することです。

ステップ 7

end

例:

Device(config-params-parameter-map)# end

特権 EXEC モードに戻ります。

スリープ状態にあるクライアントの認証

スリープ状態にあるクライアントの認証について

Web 認証に成功したゲスト アクセスを持つクライアントは、ログイン ページから別の認証プロセスを実行せずにスリープおよび復帰することを許可されています。再認証が必要になるまでスリープ状態にあるクライアントが記録される期間を設定できます。有効範囲は 10 ~ 43200 分、デフォルトは 720 分です。この期間は、WLAN にマッピングされている WebAuth パラメータマップでも設定できます。スリープ状態にあるクライアントのタイマーは、アイドルタイムアウト、セッションタイムアウト、WLAN の無効化、AP の停止などのインスタンスが原因で有効になることに注意してください。

この機能は FlexConnect のローカル スイッチング、中央認証のシナリオでサポートされています。


注意    
スリープ モードに切り替わったクライアント MAC アドレスがスプーフィングされた場合、ラップトップなどの偽のデバイスを認証することができます。

モビリティのシナリオ

次に、モビリティ シナリオでの注意事項を示します。

  • 同じサブネットの L2 ローミングがサポートされています。

  • アンカー スリープ タイマーを適用できます。

  • スリープ状態にあるクライアントの情報は、クライアントがアンカー間を移動する場合に、複数の自動アンカー間で共有されます。

スリープ状態にあるクライアントは、次のシナリオでは再認証が必要ありません。

  • モビリティグループに 2 台のコントローラ があるとします。1 台のコントローラ に関連付けられているクライアントがスリープ状態になり、その後復帰して他方のコントローラ に関連付けられます。

  • モビリティグループに 3 台のコントローラ があるとします。1 台目のコントローラ にアンカーされた 2 台目のコントローラに関連付けられたクライアントは、スリープ状態から復帰して、3 台目のコントローラ に関連付けられます。

  • クライアントはスリープ状態から復帰して、エクスポートアンカーにアンカーされた同じまたは別のエクスポート フォーリン コントローラ に関連付けられます。

スリープ状態にあるクライアントの認証に関する制約事項

  • スリープ クライアント機能は、WebAuth セキュリティが設定された WLAN に対してのみ動作します。

  • スリープ状態にあるクライアントは、WebAuth パラメータマップごとにのみ設定できます。

  • スリープ状態にあるクライアントの認証機能は、レイヤ 3 セキュリティが有効な WLAN でのみサポートされています。

  • レイヤ 3 セキュリティでは、認証、パススルー、および On MAC Filter 失敗 Web ポリシーがサポートされています。条件付き Web リダイレクトとスプラッシュ ページ Web リダイレクト Web ポリシーはサポートされていません。

  • スリープ状態にあるクライアントの中央 Web 認証はサポートされていません。

  • スリープ状態にあるクライアントの認証機能は、ゲスト LAN およびリモート LAN ではサポートされていません。

  • ローカル ユーザー ポリシーを持つスリープ状態のゲスト アクセス クライアントはサポートされていません。この場合、WLAN 固有のタイマーが適用されます。

スリープ状態のクライアントの認証の設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Web Auth]を選択します。

ステップ 2

[Webauth Parameter Map] タブで、パラメータ マップ名をクリックします。[Edit WebAuth Parameter] ウィンドウが表示されます。

ステップ 3

[Sleeping Client Status] チェックボックスをオンにします。

ステップ 4

[Update & Apply to Device] をクリックします。

スリープ状態のクライアントの認証の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

[no] parameter-map type webauth {parameter-map-name | global}

例:

Device(config)# parameter-map type webauth global

パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。

ステップ 2

sleeping-client [ timeout time]

例:

Device(config-params-parameter-map)# sleeping-client timeout 100

スリープ状態のクライアントのタイムアウトを 100 分に設定します。有効な範囲は 10 ~ 43200 分です。

(注)  

 

タイムアウト キーワードを使用しない場合、スリープ状態のクライアントにはデフォルトのタイムアウト値である 720 分が設定されます。

ステップ 3

end

parameter-map webauth コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 4

(任意) show wireless client sleeping-client

例:

Device# show wireless client sleeping-client
 (任意)

クライアントの MAC アドレスと、それぞれのセッションの残り時間を表示します。

ステップ 5

(任意) clear wireless client sleeping-client [ mac-address mac-addr]

例:

Device# clear wireless client sleeping-client 
mac-address 00e1.e1e1.0001
 (任意)

  • clear wireless client sleeping-client :スリープ状態のクライアント キャッシュからスリープ状態のクライアント エントリをすべて削除します。

  • clear wireless client sleeping-client mac-address mac-addr :スリープ状態のクライアント キャッシュから特定の MAC エントリを削除します。

複数の認証があるスリープ状態クライアント

スリープ状態クライアントのモビリティのサポート

リリース 17.1.1 以降では、ゲストおよび非ゲストのスリープ状態にあるクライアントについてモビリティがサポートされます。

複数の認証においてサポートされている組み合わせ

複数の認証機能では、WLAN プロファイルで設定されたスリープ状態クライアントがサポートされます。

次の表に、複数の認証においてサポートされている組み合わせの概要を示します。

表 3. 複数の認証においてサポートされている組み合わせ

レイヤ 2

レイヤ 3

サポート対象

MAB

LWA

対応

MAB のエラー

LWA

対応

Dot1x

LWA

対応

PSK

LWA

対応

複数の認証があるスリープ状態クライアントの設定

Dot1x およびローカル Web 認証用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

security dot1x authentication-list auth-list-name

例:

Device(config-wlan)#  security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。

ステップ 4

security web-auth

例:

Device(config-wlan)#  security web-auth

Web 認証を設定します。

ステップ 5

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)#  security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 6

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

MAC 認証バイパスおよびローカル Web 認証用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

mac-filtering list-name

例:

Device(config-wlan)#  mac-filtering cat-radius

MAC フィルタリング パラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ローカル Web 認証および MAC フィルタリング用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

mac-filtering list-name

例:

Device(config-wlan)#  mac-filtering cat-radius

MAC フィルタリング パラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x のセキュリティ認証キー管理 (AKM)を無効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure wlan-id

MAC フィルタリングおよび Web 認証を伴うフォールバックポリシーを設定します。

ステップ 7

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

WLAN での PSK + LWA の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

security web-auth

例:

Device(config-wlan)#  security web-auth

WLAN の Web 認証を有効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security wpa psk set-key ascii ascii/hex key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 1234567

WLAN の事前共有キーを設定します。

ステップ 7

security wpa akm psk

例:

Device(config-wlan)# security wpa akm psk

PSK サポートを設定します。

ステップ 8

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)#  security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 9

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

スリープ状態にあるクライアントの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth {parameter-map-name | global}

例:

Device(config)# parameter-map type webauth MAP-2

パラメータマップを作成し、parameter-map-name コンフィギュレーション モードを開始します。

グローバルキーワードで定義されたグローバルパラメータマップでサポートされる特定のコンフィギュレーション コマンドは、parameter-map-name 引数で定義された名前付きパラメータマップでサポートされるコマンドとは異なります。

ステップ 3

sleeping client [ timeout time]

例:

Device(config-params-parameter-map)#  sleeping-client timeout 60

スリープ状態にあるクライアントのタイムアウトを分単位で設定します。time 引数で使用可能な範囲は 10 ~ 43200 です。

注:timeout キーワードを使用しない場合、スリープ状態にあるクライアントにはデフォルトのタイムアウト値である 720 分が設定されます。

スリープ状態にあるクライアントの設定の確認

スリープ状態にあるクライアントの設定を確認するには、次のコマンドを使用します。

Device# show wireless client sleeping-client
Total number of sleeping-client entries: 1

MAC Address                    Remaining time (mm:ss)    
--------------------------------------------------------
2477.031b.aa18                 59:56

802.1X 認証およびローカル Web 認証を使用したマルチ認証組み合わせ

802.1X とローカル Web 認証のマルチ認証組み合わせの機能履歴

次の表に、このセクションで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 4. 802.1X とローカル Web 認証のマルチ認証組み合わせの機能履歴

リリース

機能

機能情報

Cisco IOS XE Dublin 17.11.1

802.1X とローカル Web 認証のマルチ認証組み合わせ

この機能は、802.1X または MAC 認証バイパス(MAB)およびローカル web 認証(LWA)のマルチ認証時に適用されるポリシーのマージをサポートします。

802.1X 認証およびローカル Web 認証を使用したマルチ認証組み合わせについて

大学などのワイヤレス設定では、クライアントは 802.1X 認証を介して認証されます。802.1X(dot1X)認証プロセスは安全であり、ユーザーの介入を必要としないため、エンドユーザーはデバイスが接続されているネットワークを認識しません。このため、大学のワイヤレスネットワークに接続して不適切なコンテンツを投稿したり制限コンテンツにアクセスしたりすると、深刻な懸念が生じる可能性があります。

この状況を回避するために、web 認証(webauth)と 802.1X 認証がネットワークで設定されます。エンドユーザーの同意は、大学の Wi-Fi ネットワークに接続していることをユーザーに通知する webauth の一部として使用されます。

エンドユーザーが同意のためにログイン情報を受け入れると、AAA ポリシーは適用されません。以前に適用された AAA ポリシーが削除され、結果として VLAN が変更され、クライアントが切断されます。

この問題を修正するため、Cisco IOS XE Dublin 17.11.1 で新しいコマンドが導入されました。consent activation-mode merge コマンドを実行すると、同意によって適用されるポリシーが 802.1X または MAC 認証バイパス(MAB)認証に適用されたポリシーとマージされ、クライアントがネットワークにアクセスできるようになります。このコマンドは、 type consent コマンドで設定されるパラメータマップモードで使用できます。

802.1X とローカル Web 認証のマルチ認証組み合わせに関する制限事項

次に、802.1X 認証と LWA のマルチ認証の組み合わせに関する制限事項を示します。

  • コントローラの GUI でこの機能を設定することはできません。

  • SNMP はサポートされていません。

  • consent activation-mode merge コマンドが WebAuth パラメータマップで設定されていない場合、デフォルトのアクティベーションモードは [Replace] です。つまり、同意用のユーザープロファイルは、以前に適用されたすべてのユーザー プロファイル ポリシーを置き換えます。

802.1X 認証とローカル Web 認証のマルチ認証組み合わせの有効化(CLI)

始める前に

マルチ認証の概念、LWA(同意)、および AAA オーバーライドに関する実用的な知識があることを確認します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth parameter-map-name

例:

Device(config)# parameter-map type webauth parameter-map1

webauth タイプ パラメータを設定します。パラメータ マップ コンフィギュレーション モードを開始します。

ステップ 3

type consent

例:

Device(config-params-parameter-map)# type consent

タイプを consent として設定します。

ステップ 4

[no] consent {activation-mode merge | email}

例:

Device(config-params-parameter-map)# consent activation-mode merge

ポリシー有効化モードを有効にし、以前のポリシーをマージします。この機能を無効にするには、このコマンドの no 形式を実行します。

802.1X 認証およびローカル Web 認証を使用したマルチ認証組み合わせの確認

802.1X 認証および LWA を使用してマルチ認証の組み合わせを確認するには、次のコマンドを実行します。
Device# show parameter-map type webauth lwa-consent
Parameter Map Name               : lwa_consent
  Banner Title                   : Consent Title
  Banner Text                    : Please accept the consent
  Type                           : consent
  Auth-proxy Init State time     : 300 sec
  Webauth max-http connection    : 200
  Webauth logout-window          : Enabled
  Webauth success-window         : Enabled
  Consent Email                  : Disabled
  Activation Mode                : Merge
  Sleeping-Client                : Disabled
  Webauth login-auth-bypass: