中央 Web 認証について
中央 Web 認証では、Web ポータルとして機能する中央デバイス(この例では ISE)を配置することができます。通常のローカル Web 認証と比較した場合の主な相違点は、MAC フィルタリングまたは dot1x 認証に伴ってレイヤ 2 にシフトされることです。また、RADIUS サーバ(この例では ISE)が、スイッチに対して Web リダイレクションの必要性を指示する特別な属性を返す点も異なります。このソリューションにより、Web 認証を開始する際の遅延が解消されます。
クライアント ステーションの MAC アドレスがグローバルに RADIUS サーバに知られていない場合(ただし他の基準を使用することも可能)、サーバはリダイレクション属性を返し、コントローラは(MAC フィルタリングを使用して)ステーションを認可しますが、Web トラフィックをポータルへリダイレクトするためのアクセス リストを配置します。
ユーザがゲスト ポータルへログインすると、クライアントの再認証が可能になり、認可変更(CoA)を使用する新しいレイヤ 2 MAC フィルタリングが行われます。これにより、ISE が Web 認証ユーザだったことが ISE により記憶され、ISE は、ネットワークにアクセスするために必要な許可属性をコントローラにプッシュします。
中央 Web 認証の前提条件
次のことに注意してください。
-
Cisco Identity Services Engine(ISE)
-
クラウドの Cisco Catalyst 9800 ワイヤレス コントローラ