認証の概要
Web 認証は、オープン認証または適切なレイヤ 2 セキュリティ方式を使用して、WLAN 上のホストへの簡単で安全なゲストアクセスを提供するように設計されたレイヤ 3 セキュリティソリューションです。Web 認証を使用すると、クライアント側で最小限の設定を行うだけで、ユーザーはワイヤレスクライアントの Web ブラウザを介して認証を受けることができます。これにより、ユーザーはユーザープロファイルを設定しなくても、オープン SSID に関連付けることができます。ホストは DHCP サーバーから IP アドレスと DNS 情報を受け取りますが、認証に成功するまでネットワークリソースにアクセスできません。ホストがゲストネットワークに接続すると、WLC はホストを認証 Web ページにリダイレクトします。そこで、ユーザーは有効なログイン情報を入力する必要があります。ログイン情報は WLC または外部認証サーバーによって認証され、認証に成功すると、ネットワークへのフルアクセスが許可されます。また、事前認証 ACL 機能を設定する必要がある認証の前に、特定のネットワークリソースへの制限付きアクセスをホストに許可することもできます。
次に、さまざまなタイプの Web 認証方式を示します。
-
ローカル Web 認証(LWA):コントローラ上のレイヤ 3 セキュリティとして設定され、Web 認証ページと事前認証 ACL はコントローラでローカルに設定されます。コントローラは、htttp(s) トラフィックを代行受信し、認証のためにクライアントを内部 Web ページにリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。
-
外部 Web 認証(EWA):コントローラ上のレイヤ 3 セキュリティとして設定され、コントローラは htttp(s) トラフィックを代行受信し、外部 Web サーバーでホストされているログインページにクライアントをリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。事前認証 ACL は、コントローラで静的に設定されます。
-
中央 Web 認証(CWA):主にコントローラ上のレイヤ 2 セキュリティとして設定され、リダイレクト URL と事前認証 ACL は ISE 上に存在し、レイヤ 2 認証時にコントローラにプッシュされます。コントローラは、クライアントからのすべての Web トラフィックを ISE ログインページにリダイレクトします。ISE は、HTTPS を介してクライアントによって入力されたログイン情報を検証し、ユーザーを認証します。
IEEE 802.1x サプリカントが実行されていないホスト システムでエンド ユーザーを認証するには、Web 認証プロキシとして知られている 認証機能を使用します。
クライアントが HTTP セッションを開始すると、認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザーに HTML ログインページを送信します。ユーザーはクレデンシャルを入力します。このクレデンシャルは、認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバーに送信されます。
認証に成功した場合、認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバーから返されたアクセス ポリシーを適用します。
認証に失敗した場合、認証は、ログインの失敗を示す HTML ページをユーザーに転送し、ログインを再試行するように、ユーザーにプロンプトを表示します。最大試行回数を超過した場合、認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザーは。
(注) |
Webauth クライアントの認証試行時に受信する traceback には、パフォーマンスや行動への影響はありません。これは、ACL アプリケーションの EPM に FFM が返信したコンテキストがすでにキュー解除済み(タイマーの有効期限切れの可能性あり)で、セッションが「未承認」になった場合にまれに発生します。 |
(注) |
コマンド許可が TACACS を介した AAA 認証構成の一部として有効になっていて、対応する方式リストが HTTP 構成の一部として設定されていない場合、WebUI ページでデータが読み込まれません。ただし、一部のワイヤレス機能ページは、コマンドベースではなく権限ベースであるため、動作する場合があります。 |
Web ページがホストされている場所に基づいて、ローカル Web 認証は次のように分類できます。
-
内部:ローカル Web 認証時に、 組み込みワイヤレスコントローラの内部デフォルト HTML ページ(ログイン、成功、失敗、および期限切れ)が使用されます。
-
カスタマイズ:ローカル Web 認証時に、カスタマイズされた Web ページ(ログイン、成功、失敗、および期限切れ)が 組み込みワイヤレスコントローラにダウンロードされ、使用されます。
-
外部:組み込みまたはカスタム Web ページを使用する代わりに、外部 Web サーバー上でカスタマイズされた Web ページがホストされます。
さまざまな Web 認証ページに基づき、Web 認証のタイプは次のように分類できます。
-
Webauth:これが基本的な Web 認証です。この場合、 組み込みワイヤレスコントローラはユーザー名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザーは正しいクレデンシャルを入力する必要があります。
-
Consent または web-passthrough:この場合、コントローラは [Accept] ボタンまたは [Deny] ボタンが表示されたポリシー ページを提示します。ネットワークにアクセスするには、ユーザーは [Accept] ボタンをクリックする必要があります。
-
Webconsent:これは webauth と consent の Web 認証タイプの組み合わせです。この場合、 組み込みワイヤレスコントローラは、[Accept] ボタンまたは [Deny] ボタンがあり、ユーザー名とパスワードの入力が必要なポリシーページを提示します。ネットワークにアクセスするには、ユーザーは正しいクレデンシャルを入力して [Accept] ボタンをクリックする必要があります。
(注) |
|
(注) |
|
デバイスのロール
ローカル Web 認証では、ネットワーク上のデバイスに次のような固有の役割があります。
-
クライアント:ネットワークおよびコントローラへのアクセスを要求し、コントローラからの要求に応答するデバイス(ワークステーション)。このワークステーションでは、Java Script が有効な HTML ブラウザが実行されている必要があります。
-
認証サーバー:クライアントを認証します。認証サーバーはクライアントの ID を確認し、そのクライアントにネットワークおよびコントローラサービスへのアクセスを許可するか、そのクライアントを拒否するかをコントローラに通知します。
-
コントローラ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。コントローラはクライアントと認証サーバーとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、識別情報を認証サーバーで確認し、クライアントに応答をリレーします。
認証プロセス
ページがコントローラでホストされている場合、コントローラは仮想 IP(通常は 192.0.2.1 などのルーティング不可能な IP)を使用してリクエストを処理します。ページが外部でホストされている場合、Web リダイレクトは最初にクライアントを仮想 IP に送信します。その後、仮想 IP の場所などの引数が URL に追加されて、ユーザーが外部ログインページに再度送信されます。ページが外部でホストされている場合でも、ユーザーはそのログイン情報を仮想 IP に送信します。
ローカル Web 認証を有効にすると、次のイベントが発生します。
-
ユーザーが HTTP セッションを開始します。
-
HTTP トラフィックが横取りされ、認証が開始されます。コントローラは、ユーザーにログインページを送信します。ユーザーはユーザー名とパスワードを入力します。コントローラはこのエントリを認証サーバーに送信します。
-
認証に成功した場合、コントローラは、認証サーバーからこのユーザーのアクセスポリシーをダウンロードし、アクティブ化します。ログインの成功ページがユーザーに送信されます
-
認証に失敗した場合は、コントローラはログインの失敗ページを送信します。ユーザーはログインを再試行します。失敗の回数が試行回数の最大値に達した場合、コントローラは、ログイン期限切れページを送信します。このホストはウォッチリストに入れられます。ウォッチ リストのタイム アウト後、ユーザーは認証プロセスを再試行することができます。
-
認証サーバーを利用できない場合、Web 認証が再試行された後、クライアントは除外状態に移行し、クライアントに [Authentication Server is Unavailable] ページが表示されます。
-
ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しなかった場合、またはホストがレイヤ 3 インターフェイスでアイドルタイムアウト内にトラフィックを送信しなかった場合、コントローラはクライアントを再認証します。
-
クライアントにはすでに IP アドレスが割り当てられており、VLAN が変更された場合はクライアントの IP アドレスを変更できないため、Web 認証セッションは認証ポリシーの一部として新しい VLAN を適用できません。
-
Termination-Action がデフォルトである場合、セッションは廃棄され、適用されたポリシーは削除されます。
ローカル Web 認証バナー
Web 認証を使用して、デフォルトのカスタマイズ済み Web ブラウザバナーを作成して、コントローラにログインしたときに表示されるようにできます。
このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。デフォルトのバナー メッセージは次のとおりです。
-
認証成功
-
認証失敗
-
認証期限切れ
ローカル Web 認証バナーは、次のように設定できます。
-
次のグローバル コンフィギュレーション コマンドを使用します。
Device(config)# parameter map type webauth global Device(config-params-parameter-map)# banner ? file <file-name> text <Banner text> title <Banner title>
ログイン ページには、デフォルトのバナー、Cisco Systems、および Switch host-name Authentication が表示されます。Cisco Systems は認証結果ポップアップ ページに表示されます。
バナーは次のようにカスタマイズ可能です。
-
スイッチ名、ルータ名、または会社名などのメッセージをバナーに追加する。
-
新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。
parameter-map type webauth global
banner text <text>
-
-
ロゴまたはテキスト ファイルをバナーに追加する。
-
新スタイル モード:次のグローバル コンフィギュレーション コマンドを使用します。
parameter-map type webauth global
banner file <filepath>
-
バナーが有効にされていない場合、Web 認証ログイン画面にはユーザー名とパスワードのダイアログボックスだけが表示され、スイッチにログインしたときにはバナーは表示されません。
カスタマイズされたローカル Web 認証
ローカル Web 認証プロセスでは、スイッチ内部の HTTP サーバーは、認証中のクライアントに配信される 4 種類の HTML ページをホストします。サーバーはこれらのページを使用して、ユーザーに次の 4 種類の認証プロセス ステートを通知します。
-
ログイン:ログイン情報が要求されます
-
成功:ログインに成功しました
-
失敗:ログインに失敗しました
-
期限切れ:ログインの失敗回数が多すぎて、ログインセッションが期限切れになりました
(注) |
カスタム Web 認証を設定するには、仮想 IP アドレスが必要です。 |
ガイドライン
-
デフォルトの内部 HTML ページの代わりに、独自の HTML ページを使用することができます。
-
ロゴを使用することもできますし、ログイン、成功、失敗、および期限切れ Web ページでテキストを指定することもできます。
-
バナー ページで、ログイン ページのテキストを指定できます。
-
これらのページは、HTML で記述されています。
-
成功ページには、特定の URL にアクセスするための HTML リダイレクト コマンドを記入する必要があります。
-
この URL 文字列は有効な URL(例:http://www.cisco.com)でなければなりません。不完全な URL は、Web ブラウザで、「ページが見つかりません」またはこれに類似するエラーの原因となる可能性があります。
-
HTTP 認証で使用される Web ページを設定する場合、これらのページには適切な HTML コマンド(例:ページのタイム アウトを設定、暗号化されたパスワードの設定、同じページが 2 回送信されていないことの確認など)を記入する必要があります. WebAuth バンドルのカスタムページのサンプルには、変更できるものと変更できないものに関する画像と詳細が含まれています。
-
設定されたログイン フォームが有効な場合、特定の URL にユーザーをリダイレクトする CLI コマンドは使用できません。管理者は、Web ページにリダイレクトが設定されていることを保証する必要があります。
-
認証後、特定の URL にユーザーをリダイレクトする CLI コマンドを入力してから、Web ページを設定するコマンドを入力した場合、特定の URL にユーザーをリダイレクトする CLI コマンドは効力を持ちません。
-
設定された Web ページは、スイッチのブート フラッシュ、またはフラッシュにコピーできます。
-
ログインページを任意のフラッシュ上に、成功ページと失敗ページを別のフラッシュ(たとえば、アクティブスイッチ、またはメンバスイッチのフラッシュ)に配置できます。
-
4 ページすべてを設定する必要があります。
-
システムディレクトリ(たとえば、flash、disk0、disk)に保存されていて、ログインページに表示する必要のあるロゴファイル(イメージ、フラッシュ、オーディオ、ビデオなど)すべてには、必ず、web_auth_<filename> の形式で名前を付けてください。
-
設定された認証プロキシ機能は、HTTP と SSL の両方をサポートしています。
デフォルトの内部 HTML ページの代わりに、自分の HTML ページを使用することができます。認証後のユーザーのリダイレクト先で、内部成功ページの代わりとなる URL を指定することもできます。
成功ログインに対するリダイレクト URL の注意事項
成功ログインに対するリダイレクション URL を設定する場合、次の注意事項に従ってください。
-
カスタム認証プロキシ Web ページ機能がイネーブルに設定されている場合、リダイレクション URL 機能はディセーブルにされ、CLI では使用できません。リダイレクションは、カスタム ログイン成功ページで実行できます。
-
リダイレクション URL 機能が有効に設定されている場合、設定された auth-proxy-banner は使用されません。
-
リダイレクション URL の指定を解除するには、このコマンドの no 形式を使用します。
-
Web ベースの認証クライアントが正常に認証された後にリダイレクション URL が必要な場合、URL 文字列は有効な URL(たとえば http://)で開始し、その後に URL 情報が続く必要があります。http:// を含まない URL が指定されると、正常に認証が行われても、そのリダイレクション URL によって Web ブラウザでページが見つからないまたは同様のエラーが生じる場合があります。