IEEE 802.1x サプリカントが実行されていないホスト システムのエンド ユーザを認証するには、Web 認証プロキシと呼ばれる Web ベース認証機能を使用します。
(注)
Web ベース認証は、レイヤ 2 およびレイヤ 3 インターフェイス上に設定できます。
HTTP セッションを開始すると、Web ベース認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。 ユーザはクレデンシャルを入力します。このクレデンシャルは、Web ベース認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバに送信されます。
認証に成功した場合、Web ベース認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバから返されたアクセス ポリシーを適用します。
認証に失敗した場合、Web ベース認証は、ログインの失敗を示す HTML ページをユーザに転送し、ログインを再試行するように、ユーザにプロンプトを表示します。 最大試行回数を超過した場合、Web ベース認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザは待機期間中、ウォッチ リストに載せられます。
Web ベース認証とポート セキュリティは、同じポートに設定できます。 Web ベース認証はポートを認証し、ポート セキュリティは、クライアントの MAC アドレスを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。 この場合、このポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
Web ベース認証は、ダウンロード可能なホスト ポリシーとして、VLAN 割り当てをサポートしていません。
Web ベース認証はセッション認識型ポリシー モードで IPv6 をサポートします。 IPv6 Web 認証には、スイッチで設定された少なくても 1 つの IPv6 アドレスおよびスイッチ ポートに設定設定された IPv6 スヌーピングが必要です。
Web ベース認証および Network Edge Access Topology(NEAT)は、相互に排他的です。 インターフェイス上で NEAT がイネーブルの場合、Web ベース認証を使用できず、インターフェイス上で Web ベース認証が実行されている場合は、NEAT を使用できません。
コントローラ上の Web ベースの RADIUS 認証に対してサポートされるのは、パスワード認証プロトコル(PAP)だけです。 チャレンジ ハンドシェイク認証プロトコル(CHAP)は、コントローラ上の Web ベースの RADIUS 認証に対してサポートされません。
認証ルールとインターフェイスの設定
次に、設定を確認する例を示します。
Controller# show ip admission status
IP admission status:
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
認証ルールおよびインターフェイスを設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1.configure terminal
2.ip admissionnamenameproxyhttp
3.interfacetypeslot/port
4.ip access-groupname
5.ip admissionname
6.exit
7.ip device tracking
8.end
9.show ip admission status
10.copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
configure terminal
例:
Controller# configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2
ip admissionnamenameproxyhttp
例:
Controller(config)# ip admission name webauth1 proxy http
ip admission proxy http login page filedevice:login-filename
例:
Controller(config)# ip admission proxy http login page file disk1:login.htm
スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 device: はフラッシュ メモリです。
ステップ 3
ip admission proxy http success page filedevice:success-filename
例:
Controller(config)# ip admission proxy http success page file disk1:success.htm
デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 4
ip admission proxy http failure page filedevice:fail-filename
例:
Controller(config)# ip admission proxy http fail page file disk1:fail.htm
デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 5
ip admission proxy http login expired page filedevice:expired-filename
例:
Controller(config)# ip admission proxy http login expired page file disk1:expired.htm
デフォルトのログイン失効ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 6
end
例:
Controller(config)# end
特権 EXEC モードに戻ります。
カスタム認証プロキシ Web ページの確認
次の例では、カスタム認証プロキシ Web ページの設定を確認する方法を示します。
Controller# show ip admission status
IP admission status:
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
ip admission proxy http success redirecturl-string
例:
Controller(config)# ip admission proxy http success redirect www.example.com
デフォルトのログイン成功ページの代わりにユーザをリダイレクトする URL を指定します。
ステップ 3
end
例:
Controller(config)# end
特権 EXEC モードに戻ります。
ログイン成功時のリダイレクション URL の確認
Controller# show ip admission status
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
Web ベース認証キャッシュ エントリを削除するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1.clear ip auth-proxy cache {* | host ip address}
2.clear ip admission cache {* | host ip address}
手順の詳細
コマンドまたはアクション
目的
ステップ 1
clear ip auth-proxy cache {* | host ip address}
例:
Controller# clear ip auth-proxy cache 192.168.4.5
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。
ステップ 2
clear ip admission cache {* | host ip address}
例:
Controller# clear ip admission cache 192.168.4.5
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。
サンプル Web 認証ログイン HTML
サンプル Web 認証ログイン ページ(webauth_login)を使用できます。 このサンプル ページを変更またはカスタマイズする場合は、HTML に関する知識を持っている開発者を参加させる必要があります。Cisco Technical Assistance Center では HTML に関する対応は行いません。
<HTML><HEAD>
<TITLE>Authentication Proxy Login Page</TITLE>
<script type="text/javascript">
var pxypromptwindow1;
var pxysubmitted = false;
function submitreload() {
if (pxysubmitted == false) {
pxypromptwindow1=window.open('', 'pxywindow1', 'resizable=no,width=350,
height=350,scrollbars=yes');
pxysubmitted = true;
return true;
} else {
alert("This page can not be submitted twice.");
return false;
}
}
</script>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<style type="text/css">
body {
background-color: #ffffff;
}
</style>
</HEAD>
<BODY>
<H1><img src="http://192.168.2.91/flash:web_auth_logo.png" width="75" height="50"
alt="Cisco Logo" longdesc="http://www.cisco.com"></H1>
<center>
<H2> Wireless Guest Access Web Authentication</H2>
<center>
<iframe src="http://192.168.2.91/flash:web_auth_aup.html" width="950" height="250"
scrolling="auto"></iframe><BR><BR>
<FORM method=post action="/" target="pxywindow1">
Username: <input type=text name=uname><BR><BR>
Password: <input type=password name=pwd><BR><BR>
<input type=submit name=ok value=OK onClick="return submitreload();">
</FORM><noscript>
<BR>
<UL>
<H2><FONT COLOR="red">Warning!</FONT></H2>
<p>JavaScript should be enabled in your Web browser
for secure authentication</p>
<LI>Follow the instructions of your Web browser to enable
JavaScript if you would like to have JavaScript enabled
for secure authentication</LI>
<BR>OR<BR><BR>
<LI> Follow these steps if you want to keep JavaScript
disabled or if your browser does not support JavaScript
<OL><BR>
<LI> Close this Web brower window</LI>
<LI> Click on Reload button of the original browser window</LI>
</OL></LI>
</UL>
</noscript>
<center>
<p> </p>
<img src="http://192.168.2.91/flash:web_auth_cisco.png" alt="Cisco Powered" width="215"
height="136" align="middle" longdesc="http://www.cisco.com">
</center>
</BODY></HTML>
Web ベース認証ステータスのモニタリング
すべてのインターフェイスまたは特定のポートに対する Web ベース認証設定を表示するには、このトピックのコマンドを使用します。
表 2 特権 EXEC 表示コマンド
コマンド
目的
show authentication sessions method webauth
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットのすべてのインターフェイスに対する Web ベースの認証設定を表示します。
show authentication sessionsinterfacetype slot/port[details]
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットの特定のインターフェイスに対する Web ベースの認証設定を表示します。
IEEE 802.1x サプリカントが実行されていないホスト システムのエンド ユーザを認証するには、Web 認証プロキシと呼ばれる Web ベース認証機能を使用します。
(注)
Web ベース認証は、レイヤ 2 およびレイヤ 3 インターフェイス上に設定できます。
HTTP セッションを開始すると、Web ベース認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。 ユーザはクレデンシャルを入力します。このクレデンシャルは、Web ベース認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバに送信されます。
認証に成功した場合、Web ベース認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバから返されたアクセス ポリシーを適用します。
認証に失敗した場合、Web ベース認証は、ログインの失敗を示す HTML ページをユーザに転送し、ログインを再試行するように、ユーザにプロンプトを表示します。 最大試行回数を超過した場合、Web ベース認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザは待機期間中、ウォッチ リストに載せられます。
Web ベース認証とポート セキュリティは、同じポートに設定できます。 Web ベース認証はポートを認証し、ポート セキュリティは、クライアントの MAC アドレスを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。 この場合、このポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
Web ベース認証は、ダウンロード可能なホスト ポリシーとして、VLAN 割り当てをサポートしていません。
Web ベース認証はセッション認識型ポリシー モードで IPv6 をサポートします。 IPv6 Web 認証には、スイッチで設定された少なくても 1 つの IPv6 アドレスおよびスイッチ ポートに設定設定された IPv6 スヌーピングが必要です。
Web ベース認証および Network Edge Access Topology(NEAT)は、相互に排他的です。 インターフェイス上で NEAT がイネーブルの場合、Web ベース認証を使用できず、インターフェイス上で Web ベース認証が実行されている場合は、NEAT を使用できません。
コントローラ上の Web ベースの RADIUS 認証に対してサポートされるのは、パスワード認証プロトコル(PAP)だけです。 チャレンジ ハンドシェイク認証プロトコル(CHAP)は、コントローラ上の Web ベースの RADIUS 認証に対してサポートされません。
認証ルールとインターフェイスの設定
次に、設定を確認する例を示します。
Controller# show ip admission status
IP admission status:
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
認証ルールおよびインターフェイスを設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1.configure terminal
2.ip admissionnamenameproxyhttp
3.interfacetypeslot/port
4.ip access-groupname
5.ip admissionname
6.exit
7.ip device tracking
8.end
9.show ip admission status
10.copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
configure terminal
例:
Controller# configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2
ip admissionnamenameproxyhttp
例:
Controller(config)# ip admission name webauth1 proxy http
ip admission proxy http login page filedevice:login-filename
例:
Controller(config)# ip admission proxy http login page file disk1:login.htm
スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 device: はフラッシュ メモリです。
ステップ 3
ip admission proxy http success page filedevice:success-filename
例:
Controller(config)# ip admission proxy http success page file disk1:success.htm
デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 4
ip admission proxy http failure page filedevice:fail-filename
例:
Controller(config)# ip admission proxy http fail page file disk1:fail.htm
デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 5
ip admission proxy http login expired page filedevice:expired-filename
例:
Controller(config)# ip admission proxy http login expired page file disk1:expired.htm
デフォルトのログイン失効ページの代わりに使用するカスタム HTML ファイルの場所を指定します。
ステップ 6
end
例:
Controller(config)# end
特権 EXEC モードに戻ります。
カスタム認証プロキシ Web ページの確認
次の例では、カスタム認証プロキシ Web ページの設定を確認する方法を示します。
Controller# show ip admission status
IP admission status:
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
ip admission proxy http success redirecturl-string
例:
Controller(config)# ip admission proxy http success redirect www.example.com
デフォルトのログイン成功ページの代わりにユーザをリダイレクトする URL を指定します。
ステップ 3
end
例:
Controller(config)# end
特権 EXEC モードに戻ります。
ログイン成功時のリダイレクション URL の確認
Controller# show ip admission status
Enabled interfaces 0
Total sessions 0
Init sessions 0 Max init sessions allowed 100
Limit reached 0 Hi watermark 0
TCP half-open connections 0 Hi watermark 0
TCP new connections 0 Hi watermark 0
TCP half-open + new 0 Hi watermark 0
HTTPD1 Contexts 0 Hi watermark 0
Parameter Map: Global
Custom Pages
Custom pages not configured
Banner
Banner not configured
Web ベース認証キャッシュ エントリを削除するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1.clear ip auth-proxy cache {* | host ip address}
2.clear ip admission cache {* | host ip address}
手順の詳細
コマンドまたはアクション
目的
ステップ 1
clear ip auth-proxy cache {* | host ip address}
例:
Controller# clear ip auth-proxy cache 192.168.4.5
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。
ステップ 2
clear ip admission cache {* | host ip address}
例:
Controller# clear ip admission cache 192.168.4.5
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。
サンプル Web 認証ログイン HTML
サンプル Web 認証ログイン ページ(webauth_login)を使用できます。 このサンプル ページを変更またはカスタマイズする場合は、HTML に関する知識を持っている開発者を参加させる必要があります。Cisco Technical Assistance Center では HTML に関する対応は行いません。
<HTML><HEAD>
<TITLE>Authentication Proxy Login Page</TITLE>
<script type="text/javascript">
var pxypromptwindow1;
var pxysubmitted = false;
function submitreload() {
if (pxysubmitted == false) {
pxypromptwindow1=window.open('', 'pxywindow1', 'resizable=no,width=350,
height=350,scrollbars=yes');
pxysubmitted = true;
return true;
} else {
alert("This page can not be submitted twice.");
return false;
}
}
</script>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<style type="text/css">
body {
background-color: #ffffff;
}
</style>
</HEAD>
<BODY>
<H1><img src="http://192.168.2.91/flash:web_auth_logo.png" width="75" height="50"
alt="Cisco Logo" longdesc="http://www.cisco.com"></H1>
<center>
<H2> Wireless Guest Access Web Authentication</H2>
<center>
<iframe src="http://192.168.2.91/flash:web_auth_aup.html" width="950" height="250"
scrolling="auto"></iframe><BR><BR>
<FORM method=post action="/" target="pxywindow1">
Username: <input type=text name=uname><BR><BR>
Password: <input type=password name=pwd><BR><BR>
<input type=submit name=ok value=OK onClick="return submitreload();">
</FORM><noscript>
<BR>
<UL>
<H2><FONT COLOR="red">Warning!</FONT></H2>
<p>JavaScript should be enabled in your Web browser
for secure authentication</p>
<LI>Follow the instructions of your Web browser to enable
JavaScript if you would like to have JavaScript enabled
for secure authentication</LI>
<BR>OR<BR><BR>
<LI> Follow these steps if you want to keep JavaScript
disabled or if your browser does not support JavaScript
<OL><BR>
<LI> Close this Web brower window</LI>
<LI> Click on Reload button of the original browser window</LI>
</OL></LI>
</UL>
</noscript>
<center>
<p> </p>
<img src="http://192.168.2.91/flash:web_auth_cisco.png" alt="Cisco Powered" width="215"
height="136" align="middle" longdesc="http://www.cisco.com">
</center>
</BODY></HTML>
Web ベース認証ステータスのモニタリング
すべてのインターフェイスまたは特定のポートに対する Web ベース認証設定を表示するには、このトピックのコマンドを使用します。
表 2 特権 EXEC 表示コマンド
コマンド
目的
show authentication sessions method webauth
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットのすべてのインターフェイスに対する Web ベースの認証設定を表示します。
show authentication sessionsinterfacetype slot/port[details]
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットの特定のインターフェイスに対する Web ベースの認証設定を表示します。