- はじめに
- コマンドライン インターフェイスの使用
- Web グラフィカル ユーザ インターフェイスの使用
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- TACACS+ の設定
- RADIUS の設定
- Kerberos の設定
- ローカル認証および許可の設定
- ローカル認証の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベース認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- Cisco TrustSec の設定
- IPv6 ファースト ホップ セキュリティの設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- wIPS の設定
- ワイヤレス ゲスト アクセスの設定
- 侵入検知システムの設定
セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)
- Updated:
- 2017年6月28日
章のタイトル: Web ベース認証の設定
目次
- Web ベース認証の設定
- 機能情報の確認
- Web ベース認証について
- デバイスの役割
- ホストの検出
- セッションの作成
- 認証プロセス
- ローカル Web 認証バナー
- Web 認証カスタマイズ可能な Web ページ
- ガイドライン
- 認証プロキシ Web ページの注意事項
- 成功ログインに対するリダイレクト URL の注意事項
- その他の機能と Web ベース認証の相互作用
- ポート セキュリティ
- LAN ポート IP
- ゲートウェイ IP
- ACL
- コンテキストベース アクセス コントロール
- EtherChannel
- Web ベース認証の設定方法
- デフォルトの Web ベース認証の設定
- Web ベース認証の設定に関する注意事項と制約事項
- 認証ルールとインターフェイスの設定
- AAA 認証の設定
- スイッチ/RADIUS サーバ間通信の設定
- HTTP サーバの設定
- 認証プロキシ Web ページのカスタマイズ
- 成功ログインに対するリダイレクション URL の指定
- Web ベース認証パラメータの設定
- Web 認証ローカル バナーの設定
- Web ベース認証キャッシュ エントリの削除
- サンプル Web 認証ログイン HTML
- Web ベース認証ステータスのモニタリング
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
Web ベース認証について
IEEE 802.1x サプリカントが実行されていないホスト システムのエンド ユーザを認証するには、Web 認証プロキシと呼ばれる Web ベース認証機能を使用します。
 (注) |
Web ベース認証は、レイヤ 2 およびレイヤ 3 インターフェイス上に設定できます。 |
HTTP セッションを開始すると、Web ベース認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。 ユーザはクレデンシャルを入力します。このクレデンシャルは、Web ベース認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバに送信されます。
認証に成功した場合、Web ベース認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバから返されたアクセス ポリシーを適用します。
認証に失敗した場合、Web ベース認証は、ログインの失敗を示す HTML ページをユーザに転送し、ログインを再試行するように、ユーザにプロンプトを表示します。 最大試行回数を超過した場合、Web ベース認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザは待機期間中、ウォッチ リストに載せられます。
デバイスの役割
Web ベース認証では、ネットワーク上のデバイスに次のような固有の役割があります。
-
クライアント:LAN およびサービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。 このワークステーションでは、Java Script がイネーブルに設定された HTML ブラウザが実行されている必要があります。
-
認証サーバ:クライアントを認証します。 認証サーバはクライアントの識別情報を確認し、そのクライアントが LAN およびスイッチのサービスへのアクセスを許可されたか、あるいはクライアントが拒否されたのかをスイッチに通知します。
-
スイッチ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。 スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。
ホストの検出
スイッチは、検出されたホストに関する情報を格納するために、IP デバイス トラッキング テーブルを維持します。
(注) |
デフォルトでは、スイッチの IP 装置追跡機能はディセーブルにされています。 Web ベース認証を使用するには、IP デバイスのトラッキング機能をイネーブルにする必要があります。 |
セッションの作成
認証プロセス
Web ベース認証をイネーブルにすると、次のイベントが発生します。
-
HTTP トラフィックが代行受信され、認証が開始されます。 スイッチは、ユーザにログイン ページを送信します。 ユーザはユーザ名とパスワードを入力します。スイッチはこのエントリを認証サーバに送信します。
-
認証に成功した場合、スイッチは認証サーバからこのユーザのアクセス ポリシーをダウンロードし、アクティブ化します。 ログインの成功ページがユーザに送信されます
-
認証に失敗した場合は、スイッチはログインの失敗ページを送信します。 ユーザはログインを再試行します。 失敗の回数が試行回数の最大値に達した場合、スイッチはログイン期限切れページを送信します。このホストはウォッチ リストに入れられます。 ウォッチ リストのタイム アウト後、ユーザは認証プロセスを再試行することができます。
-
認証サーバがスイッチに応答せず、AAA 失敗ポリシーが設定されている場合、スイッチはホストに失敗アクセス ポリシーを適用します。 ログインの成功ページがユーザに送信されます
-
ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しなかった場合、またはホストがレイヤ 3 インターフェイスでアイドル タイムアウト内にトラフィックを送信しなかった場合、スイッチはクライアントを再認証します。
-
Termination-Action が RADIUS である場合、この機能は、サーバに NRH 要求を送信します。 Termination-Action は、サーバからの応答に含まれます。
ローカル Web 認証バナー
Web 認証を使用して、デフォルトのカスタマイズ済み Web ブラウザ バナーを作成して、スイッチにログインしたときに表示するようにできます。
このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。 デフォルトのバナー メッセージは次のとおりです。
ローカル ネットワーク認証バナーは、レガシーおよび新スタイル(セッション アウェア)CLI で次のように設定できます。
-
レガシー モード:ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドを使用します。
-
新スタイル モード:parameter-map type webauth global banner グローバル コンフィギュレーション コマンドを使用します。
ログイン ページには、デフォルトのバナー、Cisco Systems、および Switch host-name Authentication が表示されます。 Cisco Systems は認証結果ポップアップ ページに表示されます。
バナーがイネーブルにされていない場合、Web 認証ログイン画面にはユーザ名とパスワードのダイアログボックスだけが表示され、スイッチにログインしたときにはバナーは表示されません。
Web 認証カスタマイズ可能な Web ページ
Web ベース認証プロセスでは、スイッチ内部の HTTP サーバは、認証中のクライアントに配信される 4 種類の HTML ページをホストします。 サーバはこれらのページを使用して、ユーザに次の 4 種類の認証プロセス ステートを通知します。
ガイドライン
-
ロゴを使用することもできますし、ログイン、成功、失敗、および期限切れ Web ページでテキストを指定することもできます。
-
この URL 文字列は有効な URL(例:http://www.cisco.com)でなければなりません。 不完全な URL は、Web ブラウザで、「ページが見つかりません」またはこれに類似するエラーの原因となる可能性があります。
-
HTTP 認証で使用される Web ページを設定する場合、これらのページには適切な HTML コマンド(例:ページのタイム アウトを設定、暗号化されたパスワードの設定、同じページが 2 回送信されていないことの確認など)を記入する必要があります.
-
設定されたログイン フォームがイネーブルにされている場合、特定の URL にユーザをリダイレクトする CLI コマンドは使用できません。 管理者は、Web ページにリダイレクトが設定されていることを保証する必要があります。
-
認証後、特定の URL にユーザをリダイレクトする CLI コマンドを入力してから、Web ページを設定するコマンドを入力した場合、特定の URL にユーザをリダイレクトする CLI コマンドは効力を持ちません。
-
スタック可能なスイッチでは、スタック マスターまたはスタック メンバーのフラッシュから設定済みのページにアクセスできます。
-
ログイン ページを 1 つのフラッシュ上に、成功ページと失敗ページを別のフラッシュ(たとえば、スタック マスター、またはメンバのフラッシュ)にすることができます。
-
システム ディレクトリ(たとえば、flash、disk0、disk)に保存されていて、ログイン ページに表示する必要のあるロゴ ファイル(イメージ、フラッシュ、オーディオ、ビデオなど)すべてには、必ず、web_auth_<filename> の形式で名前をつけてください。
デフォルトの内部 HTML ページの代わりに、自分の HTML ページを使用することができます。 認証後のユーザのリダイレクト先で、内部成功ページの代わりとなる URL を指定することもできます。
認証プロキシ Web ページの注意事項
カスタマイズされた認証プロキシ Web ページを設定する際には、次の注意事項に従ってください。
-
カスタム Web ページ機能をイネーブルにするには、カスタム HTML ファイルを 4 個すべて指定します。 指定したファイルの数が 4 個未満の場合、内部デフォルト HTML ページが使用されます。
-
これら 4 個のカスタム HTML ファイルは、スイッチのフラッシュ メモリ内に存在しなければなりません。 各 HTML ファイルの最大サイズは 8 KB です。
-
カスタム ページ上のイメージはすべて、アクセス可能は HTTP サーバ上に存在しなければなりません。 インターセプト ACL は、管理ルール内で設定します。
-
有効な DNS サーバにアクセスするには、外部リンクまたはイメージに必要な名前解決で、管理ルール内にインターセプト ACL を設定する必要があります。
-
カスタム Web ページ機能がイネーブルに設定されている場合、設定された auth-proxy-banner は使用されません。
-
カスタム Web ページ機能がイネーブルに設定されている場合、ログインの成功に対するリダイレクション URL は使用できません。
カスタム ログイン ページはパブリック Web フォームであるため、このページについては、次の注意事項に従ってください。
成功ログインに対するリダイレクト URL の注意事項
成功ログインに対するリダイレクション URL を設定する場合、次の注意事項に従ってください。
-
カスタム認証プロキシ Web ページ機能がイネーブルに設定されている場合、リダイレクション URL 機能はディセーブルにされ、CLI では使用できません。 リダイレクションは、カスタム ログイン成功ページで実行できます。
-
リダイレクション URL 機能がイネーブルに設定されている場合、設定された auth-proxy-banner は使用されません。
-
Web ベースの認証クライアントが正常に認証された後にリダイレクション URL が必要な場合、URL 文字列は有効な URL(たとえば http://)で開始し、その後に URL 情報が続く必要があります。 http:// を含まない URL が指定されると、正常に認証が行われても、そのリダイレクション URL によって Web ブラウザでページが見つからないまたは同様のエラーが生じる場合があります。
その他の機能と Web ベース認証の相互作用
ポート セキュリティ
Web ベース認証とポート セキュリティは、同じポートに設定できます。 Web ベース認証はポートを認証し、ポート セキュリティは、クライアントの MAC アドレスを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。 この場合、このポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
ポート セキュリティをイネーブルにする手順については、ポート セキュリティのイネーブル化および設定を参照してください。
LAN ポート IP
LAN ポート IP(LPIP)とレイヤ 2 Web ベース認証は、同じポートに設定できます。 ホストは、まず Web ベース認証、次に LPIP ポスチャ検証を使用して認証されます。 LPIP ホスト ポリシーは、Web ベース認証のホスト ポリシーに優先されます。
Web ベース認証のアイドル時間が満了すると、NAC ポリシーは削除されます。 ホストが認証され、ポスチャが再度検証されます。
ゲートウェイ IP
VLAN のいずれかのスイッチ ポートで Web ベース認証が設定されている場合、レイヤ 3 VLAN インターフェイス上にゲートウェイ IP(GWIP)を設定することはできません。
Web ベース認証はゲートウェイ IP と同じレイヤ 3 インターフェイスに設定できます。 ソフトウェアで、両方の機能のホスト ポリシーが適用されます。 GWIP ホスト ポリシーは、Web ベース認証のホスト ポリシーに優先されます。
ACL
インターフェイスで VLAN ACL、または Cisco IOS ACL を設定した場合、ACL は、Web ベース認証のホスト ポリシーが適用された後だけ、ホスト トラフィックに適用されます。
レイヤ 2 Web ベース認証では、ポートに接続されたホストからの入力トラフィックについて、ポート ACL(PACL)をデフォルトのアクセス ポリシーとして設定することが、必須ではないですがより安全です。 認証後、Web ベース認証のホスト ポリシーは、PACL に優先されます。 ポートに設定された ACL がなくても、ポリシー ACL はセッションに適用されます。
コンテキストベース アクセス コントロール
コンテキストベース アクセス コントロール(CBAC)が、ポート VLAN のレイヤ 3 VLAN インターフェイスで設定されている場合、レイヤ 2 ポートで Web ベース認証は設定できません。
EtherChannel
Web ベース認証は、レイヤ 2 EtherChannel インターフェイス上に設定できます。 Web ベース認証設定は、すべてのメンバ チャネルに適用されます。
デフォルトの Web ベース認証の設定
|
|
|
Web ベース認証の設定に関する注意事項と制約事項
-
Web ベース認証は、アクセス ポートだけで設定できます。 Web ベース認証は、トランク ポート、EtherChannel メンバ ポート、またはダイナミック トランク ポートではサポートされていません。
-
スタティックな ARP キャッシュが割り当てられているレイヤ 2 インターフェイス上のホストは認証できません。 これらのホストは ARP メッセージを送信しないため、Web ベース認証機能では検出されません。
-
デフォルトでは、スイッチの IP 装置追跡機能はディセーブルにされています。 Web ベース認証を使用するには、IP デバイスのトラッキング機能をイネーブルにする必要があります。
-
スイッチ HTTP サーバを実行するには、IP アドレスを少なくとも 1 つ設定する必要があります。 また、各ホスト IP アドレスに到達するようにルートを設定する必要もあります。 HTTP サーバは、ホストに HTTP ログイン ページを送信します。
-
2 ホップ以上離れたところにあるホストでは、STP トポロジの変更により、ホスト トラフィックの到着するポートが変わってしまった場合、トラフィックが停止する可能性があります。 これは、レイヤ 2(STP)トポロジの変更後に、ARP および DHCP の更新が送信されていない場合に発生します。
-
Web ベース認証はセッション認識型ポリシー モードで IPv6 をサポートします。 IPv6 Web 認証には、スイッチで設定された少なくても 1 つの IPv6 アドレスおよびスイッチ ポートに設定設定された IPv6 スヌーピングが必要です。
-
Web ベース認証および Network Edge Access Topology(NEAT)は、相互に排他的です。 インターフェイス上で NEAT がイネーブルの場合、Web ベース認証を使用できず、インターフェイス上で Web ベース認証が実行されている場合は、NEAT を使用できません。
-
コントローラ上の Web ベースの RADIUS 認証に対してサポートされるのは、パスワード認証プロトコル(PAP)だけです。 チャレンジ ハンドシェイク認証プロトコル(CHAP)は、コントローラ上の Web ベースの RADIUS 認証に対してサポートされません。
認証ルールとインターフェイスの設定
Controller# show ip admission status IP admission status: Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
手順の詳細
AAA 認証の設定
3.
aaa authentication login default group {
tacacs+ |
radius}
4.
aaa authorization auth-proxy default group {
tacacs+ |
radius}
5.
tacacs-server host {
hostname |
ip_address}
手順の詳細
スイッチ/RADIUS サーバ間通信の設定
これらの手順で使用される次の RADIUS セキュリティ サーバ設定を確認します。
IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。 同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。 RADIUS ホスト エントリは、設定した順序に従って選択されます。
2.
ip radius source-interface vlan
vlan interface number
3.
radius-server host {
hostname |
ip-address}
test username
username
手順の詳細
HTTP サーバの設定
Web ベース認証を使用するには、スイッチで HTTP サーバをイネーブルにする必要があります。 このサーバは HTTP または HTTPS のいずれかについてイネーブルにできます。
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|||
| ステップ 2 |
ip http server 例: Controller(config)# ip http server |
HTTP サーバをイネーブルにします。 Web ベース認証機能は、HTTP サーバを使用してホストと通信し、ユーザ認証を行います。 |
||
| ステップ 3 |
ip http secure-server 例: Controller(config)# ip http secure-server |
カスタム認証プロキシ Web ページを設定するか、成功ログインのリダイレクション URL を指定します。
|
||
| ステップ 4 |
end 例: Controller(config)# end |
認証プロキシ Web ページのカスタマイズ
Web ベースの認証中、スイッチのデフォルト HTML ページではなく、代わりの HTML ページがユーザに表示されるように、Web 認証を設定できます。
特権 EXEC モードから、カスタム認証プロキシ Web ページの使用を指定するには、特権 EXEC モードから次の手順を実行してください。
スイッチのフラッシュ メモリにカスタム HTML ファイルを保存します。
2.
ip admission proxy http login page file
device:login-filename
3.
ip admission proxy http success page file
device:success-filename
4.
ip admission proxy http failure page file
device:fail-filename
5.
ip admission proxy http login expired page file
device:expired-filename
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission proxy http login page file
device:login-filename 例: Controller(config)# ip admission proxy http login page file disk1:login.htm |
スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 device: はフラッシュ メモリです。 |
| ステップ 3 |
ip admission proxy http success page file
device:success-filename 例: Controller(config)# ip admission proxy http success page file disk1:success.htm |
|
| ステップ 4 |
ip admission proxy http failure page file
device:fail-filename 例: Controller(config)# ip admission proxy http fail page file disk1:fail.htm |
|
| ステップ 5 |
ip admission proxy http login expired page file
device:expired-filename 例:
Controller(config)# ip admission proxy http login expired page file disk1:expired.htm
|
|
| ステップ 6 |
end 例: Controller(config)# end |
カスタム認証プロキシ Web ページの確認
次の例では、カスタム認証プロキシ Web ページの設定を確認する方法を示します。
Controller# show ip admission status IP admission status: Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
成功ログインに対するリダイレクション URL の指定
認証後に内部成功 HTML ページを効果的に置き換えユーザのリダイレクト先となる URL を指定するためには、特権 EXEC モードで次の手順を実行してください。
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission proxy http success redirect
url-string 例: Controller(config)# ip admission proxy http success redirect www.example.com |
|
| ステップ 3 |
end 例: Controller(config)# end |
ログイン成功時のリダイレクション URL の確認
Controller# show ip admission status Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
Web ベース認証パラメータの設定
クライアントが待機期間の間ウォッチ リストに配置されるまでに可能な失敗ログイン試行の最大回数を設定するには、特権 EXEC モードで次の手順を実行します。
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission max-login-attempts
number 例: Controller(config)# ip admission max-login-attempts 10 |
失敗ログイン試行の最大回数を設定します。 指定できる範囲は 1 ~ 2147483647 回です。 デフォルトは 5 です。 |
| ステップ 3 |
end 例: Controller(config)# end |
Web 認証ローカル バナーの設定
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission auth-proxy-banner http [
banner-text |
file-path] 例: Controller(config)# ip admission auth-proxy-banner http C My Switch C |
(任意)C banner-text C(C は区切り文字)を入力してカスタム バナーを作成するか、バナーに表示されるファイル(たとえば、ロゴまたはテキスト ファイル)のファイル パスを示します。 |
| ステップ 3 |
end 例: Controller(config)# end |
Web ベース認証キャッシュ エントリの削除
Web ベース認証キャッシュ エントリを削除するには、特権 EXEC モードで次の手順を実行します。
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
clear ip auth-proxy cache {
* |
host ip address} 例: Controller# clear ip auth-proxy cache 192.168.4.5 |
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。 |
| ステップ 2 |
clear ip admission cache {
* |
host ip address} 例: Controller# clear ip admission cache 192.168.4.5 |
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。 |
サンプル Web 認証ログイン HTML
サンプル Web 認証ログイン ページ(webauth_login)を使用できます。 このサンプル ページを変更またはカスタマイズする場合は、HTML に関する知識を持っている開発者を参加させる必要があります。Cisco Technical Assistance Center では HTML に関する対応は行いません。
<HTML><HEAD>
<TITLE>Authentication Proxy Login Page</TITLE>
<script type="text/javascript">
var pxypromptwindow1;
var pxysubmitted = false;
function submitreload() {
if (pxysubmitted == false) {
pxypromptwindow1=window.open('', 'pxywindow1', 'resizable=no,width=350,
height=350,scrollbars=yes');
pxysubmitted = true;
return true;
} else {
alert("This page can not be submitted twice.");
return false;
}
}
</script>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<style type="text/css">
body {
background-color: #ffffff;
}
</style>
</HEAD>
<BODY>
<H1><img src="http://192.168.2.91/flash:web_auth_logo.png" width="75" height="50"
alt="Cisco Logo" longdesc="http://www.cisco.com"></H1>
<center>
<H2> Wireless Guest Access Web Authentication</H2>
<center>
<iframe src="http://192.168.2.91/flash:web_auth_aup.html" width="950" height="250"
scrolling="auto"></iframe><BR><BR>
<FORM method=post action="/" target="pxywindow1">
Username: <input type=text name=uname><BR><BR>
Password: <input type=password name=pwd><BR><BR>
<input type=submit name=ok value=OK onClick="return submitreload();">
</FORM><noscript>
<BR>
<UL>
<H2><FONT COLOR="red">Warning!</FONT></H2>
<p>JavaScript should be enabled in your Web browser
for secure authentication</p>
<LI>Follow the instructions of your Web browser to enable
JavaScript if you would like to have JavaScript enabled
for secure authentication</LI>
<BR>OR<BR><BR>
<LI> Follow these steps if you want to keep JavaScript
disabled or if your browser does not support JavaScript
<OL><BR>
<LI> Close this Web brower window</LI>
<LI> Click on Reload button of the original browser window</LI>
</OL></LI>
</UL>
</noscript>
<center>
<p> </p>
<img src="http://192.168.2.91/flash:web_auth_cisco.png" alt="Cisco Powered" width="215"
height="136" align="middle" longdesc="http://www.cisco.com">
</center>
</BODY></HTML>
Web ベース認証ステータスのモニタリング
すべてのインターフェイスまたは特定のポートに対する Web ベース認証設定を表示するには、このトピックのコマンドを使用します。
| コマンド |
目的 |
|---|---|
| FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットのすべてのインターフェイスに対する Web ベースの認証設定を表示します。 |
|
| show authentication sessions interface type slot/port[details] |
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットの特定のインターフェイスに対する Web ベースの認証設定を表示します。 セッション認識型ネットワーク モードでは、show access-session interface コマンドを使用します。 |
目次
- Web ベース認証の設定
- 機能情報の確認
- Web ベース認証について
- デバイスの役割
- ホストの検出
- セッションの作成
- 認証プロセス
- ローカル Web 認証バナー
- Web 認証カスタマイズ可能な Web ページ
- ガイドライン
- 認証プロキシ Web ページの注意事項
- 成功ログインに対するリダイレクト URL の注意事項
- その他の機能と Web ベース認証の相互作用
- ポート セキュリティ
- LAN ポート IP
- ゲートウェイ IP
- ACL
- コンテキストベース アクセス コントロール
- EtherChannel
- Web ベース認証の設定方法
- デフォルトの Web ベース認証の設定
- Web ベース認証の設定に関する注意事項と制約事項
- 認証ルールとインターフェイスの設定
- AAA 認証の設定
- スイッチ/RADIUS サーバ間通信の設定
- HTTP サーバの設定
- 認証プロキシ Web ページのカスタマイズ
- 成功ログインに対するリダイレクション URL の指定
- Web ベース認証パラメータの設定
- Web 認証ローカル バナーの設定
- Web ベース認証キャッシュ エントリの削除
- サンプル Web 認証ログイン HTML
- Web ベース認証ステータスのモニタリング
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
Web ベース認証について
IEEE 802.1x サプリカントが実行されていないホスト システムのエンド ユーザを認証するには、Web 認証プロキシと呼ばれる Web ベース認証機能を使用します。
(注) |
Web ベース認証は、レイヤ 2 およびレイヤ 3 インターフェイス上に設定できます。 |
HTTP セッションを開始すると、Web ベース認証は、ホストからの入力 HTTP パケットを代行受信し、ユーザに HTML ログイン ページを送信します。 ユーザはクレデンシャルを入力します。このクレデンシャルは、Web ベース認証機能により、認証のために認証、許可、アカウンティング(AAA)サーバに送信されます。
認証に成功した場合、Web ベース認証は、ログインの成功を示す HTML ページをホストに送信し、AAA サーバから返されたアクセス ポリシーを適用します。
認証に失敗した場合、Web ベース認証は、ログインの失敗を示す HTML ページをユーザに転送し、ログインを再試行するように、ユーザにプロンプトを表示します。 最大試行回数を超過した場合、Web ベース認証は、ログインの期限切れを示す HTML ページをホストに転送し、このユーザは待機期間中、ウォッチ リストに載せられます。
デバイスの役割
Web ベース認証では、ネットワーク上のデバイスに次のような固有の役割があります。
-
クライアント:LAN およびサービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。 このワークステーションでは、Java Script がイネーブルに設定された HTML ブラウザが実行されている必要があります。
-
認証サーバ:クライアントを認証します。 認証サーバはクライアントの識別情報を確認し、そのクライアントが LAN およびスイッチのサービスへのアクセスを許可されたか、あるいはクライアントが拒否されたのかをスイッチに通知します。
-
スイッチ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。 スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。
ホストの検出
セッションの作成
認証プロセス
Web ベース認証をイネーブルにすると、次のイベントが発生します。
-
HTTP トラフィックが代行受信され、認証が開始されます。 スイッチは、ユーザにログイン ページを送信します。 ユーザはユーザ名とパスワードを入力します。スイッチはこのエントリを認証サーバに送信します。
-
認証に成功した場合、スイッチは認証サーバからこのユーザのアクセス ポリシーをダウンロードし、アクティブ化します。 ログインの成功ページがユーザに送信されます
-
認証に失敗した場合は、スイッチはログインの失敗ページを送信します。 ユーザはログインを再試行します。 失敗の回数が試行回数の最大値に達した場合、スイッチはログイン期限切れページを送信します。このホストはウォッチ リストに入れられます。 ウォッチ リストのタイム アウト後、ユーザは認証プロセスを再試行することができます。
-
認証サーバがスイッチに応答せず、AAA 失敗ポリシーが設定されている場合、スイッチはホストに失敗アクセス ポリシーを適用します。 ログインの成功ページがユーザに送信されます
-
ホストがレイヤ 2 インターフェイス上の ARP プローブに応答しなかった場合、またはホストがレイヤ 3 インターフェイスでアイドル タイムアウト内にトラフィックを送信しなかった場合、スイッチはクライアントを再認証します。
-
Termination-Action が RADIUS である場合、この機能は、サーバに NRH 要求を送信します。 Termination-Action は、サーバからの応答に含まれます。
ローカル Web 認証バナー
Web 認証を使用して、デフォルトのカスタマイズ済み Web ブラウザ バナーを作成して、スイッチにログインしたときに表示するようにできます。
このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。 デフォルトのバナー メッセージは次のとおりです。
ローカル ネットワーク認証バナーは、レガシーおよび新スタイル(セッション アウェア)CLI で次のように設定できます。
-
レガシー モード:ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドを使用します。
-
新スタイル モード:parameter-map type webauth global banner グローバル コンフィギュレーション コマンドを使用します。
ログイン ページには、デフォルトのバナー、Cisco Systems、および Switch host-name Authentication が表示されます。 Cisco Systems は認証結果ポップアップ ページに表示されます。
バナーがイネーブルにされていない場合、Web 認証ログイン画面にはユーザ名とパスワードのダイアログボックスだけが表示され、スイッチにログインしたときにはバナーは表示されません。
Web 認証カスタマイズ可能な Web ページ
Web ベース認証プロセスでは、スイッチ内部の HTTP サーバは、認証中のクライアントに配信される 4 種類の HTML ページをホストします。 サーバはこれらのページを使用して、ユーザに次の 4 種類の認証プロセス ステートを通知します。
ガイドライン
-
ロゴを使用することもできますし、ログイン、成功、失敗、および期限切れ Web ページでテキストを指定することもできます。
-
この URL 文字列は有効な URL(例:http://www.cisco.com)でなければなりません。 不完全な URL は、Web ブラウザで、「ページが見つかりません」またはこれに類似するエラーの原因となる可能性があります。
-
HTTP 認証で使用される Web ページを設定する場合、これらのページには適切な HTML コマンド(例:ページのタイム アウトを設定、暗号化されたパスワードの設定、同じページが 2 回送信されていないことの確認など)を記入する必要があります.
-
設定されたログイン フォームがイネーブルにされている場合、特定の URL にユーザをリダイレクトする CLI コマンドは使用できません。 管理者は、Web ページにリダイレクトが設定されていることを保証する必要があります。
-
認証後、特定の URL にユーザをリダイレクトする CLI コマンドを入力してから、Web ページを設定するコマンドを入力した場合、特定の URL にユーザをリダイレクトする CLI コマンドは効力を持ちません。
-
スタック可能なスイッチでは、スタック マスターまたはスタック メンバーのフラッシュから設定済みのページにアクセスできます。
-
ログイン ページを 1 つのフラッシュ上に、成功ページと失敗ページを別のフラッシュ(たとえば、スタック マスター、またはメンバのフラッシュ)にすることができます。
-
システム ディレクトリ(たとえば、flash、disk0、disk)に保存されていて、ログイン ページに表示する必要のあるロゴ ファイル(イメージ、フラッシュ、オーディオ、ビデオなど)すべてには、必ず、web_auth_<filename> の形式で名前をつけてください。
デフォルトの内部 HTML ページの代わりに、自分の HTML ページを使用することができます。 認証後のユーザのリダイレクト先で、内部成功ページの代わりとなる URL を指定することもできます。
認証プロキシ Web ページの注意事項
カスタマイズされた認証プロキシ Web ページを設定する際には、次の注意事項に従ってください。
-
カスタム Web ページ機能をイネーブルにするには、カスタム HTML ファイルを 4 個すべて指定します。 指定したファイルの数が 4 個未満の場合、内部デフォルト HTML ページが使用されます。
-
これら 4 個のカスタム HTML ファイルは、スイッチのフラッシュ メモリ内に存在しなければなりません。 各 HTML ファイルの最大サイズは 8 KB です。
-
カスタム ページ上のイメージはすべて、アクセス可能は HTTP サーバ上に存在しなければなりません。 インターセプト ACL は、管理ルール内で設定します。
-
有効な DNS サーバにアクセスするには、外部リンクまたはイメージに必要な名前解決で、管理ルール内にインターセプト ACL を設定する必要があります。
-
カスタム Web ページ機能がイネーブルに設定されている場合、設定された auth-proxy-banner は使用されません。
-
カスタム Web ページ機能がイネーブルに設定されている場合、ログインの成功に対するリダイレクション URL は使用できません。
カスタム ログイン ページはパブリック Web フォームであるため、このページについては、次の注意事項に従ってください。
関連タスク
成功ログインに対するリダイレクト URL の注意事項
成功ログインに対するリダイレクション URL を設定する場合、次の注意事項に従ってください。
-
カスタム認証プロキシ Web ページ機能がイネーブルに設定されている場合、リダイレクション URL 機能はディセーブルにされ、CLI では使用できません。 リダイレクションは、カスタム ログイン成功ページで実行できます。
-
リダイレクション URL 機能がイネーブルに設定されている場合、設定された auth-proxy-banner は使用されません。
-
Web ベースの認証クライアントが正常に認証された後にリダイレクション URL が必要な場合、URL 文字列は有効な URL(たとえば http://)で開始し、その後に URL 情報が続く必要があります。 http:// を含まない URL が指定されると、正常に認証が行われても、そのリダイレクション URL によって Web ブラウザでページが見つからないまたは同様のエラーが生じる場合があります。
その他の機能と Web ベース認証の相互作用
ポート セキュリティ
Web ベース認証とポート セキュリティは、同じポートに設定できます。 Web ベース認証はポートを認証し、ポート セキュリティは、クライアントの MAC アドレスを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。 この場合、このポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
ポート セキュリティをイネーブルにする手順については、ポート セキュリティのイネーブル化および設定を参照してください。
ACL
インターフェイスで VLAN ACL、または Cisco IOS ACL を設定した場合、ACL は、Web ベース認証のホスト ポリシーが適用された後だけ、ホスト トラフィックに適用されます。
レイヤ 2 Web ベース認証では、ポートに接続されたホストからの入力トラフィックについて、ポート ACL(PACL)をデフォルトのアクセス ポリシーとして設定することが、必須ではないですがより安全です。 認証後、Web ベース認証のホスト ポリシーは、PACL に優先されます。 ポートに設定された ACL がなくても、ポリシー ACL はセッションに適用されます。
Web ベース認証の設定に関する注意事項と制約事項
-
Web ベース認証は、アクセス ポートだけで設定できます。 Web ベース認証は、トランク ポート、EtherChannel メンバ ポート、またはダイナミック トランク ポートではサポートされていません。
-
スタティックな ARP キャッシュが割り当てられているレイヤ 2 インターフェイス上のホストは認証できません。 これらのホストは ARP メッセージを送信しないため、Web ベース認証機能では検出されません。
-
デフォルトでは、スイッチの IP 装置追跡機能はディセーブルにされています。 Web ベース認証を使用するには、IP デバイスのトラッキング機能をイネーブルにする必要があります。
-
スイッチ HTTP サーバを実行するには、IP アドレスを少なくとも 1 つ設定する必要があります。 また、各ホスト IP アドレスに到達するようにルートを設定する必要もあります。 HTTP サーバは、ホストに HTTP ログイン ページを送信します。
-
2 ホップ以上離れたところにあるホストでは、STP トポロジの変更により、ホスト トラフィックの到着するポートが変わってしまった場合、トラフィックが停止する可能性があります。 これは、レイヤ 2(STP)トポロジの変更後に、ARP および DHCP の更新が送信されていない場合に発生します。
-
Web ベース認証はセッション認識型ポリシー モードで IPv6 をサポートします。 IPv6 Web 認証には、スイッチで設定された少なくても 1 つの IPv6 アドレスおよびスイッチ ポートに設定設定された IPv6 スヌーピングが必要です。
-
Web ベース認証および Network Edge Access Topology(NEAT)は、相互に排他的です。 インターフェイス上で NEAT がイネーブルの場合、Web ベース認証を使用できず、インターフェイス上で Web ベース認証が実行されている場合は、NEAT を使用できません。
-
コントローラ上の Web ベースの RADIUS 認証に対してサポートされるのは、パスワード認証プロトコル(PAP)だけです。 チャレンジ ハンドシェイク認証プロトコル(CHAP)は、コントローラ上の Web ベースの RADIUS 認証に対してサポートされません。
認証ルールとインターフェイスの設定
Controller# show ip admission status IP admission status: Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission
name
name
proxy
http 例: Controller(config)# ip admission name webauth1 proxy http |
|
| ステップ 3 |
interface
type
slot/port 例:
Controller(config)# interface gigabitEthernet1/0/1
|
インターフェイス コンフィギュレーション モードを開始し、Web ベース認証をイネーブルにする入力レイヤ 2 またはレイヤ 3 インターフェイスを指定します。 type には、fastethernet、gigabit ethernet、または tengigabitethernet を指定できます。 |
| ステップ 4 |
ip access-group
name 例: Controller(config-if)# ip access-group webauthag |
|
| ステップ 5 |
ip admission
name 例:
Controller(config-if)# ip admission webauth1
|
|
| ステップ 6 |
exit 例: Controller(config-if)# exit |
|
| ステップ 7 |
ip device tracking 例: Controller(config)# ip device tracking |
|
| ステップ 8 |
end 例: Controller(config)# end |
|
| ステップ 9 |
show ip admission status 例: Controller# show ip admission status |
|
| ステップ 10 |
copy running-config startup-config 例: Controller# copy running-config startup-config |
AAA 認証の設定
手順の概要
手順の詳細
3.
aaa authentication login default group {
tacacs+ |
radius}
4.
aaa authorization auth-proxy default group {
tacacs+ |
radius}
5.
tacacs-server host {
hostname |
ip_address}
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
aaa new-model 例: Controller(config)# aaa new-model |
|
| ステップ 3 |
aaa authentication login default group {
tacacs+ |
radius} 例: Controller(config)# aaa authentication login default group tacacs+ |
|
| ステップ 4 |
aaa authorization auth-proxy default group {
tacacs+ |
radius} 例: Controller(config)# aaa authorization auth-proxy default group tacacs+ |
|
| ステップ 5 |
tacacs-server host {
hostname |
ip_address} 例: Controller(config)# tacacs-server host 10.1.1.1 |
|
| ステップ 6 |
tacacs-server key {
key-data} 例:
Controller(config)# tacacs-server key
|
|
| ステップ 7 |
end 例: Controller(config)# end |
スイッチ/RADIUS サーバ間通信の設定
はじめる前に
手順の概要
これらの手順で使用される次の RADIUS セキュリティ サーバ設定を確認します。
IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。 同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。 RADIUS ホスト エントリは、設定した順序に従って選択されます。
2.
ip radius source-interface vlan
vlan interface number
3.
radius-server host {
hostname |
ip-address}
test username
username
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|||
| ステップ 2 |
ip radius source-interface vlan
vlan interface number 例: Controller(config)# ip radius source-interface vlan 80 |
|||
| ステップ 3 |
radius-server host {
hostname |
ip-address}
test username
username 例:
Controller(config)# radius-server host 172.l20.39.46 test username user1
|
リモート RADIUS サーバのホスト名または IP アドレスを指定します。 test username username は、RADIUS サーバ接続の自動テストをイネーブルにするオプションです。 指定された username は有効なユーザ名である必要はありません。 |
||
| ステップ 4 |
radius-server key
string 例:
Controller(config)# radius-server key rad123
|
|||
| ステップ 5 |
radius-server dead-criteria tries
num-tries 例:
Controller(config)# radius-server dead-criteria tries 30
|
RADIUS サーバに送信されたメッセージへの応答がない場合に、このサーバが非アクティブであると見なすまでの送信回数を指定します。 指定できる num-tries の範囲は 1 ~ 100 です。 RADIUS サーバ パラメータを設定する場合は、次の点に注意してください。
|
||
| ステップ 6 |
end 例: Controller(config)# end |
HTTP サーバの設定
手順の概要
手順の詳細
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|||
| ステップ 2 |
ip http server 例: Controller(config)# ip http server |
HTTP サーバをイネーブルにします。 Web ベース認証機能は、HTTP サーバを使用してホストと通信し、ユーザ認証を行います。 |
||
| ステップ 3 |
ip http secure-server 例: Controller(config)# ip http secure-server |
カスタム認証プロキシ Web ページを設定するか、成功ログインのリダイレクション URL を指定します。
|
||
| ステップ 4 |
end 例: Controller(config)# end |
認証プロキシ Web ページのカスタマイズ
Web ベースの認証中、スイッチのデフォルト HTML ページではなく、代わりの HTML ページがユーザに表示されるように、Web 認証を設定できます。
特権 EXEC モードから、カスタム認証プロキシ Web ページの使用を指定するには、特権 EXEC モードから次の手順を実行してください。
2.
ip admission proxy http login page file
device:login-filename
3.
ip admission proxy http success page file
device:success-filename
4.
ip admission proxy http failure page file
device:fail-filename
5.
ip admission proxy http login expired page file
device:expired-filename
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission proxy http login page file
device:login-filename 例: Controller(config)# ip admission proxy http login page file disk1:login.htm |
スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 device: はフラッシュ メモリです。 |
| ステップ 3 |
ip admission proxy http success page file
device:success-filename 例: Controller(config)# ip admission proxy http success page file disk1:success.htm |
|
| ステップ 4 |
ip admission proxy http failure page file
device:fail-filename 例: Controller(config)# ip admission proxy http fail page file disk1:fail.htm |
|
| ステップ 5 |
ip admission proxy http login expired page file
device:expired-filename 例:
Controller(config)# ip admission proxy http login expired page file disk1:expired.htm
|
|
| ステップ 6 |
end 例: Controller(config)# end |
カスタム認証プロキシ Web ページの確認
次の例では、カスタム認証プロキシ Web ページの設定を確認する方法を示します。
Controller# show ip admission status IP admission status: Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
関連コンセプト
成功ログインに対するリダイレクション URL の指定
手順の概要
手順の詳細
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission proxy http success redirect
url-string 例: Controller(config)# ip admission proxy http success redirect www.example.com |
|
| ステップ 3 |
end 例: Controller(config)# end |
ログイン成功時のリダイレクション URL の確認
Controller# show ip admission status Enabled interfaces 0 Total sessions 0 Init sessions 0 Max init sessions allowed 100 Limit reached 0 Hi watermark 0 TCP half-open connections 0 Hi watermark 0 TCP new connections 0 Hi watermark 0 TCP half-open + new 0 Hi watermark 0 HTTPD1 Contexts 0 Hi watermark 0 Parameter Map: Global Custom Pages Custom pages not configured Banner Banner not configured
関連コンセプト
Web ベース認証パラメータの設定
Web 認証ローカル バナーの設定
手順の概要
手順の詳細
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
| ステップ 2 |
ip admission auth-proxy-banner http [
banner-text |
file-path] 例: Controller(config)# ip admission auth-proxy-banner http C My Switch C |
(任意)C banner-text C(C は区切り文字)を入力してカスタム バナーを作成するか、バナーに表示されるファイル(たとえば、ロゴまたはテキスト ファイル)のファイル パスを示します。 |
| ステップ 3 |
end 例: Controller(config)# end |
Web ベース認証キャッシュ エントリの削除
手順の概要
手順の詳細
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
clear ip auth-proxy cache {
* |
host ip address} 例: Controller# clear ip auth-proxy cache 192.168.4.5 |
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。 |
| ステップ 2 |
clear ip admission cache {
* |
host ip address} 例: Controller# clear ip admission cache 192.168.4.5 |
Delete 認証プロキシ エントリを削除します。 キャッシュ エントリすべてを削除するには、アスタリスクを使用します。 シングル ホストのエントリを削除するには、具体的な IP アドレスを入力します。 |
サンプル Web 認証ログイン HTML
サンプル Web 認証ログイン ページ(webauth_login)を使用できます。 このサンプル ページを変更またはカスタマイズする場合は、HTML に関する知識を持っている開発者を参加させる必要があります。Cisco Technical Assistance Center では HTML に関する対応は行いません。
<HTML><HEAD>
<TITLE>Authentication Proxy Login Page</TITLE>
<script type="text/javascript">
var pxypromptwindow1;
var pxysubmitted = false;
function submitreload() {
if (pxysubmitted == false) {
pxypromptwindow1=window.open('', 'pxywindow1', 'resizable=no,width=350,
height=350,scrollbars=yes');
pxysubmitted = true;
return true;
} else {
alert("This page can not be submitted twice.");
return false;
}
}
</script>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<style type="text/css">
body {
background-color: #ffffff;
}
</style>
</HEAD>
<BODY>
<H1><img src="http://192.168.2.91/flash:web_auth_logo.png" width="75" height="50"
alt="Cisco Logo" longdesc="http://www.cisco.com"></H1>
<center>
<H2> Wireless Guest Access Web Authentication</H2>
<center>
<iframe src="http://192.168.2.91/flash:web_auth_aup.html" width="950" height="250"
scrolling="auto"></iframe><BR><BR>
<FORM method=post action="/" target="pxywindow1">
Username: <input type=text name=uname><BR><BR>
Password: <input type=password name=pwd><BR><BR>
<input type=submit name=ok value=OK onClick="return submitreload();">
</FORM><noscript>
<BR>
<UL>
<H2><FONT COLOR="red">Warning!</FONT></H2>
<p>JavaScript should be enabled in your Web browser
for secure authentication</p>
<LI>Follow the instructions of your Web browser to enable
JavaScript if you would like to have JavaScript enabled
for secure authentication</LI>
<BR>OR<BR><BR>
<LI> Follow these steps if you want to keep JavaScript
disabled or if your browser does not support JavaScript
<OL><BR>
<LI> Close this Web brower window</LI>
<LI> Click on Reload button of the original browser window</LI>
</OL></LI>
</UL>
</noscript>
<center>
<p> </p>
<img src="http://192.168.2.91/flash:web_auth_cisco.png" alt="Cisco Powered" width="215"
height="136" align="middle" longdesc="http://www.cisco.com">
</center>
</BODY></HTML>
Web ベース認証ステータスのモニタリング
すべてのインターフェイスまたは特定のポートに対する Web ベース認証設定を表示するには、このトピックのコマンドを使用します。
| コマンド |
目的 |
|---|---|
| FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットのすべてのインターフェイスに対する Web ベースの認証設定を表示します。 |
|
| show authentication sessions interface type slot/port[details] |
FastEthernet、ギガビット イーサネット、または 10 ギガビット イーサネットの特定のインターフェイスに対する Web ベースの認証設定を表示します。 セッション認識型ネットワーク モードでは、show access-session interface コマンドを使用します。 |
フィードバック