Web ベース認証の設定
Web ベース認証の設定
発行日;2012/02/04 | 英語版ドキュメント(2011/12/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

Web ベース認証の設定

Web ベース認証の概要

装置のロール

ホスト検出

セッション作成

認証プロセス

AAA 失敗ポリシー

認証プロキシ Web ページのカスタマイズ

Web ベース認証の他の機能との相互作用

ポート セキュリティ

LAN ポート IP

ゲートウェイ IP

ACL

IP ソース ガード

EtherChannel

スイッチオーバー

Web ベース認証の設定

デフォルトの Web ベース認証の設定

Web ベース認証設定時の注意事項および制約事項

Web ベース認証設定時の作業一覧

認証ルールとインターフェイスの設定

AAA 認証の設定

と RADIUS サーバ間の通信設定

HTTP サーバの設定

認証プロキシ Web ページのカスタマイズ

成功ログインのリダイレクション URL の指定

AAA 失敗ポリシーの設定

Web ベース認証のパラメータ設定

Web ベース認証のキャッシュ エントリの削除

Web ベース認証ステータスの表示

Web ベース認証の設定

この章では、Web ベース認証を設定する手順について説明します。Web ベース認証は、Cisco IOS Release 12.2(33)SXH 以降のリリースでサポートされます。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Master Command List, Release 12.2SX』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


 


ヒント Cisco Catalyst 6500 シリーズ スイッチの詳細(設定例およびトラブルシューティング情報を含む)については、次のページに示されるドキュメントを参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html


 

この章で説明する内容は、次のとおりです。

「Web ベース認証の概要」

「Web ベース認証の設定」

「Web ベース認証ステータスの表示」

Web ベース認証の概要

Web ベース認証機能は、Web ベース認証を実装していて、Web 認証プロキシとも呼ばれています。

Web ベースの認証機能を使用して、IEEE 802.1X サプリカントを実行していないホスト システムでエンドユーザを認証できます。レイヤ 2 およびレイヤ 3 インターフェイスで Web ベース認証機能を設定することができます。

ユーザが HTTP セッションを開始する際に、Web ベースの認証機能がホストからの入力 HTTP パケットを代行受信して、HTML ログイン ページをユーザに送信します。ユーザがクレデンシャルに入力し、認証するために Web ベース 認証機能がこれを AAA サーバに送信します。認証が成功すると、Web ベース認証がログイン成功 HTML ページをホストに送信し、AAA サーバによって返されたアクセス ポリシーが適用されます。

認証に失敗すると、Web ベース認証がログイン失敗 HTML ページをユーザに送信し、ログイン試行を再試行するようにユーザに要求します。ユーザが失敗ログイン試行の最大数を超過すると、Web ベース認証がログイン期限切れ HTML ページをホストに送信し、ユーザは待機する間ウォッチ リストに配置されます。

ここでは、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)システムの一部として Web ベース認証のロールについて説明します。

「装置のロール」

「ホスト検出」

「セッション作成」

「認証プロセス」

「AAA 失敗ポリシー」

「認証プロキシ Web ページのカスタマイズ」

「Web ベース認証の他の機能との相互作用」

装置のロール

Web ベースの認証では、図 55-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図 55-1 Web ベースの認証装置のロール

 

図 55-1 に示す特定のロールは、次のとおりです。

クライアント :LAN へのアクセスおよびスイッチ サービスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーションは、Java スクリプトがイネーブルの HTML ブラウザを実行している必要があります。

認証サーバ :クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチサービスへのアクセスを許可すべきかどうかをスイッチに通知します。

スイッチ :クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。

ホスト検出

スイッチは、検出されたホストに関する情報を保存するために IP 装置追跡テーブルを維持します。


) デフォルトでは、スイッチの IP 装置追跡機能はディセーブルに設定されています。Web ベース認証を使用するには、IP 装置追跡機能をイネーブルにする必要があります。


レイヤ 3 インターフェイスの場合、インターフェイス上に Web ベース認証が設定されると(またはインターフェイスがサービス中になると)Web ベース認証が HTTP 代行受信 ACL を設定します。

レイヤ 2 インターフェイスの場合、次のメカニズムを使用して Web ベース認証が IP ホストを検出します。

ARP ベース トリガー: ARP リダイレクト ACL により、Web ベース認証で固定 IP アドレスまたはダイナミックに取得された IP アドレスを持つホストを検出することができます。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)

DHCP スヌーピング:スイッチがホストの DHCP バインディング エントリの作成時にWeb ベース認証が通知されます。

セッション作成

Web ベース認証で新規ホストが検出されると、次のようにセッションを作成します。

例外リストをチェックします。

ホスト IP が例外リストに含まれている場合、例外リスト エントリからのポリシーが適用され、セッションが確立されていると見なされます。

認証バイパスをチェックします。

ホスト IP が例外リストにない場合、Web ベース認証は Nonresponsive Host(NRH; 非応答ホスト)要求をサーバに送信します。

サーバ応答が Access Accepted である場合、このホスト用の許可がバイパスされます。セッションが確立されていると見なされます。

HTTP 代行受信 ACL を設定します。

NRH 要求に対するサーバ応答が Access Rejected である場合、HTTP 代行受信 ACL がアクティブ化され、セッションはホストから HTTP トラフィックを受信するまで待機します。

認証プロセス

Web ベース認証がイネーブルの場合、次のイベントが発生します。

ユーザが HTTP セッションを開始します。

HTTP トラフィックが代行受信され、許可が開始されます。スイッチは、ログイン ページをユーザに送信します。ユーザがログイン ページでユーザ名とパスワードを入力すると、スイッチは入力内容を認証サーバに送信します。

クライアント ID が有効で認証に成功した場合、スイッチは認証サーバからユーザのアクセス ポリシーをダウンロードしてアクティブにします。ログイン成功ページがユーザに送信されます。

認証に失敗すると、スイッチがログイン失敗ページを送信します。ユーザがログインを再試行し、最大ログイン試行回数を超過すると、スイッチはログイン期限切れページを送信し、ホストがウォッチ リストに配置されます。ウォッチ リストのタイムアウト後、ユーザは認証プロセスを再試行することができます。

認証サーバがスイッチに応答せず、AAA 失敗ポリシーが設定されている場合、スイッチはホストに失敗アクセス ポリシーを適用します。ログイン成功ページがユーザに送信されます。AAA 失敗ポリシー機能は Cisco IOS Release 12.2(33)SXI 以降のリリースで使用できます。

ホストがレイヤ 2 インターフェイスの ARP プローブに応答しなかったり、ホストがレイヤ 3 インターフェイスでアイドル タイムアウト中に何らかのトラフィックを送信しない場合、スイッチがクライアントを再認証します。

この機能は、ダウンロードされたタイムアウトやローカルに設定されたセッション タイムアウトに適用されます。

終了処理が RADIUS の場合、この機能はNon Responsive Host(NRH; 非応答ホスト)要求をサーバに送信します。終了アクションは、サーバからの応答に含まれています。

終了アクションがデフォルトの場合、セッションが停止されて適用されたポリシーが削除されます。

AAA 失敗ポリシー

AAA 失敗ポリシーは Cisco IOS Release 12.2(33)SXI 以降のリリースでサポートされます。このポリシーを使用すると、AAA サーバが利用できない場合にユーザはネットワークに接続したり、ネットワークへの接続を維持したりできます。クライアントの Web ベース認証が必要なときに AAA サーバにアクセスできない場合、管理者はユーザを拒否する(つまり、ネットワークへのアクセスを提供しない)代わりにユーザに適用できるデフォルトの AAA 失敗ポリシーを設定できます。

このポリシーには、次のような利点があります。

AAA が使用不可能である場合、アクセスが制限されることはあっても、ネットワークへの接続は維持できます。

AAA サーバが再び利用できるようになると、ユーザは再検証を受けることが可能であり、ユーザの通常アクセス ポリシーを AAA サーバからダウンロードできます。


) AAA サーバの停止時には、ユーザに既存のポリシーが関連付けられていない場合に限り、AAA 失敗ポリシーが適用されます。通常、ユーザ セッションで再認証が必要なときに AAA サーバが利用不可能な場合は、ユーザに対して現在有効なポリシーが維持されます。


AAA 失敗ポリシーが有効な間は、セッション ステートが AAA ダウンとして維持されます。

認証プロキシ Web ページのカスタマイズ

スイッチの内部 HTTP サーバは、Web ベース認証プロセスの間、認証を行うクライアントに送信する 4 つの HTML ページをホストします。この 4 つのページにより、サーバはユーザに次の 4 つの認証プロセスのステートを通知できます。

ログイン:ユーザのクレデンシャルが要求された

成功:ログインに成功

失敗:ログインに失敗

期限切れ:ログインに何度も失敗したためログイン セッションが期限切れになった

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、この 4 つのデフォルトの内部 HTML ページの代わりに独自のカスタム HTML ページを使用したり、認証に成功したときにユーザをリダイレクトする URL を指定したり(実質的に内部の成功ページの代替手段となります)できます。

Web ベース認証の他の機能との相互作用

ここでは、Web ベース認証の次の機能との相互作用について説明します。

「ポート セキュリティ」

「LAN ポート IP」

「ゲートウェイ IP」

「ACL」

「IP ソース ガード」

「EtherChannel」

「スイッチオーバー」

ポート セキュリティ

同一ポート上で Web ベース認証とポート セキュリティを設定することができます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定します)。ポート セキュリティおよび Web ベース認証をポートでイネーブルにする際に、Web ベース認証がポートを認証し、ポート セキュリティでクライアントのものを含むすべての MAC アドレスのネットワーク アクセスを管理します。その後、ポートを介してネットワークにアクセス可能なクライアント数またはクライアント グループを制限することができます。

ポート セキュリティをイネーブルにする場合の詳細については、「ポート セキュリティの設定」を参照してください。

LAN ポート IP

同一ポート上で LAN Port IP(LPIP; LAN ポート IP)とレイヤ 2 Web ベース認証を設定できます。最初に Web ベース認証を使用してホストが認証されて、その後 LPIP ポスチャ検証が実行されます。LPIP ホスト ポリシーは、Web ベース認証ホスト ポリシーを上書きします。

Web ベース認証アイドル タイマーの期限が満了した場合、NAC ポリシーが削除されます。ホストが認証され、再びポスチャを検証します。

ゲートウェイ IP

Web ベース認証が Virtual LAN(VLAN; 仮想 LAN)のスイッチ ポートに設定されている場合、レイヤ 3 VLAN インターフェイス上にゲートウェイ IP を設定できません。

ゲートウェイ IP と同じレイヤ 3 インターフェイスで Web ベース認証を設定することができます。両方の機能のホスト ポリシーがソフトウェアに適用されます。GWIP ポリシーは、Web ベース認証ホスト ポリシーを上書きします。

ACL

VLAN ACL または Cisco IOS ACL をインターフェイス上に設定する場合、Web ベース認証ホスト ポリシーが適用されたあとに ACL がホスト トラフィックに適用されます。

レイヤ 2 Web ベース認証の場合、ポートに接続されたホストからの入力トラフィックのデフォルト アクセス ポリシーとしてポート ACL(PACL)を設定しなければなりません。認証後、Web ベース認証ホスト ポリシーは PACL を上書きします。

MAC ACL と Web ベース認証は同じインターフェイスに設定できません。

アクセス VLAN に設定済み VACL キャプチャのあるポート上に Web ベース認証は設定できません。

IP ソース ガード

Cisco IOS Release 12.2(33)SXI2 よりも前のリリースでは、同じインターフェイスでの IP ソース ガードと Web ベース認証の設定がサポートされていません。

Cisco IOS Release 12.2(33)SXI2 以降のリリースでは、同じインターフェイスで IP ソース ガードと Web ベース認証を設定できます。DHCP スヌーピングがアクセス VLAN でもイネーブルである場合は、2 つの機能間の競合を回避するためにグローバル コンフィギュレーション モードで mls acl tcam override dynamic dhcp-snooping コマンドを入力する必要があります。IP ソース ガードと Web ベース認証が組み合わされているときは、その他の VLAN ベース機能はサポートされません。

EtherChannel

レイヤ 2 EtherChannel インターフェイス上に Web ベース認証を設定することができます。Web ベース認証設定はすべてのメンバーチャネルに適用されます。

スイッチオーバー

RPR モードの冗長性の冗長スーパーバイザ エンジンを搭載したCatalyst 6500 シリーズ スイッチでは、現在認証されているホストに関する情報がスイッチオーバー中に維持されます。ユーザは再認証する必要がありません。

Web ベース認証の設定

ここでは、Web ベース認証の設定方法を説明します。

「デフォルトの Web ベース認証の設定」

「Web ベース認証設定時の注意事項および制約事項」

「Web ベース認証設定時の作業一覧」

「認証ルールとインターフェイスの設定」

「AAA 認証の設定」

「スイッチと RADIUS サーバ間の通信設定」

「HTTP サーバの設定」

「Web ベース認証のパラメータ設定」

「Web ベース認証のキャッシュ エントリの削除」

デフォルトの Web ベース認証の設定

表 55-1 に、デフォルトの Web ベース認証の設定を示します。

 

表 55-1 デフォルトの Web ベース認証の設定

機能
デフォルト設定

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

キー

指定なし

1812

指定なし

無活動タイムアウトのデフォルト値

3600 秒

無活動タイムアウト

イネーブル

Web ベース認証設定時の注意事項および制約事項

以下は Web ベース認証の設定時の注意事項です。

Web ベースの認証は入力だけの機能です。

Web ベース認証はアクセス ポートでだけ設定できます。Web ベース認証は、トランク ポート、EtherChannel メンバー ポート、またはダイナミック トランク ポートではサポートされません。

Web ベースを設定する前に、デフォルト ACL をインターフェイス上に設定する必要があります。レイヤ 2 インターフェイスのポート ACL を設定するか、レイヤ 3 インターフェイスの Cisco IOS ACL を設定します。

レイヤ 2 インターフェイス上では、スタティック ARP キャッシュ割り当てのあるホストを認証することができません。ARP メッセージを送信しないため、これらのホストは Web ベース認証機能で検出されません。

デフォルトでは、スイッチの IP 装置追跡機能はディセーブルに設定されています。Web ベース認証を使用するには、IP 装置追跡機能をイネーブルにする必要があります。

スイッチ上で HTTP サーバを実行するには、少なくとも 1 つの IP アドレスを設定する必要があります。また、各ホスト IP アドレスに到達するためにルートも設定する必要があります。HTTP サーバは HTTP ログイン ページをホストに送信します。

STP トポロジの変更によりホスト トラフィックが別のポートに到着した場合に、複数ホップ離れているホストはトラフィックが中断する可能性があります。これは、レイヤ 2(STP)トポロジ変更後に ARP および DHCP アップデートが送信されていない可能性があるためです。

Web ベース認証はダウンロード可能ホスト ポリシーとして VLAN 割り当てをサポートしていません。

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、RADIUS サーバからダウンロード可能なACL(DACL)がサポートされます。

Web ベースの認証は IPv6 トラフィックをサポートしません。

認証ルールとインターフェイスの設定

Web ベースの認証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission name name proxy http

Web ベース許可の認証ルールを設定します。

ステップ 2

Router(config)# interface type 1 slot/port

インターフェイス コンフィギュレーション モードを開始し、Web ベース認証をイネーブルにする入力レイヤ 2 またはレイヤ 3 インターフェイスを指定します。

ステップ 3

Router(config-if)# ip access-group name

デフォルト ACL を適用します。

ステップ 4

Router(config-if)# ip admission name

指定したインターフェイスで Web ベース認証を設定します。

ステップ 5

Router(config-if)# authentication order method1 [ method2 ] [ method3 ]

(任意)使用される認証方式のフォールバック順序を指定します。デフォルトの順序では、 method の 3 つの値は、 dot1x mab 、および webauth です。

方式を省略すると、インターフェイス上でその方式がディセーブルになります。

ステップ 6

Router(config-if)# exit

コンフィギュレーション モードに戻ります。

ステップ 7

Router(config)# ip device tracking

IP 装置追跡テーブルをイネーブルにします。

ステップ 8

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 9

Router# show ip admission configuration

設定を表示します。

1.type = fastethernetgigabitethernet、または tengigabitethernet

この例では、ポート FastEthernet 5/1 上で 802.1X 認証または MAB 認証をディセーブルにしながら、Web ベースの認証をイネーブルにする方法を示します。

Router(config)# ip admission name webauth1 proxy http
Router(config)# interface fastethernet 5/1
Router(config-if)# ip admission webauth1
Router(config-if)# authentication order webauth
Router(config-if)# exit
Router(config)# ip device tracking
 

次に、設定を確認する例を示します。

Router# show ip admission configuration
Authentication Proxy Banner not configured
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
 
Authentication Proxy Rule Configuration
Auth-proxy name webauth1
http list not specified inactivity-time 60 minutes
 
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

AAA 認証の設定

Web ベース認証をイネーブルにするには、AAA をイネーブルにして認証方式を指定する必要があります。次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA 機能をイネーブルにします。

ステップ 2

Router(config)# aaa authentication login default group { tacacs+ | radius }

ログイン時の認証方式のリストを定義します。

ステップ 3

Router(config)# aaa authorization auth-proxy default group { tacacs+ | radius }

Web ベース許可の許可方式リストを作成します。

ステップ 4

Router(config)# tacacs-server host { hostname | ip_address }

AAA サーバを指定します。RADIUS サーバの場合は、「スイッチと RADIUS サーバ間の通信設定」を参照してください。

ステップ 5

Router(config)# tacacs-server key { key-data }

スイッチと TACACS サーバとの間で使用される認証キーおよび暗号キーを設定します。

次に、AAA をイネーブルにする例を示します。

Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+
Router(config)# aaa authorization auth-proxy default group tacacs+
 

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、次のいずれかによって識別されます。

ホスト名

ホスト IP アドレス

ホスト名と特定の UDP ポート番号

IP アドレスと特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして機能します。RADIUS ホスト エントリは、設定した順序に従って選択されます。

RADIUS サーバ パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを含むように指定します。

ステップ 2

Router(config)# radius-server host { hostname | ip-address } test username username

リモート RADIUS サーバのホスト名または IP アドレスを指定します。

test username username オプションを使用すると、RADIUS サーバ接続が自動的にテストされます。指定する username は有効なユーザ名である必要はありません。

key オプションはスイッチと RADIUS サーバ間で使用する認証キーおよび暗号キーを指定します。

複数の RADIUS サーバを使用するには、このコマンドを再入力します。

ステップ 3

Router(config)# radius-server key string

スイッチと、RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する、許可および暗号キーを設定します。

ステップ 4

Router(config)# radius-server vsa send authentication

RADIUS サーバからの ACL のダウンロードをイネーブルにします。この機能は Cisco IOS Release 12.2(33)SXI 以降のリリースでサポートされます。

ステップ 5

Router(config)# radius-server dead-criteria tries num-tries

RADIUS サーバに対する未応答の伝送数を指定します。この数を超えると RADIUS サーバが停止していると見なされます。 num-tries の範囲は 1 ~ 100 です。

RADIUS サーバ パラメータを設定する場合、次の点に注意してください。

key string は、別のコマンド ラインで指定します。

key string には、 スイッチ と RADIUS サーバ上で動作する RADIUS デーモンとの間で使用される認証および暗号キーを指定します。キーはテキスト ストリングで、RADIUS サーバで使用する暗号キーと一致する必要があります。

key string を指定する場合、キーの途中および末尾でスペースが使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。このキーは RADIUS デーモンで使用される暗号と一致する必要があります。

radius-server host グローバル コンフィギュレーション コマンドを使用して、タイムアウト、再送信回数、暗号キーの値を、すべての RADIUS サーバにグローバルに設定できます。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL の『 Cisco IOS Security Configuration Guide 』Release 12.2、『 Cisco IOS Security Command Reference , Release 12.2』を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、RADIUS サーバからダウンロード可能な ACL(DACL)がサポートされます。


) RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、サーバとスイッチの双方で共有するキー ストリング、およびダウンロード可能な ACL があります。詳細については、RADIUS サーバのマニュアルを参照してください。


次に、スイッチで RADIUS サーバ パラメータを設定する例を示します。

Router(config)# ip radius source-interface Vlan80
Router(config)# radius-server host 172.l20.39.46 test username user1
Router(config)# radius-server key rad123
Router(config)# radius-server dead-criteria tries 2

HTTP サーバの設定

Web ベース認証を使用するには、スイッチ内で HTTP サーバをイネーブルにする必要があります。サーバは HTTP または HTTPS に対してイネーブルにできます。サーバをイネーブルにするには、グローバル コンフィギュレーション モードで次のいずれかの作業を行います。

 

コマンド
目的

Router(config)# ip http server

HTTP サーバをイネーブルにします。Web ベース認証機能では、HTTP サーバを使用してユーザ認証用のホストと通信します。

Router(config)# ip http secure-server

HTTPS をイネーブルにします。

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、次のセクションで説明されているように任意でカスタム認証プロキシ Web ページを設定したり、正常なログインのリダイレクション URL を指定したりできます。

認証プロキシ Web ページのカスタマイズ

成功ログインのリダイレクション URL の指定

認証プロキシ Web ページのカスタマイズ

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、Web ベース認証時にスイッチの内部デフォルト HTML ページの代わりに 4 つの代替 HTML ページを任意でユーザに表示できます。

カスタム認証プロキシ Web ページの使用を指定するには、まずカスタム HTML ファイルをスイッチの内部ディスクまたはフラッシュ メモリに保存し、次にグローバル コンフィギュレーション モードで次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission proxy http login page file device:login-filename

デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルのスイッチメモリ ファイル システムの場所を指定します。 device: はディスクまたはフラッシュ メモリのいずれかです(例:disk0:)。

ステップ 2

Router(config)# ip admission proxy http success page file device:success-filename

デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルのメモリ ファイル システムの場所を指定します。

ステップ 3

Router(config)# ip admission proxy http failure page file device:fail-filename

デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 4

Router(config)# ip admission proxy http login expired page file device:expired-filename

デフォルトのログイン期限切れページの代わりに使用するカスタム HTML ファイルの場所を指定します。

カスタマイズされた認証プロキシ Web ページの使用を設定する場合は、次の注意事項を考慮してください。

カスタム Web ページ機能をイネーブルにするには、4 つのすべてのカスタム HTML ファイルを指定する必要があります。4 つ未満のファイルが指定されている場合は、内部デフォルト HTML ページが使用されます。

4 つのカスタム HTML ファイルはスイッチのディスクまたはフラッシュに存在する必要があります。

イメージ ファイルのサイズには 256 KB の制限があります。

すべてのイメージ ファイルに、「web_auth_」で始まるファイル名を付ける必要があります(例:「logo.jpg」ではなく、「web_auth_logo.jpg」)。

すべてのイメージ ファイルの名前は、33 文字以上にすることができません。

カスタム ページ上のすべての画像は、アクセス可能な HTTP サーバに格納する必要があります。代行受信 ACL は、HTTP サーバへのアクセスを許可するためにアドミッション ルール内で設定する必要があります。

カスタム ページからのすべての外部リンクでは、アドミッション ルール内で代行受信 ACL を設定する必要があります。

外部リンクまたは画像に必要なすべての名前解決では、有効な DNS サーバにアクセスするためにアドミッション ルール内で代行受信 ACL を設定する必要があります。

カスタム Web ページ機能がイネーブルである場合、設定された auth-proxy-banner は使用されません。

カスタム Web ページ機能がイネーブルである場合、成功ログイン機能のリダイレクション URL は利用不可能です。

カスタム ファイルの指定を削除するには、コマンドの no 形式を使用します。

カスタム ログイン ページは公開 Web フォームであるため、このページについて次の注意事項を考慮してください。

ログイン フォームはユーザ名とパスワードのユーザ入力を受け入れ、データを uname pwd として送信(POST)する必要があります。

カスタム ログイン ページは Web フォームのベスト プラクティス(ページ タイムアウト、非表示パスワード、冗長送信の防止など)に従う必要があります。

次に、カスタム認証プロキシ Web ページを設定する例を示します。

Router(config)# ip admission proxy http login page file disk1:login.htm
Router(config)# ip admission proxy http success page file disk1:success.htm
Router(config)# ip admission proxy http fail page file disk1:fail.htm
Router(config)# ip admission proxy http login expired page file disk1:expired.htm
 

次に、カスタム認証プロキシ Web ページの設定を検証する例を示します。

Router# show ip admission configuration
 
Authentication proxy webpage
Login page : disk1:login.htm
Success page : disk1:success.htm
Fail Page : disk1:fail.htm
Login expired Page : disk1:expired.htm
 
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
 

成功ログインのリダイレクション URL の指定

Cisco IOS Release 12.2(33)SXI 以降では、認証の成功時にユーザをリダイレクトする URL を任意で指定できます(実質的に内部成功 HTML ページは置き換えられます)。

成功ログインのリダイレクション URL を指定するには、グローバル コンフィギュレーション モードで次の作業を行います。

 

コマンド
目的

Router(config)# ip admission proxy http success redirect url-string

デフォルトのログイン成功ページの代わりにユーザのリダイレクション先 URL を指定します。

成功ログインのリダイレクション URL を設定する場合は、次の注意事項を考慮してください。

カスタム認証プロキシ Web ページ機能がイネーブルである場合、リダイレクション URL 機能はディセーブルに設定され、CLI で利用できなくなります。リダイレクションは、カスタム ログイン ページで実行できます。

リダイレクション URL 機能がイネーブルである場合、設定された auth-proxy-banner は使用されません。

リダイレクション URL の指定を削除するには、コマンドの no 形式を使用します。

次に、成功ログインのリダイレクション URL を設定する例を示します。

Router(config)# ip admission proxy http success redirect www.cisco.com
 

次に、成功ログインのリダイレクション URL を検証する例を示します。

Router# show ip admission configuration
 
Authentication Proxy Banner not configured
Customizable Authentication Proxy webpage not configured
HTTP Authentication success redirect to URL: http://www.cisco.com
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Max HTTP process is 7
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
 

AAA 失敗ポリシーの設定

Web ベース認証の AAA 失敗ポリシーは、Cisco IOS Release 12.2(33)SXI 以降のリリースでサポートされています。

AAA 失敗ポリシーを設定するには、グローバル コンフィギュレーション モードで次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission name rule-name proxy http event timeout aaa policy identity identity_policy_name

AAA 失敗ルールを作成し、AAA サーバが到達不可能な場合にセッションに適用するアイデンティティ ポリシーを関連付けます。

ルールをスイッチから削除するには、 no ip admission name rule-name proxy http event timeout aaa policy identity グローバル コンフィギュレーション コマンドを使用します。

ステップ 2

Router(config)# ip admission ratelimit aaa-down number_of_sessions

(任意)AAA サーバが稼動状態に戻ったときに AAA サーバのフラッディングを回避するために、AAA ダウン ステートのホストからの認証試行をレート制限できます。

次に、AAA 失敗ポリシーを適用する例を示します。

Router(config)# ip admission name AAA_FAIL_POLICY proxy http event timeout aaa policy identity GLOBAL_POLICY1
 

次に、AAA ダウン ステートでホストが接続されていないかどうかを調べる例を示します。

Router# show ip admission cache
Authentication Proxy Cache
Client IP 209.165.201.11 Port 0, timeout 60, state ESTAB (AAA Down)
 

次に、ホストの IP アドレスに基づいた特定のセッションに関する詳細情報を表示する例を示します。

Router# show ip admission cache 209.165.201.11
Address : 209.165.201.11
MAC Address : 0000.0000.0000
Interface : Vlan333
Port : 3999
Timeout : 60
Age : 1
State : AAA Down
AAA Down policy : AAA_FAIL_POLICY
 

Web ベース認証のパラメータ設定

失敗ログイン試行の最大数を設定できます。この数を超えるとクライアントは待機する間ウォッチ リストに配置されます。

Web ベースの認証パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission max-login-attempts number

失敗ログイン試行の最大数を設定します。指定できる範囲は 1 ~ 2147483647 です。デフォルトは 5 です。

ステップ 2

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 3

Router# show ip admission configuration

認証プロキシ設定を表示します。

ステップ 4

Router# show ip admission cache

認証エントリのリストを表示します。

次に、失敗ログイン試行の最大数を 10 に設定する例を示します。

Router(config)# ip admission max-login-attempts 10

Web ベース認証のキャッシュ エントリの削除

既存のセッション エントリを削除するには、次のいずれかの作業を行います。

 

コマンド
目的

Router# clear ip auth-proxy cache { * | host ip address }

認証プロキシ エントリを削除します。すべてのキャッシュ エントリを削除するにはアスタリスクを使用します。単一ホストのエントリを削除するには、特定の IP アドレスを入力します。

Router# clear ip admission cache { * | host ip address }

認証プロキシ エントリを削除します。すべてのキャッシュ エントリを削除するにはアスタリスクを使用します。単一ホストのエントリを削除するには、特定の IP アドレスを入力します。

次に、特定の IP アドレスのクライアントに対する Web ベース認証セッションを削除する例を示します。

Router# clear ip auth-proxy cache 209.165.201.1

Web ベース認証ステータスの表示

すべてのインターフェイスまたは特定のポートのWeb ベース認証設定を表示するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# show fm ip-admission l2http [ all | interface type 2 slot/port ]

Web ベース認証設定を表示します。

(任意) all キーワードを使用して、Web ベース認証を使用するすべてのインターフェイスを表示します。

(任意) interface キーワードを使用して、特定のインターフェイスの Web ベース認証設定を表示します。

2.type = fastethernetgigabitethernet、または tengigabitethernet

次に、グローバル Web ベース認証ステータスだけを表示する例を示します。

Router# show fm ip-admission l2http all
 

次に、インターフェイス GigabitEthernet 3/27 の Web ベース認証を表示する例を示します。

Router# show fm ip-admission l2http interface gigabitethernet 3/27
 

この出力に表示されるフィールドの詳細については、『Cisco IOS Master Command List, Release 12.2SX』を参照してください。


ヒント Cisco Catalyst 6500 シリーズ スイッチの詳細(設定例およびトラブルシューティング情報を含む)については、次のページに示されるドキュメントを参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html


 


ヒント