シスコ セキュア アクセス ハウツー ガイド:中央 Web 認証

Similar documents
Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

WeChat 認証ベースのインターネット アクセス

FQDN を使用した ACL の設定

セキュリティ機能の概要

8021.X 認証を使用した Web リダイレクトの設定

セキュリティ機能の概要

索引

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

適応型セキュリティ アプライ アンスの設定

Windows GPO のスクリプトと Cisco NAC 相互運用性

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

使用する前に

VLAN の設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

はじめに

Cisco ISE ポート リファレンス

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

使用する前に

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

authentication command bounce-port ignore ~ auth-type

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

適応型セキュリティ アプライ アンスの設定

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

LDAP サーバと統合するための ISE の設定

URL ACL(Enhanced)導入ガイド

Kerberos の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

VPN 接続の設定

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

シスコ以外の SIP 電話機の設定

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

ライセンス管理

新しいモビリティの設定

Nexus 1000V による UCS の MAC アドレスのトレース

PowerPoint Presentation

Mobile Access簡易設定ガイド

詳細設定

CEM 用の Windows ドメイン コントローラ上の WMI の設定

_mokuji_2nd.indd

Untitled

自律アクセス ポイントでの Cisco IOS のアップグレード

Web 認証拡張機能簡易ドキュメント

conf_example_260V2_inet_snat.pdf

TeamViewer マニュアル – Wake-on-LAN

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

VPN の IP アドレス

UCCX 11.6 の Gmail の SocialMiner の統合

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

PfRv2 での Learn-List と PfR-Map の設定

ドメイン間フェデレーションの設定ワークフロー

VRF のデバイスへの設定 Telnet/SSH アクセス

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Soliton Net’Attest EPS + AT-TQ2400 series WPA/WPA2-Enterprise EAP-PEAP/TLS 設定例

シナリオ:DMZ の設定

TeamViewer 9マニュアル – Wake-on-LAN

Net'Attest EPS設定例

目次 概要... 3 Windows10 での接続方法... 4 Windows 8 での接続方法... 6 Windows 7 での接続方法... 8 Macintosh での接続方法 ios での接続方法 Android の接続方法 Web によるユーザ認証

NetAttest EPS設定例

Cisco Hyperlocation

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

ミーティングへの参加

PowerPoint Presentation

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

UCCX ソリューションの ECDSA 証明書について

MIB サポートの設定

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

はじめる前に

CSS のスパニングツリー ブリッジの設定

障害およびログの表示

音声認識サーバのインストールと設定

PowerPoint Presentation

Exam : 日本語 (JPN) Title : Implementing Advanced Cisco Unified Wireless Security (IAUWS) v2.0 Vendor : Cisco Version : DEMO 1 / 5 Get Latest & V

はじめに 注意事項本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 輸出時の注意 AX シリーズに関し 本製品を輸出される場合には 外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連

R80.10_FireWall_Config_Guide_Rev1

はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と フルノシステムズ社製無線アクセスポイント ACERA 1010/ACERA 1020 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示した

ESET Smart Security 7 リリースノート

認証連携設定例 連携機器 BUFFALO WAPM-2133TR/WAPM-1266R/ WAPM-1266WDPR/WAPS-1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

パスワード暗号化の設定

9.pdf

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

トラステッド リレー ポイントの設定

管理者のユーザ名とパスワードの設定

Windows MAC OS 用 VPN クライアントソフトバージョンによる仕様差異

目次 第 1 章概要....1 第 2 章インストールの前に... 2 第 3 章 Windows OS でのインストール...2 第 4 章 Windows OS でのアプリケーション設定 TP-LINK USB プリンターコントローラーを起動 / 終了するには

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

認証連携設定例 連携機器 BUFFALO FS-M1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と NEC プラットフォームズ社製無線 LAN アクセスポイント NA1000W/NA1000A の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続につい

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製無線アクセスポイント WAB-M2133 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示したものです 設定例

管理者のユーザ名とパスワードの設定

一般的に使用される IP ACL の設定

Net'Attest EPS設定例

認証連携設定例 連携機器 アイ オー データ機器 WHG-AC1750A シリーズ Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

CUBICS Learning

Transcription:

シスコセキュアアクセスハウツーガイド : 中央 Web 認証 現在のドキュメントバージョン :4.0 2013 年 9 月 2 日

目次 目次... 2 はじめに... 3 シスコセキュアアクセスを実現するハウツーガイドについて... 3 シスコセキュアアクセス認定の意義... 4 Web 認証... 5 Web 認証を使用する理由... 5 Web 認証のフロー... 5 中央 Web 認証... 7 CWA 設定の説明... 8 シスコスイッチで定義された CWA 用アクセスコントロールリスト... 8 スイッチポート ACL... 8 シスコスイッチのリダイレクト ACL... 8 シスコ WLC で定義された CWA 用アクセスコントロールリスト... 8 CWA 用の Cisco ISE 認可プロファイル... 10 付録 A: 参考資料... 11 シスコセキュアアクセスシステム... 11 デバイス設定ガイド... 11 HowTo-40-WebAuthentication_Design_Guide 2

はじめに シスコセキュアアクセスを実現するハウツーガイドについて シリーズのハウツードキュメントは シスコセキュアアクセスの導入におけるベストプラクティスを説明するために シスコセキュアアクセスチームによって作成されています このシリーズのドキュメントは相互に関連して作られており シスコセキュアアクセスシステムの導入を成功させるのに役立ちます これらのドキュメントを参照することで 所定のパスに従ってシステム全体を展開したり もしくは特定のニーズに合う個別の使用例を調べたりすることができます それぞれのガイドは 地下鉄の 現在地表示 の地図のようなスタイルをとっており ドキュメントの扱う内容がどの段階にあたるのか シスコセキュアアクセスの導入手順のどこに該当するのかがわかりやすくなっています ( 図 1) 図 1: ハウツーガイドのナビゲーションマップ HowTo-40-WebAuthentication_Design_Guide 3

シスコセキュアアクセス認定の意義 シスコセキュアアクセスの各バージョン番号 ( たとえば シスコセキュアアクセスバージョン 2.0 バージョン 2.1 など ) は 設計またはアーキテクチャが認定済みであることを示しています アーキテクチャを構成するすべてのテクノロジーは 完全なアーキテクチャ設計に基づく開発 および ラボでのテストを経たものです シスコセキュアアクセス認定 のマークがついたハウツーガイドにおいては ドキュメント内で言及されるすべての要素は次の基準を満たしている必要があります 設計に組み込まれている製品は 一般的に使用できるものでなければならない システム内のコンポーネントの導入 運用 管理については 繰り返し実施可能な手順を示さなければならない 設計内で使用されているすべての設定と製品は 統合ソリューションとして完全にテスト済みでなければならない 導入に役立つ可能性のある多くの機能がありますが テスト済みのソリューションでない場合には シスコセキュアアクセス認定 のマークがつくことはありません シスコセキュアアクセスチームは 新しい機能が利用できるようになった際に ドキュメントにそれらの機能を加えられるように定期的に更新しています また シスコセキュアアクセスのテスト計画 パイロット導入 システムリビジョンに統合しています ( たとえば シスコセキュアアクセス認定 2.2) また テスト済みではあっても ベストプラクティスと見なされないために このドキュメントに含まれていない多くの機能やシナリオがあります たとえば 特定の IEEE 802.1X のタイマーや ローカル Web 認証機能は含まれていません 注 : このマニュアルでは 推奨される導入方法と お客様の環境で必要とされるセキュリティのレベルに応じたいくつかの異なるオプションについて説明します これらの方法は 正常なプロジェクトの展開を支援するシスコのベストプラクティスによって規定されたシスコセキュアアクセスの導入に関する例であり 段階的な手順を示しています HowTo-40-WebAuthentication_Design_Guide 4

Web 認証 Web 認証を使用する理由 シスコセキュアアクセスソリューションでは ユーザおよびデバイスの認証に 3 つのメカニズムを採用しています IEEE 802.1X がプライマリの認証プロトコルとなり サプリカントの組み込まれたエンドポイントとユーザに使用されます IEEE 802.1X を実行できないエンドポイントの認証には MAC 認証バイパス (MAB) が使用されます この場合 すべての信頼済みエンドポイントについて MAC アドレスのデータベースを維持することが必要です Web 認証が 3 つ目のメカニズムになります これは Web ポータルがユーザに表示され ユーザはそこで自分のクレデンシャルを送信し ネットワークへの認証を受けます Web 認証は 主に次の状況で使用されます 一時的なユーザの認証に使用 組織は ゲストや請負業者などの一時的なユーザにネットワークアクセスを提供する必要があります 一時的なユーザは 多くの場合 組織の IT サービスでは制御できないデバイスを使用しています その結果 一時的なユーザが IEEE 802.1X の設定されたエンドポイントを使用しないことになります Web 認証は このようなユーザを認証し アクセプタブルユースポリシーへのユーザの同意を得る際に便利な方式です 一時的にアクセスするユーザを認証することで そうしたユーザのアクティビティのモニタリングが可能になり 組織のコンプライアンス要件を遵守できるというメリットもあります 通常のネットワークユーザに対する認証方式のフォールバックとして使用 IEEE 802.1X が設定されているデバイスを使用する通常のネットワークユーザが認証に失敗することがよくあります これは パスワードや証明書の有効期限切れ サプリカントの設定ミスなどさまざまな理由で発生する可能性があります Web 認証を提供することで そのようなユーザが自ら認証したり IEEE 802.1X での認証を回避したりして問題を修正できるようになります デバイス登録に使用 ユーザがスマートフォンやタブレットなどの個人用デバイスを使用して インターネットや他の企業アプリケーションにアクセスする場合があります そのようなデバイスをすべてユーザと結び付け ネットワークリソースに適切にアクセスしていることを確認することは IT 部門にとってますます重要になっています Web 認証は ユーザの個人用デバイスを登録するための手段として使用することができます 登録することで そのデバイスに対して 組織のセキュリティポリシーや組織でのユーザロールに基づいて ネットワークリソースへのフルアクセスを認めたり 限定したりすることができます Web 認証のフロー 一般的な Web 認証のフローは 次のイベントで構成されます 1. ユーザが 有線ネットワークに接続を試みます ユーザは ゲストや請負業者 もしくは IEEE 802.1X 認証に失敗した従業員になります IEEE 802.1X 認証の失敗の理由としては サプリカントの設定ミスやクレデンシャルの期限切れなどが挙げられます 2. IEEE 802.1X がタイムアウトすると スイッチは MAB を試行し MAB にも失敗します HowTo-40-WebAuthentication_Design_Guide 5

3. この時点で Web 認証が起動されます Web 認証は 次の 2 つのいずれかの方法で行われます ローカル Web 認証 (LWA) LWA は ネットワークアクセスデバイス スイッチ ワイヤレス LAN コントローラ (WLC) が Web 認証をローカルで処理する際のプロセスです この際 すべてのネットワークアクセスデバイスは Web ポータルページで設定される必要があります 実稼働ネットワークのすべてのネットワークアクセスデバイスで Web ポータルの設定と制御を行うことは 難しい作業になります LWA では アクセスコントロールリスト (ACL) ベースの適用のみをサポートし RADIUS の認可変更 (CoA) はサポートしていません RADIUS CoA には プロファイルに基づいたポスチャの評価と適用が必要です 中央 Web 認証 (CWA) CWA は Cisco Identity Services Engine(ISE) などのポリシーサーバが Web 認証を通して中央でユーザを認証する際に使用されるプロセスです Web 認証に中央ポリシーサーバを使用することで 運用面で導入がより簡単になります CWA では ACL と VLAN ベースでの適用の両方がサポートされます また RADIUS CoA もサポートされます そのため プロファイルに基づいたポスチャの評価と適用が可能となります 注 : ワイヤレスネットワークの CWA は シスコワイヤレス LAN コントローラソフトウェアリリース 7.2 で導入されました ワイヤレスユーザの場合 Web 認証のフローが若干異なります ワイヤレスユーザは Web 認証のみ許可するように設定されたオープン SSID に接続します つまり実質的には ユーザがオープン SSID にアソシエーションした時点で ユーザは Web 認証プロセスのステップ 3 を実施することになります シスコでは CWA の使用を推奨しています 運用効率に優れていること および プロファイルに基づいたポスチャ評価や適用などの追加機能がサポートされていることがその理由です 本ドキュメントの範囲に限定して ここでは CWA についてのみ説明します ローカル Web 認証の詳細については Design and Implementation Guide を参照してください HowTo-40-WebAuthentication_Design_Guide 6

中央 Web 認証 図 2 は CWA のフローの詳細について示しています 図 2 中央 Web 認証プロセスのフロー ステップ 1: シスコのスイッチで IEEE 802.1X と MAB が設定されています Cisco WLC は MAC フィルタリングが有効になった状態で オープン SSID が設定されています 注 : スイッチと CWA 用の Cisco WLC の設定の詳細な手順については 次のハウツーガイドを参照してください HowTo-10-Universal_Switch_Configuration HowTo-11-Universal_WLC_Configuration ステップ 2: ユーザが有線ポートに接続するか ワイヤレスのオープン SSID とアソシエーションします ユーザが有線ポートに接続する場合は まず IEEE 802.1X がタイムアウトするか 失敗します シスコスイッチが MAB にフォールバックします Cisco ISE は 内部のエンドポイントの ID ストアにエンドポイントを見つけられません この時点で Cisco ISE は RADIUS のアクセス拒否メッセージをスイッチに送信する代わりに アクセス許可メッセージを送信します ステップ 3:RADIUS のアクセス許可に沿って Cisco ISE も フィルタ ACL PERMIT_ALL_TRAFFIC リダイレクト ACL ACL-WEBAUTH-REDIRECT Web ポータルの URL をプッシュダウンします RADIUS のアクセス許可により スイッチは通常のネットワークトラフィックに対してポートを開きますが 同時にポートとリダイレクト ACL に基づいて制限されます ステップ 4: エンドポイントは IP アドレスを取得し DNS クエリを解決できるようになります また ISE の新しいセッションをトリガーします このセッションは 一意なセッション ID を保持します ステップ 5: ユーザが Web ブラウザを起動させると スイッチもしくは Cisco WLC が ブラウザを ISE CWA の Web ポータル URL にリダイレクトします この時点で ユーザはクレデンシャルを入力し 設定されたアクセプタブルユースポリシー (AUP) を受け入れます ステップ 6:Cisco ISE が RADIUS の CoA メッセージをネットワークアクセスデバイスに送信します ステップ 7: ネットワークアクセスデバイスがエンドポイントを再認証し 前回作成されたものと同じセッションで接続させます Cisco ISE は ネットワークアクセスデバイスに適切なアクセスポリシーを送信します HowTo-40-WebAuthentication_Design_Guide 7

CWA 設定の説明 この項では さまざまなリダイレクト / フィルタ ACL や Cisco ISE シスコスイッチ シスコワイヤレス LAN コントローラで設定されたリダイレクトポリシーがどのように動作して CWA を有効にするかについて説明します 注 : 詳細な設定手順については 次を参照してください スイッチ : Global Switch Configuration WLC: Base configuration for the Wireless LAN Controller シスコスイッチで定義された CWA 用アクセスコントロールリストスイッチポート ACL モニタモード 低影響モードのどちらで導入しているかによって ACL-ALLOW もしくは ACL-DEFAULT のいずれかになります この ACL によって リダイレクトの前に どのトラフィックがポートを通過できるかが制御されます この ACL は Cisco IOS ソフトウェアのデバイスに固有のものです 主に Authentication Open コマンドが使用された際のトラフィックの制限に使用されます シスコスイッチのリダイレクト ACL リダイレクト ACL は ACL-WEBAUTH-REDIRECT になり スイッチで次のように定義されています C3750X(config)#ip access-list ext ACL-WEBAUTH-REDIRECT C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug C3750X(config-ext-nacl)#deny udp any any eq 53 C3750X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server C3750X(config-ext-nacl)#permit tcp any any eq 80 C3750X(config-ext-nacl)#permit tcp any any eq 443 C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the redirection Cisco ISE はスイッチに指示を出し このリダイレクト ACL をベンダー固有の属性を介して呼び出します ベンダー固有属性 (VSA) は ISE の認証プロファイルの一部として定義されます この ACL により スイッチが ISE へリダイレクトするトラフィックを特定でき 中央 Web 認証 (CWA) が許可されるようになります Web 認証を機能させるためには ホストマシンが DHCP や DNS などの基本的なネットワークサービスにアクセスできるようにすることが必要です そのため DHCP および DNS トラフィックがリダイレクトされないようにしなければなりません deny udp any any eq 53 のステートメントを ACL に追加し スイッチがポート 53 の User Datagram Protocol(UDP) トラフィックのリダイレクトを拒否するようにします そうすることで ホストマシンが DNS サービスにアクセスできるようになります 注 : シスコスイッチでは 既存のバグにより DNS トラフィックがリダイレクトされます スイッチが DNS トラフィックをリダイレクトしないようにするための回避手順が別途用意されています 基本的なネットワークサービスへのホストマシンのアクセスを許可する一方で ホストからのすべての Web トラフィックをリダイレクトする必要があります permit tcp any any eq 80 と permit tcp any any eq 443 のステートメントを ACL に追加することで スイッチが HTTP と HTTPS のトラフィックをリダイレクトするようにします トラフィックのリダイレクト先の URL は 別の VSA で定義されており それについては別途説明します シスコ WLC で定義された CWA 用アクセスコントロールリスト 1. Cisco WLC のリダイレクト ACL Cisco WLC のリダイレクト ACL にも ACL-WEBAUTH-REDIRECT という名前がつけられ スイッチの設定との一貫性が確保されています この ACL は 次に示すように定義されます HowTo-40-WebAuthentication_Design_Guide 8

図 3:Web 認証用のワイヤレス LAN コントローラの ACL スイッチのリダイレクト ACL と WLC のリダイレクト ACL を比較すれば その違いが確認できます DNS トラフィックがリダイレクトされないようにするために スイッチでは deny udp any any eq 53 のステートメントを使用し WLC では DNS トラフィックに対し 許可 (permit) アクションを使用しています これは WLC のリダイレクト ACL が 標準ワイヤレス ACL であるためです つまり ACL ルールの許可 (permit) ステートメントは DNS や ISE(10.1.100.3) へのトラフィックのフローを許可するようになっているということです そして その他のすべてのトラフィックを 暗黙の拒否 (deny) ステートメントで捕捉し ISE で設定されているリダイレクト URL にリダイレクトします この ACL は ISE が認可プロファイルを利用して VSA を送信する際に呼び出されます ここまでをまとめます a. リダイレクト ACL(ACL-WEBAUTH-REDIRECT) は シスコスイッチと Cisco WLC の両方で 事前に設定されている必要があります b. リダイレクト ACL は ISE の認可プロファイルで定義された VSA を通じて呼び出されます c. トラフィックのリダイレクト先の URL も VSA として ISE の認可プロファイルで指定されます d. スイッチのリダイレクト ACL の定義の際には 拒否 (deny) ステートメントでトラフィックをリダイレクトから除外し 許可 (permit) ステートメントで特定のトラフィックをリダイレクトします e. WLC のリダイレクト ACL は 標準のワイヤレス ACL です 許可ステートメントでトラフィックをリダイレクトから除外し 拒否 (deny) ステートメントで特定のトラフィックをリダイレクトします ACL の末尾には 暗黙的な拒否 (deny) ステートメントがあります f. また ISE の認可ポリシーでは DACL を送信して既存の事前認証スイッチポート ACL を置き換えることもできます HowTo-40-WebAuthentication_Design_Guide 9

CWA 用の Cisco ISE 認可プロファイル この項では さまざまな ACL やリダイレクト URL を Cisco ISE の認可ポリシー内でどのように定義するかについて説明します Low-Impact how to guide での設定に基づいた場合 WEBAUTH の ISE 認可プロファイルは 下の図のようになります 図 4:ISE で定義された Web 認証の認可プロファイル 認可プロファイルには 次の設定がされています a. RADIUS access_accept これは スイッチポートに認証の成功を伝えるものです その結果 スイッチがポートを開き トラフィックの通過を許可します b. PERMIT_ALL_TRAFFIC DACL これは ダウンロード可能なスイッチポート ACL です この ACL により スイッチポートで設定された事前認証 ACL が置き換えられます c. Web 認証パラメータ ここでは 3 つの異なるパラメータが存在します まず Web 認証方式に [ 中央 (Centralized)] を設定します 次に 適用する ACL を指定します スイッチではリダイレクト ACL を呼び出し WLC ではワイヤレス ACL を呼び出します [ リダイレクト (redirect)] フィールドで リダイレクト URL を指定します 今回は デフォルトの ISE ゲストポータルを使用します なお ポスチャの評価 サプリカントのプロビジョニング デバイス登録に Web 認証を使用する際にも同じパラメータセットを使用します 内容はそれぞれ変更する必要があります d. 属性の詳細 このセクションは 自動的に入力されます 使用されるベンダー固有属性が表示されます ACL-WEBAUTH-REDIRECT を url-redirect-acl としてリストする方法を確認してください url-redirect の値には トラフィックのリダイレクト先の URL が指定されます HowTo-40-WebAuthentication_Design_Guide 10

付録 A: 参考資料 セキュアアクセスシステム : http://www.cisco.com/en/us/products/ps11640/products_implementation_design_guides_list.html デバイス設定ガイド : Cisco Identity Services Engine User Guides: http://www.cisco.com/en/us/products/ps11640/products_user_guide_list.html Cisco IOS ソフトウェア Cisco IOS XE ソフトウェア および Cisco NX-OS ソフトウェアの各リリースの詳細情報については 次の URL を参照してください Cisco Catalyst 2900 シリーズスイッチの場合 : http://www.cisco.com/en/us/products/ps6406/products_installation_and_configuration_guides_list.html Cisco Catalyst 3000 シリーズスイッチの場合 : http://www.cisco.com/en/us/products/ps7077/products_installation_and_configuration_guides_list.html Cisco Catalyst 3000-X シリーズスイッチの場合 : http://www.cisco.com/en/us/products/ps10745/products_installation_and_configuration_guides_list.html Cisco Catalyst 4500 シリーズスイッチの場合 : http://www.cisco.com/en/us/products/hw/switches/ps4324/products_installation_and_configuration_guides_list.html Cisco Catalyst 6500 シリーズスイッチの場合 : http://www.cisco.com/en/us/products/hw/switches/ps708/products_installation_and_configuration_guides_list.html Cisco ASR 1000 シリーズルータの場合 : http://www.cisco.com/en/us/products/ps9343/products_installation_and_configuration_guides_list.html Cisco Wireless LAN Controller の場合 :http://www.cisco.com/en/us/docs/wireless/controller/7.2/configuration/guide/cg.html HowTo-40-WebAuthentication_Design_Guide 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック