Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

Similar documents
ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

WeChat 認証ベースのインターネット アクセス

8021.X 認証を使用した Web リダイレクトの設定

FQDN を使用した ACL の設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

シスコ セキュア アクセス ハウツー ガイド:中央 Web 認証

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

URL ACL(Enhanced)導入ガイド

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

LDAP サーバと統合するための ISE の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Windows GPO のスクリプトと Cisco NAC 相互運用性

索引

無線 LAN コントローラ(WLC)を使用した MAC フィルタの設定例

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

WLC で画面設定をキャストするための mDNS サービスとしての Chromecast

自律アクセス ポイントでの Cisco IOS のアップグレード

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

セキュリティ機能の概要

設定例: 基本 ISDN 設定

PfRv2 での Learn-List と PfR-Map の設定

X.25 PVC 設定

WebView のハング:- java.lang.OutOfMemoryError

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

Mobile Access簡易設定ガイド

セキュリティ機能の概要

ACI のファースト LACP タイマーを設定して下さい

ログインおよび設定

UCCX 11.6 の Gmail の SocialMiner の統合

適応型セキュリティ アプライ アンスの設定

新しいモビリティの設定

UCCX ソリューションの ECDSA 証明書について

AP-700/AP-4000 eazy setup

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

CRA 2.2(1)の ICD の設定方法

conf_example_260V2_inet_snat.pdf

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

適応型セキュリティ アプライ アンスの設定

VRF のデバイスへの設定 Telnet/SSH アクセス

ワイヤレス LAN コントローラ スプラッシュ ページ リダイレクトの設定例

ソフトバンクC&S

Untitled

Exam : 日本語 (JPN) Title : Implementing Advanced Cisco Unified Wireless Security (IAUWS) v2.0 Vendor : Cisco Version : DEMO 1 / 5 Get Latest & V

Microsoft Word - GoNET-MIS_評価環境構築マニュアル_ver docx

UCS M シリーズ サーバでの Redhat/CentOS オペレーティング システムのインストール

Net'Attest EPS設定例

Nexus 1000V による UCS の MAC アドレスのトレース

索引

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

コンフィギュレーション ファイルのバックアップと復元

9.pdf

VLAN Trunk Protocol(VTP)について

Web ブラウザ インターフェイスの使用方法

R76/Gaia ブリッジ構成設定ガイド

OS5.2_SSLVPN設定手順書

シナリオ:サイトツーサイト VPN の設定

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

CEM 用の Windows ドメイン コントローラ上の WMI の設定

VPN 接続の設定

POWER EGG 3.0 Office365連携

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

VPN の IP アドレス

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製無線アクセスポイント WAB-M2133 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示したものです 設定例

ミーティングへの参加

シナリオ:DMZ の設定

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

TeamViewer 9マニュアル – Wake-on-LAN

Kerberos の設定

ip nat outside source list コマンドを使用した設定例

ESET Smart Security 7 リリースノート

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

Net'Attest EPS設定例

管理者のユーザ名とパスワードの設定

設定 XMPP 復元力

OKTA SAML SSO の設定 ISE 2.3 ゲスト ポータル

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

証明書インポート用Webページ

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

_mokuji_2nd.indd

PALNETSC0184_操作編(1-基本)

自動代替ルーティング設定

1

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と フルノシステムズ社製無線アクセスポイント ACERA 1010/ACERA 1020 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示した

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

2. サポートプラットフォーム Pulse Secure MAG でサポートされる OS 及びブラウザを以下に記載します OS ブラウザ WindowsXP SP3 32bit or 64bit Internet Explorer 7.0 以降 Windows Vista 32bit or 64bi

NetAttest EPS設定例

音声認識サーバのインストールと設定

つくば市 様

Soliton Net’Attest EPS + AT-TQ2400 series WPA/WPA2-Enterprise EAP-PEAP/TLS 設定例

自律アクセス ポイントの Lightweight モードへの変換

1

WAP121 および WAP321 アクセス ポイントのダウンロード/バックアップ コンフィギュレーション ファイル

Transcription:

Identity Services Engine ゲストポータルのローカル Web 認証の設定例 Document ID: 116217 Updated: 2015 年 11 月 25 日 Marcin Latosiewicz およびニコラス Darchis によって貢献される Cisco TAC エンジニア PDF のダウンロード印刷フィードバック関連製品 ワイヤレス LAN(WLAN) Cisco Identity Services Engine 目次 はじめに前提条件要件使用するコンポーネント背景説明設定 ISE ゲストポータルでの LWA プロセスネットワーク図設定要件 WLC の設定 Webauth URL で外部 ISE をグローバルに設定して下さいアクセスコントロールリスト (ACL) の設定 LWA のサービスセット ID(SSID) の設定 ISE の設定ネットワークデバイスの定義認証ポリシーの設定許可ポリシーと許可結果の設定確認トラブルシューティング関連情報

Cisco サポートコミュニティ - 特集対話 概要 このドキュメントでは Cisco Identity Services Engine(ISE) のゲストポータルによるローカル Web 認証 (LWA) を設定する方法について説明します 前提条件 要件 次の項目に関する知識が推奨されます ISE Cisco ワイヤレス LAN コントローラ (WLC) 使用するコンポーネント このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです ISE バージョン 1.4 WLC バージョン 7.4 本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 稼働中のネットワークで作業を行う場合 コマンドの影響について十分に理解したうえで作業してください 背景説明 このドキュメントでは LWA の設定について説明します ただし 可能な限り ISE による中央集中型 Web 認証 (CWA) を使用することを推奨します 一部のシナリオでは LWA が推奨または唯一のオプションとなるため ここではそれらのシナリオの設定例を示します 設定 LWA を使用するには 特定の前提条件 WLC での主要な設定 および ISE でのいくつかの変更が必要です これらについて説明する前に ここでは ISE による LWA プロセスの概要を示します ISE ゲストポータルでの LWA プロセス

1. ブラウザが Web ページを取得しようとします 2. WLC は HTTP 要求を傍受し それを ISE にリダイレクトします 情報のいくつかの重要な部分が HTTP リダイレクトヘッダーに格納されます リダイレクト URL の例を次に示します https://mlatosieise.wlaaan.com:8443/portal/portalsetup.action?portal=27963fb0-e96e-11e4- a30a-005056bf01c9#&uistate=dialog?switch_url=https://1.1.1.1/login.html&ap_mac=b8:be:bf:14:41:90&client_mac=28 :cf:e9:13:47:cb&wlan=mlatosie_lwa&redirect=yahoo.com/ この URL 例から ユーザが yahoo.com に到達しようとしたことがわかります この URL には ワイヤレスローカルエリアネットワーク (WLAN) の名前 (mlatosie_lwa) およびクライアントとアクセスポイント (AP) の MAC アドレスに関する情報が含まれています この URL 例では 1.1.1.1 が WLC であり mlatosieise.wlaaan.com が ISE サーバです 3. ISE のゲストログインページが表示され ユーザがユーザ名とパスワードを入力します 4. ISE は 設定済みの ID シーケンスに照らして認証を実行します 5. ブラウザが再びリダイレクトします 今度は WLC にクレデンシャルを送信します ブラウザは ユーザが ISE で入力したユーザ名とパスワードを追加のユーザ操作なしで提供します WLC に対する GET 要求の例を次に示します GET /login.html?redirect_url=http://yahoo.com/&username=mlatosie%40cisco.com&password=ity h&buttonclicked=4&err_flag=0 ここにも 元の URL(yahoo.com) ユーザ名(mlatosie@cisco.com) およびパスワード (ityh) のすべてが含まれています 注 : ここでは URL を表示していますが 実際の要求は HTTPS で示される Secure Sockets Layer(SSL) を介して送信されるため 傍受は困難です 6. WLC は RADIUS を使用してこのユーザ名とパスワードを ISE に対して認証し アクセスを許可します 7. ユーザが指定されたポータルにリダイレクトされます 詳細については このドキュメントの WebAuth URL としての外部 ISE の設定 の項を参照してください ネットワーク図 この図は この例で使用するデバイスの論理トポロジを示しています

設定要件 LWA プロセスが正常に動作するには クライアントが次の情報を取得できる必要があります IP アドレスとネットマスクの設定 デフォルトルート ドメインネームシステム (DNS) サーバこれらはすべて DHCP またはローカル設定によって提供されます LWA が動作するためには DNS 解決が正常に機能する必要があります WLC の設定 Webauth URL で外部 ISE をグローバルに設定して下さい [Security] > [Web Auth] > [Web Login Page] で この情報にアクセスできます 注 : この例は外部 Webauth URL を使用し ISE バージョン 1.4 から奪取されました バージョンが異なる場合は 必要な設定内容を理解するため コンフィギュレーションガイドを参照してください

この設定毎 WLAN を設定することもまた可能性のあるです それは特定の WLAN セキュリティ設定にそれからあります それはグローバルな設定を無効にします 特定のポータルのための正しい URL を調べるために ISE > ゲストポリシー > 設定します > 仕様ポータル選択して下さい 門脈テスト URL からのリンクを右クリックし リンク位置を Copy を選択して下さい この例では 完全な URL は次のとおりです : https://mlatosieise.wlaaan.com:8443/portal/portalsetup.action?portal=27963fb0-e96e-11e4-a30a- 005056bf01c9 アクセスコントロールリスト (ACL) の設定 Web 認証が動作するためには 許可するトラフィックを定義する必要があります FlexConnect ACL と標準 ACL のどちらを使用する必要があるかを決定します FlexConnect AP は FlexConnect ACL を使用しますが 中央集中型スイッチングを使用する AP は標準 ACL を使用します どんなでモードを特定の AP が操作するか理解するために > アクセスポイント Wireless を選択し AP 名前 > AP モードドロップダウンボックスを選択して下さい 一般的な展開は [local] と [FlexConnect] のいずれかです [Security] > [Access Control Lists] で [FlexConnect ACLs] または [ACLs] を選択します この例では DNS 交換と ISE(10.48.66.107) へのトラフィックを特に許可するため すべての UDP トラフィックが許可されています この例は FlexConnect を使用します 従って FlexConnect および標準 ACL は両方定義されます この動作は WLC 7.4 コントローラに関する Cisco Bug ID CSCue68065 に記述されています FlexACL および標準 ACL だけをもう必要としないところで WLC 7.5 でそれがもう必要となりま

せん LWA のサービスセット ID(SSID) の設定 [WLAN] で 編集する [WLAN ID] を選択します Web 認証設定 直前の手順で定義した ACL を適用し Web 認証をイネーブルにします 注 : FlexConnect のローカルスイッチング機能を使用する場合は ACL のマッピングを AP レベルで追加する必要があります これは [Wireless] > [Access Points] にあります 適切な [AP Name] > [FlexConnect] > [External WebAuthentication ACLs] を選択します

認証 認可 およびアカウンティング (AAA) のサーバ設定 この例では 認証サーバとアカウンティングサーバの両方が 以前に定義した ISE サーバを指しています 注 : [Advanced] タブのデフォルトを追加する必要はありません

ISE の設定 ISE の設定は複数の手順で構成されます まず デバイスをネットワークデバイスとして定義します 次に この交換に対応する認証ルールと許可ルールが存在することを確認します ネットワークデバイスの定義 Administration > ネットワークリソース > ネットワークデバイスの下で これらのフィールドにデータ入力して下さい : デバイス名 デバイスの IP アドレス [Authentication Settings] > [Shared Secret] 認証ポリシーの設定

[Policy] > [Authentication] で 新しい認証ポリシーを追加します この例では 次のパラメータを使用します [Name]: WLC_LWA_Guests [Condition]: Airespace: Airespace-Wlan-Id この条件は WLAN ID の 3 と一致します これは 以前に WLC に定義した WLAN mlatosie_lwa の ID です ( オプション ) 証明書 Non_Cert_Auth を必要としない認証プロトコルを許可しますが デフォルトを使用できます ユーザがローカルに定義されたゲストユーザであることを定義する Guest_Portal_Sequence 許可ポリシーと許可結果の設定 [Policy] > [Authorization] で 新しいポリシーを定義します 次のような非常に基本的なポリシーでかまいません この設定は ISE の全体的な設定によって異なります この例では 意図的に簡単にしています 確認 管理者は ISE の [Operations] > [Authentications] でライブセッションの監視とトラブルシューティングを行うことができます 2 つの認証を確認する必要があります 1 つ目の認証は ISE のゲストポータルで行われます 2 つ目の認証は WLC から ISE へのアクセス要求として行われます どの許可ポリシーおよび認証ポリシーが選択されたか確認するために認証 Detail レポートアイコンをクリックできます 管理者は WLC の [Monitor] > [Client] でクライアントを監視できます 正常に認証されたクライアントの例を次に示します トラブルシューティング

可能な限り クライアントでデバッグを実行することを推奨します これらのデバッグでは CLI を介して有用な情報が提供されます debug client MA:CA:DD:RE:SS debug web-auth redirect enable macma:ca:dd:re:ss debug aaa all enable 関連情報 Cisco ISE 1.x コンフィギュレーションガイド Cisco WLC 7.x コンフィギュレーションガイド テクニカルサポートとドキュメント Cisco Systems このドキュメントは有用でしたか はいいいえ フィードバックいただき ありがとうございました サポートケースのオープン ( シスコサービス契約 < ts generic='1' nval='p%1,2%%' が必要です ) Cisco サポートコミュニティ - 特集対話 Cisco サポートコミュニティでは フォーラムに参加して情報交換することができます このドキュメントで使用されている表記法の詳細は シスコテクニカルティップスの表記法 を参照してください Updated: 2015 年 11 月 25 日 Document ID: 116217

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック