Web ベース認証の設定

CHAPTER 13 この 章 では Catalyst 3750-X または 3560-X スイッチで Web ベース 認 証 を 設 定 する 方 法 について 説 明 します 内 容 は 次 のとおりです Web ベース 認 証 の 概 要 (P.13-1) (P.13-9) Web ベース 認 証 ステータスの 表 示 (P.13-17) ( 注 ) この 章 で 使 用 するスイッチ の 構 文 および 使 用 方 法 の 詳 細 については このリリースに 対 応 す る リファレンスを 参 照 してください Web ベース 認 証 の 概 要 IEEE 802.1x サプリカントが 実 行 されていないホスト システムのエンド ユーザを 認 証 するには Web 認 証 プロキシと 呼 ばれる Web ベース 認 証 機 能 を 使 用 します ( 注 ) Web ベース 認 証 は レイヤ 2 およびレイヤ 3 インターフェイス 上 に 設 定 できます レイヤ 3 インター フェイスは LAN ベース フィーチャ セットが 稼 動 しているスイッチではサポートされません HTTP セッションを 開 始 すると Web ベース 認 証 は ホストからの 入 力 HTTP パケットを 代 行 受 信 し ユーザに HTML ログイン ページを 送 信 します ユーザはクレデンシャルを 入 力 します このクレデン シャルは Web ベース 認 証 機 能 により 認 証 のために Authentication, Authorization, Accounting (AAA; 認 証 許 可 アカウンティング)サーバに 送 信 されます 認 証 に 成 功 した 場 合 Web ベース 認 証 は ログインの 成 功 を 示 す HTML ページをホストに 送 信 し AAA サーバから 返 されたアクセス ポリシーを 適 用 します 認 証 に 失 敗 した 場 合 Web ベース 認 証 は ログインの 失 敗 を 示 す HTML ページをユーザに 転 送 し ロ グインを 再 試 行 するように ユーザにプロンプトを 表 示 します 最 大 試 行 回 数 を 超 過 した 場 合 Web ベース 認 証 は ログインの 期 限 切 れを 示 す HTML ページをホストに 転 送 し このユーザは 待 機 期 間 中 ウォッチ リストに 載 せられます ここでは AAA の 一 部 としての Web ベース 認 証 の 役 割 について 説 明 します デバイスの 役 割 (P.13-2) ホストの 検 出 (P.13-2) セッションの 作 成 (P.13-3) 認 証 プロセス (P.13-3) 13-1

Web ベース 認 証 の 概 要 第 13 章 Web 認 証 カスタマイズ 可 能 な Web ページ (P.13-6) その 他 の 機 能 と Web ベース 認 証 の 相 互 作 用 (P.13-7) デバイスの 役 割 Web ベース 認 証 では ネットワーク 上 のデバイスに 次 のような 固 有 の 役 割 があります クライアント:LAN およびスイッチ サービスへのアクセスを 要 求 し スイッチからの 要 求 に 応 答 するデバイス(ワークステーション) このワークステーションでは Java Script がイネーブルに 設 定 された HTML ブラウザが 実 行 されている 必 要 があります 認 証 サーバ:クライアントを 認 証 します 認 証 サーバはクライアントの 識 別 情 報 を 確 認 し そのク ライアントに LAN およびスイッチ サービスへのアクセスを 許 可 するか 拒 否 するかをスイッチに 通 知 します スイッチ:クライアントの 認 証 ステータスに 基 づいて ネットワークへの 物 理 アクセスを 制 御 しま す スイッチはクライアントと 認 証 サーバとの 仲 介 装 置 (プロキシ)として 動 作 し クライアント に 識 別 情 報 を 要 求 し その 情 報 を 認 証 サーバで 確 認 し クライアントに 応 答 をリレーします 図 13-1 は ネットワークでのこれらのデバイスの 役 割 を 示 しています 図 13-1 Web ベース 認 証 デバイスの 役 割 Catalyst Cisco RADIUS 79549 ホストの 検 出 スイッチ は 検 出 されたホストに 関 する 情 報 を 格 納 するために IP デバイス トラッキング テーブルを 維 持 します ( 注 ) デフォルトでは スイッチの IP デバイス トラッキング 機 能 はディセーブルに 設 定 されています Web ベース 認 証 を 使 用 するには IP デバイスのトラッキング 機 能 をイネーブルにする 必 要 があります レイヤ 2 インターフェイスでは Web ベース 認 証 は これらのメカニズムを 使 用 して IP ホストを 検 出 します ARP ベースのトリガー:ARP リダイレクト ACL により Web ベース 認 証 は スタティック IP ア ドレス またはダイナミック IP アドレスを 持 つホストを 検 出 できます ダイナミック ARP インスペクション DHCP スヌーピング:スイッチにより このホストに 対 する DHCP バインディング エントリが 作 成 されると Web ベース 認 証 に 通 知 が 送 られます 13-2

第 13 章 Web ベース 認 証 の 概 要 セッションの 作 成 Web ベース 認 証 により 新 しいホストが 検 出 されると 次 のようにセッションが 作 成 されます 例 外 リストをレビューします ホスト IP が 例 外 リストに 含 まれている 場 合 この 例 外 リスト エントリからポリシーが 適 用 され セッションが 確 立 されます 認 証 バイパスをレビューします ホスト IP が 例 外 リストに 含 まれていない 場 合 Web ベース 認 証 は NonResponsive-Host(NRH; 応 答 しないホスト) 要 求 をサーバに 送 信 します サーバの 応 答 が access accepted であった 場 合 認 証 はこのホストにバイパスされます セッショ ンが 確 立 されます HTTP インターセプト ACL を 設 定 します NRH 要 求 に 対 するサーバの 応 答 が access rejected であった 場 合 HTTP インターセプト ACL が アクティブ 化 され セッションはホストからの HTTP トラフィックを 待 機 します 認 証 プロセス Web ベース 認 証 をイネーブルにすると 次 のイベントが 発 生 します ユーザが HTTP セッションを 開 始 します HTTP トラフィックが 代 行 受 信 され 認 証 が 開 始 されます スイッチは ユーザにログイン ペー ジを 送 信 します ユーザはユーザ 名 とパスワードを 入 力 します スイッチはこのエントリを 認 証 サーバに 送 信 します 認 証 に 成 功 した 場 合 スイッチは 認 証 サーバからこのユーザのアクセス ポリシーをダウンロー ドし アクティブ 化 します ログインの 成 功 ページがユーザに 送 信 されます 認 証 に 失 敗 した 場 合 は スイッチはログインの 失 敗 ページを 送 信 します ユーザはログインを 再 試 行 します 失 敗 の 回 数 が 試 行 回 数 の 最 大 値 に 達 した 場 合 スイッチは ログイン 期 限 切 れページを 送 信 します このホストはウォッチ リストに 入 れられます ウォッチ リストのタイム アウト 後 ユーザは 認 証 プロセスを 再 試 行 することができます 認 証 サーバがスイッチに 応 答 しない 場 合 AAA 失 敗 ポリシーが 設 定 されていれば スイッチは 失 敗 アクセス ポリシーにホストを 適 用 します ログインの 成 功 ページがユーザに 送 信 されます ( ローカル Web 認 証 バナー (P.13-4)を 参 照 ) ホストがレイヤ 2 インターフェイス 上 の ARP プローブに 応 答 しなかった 場 合 またはホストがレ イヤ 3 インターフェイスでアイドル タイムアウト 内 にトラフィックを 送 信 しなかった 場 合 ス イッチ はクライアントを 再 認 証 します この 機 能 は ダウンロードされたタイムアウト またはローカルに 設 定 されたセッション タイム アウトを 適 用 します Termination-Action が RADIUS である 場 合 この 機 能 は サーバに NRH 要 求 を 送 信 します Termination-Action は サーバからの 応 答 に 含 まれます Termination-Action がデフォルトである 場 合 セッションは 廃 棄 され 適 用 されたポリシーは 削 除 されます 13-3

Web ベース 認 証 の 概 要 第 13 章 ローカル Web 認 証 バナー Web 認 証 を 使 用 してスイッチにログインしたときに 表 示 されるバナーを 作 成 できます このバナーは ログイン ページと 認 証 結 果 ポップアップ ページの 両 方 に 表 示 されます 認 証 成 功 認 証 失 敗 認 証 期 限 切 れ ip admission auth-proxy-banner http グローバル コンフィギュレーション を 使 用 して バ ナーを 作 成 できます ログイン ページには デフォルトのバナー Cisco Systems および Switch host-name Authentication が 表 示 されます Cisco Systems は 図 13-2 に 示 すように 認 証 結 果 のポッ プアップ ページに 表 示 されます 図 13-2 認 証 成 功 バナー また 図 13-3 に 示 すように バナーをカスタマイズすることもできます ip admission auth-proxy-banner http banner-text グローバル コンフィギュレーション を 使 用 して スイッチ ルータ または 会 社 名 をバナーに 追 加 します ip admission auth-proxy-banner http file-path グローバル コンフィギュレーション を 使 用 して ロゴまたはテキスト ファイルをバナーに 追 加 します 13-4

第 13 章 Web ベース 認 証 の 概 要 図 13-3 カスタマイズされた Web バナー バナーがイネーブルにされていない 場 合 図 13-4 に 示 すように Web 認 証 ログイン 画 面 にはユーザ 名 とパスワードのダイアログボックスだけが 表 示 され スイッチにログインしたときにはバナーは 表 示 さ れません 図 13-4 バナーが 表 示 されていないログイン 画 面 詳 細 については Cisco IOS Security Command Reference および Web 認 証 ローカル バナーの 設 定 (P.13-16)を 参 照 してください 13-5

Web ベース 認 証 の 概 要 第 13 章 Web 認 証 カスタマイズ 可 能 な Web ページ Web ベース 認 証 プロセスでは スイッチ 内 部 の HTTP サーバは 認 証 中 のクライアントに 配 信 される 4 種 類 の HTML ページをホストします サーバはこれらのページを 使 用 して ユーザに 次 の 4 種 類 の 認 証 プロセス ステートを 通 知 します ログイン: 資 格 情 報 が 要 求 されています 成 功 :ログインに 成 功 しました 失 敗 :ログインに 失 敗 しました 期 限 切 れ:ログインの 失 敗 回 数 が 多 すぎて ログイン セッションが 期 限 切 れになりました 注 意 事 項 デフォルトの 内 部 HTML ページの 代 わりに 独 自 の HTML ページを 使 用 することができます ロゴを 使 用 することもできますし ログイン 成 功 失 敗 および 期 限 切 れ Web ページでテキス トを 指 定 することもできます バナー ページで ログイン ページのテキストを 指 定 できます これらのページは HTML で 記 述 されています 成 功 ページには 特 定 の URL にアクセスするための HTML リダイレクト を 記 入 する 必 要 があります この URL 文 字 列 は 有 効 な URL( 例 :http://www.cisco.com)でなければなりません 不 完 全 な URL は Web ブラウザで ページが 見 つかりません またはこれに 類 似 するエラーの 原 因 となる 可 能 性 があります HTTP 認 証 で 使 用 される Web ページを 設 定 する 場 合 これらのページには 適 切 な HTML ( 例 :ページのタイム アウトを 設 定 暗 号 化 されたパスワードの 設 定 同 じページが 2 回 送 信 され ていないことの 確 認 など)を 記 入 する 必 要 があります. 設 定 されたログイン フォームがイネーブルにされている 場 合 特 定 の URL にユーザをリダイレク トする CLI は 使 用 できません 管 理 者 は Web ページにリダイレクトが 設 定 されている ことを 保 証 する 必 要 があります 認 証 後 特 定 の URL にユーザをリダイレクトする CLI を 入 力 してから Web ページを 設 定 するを 入 力 した 場 合 特 定 の URL にユーザをリダイレクトする CLI は 効 力 を 持 ちません 設 定 された Web ページは スイッチのブート フラッシュ またはフラッシュにコピーできます スタック 可 能 なスイッチでは スタック マスターまたはスタック メンバのフラッシュから 設 定 済 みのページにアクセスできます ログイン ページを 1 つのフラッシュ 上 に 成 功 ページと 失 敗 ページを 別 のフラッシュ(たとえば スタック マスター またはメンバのフラッシュ)にすることができます 4 ページすべてを 設 定 する 必 要 があります Web ページを 使 ってバナー ページを 設 定 した 場 合 このバナー ページには 効 果 はありません システム ディレクトリ(たとえば flash disk0 disk)に 保 存 されていて ログイン ページに 表 示 する 必 要 のあるロゴ ファイル(イメージ フラッシュ オーディオ ビデオなど)すべてには 必 ず web_auth_<filename> の 形 式 で 名 前 をつけてください 設 定 された 認 証 プロキシ 機 能 は HTTP と SSL の 両 方 をサポートしています 13-6

第 13 章 Web ベース 認 証 の 概 要 図 13-5(P.13-7)に 示 すように デフォルトの 内 部 HTML ページを 独 自 の HTML ページで 置 き 換 え ることができます 認 証 後 のユーザのリダイレクト 先 で 内 部 成 功 ページの 代 わりとなる URL を 指 定 することもできます 図 13-5 カスタマイズ 可 能 な 認 証 ページ 詳 細 については 認 証 プロキシ Web ページのカスタマイズ (P.13-13)を 参 照 してください その 他 の 機 能 と Web ベース 認 証 の 相 互 作 用 ポート セキュリティ (P.13-7) LAN ポート IP (P.13-8) ゲートウェイ IP (P.13-8) ACL (P.13-8) コンテキストベース アクセス コントロール (P.13-8) 802.1x 認 証 (P.13-8) EtherChannel (P.13-8) ポート セキュリティ Web ベース 認 証 とポート セキュリティは 同 じポートに 設 定 できます Web ベース 認 証 はポートを 認 証 し ポート セキュリティは クライアントの MAC アドレスを 含 むすべての MAC アドレスに 対 する ネットワーク アクセスを 管 理 します この 場 合 このポートを 介 してネットワークへアクセスできる クライアントの 数 とグループを 制 限 できます ポート セキュリティをイネーブルにする 手 順 については ポート セキュリティの 設 定 (P.29-9)を 参 照 してください 13-7

Web ベース 認 証 の 概 要 第 13 章 LAN ポート IP LAN Port IP(LPIP; LAN ポート IP)とレイヤ 2 Web ベース 認 証 は 同 じポートに 設 定 できます ホ ストは まず Web ベース 認 証 次 に LPIP ポスチャ 検 証 を 使 用 して 認 証 されます LPIP ホスト ポリ シーは Web ベース 認 証 のホスト ポリシーに 優 先 されます Web ベース 認 証 のアイドル 時 間 が 満 了 すると NAC ポリシーは 削 除 されます ホストが 認 証 され ポ スチャが 再 度 検 証 されます ゲートウェイ IP VLAN のいずれかのスイッチ ポートで Web ベース 認 証 が 設 定 されている 場 合 レイヤ 3 VLAN イン ターフェイス 上 に Gateway IP(GWIP; ゲートウェイ IP)を 設 定 することはできません Web ベース 認 証 はゲートウェイ IP と 同 じレイヤ 3 インターフェイスに 設 定 できます ソフトウェア で 両 方 の 機 能 のホスト ポリシーが 適 用 されます GWIP ホスト ポリシーは Web ベース 認 証 のホス ト ポリシーに 優 先 されます ACL インターフェイスで VLAN ACL または Cisco IOS ACL を 設 定 した 場 合 ACL は Web ベース 認 証 のホスト ポリシーが 適 用 された 後 だけ ホスト トラフィックに 適 用 されます レイヤ 2 Web ベース 認 証 では ポートに 接 続 されたホストからの 入 力 トラフィックについて Port ACL(PACL; ポート ACL)をデフォルトのアクセス ポリシーとして 設 定 する 必 要 があります 認 証 後 Web ベース 認 証 のホスト ポリシーは PACL に 優 先 されます MAC ACL と Web ベース 認 証 を 同 じインターフェイスに 設 定 することはできません アクセス VLAN が VACL キャプチャ 用 に 設 定 されているポートには Web ベース 認 証 は 設 定 できませ ん コンテキストベース アクセス コントロール Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)が ポート VLAN のレイヤ 3 VLAN インターフェイスで 設 定 されている 場 合 レイヤ 2 ポートで Web ベース 認 証 は 設 定 できません 802.1x 認 証 EtherChannel フォールバック 認 証 メソッドとして 設 定 する 場 合 を 除 き Web ベース 認 証 は 802.1x 認 証 と 同 じポート 上 には 設 定 できません Web ベース 認 証 は レイヤ 2 EtherChannel インターフェイス 上 に 設 定 できます Web ベース 認 証 設 定 は すべてのメンバ チャネルに 適 用 されます 13-8

第 13 章 デフォルトの (P.13-9) に 関 する 注 意 事 項 と 制 約 事 項 (P.13-9) タスク リスト (P.13-10) 認 証 ルールとインターフェイスの 設 定 (P.13-10) AAA 認 証 の 設 定 (P.13-11) スイッチおよび RADIUS サーバ 間 の 通 信 の 設 定 (P.13-11) HTTP サーバの 設 定 (P.13-13) Web ベース 認 証 パラメータの 設 定 (P.13-15) Web ベース 認 証 キャッシュ エントリの 削 除 (P.13-16) デフォルトの 表 13-1 は デフォルトの を 示 しています 表 13-1 デフォルトの 機 能 AAA RADIUS サーバ IP アドレス UDP 認 証 ポート キー 無 活 動 タイムアウトのデフォルト 値 無 活 動 タイムアウト デフォルト 設 定 ディセーブル 指 定 なし 1812 指 定 なし 3600 秒 イネーブル に 関 する 注 意 事 項 と 制 約 事 項 Web ベース 認 証 は 入 力 だけの 機 能 です Web ベース 認 証 は アクセス ポートだけで 設 定 できます Web ベース 認 証 は トランク ポート EtherChannel メンバ ポート またはダイナミック トランク ポートではサポートされていません Web ベース 認 証 を 設 定 する 前 に インターフェイスでデフォルトの ACL を 設 定 する 必 要 がありま す レイヤ 2 インターフェイスに 対 してポート ACL を 設 定 するか またはレイヤ 3 インターフェ イスに 対 して Cisco IOS ACL を 設 定 します スタティックな ARP キャッシュが 割 り 当 てられているレイヤ 2 インターフェイス 上 のホストは 認 証 できません これらのホストは ARP メッセージを 送 信 しないため Web ベース 認 証 機 能 では 検 出 されません デフォルトでは スイッチの IP デバイス トラッキング 機 能 はディセーブルに 設 定 されています Web ベース 認 証 を 使 用 するには IP デバイスのトラッキング 機 能 をイネーブルにする 必 要 があり ます 13-9

第 13 章 スイッチ HTTP サーバを 実 行 するには IP アドレスを 少 なくとも 1 つ 設 定 する 必 要 があります また 各 ホスト IP アドレスに 到 達 するようにルートを 設 定 する 必 要 もあります HTTP サーバは ホストに HTTP ログイン ページを 送 信 します 2 ホップ 以 上 離 れたところにあるホストでは STP トポロジの 変 更 により ホスト トラフィックの 到 着 するポートが 変 わってしまった 場 合 トラフィックが 停 止 する 可 能 性 があります これは レ イヤ 2(STP)トポロジの 変 更 後 に ARP および DHCP の 更 新 が 送 信 されていない 場 合 に 発 生 し ます Web ベース 認 証 は ダウンロード 可 能 なホスト ポリシーとして VLAN 割 り 当 てをサポートして いません IPv6 トラフィックについては Web ベース 認 証 はサポートされていません Web ベース 認 証 およびネットワーク エッジ アクセス トポロジ(NEAT)は 相 互 に 排 他 的 です インターフェイス 上 で NEAT がイネーブルの 場 合 Web ベース 認 証 を 使 用 できず インターフェ イス 上 で Web ベース 認 証 が 実 行 されている 場 合 は NEAT を 使 用 できません タスク リスト 認 証 ルールとインターフェイスの 設 定 (P.13-10) AAA 認 証 の 設 定 (P.13-11) スイッチおよび RADIUS サーバ 間 の 通 信 の 設 定 (P.13-11) HTTP サーバの 設 定 (P.13-13) Web ベース 認 証 パラメータの 設 定 (P.13-15) Web ベース 認 証 キャッシュ エントリの 削 除 (P.13-16) 認 証 ルールとインターフェイスの 設 定 ステップ 1 ip admission name name proxy http Web ベース 認 証 で 使 用 される 認 証 ルールを 設 定 します ステップ 2 interface type slot/port インターフェイス コンフィギュレーション モードを 開 始 し Web ベースの 認 証 のためにイネーブルにされる 入 力 レイヤ 2 またはレイ ヤ 3 インターフェイスを 指 定 します type には fastethernet gigabit ethernet または tengigabitethernet を 指 定 できます ステップ 3 ip access-group name デフォルト ACL を 適 用 します ステップ 4 ip admission name 指 定 されたインターフェイスに Web ベース 認 証 を 設 定 します ステップ 5 exit コンフィギュレーション モードに 戻 ります ステップ 6 ip device tracking IP デバイス トラッキング テーブルをイネーブルにします ステップ 7 end 特 権 EXEC モードに 戻 ります ステップ 8 show ip admission configuration コンフィギュレーションを 表 示 します ステップ 9 copy running-config startup-config ( 任 意 )コンフィギュレーション ファイルに 設 定 を 保 存 します 次 に Fast Ethernet ポート 5/1 で Web ベース 認 証 をイネーブルにする 例 を 示 します Switch(config)# ip admission name webauth1 proxy http 13-10

第 13 章 Switch(config)# interface fastethernet 5/1 Switch(config-if)# ip admission webauth1 Switch(config-if)# exit Switch(config)# ip device tracking 次 に 設 定 を 確 認 する 例 を 示 します Switch# show ip admission configuration Authentication Proxy Banner not configured Authentication global cache time is 60 minutes Authentication global absolute time is 0 minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list is disabled Authentication Proxy Rule Configuration Auth-proxy name webauth1 http list not specified inactivity-time 60 minutes Authentication Proxy Auditing is disabled Max Login attempts per user is 5 AAA 認 証 の 設 定 ステップ 1 aaa new-model AAA 機 能 をイネーブルにします ステップ 2 aaa authentication login default group {tacacs+ radius} ステップ 3 aaa authorization auth-proxy default group {tacacs+ radius} ステップ 4 tacacs-server host {hostname ip_address} ログイン 時 の 認 証 方 法 のリストを 定 義 します Web ベースの 認 証 で 使 用 される 認 証 方 法 のリストを 作 成 します AAA サーバを 指 定 します RADIUS サーバについては スイッ チおよび RADIUS サーバ 間 の 通 信 の 設 定 (P.13-11)を 参 照 してく ださい) ステップ 5 tacacs-server key {key-data} スイッチと TACACS サーバの 間 で 使 用 される 認 証 および 暗 号 キー を 設 定 します ステップ 6 copy running-config startup-config ( 任 意 )コンフィギュレーション ファイルに 設 定 を 保 存 します 次 の 例 では AAA をイネーブルにする 方 法 を 示 します Switch(config)# aaa new-model Switch(config)# aaa authentication login default group tacacs+ Switch(config)# aaa authorization auth-proxy default group tacacs+ スイッチおよび RADIUS サーバ 間 の 通 信 の 設 定 RADIUS セキュリティ サーバの 識 別 情 報 は 次 のとおりです ホスト 名 ホストの IP アドレス ホスト 名 と 特 定 の UDP ポート 番 号 IP アドレスと 特 定 の UDP ポート 番 号 13-11

第 13 章 IP アドレスと UDP ポート 番 号 の 組 み 合 わせによって 一 意 の ID が 作 成 され サーバの 同 一 IP アドレ ス 上 にある 複 数 の UDP ポートに RADIUS 要 求 を 送 信 できるようになります 同 じ RADIUS サーバ 上 の 異 なる 2 つのホスト エントリに 同 じサービス(たとえば 認 証 )を 設 定 した 場 合 2 番 めに 設 定 された ホスト エントリは 最 初 に 設 定 されたホスト エントリのフェールオーバー バックアップとして 動 作 し ます RADIUS ホスト エントリは 設 定 した 順 序 に 従 って 選 択 されます RADIUS サーバ パラメータを 設 定 する 手 順 は 次 のとおりです ステップ 1 ip radius source-interface interface_name ステップ 2 radius-server host {hostname ip-address} test username username RADIUS パケットが 指 示 されたインターフェイスの IP アドレス を 持 つことを 指 定 します リモート RADIUS サーバ ホストのホスト 名 または IP アドレスを 指 定 します test username username は RADIUS サーバ 接 続 の 自 動 テストを イネーブルにするオプションです 指 定 された username は 有 効 な ユーザ 名 である 必 要 はありません key オプションは スイッチと RADIUS サーバの 間 で 使 用 される 認 証 と 暗 号 キーを 指 定 します 複 数 の RADIUS サーバを 使 用 するには それぞれのサーバでこの を 入 力 してください ステップ 3 radius-server key string RADIUS サーバ 上 で 動 作 するスイッチと RADIUS デーモンの 間 で 使 用 される 認 証 および 暗 号 キーを 設 定 します ステップ 4 radius-server vsa send authentication RADIUS サーバからの ACL のダウンロードをイネーブルにしま す この 機 能 は Cisco IOS Release 12.2(50)SG でサポートされて います ステップ 5 radius-server dead-criteria tries num-tries RADIUS サーバに 送 信 されたメッセージへの 応 答 がない 場 合 に こ のサーバが 非 アクティブであると 見 なすまでの 送 信 回 数 を 指 定 しま す 指 定 できる num-tries の 範 囲 は 1 ~ 100 です RADIUS サーバ パラメータを 設 定 する 場 合 は 次 の 点 に 注 意 してください 別 のラインには key string を 指 定 します key string には スイッチと RADIUS サーバ 上 で 動 作 する RADIUS デーモンとの 間 で 使 用 する 認 証 キーおよび 暗 号 化 キーを 指 定 します key は 文 字 列 であり RADIUS サーバで 使 用 されている 暗 号 化 キーと 一 致 する 必 要 があります key string を 指 定 する 場 合 キーの 中 間 および 末 尾 にスペースを 使 用 します キーにスペースを 使 用 する 場 合 は 引 用 符 がキーの 一 部 分 である 場 合 を 除 き 引 用 符 でキーを 囲 まないでください キーは RADIUS デーモンで 使 用 する 暗 号 に 一 致 している 必 要 があります すべての RADIUS サーバについて タイムアウト 再 送 信 回 数 および 暗 号 キー 値 をグローバル に 設 定 するには radius-server host グローバル コンフィギュレーション を 使 用 します これらのオプションをサーバ 単 位 で 設 定 するには radius-server timeout radius-server transmit および radius-server key グローバル コンフィギュレーション を 使 用 します 詳 細 については Cisco IOS Security Configuration Guide, Release 12.4 および Cisco IOS Security Command Reference, Release 12.4 を 参 照 してください ( 注 ) RADIUS サーバでは スイッチ IP アドレス サーバとスイッチで 共 有 される key string および Downloadable ACL(DACL; ダウンロード 可 能 な ACL)などの 設 定 を 行 う 必 要 があります 詳 細 につ いては RADIUS サーバのマニュアルを 参 照 してください 13-12

第 13 章 次 の 例 では スイッチで RADIUS サーバ パラメータを 設 定 する 方 法 を 示 します Switch(config)# ip radius source-interface Vlan80 Switch(config)# radius-server host 172.l20.39.46 test username user1 Switch(config)# radius-server key rad123 Switch(config)# radius-server dead-criteria tries 2 HTTP サーバの 設 定 Web ベース 認 証 を 使 用 するには スイッチで HTTP サーバをイネーブルにする 必 要 があります この サーバは HTTP または HTTPS のいずれかについてイネーブルにできます ステップ 1 ip http server HTTP サーバをイネーブルにします Web ベース 認 証 機 能 は HTTP サーバを 使 用 してホストと 通 信 し ユーザ 認 証 を 行 います ステップ 2 ip http secure-server HTTPS をイネーブルにします カスタム 認 証 プロキシ Web ページを 設 定 するか 成 功 ログインのリダイレクション URL を 指 定 します ( 注 ) ip http secure-secure を 入 力 したときに セキュア 認 証 が 確 実 に 行 われるようにするには ユーザが HTTP 要 求 を 送 信 した 場 合 でも ログイン ページは 必 ず HTTPS(セキュア HTTP) 形 式 にな るようにします 認 証 プロキシ Web ページのカスタマイズ 成 功 ログインに 対 するリダイレクション URL の 指 定 認 証 プロキシ Web ページのカスタマイズ Web ベースの 認 証 中 スイッチのデフォルト HTML ページではなく 代 わりの HTML ページがユー ザに 表 示 されるように Web 認 証 を 設 定 できます カスタム 認 証 プロキシ Web ページの 使 用 を 指 定 するには まず カスタム HTML ファイルをスイッチ のフラッシュ メモリに 保 存 し 次 にグローバル コンフィギュレーション モードでこのタスクを 実 行 し ます ステップ 1 ステップ 2 ステップ 3 ステップ 4 ip admission proxy http login page file device:login-filename ip admission proxy http success page file device:success-filename ip admission proxy http failure page file device:fail-filename ip admission proxy http login expired page file device:expired-filename スイッチのメモリ ファイル システムで デフォルトのログイン ページの 代 わりに 使 用 されるカスタム HTML ファイルの 所 在 地 を 指 定 します device: はフラッシュ メモリです デフォルトのログイン 成 功 ページの 代 わりに 使 用 されるカスタムの HTML ファイルの 所 在 地 を 指 定 します デフォルトのログイン 失 敗 ページの 代 わりに 使 用 されるカスタムの HTML ファイルの 所 在 地 を 指 定 します デフォルトのログイン 期 限 切 れページの 代 わりに 使 用 されるカスタ ムの HTML ファイルの 所 在 地 を 指 定 します 13-13

第 13 章 カスタマイズされた 認 証 プロキシ Web ページを 設 定 する 際 には 次 の 注 意 事 項 に 従 ってください カスタム Web ページ 機 能 をイネーブルにするには カスタム HTML ファイルを 4 個 すべて 指 定 し ます 指 定 したファイルの 数 が 4 個 未 満 の 場 合 内 部 デフォルト HTML ページが 使 用 されます これら 4 個 の HTML ファイルは スイッチのフラッシュ メモリ 内 に 存 在 しなければなりません 各 HTML ファイルの 最 大 サイズは 8 KB です カスタム ページ 上 のイメージはすべて アクセス 可 能 は HTTP サーバ 上 に 存 在 しなければなりま せん インターセプト ACL は 管 理 ルール 内 で 設 定 します カスタム ページからの 外 部 リンクはすべて 管 理 ルール 内 でのインターセプト ACL の 設 定 を 必 要 とします 有 効 な DNS サーバにアクセスするには 外 部 リンクまたはイメージに 必 要 な 名 前 解 決 で 管 理 ルール 内 にインターセプト ACL を 設 定 する 必 要 があります カスタム Web ページ 機 能 がイネーブルに 設 定 されている 場 合 設 定 された auth-proxy-banner は 使 用 されません カスタム Web ページ 機 能 がイネーブルに 設 定 されている 場 合 ログインの 成 功 に 対 するリダイレ クション URL は 使 用 できません カスタム ファイルの 指 定 を 解 除 するには このの no 形 式 を 使 用 します カスタム ログイン ページはパブリック Web フォームであるため このページについては 次 の 注 意 事 項 に 従 ってください ログイン フォームは ユーザによるユーザ 名 とパスワードの 入 力 を 受 け 付 け これらを uname お よび pwd として 示 す 必 要 があります カスタム ログイン ページは ページ タイムアウト 暗 号 化 されたパスワード 冗 長 送 信 の 防 止 な ど Web フォームに 対 するベスト プラクティスに 従 う 必 要 があります 次 の 例 では カスタム 認 証 プロキシ Web ページを 設 定 する 方 法 を 示 します Switch(config)# ip admission proxy http login page file flash:login.htm Switch(config)# ip admission proxy http success page file flash:success.htm Switch(config)# ip admission proxy http fail page file flash:fail.htm Switch(config)# ip admission proxy http login expired page flash flash:expired.htm 次 の 例 では カスタム 認 証 プロキシ Web ページの 設 定 を 確 認 する 方 法 を 示 します Switch# show ip admission configuration Authentication proxy webpage Login page : flash:login.htm Success page : flash:success.htm Fail Page : flash:fail.htm Login expired Page : flash:expired.htm Authentication global cache time is 60 minutes Authentication global absolute time is 0 minutes Authentication global init state time is 2 minutes Authentication Proxy Session ratelimit is 100 Authentication Proxy Watch-list is disabled Authentication Proxy Auditing is disabled Max Login attempts per user is 5 13-14

第 13 章 成 功 ログインに 対 するリダイレクション URL の 指 定 認 証 後 に 内 部 成 功 HTML ページを 効 果 的 に 置 き 換 え ユーザのリダイレクト 先 となる URL を 指 定 することができます ip admission proxy http success redirect url-string デフォルトのログイン 成 功 ページの 代 わりに ユーザのリダイレク ト 先 となる URL を 指 定 します 成 功 ログインに 対 するリダイレクション URL を 設 定 する 場 合 次 の 注 意 事 項 に 従 ってください カスタム 認 証 プロキシ Web ページ 機 能 がイネーブルに 設 定 されている 場 合 リダイレクション URL 機 能 はディセーブルにされ CLI では 使 用 できません リダイレクションは カスタム ログ イン 成 功 ページで 実 行 できます リダイレクション URL 機 能 がイネーブルに 設 定 されている 場 合 設 定 された auth-proxy-banner は 使 用 されません リダイレクション URL の 指 定 を 解 除 するには このの no 形 式 を 使 用 します 次 の 例 では 成 功 したログインに 対 するリダイレクション URL を 設 定 する 方 法 を 示 します Switch(config)# ip admission proxy http success redirect www.cisco.com 次 の 例 では 成 功 したログインに 対 するリダイレクション URL を 確 認 する 方 法 を 示 します Switch# show ip admission configuration Authentication Proxy Banner not configured Customizable Authentication Proxy webpage not configured HTTP Authentication success redirect to URL: http://www.cisco.com Authentication global cache time is 60 minutes Authentication global absolute time is 0 minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list is disabled Authentication Proxy Max HTTP process is 7 Authentication Proxy Auditing is disabled Max Login attempts per user is 5 Web ベース 認 証 パラメータの 設 定 失 敗 できるログイン 試 行 回 数 の 最 大 値 を 設 定 します 失 敗 した 試 行 回 数 がこの 値 を 超 えると クライア ントは 待 機 期 間 中 ウォッチ リストに 載 せられます ステップ 1 ip admission max-login-attempts number 失 敗 できるログイン 試 行 の 最 高 回 数 を 設 定 します 指 定 できる 範 囲 は 1 ~ 2147483647 回 です デフォルトは 5 です ステップ 2 end 特 権 EXEC モードに 戻 ります ステップ 3 show ip admission configuration 認 証 プロキシ 設 定 を 表 示 します ステップ 4 show ip admission cache 認 証 エントリのリストを 表 示 します ステップ 5 copy running-config startup-config ( 任 意 )コンフィギュレーション ファイルに 設 定 を 保 存 します 次 の 例 では 失 敗 ログイン 試 行 の 最 大 回 数 を 10 に 設 定 する 方 法 を 示 します Switch(config)# ip admission max-login-attempts 10 13-15

第 13 章 Web 認 証 ローカル バナーの 設 定 Web 認 証 が 設 定 されているスイッチにローカル バナーを 設 定 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 ip admission auth-proxy-banner http [banner-text file-path] ローカル バナーをイネーブルにします ( 任 意 )C banner-text C と 入 力 して カスタム バナーを 作 成 します ここで C は 区 切 り 文 字 またはバナーに 表 示 されるファイル( 例 : ロゴ またはテキスト ファイル)を 示 すファイル パスです ステップ 3 end 特 権 EXEC モードに 戻 ります ステップ 4 copy running-config startup-config ( 任 意 )コンフィギュレーション ファイルに 設 定 を 保 存 します 次 の 例 では My Switch というカスタム メッセージが 表 示 されているローカル バナーを 設 定 する 方 法 を 示 します Switch(config) configure terminal Switch(config)# aaa new-model Switch(config)# aaa ip auth-proxy auth-proxy-banner C My Switch C Switch(config) end ip auth-proxy auth-proxy-banner の 詳 細 については Cisco.com の Cisco IOS Security Command Reference の Authentication Proxy Commands を 参 照 してください Web ベース 認 証 キャッシュ エントリの 削 除 clear ip auth-proxy cache {* host ip address} clear ip admission cache {* host ip address} Delete 認 証 プロキシ エントリを 削 除 します キャッシュ エントリ すべてを 削 除 するには アスタリスクを 使 用 します シングル ホス トのエントリを 削 除 するには 具 体 的 な IP アドレスを 入 力 します Delete 認 証 プロキシ エントリを 削 除 します キャッシュ エントリ すべてを 削 除 するには アスタリスクを 使 用 します シングル ホス トのエントリを 削 除 するには 具 体 的 な IP アドレスを 入 力 します 次 に IP アドレス 209.165.201.1 のクライアントに 対 する Web ベース 認 証 セッションを 削 除 する 例 を 示 します Switch# clear ip auth-proxy cache 209.165.201.1 13-16

第 13 章 Web ベース 認 証 ステータスの 表 示 Web ベース 認 証 ステータスの 表 示 すべてのインターフェイス または 特 定 のポートに 対 する Web ベースの 認 証 設 定 を 表 示 する 手 順 は 次 のとおりです ステップ 1 show authentication sessions [interface type slot/port] Web ベース 認 証 設 定 を 表 示 します type には fastethernet gigabitethernet または tengigabitethernet を 指 定 できます ( 任 意 ) 特 定 のインターフェイスに 対 する Web ベース 認 証 設 定 を 表 示 するには キーワード interface を 使 用 します 次 に グローバルな Web ベース 認 証 のステータスだけを 表 示 する 例 を 示 します Switch# show authentication sessions 次 に ギガビット インターフェイス 3/27 に 対 する Web ベースの 認 証 設 定 を 表 示 する 例 を 示 します Switch# show authentication sessions interface gigabitethernet 3/27 13-17

Web ベース 認 証 ステータスの 表 示 第 13 章 13-18