9.1 コマンドガイド
9.1.4 Web 認証のパラメータ設定
(config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 50
(config-if)# ip access-group 150 in (config-if)# exit
認証前 VLAN と認証後 VLAN 間で通信させないように設定します。
(e) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 192.168.10.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。
(3) 認証ユーザ数の設定(ダイナミック VLAN モード)
[設定のポイント]
Web 認証のダイナミック VLAN モードで認証できるユーザ数を設定します。
[コマンドによる設定]
1.(config)# web-authentication max-user 5
Web 認証で認証できるユーザ数を 5 ユーザに設定します。
(4) RADIUS サーバの設定
[設定のポイント]
RADIUS 認証方式で使用する RADIUS サーバを設定します。
[コマンドによる設定]
1.(config)# aaa authentication web-authentication default group radius RADIUS サーバでユーザ認証を行うように設定します。
[注意事項]
各 RADIUS サーバの radius-server コマンドで設定された応答待ち時間(再送回数×応答タイムアウト 時間)の合計が 60 秒を超える場合,RADIUS サーバへ認証要求している途中で認証失敗となることが あります。なお,Web 認証で使用する radius-server コマンドの設定は,ログイン認証,コマンド承 認,および IEEE802.1X でも共通して使用するため,応答待ち時間の設定には注意してください。
(5) アカウンティングの設定
[設定のポイント]
Web 認証のアカウンティング集計を行うよう設定します。
[コマンドによる設定]
1.(config)# aaa accounting web-authentication default start-stop group radius RADIUS サーバにアカウンティング集計を行うよう設定します。
(6) Web 認証専用 IP アドレスの設定(固定 VLAN モード,ダイナミック VLAN モード)
[設定のポイント]
Web 認証専用の IP アドレスを設定します。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(10.10.10.1)を設定します。
[注意事項]
設定を行った場合は,運用コマンド restart web-authentication web-server で Web サーバを再起動 してください。認証途中のユーザは再度ログイン操作が必要です。
(7) Web 認証専用 IP アドレスと FQDN の設定(固定 VLAN モード,ダイナミック VLAN モード)
[設定のポイント]
Web 認証専用の IP アドレスと FQDN を設定します。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 fqdn host.example.com
Web 認証専用の IP アドレス(10.10.10.1)と FQDN(host.example.com)を設定します。
[注意事項]
設定を行った場合は,運用コマンド restart web-authentication web-server で Web サーバを再起動 してください。認証途中のユーザは再度ログイン操作が必要です。
(8) URL リダイレクト機能の無効設定(固定 VLAN モード,ダイナミック VLAN モード)
[設定のポイント]
Web 認証の URL リダイレクト機能を無効に設定します。
[コマンドによる設定]
1.(config)# no web-authentication redirect enable Web 認証の URL リダイレクト機能を無効にします。
[注意事項]
設定を行った場合は,運用コマンド restart web-authentication web-server で Web サーバを再起動 してください。認証途中のユーザは再度ログイン操作が必要です。
(9) URL リダイレクト機能時のログイン操作プロトコルの設定(固定 VLAN モード,ダイナ ミック VLAN モード)
[設定のポイント]
Web 認証の URL リダイレクト機能時にログインを操作させるプロトコルを設定します。
[コマンドによる設定]
1.(config)# web-authentication redirect-mode https Web 認証の URL リダイレクト機能で https を用います。
[注意事項]
設定を行った場合は,運用コマンド restart web-authentication web-server で Web サーバを再起動 してください。認証途中のユーザは再度ログイン操作が必要です。
(10) syslog サーバへの出力設定
[設定のポイント]
認証結果と動作ログを syslog サーバに出力する設定をします。
[コマンドによる設定]
1.
Web 認証の結果と動作ログを syslog サーバに出力する設定をします。
(11) 接続監視機能の設定(固定 VLAN モード)
[設定のポイント]
認証済み端末の動作を監視する接続監視機能を設定します。
[コマンドによる設定]
1.(config)# web-authentication logout polling enable 接続監視機能を有効に設定します。
2.(config)# web-authentication logout polling interval 300 動作監視パケットの送出時間間隔を 300 秒に設定します。
3.(config)# web-authentication logout polling retry-interval 10 動作監視パケットの再送出時間間隔を 10 秒に設定します。
4.(config)# web-authentication logout polling count 5 動作監視パケットの送出回数を 5 回に設定します。
(12) 接続監視機能の無効設定(固定 VLAN モード)
[設定のポイント]
認証済み端末の動作を監視する接続監視機能を無効に設定します。
[コマンドによる設定]
1.(config)# no web-authentication logout polling enable 接続監視機能を無効に設定します。
(13) Web サーバへのアクセスポート番号設定
[設定のポイント]
Web 認証で使用している Web サーバのサービスポート番号を設定します(デフォルトの http=80 番,https=443 番以外に追加する場合に使用します)。
また,OAN と共存する場合は,OAN が使用するサービスポート番号(832 と 9698)を設定します。
この場合,OAN が使用するサービスポート番号では Web 認証のログイン操作およびログアウト操作 はできません。
[コマンドによる設定]
1.(config)# web-authentication web-port http 8080
Web サーバの http ポートとして 80 番のほかに 8080 番も設定します。
2.(config)# web-authentication web-port https 8443
Web サーバの https ポートとして 443 番のほかに 8443 番も設定します。
[注意事項]
設定を行った場合は,運用コマンド restart web-authentication web-server で Web サーバを再起動 してください。認証途中のユーザは再度ログイン操作が必要です。
(14) 認証成功後の URL 設定
[設定のポイント]
認証成功後に端末がアクセスする URL を設定します。
[コマンドによる設定]
1.(config)# web-authentication jump-url "http://www.example.com/"
認証成功後に http://www.example.com/の画面を表示させます。