構築ノウハウ - 認証ソリューションガイド

5.1. Web認証で外部Webサーバを使用する

本章ではWeb認証に外部サーバを利用し外部Webサーバ上に認証画面を構築する方法を紹介します。

３章で紹介したWeb認証の設定に加えて以下に示す①～⑤を実施してください。

スイッチへの認証はSSLを使用する事を前提で解説しています。

図 5.1-1外部Webサーバを用いたWeb認証シーケンス

※AX2500S Ver3.5では、URLリダイレクト先をコンフィグレーション指定可能となりましたコンフィグレーション指定時はスイッチのlogin.htmlではなく直接外部Webサーバへリダイレクトします。

DNSサーバ外部Webサーバ

認証スイッチ端末

⑤ログイン画面を表示

「認証スイッチへのログイン情報をPOSTするように設定した画面を応答」

認証スイッチに

①、②、③、④を実施

⑤実施

認証専用アドレスの名前解決任意サイトへのhttpアクセス

URL リダイレクトによりスイッチののlogin.htmlを応答 ※ スイッチのlogin.htmlは外部Web サーバへのジャンプのため外部 Webサーバを読み込む

① Webサーバへのジャンプを

記述したhtmlファイルを応

答する。※

スイッチにログイン情報をPOST

ログイン結果を応答

認証前任意サイトへのDNS要求

ユーザID パスワードの入力ブラウザ起動し任意サイトへのアクセス

外部Webサーバ認証画面の応答要求したIPアドレス応答

認証専用IPアドレス応答

① 認証スイッチのlogin.htmの入替

認証前のユーザは認証スイッチのlogin.htmlへリダイレクトされるためlogin.htmlを書換え

外部Weｂサーバへ転送するように設定します。

付録Bのlogin.htmlファイルの????部分に外部WebサーバのURLを設定し装置へ転送して下

記コマンドにて適用します。

set web-authentication html-files <directory> -f

（AX2500Sの場合）

AX2500S Ver3.5以降ではコンフィグレーションコマンド指定により直接外部Webサーバ

へURLリダイレクトが可能になりました。AX2500SVer3.5以降を使用する場合は以下のコンフィグコマンドを設定してください。

(config)# web-authentication redirect target <url>

<url>には httpまたはhttpsでリダイレクト先URLを指定してください。

外部Webサーバリダイレクトオプション機能

(config)#web-authentication redirect polling tcp [interval <seconds>] [dead-count <count>]

[alive-count<count>]

本コマンド指定時に外部Webサーバのポーリングを行うことが可能です

詳細な設定「コンフィグレーションコマンドリファレンス」と「コンフィグレーションガイド Vol2」で上記コマンドを検索し参照してください。

(config)web-authentication redirect queries[switch-hostname] [switch-mac] [switch-ip]

[client-mac][client-vlan] [client-ip] [port] [original-url]

本コマンドを指定することでリダイレクト時に外部 Web サーバに情報を付加することも可能です。

引継ぎ情報等詳細は「コンフィグレーションコマンドリファレンス」と「コンフィグレーションガイドVol2」で上記コマンドを検索し参照してください。

② リダイレクトモードの変更

外部Webサーバへのジャンプを記述したlogin.htmlを応答するのみなので、不要な負荷を避け

④ 認証専用アクセスリストの追加

認証前に外部Webサーバと通信するため認証専用アクセスリストに下記を追加してください。

(config)# ip access-list extended web-auth

(config-ext-nacl)# permit ip any host <外部WebサーバIP>

⑤ 外部Webサーバのhtmlに認証スイッチへのログイン<form>を設定する

5.1.2章を参照し外部 Web サーバ上に認証スイッチへのログイン情報を通知するように設定し

てください。

なお３章の構築ポイント（５）に示すようにDNSサーバに認証専用IPをサーバ証明書のサイト名で応答するように設定済である必要があります。

SSL使用上の注意事項に関しましては6.2.10 Web認証でSSLを使用する場合の注意事項を参照してください。

5.1.1. 外部Webサーバ構築の注意点

（１）プロキシサーバについて

プロキシサーバを使用する場合には、端末側のプロキシ設定にプロキシ除外アドレスとして、

外部 Webサーバの IPまたはホスト名および、認証専用 IPアドレスまたはホスト名を登録してください。

（２）スイッチへの認証画面も残したい場合

認証スイッチの認証画面（login.html）を外部サーバへのジャンプするファイルに置き換えたことにより、外部Webサーバを経由せずに認証画面を表示することができません。

そのため外部 Web サーバの障害等に備え認証スイッチ内に認証画面を残す場合は別ファイル名（例：login2.htm）として残してください。

（AX2500Sで外部Webサーバのポーリング指定を設定した場合は、障害時はスイッチへの

5.1.2. Webサーバ上のhtmlファイルの設定例

外部Webサーバ上のログインhtmlファイルの設定例を以下に示します。

認証画面の編集の詳細はマニュアル「コンフィグレーションガイド Web認証画面設定手引き」

を参照して下さい。

（デザインについてはスイッチの初期値の認証画面の例で示していますユーザで任意のデザインに変更してください。）

（１）ログイン設定

（２）ログアウト設定

<br>

Please enter your ID and password.<br>

<br>

<tr>

<td>password</td>

</tbody></table>

<br>

</form>

<br>

host名

スイッチの認証IPのホスト名を指定

<tbody>

host名

スイッチの認証IPのホスト名を指定

（３）認証前にアクセスしていたURLへ認証成功時に自動表示する場合（AX2500Sのみ）

AX2500Sでは、認証前にアクセスしようとしていたURLへ認証成功時に直接ジャンプする機能を

追加しまた、外部WebサーバにWeb認証ページをおく場合には以下の設定を行ってください。

① URLリダイレクト時リダイレクト前のURL を外部Webサーバへ渡す設定をコンフィグレーションコマンドで投入します。

(config)#web-authentication redirect queries original-url

本設定でリダイレクト時にジャンプ先のサーバへ引数として以下を渡します。

original-url=リダイレクト前URL

② 認証成功後リダイレクト前URLへジャンプする設定をコンフィグレーションコマンドで設定します。

(config)#web-authentication jump-url original

本設定により認証時のPOSTでoriginal-url引数に渡されたURLへ認証成功時にジャンプします。

③ 外部Webサーバのログインページに認証時のスイッチへのPOSTでoriginal-url引数に①で渡されたリダイレクト前URL情報を代入してPOSTしてください。

（詳細）

下記に示す例のように，認証端末から本装置へのPOST データにoriginal_url=xxx ※が含まれるようにしてください。

• POST データにoriginal_url=xxx ※を含むための設定例外部Web サーバが認証端末に送信するログイン画面の

<form> 内に，<input type=hidded name="original_url" value=xxx ※ > と記述します。

注※ xxx の値は，自動付加クエリのoriginal-url からPHPなどのスクリプトなどを用いて POST時の"original_url"のvalueに設定してください。

なお，URLリダイレクトで表示された場合ではなく、直接本装置のWeb 認証専用IP アドレスや本装置のIP アドレスを直接指定して認証を開始した場合は，認証成功後にログイン成功画面だけ表示します。

外部Webサーバではなく本装置を認証画面とする場合には③のPOST部分の設定が異なります<form>内にWeb 認証固有タグ を記載してください。本装置の初期のログインページにはが追加されています。

詳細については、コンフィグレーションガイドVol2を参照してください。

ドキュメント内認証ソリューションガイド (ページ 121-126)