Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

キャプティブポータル認証

いくつかの異なる認証を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。スイッチでキャプティブ ポータル認証を設定して、ユーザがユーザ名とパスワードの入力を要求するログイン ページに Web ブラウザ要求をリダイレクトできます。詳細については、このトピックを参照してください。

例:EXシリーズスイッチでのキャプティブポータル認証の設定

スイッチでキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、Webブラウザ要求を、ユーザがユーザ名とパスワードの入力を要求するログインページにリダイレクトできます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

この例では、EXシリーズスイッチでキャプティブポータルを設定する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • キャプティブポータルをサポートするEXシリーズスイッチ

  • EXシリーズスイッチ向けJunos OSリリース10.1以降

開始する前に、以下を満たしているか確認してください。

概要とトポロジー

この例では、インターフェイスでキャプティブ ポータルを有効にするためにスイッチで必要な設定を示します。キャプティブ ポータル インターフェイスに接続されたプリンターがキャプティブ ポータルを経由せずに LAN にアクセスできるようにするには、その MAC アドレスを認証許可リストに追加します。このリストの MAC アドレスは、キャプティブ ポータルなしでインターフェイス上でのアクセスが許可されます。

トポロジー

この例のトポロジーは、RADIUS認証サーバーに接続された1台のEXシリーズスイッチで構成されています。スイッチの 1 つのインターフェイスは、キャプティブ ポータル用に設定されています。この例では、インターフェイスはマルチ サプリカント モードで設定されています。

設定

スイッチでキャプティブポータルを設定するには:

CLIクイック構成

要件セクションのタスクを完了した後、スイッチでキャプティブポータルをすばやく設定するには、次のコマンドをコピーしてスイッチターミナルウィンドウに貼り付けます。

手順

ステップバイステップでの手順

スイッチでキャプティブ ポータルを設定するには、次の手順に従います。

  1. サーバーのIPアドレスとサーバー認証ポート番号を定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。

  2. 認証順序を設定し、radiusを最初の認証方法にします。

  3. サプリカントを認証するために試行するサーバIPアドレスを設定します。

  4. スイッチで HTTP アクセスを有効にします。

  5. スイッチへのWebアクセス用のセキュアチャネルを作成するには、HTTPS用のキャプティブポータルを設定します。

    注:

    HTTPS を有効にしなくても HTTP を有効にできますが、セキュリティ上の理由から HTTPS をお勧めします。

    ステップバイステップでの手順
    1. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。

    2. HTTPS を使用するようにキャプティブ ポータルを設定します。

  6. キャプティブ ポータルのインターフェイスを有効にします。

  7. キャプティブポータル認証に使用するアクセスプロファイルの名前を指定します。

  8. (オプション)特定のクライアントがキャプティブ ポータルをバイパスすることを許可します。

    注:

    クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用して、キャプティブポータル認証 からMACアドレスをクリアする必要があります。clear captive-portal mac-address mac-address そうしないと、MAC アドレスの新しいエントリがイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

    注:

    オプションで、を使用してスコープをインターフェイスに制限できます 。set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0

  9. (オプション)最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後 URL を構成します。

結果

設定の結果の表示:

検証

キャプティブポータルが設定され、正常に動作していることを確認するには、次のタスクを実行します。

キャプティブポータルがインターフェイスで有効になっていることを確認する

目的

キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。

アクション

以下の動作モードコマンド を使用します。show captive-portal interface interface-name detail

意味

出力では、キャプティブ ポータルがインターフェイス ge-0/0/10 で、再試行回数、quiet 期間、CP セッション タイムアウト、およびサーバ タイムアウトのデフォルト設定で設定されていることを確認します。

キャプティブポータルが正しく動作していることを確認する

目的

キャプティブ ポータルがスイッチで動作していることを確認します。

アクション

クライアントをインターフェイス ge-0/0/10 に接続します。クライアントから Web ブラウザーを開き、Web ページを要求します。設計したキャプティブ ポータル ログイン ページが表示されます。ログイン情報を入力し、RADIUS サーバーに対して認証されると、Web ブラウザーに、要求したページまたは構成した認証後 URL が表示されます。

トラブルシューティング

キャプティブ ポータルのトラブルシューティングを行うには、次のタスクを実行します。

キャプティブポータルのトラブルシューティング

問題点

スイッチ上のキャプティブ ポータル インターフェイスに接続しているユーザが Web ページを要求した場合、スイッチはキャプティブ ポータル ログイン ページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS の各カウンターを調べることができます。これらのカウンターのうち 1 つ以上が増加していない場合は、問題がどこにあるかがわかります。たとえば、クライアントが IP アドレスを取得できない場合、スイッチのインターフェイスをチェックして、DHCP カウンタが増加しているかどうかを判断します。カウンタが増加している場合は、DHCP パケットがスイッチによって受信されました。

キャプティブポータル認証の設定(CLI手順)

EXシリーズスイッチにキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、スイッチに接続されているユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーがWebページを要求すると、ユーザー名とパスワードの入力を求めるログインページが表示されます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

開始する前に、以下を満たしているか確認してください。

このトピックは、次のタスクで構成されています。

キャプティブポータルへのセキュアアクセスの設定

キャプティブポータルのセキュアアクセスを設定するには:

  1. スイッチで HTTP アクセスを有効にします。
  2. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。
    注:

    HTTPS なしで HTTP を有効にすることもできますが、セキュリティ上の理由から HTTPS をお勧めします。

  3. HTTPS を使用するようにキャプティブ ポータルを設定します。

キャプティブ ポータルのインターフェイスの有効化

キャプティブ ポータルのインターフェイスを有効にするには:

例えば、インターフェイスge-0/0/10でキャプティブポータルを有効にするには:

キャプティブ ポータル認証のバイパスの設定

特定のクライアントがキャプティブ ポータルをバイパスできるようにするには:

たとえば、特定のクライアントがキャプティブ ポータルをバイパスできるようにするには、次のようにします。

注:

オプションで、を使用してスコープをインターフェイスに制限できます 。set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0

注:

クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用して、キャプティブポータル認証 からMACアドレスをクリアする必要があります。clear captive-portal mac-address mac-address そうしないと、MAC アドレスの新しいエントリがイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

スイッチでのキャプティブポータル認証ログインページの設計

スイッチでキャプティブ ポータル認証を設定して、すべての Web ブラウザ要求を、ユーザがアクセスを許可される前にユーザ名とパスワードの入力を要求するログイン ページにリダイレクトできます。認証に成功すると、ユーザーはネットワークへのアクセスを許可され、要求された元のページにリダイレクトされます。

Junos OS には、キャプティブ ポータル ログイン ページの外観を簡単に設計および変更できるカスタマイズ可能なテンプレートが用意されています。テンプレートの設計要素を変更して、キャプティブ ポータル ログイン ページの外観を変更したり、ページに指示や情報を追加したりできます。また、キャプティブポータルログインページの任意の設計要素を変更することもできます。

キャプティブ ログイン ページの前に表示される最初の画面では、ユーザは使用条件を読む必要があります。[Agree] ボタンをクリックすると、ユーザはキャプティブ ポータルのログイン ページにアクセスできます。

図 1 キャプティブ ポータル ログイン ページの例を示します。

図 1: キャプティブポータルログインページの例キャプティブポータルログインページの例

表 1 は、キャプティブポータルログインページの設定可能な要素をまとめています。

表 1: キャプティブポータルログインページの設定可能な要素
要素 CLIステートメント 説明

フッターの背景色

footer-bgcolor hex-color

キャプティブポータルログインページフッターの背景色のHTML16進コード。

フッターメッセージ

footer-message text-string

キャプティブポータルログインページのフッターに表示されるテキスト。著作権情報、リンク、およびヘルプ手順、法的通知、プライバシー ポリシーなどの追加情報を含めることができます

フッターに表示されるデフォルトのテキストは Copyright @2010, Juniper Networks Inc.

フッターのテキストの色

footer- text-color color

フッターのテキストの色。デフォルトの色は白です。

フォームヘッダーの背景色

form-header-bgcolor hex-color

キャプティブポータルログインページのフォームエリアの上部にあるヘッダーバーの背景色のHTML16進コード。

フォームヘッダーメッセージ

form-header-message text-string

キャプティブポータルログインページのヘッダーに表示されるテキスト。デフォルトのテキスト は です。Captive Portal User Authentication

フォームヘッダーのテキストの色

form-header- text- color color

フォームヘッダー内のテキストの色。デフォルトの色は黒です。

フォームリセットボタンのラベル

form-reset-label label-name

ボタンを使用して、ユーザーはフォームのユーザー名とパスワードのフィールドをクリアできます。Reset

フォーム送信ボタンのラベル

form-submit-label label-name

ボタンを使用して、ユーザーはログイン情報を送信できます。Login

ヘッダーの背景色

header-bgcolor hex-color

キャプティブポータルログインページヘッダーの背景色のHTML16進コード。

ヘッダーロゴ

header-logo filename

キャプティブ ポータル ログイン ページのヘッダーに表示するロゴのイメージを含むファイルのファイル名。画像ファイルは、GIF、JPEG、またはPNG形式にすることができます。

ロゴ画像ファイルをスイッチにアップロードできます。スイッチの /var/tmp ディレクトリにロゴをコピーします(コミット中、ファイルは永続的な場所に保存されます)。

ロゴ画像を指定しない場合は、ジュニパーネットワークスのロゴが表示されます。

ヘッダー メッセージ

header-message text-string

ページ ヘッダーに表示されるテキスト。デフォルトのテキスト は です。User Authentication

ヘッダーテキストの色

header-text- colorcolor

ヘッダー内のテキストの色。デフォルトの色は白です。

認証後 URL

post-authentication-url url

認証が成功した場合にユーザーに誘導される URL。既定では、ユーザーは最初に要求したページに移動します。

キャプティブ ポータルのログイン ページをデザインするには、次の手順を実行します。

  1. (オプション)ロゴ画像ファイルをスイッチにアップロードします。
  2. カスタム オプションを設定して、キャプティブ ポータル ページに表示される背景色とテキストを指定します。

これで、設定をコミットできます。

注:

指定しないカスタム・オプションには、デフォルト値が使用されます。

ELSをサポートするEXシリーズスイッチでのキャプティブポータル認証の設定(CLI手順)

注:

このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチで Junos OS を使用します。ご使用のスイッチがELSをサポートしていないソフトウェアを実行している場合は、 キャプティブポータル認証の設定(CLI手順)を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。

スイッチにキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、スイッチに接続されているユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を求めるログイン ページが表示されます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

開始する前に、以下を満たしているか確認してください。

このトピックは、次のタスクで構成されています。

キャプティブポータルへのセキュアアクセスの設定

キャプティブポータルのセキュアアクセスを設定するには:

  1. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。
    注:

    HTTPS の代わりに HTTP を有効にすることもできますが、セキュリティ上の理由から HTTPS をお勧めします。

  2. HTTPS を使用するようにキャプティブ ポータルを設定します。

キャプティブ ポータルのインターフェイスの有効化

インターフェイスをキャプティブポータル認証で使用できるようにするには、次の手順に従います。

キャプティブ ポータル認証のバイパスの設定

特定のクライアントがキャプティブポータル認証をバイパスすることを許可できます。

注:

オプションで、を使用してスコープをインターフェイスに制限できます 。set switch-options authentication-whitelist mac-address interface interface-name

注:

クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用して、キャプティブポータル認証 からMACアドレスをクリアする必要があります。clear captive-portal mac-address session-mac-addr それ以外の場合、MAC アドレスの新しいエントリはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

例:ELSをサポートするEXシリーズスイッチでキャプティブポータル認証を設定する

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。EXシリーズスイッチでのキャプティブポータル認証の設定を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。

スイッチでキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、Webブラウザ要求を、ユーザがユーザ名とパスワードの入力を要求するログインページにリダイレクトできます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

この例では、EXシリーズスイッチでキャプティブポータルを設定する方法について説明します。

要件

この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:

  • EX シリーズスイッチの Junos OS リリース 13.2X50 以降

  • ELSをサポートするEXシリーズスイッチ

開始する前に、以下を満たしているか確認してください。

概要とトポロジー

この例では、インターフェイスでキャプティブ ポータルを有効にするためにスイッチで必要な設定を示します。キャプティブ ポータル インターフェイスに接続されたプリンターに LAN へのアクセスを許可するには、その MAC アドレスを認証許可リストに追加し、VLAN(vlan1)に割り当てます。このリストの MAC アドレスは、キャプティブ ポータル認証なしでインターフェイス上でのアクセスが許可されます。

トポロジー

この例のトポロジーは、RADIUS認証サーバーに接続された1台のEXシリーズスイッチで構成されています。スイッチの 1 つのインターフェイスは、キャプティブ ポータル用に設定されています。この例では、インターフェイスはマルチ サプリカント モードで設定されています。

設定

スイッチでキャプティブポータルを設定するには:

CLIクイック構成

要件セクションのタスクを完了した後、スイッチでキャプティブポータルをすばやく設定するには、次のコマンドをコピーしてスイッチターミナルウィンドウに貼り付けます。

手順

ステップバイステップでの手順
  1. スイッチへのWebアクセス用のセキュアチャネルを作成するには、HTTPS用のキャプティブポータルを設定します。

    ステップバイステップでの手順
    1. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。

      注:

      HTTPS の代わりに HTTP を有効にすることもできますが、セキュリティ上の理由から HTTPS を有効にすることをお勧めします。

    2. HTTPS を使用するようにキャプティブ ポータルを設定します。

  2. キャプティブ ポータルのインターフェイスを有効にします。

  3. (オプション)特定のクライアントがキャプティブポータル認証をバイパスできるようにします。

    注:

    クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用して、キャプティブポータル認証 からMACアドレスをクリアする必要があります。clear captive-portal mac-address mac-address それ以外の場合、MAC アドレスの新しいエントリはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

    注:

    オプションで、を使用してスコープをインターフェイスに制限できます 。set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0

  4. (オプション)最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後 URL を構成します。

結果

設定の結果の表示:

検証

キャプティブ ポータル認証が設定され、正しく動作していることを確認するには、次のタスクを実行します。

キャプティブポータルがインターフェイスで有効になっていることを確認する

目的

キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。

アクション

以下の動作モードコマンド を使用します。show captive-portal interface interface-name detail

意味

出力では、キャプティブ ポータルがインターフェイス で設定され、再試行回数、待機期間、CP セッション タイムアウト、およびサーバ タイムアウトのデフォルト設定になっていることが確認されます。ge-0/0/10

キャプティブポータルが正しく動作していることを確認する

目的

キャプティブ ポータルがスイッチで動作していることを確認します。

アクション

クライアントをインターフェイス ge-0/0/10 に接続します。クライアントから Web ブラウザーを開き、Web ページを要求します。設計したキャプティブ ポータル ログイン ページが表示されます。ログイン情報を入力し、RADIUS サーバーに対して認証されると、Web ブラウザーに、要求したページまたは構成した認証後 URL が表示されます。

トラブルシューティング

キャプティブ ポータルのトラブルシューティングを行うには、次のタスクを実行します。

キャプティブポータルのトラブルシューティング

問題点

スイッチ上のキャプティブ ポータル インターフェイスに接続しているユーザが Web ページを要求した場合、スイッチはキャプティブ ポータル ログイン ページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS の各カウンターを調べることができます。これらのカウンターのうち 1 つ以上が増加していない場合は、問題がどこにあるかがわかります。たとえば、クライアントが IP アドレスを取得できない場合、スイッチのインターフェイスをチェックして、DHCP カウンタが増加しているかどうか(カウンタが増加している場合は、DHCP パケットがスイッチによって受信された)を判断できます。