Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

中央 Web 認証

Web 認証では、クライアントの Web ブラウザーを中央の Web 認証サーバー(CWA サーバー)にリダイレクトして、ユーザーがネットワークにアクセスできます。このサーバーでは、ログイン プロセス全体が処理されます。Web 認証は、802.1 X 対応デバイスを保有している通常のネットワークユーザーのフォールバック認証方法として使用することもできますが、その他の問題 (期限切れのネットワーク資格情報など) によって認証を失敗させます。

一元的な Web 認証について

Web 認証では、Web ブラウザの要求がユーザー名とパスワードを入力する必要があるログインページにリダイレクトされます。認証が成功すると、ユーザーはネットワークへのアクセスが許可されます。Web 認証は、802.1 X 対応でないデバイスを使用してネットワークにアクセスしようとしている企業サイトへの訪問者など、一時的なユーザーにネットワークアクセスを提供する場合に役立ちます。Web 認証は、802.1 X 対応デバイスを保有している通常のネットワークユーザーのフォールバック認証方法として使用することもできますが、その他の問題 (期限切れのネットワーク資格情報など) によって認証を失敗させます。

Web 認証は、専用ポータルを使用してスイッチでローカルに実行することもできますが、そのためには、ネットワークアクセスデバイスとして使用される各スイッチ上で Web ポータルページを設定する必要があります。CWA(Central Web Authentication)では、クライアントの Web ブラウザーを中央の Web 認証サーバー(CWA サーバー)にリダイレクトして、完全なログイン プロセスを処理することで、効率性と拡張のメリットを実現できます。

中央 Web 認証プロセス

ホストが MAC RADIUS 認証に失敗した後に、セントラル Web 認証が呼び出されます。ホストは最初に 802.1 X 認証を使用して認証を試みることができますが、その後、MAC RADIUS 認証を試行してから、一元的な Web 認証を試みなければなりません。このスイッチはオーセンティケータとして動作し、認証、許可、アカウンティング (AAA) サーバーとの RADIUS メッセージを交換します。MAC RADIUS の認証が失敗すると、AAA サーバーからのアクセス受け入れメッセージがスイッチによって受信されます。このメッセージには、動的なファイアウォールフィルターと、中央 Web 認証用のリダイレクト URL が含まれています。スイッチはフィルターを適用して、ホストが IP アドレスを受信し、URL を使用してホストを Web 認証ページにリダイレクトします。

ホストは、ログイン認証情報の入力を求められ、利用規約に同意するよう求められることがあります。Web 認証が成功すると、AAA サーバーから承認 (CoA) メッセージが送信されます。これにより、処理中の承認済みセッションの条件が更新されます。これにより、オーセンティケータは、制御対象ポートに適用されたフィルタまたは VLAN 割り当てを更新して、ホストが LAN にアクセスできるようにします。

中央 Web 認証におけるイベントの順序は次のとおりです図 1(を参照)。

  1. スイッチに接続されたホスト (オーセンティケータ) は、MAC RADIUS 認証を開始します。

  2. MAC RADIUS 認証は失敗します。AAA サーバーは、アクセス拒否メッセージをスイッチに送信するのではなく、動的なファイアウォールフィルターと CWA リダイレクト URL を含むアクセス承諾メッセージを送信します。

  3. このホストは、フィルタの条件によって、DHCP リクエストを送信することが許可されています。

  4. ホストは DHCP サーバーから IP アドレスと DNS 情報を受信します。AAA サーバーは、一意のセッション ID を持つ新しいセッションを開始します。

  5. ホストによって Web ブラウザーが開きます。

  6. オーセンティケータは、CWA リダイレクト URL をホストに送信します。

  7. ホストは CWA サーバーにリダイレクトされ、ログイン認証情報を要求するプロンプトが表示されます。

  8. ホストはユーザー名とパスワードを提供します。

  9. Web 認証に成功した後、AAA サーバーは CoA メッセージを送信し、制御対象ポートに適用されたフィルターまたは VLAN の割り当てを udpate して、ホストが LAN にアクセスできるようにします。

  10. オーセンティケータは、CoA 確認メッセージで応答し、MAC RADIUS 認証要求を AAA サーバーに送信します。

  11. AAA サーバーは、セッション ID を適切なアクセスポリシーと一致させ、ホストを認証するアクセス受け入れメッセージを送信します。

図 1: 中央 Web 認証プロセス中央 Web 認証プロセス

中央 Web 認証用の動的なファイアウォールフィルター

中央 Web 認証は動的なファイアウォールフィルターを使用します。これは AAA サーバー上で一元的に定義されており、そのサーバーを通じて認証を要求するサプリカントに動的に適用します。このフィルターにより、ホストは DHCP を使用して動的に IP アドレスを取得できます。フィルターを定義するには RADIUS 属性を使用します。これは、サーバーから送信されるアクセス許可メッセージに含まれています。フィルターを定義するには、ベンダー固有の属性 (VSA) または IETF RADIUS 属性であるフィルター ID 属性を使用します。この属性は、Juniper ます。

Juniper スイッチフィルターの VSA を中央 Web 認証に使用するには、CWA サーバーの宛先 IP アドレスを許可する正しい条件でフィルターを設定する必要があります。この設定は、AAA サーバー上で直接実行されます。中央 web 認証でフィルタ ID 属性を使用するには、AAA サーバーに JNPR_RSVD_FILTER_CWA として値を入力します。この属性のフィルター条件は、追加の構成が不要なため、中央の Web 認証に対して内部的に定義されています。中央 web 認証用の動的ファイアウォールフィルターの設定の詳細については、「集中型 Web 認証の構成」を参照してください。

中央 Web 認証のリダイレクト URL

一時 Web 認証では、オーセンティケータはリダイレクト URL を使用して、ホストの Web ブラウザー要求を CWA サーバーにリダイレクトします。リダイレクトが完了すると、CWA サーバーはログインプロセスを完了します。中央 web 認証用のリダイレクト URL は、AAA サーバー上またはオーセンティケータ上で設定できます。リダイレクト URL は、ダイナミックファイアウォールフィルタとともに存在し、MAC RADIUS 認証の失敗後に、セントラル web 認証プロセスをトリガーする必要があります。

リダイレクト URL は、Juniper RADIUS ディクショナリ内の属性番号50である Juniper CWA-VSA を使用して、AAA サーバー上で一元的に定義できます。URL は、ダイナミックファイアウォールフィルターが含まれている同じ RADIUS アクセス許可メッセージ内で、AAA サーバーからスイッチに転送されます。[ redirect-urledit protocols dot1x authenticator interface interface-name] 階層レベルの CLI ステートメントを使用して、ホストインターフェイス上でリダイレクト URL をローカルに設定することもできます。リダイレクト URL の設定の詳細については、「集中型 Web 認証の構成」を参照してください。

一元的な Web 認証の構成

中央 Web 認証は、ホストの Web ブラウザーを CWA(集中 Web 認証)サーバーにリダイレクトするフォールバック認証方法です。CWA サーバーには、ユーザーによるユーザー名とパスワードの入力を可能にする web ポータルが用意されています。これらの認証情報が CWA サーバーによって検証された場合、ユーザーは認証され、ネットワークへのアクセスが許可されます。

ホストが MAC RADIUS 認証に失敗した後に、セントラル Web 認証が呼び出されます。このスイッチはオーセンティケータとして動作し、動的なファイアウォールフィルターと、中央 Web 認証用のリダイレクト URL を含む、AAA サーバーから RADIUS のアクセス許可メッセージを受信します。ダイナミックファイアウォールフィルターとリダイレクト URL は、両方とも、中央の Web 認証プロセスをトリガーするために存在している必要があります。

中央 Web 認証用の動的ファイアウォールフィルターの設定

動的なファイアウォールフィルターは、ホストが DHCP サーバーから IP アドレスを取得して、ホストからネットワークにアクセスできるようにするために、集中型 Web 認証で使用されます。フィルターは RADIUS 属性を使用して AAA サーバー上で定義されます。これは、アクセス受け入れメッセージでオーセンティケータに送信されます。このフィルターを定義するには、ベンダー固有の属性 (VSA) または IETF RADIUS 属性であるフィルター-ID 属性を使用します。この属性は、Juniper ます。

  • Juniper スイッチフィルターの VSA を使用して一元的な Web 認証を実現するには、AAA サーバー上でフィルター条件を直接設定する必要があります。フィルターには、アクションallowとともに CWA サーバーの宛先 IP アドレスと一致する用語を含める必要があります。

    たとえば、以下のように記述します。

    注:

    スイッチは、リダイレクト URL の DNS クエリを解決しません。CWA サーバーの宛先 IP アドレスを許可するには、Juniper スイッチングフィルター属性を設定する必要があります。

  • 中央 Web 認証でフィルタ ID 属性を使用するには、AAA サーバー上の属性の値として JNPR_RSVD_FILTER_CWA を入力します。この属性のフィルター条件は、追加の構成が不要なため、中央の Web 認証に対して内部的に定義されています。

    たとえば、以下のように記述します。

AAA サーバーでの動的なファイアウォールフィルターの設定の詳細については、AAA サーバーのマニュアルを参照してください。

中央 Web 認証用のリダイレクト URL の設定

一時 Web 認証では、オーセンティケータはリダイレクト URL を使用して、ホストの Web ブラウザー要求を CWA サーバーにリダイレクトします。中央 Web 認証用のリダイレクト URL は、AAA サーバー上でも、ローカルでもホストインターフェイス上で設定できます。

  • AAA サーバーでリダイレクト URL を設定するには、Juniper RADIUS ディクショナリの属性番号50である、Juniper-CWA-VSA を使用します。URL は、ダイナミックファイアウォールフィルターが含まれている同じ RADIUS アクセス許可メッセージ内で、AAA サーバーからスイッチに転送されます。

    たとえば、以下のように記述します。

    注:

    ダイナミックファイアウォールフィルターに特殊なフィルタ ID 属性 JNPR_RSVD_FILTER_CWA が使用される場合、リダイレクト URL には、たとえば、 https://10.10.10.10AAA サーバーの IP アドレスが含まれている必要があります。

  • リダイレクト URL をホストインターフェイスでローカルに設定するには、以下の CLI 文を使用します。

    たとえば、以下のように記述します。

一元的な Web 認証の構成に関するガイドライン

リダイレクト URL と動的ファイアウォールの両方が存在する場合、MAC RADIUS の認証に失敗すると、中央 Web 認証がトリガーされます。リダイレクト URL と動的ファイアウォールフィルタは、以下のいずれかの組み合わせで設定できます。

  1. AAA サーバーは、CWA のリダイレクト URL と動的ファイアウォールフィルターの両方をオーセンティケータに送信します。リダイレクト URL は、Juniper-CWA の VSA を使用して AAA サーバー上で構成され、Juniper スイッチングフィルターの VSA を使用して、AAA サーバー上で動的ファイアウォールフィルターが構成されます。この場合、フィルタは、CWA サーバーの宛先 IP アドレスを許可するように設定されている必要があります。

  2. AAA サーバーは、動的ファイアウォールフィルターをオーセンティケータに送信し、リダイレクト URL はホストポートでローカルに設定されます。リダイレクト URL は、 redirect-url CLI 文を使用してオーセンティケータ上で設定され、Juniper スイッチングフィルターの VSA を使用して AAA サーバー上で動的ファイアウォールフィルターが設定されます。この場合、フィルタは、CWA サーバーの宛先 IP アドレスを許可するように設定されている必要があります。

  3. AAA サーバーは、CWA のリダイレクト URL と動的ファイアウォールフィルターの両方をオーセンティケータに送信します。リダイレクト URL は、Juniper-CWA の VSA を使用して AAA サーバー上で構成され、JNPR_RSVD_FILTER_CWA 値を持つフィルター ID 属性を使用して、AAA サーバー上で動的ファイアウォールフィルターを構成します。この場合、リダイレクト URL には CWA サーバーの IP アドレスが含まれていなければなりません。

  4. AAA サーバーは、動的ファイアウォールフィルターをオーセンティケータに送信し、リダイレクト URL はホストポートでローカルに設定されます。リダイレクト URL は、 redirect-url CLI 文を使用してオーセンティケータ上で設定され、JNPR_RSVD_FILTER_CWA 値を指定した FILTER-ID 属性を使用して AAA サーバー上で設定されます。この場合、リダイレクト URL には CWA サーバーの IP アドレスが含まれていなければなりません。