Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

専用ポータル認証

スイッチを介してネットワークへのアクセスを制御するには、いくつかの異なる認証を使用します。Junos OS スイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1 X、MAC RADIUS、および専用ポータルをサポートしています。スイッチの専用ポータル認証を設定して、ユーザーによるユーザー名とパスワードの入力が必要なログインページに Web ブラウザ要求をリダイレクトすることができます。詳細については、このトピックをお読みください。

例:EX シリーズスイッチでの専用ポータル認証の設定

スイッチ上での専用ポータル認証を設定して、ユーザーによるユーザー名とパスワードの入力が必要なログインページに Web ブラウザ要求をリダイレクトすることができます。認証に成功すると、ユーザーは元のページ要求とネットワークへのその後のアクセスを続行できます。

この例では、EX シリーズスイッチでの専用ポータルの設定方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 専用ポータルをサポートする EX シリーズスイッチ

  • EX シリーズスイッチの Junos OS リリース10.1 以降

開始する前に、以下のものがあることを確認してください。

概要とトポロジー

この例は、インターフェイスでの専用ポータルを有効にするためにスイッチで必要な構成を示しています。キャプティブ ポータル インターフェイスに接続されたプリンターがデバイス にアクセスせずに LAN にアクセスキャプティブ ポータルするには、デバイスの番号を認証許可MAC アドレスリストに追加します。このリストに記載されている MAC アドレスは、専用ポータルを使用せずにインターフェイスでアクセスできます。

Topology

この例のトポロジーは、RADIUS 認証サーバーに接続されている EX シリーズスイッチが1つあることを示しています。スイッチ上の1つのインターフェイスが、専用ポータルに設定されています。この例では、インターフェイスは複数のサプリカントモードで構成されています。

構成

スイッチ上での専用ポータルを構成するには、次のようにします。

CLI クイック構成

要件セクションのタスクを完了した後で、スイッチの専用ポータルを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

スイッチでの専用ポータルを構成するには、次のようにします。

  1. サーバー IP アドレス、サーバー認証ポート番号、シークレットパスワードの設定を定義します。スイッチ上のシークレットパスワードは、サーバー上のシークレットパスワードと一致する必要があります。

  2. 認証順序を構成し、 radius最初の認証方法を提供します。

  3. サプリカントを認証するために、サーバーの IP アドレスを設定します。

  4. スイッチで HTTP アクセスを有効にします。

  5. スイッチへの Web アクセス用のセキュアチャネルを作成するには、専用ポータルを HTTPS 用に構成します。

    注:

    HTTP を有効にすることなく、HTTPS を有効化できますが、セキュリティを確保するために HTTPS を推奨しています。

    順を追った手順
    1. セキュリティ証明書と Web サーバーを関連付け、スイッチで HTTPS アクセスを有効にします。

    2. HTTPS を使用するように、専用ポータルを構成します。

  6. 専用ポータルのインターフェイスを有効にします。

  7. 専用ポータルの認証に使用するアクセスプロファイルの名前を指定します。

  8. ナ特定のクライアントによる専用ポータルのバイパスを許可:

    注:

    クライアントがスイッチにすでに接続されている場合は、allowlistにMAC アドレス追加した後、 コマンドを使用してキャプティブ ポータル認証からMAC アドレスを clear captive-portal mac-address mac-address 消去する必要があります。そうでない場合、MAC アドレスの新しいエントリはイーサネットのスイッチングテーブルに追加されず、認証のバイパスは許可されません。

    注:

    必要に応じて、 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0を使用して、スコープをインターフェイスに制限することもできます。

  9. ナ最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、次のように認証後の URL を設定します。

結果

構成の結果を表示するには、以下のようにします。

検証

専用ポータルが構成されていて正常に機能していることを確認するには、以下のタスクを実行します。

インターフェイスで専用ポータルが有効になっていることを確認します。

目的

インターフェイス ge-0/0/10 で、専用ポータルが構成されていることを確認します。

アクション

運用モードのコマンドshow captive-portal interface interface-name detailを使用します。

この出力は、再試行回数、非表示期間、CP セッションタイムアウト、サーバータイムアウトのデフォルト設定を使用して、インターフェイス x 0/0/10 で専用ポータルが構成されていることを確認します。

専用ポータルが正常に機能していることを確認します。

目的

専用ポータルがスイッチ上で稼働していることを確認します。

アクション

インターフェイス ge-0/0/10 にクライアントを接続します。クライアントから Web ブラウザーを開き、ページをリクエストします。設計した専用ポータルのログインページが表示されます。ログイン情報を入力し、RADIUS サーバーに対して認証された後、Web ブラウザーでは、要求したページまたは設定した認証後の URL のいずれかが表示されます。

トラブルシューティング

専用ポータルをトラブルシューティングするには、以下のタスクを実行します。

専用ポータルのトラブルシューティング

スイッチ上の専用ポータルインターフェイスに接続しているユーザーが Web ページを要求した場合、スイッチは、専用ポータルのログインページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS の各カウンターを調べてください。これらのカウンターの 1 つ以上が増加していない場合、問題の発生場所が示されます。たとえば、クライアントが IP アドレスを取得できない場合は、スイッチ インターフェイスをチェックして、DHCP カウンターが増加するかどうか(カウンターが増加した場合、スイッチから DHCP パケットを受信した場合)を確認します。

専用ポータル認証の設定 (CLI 手順)

スイッチに接続しているユーザーがネットワークへのアクセスを許可される前に認証されるように、EX シリーズスイッチ上で専用ポータル認証 (専用ポータルと呼ばれます) を構成します。ユーザーが web ページを要求すると、ログインページが表示されます。ユーザーはこの情報を入力する必要があります。認証に成功すると、ユーザーは元のページ要求とネットワークへのその後のアクセスを続行できます。

開始する前に、以下のものがあることを確認してください。

このトピックでは、以下のタスクについて説明します。

専用ポータルへのセキュアアクセスの構成

専用ポータルにセキュアアクセスを構成するには、次のようにします。

  1. スイッチで HTTP アクセスを有効にします。
  2. セキュリティ証明書と Web サーバーを関連付け、スイッチで HTTPS アクセスを有効にします。
    注:

    HTTPS なしで HTTP を有効にすることができますが、セキュリティ強化のために HTTPS を使用することをお勧めします。

  3. HTTPS を使用するように、専用ポータルを構成します。

専用ポータル用のインターフェイスを有効にする

専用ポータルのインターフェイスを有効にするには、次のようにします。

たとえば、インターフェイス x 0/0/10 での専用ポータルを有効にするには、以下のようにします。

専用ポータル認証のバイパスを設定する

特定のクライアントによる専用ポータルのバイパスを許可するには、次のようにします。

たとえば、特定のクライアントが専用ポータルをバイパスできるようにするには、以下のようにします。

注:

必要に応じて、 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0を使用して、スコープをインターフェイスに制限することもできます。

注:

クライアントが既にスイッチに接続されている場合は、allowlistにMAC アドレス追加した後、 コマンドを使用してキャプティブ ポータル認証からMAC アドレスを clear captive-portal mac-address mac-address 消去する必要があります。そうでない場合、MAC アドレスの新しいエントリはイーサネットのスイッチングテーブルに追加されず、認証のバイパスは許可されません。

スイッチでの専用ポータル認証ログインページの設計

スイッチの専用ポータル認証を設定して、アクセスを許可される前にユーザーがユーザー名とパスワードを入力する必要があるすべての Web ブラウザ要求をログインページにリダイレクトすることができます。認証に成功すると、ユーザーはネットワークへのアクセスを許可され、要求された元のページにリダイレクトします。

Junos OS は、専用ポータルのログインページの外観を簡単に設計して変更できるようにする、専用ポータルウィンドウ用のカスタマイズ可能なテンプレートを提供しています。テンプレートの設計要素を変更して、専用ポータルのログインページの外観を変更したり、ページに指示や情報を追加したりすることができます。また、専用ポータルのログインページの設計要素を変更することもできます。

制約ログインページの前に最初に表示された画面では、ユーザーが使用条件を読むよう求められています。[Agree] (同意) ボタンをクリックすると、ユーザーは、専用ポータルのログインページにアクセスできるようになります。

図 1は、専用ポータルのログインページの例を示しています。

図 1: 専用ポータルのログインページの例専用ポータルのログインページの例

表 1は、専用ポータルログインページの構成可能な要素をまとめたものです。

表 1: 専用ポータルログインページの構成可能な要素
要素 CLI 文 説明

フッターの背景色

footer-bgcolor hex-color

専用ポータルのログインページフッターの背景色を表す HTML 16 進コード。

フッターメッセージ

footer-message text-string

専用ポータルのログインページのフッターに表示されるテキスト。著作権情報、リンク、およびサポート情報、法律上の注意事項、プライバシポリシーなどの詳細を含めることができます。

フッターに表示されるデフォルトのテキストは Copyright @2010, Juniper Networks Inc.

フッターテキストカラー

footer- text-color color

フッターのテキストの色です。デフォルトの色は白です。

フォームヘッダーの背景色

form-header-bgcolor hex-color

専用ポータルログインページのフォーム領域の上部にあるヘッダーバーの背景色を表す HTML 16 進コード。

フォームヘッダーメッセージ

form-header-message text-string

専用ポータルのログインページのヘッダーに表示されるテキスト。デフォルトのテキストは Captive Portal User Authentication .

フォームヘッダーテキストの色

form-header- text- color

フォームヘッダー内のテキストの色。デフォルトの色は黒です。

フォームリセットボタンラベル

form-reset-label label-name

このボタンを Reset 使用して、ユーザーはフォームのユーザー名とパスワードフィールドを消去できます。

フォーム送信ボタンラベル

form-submit-label label-name

このボタン Login を使用して、ユーザーはログイン情報を送信できます。

ヘッダーの背景色

header-bgcolor hex-color

専用ポータルログインページヘッダーの背景色を表す HTML 16 進コード。

ヘッダーロゴ

header-logo filename

専用ポータルのログインページのヘッダーに表示するロゴの画像が含まれているファイルの名前。画像ファイルは、GIF、JPEG、または PNG 形式である場合があります。

ロゴの画像ファイルをスイッチにアップロードできます。ロゴをスイッチ上の/var/tmp ディレクトリにコピーします (コミット時にファイルが持続的な場所に保存されます)。

ロゴの画像を指定しない場合は、ジュニパーネットワークスのロゴが表示されます。

ヘッダーメッセージ

header-message text-string

ページヘッダーに表示されるテキスト。デフォルトのテキストは User Authentication .

ヘッダーテキストの色

header-text- color

ヘッダーのテキストの色です。デフォルトの色は白です。

事後認証 URL

post-authentication-url url

成功した認証にユーザーがどこで誘導されたかを示す URL。デフォルトでは、ユーザーは最初に要求していたページに送信されます。

専用ポータルのログインページを設計するには、次のようにします。

  1. ナロゴの画像ファイルをスイッチにアップロードします。
  2. カスタムオプションを設定して、[専用ポータル] ページに表示される背景色およびテキストを指定します。

ここで構成をコミットできます。

注:

ユーザーが指定しないカスタムオプションの場合は、デフォルト値が使用されます。

EX シリーズスイッチの専用ポータル認証 (CLI 手続き) の設定 ELS サポート

注:

このタスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチに Junos OS を使用します。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、専用ポータル認証の構成 (CLI 手順)を参照してください。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

スイッチに専用ポータル認証を設定し、スイッチに接続しているユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが web ページを要求すると、ユーザーにユーザー名とパスワードを入力するよう求められるログインページが表示されます。認証に成功すると、ユーザーは元のページ要求とネットワークへのその後のアクセスを続行できます。

開始する前に、以下のものがあることを確認してください。

このトピックでは、以下のタスクについて説明します。

専用ポータルへのセキュアアクセスの構成

専用ポータルにセキュアアクセスを構成するには、次のようにします。

  1. セキュリティ証明書と Web サーバーを関連付け、次のようにスイッチ上で HTTPS を有効にします。
    注:

    HTTPS の代わりに HTTP を有効にすることもできますが、セキュリティを確保するために HTTPS を使用することをお勧めします。

  2. HTTPS を使用するように、専用ポータルを構成します。

専用ポータル用のインターフェイスを有効にする

専用ポータル認証で使用するためのインターフェイスを有効にするには、次のようにします。

専用ポータル認証のバイパスを設定する

特定のクライアントによる専用ポータル認証のバイパスを許可するには、以下のようにします。

注:

必要に応じて、 set switch-options authentication-whitelist mac-address interface interface-nameを使用して、スコープをインターフェイスに制限することもできます。

注:

クライアントが既にスイッチに接続されている場合は、allowlistにMAC アドレス追加した後、 コマンドを使用してキャプティブ ポータル認証からMAC アドレスを clear captive-portal mac-address session-mac-addr 消去する必要があります。そうしないと、MAC アドレスの新しいエントリがイーサネットスイッチングテーブルに追加されず、認証のバイパスは許可されません。

例:ELS サポートを使用した EX シリーズスイッチでの専用ポータル認証の設定

注:

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、次の例を参照してください。EX シリーズスイッチの専用ポータル認証を設定します。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

スイッチ上での専用ポータル認証を設定して、ユーザーによるユーザー名とパスワードの入力が必要なログインページに Web ブラウザ要求をリダイレクトすることができます。認証に成功すると、ユーザーは元のページ要求とネットワークへのその後のアクセスを続行できます。

この例では、EX シリーズスイッチでの専用ポータルの設定方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

  • EX シリーズスイッチの Junos OS リリース 13.2 X50 以降

  • ELS をサポートする EX シリーズスイッチ

開始する前に、以下のものがあることを確認してください。

概要とトポロジー

この例は、インターフェイスでの専用ポータルを有効にするためにスイッチで必要な構成を示しています。キャプティブ ポータル インターフェイスに接続されたプリンターによる LAN へのアクセスを許可するには、MAC アドレス を認証 allowlist に追加して、VLAN vlan1 に割り当てします。このリストの MAC アドレスは、専用のポータル認証を行わなくても、インターフェイスへのアクセスが許可されます。

Topology

この例のトポロジーは、RADIUS 認証サーバーに接続されている EX シリーズスイッチが1つあることを示しています。スイッチ上の1つのインターフェイスが、専用ポータルに設定されています。この例では、インターフェイスは複数のサプリカントモードで構成されています。

構成

スイッチ上での専用ポータルを構成するには、次のようにします。

CLI クイック構成

要件セクションのタスクを完了した後で、スイッチの専用ポータルを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順
  1. スイッチへの Web アクセス用のセキュアチャネルを作成するには、専用ポータルを HTTPS 用に構成します。

    順を追った手順
    1. セキュリティ証明書と Web サーバーを関連付け、次のようにスイッチ上で HTTPS を有効にします。

      注:

      HTTPS の代わりに HTTP を有効にすることもできますが、セキュリティを確保するために HTTPS を有効にすることをお勧めします。

    2. HTTPS を使用するように、専用ポータルを構成します。

  2. 専用ポータルのインターフェイスを有効にします。

  3. ナ特定のクライアントによる専用ポータル認証のバイパスを許可する:

    注:

    クライアントが既にスイッチに接続されている場合は、allowlistにMAC アドレス追加した後、 コマンドを使用してキャプティブ ポータル認証からMAC アドレスを clear captive-portal mac-address mac-address 消去する必要があります。そうしないと、MAC アドレスの新しいエントリがイーサネットスイッチングテーブルに追加されず、認証のバイパスが許可されません。

    注:

    必要に応じて、 set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0を使用して、スコープをインターフェイスに制限することもできます。

  4. ナ最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、次のように認証後の URL を設定します。

結果

構成の結果を表示するには、以下のようにします。

検証

専用ポータル認証が設定され、正常に機能していることを確認するには、以下のタスクを実行します。

インターフェイスで専用ポータルが有効になっていることを確認します。

目的

インターフェイス x 0/0/10 で、専用ポータルが構成されていることを確認します。

アクション

運用モードのコマンドshow captive-portal interface interface-name detailを使用します。

この出力では、インターフェイスge-0/0/10上で専用ポータルが設定されていることを確認し、再試行回数、非表示期間、CP セッションタイムアウト、およびサーバータイムアウトのデフォルト設定を使用します。

専用ポータルが正常に機能していることを確認します。

目的

専用ポータルがスイッチ上で稼働していることを確認します。

アクション

クライアントをインターフェイス ge-0/0/10 に接続します。クライアントから Web ブラウザーを開き、ページをリクエストします。設計した専用ポータルのログインページが表示されます。ログイン情報を入力し、RADIUS サーバーに対して認証された後、Web ブラウザーでは、要求したページまたは設定した認証後の URL のいずれかが表示されます。

トラブルシューティング

専用ポータルをトラブルシューティングするには、次の作業を実行します。

専用ポータルのトラブルシューティング

スイッチ上の専用ポータルインターフェイスに接続しているユーザーが web ページを要求した場合、スイッチは、専用ポータルのログインページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS の各カウンターを調べてください。これらのカウンターの 1 つ以上が増加していない場合、問題の発生場所が示されます。たとえば、クライアントが IP アドレスを取得できない場合、スイッチ インターフェイスをチェックして、DHCP カウンターが増加するかどうかを判断できます。カウンターが増加した場合、DHCP パケットがスイッチから受信しました。