Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

キャプティブ ポータル認証

複数の異なる認証を使用して、スイッチを通じてネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。スイッチ上でキャプティブ ポータル認証を設定して、ユーザーがユーザー名とパスワードを入力することを要求する Web ブラウザー要求をログイン ページにリダイレクトできます。詳細については、このトピックをお読みください。

例:EXシリーズスイッチでキャプティブポータル認証を設定する

スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定して、ユーザーがユーザー名とパスワードを入力する必要があるログインページにWebブラウザリクエストをリダイレクトできます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

この例では、EXシリーズスイッチ上でキャプティブポータルを設定する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • キャプティブ ポータルをサポートする EX シリーズ スイッチ

  • EX シリーズ スイッチの Junos OS リリース 10.1 以降

開始する前に、以下を確認してください。

概要とトポロジー

この例では、インターフェイス上でキャプティブ ポータルを有効にするためにスイッチで必要な設定を示しています。キャプティブポータルインターフェイスに接続されたプリンターがキャプティブポータルを通過せずにLANにアクセスできるようにするには、MACアドレスを認証許可リストに追加します。このリストの MAC アドレスは、キャプティブ ポータルを使用せずにインターフェイス上でアクセスできます。

トポロジ

この例のトポロジーは、RADIUS認証サーバーに接続された1つのEXシリーズスイッチで構成されています。スイッチ上の 1 つのインターフェイスがキャプティブ ポータル用に設定されています。この例では、インターフェイスが複数のサプリカントモードで設定されています。

設定

スイッチでキャプティブ ポータルを設定するには:

CLI クイックコンフィギュレーション

[Requirements](要件)セクションでタスクを完了した後にスイッチ上でキャプティブ ポータルを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

手順

スイッチ上でキャプティブ ポータルを設定するには:

  1. サーバーIPアドレス、サーバー認証ポート番号を定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致する必要があります。

  2. 認証順序を設定し、最初の認証方法を作成 radius します。

  3. サプリカントを認証するために試行するサーバーIPアドレスを設定します。

  4. スイッチで HTTP アクセスを有効にします。

  5. スイッチへの Web アクセス用のセキュア なチャネルを作成するには、HTTPS のキャプティブ ポータルを設定します。

    注:

    HTTPSを有効にすることなくHTTPを有効にすることはできますが、セキュリティ目的でHTTPSを有効にすることをお勧めします。

    手順
    1. セキュリティー証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。

    2. HTTPSを使用するようにキャプティブポータルを設定します。

  6. キャプティブポータルのインターフェイスを有効にします。

  7. キャプティブ ポータル認証に使用するアクセス プロファイルの名前を指定します。

  8. (オプション)特定のクライアントがキャプティブ ポータルをバイパスできるようにします。

    注:

    クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address mac-address して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

    注:

    オプションで、インターフェイスへのスコープを制限するために使用 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 できます。

  9. (オプション)クライアントが最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後の URL を設定します。

結果

設定の結果を表示します。

検証

キャプティブ ポータルが設定され、正常に動作していることを確認するには、次のタスクを実行します。

インターフェイスでキャプティブ ポータルが有効になっていることを確認する

目的

キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。

対処

動作モードコマンドを使用します show captive-portal interface interface-name detail

意味

出力では、キャプティブ ポータルがインターフェイス ge-0/0/10 で、再試行回数、静かな期間、CP セッション タイムアウト、サーバー タイムアウトのデフォルト設定で構成されていることを確認します。

キャプティブ ポータルが正しく動作していることを確認する

目的

キャプティブ ポータルがスイッチ上で動作していることを確認します。

対処

クライアントをインターフェイス ge-0/0/10 に接続します。クライアントから Web ブラウザーを開き、Web ページを要求します。デザインしたキャプティブ ポータル ログイン ページが表示されます。ログイン情報を入力し、RADIUSサーバーに対して認証されると、要求したページまたは設定した認証後のURLのいずれかがWebブラウザに表示されます。

トラブルシューティング

キャプティブ ポータルをトラブルシューティングするには、次のタスクを実行します。

キャプティブ ポータルのトラブルシューティング

問題

スイッチ上のキャプティブポータルインターフェイスに接続されたユーザーがWebページを要求しても、スイッチはキャプティブポータルログインページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS カウンターを調べることができます。これらのカウンターの 1 つ以上が増加していない場合、問題がどこにあるかを示します。例えば、クライアントがIPアドレスを取得できない場合、スイッチインターフェイスをチェックして、DHCPカウンターが増加しているかどうかを確認します。カウンターが増加している場合、DHCPパケットはスイッチによって受信されました。

キャプティブポータル認証の設定(CLI手順)

EXシリーズスイッチでキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定し、スイッチに接続されたユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を必要とするログイン ページが表示されます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

開始する前に、以下を確認してください。

このトピックでは、以下のタスクを行います。

キャプティブ ポータルのセキュア アクセスの設定

キャプティブ ポータルのセキュア アクセスを設定するには:

  1. スイッチで HTTP アクセスを有効にします。
  2. セキュリティー証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。
    注:

    HTTPS なしで HTTPS を有効にすることもできますが、セキュリティ上の理由から HTTPS を使用することをお勧めします。

  3. HTTPSを使用するようにキャプティブポータルを設定します。

キャプティブ ポータルのインターフェイスの有効化

キャプティブ ポータルのインターフェイスを有効にするには:

例えば、インターフェイスge-0/0/10でキャプティブポータルを有効にするには:

キャプティブ ポータル認証のバイパスの設定

特定のクライアントがキャプティブ ポータルをバイパスできるようにするには:

例えば、特定のクライアントがキャプティブポータルをバイパスできるようにするには:

注:

オプションで、インターフェイスへのスコープを制限するために使用 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 できます。

注:

クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address mac-address して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

スイッチでのキャプティブ ポータル認証ログイン ページの設計

スイッチでキャプティブ ポータル認証を設定して、すべての Web ブラウザー要求をログイン ページにリダイレクトできます。ユーザーはアクセスを許可される前にユーザー名とパスワードを入力する必要があります。認証に成功すると、ユーザーはネットワークへのアクセスが許可され、要求された元のページにリダイレクトされます。

Junos OSにはキャプティブポータルウィンドウ用のカスタマイズ可能なテンプレートが用意されており、キャプティブポータルログインページの外観を簡単に設計および変更できます。テンプレートのデザイン要素を変更して、キャプティブ ポータル ログイン ページの外観を変更したり、ページにインストラクションや情報を追加したりできます。キャプティブ ポータル ログイン ページのデザイン要素を変更することもできます。

キャプティブ ログイン ページの前に表示される最初の画面では、ユーザーが使用条件を読み取る必要があります。[同意する] ボタンをクリックすると、キャプティブ ポータル ログイン ページにアクセスできます。

図 1 は、キャプティブ ポータル ログイン ページの例を示しています。

図 1: キャプティブポータルログインページの例キャプティブポータルログインページの例

表 1 は、キャプティブ ポータル ログイン ページの設定可能な要素を要約しています。

表 1: キャプティブ ポータル ログイン ページの設定可能な要素
要素 CLI ステートメント 説明

フッターの背景色

footer-bgcolor hex-color

キャプティブ ポータル ログイン ページのフッターの背景色の HTML 16 進コードです。

フッター メッセージ

footer-message text-string

キャプティブ ポータル ログイン ページのフッターにテキストが表示されます。著作権情報、リンク、およびヘルプ手順、法律上の注意事項、プライバシポリシーなどの追加情報を含めることができます。

フッターに表示されるデフォルトのテキストは Copyright @2010, Juniper Networks Inc.

フッター テキストの色

footer- text-color color

フッターのテキストの色。デフォルトの色は白です。

フォーム ヘッダーの背景色

form-header-bgcolor hex-color

キャプティブ ポータル ログイン ページのフォーム 領域の上部にあるヘッダー バーの背景色の 16 進 HTML コードです。

フォーム ヘッダー メッセージ

form-header-message text-string

キャプティブ ポータル ログイン ページのヘッダーに表示されるテキスト。デフォルトのテキストは.Captive Portal User Authentication

フォーム ヘッダー テキストの色

form-header- text- color color

フォームヘッダーのテキストの色。デフォルトの色は黒です。

フォーム リセット ボタン ラベル

form-reset-label label-name

ボタンを Reset 使用すると、ユーザーはフォームのユーザー名とパスワードフィールドをクリアできます。

フォーム送信ボタンのラベル

form-submit-label label-name

このボタンを Login 使用して、ユーザーはログイン情報を送信できます。

ヘッダー背景色

header-bgcolor hex-color

キャプティブ ポータル ログイン ページヘッダーの背景色を設定する HTML 16 進コードです。

ヘッダーロゴ

header-logo filename

キャプティブ ポータル ログイン ページのヘッダーに表示するロゴの画像を含むファイルのファイル名。画像ファイルは GIF、JPEG、PNG 形式です。

ロゴイメージファイルをスイッチにアップロードできます。スイッチ上の /var/tmp ディレクトリにロゴをコピーします(コミット中、ファイルは永続的な場所に保存されます)。

ロゴ画像を指定しない場合は、ジュニパーネットワークスのロゴが表示されます。

ヘッダー メッセージ

header-message text-string

ページヘッダーに表示されるテキスト。デフォルトのテキストは.User Authentication

ヘッダー テキストカラー

header-text- colorcolor

ヘッダーのテキストの色。デフォルトの色は白です。

認証後の URL

post-authentication-url url

成功した認証にユーザーが誘導される URL。デフォルトでは、ユーザーは当初要求されたページに誘導されます。

キャプティブ ポータル ログイン ページを設計するには、次の手順にしたがっています。

  1. (オプション)ロゴイメージファイルをスイッチにアップロードします。
  2. キャプティブ ポータル ページに表示される背景色とテキストを指定するには、カスタム オプションを設定します。

これで、設定をコミットできます。

注:

指定しないカスタム オプションでは、デフォルト値が使用されます。

ELSをサポートするEXシリーズスイッチでのキャプティブポータル認証(CLI手順)の設定

注:

このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチで Junos OS を使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、 キャプティブ ポータル認証の設定(CLI 手順)を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。

スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定し、スイッチに接続されたユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を要求するログイン ページが表示されます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

開始する前に、以下を確認してください。

このトピックでは、以下のタスクを行います。

キャプティブ ポータルのセキュア アクセスの設定

キャプティブ ポータルのセキュア アクセスを設定するには:

  1. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。
    注:

    HTTPS ではなく HTTPS を有効にすることもできますが、セキュリティ上の目的で HTTPS を有効にすることをお勧めします。

  2. HTTPSを使用するようにキャプティブポータルを設定します。

キャプティブ ポータルのインターフェイスの有効化

キャプティブ ポータル認証でインターフェイスの使用を有効にするには:

キャプティブ ポータル認証のバイパスの設定

特定のクライアントにキャプティブポータル認証をバイパスさせることができます。

注:

オプションで、インターフェイスへのスコープを制限するために使用 set switch-options authentication-whitelist mac-address interface interface-name できます。

注:

クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address session-mac-addr して、キャプティブポータル認証からMACアドレスをクリアする必要があります。それ以外の場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

例:ELSをサポートするEXシリーズスイッチでキャプティブポータル認証を設定する

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EX シリーズ スイッチで Junos OS を使用します。ご使用のスイッチが ELS をサポートしていないソフトウェアを実行している場合は 、 例: EXシリーズスイッチでキャプティブポータル認証を設定する。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。

スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定して、ユーザーがユーザー名とパスワードを入力する必要があるログインページにWebブラウザリクエストをリダイレクトできます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。

この例では、EXシリーズスイッチ上でキャプティブポータルを設定する方法を説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

  • EX シリーズ スイッチの Junos OS リリース 13.2X50 以降

  • ELS をサポートする EX シリーズ スイッチ

開始する前に、以下を確認してください。

概要とトポロジー

この例では、インターフェイス上でキャプティブ ポータルを有効にするためにスイッチで必要な設定を示しています。キャプティブ ポータル インターフェイスに接続されたプリンターが LAN にアクセスできるようにするには、MAC アドレスを認証許可リストに追加し、VLAN vlan1 に割り当てます。このリストの MAC アドレスは、キャプティブ ポータル認証なしでインターフェイス上でのアクセスが許可されます。

トポロジ

この例のトポロジーは、RADIUS認証サーバーに接続された1つのEXシリーズスイッチで構成されています。スイッチ上の 1 つのインターフェイスがキャプティブ ポータル用に設定されています。この例では、インターフェイスが複数のサプリカントモードで設定されています。

設定

スイッチでキャプティブ ポータルを設定するには:

CLI クイックコンフィギュレーション

[Requirements](要件)セクションでタスクを完了した後にスイッチ上でキャプティブ ポータルを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

手順
  1. スイッチへの Web アクセス用のセキュア なチャネルを作成するには、HTTPS のキャプティブ ポータルを設定します。

    手順
    1. セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。

      注:

      HTTPS ではなく HTTPS を有効にすることもできますが、セキュリティ目的で HTTPS を有効にすることをお勧めします。

    2. HTTPSを使用するようにキャプティブポータルを設定します。

  2. キャプティブポータルのインターフェイスを有効にします。

  3. (オプション)特定のクライアントがキャプティブ ポータル認証をバイパスできるようにします。

    注:

    クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address mac-address して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。

    注:

    オプションで、インターフェイスへのスコープを制限するために使用 set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 できます。

  4. (オプション)クライアントが最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後の URL を設定します。

結果

設定の結果を表示します。

検証

キャプティブ ポータル認証が構成され、正常に動作していることを確認するには、次のタスクを実行します。

インターフェイスでキャプティブ ポータルが有効になっていることを確認する

目的

キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。

対処

動作モードコマンドを使用します show captive-portal interface interface-name detail

意味

出力では、キャプティブポータルがインターフェイス上で、再試行回数、静かな期間、CPセッションタイムアウト、サーバータイムアウトのデフォルト設定で構成されていることを確認します ge-0/0/10

キャプティブ ポータルが正しく動作していることを確認する

目的

キャプティブ ポータルがスイッチ上で動作していることを確認します。

対処

クライアントをインターフェイス ge-0/0/10 に接続します。クライアントから Web ブラウザーを開き、Web ページを要求します。デザインしたキャプティブ ポータル ログイン ページが表示されます。ログイン情報を入力し、RADIUSサーバーに対して認証されると、要求したページまたは設定した認証後のURLのいずれかがWebブラウザに表示されます。

トラブルシューティング

キャプティブ ポータルをトラブルシューティングするには、次のタスクを実行します。

キャプティブ ポータルのトラブルシューティング

問題

スイッチ上のキャプティブポータルインターフェイスに接続されたユーザーがWebページを要求しても、スイッチはキャプティブポータルログインページを返しません。

ソリューション

ARP、DHCP、HTTPS、DNS カウンターを調べることができます。これらのカウンターの 1 つ以上が増加していない場合、問題がどこにあるかを示します。例えば、クライアントがIPアドレスを取得できない場合、スイッチインターフェイスをチェックして、DHCPカウンターが増加しているかどうかを確認できます。カウンターが増加している場合、DHCPパケットはスイッチによって受信されました。