|
◆ WLC - Web認証の設定 - HTTPSのインターセプト
Cisco WLCでは、デフォルトでHTTPトラフィックをインターセプトしてWeb認証を行うことができますが
HTTPSトラフィックをインターセプトしてWeb認証を行うことができません。つまり例えば以下のURLを
指定してブラウザを開くと、Web認証が正しく設定されていてもWeb認証画面にリダイレクトされません。
https://www.google.co.jp/
WLCにCLIでアクセスして、show network summaryコマンドで現在の状態を確認することができます。
以下のとおり、Web認証のRedirect Portsが 80 だけであることが分かります。また、Web認証における
Secure Redirectionが Disable であることが分かります。
HTTPSトラフィックをインターセプトしてWeb認証画面を無線LAN PCで表示させるためには、以下の
2つのコマンドを入力する必要があります。このコマンドを設定する上で注意すべき点は2点あります。
@ これらのコマンドは再起動後に有効化されるでの、再起動が必要になります。
A HTTPSのインターセプトはWLCにとって負荷なので大規模ネットワークでは適用してはいけません。
※ 大規模ネットワークでもゲスト用としてWeb認証を提供するWLAN端末が少ないのなら問題ないです。
設定変更後に再起動して、show network summary で確認すると以下のステータスを確認できます。
これによりHTTPSのインターセプトが可能となります。なお、このHTTPSのインターセプトはWLCの
OSが古い場合、HTTPSのインターセプトに対応していない場合もあるので、実装前に確認しましょう。
◆ Web認証のシーケンス
Web認証はキャプティブポータル認証とも呼ばれています。キャプティブポータル認証シーケンスは以下。
@ 無線LANのアソシエーション処理を実施
A アソシエーションに成功するとDHCPでIPアドレス配布の場合、無線LANクライアントにIPアドレス付与
B 無線LANクライアントがWebブラウザを起動して、HTTP or HTTPSパケットをAPに送出
C HTTP/HTTPSパケットを受信するとポータルページへ移動を促すパケット(リダイレクトパケット)を返信
D 無線LANクライアントは、リダイレクトパケットに従ってポータルページへアクセス
E ポータルページ上でユーザ名、パスワードを入力
F 認証が成功した場合、無線LANクライアントのネットワークアクセスを許可 or 拒否( 拒否時はBに戻る )
|
◇ Web認証がうまくいない時に確認する点
@ Web認証前に、無線LAN端末にIPアドレスや
デフォルトゲートウェイ、DNSサーバのIPアドレス
が割り当てられているかどうかを確認しましょう。
A Web認証前に無線LAN端末に割り当てられた
DNSサーバが、インターセプトしたHTTP/HTTPS
トラフィックのFQDNを名前解決できるかどうかを
確認しましょう。例えば無線LAN端末のブラウザで
https://www.yahoo.co.jp/ と入力したとします。
|
|
その www.yahoo.co.jp は、無線LAN端末に割り当てられたDNSサーバで名前解決できる必要があります。
もしブラウザでFQDNではなくIPアドレスを入力してWeb認証が成功すればこれが問題です。
|