Cisco Wireless LAN - Web Authentication - HTTPS



 ◆ WLC - Web認証の設定 - HTTPSのインターセプト

 Cisco WLCでは、デフォルトでHTTPトラフィックをインターセプトしてWeb認証を行うことができますが
 HTTPSトラフィックをインターセプトしてWeb認証を行うことができません。つまり例えば以下のURLを
 指定してブラウザを開くと、Web認証が正しく設定されていてもWeb認証画面にリダイレクトされません。

 https://www.google.co.jp/

 WLCにCLIでアクセスして、show network summaryコマンドで現在の状態を確認することができます。
 以下のとおり、Web認証のRedirect Portsが
80 だけであることが分かります。また、Web認証における
 Secure Redirectionが Disable であることが分かります。

 


 HTTPSトラフィックをインターセプトしてWeb認証画面を無線LAN PCで表示させるためには、以下の
 2つのコマンドを入力する必要があります。このコマンドを設定する上で注意すべき点は2点あります。

 @ これらのコマンドは再起動後に有効化されるでの、再起動が必要になります。
 A HTTPSのインターセプトは
WLCにとって負荷なので大規模ネットワークでは適用してはいけません。
 ※ 大規模ネットワークでもゲスト用としてWeb認証を提供するWLAN端末が少ないのなら問題ないです。

 



 設定変更後に再起動して、show network summary で確認すると以下のステータスを確認できます。
 これによりHTTPSのインターセプトが可能となります。なお、このHTTPSのインターセプトはWLCの
 OSが古い場合、HTTPSのインターセプトに対応していない場合もあるので、実装前に確認しましょう。

 


 ◆ Web認証のシーケンス

 Web認証はキャプティブポータル認証とも呼ばれています。キャプティブポータル認証シーケンスは以下。

 @ 無線LANのアソシエーション処理を実施
 A アソシエーションに成功するとDHCPでIPアドレス配布の場合、無線LANクライアントにIPアドレス付与
 B 無線LANクライアントがWebブラウザを起動して、HTTP or HTTPSパケットをAPに送出
 C HTTP/HTTPSパケットを受信するとポータルページへ移動を促すパケット(リダイレクトパケット)を返信
 D 無線LANクライアントは、リダイレクトパケットに従ってポータルページへアクセス
 E ポータルページ上でユーザ名、パスワードを入力
 F 認証が成功した場合、無線LANクライアントのネットワークアクセスを許可 or 拒否( 拒否時はBに戻る )



  

 ◇ Web認証がうまくいない時に確認する点

 @ Web認証前に、無線LAN端末にIPアドレスや
 デフォルトゲートウェイ、DNSサーバのIPアドレス
 が割り当てられているかどうかを確認しましょう。

 A Web認証前に無線LAN端末に割り当てられた
 DNSサーバが、インターセプトしたHTTP/HTTPS
 トラフィックのFQDNを名前解決できるかどうかを
 確認しましょう。例えば無線LAN端末のブラウザで
 https://www.yahoo.co.jp/ と入力したとします。


 その www.yahoo.co.jp は、無線LAN端末に割り当てられたDNSサーバで名前解決できる必要があります。
 もしブラウザでFQDNではなくIPアドレスを入力してWeb認証が成功すればこれが問題です。




Cisco無線LAN - WLC 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.