認証プロキシ機能を使用した場合、ユーザはネットワークにログインするか、HTTP を使用してインターネットにアクセスできます。ユーザのアクセス プロファイルは RADIUS、または TACACS+ サーバから自動的に取得され、適用されます。そのユーザ プロファイルは、認証済みユーザからのアクティブなトラフィックが存在する間だけ有効です。
この設定例は、認証プロキシを使用してブラウザの認証が行われるまで、内部ネットワーク上の(40.31.1.47 にある)ホスト デバイスからインターネット上のすべてのデバイスへのトラフィックをブロックします。サーバから渡されたアクセスコントロールリスト(ACL)(permit tcp|ip|icmp any any)は、許可後にダイナミックエントリをアクセスリスト116に追加し、ホストPCからインターネットへのアクセスを一時的に許可します。
認証プロキシの詳細については、認証プロキシの設定を参照してください。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco IOS® ソフトウェア リリース 12.2(15)T
Cisco 7206 ルータ
注:ip auth-proxyコマンドは、Cisco IOSファイアウォールソフトウェアリリース12.0.5.Tで導入されました。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは、次のネットワーク セットアップを使用します。
このドキュメントでは、次の設定を使用しています。
7206 ルータ |
---|
version 12.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname psy-rtr-2 ! logging queue-limit 100 ! username admin password 7 <deleted> aaa new-model !--- Enable AAA. aaa authentication login default group radius none !--- Use RADIUS to authenticate users. aaa authorization exec default group radius none aaa authorization auth-proxy default group radius !--- Utilize RADIUS for auth-proxy authorization. aaa session-id common ip subnet-zero ! ip cef ! ip auth-proxy auth-proxy-banner !--- Displays the name of the firewall router !--- in the Authentication Proxy login page. ip auth-proxy auth-cache-time 10 !--- Sets the global Authentication Proxy idle !--- timeout value in minutes. ip auth-proxy name restrict_pc http !--- Associates connections that initiate HTTP traffic with !--- the "restrict_pc" Authentication Proxy name. ip audit notify log ip audit po max-events 100 ! no voice hpi capture buffer no voice hpi capture destination ! mta receive maximum-recipients 0 ! ! interface FastEthernet0/0 ip address 192.168.10.10 255.255.255.0 ip access-group 116 in !--- Apply access list 116 in the inbound direction. ip auth-proxy restrict_pc !--- Apply the Authentication Proxy list !--- "restrict_pc" configured earlier. duplex full ! interface FastEthernet4/0 ip address 10.89.129.195 255.255.255.240 duplex full ! ip classless ip http server !--- Enables the HTTP server on the router. !--- The Authentication Proxy uses the HTTP server to communicate !--- with the client for user authentication. ip http authentication aaa !--- Sets the HTTP server authentication method to AAA. ! access-list 116 permit tcp host 192.168.10.200 host 192.168.10.10 eq www !--- Permit HTTP traffic (from the PC) to the router. access-list 116 deny tcp host 192.168.10.200 any access-list 116 deny udp host 192.168.10.200 any access-list 116 deny icmp host 192.168.10.200 any !--- Deny TCP, UDP, and ICMP traffic from the client by default. access-list 116 permit tcp 192.168.10.0 0.0.0.255 any access-list 116 permit udp 192.168.10.0 0.0.0.255 any access-list 116 permit icmp 192.168.10.0 0.0.0.255 any !--- Permit TCP, UDP, and ICMP traffic from other !--- devices in the 192.168.10.0/24 network. ! radius-server host 192.168.10.103 auth-port 1645 acct-port 1646 key 7 <deleted> !--- Specify the IP address of the RADIUS !--- server along with the key. radius-server authorization permit missing Service-Type call rsvp-sync ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! end |
このセクションでは、PC から取得したスクリーン キャプチャを使用して、認証手順を説明します。ユーザは、次のウィンドウで認証用のユーザ名とパスワードを入力し、[OK] をクリックします。
認証が成功すると、次のウィンドウが表示されます。
適用されるプロキシ ACL を使って、RADIUS サーバを設定する必要があります。この例では、次の ACL エントリが適用されます。これにより、PC がデバイスに接続できるようになります。
permit tcp host 192.168.10.200 any permit udp host 192.168.10.200 any permit icmp host 192.168.10.200 any
この Cisco ACS ウィンドウは、プロキシ ACL を入力する場所を示しています。
注:RADIUS/TACACS+サーバの設定方法の詳細については、『認証プロキシの設定』を参照してください。
この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を紹介しています。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
show ip access-lists:ファイアウォールに設定された標準および拡張 ACL を表示します(ダイナミック ACL エントリを含む)。 ダイナミック ACL エントリは、ユーザが認証されるかどうかに応じて、定期的に追加および削除されます。
show ip auth-proxy cache:認証プロキシ エントリまたは実行中の認証プロキシ設定を表示します。cache キーワードを使って、ホスト IP アドレス、送信元ポート番号、認証プロキシのタイムアウト値、および認証プロキシを使用する接続の状態を一覧表示します。認証プロキシの状態が HTTP_ESTAB の場合、ユーザ認証は成功です。
ここでは、設定のトラブルシューティングに使用できる情報を示します。
これらのコマンド、およびその他のトラブルシューティング情報については、認証プロキシのトラブルシューティングを参照してください。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
14-Jan-2008 |
初版 |