アウトバウンドのプロキシ認証 - Cisco IOS Firewall や NAT のない設定

ダウンロードオプション

PDF (252.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (164.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (225.2 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2008 年 1 月 14 日

Document ID:13884

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

表記法

設定

ネットワーク図

コンフィギュレーション

PC での認証

確認

トラブルシュート

概要

認証プロキシ機能を使用した場合、ユーザはネットワークにログインするか、HTTP を使用してインターネットにアクセスできます。ユーザのアクセスプロファイルは RADIUS、または TACACS+ サーバから自動的に取得され、適用されます。そのユーザプロファイルは、認証済みユーザからのアクティブなトラフィックが存在する間だけ有効です。

この設定例は、認証プロキシを使用してブラウザの認証が行われるまで、内部ネットワーク上の（40.31.1.47 にある）ホストデバイスからインターネット上のすべてのデバイスへのトラフィックをブロックします。サーバから渡されたアクセスコントロールリスト(ACL)(permit tcp|ip|icmp any any)は、許可後にダイナミックエントリをアクセスリスト116に追加し、ホストPCからインターネットへのアクセスを一時的に許可します。

認証プロキシの詳細については、認証プロキシの設定を参照してください。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

Cisco IOS® ソフトウェアリリース 12.2(15)T
Cisco 7206 ルータ

注：ip auth-proxyコマンドは、Cisco IOSファイアウォールソフトウェアリリース12.0.5.Tで導入されました。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してください。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

コンフィギュレーション

このドキュメントでは、次の設定を使用しています。

7206 ルータ
version 12.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname psy-rtr-2 ! logging queue-limit 100 ! username admin password 7 <deleted> aaa new-model !--- Enable AAA. aaa authentication login default group radius none !--- Use RADIUS to authenticate users. aaa authorization exec default group radius none aaa authorization auth-proxy default group radius !--- Utilize RADIUS for auth-proxy authorization. aaa session-id common ip subnet-zero ! ip cef ! ip auth-proxy auth-proxy-banner !--- Displays the name of the firewall router !--- in the Authentication Proxy login page. ip auth-proxy auth-cache-time 10 !--- Sets the global Authentication Proxy idle !--- timeout value in minutes. ip auth-proxy name restrict_pc http !--- Associates connections that initiate HTTP traffic with !--- the "restrict_pc" Authentication Proxy name. ip audit notify log ip audit po max-events 100 ! no voice hpi capture buffer no voice hpi capture destination ! mta receive maximum-recipients 0 ! ! interface FastEthernet0/0 ip address 192.168.10.10 255.255.255.0 ip access-group 116 in !--- Apply access list 116 in the inbound direction. ip auth-proxy restrict_pc !--- Apply the Authentication Proxy list !--- "restrict_pc" configured earlier. duplex full ! interface FastEthernet4/0 ip address 10.89.129.195 255.255.255.240 duplex full ! ip classless ip http server !--- Enables the HTTP server on the router. !--- The Authentication Proxy uses the HTTP server to communicate !--- with the client for user authentication. ip http authentication aaa !--- Sets the HTTP server authentication method to AAA. ! access-list 116 permit tcp host 192.168.10.200 host 192.168.10.10 eq www !--- Permit HTTP traffic (from the PC) to the router. access-list 116 deny tcp host 192.168.10.200 any access-list 116 deny udp host 192.168.10.200 any access-list 116 deny icmp host 192.168.10.200 any !--- Deny TCP, UDP, and ICMP traffic from the client by default. access-list 116 permit tcp 192.168.10.0 0.0.0.255 any access-list 116 permit udp 192.168.10.0 0.0.0.255 any access-list 116 permit icmp 192.168.10.0 0.0.0.255 any !--- Permit TCP, UDP, and ICMP traffic from other !--- devices in the 192.168.10.0/24 network. ! radius-server host 192.168.10.103 auth-port 1645 acct-port 1646 key 7 <deleted> !--- Specify the IP address of the RADIUS !--- server along with the key. radius-server authorization permit missing Service-Type call rsvp-sync ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! end

7206 ルータ

version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname psy-rtr-2
!
logging queue-limit 100
!
username admin password 7 <deleted>
aaa new-model

!--- Enable AAA.

aaa authentication login default group radius none

!--- Use RADIUS to authenticate users.

aaa authorization exec default group radius none
aaa authorization auth-proxy default group radius

!--- Utilize RADIUS for auth-proxy authorization.

aaa session-id common
ip subnet-zero
!
ip cef
!
ip auth-proxy auth-proxy-banner

!--- Displays the name of the firewall router !--- in the Authentication Proxy login page.

ip auth-proxy auth-cache-time 10

!--- Sets the global Authentication Proxy idle !--- timeout value in minutes.

ip auth-proxy name restrict_pc http

!--- Associates connections that initiate HTTP traffic with !--- the "restrict_pc" Authentication Proxy name.

ip audit notify log
ip audit po max-events 100
!
no voice hpi capture buffer
no voice hpi capture destination
!
mta receive maximum-recipients 0
!
!
interface FastEthernet0/0
ip address 192.168.10.10 255.255.255.0
ip access-group 116 in

!--- Apply access list 116 in the inbound direction.

ip auth-proxy restrict_pc

!--- Apply the Authentication Proxy list !--- "restrict_pc" configured earlier.

duplex full
!
interface FastEthernet4/0
ip address 10.89.129.195 255.255.255.240
duplex full
!
ip classless
ip http server

!--- Enables the HTTP server on the router.

!--- The Authentication Proxy uses the HTTP server to communicate !--- with the client for user authentication.

ip http authentication aaa

!--- Sets the HTTP server authentication method to AAA.

!
access-list 116 permit tcp host 192.168.10.200 host 192.168.10.10 eq www

!--- Permit HTTP traffic (from the PC) to the router.

access-list 116 deny tcp host 192.168.10.200 any
access-list 116 deny udp host 192.168.10.200 any
access-list 116 deny icmp host 192.168.10.200 any

!--- Deny TCP, UDP, and ICMP traffic from the client by default.

access-list 116 permit tcp 192.168.10.0 0.0.0.255 any
access-list 116 permit udp 192.168.10.0 0.0.0.255 any
access-list 116 permit icmp 192.168.10.0 0.0.0.255 any

!--- Permit TCP, UDP, and ICMP traffic from other !--- devices in the 192.168.10.0/24 network.

!
radius-server host 192.168.10.103 auth-port 1645 acct-port 1646 key 7 <deleted>

!--- Specify the IP address of the RADIUS !--- server along with the key.

radius-server authorization permit missing Service-Type
call rsvp-sync
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
end

PC での認証

このセクションでは、PC から取得したスクリーンキャプチャを使用して、認証手順を説明します。ユーザは、次のウィンドウで認証用のユーザ名とパスワードを入力し、[OK] をクリックします。

認証が成功すると、次のウィンドウが表示されます。

適用されるプロキシ ACL を使って、RADIUS サーバを設定する必要があります。この例では、次の ACL エントリが適用されます。これにより、PC がデバイスに接続できるようになります。

permit tcp host 192.168.10.200 any
permit udp host 192.168.10.200 any
permit icmp host 192.168.10.200 any

この Cisco ACS ウィンドウは、プロキシ ACL を入力する場所を示しています。

注：RADIUS/TACACS+サーバの設定方法の詳細については、『認証プロキシの設定』を参照してください。

確認

この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を紹介しています。

アウトプットインタープリタツール（登録ユーザ専用）（OIT）は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

show ip access-lists：ファイアウォールに設定された標準および拡張 ACL を表示します（ダイナミック ACL エントリを含む）。 ダイナミック ACL エントリは、ユーザが認証されるかどうかに応じて、定期的に追加および削除されます。
show ip auth-proxy cache：認証プロキシエントリまたは実行中の認証プロキシ設定を表示します。cache キーワードを使って、ホスト IP アドレス、送信元ポート番号、認証プロキシのタイムアウト値、および認証プロキシを使用する接続の状態を一覧表示します。認証プロキシの状態が HTTP_ESTAB の場合、ユーザ認証は成功です。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

これらのコマンド、およびその他のトラブルシューティング情報については、認証プロキシのトラブルシューティングを参照してください。

注：debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

アウトバウンドのプロキシ認証 - Cisco IOS Firewall や NAT のない設定

ダウンロードオプション

偏向のない言語

翻訳について

内容

概要

前提条件

要件

使用するコンポーネント

表記法

設定

ネットワーク図

コンフィギュレーション

PC での認証

確認

トラブルシュート

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

アウトバウンドのプロキシ認証 - Cisco IOS Firewall や NAT のない設定

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション