概要
このドキュメントでは、HTTPS 経由での Web 認証リダイレクションに関する設定について説明します。これは、Cisco Unified Wireless Network(CUWN)リリース 8.0 で導入された機能です。
前提条件
要件
次の項目に関する知識があることを推奨しています。
- ワイヤレス LAN コントローラ(WLC)Web 認証の基本知識
- Web 認証用の WLC の設定方法
使用するコンポーネント
このドキュメントの情報は、CUWN ファームウェアのバージョン 8.0 が稼働する Cisco 5500 シリーズ WLC に基づいています。
注:このドキュメントに記載されている設定と Web 認証の説明は、すべての WLC モデルと 8.0.100.0 以降の CUWN イメージに適用されます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
Web 認証はレイヤ 3 セキュリティ機能です。Web 認証は、ワイヤレスクライアントが有効なユーザ名とパスワードを提供するまで、特定のクライアントからの IP/データトラフィック(DHCP 関連パケットと DNS 関連パケットを除く)をすべてブロックします。一般的に、ゲストアクセスネットワークを導入したいと考えるお客様によって使用されます。コントローラがクライアントから最初の TCP HTTP(ポート 80)GET パケットを代行受信すると、Web 認証が開始されます。
クライアントの Web ブラウザがそこまで到達するには、クライアントがまず IP アドレスを取得し、Web ブラウザのために URL の IP アドレスへの変換(DNS 解決)を行う必要があります。これによって、Web ブラウザが HTTP GET を送信する IP アドレスを認識できます。クライアントが最初の HTTP GET を TCP ポート 80 に送信すると、コントローラは処理のためにそのクライアントを https:<virtual IP>/login.html にリダイレクトします。このプロセスは最終的にログイン Web ページを起動します。
CUWN 8.0 より前のリリース(つまり 7.6 までのリリース)では、ワイヤレスクライアントが HTTPS ページ(TCP 443)を表示しても、そのページは Web 認証ポータルにリダイレクトされません。HTTPS を使用し始める Web サイトは増加しているため、この機能は CUWN 8.0 以降のリリースに搭載されています。この機能が搭載されているおかげで、ワイヤレスクライアントが https://<website> を試行すると、Web 認証ログインページにリダイレクトされます。この機能は、アプリケーションで(ブラウザではなく)HTTP リクエストを送信するデバイスでも非常に役立ちます。
証明書エラー
HTTPS リダイレクト機能を設定すると、「信頼された証明機関によって証明書が発行されていません(certificate is not issued by a trusted certificate authority)」 という警告メッセージがブラウザに表示されます。図 1 および図 2 に示すように、このメッセージはコントローラに有効なルート証明書またはチェーン証明書がある場合でも表示されます。 コントローラにインストールした証明書が、仮想 IP アドレスに対して発行されているためです。
注:HTTP リダイレクトを試行する場合、この証明書が WLC にあれば、この証明書の警告エラーは表示されません。 ただし、HTTPS リダイレクトの場合はこのエラーは表示されます
クライアントが HTTPS://<web-site> を試行すると、ブラウザは DNS によって解決されたサイトの IP アドレスに対して発行された証明書を要求します。しかし、受け取った証明書が WLC の内部 Web サーバ(仮想 IP アドレス)に対して発行された証明書の場合、ブラウザに警告が表示されます。これは単に、HTTPS の動作方法が原因であり、Web 認証リダイレクトを機能させるために HTTPS セッションを代行受信しようとすると常に発生します。
別のブラウザで異なる証明書エラーメッセージが表示される場合がありますが、これらはすべて前述の同じ問題に関連しています。
図 1:
以下は、Chrome でエラーが表示される例です。
図 2
設定
HTTPS リダイレクト用の WLC の設定
この設定は、無線 LAN(WLAN)でレイヤ 3 Web 認証セキュリティが設定されていることを前提としています。この Web 認証 WLAN で HTTPS リダイレクトを有効または無効にするには、次の手順を実行します。
(WLC)>config wlan security web-auth enable 10
(WLC)>config network web-auth https-redirect enable
WARNING! - You have chosen to enable https-redirect.
This might impact performance significantly
設定例に示すように、これは HTTPS リダイレクトのスループットに影響を与える可能性がありますが、HTTP リダイレクトには影響しません。
Web 認証 WLAN の詳細と設定については、『WLAN コントローラでの Web 認証』を参照してください。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
アウトプット インタープリタ ツール(登録ユーザ専用)は、特定の show コマンドをサポートしています。show コマンドの出力の分析を表示するには、Output Interpreter Tool を使用します。
(WLC)>show network summary
Web Auth Secure Web ....................... Enable
Web Auth Secure Redirection ............... Enable
- これらのデバッグを有効にします:
(WLC) debug client
(WLC)> debug web-auth redirect enable
- デバッグを確認します。
(WLC) >show debug
MAC Addr 1.................................. 24:77:03:52:56:80
Debug Flags Enabled:
webauth redirect enabled.
- クライアントを Web 認証に対応した SSID に関連付けます。
- これらのデバッグを探します。
*webauthRedirect: Jan 16 03:35:35.678: 24:77:3:52:56:80- received connection.
client socket = 9
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- trying to read on socket 95
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- calling parser with bytes = 204
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- bytes parsed = 204
*webauthRedirect: Jan 16 03:35:35.679: captive-bypass detection enabled,
checking for wispr in HTTP GET, client mac=24:77:3:52:56:80
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Preparing redirect
URL according to configured Web-Auth type
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- got the hostName
for virtual IP(wirelessguest.test.com)
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Checking custom-web
config for WLAN ID:10
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Global status is
enabled, checking on web-auth type
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Web-auth type Customized,
using URL:https://wirelessguest.test.com/fs/customwebauth/login.html
注:HTTPS リダイレクトを機能させるには、Secure Web(config network secureweb enable/disable)または web-auth secure(config network web-auth secureweb enable/disable)のいずれかが有効になっていることを確認します。また、HTTPS 経由のリダイレクトを使用すると、スループットがわずかに低下する可能性があることに注意してください。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。