AWCプラグイン編 / 各種操作 / 認証 / キャプティブポータルによるWeb認証


RADIUSサーバーの設定
ダイナミックVLANとの併用


Web認証は、Webブラウザーを使用して、無線クライアントの認証を行う仕組みです。
Web認証を有効にすると、認証が成立するまでAWCプラグインと無線APはARP、DHCP、DNSを除くすべてのトラフィックをブロックします。無線クライアントからのトラフィックを監視し、無線クライアントが送信した最初のHTTP/HTTPSパケットを検出すると、その無線クライアントからのHTTP/HTTPS通信をキャプティブポータルと呼ばれる認証ページにリダイレクトします。

認証ページで入力するユーザー情報は、RADIUSサーバーに登録されたものと照合されます。ネットワークにアクセスする前に、ユーザーは認証ページで正当なユーザー名とパスワードを入力し、使用条件に同意する旨のチェックボックスにチェックを入れて「Connect」ボタンをクリックすることで、ネットワーク上のリソースにアクセスできるようになります。
認証に成功すると次のような画面が表示されます。

キャプティブポータルの認証後は、無線クライアントは他のアクセスポイントに再認証なしでローミングできます。

IEEE 802.11の認証と暗号化は、IEEE 802.11のレイヤーで処理されますが、Web認証はもっと高いレイヤーで実行されます。
例えば、無線クライアントがアソシエートしているアクセスポイントのWireless NetworkがWPAを使うように設定されていれば、WPAの認証と暗号化は無線クライアントからのデータ送信の前に行われます。WPAネゴシエーションが成功すると、無線クライアントはWPAによって暗号化された経路でARP/DHCPを送信します。それからHTTPパケットが送信され捕らえられると、キャプティブポータルが表示されます。
Note
Web認証は、シングルバンド/デュアルバンドAT-TQシリーズでのみ有効です。
Note
認証ページを編集することはできません。
Note
WDSが設定されている無線インターフェース上でWeb認証を使用しないでください。

Web認証を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのWeb認証を有効にし、RADIUSサーバーとシークレットを指定してください。


RADIUSサーバーの設定

無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。

表 1:RADIUSサーバーに設定するRADIUSクライアント情報
RADIUSクライアントのIPアドレス 無線APのIPアドレス
 (例)192.168.1.230
シークレット 無線APがRADIUSサーバーを認証するためのパスワード
 (例)"himitsu"

Note
認証処理は無線APが行いますので、認証を行うすべての無線APをRADIUSサーバーに登録する必要があります。
Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

Web認証を使用する場合は、ユーザー名、パスワードを登録します。

表 2:Web認証 属性
属性名
属性値
備考
User-Name ユーザー名 認証対象のユーザー名(例:"user1", "user2")
User-Password パスワード (PEAP(EAP-MSCHAPv2)、TTLS使用時)
ユーザー名に対応するパスワード(例:"passwd1", "passwd2")
EAP-TLS使用時は不要です(別途、ユーザー電子証明書の用意が必要です)


ダイナミックVLANとの併用

Web認証単独では、ダイナミックVLANは行いません。ダイナミックVLANを利用する場合は、Web認証に加え、IEEE 802.11の認証方式としてWPA Enterprise認証を併用する必要があります。

無線クライアントの接続先VLANは、IEEE 802.11の認証または接続の際に決定したVLANを使用します。
すなわち、WPA EnterpriseによるダイナミックVLANを利用する場合はそのVLANが、ダイナミックVLANを利用しない場合はVAPに指定されたVLANが、そのまま適用されます。
Note
Web認証またはMACアドレス認証とWPA Enterprise認証を併用した場合は、「MACアドレス認証」→「WPA Enterprise認証」→「Web認証」の順で認証処理が行われます。



(C) 2017-2019 アライドテレシスホールディングス株式会社

PN: 613-002428 Rev.M