AWCプラグイン編 / 各種操作 / 認証 / キャプティブポータルによるWeb認証
Web認証は、Webブラウザーを使用して、無線クライアントの認証を行う仕組みです。
Web認証を有効にすると、認証が成立するまでAWCプラグインと無線APはARP、DHCP、DNSを除くすべてのトラフィックをブロックします。無線クライアントからのトラフィックを監視し、無線クライアントが送信した最初のHTTP/HTTPSパケットを検出すると、その無線クライアントからのHTTP/HTTPS通信をキャプティブポータルと呼ばれるページにリダイレクトします。
Web認証は、シングルバンド/デュアルバンド/トライバンドAT-TQシリーズ(通常ファームウェア)(AT-TQ2450/3200/3400/3600/4400/4600/4400e/5403/5403e、AT-TQm5403)、デュアルバンドAT-TQシリーズ(SDN/OpenFlow対応版ファームウェア)(AT-TQ4400/4600)でのみ有効です。
AWCプラグインで提供可能なキャプティブポータルには、2つの種類があります。
- 外部RADIUS認証
事前に利用者に通知されたユーザー名とパスワードによりRADIUS認証を行います。次の画面はAT-TQ5403の例です。
認証ページで入力するユーザー情報は、RADIUSサーバーに登録されたものと照合されます。ネットワークにアクセスする前に、ユーザーは認証ページで正当なユーザー名とパスワードを入力し、またシングルバンド/デュアルバンドAT-TQシリーズでは使用条件に同意する旨のチェックボックスにチェックを入れて、「Connect」ボタンをクリックすることで、ネットワーク上のリソースにアクセスできるようになります。
- クリックスルー
画面に表示される利用規約(クリックスルー契約)に同意することで認証を行い、ネットワーク接続を行います。
事前にユーザー名/パスワードといったユーザー登録を必要とせず、例えば、不法行為や中傷などを目的とした無線ネットワークの利用の禁止や、MACアドレスの記録などの一般的な事項を含む契約に同意を得ることで、不特定多数の利用者にネットワークを開放する場合に有効です。次の画面はAT-TQ5403の例です。
クリックスルーによるWeb認証は、トライバンド/デュアルバンド(IEEE 11ac対応)AT-TQシリーズ(AT-TQ4400/4600/4400e/5403/5403e、AT-TQm5403)でのみ有効です。シングルバンド/デュアルバンド(IEEE 11n対応)AT-TQシリーズ(AT-TQ2450/3200/3400/3600)、またはデュアルバンドAT-TQシリーズ(SDN/OpenFlow対応)(AT-TQ4400/4600)では、クリックスルーは未サポートとなります。
認証に成功すると、初めに指定したURL(セッション維持)、または、VAP設定にて指定した固定URLにリダイレクトすることができます。また、リダイレクトを行わない場合は、認証成功を示す画面が表示されます。次の画面はAT-TQ5403の例です。
キャプティブポータルの認証後、他の無線APにローミングした際は、再度認証が必要となります。
IEEE 802.11の認証と暗号化は、IEEE 802.11のレイヤーで処理されますが、Web認証はもっと高いレイヤーで実行されます。
例えば、無線クライアントがアソシエートしているアクセスポイントのWireless NetworkがWPAを使うように設定されていれば、WPAの認証と暗号化は無線クライアントからのデータ送信の前に行われます。WPAネゴシエーションが成功すると、無線クライアントはWPAによって暗号化された経路でARP/DHCPを送信します。それからHTTPパケットが送信され捕らえられると、キャプティブポータルが表示されます。
シングルバンド/デュアルバンドAT-TQシリーズ(AT-TQ2450/3200/3400/3600/4400/4600/4400e)では、認証ページの利用規約の文言は変更できません。
トライバンドAT-TQシリーズ(AT-TQ5403/5403e、AT-TQm5403)では、クリックスルーページの利用規約の文言は、適用する無線AP個別のWeb設定画面にて設定することができます。
WDSが設定されている無線インターフェース上でWeb認証を使用しないでください。
無線クライアントに割り当てられるIPアドレスから無線APのIPアドレスを参照できるよう、無線APの上位のスイッチ側で適切に設定する必要があります。また、トライバンドAT-TQシリーズ(AT-TQ5403/5403e、AT-TQm5403)ではキャプティブポータルのTCPポート番号として8080(HTTP)および8443(HTTPS)を使用しますので、上位のスイッチにてアクセスリストを適用している場合は、該当TCPポートの通信を許可する必要があります。
Web認証を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのWeb認証を有効にしてください。
RADIUSサーバーの設定
外部RADIUS認証を使用する場合、無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。
表 1:RADIUSサーバーに設定するRADIUSクライアント情報
| RADIUSクライアントのIPアドレス |
無線APのIPアドレス
(例)192.168.1.230 |
| シークレット |
無線APがRADIUSサーバーを認証するためのパスワード
(例)"himitsu" |
認証処理は無線APが行いますので、認証を行うすべての無線APをRADIUSサーバーに登録する必要があります。
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
キャプティブポータルでサポートする認証タイプはPAPのみです。
Web認証を使用するユーザー名、パスワードを登録します。
表 2:RADIUS ユーザー属性
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "user2") |
| User-Password |
パスワード |
(PAP使用時)
ユーザー名に対応するパスワード(例:"passwd1", "passwd2") |
加えて、トライバンドAT-TQシリーズ(AT-TQ5403/5403e、AT-TQm5403)では、RADIUSサーバー側が提供する属性として、セッションタイムアウトをサポートします。
表 3:RADIUS 追加属性
| 属性名 |
属性値 |
| Session-Timeout |
セッションタイムアウト |
キャプティブポータルのカスタマイズ
トライバンドAT-TQシリーズ無線AP(AT-TQ5403/5403e、AT-TQm5403)では「認証ページプロキシ」機能をサポートしています。
所定の名前のHTMLファイルを作成し、外部Webサーバーに掲載することで、無線AP内蔵の認証ページを利用する場合より、ページ全体の外観を大きく変更することができます。レイアウトのため、CSSファイルや画像ファイルも使用できます。これらの外部ファイルへのリンクを記述する際は、ファイルへの参照を相対パスで表記します。
無線クライアントを指定のページに直接接続する代わりに、無線APのプロキシー機能によって、キャプティブポータルを表示します。
認証ページプロキシを使用する場合は、VAPのWeb認証機能の設定項目において、「認証ページプロキシ」を有効に設定し、「ベースURL」を指定します。
ベースURLは、外部RADIUSまたはクリックスルーそれぞれに固定のファイルを掲載するディレクトリまでの絶対URLです(例:http://www.example.com/captive_portal)。
外部Webサーバーには、無線クライアントの認証の度にファイルを要求するため、Web認証を使用する場合は、常に外部Webサーバーを無線APのプロキシー機能に対して公開している必要があります。
外部Webサーバー自体からRADIUSサーバーにアクセスできる必要はありません。また、外部Webサーバーで認証ページが実際に機能する必要はありません。
外部RADIUS
認証ページ
■ HTMLファイル名
外部サーバーに設置する認証ページのファイル名は、必ず「radius_login.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/radius_login.html」を参照して、内容を無線クライアントに転送します。
■ HTMLファイルに必要な記述
外部サーバーに設置する認証ページには、次のフォーム要素を含む必要があります。
<form method="POST"> ↓
<input type="text" name="userid"> ↓
<input type="password" name="password"> ↓
<input type="submit" value="Connect"> ↓
</form> ↓
送信ボタン部分の値は「Connect」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。
認証失敗ページ
■ HTMLファイル名
外部サーバーに設置する認証失敗時のページのファイル名は、必ず「radius_login_fail.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/radius_login_fail.html」を参照して、内容を無線クライアントに転送します。
■ HTMLファイルに必要な記述
認証ページと同様です。
外部サーバーに設置する認証ページには、次のフォーム要素を含む必要があります。
<form method="POST"> ↓
<input type="text" name="userid"> ↓
<input type="password" name="password"> ↓
<input type="submit" value="Connect"> ↓
</form> ↓
送信ボタン部分の値は「Connect」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。
認証成功ページ
■ HTMLファイル名
外部サーバーに設置する認証成功時のページのファイル名は、必ず「welcome.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/welcome.html」を参照して、内容を無線クライアントに転送します。
■ HTMLファイルに必要な記述
特にありません。
クリックスルー
クリックスルーページ
■ HTMLファイル名
外部サーバーに設置するクリックスルーページのファイル名は、必ず「click_through_login.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/click_through_login.html」を参照して、内容を無線クライアントに転送します。
■ HTMLファイルに必要な記述
外部サーバーに設置するクリックスルーページには、次のフォーム要素を含む必要があります。
<form method="POST"> ↓
<input type="submit" value="Agree"> ↓
</form> ↓
送信ボタン部分の値は「Agree」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。
クリックスルー同意後ページ
■ HTMLファイル名
外部サーバーに設置する、クリックスルー契約に同意後のページのファイル名は、必ず「welcome.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/welcome.html」を参照して、内容を無線クライアントに転送します。
■ HTMLファイルに必要な記述
特にありません。
ダイナミックVLANとの併用
Web認証単独では、ダイナミックVLANは行いません。ダイナミックVLANを利用する場合は、Web認証に加え、IEEE 802.11の認証方式としてWPA Enterprise認証を併用する必要があります。
無線クライアントの接続先VLANは、IEEE 802.11の認証または接続の際に決定したVLANを使用します。
すなわち、WPA EnterpriseによるダイナミックVLANを利用する場合はそのVLANが、ダイナミックVLANを利用しない場合はVAPに指定されたVLANが、そのまま適用されます。
Web認証またはMACアドレス認証とWPA Enterprise認証を併用した場合は、「MACアドレス認証」→「WPA Enterprise認証」→「Web認証」の順で認証処理が行われます。
(C) 2017-2019 アライドテレシスホールディングス株式会社
PN: 613-002428 Rev.P