各種操作 / 認証 / キャプティブポータルによるWeb認証

中央Web認証

RADIUSサーバーの設定

認証ページプロキシーによる認証ページのカスタマイズ

外部RADIUS

Web認証は、Webブラウザーを使用して、無線クライアントの認証を行う仕組みです。
Web認証を有効にすると、認証が成立するまでAWCプラグインと無線APはARP、DHCP、DNSを除くすべてのトラフィックをブロックします。無線クライアントからのトラフィックを監視し、無線クライアントが送信した最初のHTTP/HTTPSパケットを検出すると、その無線クライアントからのHTTP/HTTPS通信をキャプティブポータルと呼ばれるページにリダイレクトします。

Note
Web認証は、通常ファームウェアのAT-TQ4600/4400e、AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2、および、SDN/OpenFlow対応版ファームウェアのAT-TQ4400/4600でのみ有効です。

AWCプラグインで提供可能なキャプティブポータルには、3つの種類があります。

外部RADIUS認証
事前に利用者に通知されたユーザー名とパスワードによりRADIUS認証を行います。次の画面はAT-TQ5403の例です。

認証ページで入力するユーザー情報は、RADIUSサーバーに登録されたものと照合されます。ネットワークにアクセスする前に、ユーザーは認証ページで正当なユーザー名とパスワードを入力し、またシングルバンド/デュアルバンドAT-TQシリーズでは使用条件に同意する旨のチェックボックスにチェックを入れて、「Connect」ボタンをクリックすることで、ネットワーク上のリソースにアクセスできるようになります。
クリックスルー
画面に表示される利用規約（クリックスルー契約）に同意することで認証を行い、ネットワーク接続を行います。
事前にユーザー名/パスワードといったユーザー登録を必要とせず、例えば、不法行為や中傷などを目的とした無線ネットワークの利用の禁止や、MACアドレスの記録などの一般的な事項を含む契約に同意を得ることで、不特定多数の利用者にネットワークを開放する場合に有効です。次の画面はAT-TQ5403の例です。

Note
クリックスルーによるWeb認証は、AT-TQ4600/4400e、AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2でのみ有効です。SDN/OpenFlow対応版ファームウェアのAT-TQ4400/4600では、クリックスルーは未サポートとなります。
外部ページリダイレクト
第三者のサービスの認証ページの認証結果を使用して接続します。

Note
本機能は第三者サービスとの連携が必要となる機能のため、本ページでは割愛します。

認証に成功すると、初めに指定したURL（セッション維持）、または、VAP設定にて指定した固定URLにリダイレクトすることができます。また、リダイレクトを行わない場合は、認証成功を示す画面が表示されます。次の画面はAT-TQ5403の例です。

IEEE 802.11の認証と暗号化は、IEEE 802.11のレイヤーで処理されますが、Web認証はもっと高いレイヤーで実行されます。
例えば、無線クライアントがアソシエートしているアクセスポイントのWireless NetworkがWPAを使うように設定されていれば、WPAの認証と暗号化は無線クライアントからのデータ送信の前に行われます。WPAネゴシエーションが成功すると、無線クライアントはWPAによって暗号化された経路でARP/DHCPを送信します。それからHTTPパケットが送信され捕らえられると、キャプティブポータルが表示されます。

Note
AT-TQ4600/4400eでは、認証ページの利用規約の文言は変更できません。
AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2では、クリックスルーページの利用規約の文言は、適用する無線AP個別のWeb設定画面にて設定することができます。

Note
WDSが設定されている無線インターフェース上でWeb認証を使用しないでください。

Note
無線クライアントに割り当てられるIPアドレスから無線APのIPアドレスを参照できるよう、無線APの上位のスイッチ側で適切に設定する必要があります。また、AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2ではキャプティブポータルのTCPポート番号として8080（HTTP）および8443（HTTPS）を使用しますので、上位のスイッチにてアクセスリストを適用している場合は、該当TCPポートの通信を許可する必要があります。

Web認証を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのWeb認証を有効にしてください。

中央Web認証

AWCプラグインが管理中の無線APの間で、Web認証の情報を共有することができます。
Web認証をした無線クライアントが別の無線APにローミングしたときに、再度Web認証を行わずに通信を続けることが可能です。
無線クライアントの認証情報は最大5万件まで保存されます。
AWCプラグインを再起動すると、保存された認証情報は削除されます。

Note
中央Web認証はAT-TQ6602 GEN2/6702 GEN2、AT-TQm6602 GEN2/6702 GEN2ファームウェアバージョン8.0.1-1.x以降、AT-TQ6602ファームウェアバージョン7.0.1-2.x以降、AT-TQ5403/5403e、AT-TQm5403ファームウェアバージョン6.0.1-1.x以降、または、AT-TQ1402、AT-TQm1402ファームウェアバージョン6.0.0-1.x以降にてサポートします。
また、該当の無線APでは中央Web認証は常に有効となります。

Note
中央Web認証を使用する場合は、無線APのNTPクライアント機能を有効にし、無線APとAWCプラグインがインストールされたサーバーPCの時刻を一致させる必要があります。

Note
中央Web認証が有効な場合、セッションタイムアウト前にローミングによる再接続を行った際、セッションタイムアウト値は更新されません。

RADIUSサーバーの設定

外部RADIUS認証を使用する場合、無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。

表 1：RADIUSサーバーに設定するRADIUSクライアント情報
項目名	説明
RADIUSクライアントのIPアドレス	無線APのIPアドレス　（例）192.168.1.230
シークレット	無線APがRADIUSサーバーを認証するためのパスワード　（例）"himitsu"

Note
認証処理は無線APが行いますので、認証を行うすべての無線APをRADIUSサーバーに登録する必要があります。

Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

Note
キャプティブポータルでサポートする認証タイプはPAPのみです。

Web認証を使用するユーザー名、パスワードを登録します。

表 2：RADIUS ユーザー属性
属性名	属性値	備考
User-Name	ユーザー名	認証対象のユーザー名（例："user1", "user2"）
User-Password	パスワード	（PAP使用時）ユーザー名に対応するパスワード（例："passwd1", "passwd2"）

加えて、AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2では、RADIUSサーバー側が提供する属性として、セッションタイムアウトをサポートします。セッションタイムアウト属性が付与されていない場合は1時間となります。

表 3：RADIUS 追加属性
属性名	属性値	備考
Session-Timeout	セッションタイムアウト	ユーザーのネットワークへの接続を許可する時間（秒数）

認証ページプロキシーによる認証ページのカスタマイズ

デュアルバンド/トライバンドAT-TQシリーズ無線AP（AT-TQ1402/5403/5403e/6602/6602 GEN2/6702 GEN2、AT-TQm1402/5403/6602 GEN2/6702 GEN2）では「認証ページプロキシー」機能をサポートしています。
所定の名前のHTMLファイルを作成し、外部Webサーバーに掲載することで、無線AP内蔵の認証ページを利用する場合より、ページ全体の外観を大きく変更することができます。レイアウトのため、CSSファイルや画像ファイルも使用できます。これらの外部ファイルへのリンクを記述する際は、ファイルへの参照を相対パスで表記します。
無線クライアントを指定のページに直接接続する代わりに、無線APのプロキシー機能によって、キャプティブポータルを表示します。
認証ページプロキシーを使用する場合は、VAPのWeb認証機能の設定項目において、「認証ページプロキシー」を有効に設定し、「ベースURL」を指定します。
ベースURLは、外部RADIUSまたはクリックスルーそれぞれに固定のファイルを掲載するディレクトリまでの絶対URLです（例：http://www.example.com/captive_portal）。

Note
外部Webサーバーには、無線クライアントの認証の度にファイルを要求するため、Web認証を使用する場合は、常に外部Webサーバーを無線APのプロキシー機能に対して公開している必要があります。

Note
外部Webサーバー自体からRADIUSサーバーにアクセスできる必要はありません。また、外部Webサーバーで認証ページが実際に機能する必要はありません。

外部RADIUS

認証ページ

■ HTMLファイル名
外部サーバーに設置する認証ページのファイル名は、必ず「radius_login.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/radius_login.html」を参照して、内容を無線クライアントに転送します。

■ HTMLファイルに必要な記述
外部サーバーに設置する認証ページには、次のフォーム要素を含む必要があります。


<form method="POST"> ↓

   <input type="text" name="userid"> ↓

   <input type="password" name="password"> ↓

   <input type="submit" value="Connect"> ↓

</form> ↓

送信ボタン部分の値は「Connect」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

認証失敗ページ

■ HTMLファイル名
外部サーバーに設置する認証失敗時のページのファイル名は、必ず「radius_login_fail.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/radius_login_fail.html」を参照して、内容を無線クライアントに転送します。

■ HTMLファイルに必要な記述
認証ページと同様です。
外部サーバーに設置する認証ページには、次のフォーム要素を含む必要があります。


<form method="POST"> ↓

   <input type="text" name="userid"> ↓

   <input type="password" name="password"> ↓

   <input type="submit" value="Connect"> ↓

</form> ↓

送信ボタン部分の値は「Connect」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

認証成功ページ

■ HTMLファイル名
外部サーバーに設置する認証成功時のページのファイル名は、必ず「welcome.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/welcome.html」を参照して、内容を無線クライアントに転送します。

■ HTMLファイルに必要な記述
特にありません。

クリックスルー

クリックスルーページ

■ HTMLファイル名
外部サーバーに設置するクリックスルーページのファイル名は、必ず「click_through_login.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/click_through_login.html」を参照して、内容を無線クライアントに転送します。

■ HTMLファイルに必要な記述
外部サーバーに設置するクリックスルーページには、次のフォーム要素を含む必要があります。


<form method="POST"> ↓

   <input type="submit" value="Agree"> ↓

</form> ↓

送信ボタン部分の値は「Agree」である必要はありません、また、フォームの送信が可能であれば、<button>要素でも代替可能です。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

クリックスルー同意後ページ

■ HTMLファイル名
外部サーバーに設置する、クリックスルー契約に同意後のページのファイル名は、必ず「welcome.html」を使用します。
ベースURLに「http://www.example.com/captive_portal」を指定した場合は、無線APのプロキシー機能は「http://www.example.com/captive_portal/welcome.html」を参照して、内容を無線クライアントに転送します。

■ HTMLファイルに必要な記述
特にありません。

ダイナミックVLANとの併用

Web認証単独では、ダイナミックVLANは行いません。ダイナミックVLANを利用する場合は、Web認証に加え、IEEE 802.11の認証方式としてWPAエンタープライズ認証を併用する必要があります。
無線クライアントの接続先VLANは、IEEE 802.11の認証または接続の際に決定したVLANを使用します。
すなわち、WPAエンタープライズによるダイナミックVLANを利用する場合はそのVLANが、ダイナミックVLANを利用しない場合はVAPに指定されたVLANが、そのまま適用されます。

Note
Web認証またはMACアクセス制御とWPAエンタープライズ認証を併用した場合は、「MACアクセス制御」→「WPAエンタープライズ認証」→「Web認証」の順で認証処理が行われます。