[index] AT-AR2010V コマンドリファレンス 5.4.6
Note - 本製品内蔵のローカルRADIUSサーバーはCLIログイン認証とOpenVPNのユーザー認証専用のため、Web認証での使用は未サポートです。
Note - 標準でインストールされる拡張機能/アドオン類以外を使用している場合、正常に開けない場合があります。
| User-Name | ユーザー名 | 認証対象のユーザー名(例:"user1", "userB") |
| User-Password | パスワード | ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o") |
Note - Web認証用パスワードは64文字以内で設定してください。
Note - RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
awplus(config)# radius-server host 192.168.20.5 key himitsu ↓ |
awplus(config)# ip dhcp pool webauth ↓ awplus(dhcp-config)# network 192.168.10.0/24 ↓ awplus(dhcp-config)# range 192.168.10.200 192.168.10.240 ↓ awplus(dhcp-config)# default-router 192.168.10.1 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# service dhcp-server ↓ |
awplus(config)# service http ↓ awplus(config)# nat ↓ awplus(config-nat)# enable ↓ awplus(config-nat)# exit ↓ |
awplus(config)# aaa authentication auth-web default group radius ↓ |
awplus(config)# interface eth2 ↓ awplus(config-if)# auth-web enable ↓ |
awplus(config-if)# auth host-mode multi-supplicant ↓ |
Note - 初期状態で有効になっているHTTPリダイレクト機能により、10.10.10.1、172.16.20.1など、本製品経由でルーティングされる他のアドレスを指定した場合も、ブラウザーが192.168.10.1にリダイレクトされます。
Note - Supplicantが存在するポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。
| すべてのRADIUSサーバーが無応答だった場合(認証期間中にすべてのRADIUSサーバーがDead状態になった場合)、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる | ||
| 1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する | ||
| 複数のSupplicantに通信を許可する場合(Multi-HostモードかMulti-Supplicantモードのとき)、該当ポート配下からの通信を許可するSupplicantの最大数を指定する | ||
| 再認証有効時は、認証に成功したSupplicantを定期的に再認証する(再認証の動作は認証方式によって異なる) | ||
| 再認証有効時にSupplicantを再認証する間隔を指定する | ||
| 無通信時タイムアウトが有効なときは、認証済みのWeb認証Supplicantから一定時間パケットを受信しなかった場合に該当Supplicantを未認証に戻す | ||
| 無通信タイムアウトが有効なときに、Supplicantとの通信がなくなってから該当Supplicantを未認証に戻すまでの時間を指定する | ||
| 認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する | ||
| RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する | ||
| 対象ポートでWeb認証を有効・無効化する | ||
| Web認証時、RADIUSサーバーとの間で使用する認証方式をPAP、EAP-MD5から選択する | ||
| Web認証時、未認証Supplicantからの特定のパケットを転送するよう設定する | ||
| Web認証SupplicantがConnecting状態になってから認証状態を削除するまでの時間を設定する | ||
| 何回認証に失敗したら該当Supplicantからの認証要求を一時的に拒否するかを設定する |
Note - Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。
Note - Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値(明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値)が使われます。
Note - Supplicantが存在するポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。
awplus(config)# interface eth2 ↓ awplus(config-if)# auth-web enable ↓ awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized ↓ |
awplus(config)# interface eth2 ↓ awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication ↓ |
awplus(config)# interface eth2 ↓ awplus(config-if)# no auth supplicant-mac 0000.1122.3344 ↓ |
awplus(config)# auth profile student ↓ |
awplus(config-auth-profile)# auth-web enable ↓ awplus(config-auth-profile)# auth host-mode multi-supplicant ↓ awplus(config-auth-profile)# auth-web max-auth-fail 2 ↓ |
awplus(config)# interface eth2 ↓ awplus(config-if)# auth profile student ↓ |
Note - ポート認証のインターフェースモードコマンドが設定されているポートにテンプレートを設定しようとすると上書きされてしまいますのでご注意ください。
Note - 一つのインターフェースが、複数のテンプレートを持つことはできません。新しいテンプレートを作成する前に、既存のテンプレートを削除する必要があります。
Note - ポート認証のインターフェースモードコマンド、およびテンプレート化のインターフェースモードコマンドは、同じインターフェースに設定することはできません。
Note - 使用中のテンプレートは削除することはできません。
| Web認証サーバーにアクセスするためのIPアドレスを1つだけに限定したい場合の設定項目。未設定時は本製品に設定されたすべてのIPアドレスで待ち受ける | |||
| Web認証サーバーの待ち受けTCPポート番号を初期値の80(HTTPS無効時)、443(HTTPS有効時)から変更したい場合に指定する | |||
| 通常のHTTPではなくHTTPSでアクセスを受け付けるように設定する。SSLサーバー証明書は、初期状態ではファームウェア組み込みのものが自動的に使われる。独自に取得した証明書を使いたい場合は、copyコマンドのweb-auth-https-fileキーワードを使ってインストールすること。また、インストールした証明書はリモートホストなどへコピーできないため注意すること | |||
| HTTPリダイレクト機能有効時にリダイレクト前のURLを記憶しておき、Web認証成功後に記憶しておいたURLにリダイレクトさせる機能。後述する認証後リダイレクト機能と本機能の両方を設定した場合は、本機能のほうが優先される | |||
| Web認証成功後、あらかじめ設定しておいたURLにWebブラウザーをリダイレクトさせる機能。前述のセッションキープ機能と本機能の両方を設定している場合は、セッションキープ機能のほうが有効となる | |||
| セッションキープと認証後リダイレクト機能において、Web認証成功後、Webブラウザーをリダイレクトさせるまでの待機時間 | |||
| 認証にパスしたSupplicantの存在をPingパケットで定期的に監視し、応答がなくなったら該当Supplicantがログアウトしたと見なす機能。動作調整用に以下のパラメーターが存在する | |||
| 応答時再認証タイマーリセット | 再認証有効時、Web認証サーバーのSupplicant監視機能においてPing応答があった場合に再認証タイマーをリセットしたい場合に設定する | ||
| Ping送信間隔 | Pingパケットの送信間隔 | ||
| Ping応答待ち時間 | Pingパケットの応答待ち時間 | ||
| Supplicant不在しきい値 | Supplicantがいなくなったと判断するPing無応答の回数を設定する | ||
| Web認証サーバーのDHCPサーバーを有効化する。またDHCPサーバー、Web認証サーバーのIPアドレスも指定する | |||
| Web認証サーバーのDHCPサーバーのリース期間を指定する | |||
| Webブラウザーのプロキシー自動検出機能(WPAD)に対応して、Web認証用DHCPサーバーがプロキシー自動構成ファイル(PACファイル)のURLを返答するよう設定する | |||
| プロキシー環境でWeb認証を使用する場合は、本コマンドでプロキシーサーバーの待ち受けTCPポート番号を設定することにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクトが働くようになる | |||
| プロキシー環境でWeb認証を使用する場合は、本コマンドでプロキシーサーバーの待ち受けTCPポート番号を設定することにより、プロキシーサーバー経由のHTTPS通信に対しても、HTTPSリダイレクトが働くようになる | |||
| HTTPSリダイレクト機能がSupplicantにリダイレクト先URLを通知するとき、通常はWeb認証サーバーの待ち受けIPアドレスを使うが、本コマンドを設定している場合は指定したホスト名をURLに含める。独自証明書でHTTPSを使っているとき、本コマンドで証明書のCommon Name(CN)と一致するホスト名を設定することにより、Supplicant(Webブラウザー)の警告を出ないようにすることが可能 | |||
| タイトル文字列 | 認証ページ共通ヘッダーのタイトル文字列を変更する(日本語は使用不可) | ||
| サブタイトル文字列 | 認証ページ共通ヘッダーのサブタイトル文字列を変更する(日本語は使用不可) | ||
| 画像ファイル | 認証ページ共通ヘッダーの画像ファイルを制御する | ||
| ウェルカムメッセージ | ログイン画面の入力フォームの横に任意のメッセージを表示させる(日本語は使用不可) | ||
| 認証成功メッセージ | 認証成功画面に追加のメッセージを表示させる(日本語は使用不可) | ||
| 言語切り替え | 認証画面に表示されるメッセージの言語を変更する | ||
Note - ログイン画面を外部Webサーバーに設置している場合、HTML/CSSファイルの編集によるカスタマイズは、ログイン画面以外(認証中、認証成功、認証失敗)に対してのみ適用されます。
Note - HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML> <HEAD> <META http-equiv="Content-Type" content="text/html; charset=UTF-8"> <META http-equiv="Content-Style-Type" content="text/css"> <TITLE></TITLE> </HEAD> <BODY> ここに任意のコンテンツを記述してください。 </BODY> </HTML> |
awplus# cd flash:/ ↓ awplus# copy zmodem ↓ rz waiting to receive.**B0100000023be50 (通信ソフトウェア側でZMODEMによるファイル送信の操作を行う) |
awplus# copy tftp://172.16.10.70/logo.gif flash:/ ↓ |
Note - ログイン画面を外部Webサーバーに設置している場合、コマンドによるカスタマイズは、ログイン画面以外(認証中、認証成功、認証失敗)に対してのみ適用されます。
| auto(初期設定) | フラッシュメモリー上に logo.gif という名前のファイルが存在する場合は、ヘッダー画像として logo.gif を表示。存在しない場合はWeb認証サーバーに組み込まれているデフォルト画像 h_glb.gif を表示 |
| default | Web認証サーバーに組み込まれているデフォルト画像 h_glb.gif を表示 |
| hidden | ヘッダー画像を表示しない |
Note - この方法でカスタマイズできるのはログイン画面だけです。他の画面(認証中、認証成功、認証失敗)はWeb認証サーバー上のページが表示されます(Webサーバー上のページに対しては、「HTML/CSSの編集」や「コマンド」によるカスタマイズが適用されます)。
Note - HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。
<form action="http://192.168.1.5/" autocomplete="off" target="_self" name="AUTH" method="POST">
<div>User name</div>
<div><input size="30" type="text" maxlength="64" name="USERNAME"></div>
<div>Password</div>
<div><input size="30" type="password" maxlength="64" name="PASSWORD"></div>
<div>
<input type="submit" name="ACTION" value="login">
<input type="reset" name="RESET" value="Reset">
</div>
</form>
|
awplus(config)# auth-web-server login-url http://192.168.1.1/ ↓ |
awplus(config)# aaa accounting auth-web default start-stop group radius ↓ |
awplus# show auth interface eth2 ↓ |
awplus# show auth supplicant interface eth2 ↓ |
awplus# show auth supplicant interface eth2 brief ↓ |
awplus# show auth sessionstatistics interface eth2 ↓ |
awplus# show auth-web-server ↓ |
(C) 2016 アライドテレシスホールディングス株式会社
PN: 613-002311 Rev.A