第6編
AccessDefender

Web認証のオプション機能

Web認証に関連するオプション機能を以下に示します。

  • TTLフィルター
  • HTTPセッションタイムアウト
  • Web認証の上書きログイン機能
  • Web認証のスヌーピングプロキシ機能
  • Web認証のサーバー証明書と秘密鍵の変更
  • 証明書要求と秘密鍵の作成
  • 個別Web認証ページ

TTLフィルター

Web認証とゲートウェイ認証において、指定したTTL値のIPパケットを受信した場合のみ認証を可能とし、指定したTTL値以外の場合は認証を拒否できます。これにより、ネットワークの距離に応じて、接続を制限できます。TTLフィルターを有効にするには、web-authentication ttlコマンドを使用します。

HTTPセッションタイムアウト

Web認証でHTTPクライアント用に予約されたHTTPセッション数は制限されています。すべてのHTTPセッションが占有されている場合は、新しいHTTPクライアントがWeb認証を開始できません。

そこで、一定時間応答がないHTTPセッションを自動的に切断して解放することで、新しいHTTPクライアントがWeb認証を開始できるようにしています。

HTTPセッションのタイムアウトを設定するには、web-authentication http-session-timeoutコマンドを使用します。

Web認証の上書きログイン機能

認証済みクライアントから装置の認証ページにアクセスすると、通常は認証成功ページ(login-success-page)が表示されますが、認証成功ページではなくログインページ(login-page)を表示させて、ユーザー名の上書きログインが行えるように変更できます。

Web認証のユーザー名の上書きログインを有効にするには、web-authentication overwrite enableコマンドを使用します。

Web認証のスヌーピングプロキシ機能

認証クライアントが指定したプロキシポート番号を経由して任意のWebページを参照したときに、装置はリダイレクトを行わず、強制的に認証ページを表示できます。これにより、ユーザーに対して装置の認証ページのURLを通知する必要がなくなるため、認証ネットワークをスムーズに運用できます。

プロキシポート番号を経由して任意のWebページを参照したときに、強制的に認証ページを表示するには、web-authentication snooping proxy-portコマンドを使用します。

Web認証のサーバー証明書と秘密鍵の変更

Web認証のサーバー証明書と秘密鍵を変更する方法を以下に示します。

補 足

Web認証が有効な状態では、サーバー証明書と秘密鍵の削除、およびダウンロードはできません。

補 足

サーバー証明書と秘密鍵の両方をダウンロードすると、show ssl https-certificateコマンドとshow ssl https-private-keyコマンドに反映されます。片方のみダウンロードした状態では反映されません。

  • 新しいサーバー証明書と秘密鍵を用意します。
  • no web-authentication enableコマンドでWeb認証を無効にします。
  • access-defender erase ssl-filesコマンドで、以前にダウンロードしたサーバー証明書と秘密鍵を削除します。
  • copy {tftp: | flash:} https-certificateコマンド、copy {tftp: | flash:} https-private-keyコマンドで、TFTPまたはSDカードから新しいサーバー証明書と秘密鍵をダウンロードします。
  • web-authentication enableコマンドでWeb認証を有効にします。

証明書要求と秘密鍵の作成

新しいサーバー証明書の作成には、装置で作成したCSR(証明書署名要求)と秘密鍵を利用することもできます。装置で作成したCSR(証明書署名要求)と秘密鍵をもとにサーバー証明書を作成する方法を以下に示します。

  • ssl gencsr rsakeyコマンドでCSR(証明書署名要求)と秘密鍵を作成します。
  • copy csr-certificate tftp:コマンド、copy csr-private-key tftp:コマンドで、TFTP経由でCSR(証明書署名要求)と秘密鍵を取り出します。
  • 取り出したCSR(証明書署名要求)に認証局(CA)による署名を行い、サーバー証明書を作成します。
  • 手順3で作成したサーバー証明書と、手順2で取り出した秘密鍵を、Web認証のサーバー証明書の変更手順に従って装置にダウンロードします。

個別Web認証ページ

個別Web認証ページを使用すると、指定したインターフェースに個別のWeb認証ページを適用できます。個別Web認証ページを使用する場合は、事前に個別Web認証ページを装置にダウンロードしてください。指定したIDの個別Web認証ページが存在しない場合は、「デフォルトWeb認証ページ」が適用されます。デフォルトWeb認証ページがユーザーによってカスタマイズされて装置にダウンロードされている場合は、「カスタマイズされたデフォルトWeb認証ページ」が適用されます。

補 足

個別Web認証ページIDは、1~30の範囲で指定できます。

補 足

個別Web認証ページは、NP2100の1.09.02以降、NP2000の1.09.01以降でサポートしています。

個別Web認証ページを適用するには、web-authentication interfaceコマンドを使用します。

個別Web認証ページのダウンロード

個別Web認証ページを装置にダウンロードするには、copyコマンドでwebpagesパラメーターを使用し、個別Web認証ページIDを指定して実施します。

個別Web認証ページの削除

装置にダウンロードした個別Web認証ページを削除するには、access-defender eraseコマンドでwebpagesパラメーターを使用し、個別Web認証ページIDを指定して実施します。

ページトップへ