WAP125またはWAP581でのActive Directoryゲスト認証の設定

目的

Active Directory(AD)ゲスト認証を使用すると、クライアントはキャプティブポータルインフラストラクチャを設定し、認証に内部Windows Directoryサービスを使用できます。キャプティブポータルは、ネットワークへのアクセスが許可されるまで、管理者がワイヤレスアクセスポイント(WAP)ネットワークに接続しているクライアントをブロックできるようにする機能です。クライアントは、ネットワークに接続する前に、認証およびアクセス条件のためにWebページに転送されます。キャプティブポータルの検証は、ゲストとネットワークの認証されたユーザの両方に対して行われます。この機能は、Webブラウザを使用して認証デバイスに変換します。

キャプティブポータルインスタンスは、WAPネットワーク上のクライアントの認証に使用される定義済みの設定セットです。インスタンスは、関連付けられた仮想アクセスポイントにアクセスしようとするときに、ユーザにさまざまな方法で応答するように設定できます。キャプティブポータルは、インターネットにアクセスする前に、ユーザが利用規約に同意し、セキュリティ認証情報を提供できるように、Wi-Fiホットスポットの場所で使用されることが多い。

AD認証をサポートするには、WAPが1 ～ 3台のWindowsドメインコントローラと通信して認証を提供する必要があります。異なるADドメインからドメインコントローラを選択することで、複数の認証ドメインをサポートできます。

このドキュメントの目的は、WAP125またはWAP581でADゲスト認証を設定する方法を示すことです。

該当するデバイス

• WAP125
• WAP581

[Software Version]

• 1.0.1

Active Directoryゲスト認証の設定

ステップ1：ユーザ名とパスワードを入力して、WAPのWeb設定ユーティリティにログインします。デフォルトのユーザ名とパスワードはcisco/ciscoです。新しいユーザ名またはパスワードを設定している場合は、クレデンシャルを入力します。[Login] をクリックする。

注：この記事では、WAP125を使用してADゲスト認証の設定をデモンストレーションします。メニューのオプションは、デバイスのモデルによって若干異なる場合があります。

ステップ2:[Access Control] > [Guest Access]を選択します。

ステップ3：ゲストアクセスインスタンステーブルで、新しいゲストアクセスインスタンスを追加するか、既存のインスタンスを編集できます。WAP125またはWAP581アクセスポイントのゲストアクセス機能は、デバイスの範囲内にある一時的なワイヤレスクライアントにワイヤレス接続を提供します。アクセスポイントに2つの異なるサービスセット識別子(SSID)をブロードキャストさせることで動作します。1つはメインネットワーク用、もう1つはゲストネットワーク用です。ゲストはキャプティブポータルにリダイレクトされ、クレデンシャルの入力が要求されます。これにより、ゲストにインターネットへのアクセスを提供しながら、メインネットワークのセキュリティが維持されます。

キャプティブポータルの設定は、WAPのWebベースユーティリティのゲストアクセスインスタンステーブルで設定します。ゲストアクセス機能は、ホテルやオフィスのロビー、レストラン、モールで特に便利です。

この例では、新しいゲストアクセスインスタンスがプラス(+)アイコンをクリックして追加されます。

ステップ4：ゲストアクセスインスタンスに名前を付けます。この例では、AD_authenticationと呼ばれます。

ステップ5:[Authentication Method]を[Active Directory Service]として選択します。

ステップ6:[Authentication Method]で[Active Directory Service]を選択すると、プロトコルがHyper Text Transfer Protocol(HTTP)からHyper Text Transfer Protocol Secure(HTTPS)に変更されます。

注：クライアントがキャプティブポータルページを設定して、HTTPではなくHTTPSを使用することが非常に重要です。これは、前者の方がより安全であるためです。クライアントがHTTPを選択すると、暗号化されていないクリアテキストでユーザ名とパスワードを送信することによって、誤ってユーザ名とパスワードが公開される可能性があります。HTTPSキャプティブポータルページを使用するのがベストプラクティスです。

ステップ7:[Authentication Method]列の[Active Directory Service]の横にある青い目のアイコンをクリックして、ADサーバのIPアドレスを設定します。

ステップ8：新しいウィンドウが開きます。ADサーバのIPアドレスを入力します。この例では、使用するホストIPアドレスは172.16.1.35です。オプションの手順として、[Test]をクリックして有効であることを確認できます。

ステップ9:（オプション）前のステップでTestをクリックすると、別のポップアップウィンドウが開き、ADでユーザのUsernameとPasswordを入力し、Begin testをクリックできます。

有効な場合は、テストに合格し、次の画面が表示されます。これにより、ドメインコントローラに接続して認証できることを確認できます。

注：最大3台のADサーバを追加できます。

ステップ10：変更を保存します。

ステップ11:[Menu]に移動し、[Wireless] > [Networks]を選択します

ステップ12：ネットワークを選択し、認証用のゲストアクセスインスタンスとしてADを選択します。[Save] をクリックします。

ステップ13:AD認証を使用してゲストワイヤレスネットワークに接続するには、パーソナルコンピュータ(PC)のwirelessオプションに移動し、AD認証が設定されているネットワークを選択して、[接続]をクリックします。

ステップ14：接続されると、Webブラウザウィンドウが開き、標準のセキュリティ証明書の警告が表示されます。[Go on to the web page]をクリックします。

注：画面は、使用しているブラウザによって異なる表示になることがあります。

ステップ15:[キャプティブポータル]ページが起動します。[Acceptance Use Policy]ボックスをオンにしてポリシーを受け入れ、ADでユーザのユーザ名とパスワードを入力します。[接続]をクリックして、ネットワークに接続します。

注：複数のドメインがある場合、ユーザ名にはドメイン名\ユーザ名が含まれます。この例では、ciscotest\test1です。

ステップ16：認証され、インターネットアクセスが可能になります。

結論

これで、WAP125またはWAP581でActive Directoryゲスト認証を正しく設定し、機能を確認できました。