CatalystでのWEBベース認証でhttpsを使う方法

mat516 · ‎2022-01-08

お世話になります。

CatalystのWEBベース認証でID/パスワードを入力してログインボタンを押したときにhttpsでログインを行うようにしたいと考えていますが、うまくいきません。

うまくいく方法をご存知の方ご教示ください。

コンフィギュレーションガイドを見ると、以下の設定を入れることでhttpsが利用できるようになるかのように読み取れます。

ip http server
ip http secure-server

この設定プラス、｢カスタム認証プロキシ Web ページを設定するか、成功ログインのリダイレクション URL を指定」することで実現できると考えたのですが、うまくいきません。

コンフィギュレーションガイドには以下の記載がありヒントになりそうなのですが、「必ずHTTPS」になる方法がわかりません。

（注）

ip http secure-server コマンドを入力したときに、セキュア認証が確実に行われるようにするには、ユーザーが HTTP 要求を送信した場合でも、ログインページは必ず HTTPS（セキュア HTTP）形式になるようにします。

ご協力をお願いいたします。

cja56910tf · ‎2022-01-09

こんにちは。

Webベース認証は経験が無いので当方からの的確な回答は出来ないのですが、下記の情報を記載されると有識者の方からの回答が得られやすくなると思います。

・Catalystの機種/型番　※最近はルータもAPもWLCも全てCatalystブランドになったので、"Catalyst"だけでは判別できません。

・使用されているIOS版数

・show run に加えて、show authentication～やshow ip admission～などの各種関連コマンドの出力結果

ちなみに、no ip http server とし、ip http secure-serverだけにすれば、HTTPSでのみ接続を受け付けるのでは？と思ったのですが如何でしょうか。

あと、一応確認なのですが、記載されている"Web ベース認証"とは、

「IEEE 802.1x サプリカントが実行されていないホストシステムのエンドユーザを認証するために、Web 認証プロキシと呼ばれる Web ベース認証機能を使用するもの」

を指しているという事でよろしいでしょうか。

恐らくCisco.comの下記サイトのようなものをご覧になられながら設定されているものと思いますが、参考にされているWebサイトのURLやその中の不明箇所なども記載されると、回答する側もやりやすくなると思います。

https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9300/software/release/16-6/configuration_guide/sec/b_166_sec_9300_cg/b_166_sec_9300_cg_chapter_010010.html

ご参考にしていただければ幸いです。

mat516 · ‎2022-01-17

コメントありがとうございます。

事象を確認している機器は、Catalys9200Lです。IOSは17.3です。

> ちなみに、no ip http server とし、ip http secure-serverだけにすれば、HTTPSでのみ接続を受け付けるのでは？と思ったのですが如何でしょうか。

ip http server　を設定すると、スイッチを越えてhttp通信しようとしたときにログイン画面が表示されて、ip http secure-server　を設定すると、スイッチを越えてhttps通信しようとしたときにログイン画面が表示される挙動になるようです。

http通信しようとしたときでもログイン画面がhttpsとなると思い込んでいたのですが、そうではないようですね。

ご連絡いただいた、no ip http server、ip http secure-serverの設定としたとき、
認証前の端末でブラウザを使ってスイッチを越えた通信を行う際に、アクセス先がhttpだとWeb認証の画面が出ず、
アクセス先がhttpsのときだけWeb認証の画面が出る動作となりました。

理想は、httpでもhttpsでもWebの認証画面が出て、認証画面でID/PASSを入力してSubmitすると、httpsで通信するようにしたいのですが、現在確認している限りでは、難しそうです。
良い解決方法をご存知の方が居ましたらご教示いただ来たいと思います。