今日はアプレシアのスイッチを設定しておりました。
こんなんですね↓
参考:アプレシア
アプレシアホームページ
TinyRadiusでRadiusサーバを構築してさあMAC認証とWEB認証を構築しようとしたのですがMAC認証は設定できたけどWEB認証が設定できない!
とハマッテしまいました。
アプレシアスイッチの情報は以下です。
機種:NP5000
Bootloader:1.00.01
Runtime:1.03.01
不具合は現在進行形で解決していないのですが備忘録として本記事を記載いたします。
Contents
アプレシアのスイッチでweb認証ができない!mac認証はできたのになぜ?
MAC認証ってどうするの
Radiusサーバを構築します。参考:TinyRadiusでRadiusサーバを構築したよ
そしてアプレシアに投入するコンフィグは以下。※ID、PWはデフォルトではエンターを押せばログインできます。ログインしたら >en でパスワードをきかれるのでまたエンターでモード変更できます。さらに #conf t でグローバルコンフィグレーションモード。この辺はciscoと同じですね。
・ラディウスサーバと認証用パソコンを接続するポートの設定
interface port 【ポート番号】
☆vlanやらipアドレスの設定。ほぼciscoと同様。
・ラディウスサーバの設定
aaa new-model
radius-server host【Radius Server IP】key 【Radius key】
aaa group server radius 【グループ名】
server 【Radius Server IP】
aaa authentication mac-auth default group 【グループ名】
・MAC認証設定
access-defender
authentication interface port 【ポート番号】 mac
mac-authentication ignore-dhcp
mac-authentication enable
↑の設定でMAC認証ができました。
WEB認証はどのように設定しようとしたの?
このように設定しようとしました。
参考:ApresiaNPシリーズ ユーザーズガイド
Web認証の構成例と設定例
・ラディウスサーバの設定
MAC認証に追加して以下を設定しました。
aaa authentication web-auth 1 default group【グループ名】
↑この「1」はなんぞ?と思ったのですが理由はわかりませんでした。
web-authentication logging web-access on
access-defender
authentication interface port 【ポート番号】web
web-authentication http-ip ipv4 【認証ページのIPアドレス】
web-authentication redirect url https://【認証ページのIPアドレス】/
web-authentication http-session-timeout 60
web-authentication enable
なおMAC認証が有効だとMAC認証が先に効いて認証OKとなってしまうのでひとまずMAC認証を外しました。
access-defender
no authentication interface port 【ポート番号】 mac
そして認証用パソコンからブラウザを開くも接続できず。もちろんインターネット上のサーバにもpingNG。
ログを確認するも認証している様子もなく何も出力されていませんでした。認証できていないらしい。
web認証はどうすればいいのか?
何時間か悩んだのですが結局web認証は通りませんでした。
認証OKやNGのログすら出ていなかったのでそもそも認証が行われていない様子でした。
ただし# show access-defender port-configuration
で確認すると対象ポートのweb認証機能には「○」つまり有効であることが示されていました。
つまり機能的にはいきているけれど認証までには至っていないと。
原因は不明ですが引き続き解決に向けて対応していきます。
アプレシアのスイッチでweb認証ができない!mac認証はできたのになぜ?~結論~
アプレシアのスイッチでweb認証ができない!くやしい!
ちなみにhttpの【適当なIPアドレス】をブラウザで「http://【適当なIPアドレス】」としても認証ページは表示されませんでした。
※後日談です。
その後Web認証できるようになりました!どうもアプレシアスイッチのAAAのRadiusの設定はauthの他にaccountingという設定が必要とのこと。言われてみればRadiusとは認証とアカウントをもとにした課金がその役割ですね。
参考:RADIUSサーバとはさらには以下のリダイレクトの記述も削除しました。アラクサラだと↓を設定するのですがアプレシアは違うのか。
web-authentication redirect url https://【認証ページのIPアドレス】/以上、後日談でした。
本記事が少しでもお役に立てたならばこれほど嬉しいことはありません。
最後まで読んでいただきありがとうございました。
よろしければ別記事もご参照ください。