認証ページリダイレクト
ユーザーが認証前のクライアントから任意のWebサーバーにアクセスしたときに(装置を経由し、任意のURLに対してHTTP/HTTPSリクエストが送信されたときに)、自動的に装置または外部Webサーバーの認証ページにリダイレクトできます。これにより、ユーザーに対して認証ページのURLを通知する必要がなくなるため、認証ネットワークをスムーズに運用できます。
このリダイレクト動作はデフォルトで動作し、ユーザーがHTTPでアクセスした際にはHTTP、またHTTPSでアクセスした際にはHTTPSの装置の認証ページにリダイレクトされます。リダイレクト先をHTTPまたはHTTPSのいずれか1つに固定したい場合、または外部Webサーバーに設定する場合には、web-authentication redirect urlコマンドでリダイレクト先の認証ページのURLを指定します。
リダイレクト動作が有効の場合は、Webブラウザー以外からのHTTPまたはHTTPSの通信負荷によって、認証性能が著しく低下する可能性があります。
認証前のクライアントからのHTTPSアクセスをリダイレクトする場合には、Webブラウザーに証明書エラーに関わる警告が表示される場合がありますが、これはHTTPSの仕様によるものです。証明書エラーに関わる警告が表示されても、Webブラウザーで許可する操作を実施することにより、認証ページにリダイレクトされます。
外部Webサーバーにリダイレクトする際にリダイレクト先のURLをFQDNで設定している場合は、認証バイパス機能を使用して、外部サーバーへの通信だけでなくDNSの通信をバイパスするように設定してください。
認証ページリダイレクトの例を以下に示します。
認証ページリダイレクトの動作例
リダイレクト動作を無効にする場合の設定
web-authentication redirect disableコマンドで、HTTPまたはHTTPSのリダイレクト動作を無効にできます。
リダイレクト先の装置の認証ページをHTTPに固定する場合の設定
web-authentication redirect urlコマンドで、リダイレクト先の装置の認証ページをHTTPに固定できます。HTTPに固定する場合は、リダイレクト先のURLを以下のように設定します。
http://「web-authentication http-ipコマンドの設定値」:「web-authentication http-portコマンドの設定値」/www/AuthLogin.html
リダイレクト先を「http://192.0.2.100:8080/www/AuthLogin.html」に設定する場合の設定例を以下に示します。
(config)# access-defender (config-a-def)# web-authentication http-ip ipv4 192.0.2.100 (config-a-def)# web-authentication http-port 8080 (config-a-def)# web-authentication redirect url http://192.0.2.100:8080/www/AuthLogin.html
リダイレクト先が装置の認証ページの場合の「/www/AuthLogin.html」は、装置内部の設定値を参照しており、変更できません。
リダイレクト先の装置の認証ページをHTTPSに固定する場合の設定
web-authentication redirect urlコマンドで、リダイレクト先の装置の認証ページをHTTPSに固定できます。HTTPSに固定する場合は、リダイレクト先のURLを以下のように設定します。
https://「web-authentication http-ipコマンドの設定値」:「web-authentication https-portコマンドの設定値」/www/AuthLogin.html
リダイレクト先を「https://192.0.2.100:8443/www/AuthLogin.html」に設定する場合の設定例を以下に示します。
(config)# access-defender (config-a-def)# web-authentication http-ip ipv4 192.0.2.100 (config-a-def)# web-authentication https-port 8443 (config-a-def)# web-authentication redirect url https://192.0.2.100:8443/www/AuthLogin.html
リダイレクト先が装置の認証ページの場合の「/www/AuthLogin.html」は、装置内部の設定値を参照しており、変更できません。
HTTPプロキシ使用環境での認証ページリダイレクト
HTTPプロキシ使用環境でHTTPプロキシ経由のアクセスをリダイレクトするためには、web-authentication redirect proxy-portコマンドを使用します。
プロキシ経由のHTTPSアクセスはリダイレクトできません。
web-authentication redirect proxy-portコマンドを使用して、Web認証のプロキシリダイレクト機能を有効にした際は、Webブラウザーのプロキシ設定で、リダイレクト先のURLを例外指定する必要があります。
HTTPプロキシ使用環境での、認証ページリダイレクトの例を以下に示します。
HTTPプロキシ使用環境での認証ページリダイレクトの動作例