ホットスポット外部ゲスト認証について

ホットスポット ユーザーを外部 Web サーバーに自動的に接続して認証できるように Firebox を構成する場合は、Firebox で 外部ゲスト認証 ホットスポットを有効化することができます。Firebox で外部ゲスト認証ホットスポットを有効化する前に、外部ゲスト認証用に Web サーバーを構成する必要があります。

ユーザーが外部ゲスト認証ホットスポットに接続すると、Firebox によりユーザーが外部 Web サーバーに送られます。ここで、ユーザーは認証情報または他の情報を提供するよう要求されます。ユーザーが提供する情報に基づいて、外部 Web サーバーがアクセス決定を Firebox に送信します。そして、Firebox により、ホットスポットへのユーザー アクセスが許可または拒否されます。

外部ゲスト認証は、Firebox によってサポートされている他の種類のユーザー認証には関連付けられていません。

この機能は、認証について説明されていますが、外部 Web サーバーにユーザー認証を要求しません。ホットスポットにアクセスするための基準として使用する任意の情報をホットスポットのユーザーに要求するために、Web サーバー上に認証ページを作成することができます。

開始する前に

Firebox 上で外部 Web サーバーを構成して、外部ゲスト認証を有効化する前に、使用する共有シークレット、認証 URL、および認証失敗 URL を選択する必要があります。これらの設定は、外部 Web サーバーと Firebox 上のホットスポットの構成に影響します。

共有シークレット

外部 Web サーバーは共有シークレットを使用して、Firebox に送信されるアクセス決定に含めるチェックサムを計算します。Firebox は共有シークレットを使用して、受信するチェックサムを検証します。共有シークレットは、 1 ~ 32 文字で入力する必要があります。

認証 URL

これは、ホットスポットのユーザーを認証するWeb ページの外部 Web サーバー上の URL です。Firebox のホットスポット構成では、認証 URL が https:// または http:// で始まっている必要があります。Web サーバーの IP アドレスまたはドメイン名を指定することができます。

認証エラー URL

これは、外部ゲスト認証が成功していない場合、ホットスポット ユーザーに表示される Web ページの外部 Web サーバー上の URLです。Firebox のホットスポット構成では、認証失敗 URL が https:// または http:// で始まっている必要があります。Web サーバーの IP アドレスまたはドメイン名を指定することができます。

構成

Web サーバーの構成には、Web プログラミングが必要なため、最初に、Web サーバーを構成することをお勧めします。コードの例のリンクが、Web サーバー用の設定手順に含まれています。Web サーバーの設定が完了したら、外部ゲスト認証の Firebox ホットスポットを構成します。

構成の要件と手順の詳細については、次を参照してください:

Web サーバーとホットスポットを構成した後、ホットスポットの外部ゲスト認証をテストして、ログ メッセージを確認してエラーを特定することができます。

外部 Web サーバーのスクリプトの例については、WatchGuard のナレッジ ベースを参照してください。

外部ゲスト認証の例

Firebox と外部認証サーバー間の通信は、ホットスポット クライアント ブラウザを経由して行われます。Firebox と認証サーバーは、URL に指定されたパラメータを使用して通信を許可します。この例は、外部認証の動作方法の概略を示す URL の一例です。各 URL の詳細およびすべてのパラメータの説明については、次を参照してください:ホットスポット外部ゲスト認証用に Web サーバーを構成する

ホットスポット ユーザー、外部 Web サーバー、XTM デバイスを示すネットワーク図

この例にある URL は、以下の構成設定に基づいています:

  • Firebox:
    • ゲスト ネットワーク IPアドレス — 10.0.3.1
    • 任意のインターフェース IP アドレス — 10.0.2.1
  • 外部 Web サーバー:
    • IP アドレス — 10.0.2.80
    • 認証 URL — http://10.0.2.80:8080/auth.html
    • 認証失敗 URL — http://10.0.2.80:8080/failure.html
  • ホットスポット ユーザー:
    • MAC アドレス — 9C:4E:36:30:2D:26
    • ホットスポット ユーザは最初に http://www.google.com に接続しようとします。

ステップ 1 — ホットスポット ユーザーを認証する

ユーザーが最初に Web サイトへのアクセスを取得しようとする際に、Firebox がホットスポット ユーザーから HTTP 要求を受信します。Firebox が MAC アドレスを参照して、現在のホットスポット セッションがこのユーザーにすでに存在しているかどうかを確認します。この MAC アドレスにすでにホットスポット セッションがある場合は、ファイアウォール ポリシーの構成に基づいて、Firebox によりトラフィックが許可または拒否されます。これが新しい MAC アドレス の場合は、アクセス要求 URL を外部 Web サーバーに送信するために、Firebox からホットスポット クライアント ブラウザにリダイレクトが送信されます。

アクセス要求 URL 例:

http://10.0.2.80:8080/auth.html?xtm=http://10.0.3.1:4106/wgcgi.cgi&action=hotspot_auth
&ts=1344238620&sn=70AB02716F745&mac=9C:4E:36:30:2D:26&redirect=http://www.google.com/

外部 Web サーバー上の認証ページがブラウザに表示されます。ホットスポット ユーザーが、認証に必要な情報を提供します。

ステップ 2 — 外部 Web サーバーがアクセス決定を送信する

外部の Web サーバは、ホットスポット ユーザーを認証した後、アクセス決定 URL を Firebox にホットスポット クライアントのブラウザを介して送信します。

アクセス決定 URL 例:

http://10.0.3.1:4106/wgcgi.cgi?action=hotspot_auth&ts=1344238620&success=1
&sig=a05d352951986e5fbf939920b260a6be3a9fffd3&redirect=http://www.google.com/

この URL では:

  • Success=1 は、Web サーバーからの アクセス決定 がこの URL へアクセスを許可しているという意味です。
  • アクセス決定 URL のリダイレクトセクションで指定された URL は、ホットスポット ユーザーが元々要求した URL です。
  • 外部 Web サーバーは、オプションで、これを別の URL に置き換えることもできます。

ステップ 3 — Firebox がアクセスを許可または拒否する

Firebox が、アクセス決定 (success=1、または success=0) を読み込み、チェックサムを検証します。success=1 で、チェックサム検証が成功した場合、Firebox はクライアントのホットスポット セッションを作成し、クライアントをアクセス決定 URL で指定された URL にリダイレクトします。success=0 、または、認証エラーが検出された場合は、Firebox がクライアントを 認証失敗 URL にリダイレクトします。

この例では、認証が成功すると、最初に要求されたサイト http://www.google.com がブラウザに表示されます。

認証に失敗した場合、またはアクセスが拒否された場合は、認証失敗 URL がブラウザに表示されます。

失敗 URL 例:

http://10.0.2.80:8080/failure.html?error=510&sn=70A70272B454E&mac=9C:4E:36:30:2D:26

関連情報:

ホットスポットを構成する