このドキュメントでは、Cisco適応型セキュリティアプライアンス(ASA)で使用される複数の認証タイプを区別するために、クライアントタイプRADIUSベンダー固有属性(VSA)を使用するようにCisco Identity Services Engine(ISE)を設定する方法について説明します。 多くの組織では、ユーザがASAに対して認証される方法に基づいてポリシーを決定する必要があります。これにより、ASAで受信した管理接続にポリシーを適用することもできます。これにより、慎重な場合はTACACS+の代わりにRADIUSを使用できます。
次の項目に関する知識があることが推奨されます。
ISE認証および許可。
ASA認証方式とRADIUS設定。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco適応型セキュリティアプライアンスリリース8.4.3
Cisco Identity Services Engineリリース1.1
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Client-Type属性はASAリリース8.4.3で追加されました。これにより、ASAはAccess-Request(およびAccounting-Request)パケットでISEに認証するクライアントのタイプを送信し、ISEはその属性に基づいてポリシーを決定できます。この属性はASA上で設定する必要はなく、自動的に送信されます。
Client-Type属性は現在、次の整数値で定義されています。
Cisco VPN Client(Internet Key Exchange Version(IKEv1))
AnyConnectクライアントSSL VPN
クライアントレス SSL VPN
カットスループロキシ
L2TP/IPsec SSL VPN
AnyConnectクライアントIPsec VPN(IKEv2)
このセクションでは、このドキュメントで説明されているクライアントタイプ属性を使用するようにISEを設定するために必要な情報を提供します。
ISEにクライアントタイプ属性値を追加するには、属性を作成し、その値をカスタムディクショナリとして入力します。
ISEで、[Policy] > [Policy Elements] > [Dictionaries] > [System] に移動します。
システム辞書内で、[RADIUS] > [RADIUS Vendors] > [Cisco-VPN3000]に移動します。
画面のベンダーIDは3076である必要があります。[辞書属性]タブをクリックします。
[Add]をクリックします(図1を参照)。
図 1:辞書属性
図2に示すように、カスタムRADIUS Vendor Attributeフォームのフィールドに入力します。
図 2:RADIUSベンダー属性
画面下部の[保存]ボタンをクリックします。
ポリシー決定に新しい属性を使用するには、[conditions]セクションの認可ルールに属性を追加します。
ISEで、[Policy] > [Authorization] に移動します。
新しいルールを作成するか、既存のポリシーを変更します。
ルールの[条件]セクションで、[条件]ペインを展開し、[新しい条件の作成(新しいルールの場合)]または[属性/値の追加(既存のルールの場合)]を選択します。
[Select Attribute] フィールドで、[Cisco-VPN3000] > [Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type] に移動します。
ご使用の環境に適した演算子(EqualsまたはNot Equals)を選択します。
一致させる認証タイプを選択します。
ポリシーに適した承認結果を割り当てます。
[Done] をクリックします。
[Save] をクリックします。
ルールが作成されると、認可条件は図3の例のようになります。
図 3:許可条件の例
クライアントタイプ属性が使用中であることを確認するには、ISEでASAからの認証を確認します。
[Operations] > [Authentications]に移動します。
ASAからの認証に対して[Details]ボタンをクリックします。
[Other Attributes]までスクロールダウンして、[CVPN3000/ASA/PIX7x-Client-Type=](図4を参照)を探します。
図 4:その他の属性の詳細
[その他の属性]フィールドは、認証で受信した値を示します。ルールは、設定セクションのステップ2で定義したポリシーと一致する必要があります。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
03-Mar-2013 |
初版 |