PIX/ASA:ASDM/CLIを介したVPNクライアントユーザのKerberos認証およびLDAP認証サーバグループの設定例

ダウンロード オプション

  • PDF     (611.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (326.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (699.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 7 月 30 日
Document ID:68881

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Adaptive Security Device Manager(ASDM)を使用して、Cisco PIX 500 シリーズ セキュリティ アプライアンスで Kerberos 認証および LDAP 許可サーバ グループを設定する方法について説明します。この例では、VPN トンネル グループのポリシーによってサーバ グループが使用され、着信ユーザが認証および許可されます。

前提条件

要件

このドキュメントでは、PIX が完全に動作していて、Cisco ASDM で設定を変更できるように設定されていると想定しています。

注:PIXをASDMで設定できるようにするには、『ASDMでのHTTPSアクセスの許可』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco PIX Security Appliance ソフトウェア バージョン 7.x 以降

  • Cisco ASDM バージョン 5.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco Adaptive Security Appliance(ASA)バージョン 7.x でも使用できます。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

VPN ユーザに対応する場合は、PIX/ASA 7.x ソフトウェアで使用可能な認証および許可方式がすべてサポートされているとは限りません。次の表は、VPN ユーザに対して使用可能な方式の詳細を示します。

  Local RADIUS TACACS+ SDI NT Kerberos [LDAP]
[Authentication] Yes Yes Yes Yes Yes Yes いいえ
許可 Yes Yes いいえ いいえ いいえ いいえ Yes

注:この例では、認証にKerberosを使用し、VPNユーザの認可にLDAPを使用しています。

ASDM による VPN ユーザの認証および許可の設定

認証サーバと許可サーバの設定

次の手順を実行して、ASDM による VPN ユーザの認証および許可サーバ グループを設定します。

  1. [Configuration] > [Properties] > [AAA Setup] > [AAA Server Groups] を選択し、[Add] をクリックします。

    aa-svrgrps-asdm-1.gif

  2. 新しい認証サーバ グループの名前を定義し、プロトコルを選択します。

    [Accounting Mode] オプションは、RADIUS および TACACS+ 専用です。完了したら、[OK] をクリックします。

    aa-svrgrps-asdm-2.gif

  3. ステップ 1 および 2 を繰り返して、新しい許可サーバ グループを作成します。

    aa-svrgrps-asdm-3.gif

  4. [Apply] をクリックしてデバイスに変更を送信します。

    aa-svrgrps-asdm-4.gif

    プレビューするようにデバイスを設定している場合は、実行中の設定に追加されるコマンドがデバイスでプレビューされます。

  5. [Send] をクリックしてデバイスにコマンドを送信します。

    aa-svrgrps-asdm-5.gif

    新しく作成したサーバ グループには、認証および許可サーバを入力する必要があります。

  6. [Configuration] > [Properties] > [AAA Setup] > [AAA Servers] を選択し、[Add] をクリックします。

    aa-svrgrps-asdm-6.gif

  7. 認証サーバを設定します。完了したら、[OK] をクリックします。

    aa-svrgrps-asdm-7.gif

    • Server Group:ステップ 2 で設定した認証サーバ グループを選択します。

    • Interface Name:サーバが常駐するインターフェイスを選択します。

    • Server IP Address:認証サーバの IP アドレスを指定します。

    • Timeout:サーバからの応答を待機する最大時間(秒単位)を指定します。

    • Kerberos パラメータ:

      • Server Port:88 が、Kerberos の標準ポートです。

      • Retry Interval:必要な再試行間隔を選択します。

      • Kerberos Realm:使用する Kerberos レルムの名前を入力します。これは、通常、すべて大文字の Windows ドメイン ネームです。

  8. 許可サーバを設定します。完了したら、[OK] をクリックします。

    aa-svrgrps-asdm-8.gif

    • Server Group:ステップ 3 で設定した許可サーバ グループを選択します。

    • Interface Name:サーバが常駐するインターフェイスを選択します。

    • Server IP Address:許可サーバの IP アドレスを指定します。

    • Timeout:サーバからの応答を待機する最大時間(秒単位)を指定します。

    • LDAP パラメータ:

      • Server Port:389 が、LDAP のデフォルト ポートです。

      • Base DN:サーバが許可要求を受信したら検索を開始する必要のある、LDAP 階層内の場所を入力します。

      • Scope:サーバが許可要求を受信したら検索する必要のある LDAP 階層の範囲を選択します。

      • Naming Attribute(s):LDAP サーバのエントリを一意に識別するために使用する相対識別名属性を入力します。一般的な命名属性は、一般名(cn)とユーザ ID(uid)です。

      • Login DN:Microsoft Active Directory サーバなど、一部の LDAP サーバでは、他の LDAP 操作の要求を受け入れる前に、認証済みバインディング経由でデバイスがハンドシェイクを確立する必要があります。[Login DN] フィールドは、管理特権を持つユーザの特性に対応する、デバイスの認証特性を定義します。たとえば、cn=administrator と定義します。匿名アクセスの場合は、このフィールドをブランクのままにします。

      • Login Password:Login DN のパスワードを入力します。

      • Confirm Login Password:Login DN のパスワードを確認します。

  9. すべての認証サーバと許可サーバを追加したら、[Apply] をクリックしてデバイスに変更を送信します。

    プレビューするように PIX を設定している場合は、実行中の設定に追加されるコマンドが PIX でプレビューされます。

  10. [Send] をクリックしてデバイスにコマンドを送信します。

認証および許可のための VPN トンネル グループの設定

次の手順を実行して、VPN トンネル グループに設定したサーバ グループを追加します。

  1. [Configuration] > [VPN] > [Tunnel Group] を選択し、[Add] をクリックして、新しいトンネル グループを作成するか、[Edit] をクリックして、既存のグループを変更します。

    aa-svrgrps-asdm-9.gif

  2. 表示されるウィンドウの [General] タブで、先ほど設定したサーバ グループを選択します。

    aa-svrgrps-asdm-10.gif

  3. オプション:新しいトンネルグループを追加する場合は、他のタブで残りのパラメータを設定します。

  4. 完了したら、[OK] をクリックします。

  5. トンネル グループの設定を完了したら、[Apply] をクリックしてデバイスに変更を送信します。

    プレビューするように PIX を設定している場合は、実行中の設定に追加されるコマンドが PIX でプレビューされます。

  6. [Send] をクリックしてデバイスにコマンドを送信します。

CLI による VPN ユーザの認証および許可の設定

次に示すのは、VPN ユーザの認証および許可サーバ グループの、同等の CLI 設定です。

セキュリティ アプライアンスの CLI 設定 
pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Output is suppressed.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Output is suppressed.

確認

次の手順を実行して、PIX/ASA と AAA サーバの間のユーザ認証を確認します。

  1. [Configuration] > [Properties] > [AAA Setup] > [AAA Servers] を選択し、サーバ グループ(my_authent_grp)を選択します。次に、[Test] をクリックしてユーザ クレデンシャルを許可します。

    aa-svrgrps-asdm-11.gif

  2. ユーザ名とパスワード(たとえば、ユーザ名:testとパスワード:test)を入力して、OKをクリックして検証します。

    aa-svrgrps-asdm-12.gif

  3. 認証が成功したことが表示されます。

    aa-svrgrps-asdm-13.gif

トラブルシュート

  1. 認証エラーの一般的な原因の 1 つは、時間のずれです。PIX または ASA のクロックと認証サーバが同期していることを確認します。

    クロックスキューが原因で認証が失敗する場合は、:- ERROR: Authentication Rejected: Clock skew greater than 300 seconds.というエラーメッセージが表示されることがあります。また、次のログ メッセージが表示されます。

    %PIX|ASA-3-113020: Kerberosエラー:「Clock skew with server ip_address greater than 300 seconds」

    ip_address — The IP address of the Kerberos server.

    このメッセージは、Kerberos サーバ経由の IPSec または WebVPN ユーザの認証が、セキュリティ アプライアンスのクロックとサーバのクロックのずれが 5 分(300 秒)を超えているために失敗した場合に表示されます。これが発生した場合は、接続しようとしても拒否されます。

    この問題を解決するには、セキュリティ アプライアンスと Kerberos サーバのクロックを同期します。

  2. Active Directory(AD)の事前認証は、無効にする必要があります。そうしないと、ユーザ認証が失敗する可能性があります。

  3. VPN Client ユーザは、Microsoft 証明書サーバに対して認証することはできません。次のエラー メッセージが表示されます。

    "Error processing payload" (Error 14)

    この問題を解決するには、認証サーバの [do not require kerberose preauthentication] チェックボックスをオフにします。

関連情報

更新履歴

改定 発行日 コメント
1.0
26-Jan-2006
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています