VPN 3000 コンセントレータでの Cisco VPN クライアント ユーザおよびグループ アトリビュートの処理

はじめに

このドキュメントでは、Cisco VPN ClientがVPNコンセントレータで認証される方法、およびCisco VPN 3000コンセントレータがユーザ属性とグループ属性を使用する方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco VPN 3000コンセントレータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN 3000コンセントレータに接続するVPN Client

VPN ClientがVPN 3000コンセントレータに接続するときに、最大4つの認証を実行できます。

1. グループが認証されます。（これは「トンネルグループ」と呼ばれることがよくあります）。

2. ユーザが認証されます。

3. （オプション）ユーザが別のグループの一部である場合、このグループは次に認証されます。ユーザが別のグループまたはトンネルグループに属していない場合、ユーザはデフォルトでベースグループに属し、このステップは行われません。

4. ステップ1の「トンネルグループ」が再度認証されます。(これは、「グループロック」機能を使用している場合に実行されます。この機能は、バージョン2.1以降で使用できます)。

これは、内部データベースを介して認証されたVPN Clientのイベントログに表示されるイベントの例です（「testuser」はグループ「Engineering」の一部です）。

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

注：これらのイベントを表示するには、Configuration > System > Events > Classesで重大度1 ～ 6の認証イベントクラスを設定する必要があります。

グループロック機能：グループロック機能がグループTunnel_Groupで有効になっている場合、ユーザは接続するためにTunnel_Groupの一部である必要があります。前述の例では、すべての同じイベントが表示されますが、「testuser」はGroup - Engineeringの一部であり、Group - Tunnel_Groupの一部ではないため接続しません。次のイベントも表示されます。

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

グループロック機能と設定例についての詳細は、『RADIUSサーバを使用したVPN 3000コンセントレータグループへのユーザのロック』を参照してください。

RADIUSによるグループとユーザの外部認証

VPN 3000コンセントレータは、RADIUSサーバを介して外部のユーザおよびグループを認証するように設定することもできます。この場合も、VPNコンセントレータでグループの名前を設定する必要がありますが、グループタイプは「External」として設定されています。

• RADIUSサーバがベンダー固有属性(VSA)をサポートしている場合、外部グループはCisco/Altiga属性を返すことができます。

• RADIUSによって返されないCisco/Altiga属性は、デフォルトでベースグループの値に設定されます。

• RADIUSサーバがVSAをサポートしていない場合、ALL属性はデフォルトでBase Group属性になります。

注：RADIUSサーバはグループ名をユーザ名と同様に扱います。RADIUSサーバ上のグループは、標準ユーザと同様に設定されます。

次の手順では、ユーザとグループの両方が外部で認証される場合に、IPSec ClientがVPN 3000コンセントレータに接続するとどうなるかを説明しています。内部ケースと同様に、最大4つの認証を実行できます。

1. グループはRADIUS経由で認証されます。RADIUSサーバは、グループに対して多くの属性を返すか、まったく属性を返しません。少なくとも、RADIUSサーバはCisco/Altiga属性「IPSec Authentication = RADIUS」を返して、VPNコンセントレータにユーザの認証方法を通知する必要があります。そうでない場合、ベースグループのIPSec認証方式を「RADIUS」に設定する必要があります。

2. ユーザはRADIUS経由で認証されます。RADIUSサーバは、ユーザに対して多くの属性を返すか、まったく属性を返しません。RADIUSサーバが属性CLASS(標準RADIUS属性#25)を返す場合、VPN 3000コンセントレータはその属性をグループ名として使用し、手順3に進みます。それ以外の場合は手順4に進みます。

3. 次に、ユーザのグループがRADIUS経由で認証されます。RADIUSサーバは、グループに対して多くの属性を返すか、まったく属性を返しません。

4. ステップ1の「Tunnel Group」は、RADIUS経由で再度認証されます。認証サブシステムは、トンネルグループを再度認証する必要があります。これは、ステップ1で認証から取得した属性（存在する場合）を保存していないためです。これは、「グループロック」機能が使用されている場合に実行されます。

VPN 3000 Concentrator がユーザおよびグループ属性を利用する方法

VPN 3000コンセントレータは、ユーザとグループを認証した後、受信した属性を整理する必要があります。VPNコンセントレータは、この優先順位の属性を使用します。認証が内部で実行されたか、外部で実行されたかは問題ではありません。

1. ユーザ属性：他のすべての属性よりも優先されます。

2. グループ属性：ユーザ属性に含まれていない属性は、グループ属性によって書き込まれます。同じ属性を持つユーザは、ユーザ属性で上書きされます。

3. トンネルグループ属性:User属性またはGroup属性で欠落しているすべての属性は、トンネルグループ属性によって書き込まれます。同じ属性を持つユーザは、ユーザ属性で上書きされます。

4. ベースグループ属性：ユーザ、グループ、またはトンネルグループ属性で欠落しているすべての属性は、ベースグループ属性によって書き込まれます。

関連情報

• Cisco VPN 3000 シリーズ コンセントレータに関するサポート ページ
• Cisco VPN Client に関するサポート ページ
• IPSec に関するサポート ページ
• RADIUS に関するサポート ページ
• Requests for Comments (RFCs)
• テクニカルサポート - Cisco Systems