この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
FlexVPN RA - Cisco AnyConnect クライアントのサポートを拡張することで、AnyConnect 機能の集約認証サポートは、集約認証方式を実装します。このクライアントでは、独自の AnyConnect EAP 認証方式を使用し、Cisco AnyConnect クライアントと FlexVPN サーバー間にインターネットを介したセキュア トンネルを確立します。
<BypassDownloader> 値を true に設定して、AnyConnectLocalPolicy ファイルで BypassDownloader 関数を有効にする必要があります。デバイスで SSL がサポートされていない場合、BypassDownloader 関数は動作しないため、<BypassDownloader> 値を false に設定して、この関数を無効にする必要があります。そうしないと、接続が失敗します。
集約認証の設定に関する情報
VPN 接続を確立するには、VPN クライアントが Extensible Authentication Protocol(EAP:拡張可能認証プロトコル)、拡張認証(XAUTH)などの認証方式を使用してユーザー クレデンシャルを取得し、Access Control Server を接続するハブにユーザー クレデンシャルを転送する必要があります。Access Control Server は、外部データベースまたは Active Directory(AD)を送信してクレデンシャルを確認します。
FlexVPN サーバーは(ハブとして)Cisco Secure Access Control Server と連動してユーザー クレデンシャルを確認し、VPN 接続を確立します。ただし、Cisco AnyConnect は EAP を使用してユーザー クレデンシャルを取得し、XAUTH をサポートしません。一方、Cisco Secure Access Control Server は外部データベース(ここでは AD)を使用する EAP-MD5 をサポートしません。これによって、Cisco Secure Access Control Server が EAP-MD5 をサポートする必要があるシナリオ、または FlexVPN が Cisco AnyConnect からの情報を個別に認証して、Cisco Secure Access Control Server に個別に接続する必要があるシナリオが生じます。FlexVPN は、集約認証方式を使用して、Cisco AnyConnect からの情報を認証できます。FlexVPN サーバーで集約認証方式を実装すると、Cisco IOS ソフトウェアにより多くの機能サポートを追加するためのウィンドウが提供されます。
FlexVPN RA:AnyConnect の集約認証サポート機能では、独自の AnyConnect EAP 認証方式を使用する Cisco AnyConnect クライアントのサポートを拡張することによって集約認証方式を実装し、Cisco AnyConnect サーバーや FlexVPN サーバーを使用してインターネット上にセキュアなトンネルを確立します。 これは、サーバー固有の機能で、Cisco AnyConnect と連動します。
インターネット キー エクスチェンジ バージョン 2 は、基本的な集約認証を実装することによって独自の AnyConnect EAP 認証方式を使用する Cisco AnyConnect をサポートします。ここでの認証は、リモート RADIUS サーバーを使用する認証、認可、およびアカウンティング(AAA)を介して実行されます。次に、Cisco IOS ソフトウェアでの集約認証の実装を説明するネットワーク トポロジの例を示します。
この図は、次のことを示しています。
Cisco Secure Access Control Server は、認証用の RADIUS サーバーとして機能します。
クレデンシャルは、認証用の Active Directory として機能する Microsoft Active Directory に格納されます。
 (注) |
Microsoft Active Directory は、単なる例です。クレデンシャルの格納場所は重要ではありません。 |
シスコ デバイスは、FlexVPN サーバーとして機能します。
Windows 7 PC は、Cisco AnyConnect クライアントとして機能します。
VPN 接続を開始するために、Cisco AnyConnect クライアントは証明書を使用して FlexVPN サーバーを確認します。
証明書を確認した後、Cisco AnyConnect クライアントは Cisco AnyConnect EAP がロードしたメッセージを FlexVPN サーバーに送信します。
FlexVPN サーバーが Cisco AnyConnect から Cisco AnyConnect EAP がロードしたメッセージを受信すると、FlexVPN サーバーはメッセージをダウンロードして EAP のメッセージを除去します。
FlexVPN は認証用の RADIUS サーバーおよび認証用の Microsoft Active Directory(AD)との接続を確立して、除去されたメッセージを転送し、Cisco AnyConnect クライアントから提供されたクレデンシャルを確認します。
クレデンシャルが RADIUS サーバーおよび Microsoft Active Directory(AD)によって確認されて承認されると、適切な応答が FlexVPN サーバーに送信され、Cisco AnyConnect に応答し、VPN 接続が確立されます。
AnyConnect EAP を使用する IKE での認証は、RFC 3748 で説明されているように標準 EAP モデルのバリエーションです。AnyConnect EAP を使用すると、パブリック設定または認証 XML は EAP ペイロードを介して送信されます。次の図に、Cisco AnyConnect によって使用される一般的なメッセージ フローを示します。
Cisco IOS ソフトウェアでの集約認証の実装は、デュアルファクタ認証に拡張できます。二重認証は、デバイス証明書情報を交換し検証する集約認証中に、新しい AnyConnect EAP 交換を導入することで実行されます。「デバイス」と同様に「ユーザー」も認証するこのメカニズムは、「二重認証」と呼ばれます。
(注) |
AnyConnect EAP は、AnyConnect クライアント固有の認証方式であり、他クライアントには適用されません。 |
集約認証の設定方法
このタスクを実行して、FlexVPN サーバーの集約認証を設定します。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。
|
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
crypto ikev2 profile profile-name 例: |
IKEv2 プロファイル名を定義し、IKEv2 プロファイル コンフィギュレーション モードを開始します。 |
|
ステップ 4 |
aaa accounting anyconnect-eap list-name 例: |
IKEv2 リモート認証方式が AnyConnect EAP の場合、認証、認可、およびアカウンティング(AAA)のアカウンティング方式リストを有効にします。 |
|
ステップ 5 |
match identity remote key-id opaque-string 例: |
リモート キー ID タイプの ID に基づいて、プロファイルを照合します。 |
|
ステップ 6 |
authentication remote anyconnect-eap aggregate [cert-request] 例: |
|
|
ステップ 7 |
authentication local rsa-sig 例: |
Rivest、Shamir、Adelman(RSA)署名をローカル認証方式として指定します。 |
|
ステップ 8 |
pki trustpoint trustpoint-label 例: |
RSA 署名認証方式で使用する Public Key Infrastructure(PKI)トラストポイントを指定します。 |
|
ステップ 9 |
aaa authentication anyconnect-eap list-name 例: |
Cisco AnyConnect EAP 認証用に、認証、認可、およびアカウンティング(AAA)認証リストを指定します。
|
|
ステップ 10 |
aaa authorization group anyconnect-eap list aaa-listname name-mangler mangler-name 例: |
リモート認証方式が AnyConnect EAP であり、名前分割が派生する場合、各グループ ポリシーに AAA 認証を指定します。 |
|
ステップ 11 |
aaa authorization user anyconnect-eap cached 例: |
リモート認証方式が AnyConnect EAP であり、AnyConnect EAP 認証からキャッシュした属性を使用する場合、各ユーザー ポリシーに AAA 認証を指定します。 |
|
ステップ 12 |
aaa authorization user anyconnect-eap list aaa-listname name-mangler mangler-name 例: |
リモート認証方式に AAA 方式リストを指定し、名前分割が派生します。 |
|
ステップ 13 |
end 例: |
|
|
ステップ 14 |
show crypto ikev2 session detailed 例: |
アクティブなインターネット キー エクスチェンジ バージョン 2(IKEv2)セッションのステータスを表示します。 |
集約認証の設定例
次の例は、FlexVPN サーバーで集約認証を設定する方法を示します。これによって、Cisco AnyConnect クライアントと FlexVPN サーバー間のセキュア トンネルの確立を有効にします。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 profile profile1
Device(config-ikev2-profile)# aaa accounting anyconnect-eap list1
Device(config-ikev2-profile)# match identity remote key-id aggauth_user1@example.com
Device(config-ikev2-profile)# authentication remote anyconnect-eap aggregate cert-request
Device(config-ikev2-profile)# authentication local rsa-sig
Device(config-ikev2-profile)# pki trustpoint CA1
Device(config-ikev2-profile)# aaa authentication anyconnect-eap list1
Device(config-ikev2-profile)# aaa authorization group anyconnect-eap list list1 name-mangler mangler1
Device(config-ikev2-profile)# aaa authorization user anyconnect-eap cached
Device(config-ikev2-profile)# aaa authorization user anyconnect-eap list list1 name-mangler mangler1
Device(config-ikev2-profile)# end|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
IKEv2 でのデュアルファクタ認証のサポート |
IKEv2 でのデュアルファクタ認証のサポートは、二重認証への Cisco AnyConnect クライアントからの証明書要求をサポートします。 authentication (IKEv2 profile) コマンドが変更されました。 |
|
|
FlexVPN RA - AnyConnect の集約認証サポート |
FlexVPN RA - Cisco AnyConnect クライアントのサポートを拡張することで、AnyConnect 機能の集約認証サポートは、集約認証方式を実装します。このクライアントでは、独自の AnyConnect EAP 認証方式を使用し、Cisco AnyConnect クライアントと FlexVPN サーバー間にインターネットを介したセキュア トンネルを確立します。 次のコマンドが導入または変更されました。aaa accounting (IKEv2 profile)、aaa authentication (IKEv2 profile)、aaa authorization (IKEv2 profile)、authentication (IKEv2 profile)、show crypto ikev2 profile、show crypto ikev2 session |
フィードバック