- このマニュアルについて
- IPsec と ISAKMP の設定
- L2TP over IPsec の設定
- VPN の一般パラメータの設定
- 接続プロファイル、グループ ポリシー、およびユーザの設定
- VPN の IP アドレスの設定
- リモート アクセス IPsec VPN の設定
- ネットワーク アドミッション コントロールの設定
- ASA 5505 上での Easy VPN サービスの設定
- PPPoE クライアントの設定
- LAN-to-LAN IPsec VPN の設定
- クライアントレス SSL VPN の設定
- AnyConnect VPN Client 接続の設定
- AnyConnect ホスト スキャンの設定
- 許可および認証用の外部サーバの設定
- 索引
マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月6日
章のタイトル: 許可および認証用の外部サーバの設定
許可および認証用の外部サーバの設定
この付録では、ASAで AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するようにASAを設定する前に、正しいASA認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。
権限および属性のポリシー実施の概要
ASAは、ユーザ許可属性(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ属性を、ASA のダイナミック アクセス ポリシー(DAP)を通じて、外部認証サーバや許可 AAA サーバ(RADIUS または LDAP)から、ASA のグループ ポリシーから、またはこれら 3 つのすべてから取得できるように ASA を設定できます。
ASA がすべてのソースから属性を受信すると、その属性が評価され、集約されてユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。
ASA によって属性が適用される順序は次のとおりです(図 14-1 を参照)。
1.
ASA 上の DAP 属性:バージョン 8.0(2) で導入されたこの属性は、他のすべての属性よりも優先されます。DAP 内でブックマークまたは URL リストを設定した場合は、グループ ポリシーで設定されているブックマークや URL リストよりも優先されます。
2. AAA サーバ上のユーザ属性:ユーザ認証や許可が成功すると、サーバからこの属性が返されます。これらの属性を、ASAのローカル AAA データベースの個々のユーザに設定されている属性(ASDM のユーザ アカウント)と混同しないでください。
3. ASA 上で設定されているグループ ポリシー:RADIUS サーバからユーザの RADIUS CLASS 属性 IETF-Class-25(OU= group-policy )の値が返された場合は、ASA はそのユーザを同じ名前のグループ ポリシーに入れて、そのグループ ポリシーの属性のうち、サーバから返されないものを適用します。
LDAP サーバでは、任意の属性名を使用してセッションのグループ ポリシーを設定できます。ASA 上で設定されている LDAP 属性マップによって、LDAP 属性が Cisco 属性 IETF-Radius-Class にマッピングされます。
4. 接続プロファイル(CLI では「トンネル グループ」と呼ばれます)によって割り当てられたグループ ポリシー:接続プロファイルには、接続の事前設定が含まれているほか、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。ASA に接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、DAP、サーバから返されるユーザ属性、またはユーザに割り当てられたグループ ポリシーにはない属性が定義されています。
5. ASAで割り当てられたデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト属性は、DAP、ユーザ属性、グループ ポリシー、または接続プロファイルで不足している値を提供します。
外部 LDAP サーバの設定
VPN 3000 コンセントレータと ASA/PIX 7.0 ソフトウェアでは、認証作業に Cisco LDAP スキーマが必要でした。バージョン 7.1.x 以降では、ASA は、ネイティブ LDAP スキーマを使用して認証および許可を行うため、Cisco スキーマは必要なくなりました。
許可(権限ポリシー)の設定は、LDAP 属性マップを使用して行います。例については、「Active Directory/LDAP VPN リモート アクセス許可の例」を参照してください。
ここでは、LDAP サーバの構造、スキーマ、および属性について説明します。次の項目を取り上げます。
• 「Active Directory/LDAP VPN リモート アクセス許可の例」
これらのプロセスの実際のステップは、使用する LDAP サーバのタイプによって異なります。
(注) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。
ASA での LDAP の設定
この項では、LDAP 階層内で検索し、LDAP サーバに対する認証済みバインディングを実行する方法について説明します。説明する項目は次のとおりです。
LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Employee1 を例に考えてみます。Employee1 は Engineering グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。たとえば、シングルレベル階層をセットアップします。この中で、Employee1 は Example Corporation のメンバーであると見なされます。あるいは、マルチレベル階層をセットアップします。この中で、Employee1 は Engineering 部門のメンバーであると見なされ、この部門は People という名称の組織ユニットのメンバーであり、この組織ユニットは Example Corporation のメンバーです。マルチレベル階層の例については、図 14-2 を参照してください。
マルチレベル階層の方が詳細ですが、検索結果が速く返されるのはシングルレベル階層の方です。
LDAP 階層の検索
ASAでは、LDAP 階層内での検索を調整できます。ASA に次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドは、ユーザの権限が含まれている部分だけを検索するように階層の検索を限定します。
• LDAP Base DN では、サーバが ASA から許可要求を受信したときに LDAP 階層内のどの場所からユーザ情報の検索を開始するかを定義します。
• Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバによる検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。
• Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前属性には、cn(一般名)、sAMAccountName、および userPrincipalName を含めることができます。
図 14-2 に、Example Corporation の LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 14-1 に、2 つの検索コンフィギュレーションの例を示します。
最初のコンフィギュレーションの例では、Employee1 が IPSec トンネルを確立するときに LDAP 許可が必要であるため、ASA から LDAP サーバに検索要求が送信され、この中で Employee1 を Engineering グループの中で検索することが指定されます。この検索は短時間でできます。
2 番目のコンフィギュレーションの例では、ASA から送信される検索要求の中で、Employee1 を Example Corporation 全体の中で検索することが指定されています。この検索には時間がかかります。
|
|
|
|
|
|
|---|---|---|---|---|
LDAP への ASA のバインド
一部の LDAP サーバ(Microsoft Active Directory サーバなど)では、他の LDAP 動作の要求を受け入れる前に、認証済みバインディングを介したハンドシェイクが必要です。ASA は、ログイン認定者名(DN)とログイン パスワードを使用して、LDAP サーバとの信頼関係(認証済みバインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。
Microsoft Active Directory の読み取り専用操作(認証、許可、グループ検索など)を行うときは、ASA は特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理書き込み操作では、Login DN に昇格特権が付与されていることと、AD の Account Operators グループのメンバーの一部であることが必要です。Microsoft Active Directory グループの検索(「MemberOf retrieval」とも呼ばれる)ASA バージョン 8.0.4 に追加されました。
cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com
読み取りおよび書き込みの操作に関する Login DN の具体的な要件については、使用する LDAP の管理者ガイドを参照してください。
• パスワードを暗号化しない簡易 LDAP 認証(デフォルト ポート 389 を使用)。デフォルトのポートの代わりに他のポートも使用できます。
• セキュア LDAP(LDAP-S)(デフォルト ポート 636 を使用)。デフォルトのポートの代わりに他のポートも使用できます。
• Simple Authentication and Security Layer(SASL)MD5
(注) LDAP クライアントとしての ASA は、匿名のバインドや要求の送信をサポートしていません。
ASA LDAP コンフィギュレーションの定義
許可では、権限または属性を使用するプロセスを参照します。認証または許可サーバとして定義されている LDAP サーバは、権限または属性(設定されている場合)を適用します。
この項では、LDAP AV-pair 属性の構文の定義方法について説明します。内容は次のとおりです。
ガイドライン
ASAは、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。RADIUS 属性は、名前ではなく数値 ID によって適用されます。
ASDM バージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。ASDM バージョン 7.1 以降では、このプレフィックスは削除されています。
LDAP 許可でサポートされている Cisco 属性
この項では、ASA 5500、VPN 3000 コンセントレータ、および PIX 500 シリーズ ASA で使用される全属性のリスト( 表 14-2 を参照)を示します。この表には、VPN 3000 コンセントレータおよび PIX 500 シリーズ ASA での属性サポート情報も含まれていますが、これは、このようなデバイスの組み合わせを使用するネットワークの設定を支援するためです。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
| [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 詳細については「Cisco-AV-Pair 属性の構文」を参照してください。 |
||||||
有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name。 |
||||||
リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。 |
||||||
リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、Group-Policy 属性の使用を推奨します。次の 3 つの形式のいずれかを使用できます。 |
||||||
ASAで定義された ACL 名。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。 |
||||||
IP アドレス。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。 |
||||||
IP アドレス マスク。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。 |
||||||
1 = Login |
||||||
|
|
|
|
|
1 = RADIUS 2 = LDAP(許可のみ) 3 = NT ドメイン 4 = SDI(RSA) 5 = 内部 6 = RADIUS での Expiry 7 = Kerberos または Active Directory |
||
1 = クライアントが設定したリストを使用する |
||||||
0 = なし |
||||||
|
|
|
|
||||
| 1 = 暗号化が必要 |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 = シスコ(Cisco Integrated Client を使用) |
||||||
| 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) 1 = Zone Alarm 1 = Personal Firewall |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
1 = PPTP |
||||
例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。 http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x |
||||||
例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。 http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x |
||||||
Cisco-AV-Pair 属性の構文
Cisco Attribute Value(AV)ペア(ID 番号 26/9/1)を使用して、(Cisco ACS のような)RADIUS サーバから、または LDAP 属性マップ経由で LDAP サーバから、ACL を適用できます。
[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]
表 14-3 で構文のルールについて説明します。
Cisco-AV-Pair の ACL 例
表 14-4 に Cisco AV ペアの例を示し、その結果の許可または拒否のアクションについて説明します。
(注) inacl# の各 ACL # は固有である必要があります。ただし、これらは連続している(たとえば 1、2、3、4)必要はありません。たとえば、5、45、135 でもかまいません。
ACL でサポートされる URL タイプ
URL は部分的な URL でもかまいません。また、サーバを表すワイルドカードや、ポートが含まれていてもかまいません。
(注) この表に示した URL が CLI または ASDM のメニューに表示されるかどうかは、関連付けられたプラグインがイネーブルかどうかによって決まります。
Cisco-AV-Pair(ACL)使用のガイドライン
• リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルに ACL を適用するには、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。
• SSL VPN クライアントレス(ブラウザモード)トンネルに ACL を適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。
• Webtype ACL では ASA がソースとなるため、ソースを指定しないでください。
表 14-5 に、Cisco-AV-Pair 属性のトークンの一覧を示します。
Active Directory/LDAP VPN リモート アクセス許可の例
この項では、Microsoft Active Directory サーバを使用しているASAで認証および許可を設定するための手順の例を示します。説明する項目は次のとおりです。
• 「特定のグループ ポリシーへの LDAP ユーザの配置」
• 「AnyConnect トンネルへのスタティック IP アドレスの割り当て」
• 「ログイン時間と Time-of-Day ルールの適用」
その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。
• 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml
• 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』
http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml
ユーザベースの属性ポリシーの適用
すべての標準 LDAP 属性は、予約済みのベンダー固有属性(VSA)にマッピングできます。また、1 つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマッピングできます。
次の例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように ASA を設定します。サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドでは、physicalDeliveryOfficeName という名前の属性を使用します。ASA で、physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングする属性マップを作成します。認証の間に、ASAはサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco 属性 Banner1 にマッピングしてユーザにバナーを表示します。
この例は、IPsec VPN クライアント、AnyConnect SSL VPN クライアント、クライアントレス SSL VPN など、どの接続タイプにも適用されます。この例では、User1 はクライアントレス SSL VPN 接続を使用して接続します。
ユーザの属性を AD または LDAP サーバ上で設定するには、次の手順を実行します。
ユーザを右クリックします。
[Properties] ダイアログボックスが表示されます(図 14-3 を参照)。
ステップ 2 [General] タブをクリックし、バナー テキストを [Office] フィールドに入力します。このフィールドでは、AD/LDAP 属性 physicalDeliveryOfficeName が使用されます。
ステップ 3 ASA 上で LDAP 属性マップを作成します。
次の例では、Banner というマップを作成し、AD/LDAP 属性 physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングします。
ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。
次の例では、AAA サーバ グループ MS_LDAP のホスト 10.1.1.2 の AAA サーバ ホスト コンフィギュレーション モードを開始し、ステップ 3 で作成した属性マップ Banner を関連付けます。
クライアントレス SSL 接続の例を次に示します。このバナーは、ユーザ認証後に属性マップ経由で適用されたものです(図 14-4 を参照)。
特定のグループ ポリシーへの LDAP ユーザの配置
次に示す例では、AD LDAP サーバ上の User1 を ASA 上の特定のグループ ポリシーに対して認証する方法について説明します。サーバで、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次に、属性マップを作成し、[Department] を Cisco 属性である IETF-Radius-Class にマッピングします。認証の間に、ASAはサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループ ポリシーに配置します。
この例は、IPsec VPN クライアント、AnyConnect SSL VPN クライアント、クライアントレス SSL VPN など、どの接続タイプにも適用されます。この例では、User1 はクライアントレス SSL VPN 接続経由で接続します。
AD LDAP サーバ上のユーザの属性を設定するには、次の手順を実行します。
[Properties] ダイアログボックスが表示されます(図 14-5 を参照)。
ステップ 2 [Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。
図 14-5 AD/LDAP の [Department] 属性
ステップ 3 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを定義します。
次の例では、AD 属性 Department を Cisco 属性 IETF-Radius-Class にマッピングする方法について説明します。
ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。
次の例では、AAA サーバ グループ MS_LDAP のホスト 10.1.1.2 の AAA サーバ ホスト コンフィギュレーション モードを開始し、ステップ 3 で作成した属性マップ group_policy を関連付けます。
ステップ 5 ASA で新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー属性を設定します。次の例では、Group-policy-1 を作成します。この名前は、サーバで [Department] フィールドに入力したものです。
ステップ 6 このユーザとして VPN 接続を確立し、Group-Policy1 からの属性(およびその他に適用可能な、デフォルトのグループ ポリシーからの属性)がセッションに継承されていることを確認します。
ステップ 7 ASA とサーバの間の通信をモニタするには、特権 EXEC モードで debug ldap 255 コマンドをイネーブルにします。このコマンドからの出力の例を次に示します。これは、主要なメッセージがわかるように編集済みです。
AnyConnect トンネルへのスタティック IP アドレスの割り当て
この例では、AnyConnect クライアント ユーザ Web1 を、特定のスタティック IP アドレスを受信するように設定します。そのアドレスを、AD LDAP サーバで [Dialin] タブの [Assign Static IP Address] フィールドに入力します。このフィールドでは、msRADIUSFramedIPAddress 属性を使用します。この属性を Cisco 属性 IETF-Radius-Framed-IP-Address にマッピングする属性マップを作成します。
認証時に、ASA は msRADIUSFramedIPAddress の値をサーバから取得し、その値を Cisco 属性 IETF-Radius-Framed-IP-Address にマッピングし、スタティック アドレスを User1 に渡します。
次の例が当てはまるのは、フルトンネル クライアント、つまり IPsec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x および SSL VPN クライアント)などです。
AD/LDAP サーバ上でユーザ属性を設定するには、次の手順を実行します。
ユーザ名を右クリックします。
[Properties] ダイアログボックスが表示されます(図 14-6 を参照)。
ステップ 2 [Dialin] タブをクリックし、[Assign Static IP Address] チェックボックスをオンにして、IP アドレス 10.1.1.2 を入力します。
ステップ 3 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを作成します。
次の例では、スタティック アドレス フィールドで使用されている AD 属性 msRADIUSFramedIPAddress を Cisco 属性 IETF-Radius-Framed-IP-Address にマッピングする方法を示します。
ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。
次の例では、AAA サーバ グループ MS_LDAP のホスト 10.1.1.2 の AAA サーバ ホスト コンフィギュレーション モードを開始し、ステップ 3 で作成した属性マップ static_address を関連付けます。
ステップ 5 vpn-address-assignment コマンドが AAA を指定するように設定されているかどうかを確認するために、コンフィギュレーションのこの部分を show run all vpn-addr-assign コマンドで表示します。
ステップ 6 ASAと AnyConnect クライアントとの接続を確立します。次のことを確認します。
• バナーがクライアントレス接続と同じシーケンスで受信されている(図 14-7 を参照)。
• サーバ上で設定されて ASA にマッピングされた IP アドレスをユーザが受信している(図 14-8 を参照)。
図 14-7 AnyConnect セッションのバナーの確認
ステップ 7 show vpn-sessiondb svc コマンドを使用してセッションの詳細を表示し、割り当てられたアドレスを確認します。
ダイヤルインの許可または拒否アクセスの適用
次の例では LDAP 属性マップを作成し、ユーザによって許可されるトンネリング プロトコルを指定します。[Dialin] タブでの許可アクセスと拒否アクセスの設定を、Cisco 属性 Tunneling-Protocol にマッピングします。この属性では、 表 14-6 に示すビットマップ値がサポートされます。
|
|
|
|---|---|
41 |
|
82 |
|
| 1.IPsec と L2TP over IPsec は同時にはサポートされません。そのため、値 4 と 8 は相互排他値となります。 |
この属性を使用して、プロトコルの [Allow Access](TRUE)または [Deny Access](FALSE)の条件を作成し、ユーザがアクセスを許可される方法を適用します。
この単純化した例では、トンネル プロトコル IPsec/IKEv1(4)をマッピングすることによって、Cisco VPN クライアントの許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48(16+32)としてマッピングし、拒否(false)条件を作成します。これで、ユーザは ASA に IPsec を使用して接続できるようになりますが、クライアントレス SSL または AnyConnect クライアントを使用して接続しようとすると拒否されます。
ダイヤルイン許可アクセスまたは拒否アクセスを適用する別の例については、次の URL にあるテクニカル ノート『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』を参照してください。
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml
AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。
ユーザを右クリックします。
[Properties] ダイアログボックスが表示されます。
ステップ 2 [Dial-in] タブをクリックしてから、[Allow Access] オプション ボタンをクリックします(図 14-9)。
(注) [Control access through the Remote Access Policy] オプションを選択した場合は、値はサーバから返されず、適用される権限は ASA の内部グループ ポリシー設定に基づいて決定されます。
ステップ 3 IPsec と AnyConnect の両方の接続を許可するがクライアントレス SSL 接続を拒否する属性マップを作成します。
この例では、初めに tunneling_protocols というマップを作成します。次に、[Allow Access] 設定で使用される AD 属性 msNPAllowDialin を、 map-name コマンドを使用して Cisco 属性 Tunneling-Protocols にマッピングします。次に、マップ値を map-value コマンドで追加します。
ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。
次の例では、AAA サーバ グループ MS_LDAP のホスト 10.1.1.2 の AAA サーバ ホスト コンフィギュレーション モードを開始し、ステップ 2 で作成した属性マップ tunneling_protocols を関連付けます。
ステップ 5 属性マップが設定したとおりに機能することを確認します。
ステップ 6 クライアントレス SSL、AnyConnect クライアント、および IPsec クライアントを使用して接続を試みます。クライアントレス SSL と AnyConnect では接続に失敗し、その原因が許可されていない接続メカニズムにあることを示すメッセージが表示されます。IPsec クライアントの接続は成功します。IPsec は、属性マップに従って許可されるトンネリング プロトコルであるためです(図 14-10 および図 14-11 を参照)。
図 14-10 クライアントレス ユーザへのログイン拒否メッセージ
図 14-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ
ログイン時間と Time-of-Day ルールの適用
次の例では、クライアントレス SSL ユーザ(たとえばビジネス パートナー)にネットワークへのアクセスを許可する時間帯を設定して適用する方法を示します。
AD サーバ上で、[Office] フィールドを使用してパートナーの名前を入力します。このフィールドでは、physicalDeliveryOfficeName 属性が使用されます。次に、ASA で属性マップを作成し、その属性を Cisco 属性 Access-Hours にマッピングします。認証時に、ASA はサーバから physicalDeliveryOfficeName の値を取得して Access-Hours にマッピングします。
AD/LDAP サーバ上でユーザ属性を設定するには、次の手順を実行します。
ユーザを選択して [Properties]
を右クリックします。
[Properties] ダイアログボックスが表示されます(図 14-12 を参照)。
図 14-12 Active Directory [Properties] ダイアログボックス
次の例では、属性マップ access_hours を作成して AD 属性 physicalDeliveryOfficeName([Office] フィールドで使用)を Cisco 属性 Access-Hours にマッピングする方法を示します。
ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。
次の例では、AAA サーバ グループ MS_LDAP のホスト 10.1.1.2 の AAA サーバ ホスト コンフィギュレーション モードを開始し、ステップ 3 で作成した属性マップ access_hours を関連付けます。
ステップ 5 各値にサーバで許可された時間範囲を設定します。
次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。
VPN のための LDAP での許可の設定
VPN アクセスのための LDAP 認証が成功すると、ASAは、LDAP 属性を返す LDAP サーバのクエリーを実行します。通常これらの属性には、VPN セッションに適用される許可データが含まれます。
この許可メカニズムとは別の異なる許可を LDAP ディレクトリ サーバから取得することが必要な場合があります。たとえば、認証に SDI または証明書サーバを使用している場合、許可情報は返されません。この場合、ユーザ許可では、認証の成功後に LDAP ディレクトリのクエリーを実行するため、認証と許可は 2 つのステップで行われます。
手順の詳細
例
特定の要件で使用できる許可関連のコマンドとオプションは他にもありますが、次の例では、LDAP でのユーザ許可をイネーブルにするコマンドを示します。この例では、remote-1 という名前の IPsec リモートアクセス トンネルグループを作成し、すでに作成してある許可用の ldap_dir_1 AAA サーバ グループにその新しいトンネルグループを割り当てています。
この設定が完了したら、次のコマンドを入力して、ディレクトリ パスワード、ディレクトリ検索の開始点、ディレクトリ検索の範囲など、追加の LDAP 許可パラメータを設定できます。
外部 RADIUS サーバの設定
この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。説明する項目は次のとおりです。
RADIUS 設定手順の確認
この項では、ASA ユーザの認証および許可をサポートするために必要な RADIUS 設定手順について説明します。
RADIUS サーバを ASA と相互運用するように設定するには、次の手順を実行します。
ステップ 1 ASAの属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。
• Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがって、この手順をスキップできます。
• 他のベンダーの RADIUS サーバ(たとえば Microsoft Internet Authentication Service)の場合:ASA の各属性を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。ASA の RADIUS 許可属性および値のリストについては、 表 14-7 を参照してください。
ステップ 2 ユーザまたはグループの権限および属性をセットアップします。これらは、IPsec または SSL トンネルの確立時に送信されます。
ASA の RADIUS 許可属性
許可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。これらの属性のベンダー ID は 3076 です。
表 14-7 に、ユーザ許可に使用でき、ASA がサポートしている使用可能な RADIUS 属性の一覧を示します。
(注) RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。ASA によって RADIUS 属性が適用されるときは、属性名ではなく数値の属性 ID に基づいて適用されます。LDAP 属性は、ID ではなく属性名で使用します。
表 14-7 に示した属性はすべてダウンストリーム属性であり、RADIUS サーバから ASA に送信されます。ただし、属性番号 146、150、151、および 152 を除きます。これらの属性番号はアップストリーム属性であり、ASA から RADIUS サーバに送信されます。RADIUS 属性 146 および 150 は、認証および許可の要求の場合に ASA から RADIUS サーバに送信されます。前述の 4 つの属性はすべて、アカウンティング開始、中間アップデート、および終了の要求の場合に ASA から RADIUS サーバに送信されます。アップストリーム RADIUS 属性 146、150、151、および 152 は ASA バージョン 8.4.3 で導入されました。
Cisco ACS 5x および Cisco ISE は、ASA バージョン 9.0 の RADIUS 認証を使用する IP アドレスの割り当ての IPv6 Framed IP アドレスはサポートされません。
|
|
|
|
|
値 |
|
|---|---|---|---|---|---|
有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name |
|||||
Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列 |
|||||
Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列。Banner2 文字列は Banner1 文字列に連結されます(設定されている場合)。 |
|||||
1 = Cisco VPN クライアント(IKEv1) |
|||||
リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。 |
|||||
0 = なし |
|||||
1 = クライアントが設定したリストを使用する |
|||||
0 = なし |
|||||
ビットマップ: |
|||||
Engineering, Sales
|
|||||
ビットマップ: |
|||||
1 = シスコ(Cisco Integrated Client を使用) |
|||||
| 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: NetworkICE 製品: Sygate 製品: |
|||||
0 = なし Session Subtype が適用されるのは、Session Type(151)属性の値が 1、2、3、または 4 の場合のみです。 |
|||||
0 = なし |
|||||
0 = ディセーブル |
|||||
1 = PPTP |
|||||
オプションのワイルドカード(*)を使用したカンマ区切りの DNS/IP(たとえば、*.cisco.com、192.168.1.*、wwwin.cisco.com) |
|||||
http= または https= プレフィックス付きの、カンマ区切りの DNS/IP:ポート(例:http=10.10.10.10:80、https=11.11.11.11:443) |
|||||
無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。 http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x |
|||||
無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。 http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x |
|||||
| このテキストでクライアントレス ポータル ホームページのデフォルト文字列「Application Access」が置き換えられます。 |
|||||
「e ネットワーク名」、「i ネットワーク名」、「a」のいずれか。ここで、ネットワーク名は、スマート トンネル ネットワークのリストの名前です。e はトンネルが除外されることを示し、i はトンネルが指定されることを示し、a はすべてのトンネルを示します。 |
|||||
ASA IETF RADIUS 許可属性
表 14-8 に、サポートされている IETF RADIUS 属性を示します。
|
|
|
|
|
|
|
値 |
|
バージョン 8.2.x 以降の場合は、 表 14-7 で説明している Group-Policy 属性(VSA 3076、#25)を使用することを推奨します。 |
|||||||
フルトンネルの IPsec クライアントと SSL VPN クライアントのみに適用される、ASA で定義された ACL 名 |
|||||||
秒。使用可能なサービス タイプの値: |
|||||||
RADIUS アカウンティング切断の理由コード
これらのコードは、パケットを送信するときに ASA が切断された場合に返されます。
|
|
|---|
外部 TACACS+ サーバの設定
ASA は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。
(注) TACACS+ 属性を使用するには、NAS 上で AAA サービスがイネーブルになっていることを確認してください。
表 14-10 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 許可応答属性の一覧を示します。 表 14-11 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。
|
|
|
|---|---|
|
|
|
|---|---|
トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
|
トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
|
フィードバック