マニュアル 3：Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1

接続プロファイルの一般接続パラメータ

一般パラメータは、すべての VPN 接続に共通です。一般パラメータには、次のものがあります。

• 接続プロファイル名：接続プロファイル名は、接続プロファイルを追加または編集するときに指定します。次の注意事項があります。

– 認証に事前共有キーを使用するクライアントの場合、接続プロファイル名はクライアントがASAに渡すグループ名と同じです。

– 認証に証明書を使用するクライアントはこの名前を証明書の一部として渡し、ASAが証明書からこの名前を抽出します。

• 接続タイプ：接続タイプには、IKEv1 リモート アクセス、IPsec Lan-to-LAN、および Anyconnect（SSL/IKEv2）が含まれます。接続プロファイルでは、1 つの接続タイプだけ指定できます。

• 認証、許可、アカウンティング サーバ：これらのパラメータでは、ASAが次の目的で使用するサーバのグループまたはリストを指定します。

– ユーザの認証

– ユーザがアクセスを許可されたサービスに関する情報の取得

– アカウンティング レコードの保存

サーバ グループは、1 つ以上のサーバで構成されます。

• 接続用のデフォルト グループ ポリシー：グループ ポリシーは、ユーザ関連の属性のセットです。デフォルト グループ ポリシーは、ASAがトンネル ユーザを認証または許可する際にデフォルトで使用する属性を含んだグループ ポリシーです。

• クライアント アドレスの割り当て方式：この方式には、ASAがクライアントに割り当てる 1 つ以上の DHCP サーバまたはアドレス プールの値が含まれます。

• アカウント無効の上書き：このパラメータを使用すると、AAA サーバから受信した「account-disabled」インジケータを上書きできます。

• パスワード管理：このパラメータを使用すると、現在のパスワードが指定日数（デフォルトは 14 日）で期限切れになることをユーザに警告して、パスワードを変更する機会をユーザに提供できます。

• グループ除去および領域除去：これらのパラメータにより、ASAが受信するユーザ名を処理する方法が決まります。これらは、user@realm の形式で受信するユーザ名にだけ適用されます。領域は @ デリミタ付きでユーザ名に付加される管理ドメインです（user@abc）。

strip-group コマンドを指定すると、ASAは、VPN クライアントによって提示されたユーザ名からグループ名を取得することによって、ユーザ接続の接続プロファイルを選択します。次に、ASAは、許可および認証のためにユーザ名のユーザ部分だけを送信します。それ以外の場合（ディセーブルになっている場合）、ASAは領域を含むユーザ名全体を送信します。

レルム除去処理によって、ユーザ名を認証サーバまたは許可サーバに送信するときに、ユーザ名からレルムが削除されます。このコマンドをイネーブルにすると、ASAでは、ユーザ名のユーザ部分のみを許可/認証のために送信します。それ以外の場合、ASAではユーザ名全体を送信します。

• 許可の要求：このパラメータを使用すると、ユーザ接続の前に許可を要求したり、またはその要求を取り下げたりできます。

• 許可 DN 属性：このパラメータは、許可を実行するときに使用する認定者名属性を指定します。

IPSec トンネルグループ接続パラメータ

IPSec パラメータには、次のものがあります。

• クライアント認証方式：事前共有キー、証明書、または両方。

– 事前共有キーに基づいた IKE 接続の場合、接続ポリシーに関連付けられた英数字のキー自体です（最大 128 文字）。

– ピア ID 確認の要求：このパラメータでは、ピアの証明書を使用してピアのアイデンティティを確認することを要求するかどうかを指定します。

– 認証方式に証明書または両方を指定する場合、エンド ユーザは認証のために有効な証明書を指定する必要があります。

• 拡張ハイブリッド認証方式：XAUTH およびハイブリッド XAUTH。

isakmp ikev1-user-authentication コマンドは、ASA認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。

• ISAKMP（IKE）キープアライブの設定： この機能により、ASA はリモート ピアの継続的な存在をモニタし、自分自身の存在をピアに報告します。ピアが応答しなくなると、ASAは接続を削除します。IKE キープアライブをイネーブルにすると、IKE ピアが接続を失ったときに接続がハングしません。

IKE キープアライブにはさまざまな形式があります。この機能が動作するには、ASAとリモート ピアが共通の形式をサポートしている必要があります。この機能は、次のピアに対して動作します。

– Cisco AnyConnet VPN Client

– Cisco VPN Client（Release 3.0 以上）

– Cisco VPN 3000 Client（Release 2.x）

– Cisco VPN 3002 Hardware Client

– Cisco VPN 3000 シリーズ Concentrator

– Cisco IOS ソフトウェア

– Cisco Secure PIX Firewall

シスコ以外の VPN クライアントは IKE キープアライブをサポートしません。

IKE キープアライブをサポートするピアとサポートしないピアが混在するグループを設定する場合は、グループ全体に対して IKE キープアライブをイネーブルにします。この機能をサポートしないピアに影響はありません。

IKE キープアライブをディセーブルにすると、応答しないピアとの接続はタイムアウトになるまでアクティブのままになるため、アイドル タイムアウトを短くすることを推奨します。 アイドル タイムアウトを変更するには、「グループ ポリシーの設定」を参照してください。

（注） ISDN 回線経由で接続するクライアントがグループに含まれる場合は、接続コストを削減するために IKE キープアライブをディセーブルにしてください。通常、ISDN 接続はアイドルになると切断されますが、IKE キープアライブのメカニズムによって接続がアイドル状態にならないため、切断されなくなります。

IKE キープアライブをディセーブルにすると、クライアントは IKE キーと IPSec キーのどちらかの期限が満了した場合にだけ切断されます。IKE キープアライブがイネーブルになっている場合とは異なり、障害が発生したトラフィックは Peer Timeout Profile 値を持つトンネルから切断されません。

（注） IKE メイン モードを使用する LAN-to-LAN コンフィギュレーションの場合は、2 つのピアの IKE キープアライブのコンフィギュレーションが同じであることを確認してください。両方のピアで IKE キープアライブがイネーブルになっているか、または両方のピアで IKE キープアライブがディセーブルになっている必要があります。

• デジタル証明書を使用して認証を設定する場合、証明書チェーン全体を送信する（ID 証明書と発行するすべての証明書をピアに送信する）か、証明書だけを発行する（ルート証明書とすべての下位 CA 証明書を含む）かを指定できます。

• Windows クライアント ソフトウェアの古いバージョンを使用しているユーザに、クライアントをアップデートする必要があることを通知し、アップデートされたクライアント バージョンをユーザが取得するためのメカニズムを提供できます。VPN 3002 ハードウェア クライアント ユーザの場合は、自動アップデートをトリガーできます。すべての接続プロファイルまたは特定の接続プロファイルに対して、client-update を設定および変更できます。

• デジタル証明書を使用して認証を設定する場合は、IKE ピアに送信する証明書を識別するトラストポイントの名前を指定できます。

接続プロファイルの SSL VPN セッション接続パラメータ

表 4-1 は、SSL VPN（AnyConnect クライアントおよびクライアントレス）接続に固有の接続プロファイルの属性のリストです。これらの属性に加えて、すべての VPN 接続に共通の一般接続プロファイルの属性を設定します。接続プロファイルの設定に関する手順ごとの情報については、「クライアントレス SSL VPN セッションの接続プロファイルの設定」を参照してください。

（注） 以前のリリースでは、「接続プロファイル」は「トンネル グループ」として知られていました。接続プロファイルは tunnel-group コマンドで設定します。この章では、この 2 つの用語が同義的によく使用されています。

接続プロファイルの最大数

1 つのASAがサポートできる接続プロファイル（トンネル グループ）の最大数は、プラットフォームの同時 VPN セッションの最大数 + 5 の関数です。たとえば、ASA 5505 は、同時に最大 25 の VPN セッションをサポートし、30 のトンネル グループ（25+5）を許可します。制限値を超えてトンネル グループを追加しようとすると、「ERROR: The limit of 30 configured tunnel groups has been reached」というメッセージが出力されます。

表 4-2 は、各 ASA プラットフォームの VPN セッションと接続プロファイルの最大数を示します。

デフォルトの IPsec リモートアクセス接続プロファイルの設定

デフォルトのリモートアクセス接続プロファイルの内容は、次のとおりです。

IPSec トンネルグループの一般属性の設定

一般属性は、複数のトンネルグループ タイプに共通です。IPSec リモートアクセス トンネルとクライアントレス SSL VPN トンネルでは、同じ一般属性の大部分を共有しています。IPSec LAN-to-LAN トンネルは、サブセットを使用します。すべてのコマンドの詳細については、『 Cisco ASA Series Command Reference 』を参照してください。ここでは、リモート アクセス接続プロファイルおよび LAN-to-LAN 接続プロファイルを設定する方法について順に説明します。

リモート アクセス接続プロファイルの設定

次のリモート クライアントと中央サイトの ASA の間に接続を設定する場合は、リモート アクセス接続プロファイルを使用します。

– レガシー Cisco VPN Client（IPsec/IKEv1 と接続）

– AnyConnect Secure Mobility Client（SSL または IPsec/IKEv2 と接続）

– クライアントレス SSL VPN（SSL とのブラウザベースの接続）

– Cisco ASA 5500 Easy VPN ハードウェア クライアント（IPsec/IKEv1 と接続）

– Cisco VPM 3002 ハードウェア クライアント（IPsec/IKEv1 と接続）

また、DfltGrpPolicy という名前のデフォルト グループ ポリシーも提供します。

リモート アクセス接続プロファイルを設定するには、最初にトンネル グループ一般属性を設定し、次にリモート アクセス属性を設定します。次の項を参照してください。

• 「リモートアクセス接続プロファイルの名前とタイプの指定」。

• 「リモートアクセス接続プロファイルの一般属性の設定」。

• 「二重認証の設定」

• 「リモート アクセス接続プロファイルの IPSec IKEv1 属性の設定」。

• 「IPSec リモート アクセス接続プロファイルの PPP 属性の設定」

リモートアクセス接続プロファイルの名前とタイプの指定

tunnel-group コマンドを入力し、名前とタイプを指定して、接続プロファイルを作成します。リモートアクセス トンネルの場合、タイプは remote-access です。

たとえば、TunnelGroup1 という名前のリモートアクセス接続プロファイルを作成するには、次のコマンドを入力します。

リモートアクセス接続プロファイルの一般属性の設定

接続プロファイルの一般属性を設定または変更するには、次の手順でパラメータを指定します。

ステップ 1 一般属性を設定するには、シングル コンテキスト モードまたはマルチ コンテキスト モードで tunnel-group general-attributes タスクを入力します。これで、トンネルグループ一般属性コンフィギュレーション モードが開始されます。プロンプトが変化して、モードが変更されたことがわかります。

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したサーバ グループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

認証サーバ グループの名前は、最大 16 文字です。

オプションで、グループ名の後ろにインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。トンネルの終了場所を指定するインターフェイス名は、丸カッコで囲む必要があります。次のコマンドでは、認証にサーバ servergroup1 を使用する test という名前のインターフェイスのインターフェイス固有の認証が設定されます。

ステップ 3 使用する許可サーバ グループの名前を指定します（存在する場合）。この値を設定する場合、ユーザは接続する許可データベースに存在する必要があります。

許可サーバ グループの名前は、最大 16 文字です。たとえば、次のコマンドは、許可サーバ グループ FinGroup を使用することを指定しています。

ステップ 4 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

アカウンティング サーバ グループの名前は、最大 16 文字です。たとえば、次のコマンドは、アカウンティングサーバ グループ comptroller を使用することを指定しています。

ステップ 5 デフォルト グループ ポリシーの名前を指定します。

グループ ポリシーの名前は、最大 64 文字です。次の例では、デフォルト グループ ポリシーの名前として DfltGrpPolicy を設定しています。

ステップ 6 DHCP サーバ（最大 10 サーバ）の名前または IP アドレス、および DHCP アドレス プール（最大 6 プール）の名前を指定します。デフォルトでは、DHCP サーバとアドレス プールは使用されません。dhcp-server コマンドにより、VPN クライアントの IP アドレスを取得しようとするときに、指定の DHCP サーバに追加オプションを送信するように ASA を設定できるようになります。詳細については、『Cisco ASA Series Command Reference』の dhcp-server コマンドを参照してください。

（注） インターフェイス名を指定する場合は、丸カッコで囲む必要があります。

アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。

ステップ 7 ネットワーク アドミッション コントロールを使用している場合は、ネットワーク アドミッション コントロール ポスチャ検証で使用される認証サーバのグループを特定するために、NAC 認証サーバ グループの名前を指定します。NAC をサポートするように、少なくとも 1 つのアクセス コントロール サーバを設定します。ACS グループの名前を指定するには、 aaa-server コマンドを使用します。次に、その同じ名前をサーバ グループに使用して、 nac-authentication-server-group コマンドを使用します。

次に、NAC ポスチャ検証に使用される認証サーバ グループとして acs-group1 を識別する例を示します。

次に、デフォルトのリモート アクセス グループから認証サーバ グループを継承する例を示します。

（注） NAC を使用するには、リモート ホスト上に Cisco Trust Agent が存在する必要があります。

ステップ 8 ユーザ名を AAA サーバに渡す前に、ユーザ名からグループまたは領域を除去するかどうかを指定します。デフォルトでは、グループ名もレルムも除去されません。

レルムとは管理ドメインのことです。領域を除去する場合、ASAはユーザ名およびグループ（ある場合）認証を使用します。グループを除去すると、ASA は認証にユーザ名およびレルム（ある場合）を使用します。レルム修飾子を削除するには strip-realm コマンドを入力し、認証中にユーザ名からグループ修飾子を削除するには strip-group コマンドを使用します。両方の修飾子を削除すると、認証は username だけに基づいて行われます。それ以外の場合、認証は username@realm 文字列全体または username < delimiter > group 文字列に基づいて行われます。サーバでデリミタを解析できない場合は、 strip-realm を指定する必要があります。

ステップ 9 サーバが RADIUS、RADIUS with NT、または LDAP サーバの場合、オプションで、パスワード管理をイネーブルにできます。

（注） 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server（旧名称は Sun ONE Directory Server）および Microsoft Active Directory を使用してサポートされます。

Sun：Sun ディレクトリ サーバにアクセスするためにASAに設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

Microsoft：Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

詳細については、一般的な操作のコンフィギュレーション ガイドのを参照してください。

この機能はデフォルトでディセーブルになっており、現在のパスワードの有効期限が近づくとユーザに警告を表示します。デフォルトでは、期限切れの 14 日前に警告が開始されます。

サーバが LDAP サーバの場合、有効期限が近いことに関する警告が開始されるまでの日数（0 ～ 180）を指定できます。

（注） トンネルグループ一般属性コンフィギュレーション モードで入力した password-management コマンドによって、トンネルグループ ipsec 属性モードで事前に入力された非推奨の radius-with-expiry コマンドが置き換えられます。

password-management コマンドを設定すると、ASA は、リモート ユーザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れたことを通知します。それからASAは、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。RADIUS または LDAP 認証が設定されていない場合、ASAではこのコマンドが無視されます。

これによってパスワードが期限切れになるまでの日数が変更されるわけではなく、ASAがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

このコマンドで日数に 0 を指定すると、このコマンドはディセーブルになります。ASAは、ユーザに対して失効が迫っていることを通知しませんが、失効後にユーザはパスワードを変更できます。

詳細については、「パスワード管理用の Microsoft Active Directory の設定」を参照してください。

（注） ASA Version 7.1 以降では、LDAP または MS-CHAPv2 をサポートする RADIUS 接続で認証を行うときに、AnyConnect VPN Client 接続、Cisco IPSec VPN Client 接続、SSL VPN 完全トンネリング クライアント接続、およびクライアントレス接続に対するパスワード管理が一般的にサポートされています。Kerberos/AD（Windows パスワード）または NT 4.0 ドメインに対するこれらの接続タイプのいずれでも、パスワード管理はサポートされていません。

MS-CHAP をサポートしている一部の RADIUS サーバは、現在 MS-CHAPv2 をサポートしていません。 password-management コマンドを使用するには、MS-CHAPv2 が必要なため、ベンダーに確認してください。

RADIUS サーバ（Cisco ACS など）は、認証要求を別の認証サーバにプロキシする場合があります。ただし、ASAからは RADIUS サーバのみに対して通信しているように見えます。

LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、ASAでは Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

ステップ 10 オプションで、 override-account-disable コマンドを入力して、AAA サーバからの account-disabled インジケータを上書きする機能を設定できます。

（注） override-account-disable を許可することは、潜在的なセキュリティ リスクとなります。

ステップ 11 証明書から許可クエリー用の名前を得るために使用する 1 つまたは複数の属性を指定します。この属性により、サブジェクト DN フィールドのどの部分を許可用のユーザ名として使用するかが指定されます。

たとえば、次のコマンドは、CN 属性を許可用のユーザ名として使用することを指定しています。

authorization-dn-attributes は、 C （国）、 CN （通常名）、 DNQ （DN 修飾子）、 EA （電子メール アドレス）、 GENQ （世代修飾子）、 GN （名）、 I （イニシャル）、 L （地名）、 N （名前）、 O （組織）、 OU （組織ユニット）、 SER （シリアル番号）、 SN （姓）、 SP （州または都道府県）、 T （役職）、 UID （ユーザ ID）、および UPN （ユーザ プリンシパル ネーム）があります。

ステップ 12 ユーザに接続を許可する前に、そのユーザが正常に許可されている必要があるかどうかを指定します。デフォルトでは許可は要求されません。

二重認証の設定

二重認証は、ユーザがログイン画面に追加の認証クレデンシャル（2 つ目のユーザ名とパスワードなど）を入力するよう要求するオプションの機能です。二重認証を設定するには、次のコマンドを指定します。

ステップ 1 セカンダリ認証サーバ グループを指定します。このコマンドはセカンダリ AAA サーバとして使用する AAA サーバ グループを指定します。

（注） このコマンドは、AnyConnect クライアント VPN 接続にだけ適用されます。

セカンダリのサーバ グループでは SDI サーバ グループを指定できません。デフォルトでは、セカンダリ認証は必要ありません。

none キーワードを指定すると、セカンダリ認証は要求されません。 groupname 値は AAA サーバ グループ名を示します。ローカルは内部サーバ データベースを使用することを示し、groupname 値と併用すると、LOCAL はフォールバックを示します。たとえば、プライマリ認証サーバ グループを sdi_group に、セカンダリ認証サーバ グループを ldap_server に設定するには、次のコマンドを入力します。

（注） use-primary-name キーワードを使用する場合、ログイン ダイアログは 1 つのユーザ名だけ要求します。また、ユーザ名をデジタル証明書から抽出する場合、プライマリ ユーザ名だけが認証に使用されます。

ステップ 2 セカンダリ ユーザ名を証明書から取得する場合は、 secondary-username-from-certificate を入力します。

セカンダリ ユーザ名として使用するために証明書から抽出する DN フィールドの値は、プライマリの username-from-certificate コマンドと同じです。または、use-script キーワードを指定して、ASDM によって生成されたスクリプト ファイルを使用するようASAに指示します。

たとえば、プライマリ ユーザ名フィールドとして通常名を、セカンダリ ユーザ名フィールドとして組織ユニットを指定するには、次のコマンドを入力します。

ステップ 3 認証で使用するためにクライアント証明書からセカンダリ ユーザ名を抽出できるようにするには、トンネルグループ webvpn 属性モードで secondary-pre-fill-username コマンドを使用します。このコマンドをクライアントレス接続または SSL VPN（AnyConnect）クライアント接続に適用するかどうか、抽出されたユーザ名をエンド ユーザに非表示にするかどうかを指定するキーワードを使用します。この機能はデフォルトで無効に設定されています。クライアントレス オプションと SSL クライアント オプションは同時に使用できますが、それぞれ別個のコマンドで設定する必要があります。

たとえば、接続のプライマリとセカンダリの両方の認証に pre-fill-username を使用するには、次のコマンドを入力します。

ステップ 4 接続に適用する許可属性を取得するために使用する認証サーバを指定します。デフォルトの選択は、プライマリ認証サーバです。このコマンドは二重認証でのみ意味を持ちます。

たとえば、セカンダリ認証サーバを指定するには、次のコマンドを入力します。

ステップ 5 セッションと関連付ける認証ユーザ名（プライマリまたはセカンダリ）を指定します。デフォルト値は primary です。二重認証をイネーブルにすると、2 つの別のユーザ名でセッションを認証できます。管理者はセッションのユーザ名として認証されたユーザ名のいずれかを指定する必要があります。セッションのユーザ名は、アカウンティング、セッション データベース、syslog、デバッグ出力に提供されるユーザ名です。

たとえば、セッションと関連付ける認証ユーザ名をセカンダリ認証サーバから取得するよう指定するには、次のコマンドを入力します。

リモート アクセス接続プロファイルの IPSec IKEv1 属性の設定

リモート アクセス接続プロファイルの IPSec IKEv1 属性を設定するには、次の手順を実行します。次の説明は、リモート アクセス接続プロファイルをすでに作成していることを前提としています。リモート アクセス接続プロファイルには、LAN-to-LAN 接続プロファイルよりも多くの属性があります。

ステップ 1 リモート アクセス トンネル グループの IPSec 属性を指定するには、シングル コンテキスト モードまたはマルチ コンテキスト モードで次のコマンドを入力してトンネルグループ ipsec 属性モードを開始します。プロンプトが変化して、モードが変更されたことがわかります。

このコマンドにより、トンネル グループ ipsec 属性コンフィギュレーション モードが開始されます。このモードでは、シングル コンテキスト モードまたはマルチ コンテキスト モードでリモート アクセス トンネルグループの IPSec 属性を設定します。

たとえば、次のコマンドは、TG1 という名前の接続プロファイルに関係するトンネルグループ ipsec 属性モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ipsec 属性モードに入ったことがわかります。

ステップ 2 事前共有キーに基づく IKEv1 接続をサポートするために、事前共有キーを指定します。たとえば、次のコマンドは、IPsec IKEv1 リモート アクセス接続プロファイルの IKEv1 接続をサポートするために、事前共有キー xyzx を指定しています。

ステップ 3 ピアの証明書を使用してピアのアイデンティティを検証するかどうかを指定します。

使用できる オプション 値は、 req （必須）、 cert （証明書でサポートされている場合）、 nocheck （調べない）です。デフォルトは req です。

たとえば、次のコマンドは peer-id 検証が必要なことを指定しています。

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のコマンドは、ルート証明書とすべての下位 CA 証明書を送信しています。

この属性は、すべての IPsec トンネルグループ タイプに適用されます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

次のコマンドは、IKE ピアに送信する証明書の名前として mytrustpoint を指定しています。

ステップ 6 ISAKMP キープアライブのしきい値と許可されるリトライ回数を指定します。

threshold パラメータでは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数（10 ～ 3600）で指定します。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間の間隔です（2 ～ 10 秒）。IKE キープアライブは、デフォルトでイネーブルです。ISAKMP キープアライブをディセーブルにするには、 isakmp keepalive disable と入力します。

たとえば、次のコマンドは、IKE キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

threshold パラメータのデフォルト値は、リモートアクセスの場合は 300、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。

中央サイト（セキュア ゲートウェイ）で、ISAKMP モニタリングを決して開始しないように指定する場合は、次のコマンドを入力します。

ステップ 7 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

isakmp ikev1-user-authentication コマンドは、ASA認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。ハイブリッド XAUTH によって、IKE のフェーズ 1 が次の 2 つの手順に分割されます。2 つ合わせてハイブリッド認証と呼ばれます。

a. ASAは、標準の公開キー技術を使用して、リモート VPN ユーザに対して認証します。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。

b. 次に、XAUTH 交換がリモート VPN ユーザを認証します。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。

（注） 認証タイプをハイブリッドに設定するには、事前に認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定する必要があります。

isakmp ikev1-user-authentication コマンドとオプションの interface パラメータを使用して、特定のインターフェイスを指定できます。interface パラメータを省略すると、このコマンドはすべてのインターフェイスに適用され、インターフェイスごとにコマンドが指定されていない場合のバックアップとして機能します。接続プロファイルに 2 つの isakmp ikev1-user-authentication コマンドを指定していて、1 つで interface パラメータを使用し、もう 1 つで使用しない場合、インターフェイスを指定するコマンドはその特定のインターフェイスを優先します。

たとえば、次のコマンドは、example-group と呼ばれる接続プロファイルの内部インターフェイスでハイブリッド XAUTH をイネーブルにします。

IPSec リモート アクセス接続プロファイルの PPP 属性の設定

リモート アクセス接続プロファイルのポイントツーポイント プロトコル属性を設定するには、次の手順を実行します。PPP 属性は、IPSec リモート アクセスの接続プロファイルに だけ 適用されます。次の説明は、IPSec リモート アクセス接続プロファイルをすでに作成していることを前提としています。

ステップ 1 トンネルグループ ppp 属性コンフィギュレーション モードに入ります。このモードで、次のコマンドを入力して、リモートアクセス トンネルグループ PPP 属性を設定します。プロンプトが変化して、モードが変更されたことがわかります。

たとえば、次のコマンドは、TG1 という名前の接続プロファイルに関係するトンネルグループ ppp 属性モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ppp 属性モードに入ったことがわかります。

ステップ 2 PPP 接続に対する固有のプロトコルを使用する認証をイネーブルにするかどうかを指定します。プロトコルの値は次のいずれかになります。

• pap：PPP 接続で Password Authentication Protocol（パスワード認証プロトコル）の使用をイネーブルにします。

• chap：PPP 接続で Challenge Handshake Authentication（チャレンジ ハンドシェイク認証プロトコル）の使用をイネーブルにします。

• ms-chap-v1 または ms-chap-v2：PPP 接続で Microsoft Challenge Handshake Authentication Protocol（Microsoft チャレンジ ハンドシェイク認証プロトコル）のバージョン 1 またはバージョン 2 の使用をイネーブルにします。

• eap：PPP 接続で Extensible Authentication Protocol（拡張認証プロトコル）の使用をイネーブルにします。

CHAP と MSCHAPv1 は、デフォルトでイネーブルになっています。

このコマンドの構文は次のとおりです。

特定のプロトコルの認証をディセーブルにするには、このコマンドの no 形式を使用します。

たとえば、次のコマンドは PPP 接続で PAP プロトコルの使用をイネーブルにします。

次のコマンドは、PPP 接続で MS-CHAP バージョン 2 プロトコルの使用をイネーブルにします。

次のコマンドは、PPP 接続で EAP-PROXY プロトコルの使用をイネーブルにします。

次のコマンドは、PPP 接続で MS-CHAP バージョン 1 プロトコルの使用をディセーブルにします。

LAN-to-LAN 接続プロファイルの設定

IPSec LAN-to-LAN VPN 接続プロファイルは、LAN-to-LAN IPSec クライアント接続にだけ適用されます。設定するパラメータの多くは IPSec リモート アクセスの接続プロファイルのものと同じですが、LAN-to-LAN トンネルの方がパラメータの数は少なくなります。ここでは、LAN-to-LAN 接続プロファイルを設定する方法について説明します。

• 「LAN-to-LAN 接続プロファイルの名前とタイプの指定」

• 「LAN-to-LAN 接続プロファイルの一般属性の設定」

• 「LAN-to-LAN IPSec IKEv1 属性の設定」

デフォルトの LAN-to-LAN 接続プロファイルのコンフィギュレーション

デフォルトの LAN-to-LAN 接続プロファイルの内容は、次のとおりです。

LAN-to-LAN 接続プロファイルのパラメータはリモートアクセス接続プロファイルのパラメータより少なく、そのほとんどはどちらのグループでも同じです。実際に接続を設定する場合の利便性を考え、ここではこのグループのパラメータを個別に説明します。明示的に設定しないパラメータはすべて、デフォルトの接続プロファイルからその値を継承します。

LAN-to-LAN 接続プロファイルの名前とタイプの指定

接続プロファイルの名前とタイプを指定するには、次のように tunnel-group コマンドを入力します。

LAN-to-LAN トンネルの場合、タイプは ipsec-l2l になります。たとえば、docs という名前の LAN-to-LAN 接続プロファイルを作成するには、次のコマンドを入力します。

LAN-to-LAN 接続プロファイルの一般属性の設定

接続プロファイルの一般属性を設定するには、次の手順を実行します。

ステップ 1 シングル コンテキスト モードまたはマルチ コンテキスト モードで general-attributes キーワードを指定して、トンネルグループ一般属性モードを開始します。

プロンプトが変化して、config-general モードに入ったことがわかります。トンネルグループの一般属性は、このモードで設定します。

たとえば、docs という名前の接続プロファイルの場合は、次のコマンドを入力します。

ステップ 2 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

たとえば、次のコマンドはアカウンティングサーバ グループ acctgserv1 の使用を指定しています。

ステップ 3 デフォルト グループ ポリシーの名前を指定します。

たとえば、次のコマンドは、デフォルト グループ ポリシーの名前に MyPolicy を指定しています。

LAN-to-LAN IPSec IKEv1 属性の設定

IPsec IKEv1 属性を設定するには、次の手順を実行します。

ステップ 1 トンネルグループ IPSec IKEv1 属性を設定するには、シングル コンテキスト モードまたはマルチ コンテキスト モードで IPSec-attributes キーワードを指定して tunnel-group コマンドを入力し、トンネルグループ ipsec 属性コンフィギュレーション モードを開始します。

たとえば、次のコマンドでは、config-ipsec モードを開始し、TG1 という名前の接続プロファイルのパラメータを設定できます。

プロンプトが変化して、トンネルグループ ipsec 属性コンフィギュレーション モードに入ったことがわかります。

ステップ 2 事前共有キーに基づく IKEv1 接続をサポートするために、事前共有キーを指定します。

たとえば、次のコマンドは、LAN-to-LAN 接続プロファイルの IKEv1 接続をサポートするために、事前共有キー XYZX を指定しています。

ステップ 3 ピアの証明書を使用してピアのアイデンティティを検証するかどうかを指定します。

使用できるオプションは、 req （必須）、 cert （証明書でサポートされている場合）、 nocheck （調べない）です。デフォルトは req です。たとえば、次のコマンドは、peer-id-validate オプションを nocheck に設定しています。

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のアクションは、ルート証明書とすべての下位 CA 証明書を送信しています。

この属性は、すべてのトンネル グループ タイプに適用できます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

たとえば、次のコマンドは、トラストポイント名を mytrustpoint に設定しています。

この属性は、すべてのトンネル グループ タイプに適用できます。

ステップ 6 ISAKMP（IKE）キープアライブのしきい値と許可されるリトライ回数を指定します。 threshold パラメータでは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数（10 ～ 3600）で指定します。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間の間隔です（2 ～ 10 秒）。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

たとえば、次のコマンドは、ISAKMP キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

threshold パラメータのデフォルト値は、LAN-to-LAN の場合は 10 です。retry パラメータのデフォルト値は 2 です。

中央サイト（セキュア ゲートウェイ）で、ISAKMP モニタリングを決して開始しないように指定する場合は、次のコマンドを入力します。

ステップ 7 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

isakmp ikev1-user-authentication コマンドは、ASA認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。ハイブリッド XAUTH によって、IKE のフェーズ 1 が次の 2 つの手順に分割されます。2 つ合わせてハイブリッド認証と呼ばれます。

a. ASAは、標準の公開キー技術を使用して、リモート VPN ユーザに対して認証します。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。

b. 次に、XAUTH 交換がリモート VPN ユーザを認証します。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。

（注） 認証タイプをハイブリッドに設定するには、事前に認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定する必要があります。

たとえば、次のコマンドは、example-group と呼ばれる接続プロファイルのハイブリッド XAUTH をイネーブルにします。

クライアントレス SSL VPN セッションの接続プロファイルの設定

クライアントレス SSL VPN 接続プロファイル用のトンネルグループ一般属性は、トンネルグループのタイプが webvpn で、 strip-group コマンドと strip-realm コマンドが適用されない点を除いて、IPSec リモートアクセスの接続プロファイルのものと同じです。クライアントレス SSL VPN に固有の属性は別々に定義します。次の項では、クライアントレス SSL VPN 接続プロファイルを設定する方法について説明します。

• 「クライアントレス SSL VPN セッションの一般トンネルグループ属性の設定」

• 「クライアントレス SSL VPN セッションのトンネルグループ属性の設定」

クライアントレス SSL VPN セッションの一般トンネルグループ属性の設定

接続プロファイルの一般属性を設定または変更するには、次の手順でパラメータを指定します。

ステップ 1 一般属性を設定するには、シングル コンテキスト モードまたはマルチ コンテキスト モードで tunnel-group general-attributes コマンドを入力します。これで、トンネルグループ一般属性コンフィギュレーション モードが開始されます。プロンプトが変化することに注意してください。

前の項で作成した TunnelGroup3 の一般属性を設定するには、次のコマンドを入力します。

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したサーバ グループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

たとえば、test という名前の認証サーバ グループを設定し、認証サーバ グループで障害が発生したときにローカル サーバにフォールバックするようにするには、次のコマンドを入力します。

authentication-server-group 名で、事前に設定した認証サーバまたはサーバのグループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。

グループ名の前にある丸カッコ内にインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。次のインターフェイスはデフォルトで使用可能になっています。

• inside：インターフェイス GigabitEthernet0/1 の名前

• outside：インターフェイス GigabitEthernet0/0 の名前

（注） ASA の外部インターフェイス アドレス（IPv4 と IPv6 の両方）は、プライベート側のアドレス空間と重複していてはなりません。

interface コマンドを使用して設定したその他のインターフェイスも使用可能です。次のコマンドは、認証にサーバ servergroup1 を使用する outside という名前のインターフェイスのインターフェイス固有の認証を設定しています。

ステップ 3 オプションで、使用する許可サーバ グループの名前を指定します（存在する場合）。許可を使用していない場合は、ステップ 6 に進んでください。この値を設定する場合、ユーザは接続する許可データベースに存在する必要があります。

許可サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。

たとえば、次のコマンドは、許可サーバ グループ FinGroup を使用することを指定しています。

ステップ 4 ユーザに接続を許可する前に、そのユーザが正常に許可されている必要があるかどうかを指定します。デフォルトでは許可は要求されません。

ステップ 5 証明書から許可クエリー用の名前を得るために使用する 1 つまたは複数の属性を指定します。この属性により、サブジェクト DN フィールドのどの部分を許可用のユーザ名として使用するかが指定されます。

たとえば、次のコマンドは、CN 属性を許可用のユーザ名として使用することを指定しています。

authorization-dn-attributes は、 C （国）、 CN （通常名）、 DNQ （DN 修飾子）、 EA （電子メール アドレス）、 GENQ （世代修飾子）、 GN （名）、 I （イニシャル）、 L （地名）、 N （名前）、 O （組織）、 OU （組織ユニット）、 SER （シリアル番号）、 SN （姓）、 SP （州または都道府県）、 T （役職）、 UID （ユーザ ID）、および UPN （ユーザ プリンシパル ネーム）があります。

ステップ 6 オプションで、使用するアカウンティングサーバ グループの名前を指定します（存在する場合）。アカウンティングを使用していない場合は、ステップ 7 に進んでください。アカウンティング サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。

たとえば、次のコマンドは、アカウンティングサーバ グループ comptroller を使用することを指定しています。

ステップ 7 オプションで、デフォルト グループ ポリシーの名前を指定します。デフォルト値は DfltGrpPolicy です。

次の例では、デフォルト グループ ポリシーの名前として MyDfltGrpPolicy を設定しています。

ステップ 8 オプションで、DHCP サーバ（最大 10 サーバ）の名前または IP アドレス、および DHCP アドレス プール（最大 6 プール）の名前を指定します。リスト項目はスペースで区切ります。デフォルトでは、DHCP サーバとアドレス プールは使用されません。

（注） インターフェイス名は丸カッコで囲む必要があります。

アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。アドレス プールの設定の詳細については、「VPN の IP アドレスの設定」を参照してください。

ステップ 9 サーバが RADIUS、RADIUS with NT、または LDAP サーバの場合、オプションで、パスワード管理をイネーブルにできます。

（注） 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server（旧名称は Sun ONE Directory Server）および Microsoft Active Directory を使用してサポートされます。

• Sun：Sun ディレクトリ サーバにアクセスするためにASAに設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

• Microsoft：Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

詳細については、一般的な操作のコンフィギュレーション ガイドのを参照してください。

この機能はデフォルトでイネーブルになっており、現在のパスワードの有効期限が近づくとユーザに警告を表示します。デフォルトでは、期限切れの 14 日前に警告が開始されます。

サーバが LDAP サーバの場合、有効期限が近いことに関する警告が開始されるまでの日数（0 ～ 180）を指定できます。

（注） トンネルグループ一般属性コンフィギュレーション モードで入力した password-management コマンドによって、トンネルグループ ipsec 属性モードで事前に入力された非推奨の radius-with-expiry コマンドが置き換えられます。

このコマンドを設定すると、リモート ユーザがログインするときに、ASA は、ユーザの現在のパスワードの有効期限が近づいていること、または期限が切れていることを通知します。それからASAは、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。RADIUS または LDAP 認証が設定されていない場合、ASAではこのコマンドが無視されます。

これによってパスワードが期限切れになるまでの日数が変更されるわけではなく、ASAがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

詳細については、「パスワード管理用の Microsoft Active Directory の設定」を参照してください。

ステップ 10 このコマンドで日数に 0 を指定すると、このコマンドはディセーブルになります。ASAは、期限切れが近いことをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更できます。オプションで、 override-account-disable コマンドを入力して、AAA サーバからの account-disabled インジケータを上書きする機能を設定できます。

（注） override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。

クライアントレス SSL VPN セッションのトンネルグループ属性の設定

クライアントレス SSL VPN 接続プロファイルに固有のパラメータを設定するには、この項の次の手順を実行します。クライアントレス SSL VPN は、以前は WebVPN として知られていました。これらの属性は、トンネルグループ webvpn 属性モードで設定します。

ステップ 1 クライアントレス SSL VPN トンネルグループの属性を指定するには、次のコマンドを入力してトンネルグループ webvpn 属性モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

たとえば、sales という名前のクライアントレス SSL VPN トンネルグループの webvpn 属性を指定するには、次のコマンドを入力します。

ステップ 2 AAA、デジタル証明書、または両方を使用するための認証方式を指定するには、 authentication コマンドを入力します。AAA、証明書、または両方を任意の順序で指定できます。

たとえば、次のコマンドは AAA と証明書の両方の認証を許可します。

カスタマイゼーションの適用

カスタマイゼーションによって、ログイン時にユーザに表示されるウィンドウの外観が決まります。カスタマイゼーション パラメータは、クライアントレス SSL VPN の設定の一部として設定します。

ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するために、事前に定義した Web ページ カスタマイゼーションを適用するには、ユーザ名 webvpn コンフィギュレーション モードで customization コマンドを入力します。

たとえば、blueborder という名前のカスタマイゼーションを使用するには、次のコマンドを入力します。

カスタマイゼーション自体は、webvpn モードで customization コマンドを入力して設定します。

次の例は、「123」という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。この例では、「test」という名前のクライアントレス SSL VPN トンネルグループを定義して、 customization コマンドを使用し、「123」という名前のカスタマイゼーションを使用することを指定しています。

ステップ 3 ASA は、NetBIOS 名を IP アドレスにマップするために NetBIOS ネーム サーバにクエリーを送信します。クライアントレス SSL VPN では、リモート システムのファイルをアクセスまたは共有するための NetBIOS が必要です。クライアントレス SSL VPN では、NetBIOS と CIFS プロトコルを使用して、リモート システムのファイルをアクセスまたは共有します。Windows コンピュータにそのコンピュータ名を使用してファイル共有接続をしようとすると、指定されたファイル サーバはネットワーク上のリソースを識別する特定の NetBIOS 名と対応します。

NBNS 機能を動作させるには、少なくとも 1 台の NetBIOS サーバ（ホスト）を設定する必要があります。冗長性を実現するために NBNS サーバを 3 つまで設定できます。ASAは、リストの最初のサーバを NetBIOS/CIFS 名前解決に使用します。クエリーが失敗すると、次のサーバが使用されます。

CIFS 名前解決に使用する NBNS（NetBIOS ネーム サービス）サーバの名前を指定するには、 nbns-server コマンドを使用します。サーバ エントリは 3 つまで入力できます。冗長性のために、設定する最初のサーバはプライマリ サーバで、その他のサーバはバックアップです。これが（ただの WINS サーバではなく）マスター ブラウザであるかどうか、タイムアウト間隔、およびリトライ回数も指定できます。WINS サーバまたはマスター ブラウザは、通常、ASAと同じネットワーク上か、そのネットワークから到達可能な場所に設定されます。タイムアウト間隔はリトライ回数の前に指定する必要があります。

たとえば、nbnsprimary という名前のサーバをプライマリ サーバとして設定し、サーバ 192.168.2.2 をセカンダリ サーバとして設定し、それぞれに 3 回のリトライを許可し、5 秒のタイムアウトを設定するには、次のコマンドを入力します。

タイムアウト間隔の範囲は 1 ～ 30 秒（デフォルトは 2）、リトライ回数は 0 ～ 10（デフォルトは 2）です。

トンネルグループ webvpn 属性コンフィギュレーション モードで nbns-server コマンドを使用すると、webvpn コンフィギュレーション モードで非推奨の nbns-server コマンドが置き換えられます。

ステップ 4 グループの代替名を指定するには、 group-alias コマンドを使用します。グループ エイリアスを指定すると、ユーザがトンネルグループを参照できる 1 つ以上の代替名が作成されます。ここで指定するグループ エイリアスは、ユーザのログイン ページにあるドロップダウン リストに表示されます。各グループに対して複数のエイリアスを指定することも、エイリアスを指定しないこともできます。それぞれを別のコマンドで指定します。この機能は、同じグループが「Devtest」や「QA」などの複数の通常名で指定されている場合に便利です。

各グループ エイリアスに対して、 group-alias コマンドを入力します。各エイリアスはデフォルトでイネーブルになっています。各エイリアスは、オプションで明示的にイネーブルまたはディセーブルにできます。

たとえば、QA という名前のトンネルグループのエイリアスの QA と Devtest をイネーブルにするには、次のコマンドを入力します。

（注） webvpn tunnel-group-list は、表示する（ドロップダウン）グループ リストに対してイネーブルにする必要があります。

ステップ 5 グループの着信 URL または IP アドレスを指定するには、 group-url コマンドを使用します。グループの URL または IP アドレスを指定すると、ユーザがログイン時にグループを選択する必要がなくなります。ユーザがログインすると、ASA は、tunnel-group-policy テーブル内のユーザの着信 URL またはアドレスを検索します。URL またはアドレスが見つかり、group-url が接続プロファイル内でイネーブルになっている場合、ASAは、関連の接続プロファイルを自動的に選択して、ログイン ウィンドウにユーザ名フィールドとパスワード フィールドだけを表示します。これによりユーザ インターフェイスが簡素化され、グループ リストがユーザに表示されなくなるという利点が追加されます。ユーザに表示するログイン ウィンドウには、その接続プロファイル用に設定されたカスタマイゼーションが使用されます。

URL またはアドレスがディセーブルになっており、group-alias が設定されている場合、グループのドロップダウン リストも表示され、ユーザは選択を行う必要があります。

1 つのグループに対して複数の URL またはアドレスを設定できます（何も設定しないこともできます）。各 URL またはアドレスは、個別にイネーブルまたはディセーブルにできます。指定した各 URL またはアドレスに対しては、別々の group-url コマンドを使用する必要があります。http または https プロトコルを含め、URL またはアドレス全体を指定する必要があります。

同じ URL またはアドレスを複数のグループに関連付けることはできません。ASAは、接続プロファイルの URL またはアドレスを受け入れる前にその URL またはアドレスの固有性を検証します。

各グループ URL またはアドレスに対して、 group-url コマンドを入力します。各 URL またはエイリアスは、オプションで明示的にイネーブル（デフォルト）またはディセーブルにできます。

Url は、このトンネル グループの URL または IP アドレスを指定します。

たとえば、RadiusServer という名前のトンネルグループに対してグループ URL http://www.example.com と http://192.168.10.10 をイネーブルにするには、次のコマンドを入力します。

多数の例については、「クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ」を参照してください。

ステップ 6 グループ URL のいずれかを入力した場合に、接続プロファイルごとに実行中の Cisco Secure Desktop から特定のユーザを免除するには、次のコマンドを入力します。

（注） このコマンドを入力すると、これらのセッションのエンドポイント状態が検出されないため、Dynamic Access Policy（DAP; ダイナミック アクセス ポリシー）コンフィギュレーションを調整する必要があります。

ステップ 7 クライアントレス SSL VPN セッションの接続プロファイルに使用する DNS サーバ グループを指定するには、dns-group コマンドを使用します。指定するグループは、グローバル コンフィギュレーション モードで（dns server-group コマンドおよび name-server コマンドを使用して）設定済みのグループである必要があります。

デフォルトでは、接続プロファイルは DNS サーバ グループ DefaultDNS を使用します。ただし、セキュリティ アプライアンスで DNS 要求を解決する前にこのグループを設定する必要があります。

次の例は、corp_dns という名前の新規 DNS サーバ グループを設定し、接続プロファイル telecommuters のサーバ グループを指定します。

ステップ 8 （任意）認証および許可で使用するためにクライアント証明書からユーザ名を抽出するには、トンネルグループ webvpn 属性モードで pre-fill-username コマンドを使用します。デフォルト値はありません。

pre-fill-username コマンドは、ユーザ名/パスワードの認証および許可のユーザ名として、 username-from-certificate コマンド（トンネルグループ一般属性モード）で指定した証明書フィールドから抽出されるユーザ名の使用をイネーブルにします。証明書機能からこの事前充填ユーザ名を使用するには、両方のコマンドを設定する必要があります。

（注） バージョン 8.0.4 では、ユーザ名は事前に入力されません。ユーザ名フィールド内の送信されたデータは無視されます。

次の例では、グローバル コンフィギュレーション モードで入力された、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、証明書からのユーザ名の取得をイネーブルにして、SSL VPN クライアント認証または許可のクエリーのための名前がデジタル証明書から派生している必要があることを指定します。

ステップ 9 （任意）AnyConnect または SSL VPN クライアントをダウンロードするためにグループ ポリシーまたはユーザ名属性コンフィギュレーションを上書きするかどうかを指定するには、 override-svc-download コマンドを使用します。この機能はデフォルトで無効に設定されています。

セキュリティ アプライアンスは、 vpn-tunnel-protocol コマンドによってグループ ポリシーまたはユーザ名属性でクライアントレスや SSL VPN がイネーブルになっているかどうかに基づいて、リモート ユーザに対してクライアントレス接続または AnyConnect クライアント接続を許可します。 anyconnect ask コマンドはさらに、クライアントをダウンロードするか、または WebVPN ホームページに戻るようにユーザに要求して、クライアントのユーザ エクスペリエンスを変更します。

ただし、特定のトンネルグループでログインしているクライアントレス ユーザには、ダウンロード プロンプトが終了するまで待たせることなく、クライアントレス SSL VPN ホームページを表示することができます。 override-svc-download コマンドを使用すると、接続プロファイル レベルでこのようなユーザに対する遅延を防止できます。このコマンドにより、接続プロファイル経由でログインするユーザには、 vpn-tunnel-protocol コマンドまたは anyconnect ask コマンドの設定に関係なく、ただちにクライアントレス SSL VPN ホームページが表示されるようになります。

次の例では、接続プロファイル engineering のトンネルグループ webvpn 属性コンフィギュレーション モードに入り、クライアント ダウンロード プロンプトのグループ ポリシーとユーザ名属性設定を上書きする接続プロファイルをイネーブルにします。

ステップ 10 （任意）認証が拒否されたときのログイン画面への RADIUS 拒否メッセージの表示をイネーブルにするには、 radius-eject-message コマンドを使用します。

次に、engineering という名前の接続プロファイルに対して RADIUS 拒否メッセージの表示をイネーブルにする例を示します。

クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ

カスタマイゼーション プロファイルと接続プロファイルの組み合わせを使用することで、さまざまなグループに対して異なるログイン ウィンドウをセットアップできます。たとえば、salesgui と呼ばれるカスタマイゼーション プロファイルを作成してある場合、そのカスタマイゼーション プロファイルを使用する sales と呼ばれるクライアントレス SSL VPN セッション用の接続プロファイルを、次のように作成できます。

ステップ 1 webvpn モードで、クライアントレス SSL VPN アクセスのカスタマイゼーションを定義します。この場合は、salesgui という名前で、デフォルトのロゴを mycompanylogo.gif に変更します。mycompanylogo.gif をASAのフラッシュ メモリに事前にロードし、設定を保存している必要があります。詳細については、「クライアントレス SSL VPN の設定」を参照してください。

ステップ 2 グローバル コンフィギュレーション モードで、ユーザ名をセットアップし、先ほど定義したクライアントレス SSL VPN 用のカスタマイゼーションと関連付けます。

ステップ 3 グローバル コンフィギュレーション モードで、sales という名前のクライアントレス SSL VPN セッションのトンネルグループを作成します。

ステップ 4 この接続プロファイルに対して salesgui カスタマイゼーションを使用することを指定します。

ステップ 5 ASAにログインするためにユーザがブラウザに入力するアドレスに対するグループ URL を設定します。たとえば、ASA に IP アドレス 192.168.3.3 が設定されている場合は、グループ URL を https://192.168.3.3 に設定します。

ログインを成功させるためにポート番号が必要な場合は、コロンに続けてポート番号を指定します。ASAは、この URL を sales 接続プロファイルにマッピングし、ユーザが https://192.168.3.3 にログインしたときに表示されるログイン画面に salesgui カスタマイゼーション プロファイルを適用します。

パスワード管理用の Microsoft Active Directory の設定

（注） 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server（旧名称は Sun ONE Directory Server）および Microsoft Active Directory を使用してサポートされます。

• Sun：Sun ディレクトリ サーバにアクセスするためにASAに設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

• Microsoft：Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

詳細については、一般的な操作のコンフィギュレーション ガイドのを参照してください。

Microsoft Active Directory でパスワード管理を使用するには、一定の Active Directory パラメータを設定し、ASAでパスワード管理を設定する必要があります。この項では、さまざまなパスワード管理アクションに関連する Active Directory の設定について説明します。これらの説明は、ASAでのパスワード管理がイネーブルになっていて、対応するパスワード管理属性が設定されていることを前提としています。この項の特定の手順では、Windows 2000 における Active Directory の用語に言及し、次の項目を取り上げます。

• 「次回ログイン時にパスワードの変更をユーザに強制するための Active Directory の使用」。

• 「Active Directory を使用したパスワードの最大有効日数の指定」。

• 「Active Directory を使用した Account Disabled AAA インジケータの上書き」

• 「Active Directory を使用したパスワードの複雑性の強制」。

この項では、認証に LDAP ディレクトリ サーバを使用していることを前提としています。

次回ログイン時にパスワードの変更をユーザに強制するための Active Directory の使用

次回ログイン時にユーザ パスワードの変更をユーザに強制するには、ASA のトンネルグループ一般属性コンフィギュレーション モードで password-management コマンドを指定して、Active Directory で次の手順を実行します。

ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] を選択します（図 4-1）。

図 4-1 Active Directory：[Administrative Tools] メニュー

ステップ 2 右クリックして、[Username] > [Properties] > [Account] を選択します。

ステップ 3 [User must change password at next logon] チェックボックスをオンにします（図 4-2）。

図 4-2 Active Directory：ログイン時のパスワード変更要求

このユーザが次回ログインするときに、ASA が「New password required.Password change required.You must enter a new password with a minimum length n to continue.」というプロンプトを表示します。[Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択し、Active Directory コンフィギュレーションの一部として、パスワードの最小の長さ n を設定できます。[Minimum password length] パスワードの最小の長さを選択します。

Active Directory を使用したパスワードの最大有効日数の指定

セキュリティを強化するために、一定の日数経過後パスワードが期限切れになるように指定できます。ユーザ パスワードの最大有効日数を指定するには、ASA のトンネルグループ一般属性コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。

ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 2 [Maximum password age] をダブルクリックします。[Security Policy Setting] ダイアログボックスが表示されます。

ステップ 3 [Define this policy setting] チェックボックスをオンにして、許可する [Maximum password age] を日単位で指定します。

図 4-3 Active Directory：パスワードの最大有効日数

（注） 以前、パスワードの有効日数の設定機能を実行するためにトンネルグループ リモートアクセス コンフィギュレーションの一部として設定されていた radius-with-expiry コマンドは非推奨になっています。このコマンドは、トンネルグループ一般属性モードで入力される password-management コマンドに置き換えられます。

Active Directory を使用した Account Disabled AAA インジケータの上書き

AAA サーバからの account-disabled 表示を上書きするには、ASA のトンネルグループ一般属性コンフィギュレーション モードで override-account-disable コマンドを使用し、Active Directory で次の手順を実行します。

（注） override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。

ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] を選択します。

ステップ 2 [Username] > [Properties] > [Account] を右クリックして、メニューから [Disable Account] を選択します。

図 4-4 Active Directory：アカウント無効の上書き

AAA サーバを介して account-disabled インジケータが表示されていても、ユーザは正常にログインできます。

Active Directory を使用した最小パスワード長の強制

パスワードの最小長を強制するには、ASA のトンネルグループ一般属性コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。

ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] を選択します。

ステップ 2 [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 3 [Minimum Password Length] をダブルクリックします。[Security Policy Setting] ダイアログボックスが表示されます。

ステップ 4 [Define this policy setting] チェックボックスをオンにして、パスワードに含める必要がある最小文字数を指定します。

図 4-5 Active Directory：最小パスワード長

Active Directory を使用したパスワードの複雑性の強制

複雑なパスワード、たとえば、大文字と小文字、数字、および特殊文字を含むパスワードを要求するには、ASA のトンネルグループ一般属性コンフィギュレーション モードで password-management コマンドを入力し、Active Directory で次の手順を実行します。

ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] を選択します。[Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 2 [Password must meet complexity requirements] をダブルクリックして、[Security Policy Setting] ダイアログボックスを開きます。

ステップ 3 [Define this policy setting] チェックボックスをオンにして、[Enable] を選択します。

図 4-6 Active Directory：パスワードの複雑性の強制

パスワードの複雑性の強制は、ユーザがパスワードを変更するときにだけ有効になります。たとえば、次回ログイン時にパスワード変更を強制する、または n 日後にパスワードが期限切れになるように設定した場合です。ログイン時に、新しいパスワードの入力を求めるプロンプトが表示され、システムは複雑なパスワードだけを受け入れます。

AnyConnect クライアントをサポートする RADIUS/SDI メッセージの接続プロファイルの設定

この項では、RSA SecureID ソフトウェア トークンを使用する AnyConnect VPN クライアントが、SDI サーバにプロキシする RADIUS サーバ経由でクライアントに配信されるユーザ プロンプトに正しく応答できるようにする手順について説明します。ここでは、次の内容について説明します。

• AnyConnect クライアントと RADIUS/SDI サーバのインタラクション

• RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

（注） 二重認証機能を設定した場合、SDI 認証はプライマリ認証サーバでだけサポートされます。

AnyConnect クライアントと RADIUS/SDI サーバのインタラクション

リモート ユーザが AnyConnect VPN クライアントでASAに接続し、RSA SecurID トークンを使用して認証を試みると、ASAは RADIUS サーバと通信を行い、次に、RADIUS サーバは認証について SDI サーバと通信を行います。

認証の間に、RADIUS サーバはASAにアクセス チャレンジ メッセージを提示します。これらのチャレンジ メッセージ内に、SDI サーバからのテキストを含む応答メッセージがあります。メッセージ テキストは、ASAが SDI サーバと直接通信している場合と、RADIUS プロキシ経由で通信している場合とでは異なります。そのため、AnyConnect クライアントにネイティブ SDI サーバとして認識させるために、ASAは RADIUS サーバからのメッセージを解釈する必要があります。

また、SDI メッセージは SDI サーバで設定可能であるため、ASAのメッセージ テキストの全体または一部が、SDI サーバのメッセージ テキストと一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトは、認証中に必要とされるアクションに対して適切でない場合があります。そのため、AnyConnect クライアントが応答できずに、認証が失敗する可能性があります。

「RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定」では、クライアントと SDI サーバ間の認証を確実に成功させるように ASA を設定する方法について説明します。

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

SDI 固有の RADIUS 応答メッセージを解釈し、AnyConnect ユーザに適切なアクションを求めるプロンプトを表示するように ASA を設定するには、次の手順を実行します。

たとえば、次のように入力します。

ステップ 2 トンネルグループ webvpn コンフィギュレーション モードで proxy-auth_map sdi コマンドを使用して、RADIUS サーバによって送信されるメッセージ テキストと全体または一部が一致する RADIUS 応答メッセージ テキストをASAで設定します。

ASAが使用するデフォルトのメッセージ テキストは、Cisco Secure Access Control Server（ACS）で使用されるデフォルトのメッセージ テキストです。Cisco Secure ACS を使用していて、デフォルトのメッセージ テキストを使用している場合、ASAでメッセージ テキストを設定する必要はありません。それ以外の場合は、 proxy-auth_map sdi コマンドを使用して、メッセージ テキストが一致するようにします。

表 4-3 は、メッセージ コード、デフォルトの RADIUS 応答メッセージ テキスト、および各メッセージの機能を示しています。セキュリティ アプライアンスは、テーブルに表示される順番に文字列を検索するため、メッセージ テキストに使用する文字列は別の文字列のサブセットではないようにする必要があります。

たとえば、「new PIN」が new-pin-sup と next-ccode-and-reauth の両方に対するデフォルトのメッセージ テキストのサブセットだとします。new-pin-sup を「new PIN」として設定した場合、セキュリティ アプライアンスは RADIUS サーバから「new PIN with the next card code」を受信すると、next-ccode-and-reauth コードではなく new-pin-sup コードとテキストを一致させます。

表 4-3 SDI 操作コード、デフォルトのメッセージ テキスト、およびメッセージの機能

次の例では、aaa-server-host モードに入り、RADIUS 応答メッセージ new-pin-sup のテキストを変更します 。

デフォルトのグループ ポリシー

ASAでは、デフォルトのグループ ポリシーが提供されます。このデフォルト グループ ポリシーは変更できますが、削除はできません。デフォルトのグループ ポリシーは、DfltGrpPolicy という名前でASAに常に存在していますが、このデフォルトのグループ ポリシーは、ASAでそれを使用するように設定しない限り有効にはなりません。その他のグループ ポリシーを設定する場合、明示的に指定しない属性の値はデフォルトのグループ ポリシーから取得されます。デフォルトのグループ ポリシーを表示するには、次のコマンドを入力します。

デフォルトのグループ ポリシーを設定するには、次のコマンドを入力します。

（注） デフォルトのグループ ポリシーは、常に内部（internal）です。コマンド構文は、hostname(config)# group-policy DfltGrpPolicy {internal | external} ですが、タイプを外部（external）に変更することはできません。

デフォルトのグループ ポリシーの任意の属性を変更する場合は、 group-policy attributes コマンドを使用して属性モードに入り、その後、変更対象の属性を変更するためのコマンドを指定します。

（注） 属性モードは内部グループ ポリシーにだけ適用されます。

ASAで提供されるデフォルトのグループ ポリシー DfltGrpPolicy は、次のとおりです。

デフォルト グループ ポリシーは変更可能です。また、環境に固有の 1 つ以上のグループ ポリシーを作成することもできます。

デフォルトのグループ ポリシー

ASAでは、デフォルトのグループ ポリシーが提供されます。このデフォルト グループ ポリシーは変更できますが、削除はできません。デフォルトのグループ ポリシーは、DfltGrpPolicy という名前でASAに常に存在していますが、このデフォルトのグループ ポリシーは、ASAでそれを使用するように設定しない限り有効にはなりません。その他のグループ ポリシーを設定する場合、明示的に指定しない属性の値はデフォルトのグループ ポリシーから取得されます。デフォルトのグループ ポリシーを表示するには、次のコマンドを入力します。

デフォルトのグループ ポリシーを設定するには、次のコマンドを入力します。

（注） デフォルトのグループ ポリシーは、常に内部（internal）です。コマンド構文は、hostname(config)# group-policy DfltGrpPolicy {internal | external} ですが、タイプを外部（external）に変更することはできません。

デフォルトのグループ ポリシーの任意の属性を変更する場合は、 group-policy attributes コマンドを使用して属性モードに入り、その後、変更対象の属性を変更するためのコマンドを指定します。

（注） 属性モードは内部グループ ポリシーにだけ適用されます。

ASAで提供されるデフォルトのグループ ポリシー DfltGrpPolicy は、次のとおりです。

デフォルト グループ ポリシーは変更可能です。また、環境に固有の 1 つ以上のグループ ポリシーを作成することもできます。

グループ ポリシーの設定

グループ ポリシーは、すべての種類のトンネルに適用できます。どちらの場合も、パラメータが明示的に指定されていなければ、そのグループはデフォルト グループ ポリシーの値を使用します。

設定タスクは、シングル コンテキスト モードまたはマルチ コンテキスト モードの両方で実行できます。

（注） マルチ コンテキスト モードは IKEv1 および IKEv2 サイト間にのみ適用され、IKEv1 IPSec の AnyConnect、クライアントレス SSL VPN、レガシー Cisco VPN クライアント、Apple ネイティブ VPN クライアント、Microsoft ネイティブ VPN クライアント、または cTCP には適用されません。

外部グループ ポリシーの設定

外部グループ ポリシーの属性値には、指定する外部サーバの値が取得されます。外部グループ ポリシーの場合は、ASAが属性のクエリーを実行できる AAA サーバ グループを特定し、その外部 AAA サーバ グループから属性を取得するときに使用するパスワードを指定する必要があります。外部認証サーバを使用していて、外部グループ ポリシー属性が、認証する予定のユーザと同じ RADIUS サーバにある場合、それらの間で名前が重複しないようにする必要があります。

（注） ASAの外部グループ名は、RADIUS サーバのユーザ名を参照しています。つまり、ASAに外部グループ X を設定する場合、RADIUS サーバはクエリーをユーザ X に対する認証要求と見なします。そのため、外部グループは実際には、ASAにとって特別な意味を持つ、RADIUS サーバ上のユーザ アカウントということになります。外部グループ属性が認証する予定のユーザと同じ RADIUS サーバに存在する場合、それらの間で名前を重複させることはできません。

ASAは、外部 LDAP または RADIUS サーバでのユーザ認証をサポートしています。外部サーバを使用するようにASAを設定する前に、正しいASA認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。外部サーバを設定するには、 付録 14「許可および認証用の外部サーバの設定」 の説明に従ってください。

外部グループ ポリシーを設定するには、次の手順を実行して、server-group 名と password とともにグループ ポリシーの名前とタイプを指定します。

（注） 外部グループ ポリシーの場合、サポートされる AAA サーバ タイプは RADIUS だけです。

たとえば、次のコマンドは、ExtGroup という名前の外部グループ ポリシーが作成します。このグループ ポリシーの属性は、ExtRAD という名前の外部 RADIUS サーバから取得され、属性を取得するときに使用されるパスワードが newpassword に指定されます。

（注） 付録 14「許可および認証用の外部サーバの設定」に説明されているように、いくつかのベンダー固有属性（VSA）を設定できます。RADIUS サーバが Class 属性（#25）を返すように設定されている場合、ASAは、グループ名の認証にその属性を使用します。RADIUS サーバでは、属性は次の形式で指定する必要があります。OU=groupname。ここで、groupnameは、ASAで設定されたグループ名と同一です。例、OU=Finance。

内部グループ ポリシーの作成

内部グループ ポリシーを設定するには、コンフィギュレーション モードを開始します。group-policy コマンドを使用して、グループ ポリシーの名前と internal タイプを指定します。

たとえば、次のコマンドは GroupPolicy1 という名前の内部グループ ポリシーを作成します。

（注） いったん作成したグループ ポリシーの名前は変更できません。

キーワード from を追加して既存のポリシーの名前を指定することにより、既存のグループ ポリシーの値をコピーして、内部グループ ポリシーの属性を設定できます。

たとえば、次のコマンドは GroupPolicy1 の属性をコピーして、GroupPolicy2 という名前の内部グループ ポリシーを作成します。

一般的な内部グループ ポリシー属性の設定

グループ ポリシー名

グループ ポリシーの名前は内部グループ ポリシーの作成時に選択されています。いったん作成されたグループ ポリシーの名前は変更できません。詳細については、「内部グループ ポリシーの作成」を参照してください。

グループ ポリシーのバナー メッセージの設定

表示するバナーまたは初期メッセージ（ある場合）を指定します。デフォルトでは、バナーは表示されません。指定したメッセージは、リモート クライアントが接続したときに、そのクライアントに表示されます。バナーを指定するには、グループ ポリシー コンフィギュレーション モードで banner コマンドを入力します。バナー テキストの長さは 510 文字までです。復帰改行を挿入する場合は、「\n」シーケンスを入力します。

（注） バナー内の復帰改行は、2 文字として数えられます。

バナーを削除するには、このコマンドの no 形式を入力します。このコマンドの no 形式を使用すると、グループ ポリシーのすべてのバナーが削除されることに注意してください。

グループ ポリシーは、別のグループ ポリシーからこの値を継承できます。値を継承しないようにするには、次のように、バナー文字列の値を指定する代わりに none キーワードを入力します。

次の例は、FirstGroup という名前のグループ ポリシーにバナーを作成する方法を示しています。

リモート アクセス接続のアドレス プールの指定

リモート アクセス クライアントが ASA に接続する場合、ASA は、接続に指定されたグループ ポリシーに基づいて IPv4 または IPv6 アドレスをクライアントに割り当てることができます。

ローカル アドレスの割り当てに使用する最大 6 個のローカル アドレス プールのリストを指定できます。プールの指定順序は重要です。ASAでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

内部グループ ポリシーへの IPv4 アドレス プールの割り当て

前提条件

IPv4 アドレス プールを作成します。「VPN の IP アドレスの設定」を参照してください。

手順の詳細

内部グループ ポリシーへの IPv6 アドレス プールの割り当て

前提条件

IPv6 アドレス プールを作成します。「VPN の IP アドレスの設定」を参照してください。

手順の詳細

グループ ポリシーのトンネリング プロトコルの指定

グループ ポリシー コンフィギュレーション モードで vpn-tunnel-protocol { ikev1 | ikev2 | l2tp-ipsec | ssl-client | ssl-clientless} コマンドを入力して、このグループ ポリシーの VPN トンネル タイプを指定します。

デフォルト値は、デフォルト グループ ポリシーの属性を継承することです。この属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

このコマンドのパラメータの値は、次のとおりです。

• ikev1：2 つのピア（Cisco VPN Client または別のセキュア ゲートウェイ）間の IPsec IKEv1 トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションを作成します。

• ikev2：2 つのピア（AnyConnect Secure Mobility Client または別のセキュア ゲートウェイ）間の IPsec IKEv2 トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションを作成します。

• l2tp-ipsec ：L2TP 接続用の IPsec トンネルをネゴシエートします。

• ssl-client：AnyConnect Secure Mobility Client で TLS または DTLS を使用して、SSL トンネルをネゴシエートします。

• ssl-clientless ：HTTPS 対応の Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは必要ありません。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルを介して接続するユーザには、少なくとも 1 つのトンネリング モードを設定する必要があります。

次の例は、FirstGroup という名前のグループ ポリシーに IPsec IKEv1 トンネリング モードを設定する方法を示しています。

リモート アクセスの VLAN の指定またはグループ ポリシーへの統合アクセス コントロール ルール

フィルタは、ASAを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。グループ ポリシーの IPv4 または IPv6 統合アクセス コントロール リストを指定するか、またはデフォルト グループ ポリシーで指定された ACL を継承するようにできます。新しい統合 ACL を設定して、グループで使用するには、一般的な操作のコンフィギュレーション ガイドのを参照してください。

次のオプションのいずれかを選択して、リモート アクセス用の出力 VLAN（「VLAN マッピング」とも呼ばれる）、またはトラフィックをフィルタリングする ACL を指定します。

• グループ ポリシー コンフィギュレーション モードで次のコマンドを入力して、このグループ ポリシーまたはこのグループ ポリシーを継承するグループ ポリシーに割り当てられているリモートアクセス VPN セッション用の出力 VLAN を指定します。

no vlan は、グループ ポリシーから vlan_id を削除します。グループ ポリシーは、デフォルトのグループ ポリシーから vlan 値を継承します。

none は、グループ ポリシーから vlan_id を削除し、このグループ ポリシーに対する VLAN マッピングをディセーブルにします。グループ ポリシーは、デフォルトのグループ ポリシーから vlan 値を継承しません。

vlan_id は、このグループ ポリシーを使用するリモート アクセス VPN セッションに割り当てる VLAN の番号（10 進表記）です。VLAN は一般的な操作のコンフィギュレーション ガイドのの説明に従い、この ASA に設定する必要があります。

（注） 出力 VLAN は、HTTP 接続では機能しますが、FTP と CIFS では機能しません。

• グループ ポリシー モードで vpn - filter コマンドを使用して、VPN セッションに適用するアクセス コントロール ルール（ACL）の名前を指定します vpn-filter コマンドを使用して、IPv4 または IPv6 ACL を指定できます。

（注） ipv6-vpn-filter コマンドは ASA 9.0 から非推奨になりました。IPv4 および IPv6 エントリの両方で統合フィルタを設定するには、「vpn-filter」CLI を使用する必要があります。この IPv6 フィルタは、「vpn-filter」によって指定されたアクセス リストに IPv6 エントリがない場合にのみ使用されます。

（注） この属性はユーザ名モードで設定することもできます。その場合、ユーザ名の下で設定された値がグループ ポリシーの値よりも優先されます。

ACL を設定して、このグループ ポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを入力して、これらの ACL を適用します。

vpn - filter none コマンドを入力して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。

グループ ポリシーは、別のグループ ポリシーからこの値を継承できます。値を継承しないようにするには、ACL 名を指定する代わりに、 none キーワードを入力します。 none キーワードは、ACL がないことを示します。このキーワードにより、ヌル値が設定され、ACL が拒否されます。

次に、FirstGroup という名前のグループ ポリシーの、acl_vpn という ACL を呼び出すフィルタを設定する例を示します。

vpn-filter コマンドは、トンネルから出た後の、復号化後のトラフィックとトンネルに入る前の、暗号化前のトラフィックに適用されます。vpn-filter に使用される ACL を interface access-group にも使用することはできません。 vpn-filter コマンドを、リモート アクセス VPN クライアント接続を制御するグループ ポリシーに適用する場合は、ACL の src_ip の位置のクライアント割り当て IP アドレスおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。

vpn-filter コマンドを、LAN-to-LAN VPN 接続を制御するグループ ポリシーに適用する場合は、ACL の src_ip の位置のリモート ネットワークおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。

vpn-filter 機能で使用するために ACL を設定する場合は、注意する必要があります。ACL は、復号化後のトラフィックに対して構築されていることに留意してください。ただし、ACL は反対方向のトラフィックに対しても適用されます。トンネル宛ての、暗号化前のこのトラフィックについては、ACL は src_ip の位置と dest_ip の位置を入れ替えたものに対して構築されています。

次の例では、vpn-filter をリモート アクセス VPN クライアントと共に使用します。
この例では、クライアント割り当て IP アドレスを 10.10.10.1/24、ローカル ネットワークを 192.168.1.0/24 としています。

次の ACE によって、リモート アクセス VPN クライアントがローカル ネットワークに Telnet を使用することが許可されます。

次の ACE によって、ローカル ネットワークがリモート アクセス クライアントに Telnet を使用することが許可されます。

（注） ACE の access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 によって、ローカル ネットワークは、送信元ポート 23 を使用している場合に任意の TCP ポートでのリモート アクセス クライアントへの接続開始が許可されます。ACE の access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 によって、リモート アクセス クライアントは、送信元ポート 23 を使用している場合に任意の TCP ポートでのローカル ネットワークへの接続開始が許可されます。

次の例では、vpn-filter を LAN-to-LAN VPN 接続と共に使用します。この例では、リモート ネットワークを 10.0.0.0/24、ローカル ネットワークを 192.168.1.0/24 としています。
次の ACE によって、リモート ネットワークがローカル ネットワークに Telnet を使用することが許可されます。

次の ACE によって、ローカル ネットワークがリモート ネットワークに Telnet を使用することが許可されます。

（注） ACE の access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 によって、ローカル ネットワークは、送信元ポート 23 を使用している場合に任意の TCP ポートでのリモート ネットワークへの接続開始が許可されます。ACE の access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 によって、リモート ネットワークは、送信元ポート 23 を使用している場合に任意の TCP ポートでのローカル ネットワークへの接続開始が許可されます。

グループ ポリシーに対する NAC ポリシーの指定

このコマンドでは、このグループ ポリシーに適用するネットワーク アドミッション コントロール ポリシーの名前を選択します。オプションの NAC ポリシーを各グループ ポリシーに割り当てることができます。デフォルト値は --None-- です。

前提条件

NAC ポリシーを作成します。「ネットワーク アドミッション コントロールの設定」を参照してください。

手順の詳細

グループ ポリシーの VPN アクセス時間の指定

前提条件

時間の範囲を作成します。一般的な操作のコンフィギュレーション ガイドのを参照してください。

手順の詳細

グループ ポリシーの同時 VPN ログインの指定

グループ ポリシー コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用して、任意のユーザに許可される同時ログイン数を指定します。

デフォルト値は 3 です。値の範囲は 0 ～ 2147483647 の整数です。グループ ポリシーは、別のグループ ポリシーからこの値を継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。次に、FirstGroup という名前のグループ ポリシーに対して最大 4 つの同時ログインを許可する例を示します。

（注） 同時ログイン数の最大制限は非常に大きい値ですが、複数の同時ログインを許可すると、セキュリティが侵害されたり、パフォーマンスが低下したりすることがあります。

失効した AnyConnect、IPsec クライアント、またはクライアントレス セッション（異常終了したセッション）は、同じユーザ名で「新しい」セッションが確立されても、セッション データベースに残る場合があります。

vpn-simultaneous-logins の値が 1 の場合は、異常終了後に同じユーザが再度ログインすると、失効したセッションはデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションがまだアクティブな接続である場合は、同じユーザが別の PC などから再度ログインすると、最初のセッションがログオフし、データベースから削除されて、新しいセッションが確立されます。

同時ログイン数が 1 より大きい値の場合、その最大数に達した状態で再度ログインしようとすると、最もアイドル時間の長いセッションがログオフします。現在のすべてのセッションが同じくらい長い間アイドル状態の場合は、最も古いセッションがログオフします。このアクションにより、セッションが解放されて新しいログインが可能になります。

特定の接続プロファイルへのアクセスの制限

グループ ポリシー コンフィギュレーション モードで group-lock コマンドを使用して、接続プロファイルを介してだけアクセスするようにリモート ユーザを制限するかどうかを指定します。

tunnel-grp-name 変数は、ASAがユーザの接続に関して要求する既存の接続プロファイルの名前を指定します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられている接続プロファイルと同じかどうかをチェックすることによって、ユーザを制限します。同一ではなかった場合、ASAはユーザによる接続を禁止します。グループ ロックを設定しなかった場合、ASAは、割り当てられているグループに関係なくユーザを認証します。グループのロックは、デフォルトではディセーブルになっています。

group-lock 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーの値を継承できます。

group-lock をディセーブルにするには、 none キーワードを指定して group-lock コマンドを入力します。none キーワードにより、group-lock はヌル値に設定され、group-lock の制限が拒否されます。また、デフォルトまたは指定されたグループ ポリシーから group-lock の値が継承されなくなります。

グループ ポリシーの VPN の最大接続時間の指定

ステップ 1 グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用して、VPN 接続の最大時間を設定します。

最小時間は 1 分で、最大時間は 35791394 分です。デフォルト値はありません。この期間が終了すると、ASAは接続を終了します。

グループ ポリシーは、別のグループ ポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを指定して、このコマンドを入力します。 none キーワードを指定すると、無制限のセッション タイムアウト期間が許可されます。セッション タイムアウトにはヌル値が設定され、セッション タイムアウトが拒否されます。

次に、FirstGroup という名前のグループ ポリシーに対して 180 分の VPN セッション タイムアウトを設定する例を示します。

ステップ 2 vpn-session-timeout alert-interval {minutes | none} コマンドを使用して、セッション タイムアウトのアラート メッセージがユーザに表示される時間を設定します。このアラート メッセージは、VPN セッションが自動的に切断されるまでに何分あるかをユーザに伝えます。

次に、VPN セッションが切断される 20 分前にユーザに通知されるよう vpn-session-timeout alert-interval を設定する例を示します。1 ～ 30 分の範囲を指定できます。

none パラメータは、ユーザが通知を受信しないことを示します。

VPN セッション タイムアウト アラート間隔属性がデフォルト グループ ポリシーから継承されることを示すには、このコマンドの no 形式を使用します。

グループ ポリシーの VPN セッション アイドル タイムアウトの指定

ステップ 1 グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを入力して、ユーザ タイムアウト期間を設定します。

AnyConnect（SSL IPsec/IKEv2）：次のコマンドで設定されたグローバル WebVPN default-idle-timeout 値（秒単位）を使用します。 hostname(config-webvpn)# default-idle-timeout

WebVPN default-idle-timeout コマンドにおけるこの値の範囲は、60 ～ 86400 秒です。デフォルトのグローバル WebVPN アイドル タイムアウト（秒単位）は、1800 秒（30 分）です。

WebVPN ユーザの場合、 default-idle-timeout 値は、vpn-idle-timeout none がグループ ポリシー/ユーザ名属性に設定されている場合にのみ有効です。

サイト間（IKEv1、IKEv2）および IKEv1 リモート アクセス：タイムアウトをディセーブルにし、無制限のアイドル期間を許可します。

次の例は、FirstGroup という名前のグループ ポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

ステップ 2 vpn-idle-timeout alert-interval {minutes | none} コマンドを使用して、アイドルタイムアウトのアラート メッセージがユーザに表示される時間を設定します。このアラート メッセージは、VPN セッションが非アクティブ状態のため切断されるまでに何分あるかをユーザに伝えます。

次に、VPN セッションが非アクティブ状態のため切断される 20 分前にユーザに通知されるよう vpn-idle-timeout alert-interval を設定する例を示します。1 ～ 30 分の範囲を指定できます。

none パラメータは、ユーザが通知を受信しないことを示します。

VPN アイドル タイムアウト アラート間隔属性がデフォルト グループ ポリシーから継承されることを示すには、このコマンドの no 形式を使用します。

no vpn-idle-timeout alert-interval

グループ ポリシーの WINS サーバと DNS サーバの設定

プライマリおよびセカンダリの WINS サーバと DNS サーバを指定できます。それぞれのデフォルト値は none です。これらのサーバを指定するには、次の手順を実行します。

ステップ 1 プライマリとセカンダリの WINS サーバを指定します。

最初に指定する IP アドレスがプライマリ WINS サーバの IP アドレスです。2 番目（任意）の IP アドレスはセカンダリ WINS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、WINS サーバにヌル値が設定されます。この設定により、WINS サーバは許可されず、デフォルトまたは指定のグループ ポリシーから値が継承されなくなります。

wins-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番めのコマンドによって最初の設定が上書きされ、y.y.y.y が唯一の WINS サーバになります。サーバを複数設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときに、すべての WINS サーバの IP アドレスを含めます。

次の例は、FirstGroup という名前のグループ ポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である WINS サーバを設定する方法を示しています。

ステップ 2 プライマリとセカンダリの DNS サーバを指定します。

最初に指定する IP アドレスがプライマリ DNS サーバの IP アドレスです。2 番目（任意）の IP アドレスはセカンダリ DNS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、DNS サーバにヌル値が設定されます。この設定により、DNS サーバは許可されず、デフォルトまたは指定のグループ ポリシーから値が継承されなくなります。最大 4 つの DNS サーバ アドレス、2 つの IPv4 アドレス、および 2 つの IPv6 アドレスを指定できます。

dns-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、次に DNS サーバ y.y.y.y を設定した場合、2 番めのコマンドは最初のコマンドを上書きし、y.y.y.y が唯一の DNS サーバになります。サーバを複数設定する場合も同様です。以前に設定された DNS サーバを上書きする代わりにサーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを含めます。

次に、FirstGroup という名前のグループ ポリシーで、IP アドレスが 10.10.10.15、10.10.10.30、2001:DB8::1、および 2001:DB8::2 の DNS サーバを設定する例を示します。

ステップ 3 DeafultDNS DNS サーバ グループ にデフォルトのドメイン名が指定されていない場合は、デフォルト ドメインを指定する必要があります。 example.com などのドメイン名とトップ レベル ドメインを使用します。

ステップ 4 DHCP ネットワーク スコープを次のように設定します。

DHCP スコープでは、ASA DHCP サーバがこのグループ ポリシーのユーザにアドレスを割り当てるために使用する IP アドレスの範囲（つまり、サブネットワーク）を指定します。

次の例は、First Group という名前のグループ ポリシーに IP サブネットワーク 10.10.85.0（アドレス範囲 10.10.85.0 ～ 10.10.85.255 を指定）を設定する方法を示しています。

グループ ポリシーのスプリット トンネリング属性の設定

スプリット トンネリングを使用すると、リモート アクセス クライアントは、条件に応じて、パケットを暗号化された形式で VPN トンネルを介して誘導したり、クリア テキスト形式でネットワーク インターフェイスに誘導したりすることができます。スプリット トンネリングがイネーブルになっている場合、宛先がトンネルの反対側でないパケットは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが必要ありません。 split-tunnel-policy コマンドでは、このスプリット トンネリング ポリシーが特定のネットワークに適用されます。

サブネット内でのトラフィックのクライアント スプリット トンネリング動作の違い

AnyConnect クライアントおよびレガシー Cisco VPN（IPsec/IKEv1 クライアント）は、ASA によって割り当てられた IP アドレスと同じサブネット内のサイトにトラフィックを渡す場合、動作が異なります。AnyConnect では、クライアントは、設定済みのスプリット トンネリング ポリシーで指定されたすべてのサイト、および ASA によって割り当てられた IP アドレスと同じサブネット内に含まれるすべてのサイトにトラフィックを渡します。たとえば、ASA によって割り当てられた IP アドレスが 10.1.1.1、マスクが 255.0.0.0 の場合、エンドポイント デバイスは、スプリット トンネリング ポリシーに関係なく、10.0.0.0/8 を宛先とするすべてのトラフィックを渡します。

これとは対照的に、レガシー Cisco VPN Client は、クライアントに割り当てられたサブネットに関係なく、スプリット トンネリング ポリシーで指定されたアドレスだけにトラフィックを渡します。

そのため、割り当てられた IP アドレスが、期待されるローカル サブネットを適切に参照するように、ネットマスクを使用します。

スプリット トンネリング ポリシーの設定

IPv4 トラフィックのスプリット トンネリング ポリシーを指定して、トラフィックのトンネリング ルールを設定します。

IPv6 トラフィックのスプリット トンネリング ポリシーを指定して、トラフィックのトンネリング ルールを設定します。

hostname(config-group-policy)# no ipv6-split-tunnel-policy

デフォルトでは、 すべてのトラフィックがトンネリング されます。スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを入力します。 split-tunnel-policy 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、別のグループ ポリシーのスプリット トンネリングの値を継承できます。

トラフィックがクリア テキストで送信されるネットワークのリストは、 excludespecified キーワードで定義します。この機能は、社内ネットワークにトンネルを介して接続しながら、ローカル ネットワーク上のデバイス（プリンタなど）にアクセスするリモート ユーザにとって役立ちます。このオプションは、Cisco VPN Client に対してだけ適用されます。

tunnelall キーワードを指定すると、すべてのトラフィックがクリア テキストとして送信されなくなるか、ASA以外の宛先に送信されなくなります。この指定では、実質的にスプリット トンネリングはディセーブルになります。リモート ユーザは企業ネットワークを経由してインターネットにアクセスしますが、ローカル ネットワークにはアクセスできません。これがデフォルトのオプションです。

tunnelspecified キーワードを指定すると、指定されたネットワークとの間のすべてのトラフィックがトンネリングされます。このオプションによって、スプリット トンネリングがイネーブルになります。トンネリングするアドレスのネットワーク リストを作成できるようになります。その他すべてのアドレスに対するデータは、クリア テキストで送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。

（注） スプリット トンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最大限のセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。

次に、FirstGroup という名前のグループ ポリシーに対して、指定したネットワークのみをトンネリングするスプリット トンネリング ポリシーを設定する例を示します。

スプリット トンネリング用のネットワーク リストの指定

前提条件

• 「スプリット トンネリング ポリシーの設定」に従って、IPv4 または IPv6、あるいはその両方のスプリット トンネル ポリシーを設定します。

• IPv4 または IPv6 統合 ACL を作成して、スプリット トンネルのためのネットワーク リストとして指定します。IPv4 ネットワークおよび IPv6 ネットワークの両方のスプリット トンネル ポリシーを設定した場合は、コマンドで指定するネットワーク リスト（統合 ACL）が両方のプロトコルで使用されます。このため、ネットワーク リストには、IPv4 および IPv6 の両方のトラフィックのアクセス コントロール エントリ（ACE）が含まれている必要があります。これらの統合 ACL を作成していない場合は、一般的な操作のコンフィギュレーション ガイドのを参照してください。

手順

グループ ポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用して、スプリット トンネリング用のネットワーク リスト（統合 ACL）を指定します。

スプリット トンネリング ネットワーク リストによって、トラフィックがトンネルを通過する必要があるネットワークと、トンネリングを必要としないネットワークが区別されます。ASAは、ネットワーク リストに基づいてスプリット トンネリングを実行するかどうかを決定します。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成された ACL です。

拡張 ACL を使用する場合は、ソース ネットワークがスプリットトンネリング ネットワークを決定します。この場合、宛先ネットワークは無視されます。また、any という名前の IP アドレスまたはネットワーク アドレスは存在しないので、ACL のソースにはこの名前を使用しないでください。

value access-list name パラメータでは、トンネリングを実行する、または実行しないネットワークを列挙した ACL を指定します。ACL には、IPv4 と IPv6 の両方のアドレスを指定する ACE が含まれている統合 ACL を指定できます。

none キーワードは、スプリット トンネリング用のネットワーク リストが存在しないことを示し、ASAはすべてのトラフィックをトンネリングします。 none キーワードを指定すると、スプリット トンネリングのネットワーク リストにヌル値が設定され、スプリット トンネリングが拒否されます。また、これにより、デフォルトまたは指定されたグループ ポリシーから、デフォルトのスプリット トンネリング ネットワーク リストが継承されなくなります。

ネットワーク リストを削除するには、このコマンドの no 形式を入力します。すべてのスプリット トンネリング ネットワーク リストを削除するには、引数を指定せずに no split-tunnel-network-list コマンドを入力します。このコマンドにより、 none キーワードを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのネットワーク リストが削除されます。

スプリット トンネリング ネットワーク リストがない場合、ユーザはデフォルトのグループ ポリシーまたは指定したグループ ポリシー内に存在するネットワーク リストを継承します。ユーザがこのようなネットワーク リストを継承しないようにするには、 split-tunnel-network-list none コマンドを入力します。

次に、FirstGroup という名前のグループ ポリシーに対して FirstList という名前のネットワーク リストを設定する例を示します。

show runn group-policy attributes コマンドを実行して、設定を確認します。次の例は、管理者が IPv4 と IPv6 の両方のネットワーク ポリシーを設定し、両方のポリシーに対してネットワーク リスト（統合 ACL） FirstList を使用したことを示しています。

トンネリング用のドメイン属性の設定

トンネリングされたパケットのデフォルト ドメイン名、またはスプリット トンネルを経由して解決されるドメインのリストを指定できます。この項では、これらのドメインを設定する方法について説明します。次の項目を取り上げます。

トンネリングされたパケットのデフォルト ドメイン名の定義

ASA は、ドメイン フィールドを省略した DNS クエリーに付加するために、デフォルト ドメイン名を IPsec クライアントに渡します。デフォルト ドメイン名がない場合、ユーザはデフォルト グループ ポリシーのデフォルト ドメイン名を継承します。グループ ポリシーのユーザのデフォルト ドメイン名を指定するには、グループ ポリシー コンフィギュレーション モードで default-domain コマンドを入力します。ドメイン名を削除するには、このコマンドの no 形式を入力します。

value domain-name パラメータは、グループのデフォルト ドメイン名を指定します。デフォルト ドメイン名が存在しないことを指定するには、 none キーワードを入力します。このコマンドにより、デフォルト ドメイン名にヌル値が設定され、デフォルト ドメイン名が拒否されます。また、デフォルトまたは指定されたグループ ポリシーからデフォルト ドメイン名が継承されなくなります。

すべてのデフォルト ドメイン名を削除するには、引数を指定せずに no default-domain コマンドを入力します。このコマンドにより、 none キーワードを指定して default-domain コマンドを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのデフォルト ドメイン名が削除されます。 no 形式を使用すると、ドメイン名の継承が許可されます。

次に、FirstGroup という名前のグループ ポリシーに対して、FirstDomain のデフォルト ドメイン名を設定する例を示します。

スプリット トンネリング用のドメイン リストの定義

スプリット トンネルを介して解決されるドメインのリストを入力します。グループ ポリシー コンフィギュレーション モードで split-dns コマンドを入力します。リストを削除するには、このコマンドの no 形式を入力します。

スプリット トンネリング ドメインのリストがない場合、ユーザはデフォルトのグループ ポリシー内に存在するリストを継承します。ユーザがこのようなスプリット トンネリング ドメイン リストを継承しないようにするには、 none キーワードを指定して split-dns コマンドを入力します。

すべてのスプリット トンネリング ドメイン リストを削除するには、引数を指定せずに no split-dns コマンドを入力します。これにより、 none キーワードを指定して split-dns コマンドを発行して作成したヌル リストを含めて、設定済みのすべてのスプリット トンネリング ドメイン リストが削除されます。

パラメータ value domain-name では、ASAがスプリット トンネルを介して解決するドメイン名を指定します。 none キーワードは、スプリット DNS リストが存在しないことを示します。また、このキーワードにより、スプリット DNS リストにヌル値が設定されます。そのため、スプリット DNS リストは拒否され、デフォルトまたは指定されたグループ ポリシーのスプリット DNS リストが継承されなくなります。このコマンドの構文は次のとおりです。

ドメインのリスト内で各エントリを区切るには、スペースを 1 つ入力します。エントリ数に制限はありませんが、ストリング全体の長さは 255 文字以下にします。英数字、ハイフン（-）、およびピリオド（.）のみを使用できます。デフォルト ドメイン名がトンネルを介して解決される場合は、そのドメイン名をこのリストに明示的に含める必要があります。

次の例は、FirstGroup という名前のグループ ポリシーで、Domain1、Domain2、Domain3、Domain4 の各ドメインがスプリット トンネリングを介して解決されるように設定する方法を示しています。

DHCP 代行受信の設定

スプリット トンネル オプションが 255 バイトを超えていると、Microsoft XP で異常が発生し、ドメイン名が破損します。この問題を回避するには、ASAで送信ルートの数を 27 ～ 40 に制限します。ルートの数はルートのクラスによって異なります。

DHCP 代行受信を使用することにより、Microsoft Windows XP クライアントでASAとともにスプリット トンネリングを使用できます。ASAは、Microsoft Windows XP クライアント DHCP Inform メッセージに直接応答して、クライアントにトンネル IP アドレス用のサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。Windows XP 以前の Windows クライアントの場合、DHCP 代行受信によってドメイン名とサブネット マスクが提供されます。これは、DHCP サーバを使用するのが効果的でない環境で役立ちます。

intercept-dhcp コマンドは、DHCP 代行受信をイネーブルまたはディセーブルにします。

netmask 変数で、トンネル IP アドレスのサブネット マスクを提供します。このコマンドの no 形式は、コンフィギュレーションから DHCP 代行受信を削除します。

次に、FirstGroup というグループ ポリシーに DHCP 代行受信を設定する例を示します。

Web セキュリティのスプリット除外ポリシーの設定

クラウド Web セキュリティに関する情報

AnyConnect Web セキュリティ モジュールは、Cisco クラウド Web セキュリティが評価する Cisco クラウド Web セキュリティ スキャニング プロキシに HTTP トラフィックをルーティングするエンドポイント コンポーネントです。Cisco クラウド Web セキュリティは、Web ページの各要素を同時に分析できるように、これらの要素を分解します。これにより、潜在的に危険なコンテンツがブロックされ、問題のないコンテンツが通過します。

多数の Cisco クラウド Web セキュリティ スキャニング プロキシが世界各国に普及することで、AnyConnect Web セキュリティを活用するユーザは、遅延を最小限に抑えるために、応答時間が最も早い Cisco クラウド Web セキュリティ スキャニング プロキシにトラフィックをルーティングできます。

ユーザが VPN セッションを確立した場合は、すべてのネットワーク トラフィックが VPN トンネル経由で送信されます。ただし、AnyConnect ユーザが Web セキュリティを使用している場合、エンドポイントで発信された HTTP トラフィックはトンネルから除外され、クラウド Web セキュリティ スキャニング プロキシに直接送信される必要があります。

クラウド Web セキュリティ スキャニング プロキシ用のトラフィックのスプリット トンネル除外を設定するには、グループ ポリシーで [Set up split exclusion for Web Security] ボタンを使用します。

前提条件

• ASDM を使用して ASA にアクセスできる必要があります。この手順は、コマンドライン インターフェイスを使用して実行できません。

• Web セキュリティは AnyConnect クライアントで使用するように設定する必要があります。『 AnyConnect Secure Mobility Client Administrator Guide 』の「 Configuring Web Security 」を参照してください。

• グループ ポリシーを作成し、Web セキュリティで設定された AnyConnect クライアントの接続プロファイルに割り当てます。

手順の詳細

ステップ 1 設定するヘッド エンドの ASDM セッションを開始し、[Remote Access VPN] > [Configuration] > [Group Policies] の順に選択します

ステップ 2 設定するグループ ポリシーを選択し、[Edit] をクリックします。

ステップ 3 [Advanced] > [Split Tunneling] の順に選択します。

ステップ 4 [Set up split exclusion for Web Security] をクリックします。

ステップ 5 Web セキュリティのスプリット除外に使用される新しい ACL を入力するか、既存のアクセス リストを選択します。ASDM は、ネットワーク リストで使用する ACL を設定します。

ステップ 6 新しいリストの場合は [Create Access List] をクリックし、既存のリストの場合は [Update Access List] をクリックします。

ステップ 7 [OK] をクリックします。

次の実施手順

追加スキャニング プロキシを追加した場合は、この手順で作成した統合 ACL を新しい情報で更新します。

リモート アクセス クライアントで使用するためのブラウザ プロキシ設定の設定

クライアントのプロキシ サーバ パラメータを設定するには、次の手順を実行します。

ステップ 1 グループ ポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力し、クライアントデバイスのブラウザのプロキシ サーバとポート番号を設定します。

デフォルト値は none です。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

次に、ブラウザ プロキシ サーバとして IP アドレス 192.168.10.1 を設定し、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象にする例を示します。

ステップ 2 グループ ポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力して、クライアントデバイスのブラウザ プロキシ アクション（「メソッド」）を設定します。

デフォルト値は use-server です。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

使用できる方法は、次のとおりです。

• auto-detect ：クライアントデバイスのブラウザでプロキシ サーバの自動検出の使用をイネーブルにします。

• no-modify ：このクライアントデバイスで使用しているブラウザの HTTP ブラウザ プロキシ サーバの設定をそのままにします。

• no-proxy ：クライアントデバイスで使用しているブラウザの HTTP プロキシの設定をディセーブルにします。

• use-server ： msie-proxy server コマンドに設定された値を使用するように、ブラウザの HTTP プロキシ サーバ設定を設定します。

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

次に、FirstGroup というグループ ポリシーのブラウザ プロキシ設定として自動検出を設定する例を示します。

次に、クライアントデバイスのサーバとしてサーバ QASERVER、ポート 1001 を使用するように、FirstGroup というグループ ポリシーのブラウザ プロキシ設定を設定する例を示します。

ステップ 3 グループ ポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力して、クライアントデバイスのブラウザがローカルでプロキシをバイパスするために使用するプロキシの例外リストを設定します。これらのアドレスは、プロキシ サーバによってアクセスされません。このリストは、[Proxy Stteings] ダイアログボックスにある [Exceptions] ボックスに相当します。

コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

• value server:port ：このクライアントデバイスに適用する MSIE サーバの IP アドレスまたは名前、およびポートを指定します。ポート番号は任意です。

• none ：IP アドレスまたはホスト名とポートがないことを示し、例外リストを継承しません。

デフォルトでは、msie-proxy except-list はディセーブルになっています。

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

次に、ブラウザのプロキシ例外リストを設定する例を示します。IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象とします。

ステップ 4 グループ ポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力し、クライアントデバイスで使用するブラウザが、プロキシをローカルでバイパスする設定をイネーブルまたはディセーブルにします。

コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

次に、FirstGroup というグループ ポリシーのブラウザのプロキシ ローカル バイパスをイネーブルにする例を示します。

AnyConnect Secure Mobility Client 接続のグループ ポリシー属性の設定

「AnyConnect VPN Client 接続の設定」に示すように、AnyConnect クライアント接続をイネーブルにした後は、グループ ポリシーの AnyConnect 機能をイネーブルまたは必須にできます。グループ ポリシー webvpn コンフィギュレーション モードで次の手順を実行します。

ステップ 2 エンドポイント コンピュータ上で AnyConnect クライアントの永続的なインストールをディセーブルにするには、 none キーワードで anyconnect keep-installer コマンドを使用します。たとえば、次のように入力します。

デフォルトでは、クライアントの永続的なインストールはイネーブルになっています。クライアントは、AnyConnect セッションの終了時にエンドポイントにインストールされたままになります。

ステップ 3 グループ ポリシーの AnyConnect SSL 接続経由で HTTP データの圧縮をイネーブルにするには、anyconnect ssl compression コマンドを入力します。デフォルトでは、圧縮は none （ディセーブル）に設定されています。圧縮をイネーブルにするには、 deflate キーワードを使用します。たとえば、次のように入力します。

ステップ 4 ASA で Dead Peer Detection（DPD; デッド ピア検出）をイネーブルにし、AnyConnect またはASAが DPD を実行する頻度を設定するには、 anyconnect dpd-interval コマンドを使用します。

anyconnect dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }]}

デフォルトでは、ASA と AnyConnect クライアントの両方が 30 秒間隔で DPD を実行します。

ゲートウェイは、ASAのことです。ASAが DPD テストを実行する頻度を、30 ～ 3600 秒（1 時間）の範囲で指定できます。 none を指定すると、ASAが実行する DPD テストはディセーブルになります。値 300 が推奨されます。

クライアントは、AnyConnect クライアントのことです。クライアントが DPD テストを実行する頻度は、30 ～ 3600 秒（1 時間）の範囲で指定できます。 none を指定すると、クライアントが実行する DPD テストはディセーブルになります。値 30 が推奨されます。

次の例では、ASA（ゲートウェイ）で実行される DPD の頻度を 300 秒に設定し、クライアントで実行される DPD の頻度を 30 秒に設定します。

ステップ 5 デバイスが接続のアイドル状態を維持する時間を制限する場合でも、 anyconnect ssl keepalive コマンドを使用してキープアライブ メッセージの頻度を調整することで、プロキシ、ファイアウォール、または NAT デバイス経由の AnyConnect 接続を開いたままにすることができます。

anyconnect ssl keepalive {none | seconds }

また、キープアライブを調整すると、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケットベース アプリケーションをアクティブに実行していない場合でも、AnyConnect クライアントは切断および再接続されません。

次の例では、AnyConnect クライアントがキープアライブ メッセージを 300 秒（5 分）の頻度で送信できるようにセキュリティ アプライアンスを設定します。

ステップ 6 AnyConnect クライアントが SSL セッションでキーを再生成できるようにするには、anyconnect ssl rekey コマンドを使用します。

anyconnect ssl rekey { method { ssl | new-tunnel } | time minutes | none }}

デフォルトでは、キー再生成はディセーブルになっています。

method を new-tunnel に指定すると、SSL キーの再生成中に AnyConnect クライアントが新しいトンネルを確立することが指定されます。method を none に指定すると、キー再生成はディセーブルになります。method を ssl に指定すると、SSL の再ネゴシエーションはキー再生成中に行われます。method を指定する代わりに、セッションの開始からキー再生成が行われるまでの時間を 1 ～ 10080（1 週間）の分数で指定できます。

次の例では、キー再生成中に AnyConnect クライアントが SSL と再ネゴシエートするように設定し、キー再生成がセッション開始の 30 分後に発生するように設定しています。

ステップ 7 クライアント プロトコル バイパス機能を使用すると、ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定することができます。

AnyConnect クライアントが ASA に VPN 接続するときに、ASA は IPv4 と IPv6 の一方または両方のアドレスを割り当てます。ASA が AnyConnect 接続に IPv4 アドレスまたは IPv6 アドレスだけを割り当てた場合に、ASA が IP アドレスを割り当てなかったネットワーク トラフィックについて、クライアント プロトコル バイパスによってそのトラフィックをドロップさせるか、または ASA をバイパスしてクライアントからの暗号化なし、つまりクリア テキストとしての送信を許可するかを設定できるようになりました。

たとえば、ASA が AnyConnect 接続に IPv4 アドレスだけを割り当てたが、そのエンドポイントがデュアル スタックであるとします。このエンドポイントが IPv6 アドレスへの到達を試みたときに、クライアント バイパス プロトコル機能がディセーブルの場合は、IPv6 トラフィックがドロップされますが、クライアント バイパス プロトコルがイネーブルの場合は、IPv6 トラフィックはクライアントからクリア テキストとして送信されます。

client-bypass-protocol コマンドを使用して、クライアント バイパス プロトコル機能をイネーブルまたはディセーブルにします。コマンド構文は次のとおりです。

次に、クライアント バイパス プロトコルをイネーブルにする例を示します。

次に、クライアント バイパス プロトコルをデイセーブルにする例を示します。

次に、イネーブルまたはディセーブルになっているクライアント バイパス プロトコル設定を削除する例を示します。

ステップ 8 ASA 間にロード バランシングを設定した場合は、VPN セッションの再確立に使用される ASA IP アドレスを解決するために、ASA の FQDN を指定します。この設定は、さまざまな IP プロトコルのネットワーク間のクライアント ローミングをサポートするうえで重要です（IPv4 から IPv6 など）。

AnyConnect プロファイルにある ASA FQDN を使用してローミング後に ASA IP アドレスを取得することはできません。アドレスがロード バランシング シナリオの正しいデバイス（トンネルが確立されているデバイス）と一致しない場合があります。

デバイスの FQDN がクライアントに配信されない場合、クライアントは、以前にトンネルが確立されている IP アドレスへの再接続を試みます。異なる IP プロトコル（IPv4 から IPv6）のネットワーク間のローミングをサポートするには、AnyConnect は、トンネルの再確立に使用する ASA アドレスを決定できるように、ローミング後にデバイス FQDN の名前解決を行う必要があります。クライアントは、初期接続中にプロファイルに存在する ASA FQDN を使用します。以後のセッション再接続では、使用可能な場合の、常に、ASA によってプッシュされた（また、グループ ポリシーで管理者が設定した）デバイス FQDN を使用します（使用可能な場合）。FQDN が設定されていない場合、ASA は、[Device Setup] > [Device Name/Password and Domain Name] の設定内容からデバイス FQDN を取得（およびクライアントに送信）します。

デバイス FQDN が ASA によってプッシュされていない場合、クライアントは、異なる IP プロトコルのネットワーク間のローミング後に VPN セッションを再確立できません。

gateway-fqdn コマンドを使用して、ASA の FQDN を設定します。コマンド構文は次のとおりです。

次に、ASA の FQDN を ASAName.example.cisco.com として定義する例を示します。

次に、グループ ポリシーから ASA の FQDN を削除する例を示します。グループ ポリシーは、デフォルト グループ ポリシーからこの値を継承します。

次に、FQDN を空の値として定義する例を示します。hostname コマンドおよび domain-name コマンドを使用して設定されたグローバル FQDN が使用されます（使用可能な場合）。

IPSec（IKEv1）クライアントのグループ ポリシー属性の設定

IPSec（IKEv1）クライアントのセキュリティ属性の設定

グループのセキュリティ設定を指定するには、次の手順を実行します。

ステップ 1 グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して password-storage コマンドを使用し、ユーザがログイン パスワードをクライアント システムに保存できるようにするかどうかを指定します。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを使用します。

セキュリティ上の理由から、パスワード保存はデフォルトでディセーブルになっています。セキュア サイトにあることがわかっているシステム上でのみ、パスワードの保管をイネーブルにしてください。

password-storage 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

no 形式を指定すると、password-storage の値を別のグループ ポリシーから継承することができます。

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証には適用されません。

次に、FirstGroup という名前のグループ ポリシーに対してパスワードの保管をイネーブルにする例を示します。

ステップ 2 デフォルトではディセーブルになっている IP 圧縮をイネーブルにするかどうかを指定します。

（注） IPSec IKEv2 接続では、IP 圧縮はサポートされていません。

LZS IP 圧縮をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-comp コマンドを入力します。IP 圧縮をディセーブルにするには、 disable キーワードを指定して ip-comp コマンドを入力します。

ip-comp 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、別のグループ ポリシーの値を継承できます。

データ圧縮をイネーブルにすると、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが向上する場合があります。

ステップ 3 グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して re-xauth コマンドを使用し、IKE キーが再生成される際にユーザが再認証を受ける必要があるかどうかを指定します。

（注） IKEv2 接続では、IKE キー再生成はサポートされていません。

IKE キー再生成時の再認証をイネーブルにすると、ASA では、最初のフェーズ 1 IKE ネゴシエーションにおいてユーザに対してユーザ名とパスワードの入力が求められ、その後 IKE キー再生成が行われるたびにユーザ認証が求められます。再認証によって、セキュリティが強化されます。

設定されているキー再生成間隔が極端に短い場合、ユーザは認証を繰り返し求められることに不便を感じることがあります。許可要求が何度も繰り返されないようにするには、再認証をディセーブルにします。設定されているキー再生成インターバルを確認するには、モニタリング モードで show crypto ipsec sa コマンドを入力して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータのキロバイト単位のライフタイムを表示します。IKE キーが再生成される際のユーザの再認証をディセーブルにするには、 disable キーワードを入力します。IKE キーが再生成される際の再認証は、デフォルトではディセーブルになっています。

IKE キーが再生成される際の再認証用の値を別のグループ ポリシーから継承することをイネーブルにするには、このコマンドの no 形式を入力して、実行コンフィギュレーションから re-xauth 属性を削除します。

（注） 接続先にユーザが存在しない場合、再認証は失敗します。

ステップ 4 完全転送秘密をイネーブルにするかどうかを指定します。IPsec ネゴシエーションでは、完全転送秘密により、新しい各暗号キーは以前のどのキーとも関連性がないことが保証されます。グループ ポリシーは、別のグループ ポリシーから完全転送秘密の値を継承できます。完全転送秘密は、デフォルトではディセーブルになっています。完全転送秘密をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して pfs コマンドを使用します。

完全秘密転送をディセーブルにするには、 disable キーワードを指定して pfs コマンドを入力します。

完全秘密転送属性を実行コンフィギュレーションから削除して、値を継承しないようにするには、このコマンドの no 形式を入力します。

IKEv1 クライアントの IPsec-UDP 属性の設定

IPsec over UDP（IPsec through NAT と呼ばれることもあります）を使用すると、Cisco VPN Client またはハードウェア クライアントは、NAT を実行している ASA に UDP 経由で接続できます。この機能はデフォルトではディセーブルになっています。IPsec over UDP は、リモートアクセス接続だけに適用される専用の機能で、モード コンフィギュレーションが必要です。ASAは、SA のネゴシエート時にクライアントとの間でコンフィギュレーション パラメータをやり取りします。IPSec over UDP を使用すると、システム パフォーマンスが若干低下します。

IPsec over UDP をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで、次のように enable キーワードを指定して ipsec-udp コマンドを設定します。

IPsec over UDP を使用するには、この項の説明に従って、 ipsec-udp-port コマンドも設定する必要があります。

IPsec over UDP をディセーブルにするには、 disable キーワードを入力します。IPSec over UDP 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、別のグループ ポリシーから IPSec over UDP の値を継承できるようになります。

また、IPsec over UDP を使用するように Cisco VPN Client を設定しておく必要があります（Cisco VPN Client は、デフォルトで IPsec over UDP を使用するように設定されています）。VPN 3002 では、IPsec over UDP を使用するためのコンフィギュレーションが必要ありません。

次に、FirstGroup というグループ ポリシーの IPSec over UDP を設定する例を示します。

IPsec over UDP をイネーブルにした場合は、グループ ポリシー コンフィギュレーション モードで ipsec-udp-port コマンドも設定する必要があります。このコマンドにより、IPSec over UDP 用の UDP ポート番号が設定されます。IPSec ネゴシエーションでは、ASA は設定されたポートでリッスンし、他のフィルタ ルールで UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。ポート番号の範囲は 4001 ～ 49151 です。デフォルトのポート値は 10000 です。

UDP ポートをディセーブルにするには、このコマンドの no 形を入力します。これにより、別のグループ ポリシーから IPsec over UDP ポートの値を継承できるようになります。

次に、FirstGroup というグループ ポリシーの IPsec UDP ポートをポート 4025 に設定する例を示します。

VPN ハードウェア クライアントの属性の設定

この項では、セキュア ユニット認証およびユーザ認証をイネーブルまたはディセーブルにし、VPN ハードウェア クライアントのユーザ認証タイムアウト値を設定する方法について説明します。これらのコマンドは、Cisco IP Phone および LEAP パケットで個別のユーザ認証をバイパスすることを許可し、ネットワーク拡張モードを使用するハードウェア クライアントの接続を許可することもできます。

セキュア ユニット認証の設定

セキュア ユニット認証では、VPN ハードウェア クライアントがトンネルを開始するたびにユーザ名とパスワードを使用した認証を要求することで、セキュリティが強化されます。この機能をイネーブルにすると、ハードウェア クライアントではユーザ名とパスワードが保存されません。セキュア ユニット認証はデフォルトでディセーブルになっています。

（注） この機能をイネーブルにした場合に VPN トンネルを確立するには、ユーザがユーザ名とパスワードを入力する必要があります。

セキュア ユニット認証では、ハードウェア クライアントが使用する接続プロファイルに対して認証サーバ グループが設定されている必要があります。プライマリASAでセキュア ユニット認証が必要な場合は、すべてのバックアップ サーバに対してもセキュア ユニット認証を設定する必要があります。

グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して secure-unit-authentication コマンドを入力し、セキュア ユニット認証をイネーブルにするかどうかを指定します。

セキュア ユニット認証をディセーブルにするには、 disable キーワードを入力します。セキュア ユニット認証の属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを指定すると、他のグループ ポリシーからセキュア ユニット認証の値を継承できます。

次に、FirstGroup という名前のグループ ポリシーに対して、セキュア ユニット認証をイネーブルにする例を示します。

ユーザ認証の設定

ユーザ認証はデフォルトでディセーブルになっています。ユーザ認証をイネーブルにすると、ハードウェア クライアントの背後にいる個々のユーザは、トンネルを介してネットワークにアクセスするために認証を受けることが必要となります。個々のユーザは、設定した認証サーバの順序に従って認証されます。

グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して user-authentication コマンドを入力し、ユーザ認証をイネーブルにするかどうかを指定します。

ユーザ認証をディセーブルにするには、 disable キーワードを入力します。ユーザ認証属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、別のグループ ポリシーからユーザ認証の値を継承できます。

プライマリ ASAでユーザ認証が必要な場合は、バックアップ サーバでも同様にユーザ認証を設定する必要があります。

次の例は、FirstGroup という名前のグループ ポリシーのユーザ認証をイネーブルにする方法を示しています。

アイドル タイムアウトの設定

グループ ポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを入力して、ハードウェア クライアントの背後の個々のユーザにアイドル タイムアウトを設定します。アイドル タイムアウト期間中にハードウェア クライアントの背後のユーザによる通信アクティビティがない場合、ASA はそのクライアントのアクセスを終了します。

（注） このタイマーは、VPN トンネル自体ではなく、VPN トンネルを通過するクライアント アクセスだけを終了します。

show uauth コマンドへの応答で示されるアイドル タイムアウトは、常に Cisco Easy VPN リモート デバイスのトンネルを認証したユーザのアイドル タイムアウト値になります。

minutes パラメータで、アイドル タイムアウト時間（分単位）を指定します。最短時間は 1 分、デフォルトは 30 分、最長時間は 35791394 分です。

アイドル タイムアウト値を削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、他のグループ ポリシーからアイドル タイムアウト値を継承できます。

アイドル タイムアウト値を継承しないようにするには、 none キーワードを指定して user-authentication-idle-timeout コマンドを入力します。このコマンドにより、アイドル タイムアウトにヌル値が設定されます。この設定によってアイドル タイムアウトが拒否され、デフォルトまたは指定されたグループ ポリシーからユーザ認証のアイドル タイムアウト値が継承されなくなります。

次の例は、FirstGroup という名前のグループ ポリシーに 45 分のアイドル タイムアウト値を設定する方法を示しています。

IP Phone Bypass の設定

Cisco IP Phone は、ハードウェア クライアントの背後の個別のユーザ認証をバイパスさせることができます。IP Phone Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-phone-bypass コマンドを入力します。IP Phone Bypass を使用すると、ハードウェア クライアントの背後にある IP 電話が、ユーザ認証プロセスなしで接続できます。IP Phone Bypass は、デフォルトでディセーブルになっています。イネーブルの場合、セキュア ユニット認証は有効のままになります。

IP Phone Bypass をディセーブルにするには、 disable キーワードを入力します。IP Phone Bypass 属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、IP Phone Bypass の値を別のグループ ポリシーから継承できます。

（注） mac-exempt を設定してクライアントの認証を免除する必要があります。詳細については、「デバイス パススルーの設定」を参照してください。

LEAP Bypass の設定

LEAP Bypass がイネーブルの場合、VPN 3002 ハードウェア クライアントの背後の無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過します。このアクションによって、Cisco ワイヤレス アクセス ポイント デバイスを使用するワークステーションは、LEAP 認証を確立し、その後ユーザ認証ごとに認証を再度実行できます。LEAP Bypass は、デフォルトでディセーブルになっています。

シスコの無線アクセス ポイントからの LEAP パケットが個々のユーザ認証をバイパスできるようにするには、グループ ポリシー コンフィギュレーション モードで enable キーワードを指定して leap-bypass コマンドを入力します。LEAP Bypass をディセーブルにするには、 disable キーワードを入力します。LEAP Bypass の属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、LEAP Bypass の値を別のグループ ポリシーから継承できます。

（注） IEEE 802.1X は、有線および無線ネットワークにおける認証規格です。この規格では、クライアントと認証サーバの間で強力な相互認証を実現し、ユーザ単位およびセッション単位のダイナミックな無線暗号化秘密（WEP）キーの使用を可能にして、スタティックな WEP キーの場合に介在する面倒な管理作業やセキュリティ上の問題を軽減することができます。

シスコは、Cisco LEAP と呼ばれる 802.1X 無線認証タイプを開発しました。LEAP（Lightweight Extensible Authentication Protocol）は、無線クライアントと RADIUS サーバの間の接続における相互認証を実装します。パスワードなど、認証に使用されるクレデンシャルは、ワイヤレス媒体を経由して送信される前に必ず暗号化されます。

Cisco LEAP では、無線クライアントを RADIUS サーバに対して認証します。RADIUS アカウンティング サービスは提供されません。

インタラクティブ ハードウェア クライアント認証をイネーブルにした場合、この機能は正常に動作しません。

次の例は、FirstGroup という名前のグループ ポリシーに LEAP Bypass を設定する方法を示しています。

ネットワーク拡張モードのイネーブル化

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークから ASA の背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、ASAの背後にあるデバイスは、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワーク上のデバイスに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。トンネルはハードウェア クライアントによって開始される必要がありますが、トンネルがアップ状態になったあとは、いずれの側もデータ交換を開始できます。

グループ ポリシー コンフィギュレーション モードで、 enable キーワードを指定して nem コマンドを入力し、ハードウェア クライアントの Network Extension Mode（NEM; ネットワーク拡張モード）をイネーブルにします。

NEM をディセーブルにするには、 disable キーワードを入力します。この NEM の属性を実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、別のグループ ポリシーの値を継承できます。

次に、FirstGroup というグループ ポリシーの NEM を設定する例を示します。

バックアップ サーバ属性の設定

バックアップ サーバを設定します（使用する予定がある場合）。IPsec バックアップ サーバを使用すると、VPN クライアントはプライマリ ASA が使用不可の場合も中央サイトに接続することができます。バックアップ サーバを設定すると、ASA は、IPsec トンネルを確立するときにクライアントにサーバ リストを渡します。クライアント上またはプライマリASA上にバックアップ サーバを設定しない限り、バックアップ サーバは存在しません。

バックアップ サーバは、クライアント上またはプライマリASA上に設定します。ASA上にバックアップ サーバを設定すると、適応型セキュリティ アプライアンスは、バックアップ サーバ ポリシーをグループ内のクライアントにプッシュして、クライアント上にバックアップ サーバ リストが設定されている場合、そのリストを置き換えます。

（注） ホスト名を使用する場合は、バックアップ DNS サーバおよびバックアップ WINS サーバを、プライマリ DNS サーバおよびプライマリ WINS サーバとは別のネットワーク上に配置することを推奨します。このようにしないと、ハードウェア クライアントの背後のクライアントが DHCP を介してハードウェア クライアントから DNS 情報および WINS 情報を取得している場合、プライマリ サーバとの接続が失われ、バックアップ サーバに異なる DNS 情報と WINS 情報があると、DHCP リースが期限切れになるまでクライアントを更新できなくなります。また、ホスト名を使用している場合に DNS サーバが使用不可になると、大幅な遅延が発生するおそれがあります。

バックアップ サーバを設定するには、グループ ポリシー コンフィギュレーション モードで backup-servers コマンドを入力します。

バックアップ サーバを削除するには、バックアップ サーバを指定してこのコマンドの no 形式を入力します。backup-servers 属性を実行コンフィギュレーションから削除し、backup-servers の値を他のグループ ポリシーから継承できるようにするには、引数を指定せずにこのコマンドの no 形式を入力します。

clear-client-config キーワードは、クライアントでバックアップ サーバを使用しないことを指定します。ASAは、ヌルのサーバ リストをプッシュします。

keep-client-config キーワードは、ASAがバックアップ サーバ情報をクライアントに送信しないことを指定します。クライアントは、独自のバックアップ サーバ リストを使用します（設定されている場合）。これはデフォルトです。

server1 server 2....server10 パラメータ リストは、プライマリのASAが使用不可の場合に VPN クライアントが使用するサーバをプライオリティ順にスペースで区切ったリストです。このリストには、サーバを IP アドレスまたはホスト名で指定します。このリストの長さは 500 文字までで、格納できるエントリは最大 10 個までです。

次の例は、FirstGroup という名前のグループ ポリシーに、IP アドレスが 10.10.10.1 と 192.168.10.14 であるバックアップ サーバを設定する方法を示しています。

ネットワーク アドミッション コントロールのパラメータの設定

この項で説明するグループ ポリシー NAC コマンドには、すべてデフォルトの値があります。どうしても必要な場合を除き、これらのパラメータのデフォルト値は変更しないでください。

ASA は、拡張認証プロトコル（EAP）over UDP（EAPoUDP）のメッセージを使用して、リモート ホストのポスチャを確認します。ポスチャ検証では、リモート ホストにネットワーク アクセス ポリシーを割り当てる前に、そのホストがセキュリティの必要条件を満たしているかどうかが調べられます。セキュリティ アプライアンスでネットワーク アドミッション コントロールを設定する前に、NAC 用に Access Control Server を設定しておく必要があります。

Access Control Server は、システムのモニタリング、レポートの作成、デバッグ、およびロギングに役立つ情報を示すポスチャ トークン（ACS で設定可能な文字列）をセキュリティ アプライアンスにダウンロードします。一般的なポスチャ トークンは、Healthy、Checkup、Quarantine、Infected、または Unknown です。ポスチャ検証またはクライアントなしの認証が終わると、ACS はセッション用のアクセス ポリシーをセキュリティ アプライアンスにダウンロードします。

デフォルトのグループ ポリシーまたは代替グループ ポリシーのネットワーク アドミッション コントロールを設定するには、次の手順を実行します。

ステップ 1 （任意）ステータス クエリー タイマーの期間を設定します。セキュリティ アプライアンスは、ポスチャ検証が問題なく終わり、ステータス クエリーの応答を受け取るたびに、ステータス クエリーのタイマーを始動させます。このタイマーが切れると、ホスト ポスチャの変化を調べるクエリー（ステータス クエリーと呼ばれる）がトリガーされます。タイマーの期限を 30 ～ 1800 の秒数で入力します。デフォルトの設定は 300 秒です。

ネットワーク アドミッション コントロールのセッションで、ポスチャ検証が問題なく終わり、ポスチャの変更を調べる次のクエリーが発行されるまでの間隔を指定するには、グループ ポリシー コンフィギュレーション モードで nac-sq-period コマンドを使用します。

デフォルトのグループ ポリシーからステータス クエリー タイマーの値を継承するには、継承元の代替グループ ポリシーにアクセスして、このコマンドの no 形式を使用します。

次に、ステータス クエリー タイマーの値を 1800 秒に変更する例を示します。

次の例では、デフォルト グループ ポリシーからステータス クエリー タイマーの値を継承しています。

ステップ 2 （ 任意 ）NAC の再検証の期間を設定します。セキュリティ アプライアンスは、ポスチャ検証が問題なく終わるたびに、再検証タイマーを始動させます。このタイマーが期限切れになると、次の無条件のポスチャ検証がトリガーされます。セキュリティ アプライアンスは、それまでと同じ方法でポスチャを再検証します。ポスチャ検証または再検証中にアクセス コントロール サーバが使用できない場合、デフォルトのグループ ポリシーが有効になります。ポスチャを検証する間隔を秒数で入力します。範囲は 300 ～ 86400 秒です。デフォルトの設定は 36000 秒です。

ネットワーク アドミッション コントロールのセッションでポスチャを検証する間隔を指定するには、グループ ポリシー コンフィギュレーション モードで nac-reval-period コマンドを使用します。

再検証タイマーの値をデフォルト グループ ポリシーから継承するには、継承元の代替グループ ポリシーにアクセスして、このコマンドの no 形式を使用します。

次に、再検証タイマーを 86400 秒に変更する例を示します。

次の例では、デフォルトのグループ ポリシーから再検証タイマーの値を継承しています。

ステップ 3 （ 任意 ）NAC のデフォルト ACL を設定します。セキュリティ アプライアンスは、ポスチャを検証できない場合に、選択された ACL に関連付けられているセキュリティ ポリシーを適用します。 none または拡張 ACL を指定します。デフォルト設定は none です。 none に設定すると、セキュリティ アプライアンスは、ポスチャを検証できなかったときにデフォルトのグループ ポリシーを適用します。

ポスチャを検証できなかったネットワーク アドミッション コントロール セッションのデフォルト ACL として使用される ACL を指定するには、グループ ポリシー コンフィギュレーション モードで nac-default-acl コマンドを使用します。

デフォルトのグループ ポリシーから ACL を継承するには、継承元の代替グループ ポリシーにアクセスして、このコマンドの no 形式を使用します。

このコマンドの要素は次のとおりです。

• acl-name ： aaa-server host コマンドを使用してASAに設定されている、ポスチャを検証するサーバ グループの名前を指定します。この名前は、そのコマンドに指定された server-tag 変数に一致する必要があります。

• none ：デフォルト グループ ポリシーからの ACL の継承をディセーブルにし、NAC セッションでポスチャ検証ができなかったときに ACL を適用しません。

NAC はデフォルトでディセーブルになっているため、ASAを通過する VPN トラフィックは、NAC がイネーブルになるまで、NAC デフォルトの ACL の影響は受けません。

次の例では、ポスチャを検証できなかったときに、acl-1 という ACL を適用するように指定しています。

次の例では、デフォルト グループ ポリシーから ACL を継承しています。

次の例では、デフォルト グループ ポリシーからの ACL の継承をディセーブルにし、NAC セッションでポスチャを検証できなかったときに ACL を適用しません。

ステップ 4 VPN の NAC 免除を設定します。デフォルトでは、免除リストは空になっています。フィルタ属性のデフォルト値は none です。ポスチャ検証を免除するリモート ホストのオペレーティング システム（および ACL）ごとに vpn-nac-exempt コマンドを 1 回入力します。

ポスチャ検証を免除するリモート コンピュータのタイプのリストにエントリを追加するには、グループ ポリシー コンフィギュレーション モードで vpn-nac-exempt コマンドを使用します。

継承をディセーブルにし、すべてのホストをポスチャ検証の対象にするには、 vpn-nac-exempt のすぐ後ろに none キーワードを入力します。

免除リストのエントリを削除するには、このコマンドの no 形式を使用し、削除するオペレーティング システム（および ACL）を指定します。

このグループ ポリシーに関連付けられている免除リストにある全エントリを削除し、デフォルト グループ ポリシーの免除リストを継承するには、キーワードを指定せずにこのコマンドの no 形式を使用します。

このコマンドの構文要素は次のとおりです。

• acl-name ：ASAのコンフィギュレーションに存在する ACL の名前。

• disable：免除リストのエントリを削除せずにディセーブルにします。

• filter ：（任意）コンピュータのオペレーティング システムの名前が一致したときにトラフィックをフィルタリングするために ACL に適用するフィルタ。

• none ：このキーワードを vpn-nac-exempt のすぐ後ろに入力した場合は、継承がディセーブルになり、すべてのホストがポスチャ検証の対象になります。このキーワードを filter のすぐ後ろに入力した場合は、エントリで ACL を指定しないことを示します。

• OS ：オペレーティング システムをポスチャ検証から免除します。

• os name ：オペレーティング システムの名前です。引用符は、オペレーティング システムの名前にスペースが入っている場合（"Windows XP" など）だけ必要です。

次に、ポスチャ検証を免除するコンピュータのリストに Windows XP を実行するすべてのホストを追加する例を示します。

次の例では、Windows 98 を実行しているホストのうち、acl-1 という名前の ACL にある ACE に一致するものがすべて免除されます。

次の例では、上と同じエントリが免除リストに追加されますが、ディセーブルにされます。

次の例では、同じエントリが、ディセーブルかどうかにかかわらず、免除リストから削除されます。

次の例では、継承がディセーブルにされ、すべてのホストがポスチャ検証の対象にされます。

次に、免除リストからすべてのエントリを削除する例を示します。