この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、セキュリティ アプライアンスと同じ内部ネットワーク上にある Microsoft Active Directory Server(LDAP)を使用して、セキュリティ アプライアンスのユーザ認証と許可を設定する設定例を示します。この章には、次の項があります。
• AAA サーバ グループと AAA サーバの設定(P.6-6)
図6-1 に、LDAP ディレクトリ サーバを使用したセキュリティ アプライアンスのユーザ認証と許可の主なトランザクションを示します。
LDAP 認証と許可用にセキュリティ アプライアンスを設定するには、まずカスタマー定義のアトリビュート名をシスコの LDAP アトリビュート名にマッピングする LDAP アトリビュート マップを作成する必要があります。これにより、セキュリティ アプライアンスが認識するシスコ名を使用して、既存のアトリビュート名を変更する必要がなくなります。
(注) アトリビュート マッピング機能を適切に使用するには、シスコの LDAP アトリビュートの名前と値およびユーザ定義のアトリビュートの名前と値を理解する必要があります。シスコの LDAP アトリビュートのリストについては、『Cisco Security Appliance Command Line Configuration Guide』の付録「Configuring an External Server for Authorization and Authentication」を参照してください。
新しい LDAP アトリビュート マップを作成するには、次の手順を実行します。
ステップ 1 Cisco ASDM ウィンドウで、 Configuration > Properties > AAA Setup > LDAP Attribute Map を選択します。
図6-2 のように、ウィンドウの右側に LDAP Attribute Map 領域が表示されます。
ステップ 2 LDAP Attribute Map 領域で、 Add をクリックします。
図6-3 のように、Add LDAP Attribute Map ダイアログボックスが表示されます。
図6-3 Map Name タブが選択された Add LDAP Attribute Map ダイアログボックス
ステップ 3 タブの上にある Name フィールドに、LDAP アトリビュート マップの名前を入力します。
この例では、アトリビュート マップに ActiveDirectoryMapTable という名前を付けます。
ステップ 4 Map Name タブが選択されていない場合は、ここで選択します。
ステップ 5 Map Name タブの Custom Name(ユーザ定義のアトリビュート名)フィールドに、シスコのアトリビュート名にマッピングするアトリビュートの名前を入力します。
ステップ 6 Cisco Name メニューからシスコ名を選択します。カスタム名は、このシスコ名にマッピングされます。
この例では、シスコ名は cVPN3000-IETF-Radius-Class です。図6-1 のように、セキュリティ アプライアンスはユーザ クレデンシャルの検証で、認証サーバからユーザ アトリビュートを受信します。返されたユーザ アトリビュートにクラス アトリビュートが含まれる場合、セキュリティ アプライアンスはアトリビュートをそのユーザのグループ ポリシーとして解釈し、グループ アトリビュートを取得するためにこのグループ ポリシーに設定されている AAA サーバ グループに要求を送信します。
ステップ 7 Add をクリックして、アトリビュート マップに名前のマッピングを加えます。
ステップ 8 Map Value タブをクリックしてから、Map Value タブ上の Add をクリックします。
図6-4 のように、Add LDAP Attributes Map Value ダイアログボックスが表示されます。
図6-4 Add LDAP Attributes Map Value ダイアログボックス
ステップ 9 Custom Name メニューから、値をマッピングするカスタム アトリビュートを選択します。
ステップ 10 Custom Value フィールドに、カスタム(ユーザ定義の)値を入力します。
ステップ 11 Cisco Value フィールドにシスコの値を入力します。
ステップ 12 Add をクリックして、アトリビュート マップに値のマッピングを追加します。
ステップ 13 マッピングするそれぞれのアトリビュートの名前と値に対して、ステップ 4 からステップ 12 を繰り返します。
ステップ 14 すべての名前と値のマッピングが完了したら、Add LDAP Attribute Map ウィンドウの一番下にある OK をクリックします。
ステップ 15 Apply をクリックして、新しい LDAP アトリビュート マップを完了し、セキュリティ アプライアンスの実行コンフィギュレーションに追加します。
次に、使用する AAA サーバ グループと AAA サーバを設定します。2 つの AAA サーバ グループを設定する必要があります。1 つのサーバ グループは、ユーザ レコードの LDAP 検索を要求する認証サーバを含む認証サーバ グループとして設定します。もう 1 つのサーバ グループは、グループ レコードの LDAP 検索を要求する許可サーバを含む許可サーバ グループとして設定します。2 つのグループで大きく異なる点は、AAA サーバに別のベース DN フィールドが存在し、別の Active Directory フォルダを指定して検索を行うところです。
2 つのサーバ グループを設定するには、次の手順を実行します。
ステップ 1 Cisco ASDM ウィンドウで、 Configuration > Properties > AAA Setup > AAA Servers を選択します。
図6-5 のように、ウィンドウの右側に AAA Servers 領域が表示されます。
図6-5 AAA Servers を選択した ASDM ウィンドウ
AAA Servers 領域内のフィールドは、Server Groups 領域と Servers In The Selected Group 領域の 2 つの領域に分けられます。 Server Groups 領域では、セキュリティ アプライアンスが各グループに表示されたサーバと通信を行うのために使用する AAA サーバ グループとプロトコルを設定できます。
ステップ 2 Server Groups 領域で Add をクリックします。
図6-6 のように、Add AAA Server Group ダイアログボックスが表示されます。
図6-6 Add AAA Server Group ダイアログボックス
ステップ 3 Server Group フィールドにサーバ グループの名前を入力します。
認証サーバ グループと許可サーバ グループには、別個の名前を使用してください。この例では、認証サーバ グループに ldap-authenticat (最大文字数が 16 のため、authenticate の最後の文字を切り詰めています)、許可サーバ グループに ldap-authorize という名前が付けられています。
ステップ 4 Protocol メニューから LDAP を選択します。
ステップ 5 Reactivation Mode では、次のいずれかを選択します。
• Depletion :グループ内のすべてのサーバが非アクティブになった場合にだけ、失敗したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。
• Timed :30 秒のダウン タイムの後、失敗したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。
ステップ 6 Dead Time フィールドに、グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度アクティブにするまでの経過時間を分数で入力します。
このフィールドは、ステップ 5 で Timed モードを選択した場合には使用できません。
ステップ 7 Max Failed Attempts フィールドに、応答がないサーバを非アクティブと宣言するまでに許可される接続試行失敗の回数(1 ~ 5)を入力します。
ステップ 8 OK をクリックして、新しく設定したサーバを Server Groups テーブルに入力します。
ステップ 9 もう 1 つの AAA サーバ グループに対して、ステップ 2 からステップ 8 を繰り返します。この作業を完了すると、認証サーバ グループと許可サーバ グループが作成されています。
次に、2 つの AAA サーバ グループのそれぞれに対して、AAA サーバを設定します。ここでも、1 つのサーバは認証用で、もう 1 つのサーバは許可用です。
AAA サーバ グループのそれぞれに新しい LDAP AAA サーバを追加するには、次の手順を実行します。
ステップ 1 Cisco ASDM ウィンドウで、 Configuration > Properties > AAA Setup > AAA Servers を選択します。
ウィンドウの右側に AAA Servers 領域が表示されます。
ステップ 2 Server Group テーブルで、LDAP サーバを追加する LDAP サーバ グループをクリックします。
この例では、認証サーバを ldap-authenticat グループに、許可サーバを ldap-authorize グループに設定します。
ステップ 3 Servers in Selected Group 領域で Add をクリックします。
図6-7 のように、Add AAA Server ダイアログボックスが表示されます。
ステップ 4 Interface Name メニューから、次のいずれかを選択します。
• Inside :LDAP サーバが内部ネットワーク上にある場合
• Outside :LDAP サーバが外部ネットワーク上にある場合
この例では、LDAP サーバは内部ネットワーク上にあります。
ステップ 5 Server Name or IP Address フィールドに、サーバ名または IP アドレスを入力します。
ステップ 6 Timeout フィールドに、タイムアウト間隔を秒単位で入力します。
この時間に達すると、セキュリティ アプライアンスはプライマリ AAA サーバに対する要求の送信を放棄します。サーバ グループにスタンバイ サーバがある場合、セキュリティ アプライアンスは要求をバックアップ サーバに送信します。
ステップ 7 セキュリティ アプライアンスと LDAP ディレクトリ間のすべての通信を SSL で暗号化する場合は、LDAP Parameters 領域の Enable LDAP over SSL をオンにします。
警告 Enable LDAP over SSL をオンにしない場合、セキュリティ アプライアンスと LDAP ディレクトリは、機密の認証データと許可データを含むすべてのデータを暗号化せずに交換します。
ステップ 8 Server Port フィールドに、使用するサーバ ポートを入力します。
これは、サーバにアクセスするための TCP ポート番号です。
ステップ 9 Server Type メニューから、次のいずれかを選択します。
• Sun Microsystems JAVA System Directory Server (以前の Sun ONE Directory Server)
セキュリティ アプライアンスは、Sun Microsystems JAVA System Directory Server(以前の名前は Sun ONE Directory Server)と Microsoft Active Directory でのみ、認証とパスワード管理の機能をサポートしています。Detect automatically を選択することにより、サーバが Microsoft であるか Sun サーバであるかの判断をセキュリティ アプライアンスに委ねることができます。
(注) Sun Directory Server にアクセスするためにセキュリティ アプライアンスに設定されている DN は、そのサーバ上のデフォルトのパスワード ポリシーにアクセスできる必要があります。DN にディレクトリ管理者または、ディレクトリ管理者の権限を持つユーザを使用することを推奨します。または、デフォルトのパスワード ポリシーに ACI を適用できます。
ステップ 10 Base DN フィールドに、次のいずれかを入力します。
• 認証サーバを設定する場合は、ユーザ アトリビュートを保有する Active Directory フォルダのベース DN(通常、ユーザ フォルダ)
• 許可サーバを設定する場合は、グループ アトリビュートを保有する Active Directory フォルダのベース DN(通常、グループ フォルダ)
ベース DN は、許可要求を受信したときに、サーバが検索を開始する LDAP 階層に位置します。たとえば、OU=people, dc=cisco, dc=com となります。
ステップ 11 Scope メニューから、次のいずれかを選択します。
• One level beneath the Base DN
• All levels beneath the Base DN
このスコープは、許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定します。One Level Beneath the Base DN は、Base DN の 1 つ下のレベルだけを指定します。このオプションは、時間がかかりません。All Levels Beneath the Base DN は、すべてのサブツリー階層の検索を指定します。このオプションは、多少時間がかかります。
ステップ 12 Naming Attribute(s) フィールドに、LDAP サーバ上のエントリを一意に識別する Relative Distinguished Name アトリビュートを入力します。
共通の名前付きアトリビュートは、Common Name(cn)と User ID(uid)です。
ステップ 13 Login DN フィールドで、次のいずれかを実行します。
• セキュリティ アプライアンスの認証バインディングに対するディレクトリ オブジェクトの名前を入力します。たとえば、cn=Administrator, cn=users, ou=people, dc=Example Corporation, dc=com と入力します。
• 匿名アクセスの場合は、このフィールドをブランクのままにしておきます。
Microsoft Active Directory サーバなど、一部の LDAP サーバは、セキュリティ アプライアンスが認証バインディングを通じてハンドシェイクの確立を要求してから、LDAP オペレーションの要求を受け入れます。セキュリティ アプライアンスは、認証バインディングに対して、Login DN フィールドをユーザ認証要求に付加して、自身を識別します。Login DN フィールドは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理者の権限が与えられているユーザの特性に対応します。
ステップ 14 Login Password フィールドに、Login DN に関連付けられているパスワードを入力します。
ステップ 15 LDAP Attribute Map メニューから、LDAP サーバに適用する LDAP アトリビュート マップを選択します。
LDAP アトリビュート マップは、ユーザ定義の LDAP アトリビュート名および値と、シスコのアトリビュート名および値を変換します。新しい LDAP アトリビュート マップを設定するには、「LDAP アトリビュート マップの作成」を参照してください。
ステップ 16 SASL MD5 Authentication をオンにし、Simple Authentication and Security Layer(SASL)の MD5 メカニズムを使用して、セキュリティ アプライアンスと LDAP サーバ間の認証通信を保護します。
ステップ 17 SASL Kerberos Authentication をオンにし、SASL の Kerberos メカニズムを使用して、セキュリティ アプライアンスと LDAP サーバ間の認証通信を保護します。
(注) サーバに複数の SASL 方式を設定する場合、セキュリティ アプライアンスは、サーバとセキュリティ アプライアンスの両方でサポートされている最も強固な方式を使用します。たとえば、サーバとセキュリティ アプライアンスで MD5 と Kerberos の両方がサポートされている場合、セキュリティ アプライアンスは、サーバとの通信を保護するのに Kerberos を選択します。
ステップ 18 ステップ 17 で SASL Kerberos authentication をオンにした場合は、Kerberos Server Group フィールドに、認証用の Kerberos サーバ グループを入力します。
ステップ 19 ステップ 3 からステップ 18 を繰り返し、もう 1 つの AAA サーバ グループに AAA サーバを設定します。
LDAP アトリビュート マップ、AAA サーバ グループ、およびグループ内の LDAP サーバを設定したら、次にグループ名と LDAP 許可サーバとを関連付ける外部グループ ポリシーを作成します。
(注) グループ ポリシーを設定する総合的な手順は、このマニュアルの他の部分で提供します。次の手順は、LDAP による AAA を設定する場合にだけ適用されます。
新しいグループ ポリシーを作成し、そのグループ ポリシーに LDAP 許可サーバ グループを割り当てるには、次の手順を実行します。
ステップ 1 Cisco ASDM ウィンドウで、 Configuration > VPN > General > Group Policy を選択します。
ウィンドウの右側に Group Policy 領域が表示されます。
ステップ 2 Add をクリックし、 Internal Group Policy または External Group Policy をクリックします。
この例では、LDAP サーバがセキュリティ アプライアンスの外部にあるため、External Group Policy を選択します。
図6-8 のように、Add Group Policy ダイアログボックスが表示されます。
図6-8 Add Group Policy ダイアログボックス
ステップ 3 Name フィールドに新しいグループ ポリシーの名前を入力します。
ステップ 4 Server Group メニューから、作成した AAA 許可サーバ グループを選択します。
この例では、ldap-authorize の名前が付いたサーバ グループとなります。
ステップ 5 OK をクリックしてから、 Apply をクリックして、新しいグループ ポリシーを作成します。
最後の主要なタスクでは、次の手順を実行して、LDAP 認証を指定するトンネル グループを作成します。
ステップ 1 Cisco ASDM ウィンドウで、 Configuration > VPN > General > Tunnel Group を選択します。
図6-9 のように、ASDM ウィンドウの右側に Tunnel Group 領域が表示されます。
ステップ 2 Tunnel Group 領域で Add をクリックし、トンネル グループのタイプを選択します。
この例では、リモート アクセス用の IPSec を選択します。
Add Tunnel Group ダイアログボックスが表示されます。
ステップ 3 図6-10 のように、 General タブを選択してから、 AAA タブを選択します。
図6-10 General タブと AAA タブを選択した Add Tunnel Group ダイアログボックス
ステップ 4 Name フィールドにトンネル グループの名前を入力します。
この例では、トンネル グループ名は ipsec-tunnelgroup です。
ステップ 5 Authentication Server Group メニューから、認証用に設定した AAA サーバ グループを選択します。
この例では、認証サーバ グループの名前は ldap-authenticat です。
ステップ 6 Add Tunnel Group ダイアログボックスの一番下にある OK をクリックします。
ステップ 7 ASDM ウィンドウの一番下にある Apply をクリックして、実行コンフィギュレーションに変更内容を加えます。
LDAP 認証と許可用にセキュリティ アプライアンスを設定するために必要な最低限の手順が完了しました。