- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: AAA サーバおよびユーザ アカウントの設定
AAA サーバおよびユーザ アカウントの設定
この章では、AAA(「トリプル エー」と発音)のサポート、および AAA サーバとローカル データベースの設定方法について説明します。
AAA の概要
AAA によって、セキュリティ アプライアンスが、ユーザが誰か(認証)、ユーザが何を実行できるか(許可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。
AAA には、ユーザ アクセスに対して、アクセス リストだけを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセス リストを作成できます。サーバへのアクセスを一部のユーザだけに限定する場合で、対象ユーザの IP アドレスが必ずしも明らかでないときには、AAA をイネーブルにして、認証または許可されたユーザだけに セキュリティ アプライアンス を通過させることができます (Telnet サーバもまた、認証を実行します。セキュリティ アプライアンスは、許可されないユーザがサーバにアクセスできないようにします)。
認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。
•
「認証の概要」
• 「許可の概要」
認証の概要
認証では、有効な証明書(一般にはユーザ名とパスワード)を要求することによって、アクセスを制御します。次の項目を認証するように、セキュリティ アプライアンスを設定できます。
許可の概要
許可では、ユーザを認証したあと、 各ユーザ のアクセスを制御できます。次の項目を許可するように、セキュリティ アプライアンスを設定できます。
許可は、認証された個々のユーザが使用できるサービスおよびコマンドを制御します。許可をイネーブルにせずに認証だけを使用する場合、認証されたすべてのユーザに対し、サービスへのアクセスが一様に提供されます。
許可で提供される制御を必要とする場合は、広範な認証ルールを設定してから、詳細な許可を設定できます。たとえば、内部ユーザを認証して外部ネットワークの任意サーバにアクセスできるようにしたあと、外部サーバへのアクセスを制限して、特定のユーザだけが許可を使用してアクセスできるように設定することができます。
セキュリティ アプライアンスはユーザあたり最初の 16 件の許可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、セキュリティ アプライアンスは許可サーバに要求を再送信しません。
アカウンティングの概要
アカウンティングは、セキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、セキュリティ アプライアンスを通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。
AAA サーバおよびローカル データベースのサポート
セキュリティ アプライアンスは、さまざまな AAA サーバ タイプおよびセキュリティ アプライアンスに保存されているローカル データベースをサポートします。ここでは、各 AAA サーバ タイプおよびローカル データベースのサポートについて説明します。
• 「HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート」
サポートの要約
表 12-1 に、各 AAA サービスのサポート状況の要約を AAA サーバ タイプ(ローカル データベースを含む)別に示します。特定の AAA サーバ タイプのサポートの詳細については、表に続く項目を参照してください。
|
|
|
|||||||
|---|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
Yes1 |
||||||||
Yes2 |
||||||||
|
|
||||||||
Yes3 |
||||||||
Yes4 |
||||||||
|
|
||||||||
Yes5 |
||||||||
| 1.HTTP Form プロトコルは、クライアントレス SSL VPN 接続に対してだけシングル サインオン認証をサポートします。 2.SDI は、HTTP 管理アクセスについてはサポートされません。 3.ファイアウォール セッションの場合、RADIUS 許可はユーザ固有のアクセス リストでだけサポートされます。このアクセス リストは RADIUS 認証応答で受信または指定されます。 |
RADIUS サーバのサポート
ASA は、ASA 自体で使用可能な RADIUS サーバの他、AAA について、次の RADIUS サーバをサポートしています。
認証方法
セキュリティ アプライアンスは、RADIUS で次の認証方法をサポートします。
• MS-CHAPv1:L2TP-over-IPSec の場合。
• MS-CHAPv2:L2TP-over-IPSec 用、およびパスワード管理機能がイネーブルの場合は通常の IPSec リモート アクセス接続用。
属性のサポート
セキュリティ アプライアンスは、次の RADIUS 属性のセットをサポートします。
• RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS 属性
• RADIUS ベンダー ID 9 によって識別される Cisco IOS VSA
RADIUS 許可機能
セキュリティ アプライアンスでは RADIUS サーバを使用して、ダイナミック アクセス リストまたはユーザごとのアクセス リスト名を使用するネットワーク アクセスに対して、ユーザ許可を実行できます。ダイナミック アクセス リストを実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能なアクセス リスト、またはアクセス リスト名がセキュリティ アプライアンスに送信されます。所定のサービスへのアクセスがアクセス リストによって許可または拒否されます。認証セッションの有効期限が切れると、セキュリティ アプライアンスによってアクセス リストが削除されます。
TACACS+ サーバのサポート
セキュリティ アプライアンスは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認証をサポートします。
SDI サーバのサポート
SDI バージョンのサポート
セキュリティ アプライアンスでは、SDI バージョン 5.0 および 6.0 がサポートされています。SDI は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。各プライマリおよびそのレプリカは、シングル ノード秘密ファイルを共有します。そのノード秘密ファイルの名前は、.sdi が付加された ACE/サーバ IP アドレスの 16 進数値に基づきます。
セキュリティ アプライアンスに設定するバージョン 5.0 または 6.0 SDI サーバは、プライマリでも、レプリカのいずれか 1 つでもかまいません。ユーザ認証のための SDI エージェントによるサーバの選択方法の詳細については、「SDI プライマリ サーバとレプリカ サーバ」の項を参照してください。
2 ステップ認証プロセス
SDI バージョン 5.0 および 6.0 は 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求から情報をキャプチャし、この情報を使用して別のサーバに認証を証明しないように防止します。エージェントはまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ名をロックして、別の(レプリカ)サーバがユーザ名を受信できないようにします。そのため、同じユーザが同じ認証サーバを同時に使用して、2 台の セキュリティ アプライアンス に認証することができなくなります。ユーザ名のロックに成功すると、セキュリティ アプライアンスはパスコードを送信します。
SDI プライマリ サーバとレプリカ サーバ
セキュリティ アプライアンスは、最初のユーザが設定済みサーバ(プライマリでもレプリカでもかまいません)に認証を証明するときに、サーバ リストを取得します。次に、セキュリティ アプライアンスはリスト上の各サーバにプライオリティを割り当て、その後のサーバ選択では、この割り当てられたプライオリティのサーバから無作為に抽出します。最もプライオリティの高いサーバが選択される可能性が高くなります。
NT サーバのサポート
セキュリティ アプライアンスは、NTLM バージョン 1(集合的に NT サーバと呼びます)をサポートしている Microsoft Windows サーバ オペレーティング システムをサポートします。
(注) NT サーバでは、ユーザ パスワードの最大長は 14 文字です。15 文字めからは切り捨てられます。これは、NTLM バージョン 1 の制限です。
Kerberos サーバのサポート
セキュリティ アプライアンスは、3DES、DES、および RC4 暗号タイプをサポートしています。
(注) セキュリティ アプライアンスは、トンネル ネゴシエーション中のユーザ パスワードの変更はサポートしていません。この状況が意図せずに発生することを回避するために、セキュリティ アプライアンスに接続するユーザの Kerberos/Active Directory サーバでのパスワード期限切れをディセーブルにします。
LDAP サーバのサポート
この項では、ユーザ認証と VPN 許可にセキュリティ アプライアンスを利用する LDAP ディレクトリの使用方法について説明します。
認証中、セキュリティ アプライアンスは、ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使って LDAP サーバに対する認証を行います。デフォルトで、セキュリティ アプライアンスは、通常はユーザ名とパスワードである認証パラメータを LDAP サーバにプレーン テキストで渡します。SASL とプレーン テキストのどちらを使用する場合でも、セキュリティ アプライアンスと LDAP サーバの間での通信のセキュリティは SSL で確保されます。
(注) SASL を設定しない場合、SSL で LDAP 通信を保護することを強くお勧めします。
ユーザ LDAP 認証が成功すると、LDAP サーバは認証されたユーザの属性を返します。VPN 認証では、通常これらの属性には、VPN セッションに適用される許可データが含まれます。したがって、LDAP を使用すると、認証と許可が 1 つのステップで行われます。
LDAP による認証または許可をセットアップする設定手順の例については、 付録 B「許可および認証用の外部サーバの設定」 を参照してください。
HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート
セキュリティ アプライアンスでは、クライアントレス SSL VPN のシングル サインオン(SSO)認証だけに HTTP Form プロトコルを使用できます。シングル サインオンのサポートによって、ユーザはユーザ名とパスワードを 1 回だけ入力して、複数の保護されているサービスおよび Web サーバにアクセスできます。セキュリティ アプライアンスで実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。セキュリティ アプライアンスは、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。
管理者は、SSO の設定に対して、HTTP Form プロトコルの他にも、基本 HTTP 認証プロトコルや NTLM 認証プロトコル( auto-signon コマンド)、あるいは Computer Associates eTrust SiteMinder SSO サーバ(旧 Netegrity SiteMinder)を選択できます。HTTP Form、 auto-signon または SiteMinder を使用した SSO の設定の詳細については、「 クライアントレス SSL VPN」の章を参照してください。
ローカル データベースのサポート
ユーザ プロファイル
ユーザ プロファイルには、少なくともユーザ名が含まれます。通常、パスワードはオプションですが、各ユーザ名にパスワードが割り当てられます。別の情報を特定のユーザ プロファイルに追加できます。追加可能な情報には、VPN 関連属性(VPN セッション タイムアウト値など)が含まれます。
フォールバック サポート
ローカル データベースは、複数の機能のフォールバック方式として動作できます。この動作は、セキュリティ アプライアンスから誤ってロックアウトされないようにすることを意図しています。
フォールバック サポートを必要とするユーザでは、ローカル データベース内のユーザ名とパスワードと AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。これにより、トランスペアレント フォールバック サポートが提供されます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。
ローカル データベースでサポートされているフォールバック機能は次のとおりです。
• コンソールおよびイネーブル パスワード認証:グループ内のサーバがすべて使用できない場合、セキュリティ アプライアンスはローカル データベースを使用して管理アクセスを認証します。これにもイネーブル パスワードの認証を含めることができます。
• コマンド許可:グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを許可するためにローカル データベースが使用されます。
• VPN 認証および許可:VPN 認証および許可は、通常この VPN サービスをサポートしている AAA サーバが使用できない場合、セキュリティ アプライアンスへのリモート アクセスをイネーブルにするためにサポートされます。管理者の VPN クライアントが、ローカル データベースへのフォールバックに設定されたトンネル グループを指定する場合、AAA サーバ グループを利用できなくても、ローカル データベースに必要な属性が設定されていれば、VPN トンネルを確立できます。
ローカル データベースの設定
ここでは、ローカル データベース内のユーザの管理方法について説明します。ローカル データベースは、CLI アクセス認証、特権モード認証、コマンド許可、ネットワーク アクセス認証、および VPN 認証および許可に使用できます。ローカル データベースはネットワーク アクセス許可には使用できません。ローカル データベースはアカウンティングをサポートしません。
マルチコンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して個々のログインを指定できます。しかし、システム実行スペースでは aaa コマンドは設定できません。
• 「[Add/Edit User Account] > [Identity]」
• 「[Add/Edit User Account] > [VPN Policy]」
User Accounts
[User Accounts] ペインでは、ローカル ユーザ データベースを管理できます。次の各機能は、ローカル データベースを使用して実行されます。
デフォルトでは、ユーザ名のフィールドはブランクにしたまま、パスワードのフィールドにイネーブル パスワードを指定すれば ASDM にログインできます( 「Device Name/Password」 を参照)。ただし、ログイン画面で(ユーザ名のフィールドをブランクにせず)ユーザ名とパスワードを入力すると、ASDM ではそれらを照合するためにローカル データベースのチェックが行われます。
(注) ローカル データベースを使用する HTTP 認証を設定することもできますが、デフォルトではこの機能は常にイネーブルです。認証用に RADIUS または TACACS+ サーバを使用する場合は、HTTP 認証を設定するだけで済みます。
この設定は、CLI アクセスにだけ使用され、ASDM ログインには影響しません。
ローカル データベースを使用するコマンド許可を有効にすると、セキュリティ アプライアンスでは、ユーザ特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド許可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。ASDM には、コマンドへの割り当てをイネーブルにできる特権レベルが事前に定義されています。割り当てることができるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。事前定義済みのレベルを使用する場合は、ユーザを 3 種類の特権レベルのいずれかに割り当てます。
ローカル データベースはネットワーク アクセス許可には使用できません。
マルチ コンテキスト モードの場合、 login コマンドを使用して CLI で個別のログインを入力できるように、システム実行スペースでユーザ名を設定できます。ただし、ローカル データベースを使用する aaa コマンドは、システム実行スペースでは設定できません。
(注) VPN 機能は、マルチ コンテキスト モードではサポートされません。
( 「Device Name/Password」 ではなく)このペインでイネーブル パスワードを設定するには、enable_15 ユーザのパスワードを変更します。ユーザ名 enable_15 は常時このペインに表示されます。これがデフォルトのユーザ名です。この方法は、ASDM のシステム コンフィギュレーションでイネーブル パスワードを設定する唯一の方法です。CLI で他のイネーブル レベル パスワード( enable password 10 など)を設定すると、そのユーザ名は enable_10 という形式で表示されます。
• [User Name]:これらのパラメータを適用するユーザ名を指定します。
• [Privilege (Level)]:そのユーザに割り当てる特権レベルを指定します。特権レベルは、ローカル コマンド許可で使用されます。
• [VPN Group Policy]:このユーザに対して VPN グループ ポリシーの名前を指定します。マルチ モードでは使用できません。
• [VPN Group Lock]:このユーザに対してグループ ロック ポリシー(ある場合)を指定します。マルチ モードでは使用できません。
• [Add]:[Add User Account] ダイアログボックスを表示します。
• [Edit]:[Edit User Account] ダイアログボックスを表示します。
• [Delete]:選択した行をテーブルから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit User Account] > [Identity]
ユーザが追加または変更するユーザ アカウントを識別するパラメータを指定するには、このペインを使用します。[OK] をクリックすると、[User Accounts] テーブルに変更内容がすぐに表示されます。
• [Username]:このアカウントのユーザ名を指定します。
• [Change user password]:既存のユーザを編集する場合は、このボックスをオンにして、パスワードを変更します。
– [Password]:このユーザの固有のパスワードを指定します。パスワードの最小長は 4 文字です。最大で 32 文字まで指定可能です。エントリは、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。
セキュリティを確保するために、パスワードの長さは 8 文字以上にすることを推奨します。
– [Confirm Password]:確認のためにユーザ パスワードを再入力するよう求められます。フィールドには、アスタリスクだけが表示されます。
• [User authenticated using MSCHAP]:パスワードを入力後に unicode に変換し、MD4 を使用してハッシュすることを指定します。このオプションは、ユーザを MSCHAPv1 または MSCHAPv2 を使用して認証する場合に使用します。
• [Member-of]:ユーザが属する VPN グループを指定します。
– [Member-of]:VPN グループの名前を入力します。
– [Delete]:リストから VPN グループを削除します。
• [Access Restriction]:このセクションでは、ユーザの管理アクセス レベルを設定します。まず、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] タブの [Perform authorization for exec shell access] オプションを使用して、管理許可をイネーブルにする必要があります。
– [Full Access (ASDM, Telnet, SSH and console)]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンドの認証の設定」を参照)、このオプションを指定するとユーザは ASDM、SSH、Telnet、およびコンソール ポートを使用できます。さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできます。
[Privilege Level]:ローカル コマンド許可でユーザに適用する特権レベルを選択します。範囲は、0(最低)~ 15(最高)です。詳細については、 「ローカル コマンド許可の設定」 を参照してください。
– [CLI login prompt for SSH, Telnet and console (no ASDM access)]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンドの認証の設定」を参照)、このオプションを指定するとユーザは SSH、Telnet、およびコンソール ポートを使用できます。ユーザは設定に ASDM を使用できません(HTTP 認証を設定している場合)。ASDM 監視は可能です。さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできません。
– [No ASDM, SSH, Telnet, or console access]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンドの認証の設定」を参照)、このオプションを指定すると、ユーザは認証用に設定した管理アクセス方式を利用できなくなります(ただし、[Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit User Account] > [VPN Policy]
このペインを使用して、このユーザの VPN ポリシーを指定します。対応する設定がグループ ポリシーから値を取得するようにするには、[Inherit] チェックボックスをオンにします。
• [Group Policy]:使用可能なグループ ポリシーを示します。
• [Tunneling Protocols]:ユーザが使用できるトンネリング プロトコルを指定するか、またはグループ ポリシーから値を継承するかどうかを指定します。目的の [Tunneling Protocols] チェックボックスをオンにし、ユーザが使用できる VPN トンネリング プロトコルを選択します。ユーザは、選択されているプロトコルだけを使用できます。次の選択肢があります。
[IPsec]:IP Security Protocol(IP セキュリティ プロトコル)。IPSec は、VPN トンネルのアーキテクチャをほぼ完全に実現しており、最もセキュアなプロトコルとされています。IPSec は、LAN 間(ピアツーピア)接続に使用することも、クライアントと LAN との接続に使用することもできます。
[Clientless SSL VPN]:SSL/TLS を利用する VPN。Web ブラウザを使用して VPN コンセントレータへのセキュアなリモートアクセス トンネルを確立し、ソフトウェア クライアントもハードウェア クライアントも必要としません。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。
[SSL VPN Client]:Cisco AnyConnect Client アプリケーションのダウンロード後にユーザが接続できるようにします。ユーザは、最初にクライアントレス SSL VPN 接続を使用してこのアプリケーションをダウンロードします。ユーザが接続するたびに、必要に応じてクライアント アップデートが自動的に行われます。
[L2TP over IPSec]:多くの PC やモバイル PC に採用されている一般的なオペレーティング システムに付属の VPN クライアントを使用するリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。
(注) プロトコルを選択しなかった場合は、エラー メッセージが表示されます。
• [Filter]:使用するフィルタを指定するか、またはグループ ポリシーの値を継承するかどうかを指定します。フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定する場合は、[Configuration] > [VPN] > [VPN General] > [Group Policy] ペインを参照してください。
• [Manage]:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる [ACL Manager] ペインを表示します。
• [Tunnel Group Lock]:トンネル グループ ロックがある場合、それを継承するかどうか、または選択したトンネル グループ ロックを使用するかどうかを指定します。特定のロックを選択すると、ユーザのリモート アクセスはこのグループだけに制限されます。[Tunnel Group Lock] では、VPN クライアントで設定されたグループと、そのユーザが割り当てられているグループが同じかどうかをチェックすることによって、ユーザが制限されます。同一ではなかった場合、セキュリティ アプライアンスはユーザによる接続を禁止します。[Inherit] チェックボックスがオフの場合、デフォルト値は [--None--] です。
• [Store Password on Client System]:この設定をグループから継承するかどうかを指定します。[Inherit] チェックボックスをオフにすると、[Yes] および [No] のオプション ボタンが有効になります。[Yes] を選択すると、ログイン パスワードがクライアント システムに保存されます(セキュリティが低下するおそれのあるオプションです)。[No](デフォルト)を選択すると、ユーザは接続するたびにパスワードの入力を求められます。セキュリティを最大限に確保するためにも、パスワードの保存は許可しないことをお勧めします。VPN 3002 の場合、このパラメータは、対話型ハードウェア クライアント認証や個別ユーザ認証には適用されません。
• [Connection Settings]:接続設定パラメータを指定します。
– [Access Hours]:[Inherit] チェックボックスがオフになっている場合、このユーザに適用されるアクセス時間ポリシーがすでに存在する場合にはその名前を選択でき、存在しない場合には、新しいアクセス時間ポリシーを作成できます。デフォルト値は [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルト値は [--Unrestricted--] です。
– [New]:[Add Time Range] ダイアログボックスが開きます。このダイアログボックスでアクセス時間の新規セットを指定できます。
– [Simultaneous Logins]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、このユーザに許可される同時ログインの最大数を指定します。デフォルト値は 3 です。最小値は 0 で、この場合ログインが無効になり、ユーザ アクセスを禁止します。
(注) 最大数の制限はありませんが、複数の同時接続の許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼすおそれがあります。
– [Maximum Connect Time]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザの最大接続時間を分単位で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。接続時間を無制限にする場合は、[Unlimited] チェックボックスをオンにします(デフォルト)。
– [Idle Timeout]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザのアイドル タイムアウト時間を分単位で指定します。この期間、ユーザ接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。この値は、クライアントレス SSL VPN 接続のユーザには適用されません。
– [IP Address] ボックス:オプションの専用 IP アドレスを指定します。
– [Subnet Mask] リスト:専用 IP アドレスのサブネット マスクを指定します。
このグループだけによるリモート アクセスにユーザを制限するには、[Group Lock] チェックボックスをオンにします。[Group Lock] では、VPN クライアントで設定されたグループと、そのユーザが割り当てられているグループが同じかどうかをチェックすることによって、ユーザが制限されます。一致していない場合、VPN コンセントレータによりユーザは接続できなくなります。
このボックスがオフ(デフォルト)の場合、ユーザは、割り当てられているグループに関係なく認証されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
AAA サーバ グループおよびサーバの識別
認証、許可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバ グループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別されます。各サーバ グループは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。
セキュリティ アプライアンス は、グループ内の最初のサーバと通信します。最初のサーバが使用できない場合、セキュリティ アプライアンス はグループ内の次のサーバ(設定されている場合)と通信します。グループ内のすべてのサーバが使用できない場合、セキュリティ アプライアンスは、ローカル データベースがフォールバック方式として設定されていると、ローカル データベースに接続しようとします(管理認証および許可限定)。フォールバック方式として設定されていない場合、セキュリティ アプライアンスは引き続き AAA サーバにアクセスしようとします。
• 「Edit AAA Local Server Group」
AAA Server Groups
[AAA Server Groups] ペインでは、次のことを実行できます。
• 各グループで示されているサーバと通信するように、セキュリティ アプライアンスが使用する AAA サーバ グループおよびプロトコルを設定します。
• 個々のサーバを設定して、AAA サーバ グループに追加します。
シングル モードで最大 15 のグループ、またはマルチ モードで最大 4 つのグループを含めることができます。各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。ユーザがログインすると、指定した最初のサーバから順に、サーバが応答するまでこれらのサーバが一度に 1 つずつアクセスされます。
AAA アカウンティングが有効の場合、同時アカウンティングをイネーブルにしない限り、アカウンティング情報はアクティブなサーバにのみ送信されます。
AAA サービスの概要については、「AAA の概要」を参照してください。
[AAA Server Groups] ペインのフィールドは 2 つの主要領域([AAA Server Groups] 領域と [Servers In The Selected Group] 領域)にグループ化されます。[AAA Server Groups] 領域では、AAA サーバ グループ、およびセキュリティ アプライアンスが各グループに示されたサーバとの通信に使用するプロトコルを設定できます。
(注) [AAA Server Groups] テーブルの行をダブル クリックすると、AAA サーバ グループのパラメータを変更できる [Edit AAA Server Group] ダイアログボックスが開きます。ここで行った変更はただちにテーブルに反映されますが、コンフィギュレーションに保存するには [Apply] をクリックする必要があります。
カラム ヘッダーをクリックすると、そのカラムの内容に従ってテーブル行が英数字順にソートされます。
• [Server Group]: 表示専用 。選択したサーバ グループのシンボリック名を表示します。
• [Protocol]: 表示専用 。グループ内のサーバによってサポートされる AAA プロトコルを一覧表示します。
• [Accounting Mode]: 表示専用 。同時またはシングル モード アカウンティングを表示します。シングル モードでは、セキュリティ アプライアンスはアカウンティング データを 1 つのサーバにだけ送信します。同時モードでは、セキュリティ アプライアンスはアカウンティング データをグループ内のすべてのサーバに送信します。
• [Reactivation Mode]: 表示専用 。障害が発生したサーバを再アクティブ化する方法を [Depletion] または [Timed] 再アクティブ化モードから指定します。[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。
• [Dead Time]: 表示専用 。グループの最後のサーバがディセーブルになってから、すべてのサーバを次に再度イネーブルにするまでの経過時間を分単位で示します。 このパラメータは Depletion モードにだけ適用されます。
• [Max Failed Attempts]: 表示専用 。応答しないサーバが非アクティブであると宣言するまでの失敗接続試行回数を示します。
• [Add]:[Add AAA Server Group] ダイアログボックスを表示します。
• [Edit]:[Edit AAA Server Group] ダイアログボックスを表示するか、サーバ グループとして [LOCAL] を選択した場合は [Edit AAA Local Server Group] ダイアログボックスを表示します。
• [Delete]:サーバ グループ テーブルから、現在選択されているサーバ グループ エントリを削除します。確認されず、やり直しもできません。
[AAA Server Groups] ペインの 2 番目の領域である [Servers In Selected Group] 領域では、既存の AAA サーバ グループに AAA サーバを追加および設定することができます。サーバは、RADIUS、TACACS+、NT、SDI、Kerberos、LDAP、または HTTP Form サーバです。
• [Server Name or IP Address]: 表示専用 。AAA サーバの名前または IP アドレスを表示します。
• [Interface]: 表示専用。 認証サーバが存在するネットワーク インターフェイスを表示します。
• [Timeout]: 表示専用 。タイムアウトの間隔(秒)を表示します。この時間を超えると、セキュリティ アプライアンスはプライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。
• [Add/Edit]:[Add/Edit AAA Server] ダイアログボックスを表示します。
• [Delete]:選択した AAA サーバをリストから削除します。
• [Move up]:選択した AAA サーバを AAA シーケンス内で上に移動します。
• [Move down]:選択した AAA サーバを AAA シーケンス内で後ろに移動します。
• [Test]:[Test AAA Server] ダイアログボックスを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
• |
||||
Add/Edit AAA Server Group
[Add/Edit AAA Server Group] ダイアログボックスでは、AAA サーバ グループを追加または変更できます。結果は、[AAA Server] テーブルに表示されます。
• [Server Group]: 表示専用 。選択したサーバ グループの名前を表示します。
• [Protocol] ドロップダウン リスト:グループのサーバでサポートされるプロトコルを指定します。これらには、RADIUS、TACACS+、NT ドメイン、SDI、Kerberos、LDAP、およびシングル サイン オン用 HTTP Form(クライアントレス SSL VPN のユーザ専用)があります。
(注) 次のフィールドは、[HTTP Form] プロトコルを選択すると使用できなくなります。
• [Accounting Mode]:サーバ グループに使用するアカウンティング モードを指定します。
– [Simultaneous]:アカウンティング データをグループ内のすべてのサーバに送信するようにセキュリティ アプライアンスを設定します。
– [Single]:アカウンティング データをグループ内の 1 つのサーバだけに送信するようにセキュリティ アプライアンスを設定します。
• [Reactivation Mode]:障害が発生したサーバを再アクティブ化する方法を指定します。
– [Depletion]:グループ内のすべてのサーバが非アクティブになった後にのみ、障害の発生したサーバを再アクティブ化するようにセキュリティ アプライアンスを設定します。
– [Timed]:障害が発生したサーバを 30 秒の停止時間の後に再アクティブ化するようにセキュリティ アプライアンスを設定します。
• [Dead Time]:グループの最後のサーバがディセーブルになってから、すべてのサーバを次に再度イネーブルにするまでの経過時間を分単位で指定します。このフィールドは、Timed モードでは使用できません。
• [Max Failed Attempts]:応答しないサーバが非アクティブであると宣言するまでの失敗接続試行回数(1 ~ 5)を指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
• |
||||
Edit AAA Local Server Group
[Edit AAA Local Server Group] ダイアログボックスでは、ローカル ユーザ ロックアウトをイネーブルにするかどうか、また、ユーザをロックアウトする前に許可するログイン試行の最大失敗回数を指定します。ユーザがロックアウトされた場合、正常にログインするには、管理者がロックアウト状態をクリアしておく必要があります。
• [Enable Local User Lockout]:設定された認証試行の最大失敗回数を超えたユーザのロックアウトと、そのユーザのアクセス拒否をイネーブルにします。
• [Maximum Attempts]:ユーザをロックアウトし、そのユーザのアクセスを拒否する前に許可するログイン試行の最大失敗回数を指定します。この制限は、LOCAL データベースが認証に使用されているときにのみ適用されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
• |
||||
Add/Edit AAA Server
[Add/Edit AAA Server] ダイアログボックスでは、既存の AAA サーバのパラメータを変更したり、AAA サーバ グループ テーブルで選択した既存のグループに新しい AAA サーバを追加したりできます。
(注) 最初の 4 つのフィールドは、すべてのサーバ タイプに共通です。コンテンツ領域は、各サーバ タイプに固有です。
• [Server Group]: 表示専用 。サーバ グループの名前を示します。
• [Interface Name]:サーバが常駐するネットワーク インターフェイスを指定します。
• [Server Name or IP Address]:AAA サーバの名前または IP アドレスを指定します。
• [Timeout]:タイムアウト間隔を秒単位で指定します。この時間を超えると、セキュリティ アプライアンスはプライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。
• [RADIUS Parameters] 領域:RADIUS サーバの使用に必要なパラメータを指定します。この領域は、選択したサーバ グループが RADIUS を使用するときにのみ表示されます。
– [Retry Interval]:サーバにクエリーを送信しても応答がないときに、接続を再試行する前に待機する秒数を指定します。最短時間は 1 秒です。デフォルトの時間は 10 秒です。最長時間は 10 秒です。
– [Server Authentication Port]:ユーザ認証に使用するサーバ ポートを指定します。デフォルトのポートは 1645 です。
(注) 最新の RFC では、RADIUS を UDP ポート番号 1812 に設定すべきだとしているので、このデフォルト値を 1812 に変更する必要がある場合があります。
– [Server Accounting Port]:ユーザ認証に使用するサーバ ポートを指定します。デフォルトのポートは 1646 です。
– [Server Secret Key]:暗号化に使用する、たとえば C8z077f のようなサーバ秘密キー(共有秘密とも呼ばれる)を指定します。秘密キーでは大文字と小文字が区別されます。セキュリティ アプライアンスはサーバ秘密キーを使用して、RADIUS サーバに対する認証を行います。ここで設定したサーバ秘密キーは、RADIUS サーバで設定されたサーバ秘密キーと一致する必要があります。RADIUS サーバのサーバ秘密キーがわからない場合は、RADIUS サーバの管理者に問い合わせてください。最大フィールド長は、64 文字です。
– [Common Password]:グループの共通パスワードを指定します。パスワードでは大文字と小文字が区別されます。RADIUS サーバを許可ではなく認証に使用するよう定義する場合は、共通パスワードを設定しないでください。
RADIUS 許可サーバでは、各接続ユーザに対してパスワードおよびユーザ名が必要です。ここでは、パスワードを入力します。RADIUS 許可サーバ管理者は、このセキュリティ アプライアンス経由で RADIUS サーバに対して許可を行う各ユーザにこのパスワードが関連付けられるように RADIUS サーバを設定する必要があります。この情報は、RADIUS サーバ管理者に伝えてください。このセキュリティ アプライアンス経由で RADIUS 許可サーバにアクセスするすべてのユーザの共通パスワードを入力します。
このフィールドを空白のままにすると、各ユーザのユーザ名がパスワードになります。たとえば、ユーザ名が「jsmith」であるユーザの場合、「jsmith」と入力されます。セキュリティ上の予防措置として、RADIUS 許可サーバを絶対に認証に使用しないでください。共通パスワードを使用したり、パスワードとしてユーザ名を使用したりすることは、ユーザごとに強力なパスワードを使用するのに比べてはるかにセキュリティが低くなります。
(注) パスワード フィールドは RADIUS プロトコルに必要であり、RADIUS サーバが要求しますが、ユーザがこのフィールドを認識する必要はありません。
– [ACL Netmask Convert]:ダウンロード可能なアクセス リストから受け取ったネットマスクをセキュリティ アプライアンスが処理する方法を指定します。セキュリティ アプライアンスは、ダウンロード可能なアクセス リストに標準ネットマスク表現が含まれていることを想定しますが、Cisco Secure VPN 3000 シリーズ コンセントレータは、ダウンロード可能なアクセス リストに、標準ネットマスク表現とは反対のワイルドカード ネットマスク表現が含まれていることを想定します。ワイルドカード マスクには、無視するビット位置に 1 が、一致するビット位置に 0 が入っています。[ACL Netmask Convert] リストは、RADIUS サーバ上でのダウンロード可能なアクセス リストの設定方法の違いによる影響を最小限に抑えます。
[Detect automatically] を選択すると、使用されているネットマスク表現のタイプをセキュリティ アプライアンスが判定します。ワイルドカード ネットマスク表現が検出された場合は、標準のネットマスク表現に変換されます。しかし、一部のワイルドカード表現は明確な検出が困難であるため、この設定を使用すると、ワイルドカード ネットマスク表現が、標準のネットマスク表現と誤解される場合があります。
[Standard] を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセス リストに、標準ネットマスク表現だけが入っていると想定します。ワイルドカード ネットマスク表現からの変換は実行されません。
[Wildcard] を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセス リストに、ワイルドカード ネットマスク表現だけが含まれていると想定し、アクセス リストがダウンロードされたときにすべてを標準ネットマスク表現に変換します。
– [SDI Messages Table]:SDI サーバへのプロキシとして設定された RADIUS サーバによってセキュリティ アプライアンスに転送される SDI メッセージを指定します。
リモート ユーザが AnyConnect VPN クライアントでセキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスは RADIUS サーバと通信を行い、次に、RADIUS サーバは認証のために SDI サーバと通信を行います。[SDI message] テーブルには、セキュリティ アプライアンスが認識し、リモート クライアントに渡される SDI メッセージが示されます。
表 12-1 に、SDI メッセージ(操作コード)、デフォルトのメッセージ テキスト、および各メッセージの機能を示します。
表 12-2 SDI 操作コード、デフォルトのメッセージ テキスト、およびメッセージの機能
SDI メッセージは SDI サーバ上で設定が可能なため、セキュリティ アプライアンス上の SDI メッセージのメッセージ テキストは、SDI サーバ上のメッセージに一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトは、認証中に必要とされるアクションに対して適切でない場合があります。そのため、AnyConnect クライアントが応答できずに、認証が失敗する可能性があります。
セキュリティ アプライアンスは、 表 12-1 に表示される順番に文字列を検索するため、操作コードに使用する文字列が、別の文字列のサブセットでないようにする必要があります。たとえば、new-pin-req を「New PIN」として、および new-pin-sys-ok を「New PIN Accepted」として設定すると、new-pin-req は、そのメッセージ テキストが「New PIN Accepted」のサブセットであるため、常に一致するようになります。このため、メッセージ テキストは、誤った一致を発生させることがない一意のものとする必要があります。
メッセージ テキストを編集するには、[Message Text] フィールドをダブルクリックします。
[Restore default message texts]:メッセージをデフォルトのメッセージ(Cisco ACS のデフォルト メッセージ)に復元します。
• [TACACS+ Parameters]:TACACS+ サーバの使用に必要なパラメータを指定します。この領域は、選択したサーバ グループが TACACS+ を使用するときにのみ表示されます。
– [Server Port]:使用するサーバ ポートを指定します。
– [Server Secret Key]:暗号化に使用するサーバ秘密キーを指定します。秘密キーでは大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。
• [SDI Parameters]:SDI サーバの使用に必要なパラメータを指定します。この領域は、選択したサーバ グループが SDI を使用するときにのみ表示されます。
– [Server Port]:使用するサーバ ポートを指定します。
– [Retry Interval]:接続を再試行する前に待機する秒数を指定します。
• [Kerberos Parameters]:Kerberos サーバの使用に必要なパラメータを指定します。この領域は、選択したサーバ グループが Kerberos を使用するときにのみ表示されます。
– [Server Port]:Kerberos サーバがリッスンするサーバ ポートを指定します。
– [Retry Interval]:再試行間隔値とは、再試行から次の再試行までの時間であり、1 ~ 10 秒の範囲で指定します。
– [Kerberos Realm]:使用する Kerberos レルムの名前(USDOMAIN.ACME.COM など)を指定します。最大長は、64 文字です。サーバ タイプが Windows 2000、Windows XP、および Windows.NET の場合、領域名はすべて大文字で入力する必要があります。ここに入力する名前は、[Server IP Address] フィールドに IP アドレスを入力したサーバの領域名に一致している必要があります。
• [LDAP Parameters]:LDAP サーバの使用に必要なパラメータを指定します。この領域は、選択したサーバ グループが LDAP を使用するときにのみ表示されます。
– [Enable LDAP Over SSL]:セキュリティ アプライアンスと LDAP サーバ間の通信を SSL でセキュリティ保護するように指定します。セキュア LDAP とも呼ばれます。
– [Server Port]:使用するサーバ ポートを指定します。サーバにアクセスするための TCP ポート番号を入力します。
– [Server Type]:手動で LDAP サーバ タイプを設定するか、または、サーバ タイプの判別に自動検出を指定します。
– [Base DN]:ベース DN を指定します。許可要求を受信したときに、サーバが検索を開始する LDAP 階層の位置を入力します。たとえば、OU=people, dc=cisco, dc=com となります。
– [Scope]:サーバが許可要求を受け取ったときに行う、LDAP 階層での検索範囲を指定します。[One Level](ベース DN の下にある 1 レベルのみを検索します。このオプションは高速です)および [All Levels](ベース DN の下にあるすべてのレベルを検索します。つまり、サブツリー階層全体を検索します。このオプションは、時間がかかります)。
– [Naming Attribute(s)]:LDAP サーバのエントリを一意に識別する相対識別名属性(複数可)を指定します。共通の命名属性は、一般名(cn)とユーザ ID(uid)です。
– [Login DN]:ログイン DN を指定します。一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。[Login DN] フィールドでは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理者の権限が与えられているユーザの特性に対応します。セキュリティ アプライアンスの認証済みバインディングのディレクトリ オブジェクト名を入力します。たとえば、cn=Administrator, cn=users, ou=people, dc=Example Corporation, dc=com となります。匿名アクセスの場合は、このフィールドをブランクのままにします。
– [Login Password]:ログイン パスワードを指定します。入力した文字はアスタリスクに置き換えられます。
– [LDAP Attribute Map]:LDAP サーバに適用可能な LDAP 属性マップを一覧表示します。LDAP 属性マップでは、Cisco 属性名をユーザ定義の属性名および値に変換します。
– [SASL MD5 authentication]:Simple Authentication and Security Layer の MD5 メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。
– [SASL Kerberos authentication]:Simple Authentication and Security Layer の Kerberos メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。
– [Kerberos Server Group]:認証に使用する Kerberos サーバまたはサーバ グループを指定します。[Kerberos Server Group] オプションはデフォルトでディセーブルになっており、SASL Kerberos 認証が選択された場合だけイネーブルになります。
• [NT Domain Parameters]:NT サーバの使用に必要なパラメータを指定します。次のフィールドがあります。
– [Server Port]:ユーザがサーバにアクセスする TCP ポート番号を指定します。デフォルト ポート番号は、139 です。
– [NT Domain Controller]:このサーバの NT プライマリ ドメイン コントローラのホスト名(PDC01 など)を指定します。ホスト名の最大長は 15 文字です。ここに入力する名前は、[Authentication Server Address] に IP アドレスを入力したサーバのホスト名に一致している必要があります。名前が正しくないと、認証が失敗します。
• [HTTP Form Parameters]:シングル サインオン認証用に HTTP Form プロトコルのパラメータを指定します。クライアントレス SSL VPN のユーザのみが使用できます。この領域は、選択したサーバ グループが HTTP Form を使用しているときにのみ表示され、サーバ グループ名とプロトコルのみが表示されます。HTTP Form を使用している場合、他のフィールドは使用できません。
(注) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。
次のパラメータが不明の場合は、セキュリティ アプライアンス を介さず認証 Web サーバへ直接ログインしているときに、HTTP ヘッダー アナライザを使用して GET および POST による HTTP 交換からデータを抽出します。これらのパラメータを HTTP 交換から抽出する方法については、『 Cisco Security Appliance Command Line Configuration Guide 』のクライアントレス SSL VPN に関する章を参照してください。
– [Start URL]:事前ログイン クッキーが取得できる認証 Web サーバの場所を表す完全 URL を指定します。このパラメータは、ログイン ページとともに事前ログイン クッキーが認証 Web サーバへロードされる場合以外は、設定する必要はありません。ドロップダウン リストには、HTTP と HTTPS の両方が表示されます。入力できる最大文字数は 1024 文字で、最小文字数の制限はありません。
– [Action URI]:許可 Web サーバ上の認証プログラムの完全 Uniform Resource Identifier を指定します。URI 全体の最大文字数は、2048 文字です。
– [Username]:SSO 認証に使用される HTTP Form の一部として送信する必要があるユーザ名パラメータの名前(特定のユーザ名ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。
– [Password]:SSO 認証に使用される HTTP Form の一部として送信する必要があるユーザ パスワード パラメータの名前(特定のパスワード値ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。
– [Hidden Values]:SSO 認証用として認証 Web サーバに送信される HTTP POST 要求の非表示パラメータを指定します。HTTP POST 要求内に含まれることからもわかるように、このパラメータは認証 Web サーバから要求があった場合に限り必要となります。入力できる最大文字数は 2048 文字です。
– [Authentication Cookie Name]:(任意)正常にログインが行われた際、サーバによって認証情報を保存するために設定されるクッキーの名前を指定します。Web サーバから返される他のクッキーと区別しやすいよう、認証クッキーに対して意味のある名前を割り当てる場合に使用されます。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
• |
||||
Test AAA Server
(注) HTTP Form 認証サーバでは、[Test AAA Server] は使用できません。
セキュリティ アプライアンスが選択した AAA サーバと通信できるかどうかを判別するには、[Test] ボタンを使用します。AAA サーバに到達できない場合は、ASDM での設定が正しくないか、ネットワーク設定による制限やサーバのダウンタイムなど他に AAA サーバに到達できない原因があることが考えられます。
このダイアログボックスのフィールドに入力して [OK] をクリックすると、セキュリティ アプライアンスは適切なテスト メッセージを選択したサーバに送信します。テストが失敗した場合、ASDM は、発生したエラー タイプに関するエラー メッセージを表示します。ASDM のエラー メッセージで設定エラーが示されている場合、設定を修正してから再度テストします。
ヒント トラブルシューティングを行うとき、AAA サーバへの基本的なネットワーク接続を確認することをお勧めします。基本的な接続をテストするには、[Tools] > [Ping] をクリックします。
• [AAA Server Group]: 表示専用 。選択した AAA サーバが属する AAA サーバ グループを表示します。
• [Host]: 表示専用 。選択した AAA サーバのホスト名を表示します。
• [Authorization]:ASDM が選択した AAA サーバを使用したユーザの認証をテストするように指定します。選択したサーバ タイプが許可をサポートしていない場合、このオプション ボタンは使用できません。たとえば、セキュリティ アプライアンスは Kerberos サーバを使用した許可をサポートできません。
• [Authentication]:ASDM が選択した AAA サーバを使用したユーザの認証をテストするように指定します。選択したサーバ タイプが認証をサポートしていない場合、このオプション ボタンは使用できません。たとえば、セキュリティ アプライアンスは LDAP サーバを使用した認証をサポートしていません。
• [Username]:AAA サーバのテストに使用するユーザ名を指定します。ユーザ名が AAA サーバに存在することを確認してください。存在しないと、テストは失敗します。
• [Password]:[Username] フィールドに入力したユーザ名のパスワードを指定します。[Password] フィールドは、認証テストにのみ使用できます。入力したユーザ名に対してパスワードが正しいことを確認します。正しくない場合、認証テストは失敗します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
• |
||||
認証プロンプトの設定
[Authentication Prompt] ペイン([Configuration] > [Device Management] > [Users/AAA])では、AAA 認証チャレンジ プロセス中にユーザに対して表示されるテキストを指定できます。TACACS+ または RADIUS サーバからのユーザ認証を要求するとき、セキュリティ アプライアンス経由の HTTP、FTP、および Telnet アクセスに AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。
Telnet からのユーザ認証を実行する場合、[User accepted message] オプションおよび [User rejected message] オプションを使用すれば、認証試行が AAA サーバにより受け入れられた、または拒否されたことを示すさまざまな状態のプロンプトを表示できます。
これらのメッセージ テキストをそれぞれ指定した場合、セキュリティ アプライアンスでは、AAA サーバにより認証されたユーザに対してはユーザ承認メッセージ テキストが表示され、認証されなかったユーザに対してはユーザ拒否メッセージ テキストが表示されます。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストのみが表示されます。ユーザ承認メッセージ テキストおよびユーザ拒否メッセージ テキストは表示されません。
(注) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字表示されます。
• [Prompt]:(任意)セキュリティ アプライアンスを経由したユーザ セッションに対して、チェックボックスの下のフィールドに指定した AAA チャレンジ テキストの表示をイネーブルにします。
• [Text]:(任意)235 文字までの英数字または 31 ワードまでの文字列を指定します。いずれかの最大値に達したときに制限されます。特殊文字は使用できませんが、スペースと句読点は使用できます。疑問符を入力するか、または Enter キーを押すと、ストリングが終了します (疑問符はストリングに含まれます)。
• [User accepted message]:(任意)チェックボックスの下のフィールドで指定した、ユーザが認証されたことを確認するテキストの表示をイネーブルにします。
• [User rejected message]:(任意)チェックボックスの下のフィールドで指定した、認証が失敗したことを示すテキストの表示をイネーブルにします。
(注) このペインのフィールドはすべてオプションです。認証プロンプトを指定していない場合、FTP ユーザには「FTP authentication」が、HTTP ユーザには「HTTP Authentication」が表示され、Telnet ユーザにはチャレンジ テキストが表示されません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
LDAP 属性マップの設定
[LDAP Attribute Map] ペイン([Configuration] > [Remote Access VPN] > [AAA Setup])では、カスタマー(ユーザ定義)属性名をシスコの LDAP 属性名にマッピングするための属性マップを作成し、名前を付けることができます。既存の LDAP ディレクトリにセキュリティ アプライアンスを導入する場合、既存のカスタマー LDAP 属性の名前および値は、シスコ属性の名前および値とは異なる場合があります。既存の属性の名前を変更するのではなく、カスタマー属性名と値をシスコ属性名と値にマッピングする、LDAP 属性マップを作成できます。簡単な文字列の置き換えを使用すると、セキュリティ アプライアンスがユーザ独自のカスタマー名および値のみを提供するようになります。
次に、ユーザは、必要に応じてこれらの属性マップを LDAP サーバにバインドしたり、削除したりできます。属性マップ全体を削除したり、名前および値の個々のエントリを削除したりできます。
(注) 属性マッピング機能を適切に使用するには、シスコの LDAP 属性の名前と値およびユーザ定義の属性の名前と値を理解する必要があります。
• [Name]:編集可能な LDAP 属性マップの名前を表示します。
• [Attribute Map Name]:各属性マップ内にある、カスタマー属性名からシスコ属性名へのマッピングを表示します。
• [Add]:[Add LDAP Attribute Map] ダイアログボックスを表示します。
• [Edit]:[Edit LDAP Attribute Map] ダイアログボックスを表示します。
• [Delete]:選択した LDAP 属性マップを削除します。
Add/Edit LDAP Attribute Map
[Add/Edit LDAP Attribute Map] ダイアログボックスでは、既存の LDAP 属性マップの変更または削除、新しい LDAP 属性マップの追加、および属性マップへの属性名と値のマッピングの入力を行うことができます。
[LDAP Attribute Map] ダイアログボックスを使用した新しい属性マップの標準的な追加手順は次のとおりです。
2. シスコ属性名をカスタマー(ユーザ定義)属性名に変換する名前マッピングを、属性マップに入力します。
3. カスタマー(ユーザ定義)属性の値をカスタマー属性名、および一致するシスコ属性名と値に適用する値マッピングを、属性マップに入力します。
次に、[ Add/Edit AAA Server] ダイアログボックスを使用して LDAP サーバを追加または編集するときに、その属性マップを LDAP サーバにバインドします。
• [Name]:追加または編集する LDAP 属性マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。[LDAP Attribute Map] ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、[LDAP Attribute Map] ペインに戻り、目的のマップを選択する必要があります。
• [Name Map]:カスタマー属性名をシスコ属性名にマッピングするのに必要なフィールドを表示します。
• [Value Map]:カスタマー属性の値を、カスタマー属性名、および一致するシスコの属性名と値にマッピングするのに必要なフィールドを表示します。
[Add/Edit LDAP Attribute Map] > [Map Name] タブ
[Add/Edit LDAP Attribute Map] ダイアログボックスでは、既存の LDAP 属性マップの変更または削除、新しい LDAP 属性マップの追加、および属性マップへの属性名と値のマッピングの入力を行うことができます。「 Add/Edit LDAP Attribute Map」も参照してください。
一部のフィールドは [Map Name] タブを選択するか、[Map Value] タブを選択するかによって異なります。[Map Name] タブをクリックした場合、次のフィールドが表示されます。
• [Name]:追加または編集する LDAP 属性マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。[LDAP Attribute Map] ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、[LDAP Attribute Map] ペインに戻り、目的のマップを選択する必要があります。
• [Customer Name]:[Cisco Name] ドロップダウン リストから選択した属性名にマッピングするカスタマー(ユーザ定義)属性名を指定します。
• [Cisco Name]:[Customer Name] フィールドにある、ユーザ定義名にマッピングするシスコ属性名を指定します。
• [Remove]:属性マップから選択した名前マッピングを削除します。
[Add/Edit LDAP Attribute Map] > [Map Value] タブ
[Add/Edit LDAP Attribute Map] ダイアログボックスでは、既存の LDAP 属性マップの変更または削除、新しい LDAP 属性マップの追加、および属性マップへの属性名と値のマッピングの入力を行うことができます。「 Add/Edit LDAP Attribute Map」も参照してください。
一部のフィールドは [Map Name] タブを選択するか、[Map Value] タブを選択するかによって異なります。[Map Value] タブをクリックした場合、次のフィールドが表示されます。
• [Name]:追加または編集する LDAP 属性マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。[LDAP Attribute Map] ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、[LDAP Attribute Map] ペインに戻り、目的のマップを選択する必要があります。
• [Customer Name]:属性マップにあるマッピングのカスタマー属性名を表示します。
• [Customer to Cisco Map Value]:シスコ値へのカスタマー属性のカスタマー値のマッピングを表示します。
• [Add]:[Add LDAP Attributes Map Value] ダイアログボックスを表示します。
Add/Edit LDAP Attributes Value Map
[Add/Edit LDAP Attribute Map Value] ダイアログボックスでは、カスタマー属性名のカスタマー属性値を、関連付けられたシスコ属性名のシスコ値にマッピングできます。
• [Customer Name]:新しい属性値マッピングを追加する場合、これは、まだシスコ属性値にマッピングするカスタマー値を持たない属性リストからカスタマー属性名を選択できるドロップダウン リストになります。既存の属性値マッピングを編集する場合、これは、[Add/Edit LDAP Attribute Map] ダイアログボックスの [Map Value] タブで選択したカスタマー属性の名前を表示する読み取り専用フィールドになります。
• [Customer Value]:選択したカスタマー属性のカスタマー値を指定します。
• [Cisco Value]:選択したカスタマー属性のシスコ値を指定します。
• [Add]:カスタマー属性値マップに値マッピングを追加します。
• [Remove]:カスタマー属性値マップから値マッピングを削除します。
フィードバック