- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: aaa accounting command コマンド~ accounting-server-group コマンド
- aaa accounting command
- aaa accounting console
- aaa accounting include、exclude
- aaa accounting match
- aaa authentication include、exclude
- aaa authentication console
- aaa authentication listener
- aaa authentication match
- aaa authentication secure-http-client
- aaa authorization
- aaa authorization command
- aaa authorization match
- aaa local authentication attempts max-fail
- aaa mac-exempt
- aaa proxy-limit
- aaa-server host
- aaa-server protocol
- absolute
- accept-subordinates
- access-group
- access-list alert-interval
- access-list deny-flow-max
- access-list ethertype
- access-list extended
- access-list remark
- access-list standard
- access-list webtype
- accounting-mode
- accounting-port
- accounting-server-group
- accounting-server-group(webvpn)
aaa accounting command コマンド~ accounting-server-group コマンド
aaa accounting command
CLI で show 以外のコマンドを入力したときに、TACACS+ アカウンティング サーバにアカウンティング メッセージを送信するには、グローバル コンフィギュレーション モードで aaa accounting command コマンドを使用します。コマンド アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting command [ privilege level ] tacacs+- server-tag
no aaa accounting command [ privilege level ] tacacs+- server-tag
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa accounting command コマンドを設定すると、管理者が入力した show コマンド以外のコマンドが記録され、1 つまたは複数のアカウンティング サーバに送信されます。
例
次の例では、サポートされている全コマンドのアカウンティング レコードが生成され、そのレコードが adminserver というサーバ グループに送信されるように指定しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。 |
|
aaa accounting console
管理者アクセス権の AAA アカウンティングのサポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting console コマンドを使用します。管理者アクセス権の AAA アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { http | serial| telnet | ssh | enable } console server-tag
no aaa accounting { http | serial | telnet | ssh | enable } console server-tag
シンタックスの説明
シリアル コンソール インターフェイスを介して確立される管理セッションの確立および終了を示すアカウンティング レコードの生成をイネーブルにします。 |
|
aaa-server protocol コマンドで定義したように、アカウンティング レコードの送信先のサーバ グループを指定します。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、すべての HTTP トランザクションに対してアカウンティング レコードが生成され、そのレコードが adminserver という名前のサーバに送信されるよう指定しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。 |
|
管理者(ユーザ)によって入力された、各コマンドまたは指定した特権レベル以上のコマンドを記録し、アカウンティング サーバ(複数可)に送信するよう指定します。 |
|
aaa accounting include、exclude
セキュリティ アプライアンス経由の TCP 接続または UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting include コマンドを使用します。アカウンティングからアドレスを除外するには、 aaa accounting exclude コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
no aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、セキュリティ アプライアンスを通過するすべての TCP トラフィックおよび UDP トラフィックについて、アカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。このトラフィックが認証の対象にもなっている場合、AAA サーバはアカウンティング情報をユーザ名で管理できます。トラフィックが認証の対象になっていない場合、AAA サーバはアカウンティング情報を IP アドレスで管理できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、当該セッションでセキュリティ アプライアンスを通過したバイト数、使用されたサービス、および各セッションの継続時間が含まれています。
このコマンドを使用するには、 aaa-server コマンドで AAA サーバを指定しておく必要があります。
アクセス リストで指定されているトラフィックのアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。 include コマンドおよび exclude コマンドは ASDM によってサポートされていないためです。
セキュリティ レベルが同じインターフェイス間で aaa accounting include および exclude コマンドを使用することはできません。この場合は、 aaa accounting match コマンドを使用する必要があります。
例
次の例では、すべての TCP 接続でアカウンティングをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
aaa accounting match
セキュリティ アプライアンス経由の TCP 接続および UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting match コマンドを使用します。トラフィックのアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting match acl_name interface_name server_tag
no aaa accounting match acl_name interface_name server_tag
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、セキュリティ アプライアンスを通過するすべての TCP トラフィックおよび UDP トラフィックについて、アカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。このトラフィックが認証の対象にもなっている場合、AAA サーバはアカウンティング情報をユーザ名で管理できます。トラフィックが認証の対象になっていない場合、AAA サーバはアカウンティング情報を IP アドレスで管理できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、当該セッションでセキュリティ アプライアンスを通過したバイト数、使用されたサービス、および各セッションの継続時間が含まれています。
このコマンドを使用するには、 aaa-server コマンドで AAA サーバを指定しておく必要があります。
AAA サーバ プロトコル コンフィギュレーション モードで accounting-mode コマンドを使用して同時アカウンティングをイネーブルにしない限り、アカウンティング情報は、サーバ グループ内のアクティブなサーバだけに送信されます。
aaa accounting match コマンドは、 aaa accounting include および exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。 include コマンドおよび exclude コマンドは ASDM によってサポートされていないためです。
例
次の例では、特定のアクセス リスト acl2 と一致するトラフィックのアカウンティングをイネーブルにする方法を示します。
関連コマンド
|
|
|
aaa authentication include、exclude
セキュリティ アプライアンスを経由する接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication include コマンドを使用します。認証からアドレスを除外するには、 aaa authentication exclude コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }
no aaa authentication { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }
シンタックスの説明
サービスとアドレスが include コマンドですでに指定されている場合に、指定されたサービスとアドレスを認証から除外します。 |
|
セキュリティの高いインターフェイスの IP アドレスを指定します。このコマンドを適用するインターフェイスに応じて、送信元アドレスまたは宛先アドレスを指定します。セキュリティの低いインターフェイスにこのコマンドを適用する場合は、宛先アドレスを指定します。セキュリティの高いインターフェイスにこのコマンドを適用する場合は、送信元アドレスを指定します。すべてのホストを指定するには、0 を指定します。 |
|
内部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を使用します。 |
|
(オプション)セキュリティの低いインターフェイスの IP アドレスを指定します。このコマンドを適用するインターフェイスに応じて、送信元アドレスまたは宛先アドレスを指定します。セキュリティの低いインターフェイスにこのコマンドを適用する場合は、送信元アドレスを指定します。セキュリティの高いインターフェイスにこのコマンドを適用する場合は、宛先アドレスを指定します。すべてのホストを指定するには、0 を指定します。 |
|
(オプション)外部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を使用します。 |
|
認証が必要なサービスを指定します。次のいずれかの値を指定できます。 • • どのプロトコルまたはサービスへのネットワーク アクセスについても、認証を課すようにセキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。詳細については、「 使用上のガイドライン 」を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクセス リストで指定されているトラフィックの認証をイネーブルにするには、 aaa authentication match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。 include コマンドおよび exclude コマンドは ASDM によってサポートされていないためです。
セキュリティ レベルが同じインターフェイス間で aaa authentication include および exclude コマンドを使用することはできません。この場合は、 aaa authentication match コマンドを使用する必要があります。
TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
所定の IP アドレスを持つユーザは、認証セッションの期限が切れるまで、すべての規則およびタイプのいずれかで認証を 1 回受けるだけで済みます(タイムアウト値については、 timeout uauth コマンドを参照してください)。たとえば、セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションの継続中、FTP の認証を受ける必要がありません。
HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Web ブラウザのインスタンスをすべて終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
どのプロトコルまたはサービスへのネットワーク アクセスについても、認証を課すようにセキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。
セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは、固定値です。
Telnet および FTP では、セキュリティ アプライアンスが認証プロンプトを生成します。
HTTP では、セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
HTTPS では、セキュリティ アプライアンスがカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上すると共に、Easy VPN モードとファイアウォール モードのどちらのモードでも HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。セキュリティ アプライアンスでの直接認証もサポートされています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換規則を作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。
正しく認証されると、セキュリティ アプライアンスによって元の宛先にリダイレクトされます。宛先サーバにも独自の認証手続きがある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。
(注) aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントからセキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することをお勧めします。
FTP では、ユーザがセキュリティ アプライアンスのユーザ名、アットマーク(@)、FTP ユーザ名(name1@name2 形式)を入力するオプションがあります。パスワードを入力するとき、ユーザはセキュリティ アプライアンスのパスワードに続けてアットマーク(@)を入力し、次に FTP パスワードを入力します(password1@password2)。たとえば、次のように入力します。
この機能が役立つのは、ファイアウォールをカスケードしていて、複数のログインが必要になる場合です。名前やパスワードが複数ある場合は、アットマーク(@)を複数使用して、それぞれを区切ります。
許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。
|
|
|
|---|---|
HTTP の認証では、スタティック PAT が設定されている場合、セキュリティ アプライアンスは実際のポートをチェックします。実際のポート 80 宛てのトラフィックを検出した場合、マッピング ポートが何番であるかにかかわらず、セキュリティ アプライアンスはその HTTP 接続を代行受信し、認証を強制します。
たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。
この場合、ユーザが 10.48.66.155 にポート 889 でアクセスしようとすると、セキュリティ アプライアンスがトラフィックを代行受信して HTTP 認証を強制します。セキュリティ アプライアンスが HTTP 接続の確立を許可する前に、ユーザの Web ブラウザに HTTP 認証ページが表示されます。
次の例のように、ローカル ポートが 80 以外になっているとします。
この場合、ユーザには認証ページが表示されません。代わりに、セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用するにはユーザが認証を受ける必要があることを通知します。
HTTP、HTTPS、Telnet、または FTP がセキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合は、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用してセキュリティ アプライアンスで直接認証できます。
インターフェイスに対して AAA をイーブルにすると、セキュリティ アプライアンスでの直接認証が次の URL で可能になります。
または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザはセキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、セキュリティ アプライアンスが Telnet プロンプトを提供します。
例
次の例は、外部インターフェイスで内部 IP アドレスが 192.168.0.0、ネットマスクが 255.255.0.0、すべてのホストの外部 IP アドレスの TCP トラフィックを tacacs+ というサーバ グループを使用して認証します。2 行目のコマンドでは、外部インターフェイスで、内部アドレスが 192.168.38.0、すべてのホストの外部 IP アドレスの Telnet トラフィックを認証から除外しています。
次の例は、interface-name パラメータの使用方法を示しています。セキュリティ アプライアンスには、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0(サブネット マスク 255.255.255.224)、および境界ネットワーク 209.165.202.128(サブネット マスク 255.255.255.224)が接続されています。
次の例では、内部ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
関連コマンド
aaa authentication console
SSH、HTTP、Telnet 接続を介して、またはセキュリティ アプライアンスの Console コネクタからセキュリティ アプライアンス コンソールにアクセスするときの認証サービスをイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication console コマンドを使用します。このコマンドで、特権 EXEC モードへのアクセスもイネーブルになります。この認証サービスをディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication { serial | enable | telnet | ssh | http } console { server-tag [ LOCAL ] | LOCAL }
no aaa authentication { serial | enable | telnet | ssh | http } console { server-tag [ LOCAL ] | LOCAL }
シンタックスの説明
HTTPS 接続の ASDM セッションの認証をイネーブルにします。HTTP の管理認証では、SDI サーバ グループのプロトコルをサポートしていません。 |
|
LOCAL キーワードには、2 つの使用方法があります。ローカル データベースを使用するように指定する方法と、指定した認証サーバを利用できない場合にローカル データベースにフォールバックするように指定する方法です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CLI 認証をイネーブルにした場合は、セキュリティ アプライアンスが、ログイン用のユーザ名とパスワードを入力するように求めるプロンプトを表示します。必要な情報を入力すると、ユーザ EXEC モードにアクセスできます。
特権 EXEC モードに入るには、 enable コマンドか、 login コマンド(ローカル データベースだけを使用している場合)を入力します。
イネーブル認証を設定した場合は、セキュリティ アプライアンスが、ユーザ名とパスワードを入力するように求めるプロンプトを表示します。イネーブル認証を設定していない場合は、 enable コマンドを入力するときにシステム イネーブル パスワード( enable password コマンドで設定)を入力します。ただし、イネーブル認証を使用しないと、 enable コマンドを入力した後で、特定のユーザとしてログインすることはありません。ユーザ名を維持したい場合は、イネーブル認証を使用してください。この機能は、コマンドの認証を行う場合、つまりユーザが入力できるコマンドを、ユーザ名で決める場合に特に便利です。
ローカル データベースを使って認証する場合は、 login コマンドを使用できます。この場合は、ユーザ名が維持され、認証を有効にする設定は必要ありません。
セキュリティ アプライアンスで Telnet、SSH、または HTTP のユーザの認証を開始する前に、 telnet 、 ssh 、および http コマンドを使用してセキュリティ アプライアンスへのアクセスを設定する必要があります。これらのコマンドで、セキュリティ アプライアンスと通信できる IP アドレスが決まります。Telnet 接続では、内部インターフェイスおよび IPSec を設定した外部インターフェイスからセキュリティ アプライアンス コンソールにアクセスできます。SSH の場合は、どのインターフェイスからでもセキュリティ アプライアンス コンソールにアクセスできます。
http キーワードは、HTTPS を使用してセキュリティ アプライアンスにアクセスする ASDM クライアントを認証します。HTTP 認証は、AAA サーバを使用する場合だけ設定する必要があります。デフォルトでは、このコマンドを設定しなくても、ASDM は認証用にローカル データベースを使用します。HTTP 管理認証では、AAA サーバ グループ用に SDI プロトコルをサポートしていません。
認証用に AAA サーバ グループを使う場合は、セキュリティ アプライアンスで AAA サーバを利用できないときにローカル データベースをフォールバックとして使用するように設定できます。このためには、サーバ グループ名の次に LOCAL と入力します( LOCAL は必ず大文字で入力してください)。ローカル データベースのユーザ名とパスワードは、AAA サーバと同じものにすることをお勧めします。これは、セキュリティ アプライアンスのプロンプトには、どちらの方法で認証しているかが示されないからです。
ローカル データベースを主な認証方法(フォールバックなし)にすることもできます。この場合は、 LOCAL だけを入力します。
HTTP 認証で要求できるユーザ名の最大長は、30 文字です。パスワードの最大長は 16 文字です。
次の表に、このコマンドで指定したオプションによって、セキュリティ アプライアンス コンソールへのアクセスを認証するときの処理がどのように異なるかを示します。
|
|
|
|---|---|
SSH での認証要求がタイムアウトになった(AAA サーバがダウンしているか利用できない)場合は、 pix というユーザ名とイネーブル パスワード( enable password コマンドで設定)を使用してセキュリティ アプライアンスにアクセスできます。デフォルトでは、イネーブル パスワードはブランクです。この動作は、AAA が設定されていない状態でセキュリティ アプライアンスにログインする場合と異なります。AAA が設定されていない場合は、ログイン パスワード( passwd コマンドで設定)を使用します。
aaa authentication http console コマンド文を定義していない場合は、ASDM を使用して、ユーザ名とセキュリティ アプライアンスのイネーブル パスワード( enable password コマンドで設定)を入力しなくてもセキュリティ アプライアンスにアクセスできます。aaa コマンドを定義した場合でも、HTTP の認証要求がタイムアウトしたとき(AAA サーバがダウンしているか利用できない)は、デフォルトの管理者ユーザ名とイネーブル パスワードを使用してセキュリティ アプライアンスにアクセスできます。デフォルトでは、イネーブル パスワードは設定されていません。
例
次の例は、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で aaa authentication console コマンドを使用する方法を示しています。
次の例では、サーバ グループ「AuthIn」を管理認証用に指定しています。
次の例は、aaa authentication console コマンドを使用して、グループ「srvgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックするようにする方法を示しています。
aaa-server svrgrp1 protocol tacacs+
関連コマンド
|
|
|
aaa authentication listener
ネットワーク ユーザを認証するために HTTP(S)リスニング ポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication listener コマンドを使用します。リスニング ポートをイネーブルにすると、セキュリティ アプライアンスは直接接続や通過トラフィックに対して認証ページを提供します。リスナーをディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]
no aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]
シンタックスの説明
デフォルト
デフォルトでは、イネーブルになっているリスナー サービスはなく、HTTP 接続は基本 HTTP 認証を使用します。リスナーをイネーブルにした場合、デフォルト ポートは 80(HTTP)および 443(HTTPS)です。
7.2(1) からアップグレードしている場合、リスナーはポート 1080(HTTP)および 1443(HTTPS)でイネーブルになります。 redirect オプションもイネーブルになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication listener コマンドを使用しないと、 aaa authentication match コマンドまたは aaa authentication include コマンドの設定後に HTTP(S)ユーザがセキュリティ アプライアンスで認証を受ける必要があるとき、セキュリティ アプライアンスは基本 HTTP 認証を使用します。HTTPS では、セキュリティ アプライアンスがカスタム ログイン画面を生成します。
aaa authentication listener コマンドを redirect キーワードと共に設定した場合、セキュリティ アプライアンスはすべての HTTP(S)認証要求を、セキュリティ アプライアンスが提供する Web ページにリダイレクトします。
リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上すると共に、Easy VPN モードとファイアウォール モードのどちらのモードでも HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。セキュリティ アプライアンスでの直接認証もサポートされています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換規則を作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。
redirect オプションを 含めずに aaa authentication listener コマンドを入力した場合は、セキュリティ アプライアンスでの直接認証だけがイネーブルになり、通過トラフィックは基本 HTTP 認証を使用することになります。 redirect オプションを含めると、直接認証と通過トラフィック認証の両方がイネーブルになります。直接認証は、認証チャレンジをサポートしていないトラフィック タイプを認証する場合に役立ちます。他のサービスを使用する前に、各ユーザをセキュリティ アプライアンスで直接認証できます。
例
次の例では、HTTP 接続および HTTPS 接続をデフォルト ポートにリダイレクトするようにセキュリティ アプライアンスを設定しています。
次の例では、直接セキュリティ アプライアンスに向かう認証要求を許可しています。通過トラフィックは基本 HTTP 認証を使用します。
次の例では、HTTP 接続および HTTPS 接続をデフォルトではないポートにリダイレクトするようにセキュリティ アプライアンスを設定しています。
関連コマンド
|
|
|
aaa authentication match
セキュリティ アプライアンス経由のトラフィックを認証するには、グローバル コンフィギュレーション モードで aaa authentication match コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication match acl_name interface_name { server_tag | LOCAL }
no aaa authentication match acl_name interface_name { server_tag | LOCAL }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。 include コマンドおよび exclude コマンドは ASDM によってサポートされていないためです。
TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
所定の IP アドレスを持つユーザは、認証セッションの期限が切れるまで、すべての規則およびタイプのいずれかで認証を 1 回受けるだけで済みます(タイムアウト値については、 timeout uauth コマンドを参照してください)。たとえば、セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションの継続中、FTP の認証を受ける必要がありません。
HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Web ブラウザのインスタンスをすべて終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
どのプロトコルまたはサービスへのネットワーク アクセスについても、認証を課すようにセキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。
セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは、固定値です。
Telnet および FTP では、セキュリティ アプライアンスが認証プロンプトを生成します。
HTTP では、セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
HTTPS では、セキュリティ アプライアンスがカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上すると共に、Easy VPN モードとファイアウォール モードのどちらのモードでも HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。セキュリティ アプライアンスでの直接認証もサポートされています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換規則を作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。
正しく認証されると、セキュリティ アプライアンスによって元の宛先にリダイレクトされます。宛先サーバにも独自の認証手続きがある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。
(注) aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントからセキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することをお勧めします。
FTP では、ユーザがセキュリティ アプライアンスのユーザ名、アットマーク(@)、FTP ユーザ名(name1@name2 形式)を入力するオプションがあります。パスワードを入力するとき、ユーザはセキュリティ アプライアンスのパスワードに続けてアットマーク(@)を入力し、次に FTP パスワードを入力します(password1@password2)。たとえば、次のように入力します。
この機能が役立つのは、ファイアウォールをカスケードしていて、複数のログインが必要になる場合です。名前やパスワードが複数ある場合は、アットマーク(@)を複数使用して、それぞれを区切ります。
許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。
|
|
|
|---|---|
HTTP の認証では、スタティック PAT が設定されている場合、セキュリティ アプライアンスは実際のポートをチェックします。実際のポート 80 宛てのトラフィックを検出した場合、マッピング ポートが何番であるかにかかわらず、セキュリティ アプライアンスはその HTTP 接続を代行受信し、認証を強制します。
たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。
この場合、ユーザが 10.48.66.155 にポート 889 でアクセスしようとすると、セキュリティ アプライアンスがトラフィックを代行受信して HTTP 認証を強制します。セキュリティ アプライアンスが HTTP 接続の確立を許可する前に、ユーザの Web ブラウザに HTTP 認証ページが表示されます。
次の例のように、ローカル ポートが 80 以外になっているとします。
この場合、ユーザには認証ページが表示されません。代わりに、セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用するにはユーザが認証を受ける必要があることを通知します。
HTTP、HTTPS、Telnet、または FTP がセキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合は、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用してセキュリティ アプライアンスで直接認証できます。
インターフェイスに対して AAA をイーブルにすると、セキュリティ アプライアンスでの直接認証が次の URL で可能になります。
または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザはセキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、セキュリティ アプライアンスが Telnet プロンプトを提供します。
例
次の一連の例は、 aaa authentication match コマンドの使用方法を示しています。
aaa コマンド内のリストでは、access-list コマンド文を参照している部分が指定した順に処理されます。ここで、次のコマンドを入力するとします。
セキュリティ アプライアンスは、まず mylist 内の access-list コマンド文グループにトラフィックが一致しているかどうかを確かめ、次に yourlist 内の access-list コマンド文グループに一致しているかどうかを確かめます。
関連コマンド
|
|
|
aaa authentication secure-http-client
SSL をイネーブルにして、HTTP クライアントとセキュリティ アプライアンスの間でのユーザ名とパスワードの交換を保護するには、グローバル コンフィギュレーション モードで
aaa authentication secure-http-client コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 aaa authentication secure-http-client コマンドは、ユーザの HTTP ベース Web 要求がセキュリティ アプライアンスを通過することを許可する前に、セキュリティ アプライアンスに対してセキュアなユーザ認証方式を提供します。
aaa authentication secure-http-client
no aaa authentication secure-http-client
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication secure-http-client コマンドは、(SSL を介して)HTTP クライアント認証を保護します。このコマンドは、HTTP カットスルー プロキシ認証に使用されます。
次に、 aaa authentication secure-http-client コマンドの制限事項を示します。
•
実行時、許可される HTTPS 認証プロセスは最大で 16 個です。16 個の HTTPS 認証プロセスがすべて実行中である場合、認証を要求する 17 番目の新しい HTTPS 接続は許可されません。
• uauth timeout 0 が設定されている( uauth timeout が 0 に設定されている)場合は、HTTPS 認証が機能しません。HTTPS 認証を受けた後、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、繰り返し認証ページが表示されます。この現象を回避するには、 timeout uauth 0:0:1 コマンドを使用して、 uauth timeout を 1 秒に設定します。ただし、この回避策ではウィンドウが 1 秒間開かれるため、このウィンドウを利用して、同じ送信元 IP アドレスからアクセスしてくる未認証のユーザがファイアウォールを通過する可能性があります。
• HTTPS 認証は SSL ポート 443 で発生するため、HTTP クライアントから HTTP サーバに向かうポート 443 上のトラフィックをブロックするように access-list コマンド文を設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、1 行目で Web トラフィックに対してスタティック PAT を設定しているため、2 行目を追加して、HTTPS 認証コンフィギュレーションをサポートする必要があります。
例
次の例では、HTTP トラフィックがセキュアに認証されるように設定しています。
「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag に適切な値を指定することを表します。
次のコマンドでは、HTTPS トラフィックがセキュアに認証されるように設定しています。
「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag に適切な値を指定することを表します。
(注) HTTPS トラフィックの場合、aaa authentication secure-https-client コマンドは不要です。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上の LOCAL、TACACS+、または RADIUS のユーザ認証をイネーブルにします。 |
|
aaa authorization
セキュリティ アプライアンス経由のトラフィックを TACACS+ サーバを使用したユーザ認可の対象にするか、対象から除外するかを指定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを include キーワードまたは exclude キーワードと共に使用します。認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization { include | exclude } authorization-service interface-name inside-ip inside-mask [ outside-ip outside-mask ] tacacs+- server-tag
no aaa authorization { include | exclude } authorization-service interface-name inside-ip inside-mask [ outside-ip outside-mask ] tacacs+- server-tag
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、TACACS+ を使用してネットワーク アクセス認可を実行するように設定できます。
aaa authorization include コマンドや exclude コマンドの代わりに、 aaa authorization match コマンドを使用することをお勧めします。 aaa authorization include コマンドおよび exclude コマンドは、 aaa authorization match コマンドと同じコンフィギュレーションの中では使用できません。 aaa authorization match コマンドは、アクセス リストを使用してトラフィックの一致を調べるため、この目的で使用するものとしては堅牢性の高いコマンドです。
セキュリティ レベルが同じインターフェイス間で aaa authorization コマンドを使用することはできません。この場合は、 aaa authorization match コマンドを使用する必要があります。
認証の文と認可の文は、互いに独立しています。ただし、認証されていないトラフィックは、認可文に一致した場合でも拒否されます。ユーザが認可を受けるには、まずセキュリティ アプライアンスに認証される必要があります。特定の認可規則では、それに対応する認証は必要ありません。認証が必要となるのは、FTP、HTTP、または Telnet の場合だけで、認可クレデンシャルを入力するための対話型の方法がユーザに提供されます。所定の IP アドレスを持つユーザが認証を受ける必要があるのは、認証セッションが期限切れになっていない場合、すべての規則およびタイプのいずれかで 1 回だけです。このため、トラフィックが認証文に一致した場合でも、認可は発生する可能性があります。
ユーザが認証されると、セキュリティ アプライアンスは認可規則をチェックして、一致するトラフィックがあるかどうかを調べます。トラフィックが認可文に一致した場合、セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは、そのトラフィックを許可するか拒否するかをユーザ プロファイルに基づいて判定し、セキュリティ アプライアンスに応答します。セキュリティ アプライアンスは、応答に含まれている認可規則を適用します。
ユーザに対してネットワーク アクセス認可を設定する方法については、TACACS+ サーバのマニュアルを参照してください。
最初の認可試行が失敗し、2 番目の試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージを示しています。
例
この例では、最初のコマンド文で tplus1 という名前のサーバ グループを作成し、このグループ用に TACACS+ プロトコルを指定しています。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。その次の 3 つのコマンド文で指定しているのは、外部インターフェイスを経由する外部ホスト宛て接続を開始するユーザ全員を tplus1 サーバ グループで認証すること、正常に認証されたユーザに対してはどのサービスの使用も認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、セキュリティ アプライアンスのシリアル コンソールにアクセスするには、tplus1 サーバ グループから認証を受ける必要があることを指定しています。
次の例では、外部インターフェイスからの DNS ルックアップに対する認可をイネーブルにします。
次の例では、内部ホストから内部インターフェイスに到着する、ICMP エコー応答パケットの認可をイネーブルにします。
このように設定すると、ユーザは Telnet、HTTP、または FTP を使用して認証を受けない限り、外部ホストを ping できなくなります。
次の例では、内部ホストから内部インターフェイスに到着する ICMP エコー(ping)についてだけ認可をイネーブルにします。
関連コマンド
|
|
|
|---|---|
コマンドの実行が認可の対象となるかどうかを指定します。または、指定したサーバ グループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースにフォールバックするよう管理認可を設定します。 |
|
特定の access-list コマンド名に対して LOCAL または TACACS+ のユーザ認可サービスをイネーブルまたはディセーブルにします。 |
|
aaa authorization command
管理アクセスのコマンドの認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization command コマンドを使用します。コマンド認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization command { LOCAL | tacacs+- server-tag [ LOCAL ]}
no aaa authorization command { LOCAL | tacacs+- server-tag [ LOCAL ]}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが変更され、指定したグループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースにフォールバックするよう管理認可を設定できるようになりました。 |
使用上のガイドライン
デフォルトでは、ログインすると、必要最低限のコマンドだけを使用できるユーザ EXEC モードにアクセスできるようになっています。 enable コマンド(ローカル データベースを使用している場合は login コマンド)を入力すると、特権 EXEC モードにアクセスして、コンフィギュレーション コマンドを含む各種コマンドを使用できます。コマンドへのアクセスを制御する場合は、セキュリティ アプライアンスでコマンドの認可を設定して、どのコマンドをユーザが利用できるかを決めます。
• ローカル データベース: privilege コマンドを使用して、セキュリティ アプライアンスのコマンドの特権レベルを設定します。ローカル ユーザが enable コマンド( aaa authenticate enable console コマンドでイネーブルにする)で認証を受けるか、 login コマンドを入力してログインする場合は、セキュリティ アプライアンスが、このユーザをローカル データベースで定義されている特権レベルに所属させます。ユーザは、その特権レベル以下のコマンドにアクセスできます。ローカルでのコマンド認可によって、それぞれのユーザが、ある特権レベルに置かれ、自分の特権レベル以下のコマンドを入力できるようになります。セキュリティ アプライアンスでは、コマンドに 16 レベル(0 ~ 15)のうちの 1 つを割り当てられます。デフォルトでは、各コマンドの特権レベルが 0 か 15 になっています。
(注) ローカルでのコマンド認可は、ローカル データベース内のユーザ、および CLI による認証やイネーブル認証なしで使用できます。この場合は、enable コマンドを入力するときにシステム イネーブル パスワードを入力します。セキュリティ アプライアンスによって、特権レベルが 15 に設定されます。次に、各レベルのイネーブル パスワードを作成し、enable n(2 ~ 15)と入力したときに、セキュリティ アプライアンスによって該当するレベル n に設定されるようにします。これらのレベルは、ローカルでのコマンド認可をオンにしない限り使用されません。
• TACACS+ サーバ:ユーザまたはグループが CLI によるアクセスの認証を受けた後に使用できるコマンドを、TACACS+ サーバで設定します。ユーザが CLI で入力するすべてのコマンドが TACACS+ サーバでチェックされます。TACACS+ によるコマンドの認可をイネーブルした場合に、ユーザが CLI でコマンドを入力すると、セキュリティ アプライアンスは、そのコマンドとユーザ名を TACACS+ サーバに送信し、そのコマンドが認可されているかどうかを確かめます。
TACACS+ によるコマンドの認可をイネーブルにする前に、TACACS+ サーバで定義されているユーザとしてセキュリティ アプライアンスにログインしていることと、セキュリティ アプライアンスの設定を続けるのに必要なコマンドの使用が認可されていることを確認してください。たとえば、全コマンドの使用が認可されている管理ユーザとしてログインします。他のユーザでログインしていると、ロックアウトされることがあります。
TACACS+ サーバによるコマンドの認可を設定するときは、意図したとおりに認可機能が動作することを確認してから設定を保存してください。ただし、設定間違いが原因でロックアウトされた場合は、通常セキュリティ アプライアンスを再起動すると元どおりアクセスできるようになります。
TACACS+ システムが安定していて信頼できることを確認してください。これには、通常、TACACS+ サーバ システムが完全な冗長構成になっていることと、セキュリティ アプライアンスへの完全な冗長接続があることが必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続しているサーバと、インターフェイス 2 に接続している別のサーバを含め、TACACS+ サーバが利用できない場合にローカルでのコマンド認可をフォールバックとして設定しておきます。
例
次の例は、tplus1 という名前の TACACS+ サーバ グループによるコマンド認可をイネーブルにする方法を示しています。
次の例は、tplus1 サーバ グループ内のすべてのサーバが利用できない場合に、ローカル ユーザ データベースにフォールバックするよう管理認可を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定した LOCAL または TACACS+ サーバのユーザ認可、あるいは ASDM ユーザ認証のユーザ認可をイネーブルまたはディセーブルにします。 |
|
aaa authorization match
セキュリティ アプライアンス経由のトラフィックの TACACS+ サーバによるユーザ認可をイネーブルにするには、 aaa authorization match コマンドを使用します。認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization match acl-name interface-name server-tag
no aaa authorization match acl-name interface-name server-tag
シンタックスの説明
認可するトラフィックを特定するアクセス リストの名前を指定します。access-list コマンドを参照してください。 permit の ACE は、一致したトラフィックを認可することを、 deny のエントリは認可から除外することを示します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、TACACS+ を使用してネットワーク アクセス認可を実行するように設定できます。
aaa authorization include コマンドや exclude コマンドの代わりに、 aaa authorization match コマンドを使用することをお勧めします。 aaa authorization include コマンドおよび exclude コマンドは、 aaa authorization match コマンドと同じコンフィギュレーションの中では使用できません。 aaa authorization match コマンドは、アクセス リストを使用してトラフィックの一致を調べるため、この目的で使用するものとしては堅牢性の高いコマンドです。
認証の文と認可の文は、互いに独立しています。ただし、認証されていないトラフィックは、認可文に一致した場合でも拒否されます。ユーザが認可を受けるには、まずセキュリティ アプライアンスに認証される必要があります。特定の認可規則では、それに対応する認証は必要ありません。認証が必要となるのは、FTP、HTTP、または Telnet の場合だけで、認可クレデンシャルを入力するための対話型の方法がユーザに提供されます。所定の IP アドレスを持つユーザが認証を受ける必要があるのは、認証セッションが期限切れになっていない場合、すべての規則およびタイプのいずれかで 1 回だけです。このため、トラフィックが認証文に一致した場合でも、認可は発生する可能性があります。
ユーザが認証されると、セキュリティ アプライアンスは認可規則をチェックして、一致するトラフィックがあるかどうかを調べます。トラフィックが認可文に一致した場合、セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは、そのトラフィックを許可するか拒否するかをユーザ プロファイルに基づいて判定し、セキュリティ アプライアンスに応答します。セキュリティ アプライアンスは、応答に含まれている認可規則を適用します。
ユーザに対してネットワーク アクセス認可を設定する方法については、TACACS+ サーバのマニュアルを参照してください。
最初の認可試行が失敗し、2 番目の試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージを示しています。
例
次の例では、tplus1 サーバ グループを aaa コマンドで使用しています。
この例では、最初のコマンド文で、tplus1 サーバ グループを TACACS+ グループとして定義しています。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 2 つのコマンド文では、内部インターフェイスを通過する、任意の外部ホスト宛てのすべての接続が、tplus1 サーバ グループを使用して認証され、かつアカウンティング データベースに記録されるように指定しています。最後のコマンド文では、myacl 内の ACE に一致するすべての接続が tplus1 サーバ グループ内の AAA サーバによって認可されることを指定しています。
関連コマンド
aaa local authentication attempts max-fail
セキュリティ アプライアンスが所定のユーザ アカウントに対して許可するローカル ログイン試行の連続失敗回数を制限するには、グローバル コンフィギュレーション モードで aaa local authentication attempts max-fail コマンドを使用します。このコマンドは、ローカル ユーザ データベースによる認証だけに影響を及ぼします。この機能をディセーブルにして、ローカル ログイン試行が連続して何回失敗してもよいようにするには、このコマンドの no 形式を使用します。
aaa local authentication attempts max-fail number
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを省略すると、ユーザが何回でも間違ったパスワードを入力できるようになります。
間違ったパスワードによるユーザのログイン試行が設定回数に達すると、ユーザはロックアウトされ、管理者によってユーザ名がアンロックされるまで、ログインに成功しません。ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。
ユーザが正常に認証された場合、またはセキュリティ アプライアンスがリブートした場合は、失敗試行回数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。
例
次の例は、aaa local authentication attempts max-limits コマンドを使用して、許可される失敗試行の最大回数を 2 に設定する方法を示しています。
関連コマンド
|
|
|
aaa mac-exempt
認証および認可の対象から免除する定義済みの MAC アドレス リストの使用を指定するには、グローバル コンフィギュレーション モードで aaa mac-exempt コマンドを使用します。 aaa mac-exempt コマンドは、1 つだけ追加できます。MAC アドレスのリストの使用をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa mac-exempt コマンドを使用するには、事前に mac-list コマンドを使用して MAC リストの番号を設定しておく必要があります。MAC リストにある permit のエントリは、その MAC アドレスの認証と認可を免除することを、deny のエントリは、認証と認可がイネーブルになっている場合に、その MAC アドレスを認証および認可する必要があることを示します。 aaa mac-exempt コマンドは 1 回しか入力できないので、使用する MAC リストに、免除するすべての MAC アドレスが含まれていることを確認してください。
例
次の例では、1 つの MAC アドレスについて認証をバイパスします。
次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスしています。
次の例では、00a0.c95d.02b2 以外の MAC アドレスのグループの認証をバイパスしています。
関連コマンド
|
|
|
aaa proxy-limit
ユーザ 1 人あたりに許可する同時プロキシ接続の最大数を設定することで、uauth セッションの制限値を手動で設定するには、グローバル コンフィギュレーション モードで aaa proxy-limit コマンドを使用します。プロキシをディセーブルにするには、 disable パラメータを使用します。デフォルトのプロキシ制限値(16)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
送信元アドレスがプロキシ サーバである場合は、その IP アドレスを認証の対象から除外するか、許容可能な未処理 AAA 要求の数を増やすことを検討してください。
例
次の例は、ユーザ 1 人あたりに許容可能な未処理認証要求の最大数を設定する方法を示しています。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブル化、ディセーブル化、または表示します。 |
|
aaa-server host
AAA サーバ グループの一部として AAA サーバを設定したり、ホスト固有の AAA サーバ パラメータを設定したりするには、グローバル コンフィギュレーション モードで aaa-server host コマンドを使用します。 aaa-server host コマンドを使用すると、AAA サーバ ホスト コンフィギュレーション モードに入ります。このモードから、ホスト固有の AAA サーバ接続データを指定および管理できます。ホストのコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]
no aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
AAA サーバのコンフィギュレーションを制御するには、 aaa-server protocol コマンドで AAA サーバ グループ プロトコルを定義してから、 aaa-server host コマンドを使用してサーバをグループに追加します。
シングルモードでは最大 15 個のサーバ グループ、マルチモードではコンテキストごとに 4 個のサーバ グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
例
次の例では、「watchdogs」という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、そのサーバの Kerberos レルムを定義します。
(注) Kerberos レルム名に使用できるのは、数字と大文字のアルファベットのみです。セキュリティ アプライアンスでは、レルム名に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。必ず大文字のアルファベットだけを使用してください。
aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# exit
aaa-server watchdogs host 192.168.3.4
kerberos-realm EXAMPLE.COM
次の例では、「svrgrp1」という名前の SDI AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、タイムアウト間隔を 6 秒に、リトライ間隔を 7 秒に、SDI バージョンをバージョン 5 に設定しています。
aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# exit
aaa-server svrgrp1 host 192.168.3.4
timeout 6
retry-interval 7
sdi-version sdi-5
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
aaa-server protocol
AAA サーバ グループを作成し、グループ固有および全グループのホストに共通した AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server protocol コマンドを使用して、AAA サーバ グループ モードに入ります。このモードから、グループ パラメータを設定できます。指定したグループを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag protocol server-protocol
no aaa-server server-tag protocol server-protocol
シンタックスの説明
サーバ グループの名前。 aaa-server host コマンドで指定した名前と同じにします。他の AAA コマンドで、この AAA サーバ グループ名を参照します。 |
|
グループ内のサーバがサポートする AAA プロトコル。 kerberos 、 ldap 、 nt 、 radius、sdi、 または tacacs+ 。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
AAA サーバのコンフィギュレーションを制御するには、 aaa-server protocol コマンドで AAA サーバ グループ プロトコルを定義してから、 aaa-server host コマンドを使用してサーバをグループに追加します。
シングルモードでは最大 15 個のサーバ グループ、マルチモードではコンテキストごとに 4 個のサーバ グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
aaa-server protocol コマンドを入力したら、次に、ホスト特有のパラメータを設定します。たとえば、AAA アカウンティングを行っている場合は、 accounting-mode コマンドで同時アカウンティングを設定しない限り、アカウンティング情報はアクティブなサーバだけに送られます。
例
次の例は、 aaa-server protocol コマンドを使用して、TACACS+ サーバ グループの詳細設定を変更する方法を示しています。
aaa-server svrgrp1 protocol tacacs+
関連コマンド
|
|
|
アカウンティング メッセージが 1 台のサーバに送信されるか(シングルモード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定します。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
absolute
時間範囲が有効である場合に絶対時間を定義するには、時間範囲コンフィギュレーション モードで absolute コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
absolute [end time date ] [start time date ]
シンタックスの説明
日付を day month year 形式で指定します(たとえば、1 January 2006)。年の有効範囲は 1993 ~ 2035 です。 |
|
デフォルト
開始日時を指定しない場合、permit 文または deny 文がただちに有効になります。最遅終了時刻は 23:59 31 December 2035 です。終了日時を指定しない場合、関連付けられている permit 文または deny 文はこの時刻まで有効です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended time-range コマンドを使用して、時間範囲を ACL にバインドします。
例
次の例では、2006 年 1 月 1 日午前 8 時に ACL が有効になります。
関連コマンド
|
|
|
|---|---|
time-range コマンドの absolute キーワードと periodic キーワードの設定をデフォルトに戻します。 |
|
accept-subordinates
装置にインストールされていない下位 CA 証明書がフェーズ 1 の IKE 交換で提供されたときに、その証明書を受け入れるようにセキュリティ アプライアンスを設定するには、暗号 CA トラストポイント コンフィギュレーション モードで accept-subordinates コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェーズ 1 の処理中、IKE ピアは下位証明書と ID 証明書の両方を渡すことがあります。渡された下位証明書は、セキュリティ アプライアンスにインストールされていないことがあります。このコマンドを使用すると、装置上にトラストポイントとして設定されていない下位 CA 証明書をサポートできます。確立されたすべてのトラストポイントのすべての下位 CA 証明書が受け入れ可能である必要はありません。つまり、このコマンドを使用すると、装置は、証明書チェーン全体をローカルにインストールすることなく、その証明書チェーンを認証できます。
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入って、トラストポイント central での下位証明書の受け入れをセキュリティ アプライアンスに許可しています。
関連コマンド
|
|
|
|---|---|
access-group
アクセス リストをインターフェイスにバインドするには、グローバル コンフィギュレーション モードで access-group コマンドを使用します。アクセス リストをインターフェイスからアンバインドするには、このコマンドの no 形式を使用します。
access-group access-list { in | out } interface interface_name [ per-user-override ]
no access-group access-list { in | out } interface interface_name
シンタックスの説明
(オプション)ダウンロードしたユーザ アクセス リストが、インターフェイスに適用されているアクセス リストを上書きできるようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドは、アクセス リストをインターフェイスにバインドします。アクセス リストは、インターフェイス宛ての着信トラフィックに適用されます。 access-list コマンド文に permit オプションを入力した場合は、セキュリティ アプライアンスはパケットの処理を続行します。 access-list コマンド文に deny オプションを入力した場合は、セキュリティ アプライアンスはパケットを廃棄して、次の syslog メッセージを生成します。
%hostname-4-106019: IP packet from source_addr to destination_addr , protocol protocol received from interface interface_name deny by access-group idper-user-override オプションを指定すると、ダウンロードしたアクセス リストが、インターフェイスに適用されているアクセス リストを上書きできます。 per-user-override オプション引数を指定しないと、セキュリティ アプライアンスは既存のフィルタリング動作を維持します。 per-user-override を指定すると、セキュリティ アプライアンスは、ユーザに関連付けられているユーザごとのアクセス リスト(ダウンロードされた場合)内の permit ステータスまたは deny ステータスで、 access-group コマンドに関連付けられているアクセス リスト内の permit ステータスまたは deny ステータスを上書きできるようにします。さらに、次の規則が適用されます。
• パケットが到着した時点で、そのパケットに関連付けられているユーザごとのアクセス リストがない場合、インターフェイス アクセス リストが適用される。
• ユーザごとのアクセス リストは、 timeout コマンドの uauth オプションで指定されたタイムアウト値によって管理されるが、このタイムアウト値は、ユーザごとの AAA セッション タイムアウト値によって上書きできる。
• 既存のアクセス リスト ログ動作は同じである。たとえば、ユーザごとのアクセス リストによってユーザ トラフィックが拒否された場合、syslog メッセージ 109025 が記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセス リストのログ オプションは、影響を及ぼしません。
access-list コマンドは、必ず access-group コマンドと共に使用してください。
access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードは、アクセス リストを、指定したインターフェイス上のトラフィックに適用します。 out キーワードは、アクセス リストを発信トラフィックに適用します。
(注) 1 つまたは複数の access-group コマンドによって参照されるアクセス リストから、すべての機能エントリ(permit 文および deny 文)を削除すると、access-group コマンドがコンフィギュレーションから自動的に削除されます。access-group コマンドは、空のアクセス リストも、コメントだけを含むアクセス リストも参照できません。
no access-group コマンドは、アクセス リストをインターフェイス interface_name からアンバインドします。
show running config access-group コマンドは、インターフェイスにバインドされている現在のアクセス リストを表示します。
clear configure access-group コマンドは、インターフェイスからすべてのアクセス リストを削除します。
例
次の例は、 access-group コマンドの使用方法を示しています。
この static コマンドでは、Web サーバ 10.1.1.3 にグローバル アドレス 209.165.201.3 を付与しています。 access-list コマンドでは、すべてのホストがポート 80 を使用してグローバル アドレスにアクセスすることを許可しています。 access-group コマンドでは、外部インターフェイスで受信するトラフィックに access-list コマンドを適用することを指定しています。
関連コマンド
|
|
|
|---|---|
access-list alert-interval
拒否フロー最大値到達メッセージ間の時間間隔を指定するには、グローバル コンフィギュレーション モードで access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
access-list alert-interval secs
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list alert-interval コマンドは、syslog メッセージ 106101 を生成する時間間隔を設定します。syslog メッセージ 106101 は、セキュリティ アプライアンスが拒否フローの最大数に達したことを警告します。拒否フローの最大数に達したとき、前回の 106101 メッセージが生成されてから secs 秒以上経過していた場合は、さらに 106101 メッセージが生成されます。
拒否フロー最大値到達メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。
例
次の例は、拒否フロー最大値到達メッセージ間の時間間隔を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list deny-flow-max
作成できる同時拒否フローの最大数を指定するには、グローバル コンフィギュレーション モードで access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが ACL 拒否フローの最大数 n に達すると、syslog メッセージ 106101 が生成されます。
例
次の例は、作成できる同時拒否フローの最大数を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list ethertype
EtherType に基づいてトラフィックを制御するアクセス リストを設定するには、グローバル コンフィギュレーション モードで access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
no access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
シンタックスの説明
デフォルト
• 特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
log オプション キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは、6(情報)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、16 ビット 16 進数値で示された任意の EtherType を制御できます。EtherType ACL は、イーサネット V2 フレームをサポートしています。802.3 形式のフレームはタイプ フィールドではなく長さフィールドを使用するため、ACL によって処理されません。ブリッジ プロトコル データ ユニットだけは例外で、ACL によって処理されます。ブリッジ プロトコル データ ユニットは、SNAP 方式でカプセル化されており、セキュリティ アプライアンスは BPDU を処理するように設計されています。
EtherType はコネクションレス型であるため、両方向のトラフィックを通過させる場合は、両方のインターフェイスに ACL を適用する必要があります。
MPLS を許可する場合は、セキュリティ アプライアンスに接続されている両方の MPLS ルータが LDP セッションまたは TDP セッション用のルータ ID としてセキュリティ アプライアンス インターフェイス上の IP アドレスを使用するように設定することにより、LDP TCP 接続と TDP TCP 接続がセキュリティ アプライアンス経由で確立されるようにします(LDP および TDP では、MPLS ルータが、パケット転送用のラベル(アドレス)をネゴシエートできます)。
インターフェイスの方向ごとに、各タイプ(拡張または EtherType)の ACL を 1 つだけ適用できます。同じ ACL を複数のインターフェイスに適用することもできます。
(注) EtherType アクセス リストが deny all に設定されている場合、すべてのイーサネット フレームが廃棄されます。物理プロトコル トラフィック(オートネゴシエーションなど)だけが許可されます。
例
次の例は、EtherType アクセス リストを追加する方法を示しています。
関連コマンド
|
|
|
|---|---|
access-list extended
アクセス コントロール エントリを追加するには、グローバル コンフィギュレーション モードで access-list extended コマンドを使用します。1 つのアクセス リストに、同じアクセス リスト ID を持つ 1 つまたは複数の ACE が入っています。アクセス リストを使って、ネットワークへのアクセスを制御したり、各種機能で処理するトラフィックを指定したりします。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リスト全体を削除するには、 clear configure access-list コマンドを使用します。
access-list id [ line line-number ] [ extended ] { deny | permit }{ protocol | object-group protocol_obj_grp_id }{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }[ operator port | object-group service_obj_grp_id ]{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ][ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]
no access-list id [ line line-number ] [ extended ] { deny | permit } {tcp | udp}{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }[ operator port ] | object-group service_obj_grp_id ]{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ][ log [[ level ] [ interval secs ] | disable | default ]][ inactive | time-range time_range_name ]
シンタックスの説明
デフォルト
• ACE のログ機能によって、拒否パケットの syslog メッセージ 106023 が生成されます。拒否されたパケットを記録するには、deny の ACE が存在する必要があります。
• log キーワードを指定した場合は、syslog メッセージ 106100 のデフォルトのレベルは 6(情報)、間隔は 300 秒になります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定した名前のアクセス リスト用に入力した各 ACE は、ACE の行番号を指定しない限り、そのアクセス リストの最後に追加されます。
ACE の順番は重要です。セキュリティ アプライアンスがパケットを転送するかドロップするかを決めるときは、リストにある順番どおりに ACE を 1 つずつチェックしていきます。一致するものが見つかったら、残りの ACE はチェックされません。たとえば、アクセス リストの先頭にすべてのトラフィックを明示的に許可する ACE を作成した場合は、残りの ACE がまったくチェックされなくなります。
アクセス リストの最後には、暗黙的な拒否が設定されているので、明示的に許可しない限り、トラフィックを通過させることはできません。たとえば、セキュリティ アプライアンス経由で、特定のアドレスを除いた全ユーザにネットワークへのアクセスを許可するには、まず特定のアドレスの拒否を設定し、次に、他のすべてのアドレスを許可します。
NAT を使用する場合は、アクセス リストで指定する IP アドレスは、アクセス リストを関連付けているインターフェイスによって異なります。必ず、そのインターフェイスに接続するネットワークで有効なアドレスを使用してください。これは、着信と発信の両方のアクセス グループにあてはまります。使用するアドレスは、アクセスの方向ではなく、インターフェイスによって決まります。
TCP 接続と UDP 接続では、リターン トラフィックを許可するアクセス リストは必要ありません。これは、FWSM は、確立された双方向接続のすべてのトラフィックを許可するからです。一方、ICMP などのコネクションレス型のプロトコルでは、セキュリティ アプライアンスは、単方向のセッションを確立します。そのため、双方向の ICMP パケットを許可するアクセス リストを設定(発信元と宛先の両方のインターフェイスにアクセス リストを適用)するか、ICMP の検査エンジンをイネーブルにする必要があります。ICMP の検査エンジンは、ICMP セッションを双方向接続と見なします。
ICMP はコネクションレス型のプロトコルなので、双方向の ICMP パケットを許可するアクセス リストを設定(発信元と宛先の両方のインターフェイスにアクセス リストを適用)するか、ICMP の検査エンジンをイネーブルにする必要があります。ICMP 検査エンジンは、ICMP セッションをステートフル接続と見なします。ping を制御するには、 echo-reply ( 0 )(セキュリティ アプライアンスからホストへ)、または echo ( 8 )(ホストからセキュリティ アプライアンスへ)を指定します。ICMP のタイプについては、 表2-1 を参照してください。
インターフェイスの方向ごとに、各タイプ(extended または EtherType)のアクセス リストを 1 つだけ適用できます。同じアクセス リストを複数のインターフェイスに適用できます。インターフェイスにアクセス リストを適用する方法については、 access-group コマンドを参照してください。
(注) アクセス リストの設定を変更し、既存の接続がタイムアウトするのを待たずに新しいアクセス リスト情報を使用したい場合は、clear local-host コマンドを使用して接続を消去します。
表2-1 に、使用できる ICMP タイプの値を示します。
|
|
|
|---|---|
例
次のアクセス リストは、このアクセス リストを適用するインターフェイスの全ホストからのセキュリティ アプライアンスへのアクセスを許可しています。
次のアクセス リストは、192.168.1.0/24 のホストから 209.165.201.0/27 のネットワークにアクセスできないようにしています。他のアドレスはすべて許可しています。
あるホストだけがアクセスできるようにする場合は、アクセスを限定する ACE を入力します。明示的に許可しない限り、デフォルトで他のすべてのトラフィックが拒否されます。
次のアクセス リストは、このアクセス リストを適用するインターフェイスの全ホストが 209.165.201.29 というアドレスの Web サイトにアクセスできないようにしています。この他のトラフィックは、すべて許可されます。
次のアクセス リストは、オブジェクト グループを使用して、内部ネットワークの数個のホストから、Web サーバのいくつかにアクセスできないようにしています。この他のトラフィックは、すべて許可されます。
あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グループ(B)へのトラフィックを許可するアクセス リストを一時的にディセーブルにするには、次のように入力します。
時間ベースアクセス リストを実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間の範囲をアクセス リストにバインドします。次の例では、「Sales」という名前のアクセス リストを「New_York_Minute」という名前の時間範囲にバインドしています。
関連コマンド
|
|
|
|---|---|
access-list remark
access-list extended コマンドの前または後に追加するコメントのテキストを指定するには、グローバル コンフィギュレーション モードで access-list remark コマンドを使用します。コメントをディセーブルにするには、このコマンドの no 形式を使用します。
access-list id [ line line-num ] remark text
no access-list id [ line line-num ] remark [ text ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 100 文字(スペースや句読点を含む)をコメント テキストとして入力できます。コメント テキストには、スペース以外の文字を少なくとも 1 つ含める必要があります。空のコメントを入力することはできません。
例
次の例は、 access-list コマンドの前または後に追加するコメントのテキストを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list standard
アクセス リストを追加して、OSPF 再配布のルートマップに使用できる、OSPF ルートの宛先 IP アドレスを指定するには、グローバル コンフィギュレーション モードで access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
no access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
シンタックスの説明
デフォルト
• 特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドと共に deny オプション キーワードを使用すると、パケットがセキュリティ アプライアンスを通過できなくなります。デフォルトでは、特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
TCP や UDP など、すべてのインターネット プロトコルに一致するよう protocol を指定するには、 ip キーワードを使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
アクセス リストをグループ化するには、 object-group コマンドを使用します。
送信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合のガイドラインは、次のとおりです。
• 32 ビットの 4 分割ドット付き 10 進数形式を使用する。
• アドレスとマスクを 0.0.0.0 0.0.0.0 にする場合は、短縮形の any キーワードを使用する。このキーワードは、IPSec では使用しないことをお勧めします。
例
次の例は、ファイアウォール経由の IP トラフィックを拒否する方法を示しています。
次の例は、条件に合致している場合に、ファイアウォール経由の IP トラフィックを許可する方法を示しています。
関連コマンド
|
|
|
|---|---|
access-list webtype
WebVPN のフィルタリングをサポートするコンフィギュレーションにアクセス リストを追加するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id webtype { deny | permit } url [ url_string | any ] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
no access-list id webtype { deny | permit } url [ url_string | any ] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
access-list id webtype { deny | permit } tcp [ host ip_address | ip_address subnet_mask | any ] [ oper port [ port ]] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
no access-list id webtype { deny | permit } tcp [ host ip_address | ip_address subnet_mask | any ] [ oper port [ port ]] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
シンタックスの説明
デフォルト
• 特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
• log オプション キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは、6(情報)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list webtype コマンドは、WebVPN フィルタリングを設定するために使用されます。指定する URL は、全体でも一部(ファイル指定なし)でもよく、サーバを示すワイルドカードを含めることも、ポートを指定することもできます。
有効なプロトコル識別子は、http、https、cifs、imap4、pop3、および smtp です。URL に any キーワードを含めて、すべての URL を指すことができます。アスタリスクを使用して、DNS 名のサブコンポーネントを指すこともできます。
例
次の例は、特定の企業の URL へのアクセスを拒否する方法を示しています。
次の例は、特定のファイルへのアクセスを拒否する方法を示しています。
次の例は、すべての場所へのポート 8080 経由の HTTP アクセスを拒否する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
accounting-mode
アカウンティング メッセージが 1 台のサーバに送信されるか(シングルモード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定するには、AAA サーバ グループ モードで accounting-mode コマンドを使用します。アカウンティング モードの指定を削除するには、このコマンドの no 形式を使用します。
accounting-mode { simultaneous | single }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 台のサーバにアカウンティング メッセージを送信するには、 single キーワードを使用します。サーバ グループ内のすべてのサーバにアカウンティング メッセージを送信するには、 simultaneous キーワードを使用します。
このコマンドは、アカウンティング(RADIUS または TACACS+)にサーバ グループを使用する場合に限り有効です。
例
次の例は、 accounting-mode コマンドを使用して、グループ内のすべてのサーバにアカウンティング メッセージを送信する方法を示しています。
aaa-server svrgrp1 protocol tacacs+
counting-mode simultaneous
exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ グループ コンフィギュレーション モードに入って、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-port
特定のホストの RADIUS アカウンティングに使用するポート番号を指定するには、AAA サーバ ホスト モードで accounting-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、アカウンティング レコードの送信先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。
シンタックスの説明
デフォルト
デフォルトでは、デバイスはポート 1646 で RADIUS アカウンティングをリッスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS アカウンティングのデフォルト ポート番号(1646)が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RADIUS アカウンティング サーバが 1646 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、セキュリティ アプライアンスで適切なポートを設定する必要があります。
例
次の例では、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、アカウンティング ポートを 2222 に設定しています。
aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry-interval 7
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入ります。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-server-group
アカウンティング レコード送信用の AAA サーバ グループを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで accounting-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
accounting-server-group server-group
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、webvpn コンフィギュレーション モードからトンネル グループ一般アトリビュート コンフィギュレーション モードに変更されました。 |
使用上のガイドライン
例
トンネル グループ一般アトリビュート コンフィギュレーション モードに入る次の例では、IPSec LAN-to-LAN トンネル グループ「xyz」に「aaa-server123」という名前のアカウンティング サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
accounting-server-group(webvpn)
WebVPN または電子メール プロキシで使用するアカウンティング サーバ グループを指定するには、 accounting-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。コンフィギュレーションからアカウンティング サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、アカウンティングを使用して、ユーザがアクセスするネットワーク リソースを追跡します。
accounting-server-group group tag
シンタックスの説明
設定済みのアカウンティング サーバまたはサーバ グループを指定します。アカウンティング サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。accounting-server-group コマンドは、トンネル グループ一般アトリビュート コンフィギュレーション モードで使用されるようになりました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、WEBVPNACCT という名前のアカウンティング サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、POP3SSVRS という名前のアカウンティング サーバ グループを使用するように POP3S 電子メール プロキシを設定する方法を示しています。
hostname(config)# pop3s
関連コマンド
|
|
|
|---|---|
フィードバック