Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド Version 8.0

必要な情報

適応型セキュリティ アプライアンスの設定を開始して AnyConnect SSL VPN 接続を受け付けるには、事前に必ず次の情報を準備します。

• リモート ユーザの接続先である、適応型セキュリティ アプライアンス上のインターフェイスの名前。

• デジタル証明書。

適応型セキュリティ アプライアンスは、デフォルトで自己署名証明書を生成します。ただし、より高度なセキュリティのためには、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。

• IP プールで使用される IP アドレスの範囲。これらのアドレスは、接続が成功すると SSL AnyConnect VPN クライアントに割り当てられます。

• ローカル認証データベースの作成に使用されるユーザのリスト（認証に AAA サーバを使用する場合を除く）。

• 認証に AAA サーバを使用している場合：

–AAA サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–認証に使用する適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバでの認証を行うための秘密鍵

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。

ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username および Password フィールドはブランクのままにします。

（注） デフォルトで、Cisco ASDM Launcher には Username および Password は設定されていません。

ステップ 4 OK をクリックします。

ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。

ASA は更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。

ASDM のメイン ウィンドウが表示されます。

Cisco AnyConnect VPN Client のための適応型セキュリティ アプライアンスの設定

設定プロセスを開始するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、 SSL VPN Wizard を選択します。SSL VPN Wizard の Step 1 画面が表示されます。

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順を実行します。

a. Cisco SSL VPN Client チェックボックスをオンにします。

b. Next をクリックして続行します。

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順を実行します。

ステップ 1 リモート ユーザの接続先の接続名を指定します。

ステップ 2 SSL VPN Interface ドロップダウン リストで、リモート ユーザの接続先のインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストで、ASA が認証のためにリモート ユーザに送信する証明書を選択します。

（注） 適応型セキュリティ アプライアンスは、デフォルトで自己署名証明書を生成します。ただし、より高度なセキュリティのためには、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。

ステップ 4 Next をクリックして続行します。

ユーザ認証方式の指定

SSL VPN Wizard の Step 3 で、次の手順を実行します。

ステップ 1 認証に AAA サーバまたはサーバ グループを使用している場合は、次の手順を実行します。

a. Authenticate using a AAA server group オプション ボタンをクリックします。

b. AAA サーバ グループ名を指定します。

c. 既存の AAA サーバ グループ名をドロップダウン リストから選択するか、または New をクリックして、新しいサーバ グループを作成します。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次のものを指定します。

–サーバ グループ名

–使用する認証プロトコル（RADIUS、TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバとの通信に使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順を実行してグループ ポリシーを指定します。

ステップ 1 Create new group policy オプション ボタンをクリックして、グループ名を指定します。

あるいは、

Modify existing group policy オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。

ステップ 2 Next をクリックします。

ステップ 3 SSL VPN Wizard の Step 5 が表示されます。このステップは AnyConnect VPN Client 接続には適用されないため、もう一度 Next をクリックします。

Cisco AnyConnect VPN Client の設定

リモート クライアントが Cisco VPN Client を使用してネットワークにアクセスできるようにするには、正常に接続したときにリモート VPN クライアントに割り当てることができる IP アドレスのプールを設定する必要があります。このシナリオでは、IP アドレス 209.165.201.1 ～ 209.166.201.20 を使用するようにプールを設定します。

また、適応型セキュリティ アプライアンスがユーザにプッシュできるようにするため、AnyConnect ソフトウェアのロケーションも指定する必要があります。

SSL VPN Wizard の Step 6 で、次の手順を実行します。

ステップ 1 事前設定済みのアドレス プールを使用するには、IP Address Pool ドロップダウン リストからアドレス プールの名前を選択します。

ステップ 2 あるいは、New をクリックして、新しいアドレス プールを作成します。

ステップ 3 AnyConnect VPN Client ソフトウェア イメージのロケーションを指定します。

最新バージョンのソフトウェアを入手するには、cisco.com で Download Latest AnyConnect VPN Client をクリックします。この操作により、クライアント ソフトウェアが PC にダウンロードされます。

ステップ 4 Next をクリックして続行します。

リモートアクセス VPN 設定の確認

SSL VPN Wizard の Step 7 で、設定を見直して正しいことを確認します。表示される設定は、次のようになります。

設定が正しいことを確認したら、 Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。

次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。

設定変更を保存しない場合は、次回のデバイス起動時に以前の設定が有効になります。