AAA とローカル データベースについて
ここでは、AAA とローカル データベースについて説明します。
認証
認証はユーザーを特定する方法です。アクセスが許可されるには、ユーザーは通常、有効なユーザー名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
次の項目を認証するように、Cisco ASA を設定できます。
-
ASA へのすべての管理接続(この接続には、次のセッションが含まれます)
-
[Telnet]
-
SSH
-
シリアル コンソール
-
ASDM(HTTPS を使用)
-
VPN 管理アクセス
-
-
enable コマンド
-
ネットワーク アクセス層
-
VPN アクセス
認証
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザーが持っているのかを判断します。ユーザーが認証されると、そのユーザーはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。
次の項目を認可するように、ASA を設定できます。
-
管理コマンド
-
ネットワーク アクセス層
-
VPN アクセス
アカウンティング
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証、認可、アカウンティング間の相互作用
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。
AAA サーバーおよびサーバーグループ
AAA サーバーは、アクセス制御に使用されるネットワーク サーバーです。認証は、ユーザを識別します。認可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
外部 AAA サーバーを使用する場合は、まず外部サーバーで使用するプロトコルに応じた AAA サーバーグループを作成し、そのグループにサーバーを追加する必要があります。プロトコルごとに複数のグループを作成し、使用するすべてのプロトコルについてグループを分けることができます。各サーバー グループは、あるサーバーまたはサービスに固有です。
グループの作成方法の詳細については、次のトピックを参照してください。
Kerberos Constrained Delegation および HTTP Form の使用の詳細については、 VPN 構成ガイドを参照してください。
次の表に、ローカルデータベースを含むサポートされるサーバーのタイプとその用途の概要を示します。
サーバータイプとサービス |
認証 |
許可 |
アカウンティング |
---|---|---|---|
ローカル データベース |
|||
|
対応 |
対応 |
非対応 |
|
対応 |
非対応 |
× |
|
対応 |
対応 |
非対応 |
RADIUS |
|||
|
対応 |
対応 |
対応 |
|
対応 |
対応 |
対応 |
|
対応 |
対応 |
対応 |
TACACS+ |
|||
|
対応 |
対応 |
対応 |
|
対応 |
非対応 |
対応 |
|
対応 |
対応 |
対応 |
LDAP |
|||
|
対応 |
非対応 |
× |
|
対応 |
対応 |
非対応 |
|
対応 |
非対応 |
× |
Kerberos |
|||
|
対応 |
非対応 |
× |
|
対応 |
非対応 |
× |
|
対応 |
非対応 |
× |
SDI(RSA SecurID) |
|||
|
対応 |
非対応 |
× |
|
対応 |
非対応 |
× |
|
対応 |
非対応 |
× |
HTTP Form |
|||
|
非対応 |
× |
× |
|
対応 |
非対応 |
× |
|
非対応 |
× |
× |
注記
|
ローカル データベースについて
ASA は、ユーザー プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバーの代わりにローカル データベースを使用して、ユーザー認証、認可、アカウンティングを提供することもできます。
次の機能にローカル データベースを使用できます。
-
ASDM ユーザーごとのアクセス
-
コンソール認証
-
Telnet 認証および SSH 認証
-
enable コマンド認証
この設定は、CLI アクセスにだけ使用され、Cisco ASDM ログインには影響しません。
-
コマンド許可
ローカル データベースを使用するコマンド許可を有効にすると、Cisco ASA では、ユーザー特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド許可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。 ASDM には、コマンドへの割り当てをイネーブルにできる特権レベルが事前に定義されています。割り当てることができるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。事前定義済みのレベルを使用する場合は、ユーザーを 3 種類の特権レベルのいずれかに割り当てます。
-
ネットワーク アクセス認証
-
VPN クライアント認証
マルチ コンテキスト モードの場合、システム実行スペースでユーザー名を設定し、login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカル データベースを参照する AAA ルールは設定できません。
(注) |
ローカル データベースはネットワーク アクセス認可には使用できません。 |
フォールバック サポート
ローカル データベースは、複数の機能のフォールバック方式として動作できます。この動作は、ASA から誤ってロックアウトされないように設計されています。
ログインすると、コンフィギュレーション内で指定されている最初のサーバーから、応答があるまでグループ内のサーバーが順に 1 つずつアクセスされます。グループ内のすべてのサーバーが使用できない場合、ローカル データベースがフォールバック方式(管理認証および許可限定)として設定されていると、ASA はローカル データベースに接続しようとします。フォールバック方式として設定されていない場合、ASA は引き続き AAA サーバーにアクセスしようとします。
フォールバック サポートを必要とするユーザーについては、ローカル データベース内のユーザー名およびパスワードと、AAA サーバー上のユーザー名およびパスワードとを一致させることを推奨します。これにより、透過フォールバックがサポートされます。ユーザーは、AAA サーバーとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザー名およびパスワードとは異なるユーザー名およびパスワードを AAA サーバーで使用することは、指定するべきユーザー名とパスワードをユーザーが確信できないことを意味します。
ローカル データベースでサポートされているフォールバック機能は次のとおりです。
-
コンソールおよびイネーブル パスワード認証:グループ内のサーバーがすべて使用できない場合、ASA ではローカル データベースを使用して管理アクセスを認証します。これには、イネーブル パスワード認証が含まれる場合があります。
-
コマンド許可:グループ内の TACACS+ サーバーがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカル データベースが使用されます。
-
VPN 認証および認可:VPN 認証および認可は、通常この VPN サービスをサポートしている AAA サーバーが使用できない場合、ASA へのリモート アクセスをイネーブルにするためにサポートされます。管理者である VPN クライアントが、ローカル データベースへのフォールバックを設定されたトンネル グループを指定する場合、AAA サーバー グループが使用できない場合でも、ローカル データベースが必要な属性で設定されていれば、VPN トンネルが確立できます。
グループ内の複数のサーバーを使用したフォールバックの仕組み
サーバー グループ内に複数のサーバーを設定し、サーバー グループのローカル データベースへのフォールバックをイネーブルにしている場合、ASA からの認証要求に対してグループ内のどのサーバーからも応答がないと、フォールバックが発生します。次のシナリオで例証します。
サーバー 1、サーバー 2 の順で、LDAP サーバー グループに 2 台の Active Directory サーバーを設定します。リモート ユーザーがログインすると、ASA によってサーバー 1 に対する認証が試みられます。
サーバー 1 から認証エラー(「user not found」など)が返されると、ASA によるサーバー 2 に対する認証は試みられません。
タイムアウト期間内にサーバ 1 から応答がないと(または認証回数が、設定されている最大数を超えている場合)、ASA によってサーバ 2 に対する認証が試みられます。
グループ内のどちらのサーバーからも応答がなく、ASA にローカル データベースへのフォールバックが設定されている場合、ASA によってローカル データベースに対する認証が試みられます。