接続プロファイル、グループ ポリシー、およびユーザーの概要
グループとユーザーは、バーチャル プライベート ネットワーク(VPN)のセキュリティ管理と ASA の設定における中核的な概念です。グループとユーザーで指定される属性によって、VPN へのユーザー アクセスと VPN の使用方法が決定されます。グループは、ユーザーの集合を 1 つのエンティティとして扱うものです。ユーザーの属性は、グループ ポリシーから取得されます。接続プロファイルでは、特定の接続用のグループ ポリシーを指定します。ユーザーに対して特定のグループ ポリシーを割り当てない場合は、接続のデフォルト グループ ポリシーが適用されます。
要約すると、最初に接続プロファイルを設定して、接続用の値を設定します。次に、グループ ポリシーを設定します。グループ ポリシーでは、ユーザーの集合に関する値が設定されます。その後、ユーザーを設定します。ユーザーはグループの値を継承でき、さらに個別のユーザー単位に特定の値を設定することができます。この章では、これらのエンティティを設定する方法と理由について説明します。
(注) |
接続プロファイルは、tunnel-group コマンドを使用して設定します。この章では、「接続プロファイル」と「トンネル グループ」は頻繁にほとんど同じ意味で使用されています。 |
接続プロファイルとグループ ポリシーを使用すると、システム管理が簡略化されます。コンフィギュレーション タスクを効率化するために、ASA にはデフォルトの LAN-to-LAN 接続プロファイル(DefaultL2Lgroup)、IKEv2 VPN 用のデフォルトのリモートアクセス接続プロファイル(DefaultRAgroup)、クライアントレス SSL および AnyConnect クライアント SSL 接続用のデフォルトの接続プロファイル(DefaultWEBVPNgroup)、およびデフォルトのグループポリシー(DfltGrpPolicy)が用意されています。デフォルトの接続プロファイルとグループ ポリシーでは、多くのユーザーに共通すると考えられる設定が提供されます。ユーザーを追加するときに、グループ ポリシーからパラメータを「継承」するように指定できます。これにより、数多くのユーザーに対して迅速に VPN アクセスを設定できます。
すべての VPN ユーザーに同一の権限を許可する場合は、特定の接続プロファイルやグループ ポリシーを設定する必要はありませんが、VPN がそのように使用されることはほとんどありません。たとえば、経理グループ、カスタマー サポート グループ、および MIS(経営情報システム)グループが、プライベート ネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS に所属する特定のユーザには、他の MIS ユーザにはアクセスできないシステムにアクセスを許可する場合があります。接続プロファイルとグループ ポリシーにより、このような柔軟な設定を安全に実行することができます。
(注) |
ASA には、オブジェクト グループという概念もあります。これは、ネットワーク リストのスーパーセットです。オブジェクト グループを使用すると、ポートやネットワークに対する VPN アクセスを定義することができます。オブジェクト グループは、グループ ポリシーや接続プロファイルよりも、ACL と関連があります。オブジェクト グループの使用方法の詳細については、一般的操作用コンフィギュレーション ガイドの第 20 章「Objects」を参照してください。 |
セキュリティ アプライアンスでは、さまざまなソースから属性値を適用できます。次の階層に従って、属性値を適用します。
-
Dynamic Access Policy(DAP)レコード
-
ユーザー名
-
グループ ポリシー
-
接続プロファイル用のグループ ポリシー
-
デフォルトのグループ ポリシー
そのため、属性の DAP 値は、ユーザー、グループ ポリシー、または接続プロファイル用に設定された値よりもプライオリティが高くなっています。
DAP レコードの属性をイネーブルまたはディセーブルにすると、ASA はその値を適用して実行します。たとえば、DAP webvpn コンフィギュレーション モードで HTTP プロキシをディセーブルにすると、ASA はそれ以上値を検索しません。代わりに、http-proxy コマンドの no 値を使用すると、属性は DAP レコードには存在しないため、セキュリティ アプライアンスは適用する値を見つけるために、ユーザー名および必要に応じてグローバル ポリシーの AAA 属性に移動して検索します。ASA クライアントレス SSL VPN コンフィギュレーションは、それぞれ 1 つの http-proxy コマンドと 1 つの https-proxy コマンドのみサポートしています。ASDM を使用して DAP を設定することをお勧めします。