- シスコASA FirePOWER モジュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラフィックの制御
- レピュテーション ベースのルールによるトラフィックの制御
- アクセス コントロール ルール:レルムとユーザ
- アクセス コントロール ルール:カスタム セキュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御
- インテリジェント アプリケーション バイパス
- コンテンツ制限を使用したアクセス コントロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ポリシーの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリシーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブロッキング
- ネットワーク トラフィックの接続のロギング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードの ASA FirePOWER 使用
- ASA FirePOWER レポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWER モジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月19日
章のタイトル: アクセス コントロール ルール:レルムとユーザ
アクセス コントロール ルール:レルムとユーザ
レルム、ユーザ、ユーザ グループ、および ISE 属性のアクセス コントロール ルール条件
ユーザ制御を実行する(レルム全体、個々のユーザ、ユーザ グループ、または ISE 属性に基づいてアクセス コントロール ルール条件を作成する)前に、次のことを行う必要があります。
- モニタ対象の Microsoft Active Directory または LDAP サーバのそれぞれに対し、レルムを設定する。レルムに対してユーザのダウンロードを有効にすると、FirePOWER Management Center は定期的および自動的に、新規に報告されたかすでに報告済みの権限のあるユーザおよびユーザ グループのメタデータをダウンロードするようサーバに照会します。
- レルムを認証方式に関連付けるために、アイデンティティ ポリシーを作成する。
- 1 つ以上のユーザ エージェントまたは ISE デバイス、あるいはキャプティブ ポータルを設定する。ISE 属性の条件を使用するには、ISE を設定する必要があります。
ユーザ エージェント、ISE およびキャプティブ ポータルは、アクセス コントロール ルール条件でユーザ制御に使用できる、権限のあるユーザ データを収集します。アイデンティティ ソースは、指定したユーザがホストにログイン、ログアウトしたり、LDAP または AD クレデンシャルを使用して認証する際にモニタします。
(注
) ユーザ エージェントまたは ISE デバイスのモニタ対象に多くのユーザ グループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、FirePOWER Management Center のユーザ制限が原因で、システムがグループに基づいてユーザ マッピングをドロップすることがあります。その結果、レルム、ユーザ、またはユーザ グループ条件をもつアクセス コントロール ルールが想定どおりに適用されない可能性があります。
1 つのユーザ条件で、最大 50 のレルム、ユーザおよびグループを [選択されたユーザ(Selected Users)] に追加できます。ユーザ グループを持つ条件は、そのグループのメンバー(サブグループのメンバーを含む)のいずれかが送信元/宛先であるトラフィックを照合します。ただし、個別に除外されたユーザと、除外されたサブグループのメンバーは含まれません。
ユーザ グループを含めると、自動的に、すべてのセカンダリ グループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでセカンダリ グループを使用する場合は、明示的にセカンダリ グループを含める必要があります。
(注) アクセス コントロール ルールがネットワーク トラフィックを評価する前に、ハードウェア ベースの高速パス ルール、セキュリティ インテリジェンス ベースのトラフィック フィルタリング、SSL インスペクション、ユーザ識別、および一部のデコードと前処理が行われます。
ユーザ アクセス コントロール ルールに関するトラブルシューティング
ユーザ アクセス コントロール ルールの予期しない動作に気付いたら、ルール、アイデンティティ ソース、またはレルムの設定を調整することを検討してください。
レルム、ユーザ、またはユーザ グループに対するアクセス コントロール ルールが適用されない
ユーザ エージェントまたは ISE デバイスのモニタ対象に多くのユーザ グループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、FirePOWER Management Center のユーザ制限が原因で、システムがユーザ レコードをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するアクセス コントロール ルールが想定どおりに適用されない可能性があります。
ユーザ グループまたはユーザ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない
ユーザ グループ条件を含むアクセス コントロール ルールを設定する場合は、LDAP または Active Directory サーバでユーザ グループを設定している必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、FirePOWER Management Center はユーザ グループ制御を実行できません。
セカンダリ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない
Active Directory サーバのセカンダリ グループのメンバーであるユーザを含めるか除外するユーザ グループ条件を含むアクセス コントロール ルールを設定する場合、サーバは報告するユーザの数を制限していることがあります。
デフォルトでは、Active Directory サーバはセカンダリ グループから報告するユーザの数を制限します。この制限は、セカンダリ グループ内のすべてのユーザが FirePOWER Management Center に報告され、ユーザ条件を含むアクセス コントロール ルールでの使用に適するようにカスタマイズする必要があります。
アクセス コントロール ルールが、初めて表示されたユーザに一致していない
システムは、以前に表示されていないユーザからのアクティビティを検出すると、サーバから情報を取得します。システムがこの情報を正常に取得するまで、このユーザに表示されるアクティビティは、一致するアクセス コントロール ルールによって処理されません。代わりに、ユーザ セッションは、一致する次のアクセス コントロール ルール(またはアクセス コントロール ポリシーのデフォルト アクション)によって処理されます。
- ユーザ グループのメンバーであるユーザが、ユーザ グループ条件を含むアクセス コントロール ルールに一致しない。
- ユーザ データ取得に使用されたサーバが Active Directory サーバである場合に、ISE またはユーザ エージェントによって報告されたユーザがアクセス コントロール ルールに一致しない。
これにより、システムがユーザ データをイベント ビューおよび分析ツールに表示するのが遅れる可能性があることに注意してください。
アクセス コントロール ルールへのレルム、ユーザ、またはユーザ グループ条件の追加
- ユーザ アイデンティティ ソースの説明に従って、1 つ以上の権限のあるユーザ アイデンティティ ソースを設定します。
- レルムの作成の説明に従って、レルムを設定します。アクセス コントロール ルールでレルム、ユーザ、またはユーザ グループ条件を設定できるようにするには、その前にユーザによるダウンロード(自動またはオンデマンド)が実行される必要があります。
手順 1 アクセス コントロール ルール エディタで、[ユーザ(Users)] タブを選択します。
手順 2 [使用可能なレルム(Available Realms)] リストで名前または値で検索してレルムを選択します。
手順 3 [使用可能なユーザ(Available Users)] リストで名前または値で検索してレルムを選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。
- 設定変更を展開します。設定変更の展開を参照してください。
ISE 属性条件の設定
- ISE 接続の設定の説明に従って ISE を設定します。
手順 1 アクセス コントロール ルール エディタで、[SGT/ISE 属性(ISE Attributes)] タブをクリックします。
手順 2 [使用可能な属性(Available Attributes)] リストで、上述の名前または値で検索し、属性を選択します。
手順 3 [使用可能なメタデータ(Available Metadata)] リストで、上述の名前または値で検索し、メタデータを選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。
[ロケーションの IP アドレスの追加(Add a Location IP Address)] フィールドを使用して、条件にロケーションの IP 属性を追加することもできます。
(注) ISE 属性条件を制約するために、ISE 割り当てセキュリティ グループ タグ(SGT)を使用できます。アクセス コントロール ルールでカスタム SGT を使用するには、ISE SGT ルール条件とカスタム SGT ルール条件との比較を参照してください。
- 設定変更を展開します。設定変更の展開を参照してください。
フィードバック