AAA サーバーキーの取得の自動化
Firewall 移行ツール 3.0 は、ローカルユーザー、Radius、および Live Connect ASA の LDAP/LDAPS/AD サーバーに使用されるキーの取得を自動化するか、または more system: running-config コマンドをアップロードする場合。また、すべてのキーを手動で取得し、 の下の [AAA] セクションに入力することもできます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firewall 移行ツール 3.0 は、ローカルユーザー、Radius、および Live Connect ASA の LDAP/LDAPS/AD サーバーに使用されるキーの取得を自動化するか、または more system: running-config コマンドをアップロードする場合。また、すべてのキーを手動で取得し、 の下の [AAA] セクションに入力することもできます。
ASA with FirePOWER Services では、構成したキーは暗号化されたハッシュとして保存されます。ただし、showrun コマンドを使用すると、実行構成でキーがクリアテキストで表示されることはありません。キーは、ローカルユーザー、Radius と LDAP、LDAPS、または AD サーバーに使用されます。クリアテキスト形式でキーを取得するには、次の手順を実行します。
ステップ 1 |
SSH コンソールを介して ASA に接続します。 |
||
ステップ 2 |
more system:running-config コマンドを入力します。 |
||
ステップ 3 |
aaa-server and local user セクションに移動してクリアテキスト形式のすべての AAA 構成と対応するキー値を見つけます。
|
グローバル SSL プロトコル
IKEv2 プロトコル
インターフェイス証明書
SAML
ASAASA with FirePOWER Services では、トラストポイントモデルを使用して、証明書を構成に保存します。トラストポイントは、証明書が保存されるコンテナです。ASAASA with FirePOWER Services トラストポイントは最大 2 つの証明書を保存できます。
ASAASA with FirePOWER Services 構成ファイルの ASAASA with FirePOWER Services トラストポイントまたは証明書にはハッシュ値が含まれています。したがって、それらを管理センターに直接インポートすることはできません。
インポート先の管理センターで、移行前アクティビティの一環として、ASAASA with FirePOWER Services トラストポイントまたは VPN 証明書を PKI オブジェクトとして手動で移行します。
ステップ 1 |
次のコマンドを使用し、CLI を介してインポート元の ASAASA with FirePOWER Services 構成から PKI 証明書をキーとともに PKCS12 ファイルにエクスポートします。
|
ステップ 2 |
PKI 証明書を管理センターにインポートします([オブジェクト管理(Object Management)] [PKI オブジェクト(PKI Objects)]。 詳細については、『Firewall Management Center Configuration Guide』[英語] を参照してください。 手動で作成した PKI オブジェクトは、[リモートアクセス VPN(Remote Access VPN)] の [トラストポイント(Trustpoint )] セクションにある [確認と検証(Review and Validate )] ページの Firewall 移行ツールで使用できるようになりました。 |
AnyConnect プロファイルはオプションであり、管理センターまたは Firewall 移行ツールを介してアップロードできます。
管理センターのリモートアクセス VPN には、1 つ以上の AnyConnect パッケージが必要です。
構成が Hostscan と外部ブラウザパッケージで構成されている場合は、これらのパッケージをアップロードする必要があります。
移行前のアクティビティの一環として、すべてのパッケージを管理センターに追加する必要があります。
Dap.xml と Data.xml は、Firewall 移行ツールを介して追加する必要があります。
ステップ 1 |
次のコマンドを使用して、必要なパッケージを送信元 ASA から FTP または TFTP サーバーにコピーします。
|
ステップ 2 |
ダウンロードしたパッケージを管理センターにインポートします( )。
手動でアップロードされたファイルが Firewall 移行ツールで使用できるようになりました。 |
暗号化が LDAPS に設定されている AAA サーバーの場合、ASA は IP とホスト名またはドメインをサポートしますが、管理センターはホスト名またはドメインのみをサポートします。ASA 構成にホスト名またはドメインが含まれている場合、それらが取得されて表示されます。ASA 構成に LDAPS の IP アドレスが含まれている場合は、[リモートアクセス VPN(Remote Access VPN)] の下の [AAA] セクションにドメインを入力します。AAA サーバーの IP アドレスに解決できるドメインを入力する必要があります。
タイプが AD の AAA サーバー(サーバータイプは ASA 構成で Microsoft)の場合、[AD プライマリドメイン(AD Primary Domain)] は管理センターで構成する必須フィールドです。このフィールドは ASA では個別に構成されず、ASA の LDAP-base-dn 構成から抽出されます。
If the ldap-base-dn is: ou=Test-Ou,dc=gcevpn,dc=com
[AD プライマリドメイン(AD Primary Domain)] は、プライマリドメインを形成する dc、dc=gcevpn、dc=com で始まるフィールドです。AD プライマリドメインは gcevpn.com になります。
LDAP-base-dn のサンプルファイル:
cn=asa,OU=ServiceAccounts,OU=abc,dc=abc,dc=com:
ここで、dc=abc と dc=com が abc.com として結合され、AD プライマリドメインが形成されます。
cn=admin, cn=users, dc=fwsecurity, dc=cisco, dc=com:
AD プライマリドメインは fwsecurity.cisco.com です。
AD プライマリドメインは自動的に取得され、Firewall 移行ツールに表示されます。
(注) |
AD プライマリドメインの値は、レルムオブジェクトごとに一意である必要があります。競合が検出された場合か、または Firewall 移行ツールが ASA 構成で値を見つけられない場合は、特定のサーバーの AD プライマリドメインを入力するように求められます。AD プライマリドメインを入力して構成を検証します。 |