- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: aaa accounting コマンド~ accounting-server-group コマンド
- aaa accounting command
- aaa accounting console
- aaa accounting include, exclude
- aaa accounting match
- aaa authentication console
- aaa authentication include, exclude
- aaa authentication listener
- aaa authentication match
- aaa authentication secure-http-client
- aaa authorization command
- aaa authorization exec authentication-server
- aaa authorization include, exclude
- aaa authorization match
- aaa local authentication attempts max-fail
- aaa mac-exempt
- aaa proxy-limit
- aaa-server
- aaa-server active/fail
- aaa-server host
- absolute
- accept-subordinates
- access-group
- access-list alert-interval
- access-list deny-flow-max
- access-list ethertype
- access-list extended
- access-list remark
- access-list rename
- access-list standard
- access-list webtype
- accounting-mode
- accounting-port
- accounting-server-group
aaa accounting コマンド~ accounting-server-group コマンド
aaa accounting command
CLI で show コマンド以外のコマンドを入力したときに TACACS+ アカウンティング サーバにアカウンティング メッセージを送信するには、グローバル コンフィギュレーション モードで aaa accounting command コマンドを入力します。コマンド アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting command [ privilege level ] tacacs+- server-tag
no aaa accounting command [ privilege level ] tacacs+- server-tag
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa accounting command コマンドを設定すると、管理者が入力する show コマンド以外の各コマンドが記録され、アカウンティング サーバに送信されます。
例
次に、サポート対象のコマンドについてアカウンティング レコードが生成され、それらのレコードが adminserver という名前のグループからサーバに送信されることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
TACACS+ または RADIUS ユーザ アカウンティングをイネーブルまたはディセーブルにします(aaa-server コマンドで指定したサーバで)。 |
|
aaa accounting console
管理者アクセスの AAA アカウンティングのサポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting console コマンドを使用します。管理者アクセスの AAA アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { serial | telnet | ssh | enable } console server-tag
no aaa accounting { serial | telnet | ssh | enable } console server-tag
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、イネーブル アクセスについてアカウンティング レコードが生成され、それらのレコードが adminserver という名前のサーバに送信されることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
TACACS+ または RADIUS ユーザ アカウンティングをイネーブルまたはディセーブルにします(aaa-server コマンドで指定したサーバで)。 |
|
管理者/ユーザが入力する各コマンド(または、指定した特権レベル以上のコマンド)が記録され、アカウンティング サーバに送信されることを指定します。 |
|
aaa accounting include, exclude
セキュリティ アプライアンスを介した TCP または UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting include コマンドを使用します。アカウンティングからアドレスを除外するには、 aaa accounting exclude コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
no aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、セキュリティ アプライアンスを通過する任意の TCP トラフィックまたは UDP トラフィックについてのアカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。そのトラフィックも認証されている場合、AAA サーバはユーザ名でアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、セキュリティ アプライアンスを通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。
このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。
アクセス リストで指定されているトラフィックのアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
セキュリティが同じインターフェイス間で aaa accounting include および exclude コマンドを使用することはできません。その場合は、 aaa accounting match コマンドを使用する必要があります。
例
次に、すべての TCP 接続でアカウンティングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa accounting match
セキュリティ アプライアンス を介した TCP および UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting match コマンドを使用します。トラフィックのアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting match acl_name interface_name server_tag
no aaa accounting match acl_name interface_name server_tag
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、セキュリティ アプライアンスを通過する任意の TCP トラフィックまたは UDP トラフィックについてのアカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。そのトラフィックも認証されている場合、AAA サーバはユーザ名でアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、セキュリティ アプライアンスを通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。
このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。
AAA サーバ プロトコル コンフィギュレーション モードで accounting-mode コマンドを使用して同時アカウンティングをイネーブルにしない限り、アカウンティング情報はサーバ グループ内のアクティブなサーバにのみ送信されます。
aaa accounting match コマンドは、 aaa accounting include および exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
例
次に、特定のアクセス リスト acl2 と一致するトラフィックのアカウンティングをイネーブルにする例を示します。
hostname(config)# access-list acl12 extended permit tcp any any
関連コマンド
|
|
|
aaa authentication console
シリアル、SSH、HTTPS(ASDM)、または Telnet 接続でセキュリティ アプライアンス CLI にアクセスするユーザを認証するか、 enable コマンドを使用して特権 EXEC モードにアクセスするユーザを認証するには、グローバル コンフィギュレーション モードで aaa authentication console コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication { serial | enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}
no aaa authentication { serial | enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}
構文の説明
デフォルト
デフォルトでは、ローカル データベースへのフォールバックはディセーブルになっています。
aaa authentication telnet console コマンドが定義されていない場合は、セキュリティ アプライアンスのログイン パスワード( password コマンドで設定)で、セキュリティ アプライアンス CLI にアクセスできます。
aaa authentication http console コマンドが定義されていない場合は、ユーザ名およびセキュリティ アプライアンスのイネーブル パスワード( enable password コマンドで設定)なしで、セキュリティ アプライアンスに(ASDM 経由で)アクセスできます。aaa コマンドが定義されているが、HTTPS 認証によってタイムアウトが要求される場合(AAA サーバがダウンしているか使用できないことを意味する)は、デフォルトの管理者ユーザ名とイネーブル パスワードを使用してセキュリティ アプライアンスにアクセスできます。デフォルトでは、イネーブル パスワードは設定されていません。
aaa authentication ssh console コマンドが定義されていない場合、ユーザ名 pix とセキュリティ アプライアンスのイネーブル パスワード( enable password コマンドで設定)を使用してセキュリティ アプライアンス CLI にアクセスできます。デフォルトでは、イネーブル パスワードは空白です。この動作は、AAA を設定しないでセキュリティ アプライアンスにログインする場合とは異なります。その場合は、ログイン パスワード( password コマンドで設定)を使用します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスで Telnet ユーザまたは SSH ユーザを認証する前に、 telnet コマンドまたは ssh コマンドを使用してセキュリティ アプライアンスへのアクセスを設定する必要があります。これらのコマンドでは、セキュリティ アプライアンスとの通信を許可する IP アドレスを指定します。
セキュリティ アプライアンスに接続した後、ログインしてユーザ EXEC モードにアクセスします。
•
Telnet の認証をイネーブルにしていない場合は、ユーザ名を入力しません。ログイン パスワード( password コマンドで設定)を入力します。SSH の場合、ユーザ名に「pix」と入力し、ログイン パスワードを入力します。
• このコマンドを使用して Telnet または SSH 認証をイネーブルにした場合は、AAA サーバまたはローカル ユーザ データベースで定義されているユーザ名とパスワードを入力します。
特権 EXEC モードを開始するには、 enable コマンドまたは login コマンドを入力します(ローカル データベースのみを使用している場合)。
• enable 認証を設定していない場合は、 enable コマンドを入力するときにシステム イネーブル パスワード( enable password コマンドで設定)を入力します。ただし、enable 認証を使用しない場合、 enable コマンドを入力した後は、特定のユーザとしてログインしていません。ユーザ名を維持するには、enable 認証を使用してください。
• enable 認証を設定している場合、セキュリティ アプライアンスによってユーザ名とパスワードの入力が求められます。
ローカル データベースを使用する認証の場合、 login コマンドを使用できます。このコマンドでは、ユーザ名は維持されますが、認証をオンにするコンフィギュレーションは必要ありません。
デフォルトでは、ブランクのユーザ名と enable password コマンドによって設定されたイネーブル パスワードを使用して ASDM にログインできます。ただし、ログイン画面で(ユーザ名をブランクのままにしないで)ユーザ名とパスワードを入力した場合は、ASDM によってローカル データベースで一致がチェックされます。
このコマンドを使用して HTTPS 認証を設定し、ローカル データベースを指定できますが、その機能はデフォルトで常にイネーブルです。AAA サーバを認証に使用する場合、設定する必要があるのは HTTPS 認証のみです。HTTPS 認証では AAA サーバ グループ用の SDI プロトコルがサポートされません。HTTPS 認証のユーザ名プロンプトの最大長は 30 文字です。パスワードの最大長は 16 文字です。
マルチ コンテキスト モードでは、システム コンフィギュレーションで AAA コマンドを設定できません。
次の表に示すように、 aaa authentication console コマンドで選択するオプションによって、セキュリティ アプライアンス CLI への認証されたアクセスに対するプロンプトのアクションは異なります。
|
|
|
|---|---|
aaa authorization exec authentication-server コマンドを使用して管理認可を設定し、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)を、CLI、ASDM、または enable コマンドへのアクセスを制限できます。
(注) シリアル アクセスは管理認証に含まれないため、aaa authentication serial console を設定している場合は、認証したユーザはすべてコンソール ポートにアクセスできます。
ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。
• RADIUS または LDAP(マッピングされた)ユーザ:次の値のいずれかについて、Service-Type 属性を設定します (LDAP 属性をマッピングするには、 ldap attribute-map コマンドを参照してください)。
– Service-Type 6(管理): aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
– Service-Type 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。
– Service-Type 5(発信):管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。リモート アクセス(IPSec および SSL)ユーザは、引き続き自身のリモート アクセス セッションを認証および終了できます。
• TACACS+ ユーザ:「service=shell」で認可が要求され、サーバは PASS または FAIL で応答します。
– PASS、特権レベル 1: aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
– PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。
– FAIL:管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。
• ローカル ユーザ: service-type コマンドを設定します。デフォルトの service-type は admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
例
次に、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で、aaa authentication console コマンドを使用する例を示します。
次に、サーバ グループ「AuthIn」をイネーブル認証用に指定する例を示します。
次に、aaa authentication console コマンドを使用して、グループ「svrgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックさせる例を示します。
hostname(config)# aaa-server svrgrp1 protocol tacacs
関連コマンド
|
|
|
aaa authentication include, exclude
セキュリティ アプライアンスを経由する接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication include コマンドを使用します。認証からアドレスを除外するには、 aaa authentication exclude コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }
no aaa authentication { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }
構文の説明
サービスおよびアドレスが include コマンドによってすでに指定されている場合に、指定したサービスおよびアドレスを認証から除外します。 |
|
認証が必要なサービスおよび IP アドレスを指定します。include ステートメントで指定されないトラフィックは処理されません。 |
|
セキュリティの高い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。すべてのホストを指定するには、0 を指定します。 |
|
内部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。 |
|
(任意)セキュリティの低い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。すべてのホストを指定するには、0 を指定します。 |
|
(任意)外部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。 |
|
認証が必要なサービスを指定します。次のいずれかの値を指定できます。 • • プロトコルまたはサービスへのネットワーク アクセス認証を要求するようにセキュリティ アプライアンスを設定することは、すべてのプロトコルまたはサービスについて可能ですが、ユーザが直接認証を受けることができるのは、HTTP、HTTPS、Telnet、または FTP だけです。ユーザがこれらのサービスのいずれかの認証を受けないと、セキュリティ アプライアンスは認証が必要な他のトラフィックを許可しません。詳細については、「 使用上のガイドライン 」を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクセス リストで指定されているトラフィックの認証をイネーブルにするには、 aaa authentication match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
セキュリティが同じインターフェイス間で aaa authentication include および exclude コマンドを使用することはできません。その場合は、 aaa authentication match コマンドを使用する必要があります。
TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
所定の IP アドレスのユーザは、認証セッションが期限切れになるまで、すべてのルールおよびタイプに対して一度だけ認証を受ける必要があります (タイムアウト値については timeout uauth コマンドを参照してください)。たとえば、セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。
HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」ストリングをキャッシュして、当該サイトへの後続の接続すべてに使用するためです。このストリングがクリアされるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
プロトコルまたはサービスへのネットワーク アクセス認証を要求するようにセキュリティ アプライアンスを設定することは、すべてのプロトコルまたはサービスについて可能ですが、ユーザが直接認証を受けることができるのは、HTTP、HTTPS、Telnet、または FTP だけです。ユーザがこれらのサービスのいずれかの認証を受けないと、セキュリティ アプライアンスは認証が必要な他のトラフィックを許可しません。
セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは固定値です。
Telnet および FTP の場合、セキュリティ アプライアンスは認証プロンプトを生成します。
HTTP の場合、セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
HTTPS の場合、セキュリティ アプライアンスはカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、セキュリティ アプライアンスでの直接認証もサポートしています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。
正常に認証されると、セキュリティ アプライアンスにより元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。
(注) aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントからセキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。
FTP の場合、セキュリティ アプライアンス ユーザ名、アット マーク(@)、FTP ユーザ名(name1@name2)を入力するオプションがあります。パスワードには、セキュリティ アプライアンス パスワード、アット マーク(@)、FTP パスワード(password1@password2)を入力します。たとえば、次のテキストを入力します。
この機能は、複数のログインを必要とするファイアウォールをカスケード接続している場合に有用です。複数の名前およびパスワードは、複数のアット マーク(@)で区切ることができます。
許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。
|
|
|
|---|---|
HTTP 認証では、スタティック PAT が設定されている場合、セキュリティ アプライアンスは実際のポートをチェックします。セキュリティ アプライアンスは、マッピング ポートにかかわらず、実際のポート 80 を宛先とするトラフィックを検出した場合、HTTP 接続を代行受信し、認証を実行します。
たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。
この場合、ユーザはポート 889 で 10.48.66.155 にアクセスを試み、セキュリティ アプライアンスはそのトラフィックを代行受信して、HTTP 認証を実行します。セキュリティ アプライアンスが HTTP 接続の完了を許可する前に、ユーザの Web ブラウザには HTTP 認証ページが表示されます。
次の例のように、ローカル ポートがポート 80 ではないとします。
この場合、ユーザには認証ページは表示されません。代わりに、セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。
HTTP、HTTPS、Telnet、または FTP がセキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用してセキュリティ アプライアンスで直接認証できます。
インターフェイスの AAA をイネーブルにすると、次の URL でセキュリティ アプライアンスの直接認証を受けることができます。
または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザはセキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、セキュリティ アプライアンスが Telnet プロンプトを表示します。
例
次に、外部インターフェイスで TCP トラフィックを認証に含める例を示します。内部 IP アドレス 192.168.0.0 およびネットマスク 255.255.0.0、すべてのホストの外部 IP アドレスを指定し、tacacs+ という名前のサーバ グループを使用します。2 番めのコマンドラインでは、外部インターフェイスで Telnet トラフィックを除外します。内部アドレス 192.168.38.0、すべてのホストの外部 IP アドレスを指定します。
次に、interface-name パラメータの使用方法を示す例を示します。セキュリティ アプライアンスには、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0(サブネット マスク 255.255.255.224)、および境界ネットワーク 209.165.202.128(サブネット マスク 255.255.255.224)があります。
次の例では、内部ネットワークから外部ネットワークへの接続の認証をイネーブルにします。
次の例では、内部ネットワークから境界ネットワークへの接続の認証をイネーブルにします。
次の例では、外部ネットワークから内部ネットワークへの接続の認証をイネーブルにします。
次の例では、外部ネットワークから境界ネットワークへの接続の認証をイネーブルにします。
次の例では、境界ネットワークから外部ネットワークへの接続の認証をイネーブルにします。
関連コマンド
|
|
|
HTTP 要求がセキュリティ アプライアンスを通過するのを許可する前に、セキュリティ アプライアンスに対してセキュアなユーザ認証方式を提供します。 |
|
aaa authentication listener
HTTP(S) リスニング ポートでネットワーク ユーザを認証できるようにするには、グローバル コンフィギュレーション モードで aaa authentication listener コマンドを使用します。リスニング ポートをイネーブルにすると、セキュリティ アプライアンスでは直接接続に対して、およびオプションで通過トラフィックに対して認証ページを提供します。リスナーをディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]
no aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]
構文の説明
デフォルト
デフォルトでは、リスナー サービスはディセーブルであり、HTTP 接続では基本 HTTP 認証が使用されます。リスナーをイネーブルにした場合、デフォルトのポートは 80(HTTP)および 443(HTTPS)です。
7.2(1) からアップグレードする場合、リスナーはポート 1080(HTTP)および 1443(HTTPS)でイネーブルになります。 redirect オプションもイネーブルになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication listener コマンドを使用しないと、 aaa authentication match または aaa authentication include コマンドの設定後に HTTP(S) ユーザがセキュリティ アプライアンスで認証する必要があるときに、セキュリティ アプライアンスでは基本 HTTP 認証が使用されます。HTTPS の場合、セキュリティ アプライアンスはカスタム ログイン画面を生成します。
aaa authentication listener コマンドを redirect キーワードを指定して設定すると、セキュリティ アプライアンスにより、すべての HTTP(S) 認証要求はセキュリティ アプライアンスによって提供される Web ページにリダイレクトされます。
リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、セキュリティ アプライアンスでの直接認証もサポートしています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。
aaa authentication listener コマンドを redirect オプションを 指定しないで 入力した場合、セキュリティ アプライアンスでの直接認証のみがイネーブルとなり、通過トラフィックでは基本 HTTP 認証が使用されます。 redirect オプションによって、直接認証と通過トラフィック認証の両方がイネーブルになります。直接認証は、認証チャレンジをサポートしないトラフィック タイプを認証するときに役立ちます。他のサービスを使用する前に、各ユーザをセキュリティ アプライアンスで直接認証できます。
(注) redirect オプションをイネーブルにした場合、インターフェイスの IP アドレスを変換する同じインターフェイス、およびリスナー用に使用される同じポートに対して、スタティック PAT も設定することはできません。NAT は成功しますが、認証は失敗します。たとえば、次のコンフィギュレーションはサポートされません。
次のコンフィギュレーションはサポートされます。リスナーによって、ポートはデフォルトの 80 ではなく 1080 が使用されます。
例
次に、HTTP および HTTPS 接続をデフォルトのポートにリダイレクトするようにセキュリティ アプライアンスを設定する例を示します。
次に、セキュリティ アプライアンスへの直接認証要求を許可する例を示します。通過トラフィックによって基本 HTTP 認証が使用されます。
次に、HTTP および HTTPS 接続をデフォルト以外のポートにリダイレクトするようにセキュリティ アプライアンスを設定する例を示します。
関連コマンド
|
|
|
SSL をイネーブルにし、HTTP クライアントとセキュリティ アプライアンスの間のユーザ名とパスワードのセキュアな交換をイネーブルにします。 |
|
aaa authentication match
セキュリティ アプライアンス を通じた接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication match コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication match acl_name interface_name { server_tag | LOCAL }
no aaa authentication match acl_name interface_name { server_tag | LOCAL }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
所定の IP アドレスのユーザは、認証セッションが期限切れになるまで、すべてのルールおよびタイプに対して一度だけ認証を受ける必要があります (タイムアウト値については timeout uauth コマンドを参照してください)。たとえば、セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。
HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」ストリングをキャッシュして、当該サイトへの後続の接続すべてに使用するためです。このストリングがクリアされるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
プロトコルまたはサービスへのネットワーク アクセス認証を要求するようにセキュリティ アプライアンスを設定することは、すべてのプロトコルまたはサービスについて可能ですが、ユーザが直接認証を受けることができるのは、HTTP、HTTPS、Telnet、または FTP だけです。ユーザがこれらのサービスのいずれかの認証を受けないと、セキュリティ アプライアンスは認証が必要な他のトラフィックを許可しません。
セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは固定値です。
• HTTPS の場合はポート 443( aaa authentication listener コマンドが必要)
Telnet および FTP の場合、セキュリティ アプライアンスは認証プロンプトを生成します。
HTTP の場合、セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
HTTPS の場合、セキュリティ アプライアンスはカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするようにセキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。
リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、セキュリティ アプライアンスでの直接認証もサポートしています。
基本 HTTP 認証を使用し続けた方がよい場合もあります。セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。
正常に認証されると、セキュリティ アプライアンスにより元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。
(注) aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントからセキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。
FTP の場合、セキュリティ アプライアンス ユーザ名、アット マーク(@)、FTP ユーザ名(name1@name2)を入力するオプションがあります。パスワードには、セキュリティ アプライアンス パスワード、アット マーク(@)、FTP パスワード(password1@password2)を入力します。たとえば、次のテキストを入力します。
この機能は、複数のログインを必要とするファイアウォールをカスケード接続している場合に有用です。複数の名前およびパスワードは、複数のアット マーク(@)で区切ることができます。
許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。
|
|
|
|---|---|
HTTP 認証では、スタティック PAT が設定されている場合、セキュリティ アプライアンスは実際のポートをチェックします。セキュリティ アプライアンスは、マッピング ポートにかかわらず、実際のポート 80 を宛先とするトラフィックを検出した場合、HTTP 接続を代行受信し、認証を実行します。
たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。
この場合、ユーザはポート 889 で 10.48.66.155 にアクセスを試み、セキュリティ アプライアンスはそのトラフィックを代行受信して、HTTP 認証を実行します。セキュリティ アプライアンスが HTTP 接続の完了を許可する前に、ユーザの Web ブラウザには HTTP 認証ページが表示されます。
次の例のように、ローカル ポートがポート 80 ではないとします。
この場合、ユーザには認証ページは表示されません。代わりに、セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。
HTTP、HTTPS、Telnet、または FTP がセキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用してセキュリティ アプライアンスで直接認証できます。
インターフェイスの AAA をイネーブルにすると、次の URL でセキュリティ アプライアンスの直接認証を受けることができます。
または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザはセキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、セキュリティ アプライアンスが Telnet プロンプトを表示します。
例
次に、 aaa authentication match コマンドを使用する例を示します。
aaa コマンド ステートメントのリストでは、access-list コマンド ステートメント間の順序に依存します。たとえば、次のコマンドを入力します。
セキュリティ アプライアンスは、まず mylist 内の access-list コマンド ステートメント グループに一致があるか確かめ、次に yourlist 内の access-list コマンド ステートメント グループに一致があるかを確かめます。
関連コマンド
|
|
|
aaa authentication secure-http-client
SSL をイネーブルにし、HTTP クライアントとセキュリティ アプライアンスの間のユーザ名とパスワードのセキュアな交換をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication secure-http-client コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 aaa authentication secure-http-client コマンドによって、ユーザの HTTP ベース Web 要求がセキュリティ アプライアンスを通過するのを許可する前に、セキュリティ アプライアンスに対するセキュアなユーザ認証方式が提供されます。
aaa authentication secure-http-client
no aaa authentication secure-http-client
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication secure-http-client コマンドによって、(SSL を介して)HTTP クライアント認証が保護されます。このコマンドは、HTTP カットスルー プロキシ認証用に使用されます。
aaa authentication secure-http-client コマンドには、次の制限があります。
• 実行時に、最大で 16 個の HTTPS 認証プロセスが許可されます。16 個の HTTPS 認証プロセスすべてが実行されている場合、認証を必要とする 17 番めの新しい HTTPS 接続は許可されません。
• uauth timeout 0 が設定されると( uauth timeout が 0 に設定される)、HTTPS 認証は機能しない場合があります。HTTPS 認証を受けた後、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、繰り返し認証ページが表示されます。この状況を回避するには、 timeout uauth 0:0:1 コマンドで uauth timeout を 1 秒に設定します。ただし、この回避策では、同じ送信元 IP アドレスからアクセスした認証されていないユーザがファイアウォールを通過できる期間が 1 秒間発生します。
• HTTPS 認証は SSL ポート 443 で行われるため、HTTP クライアントから HTTP サーバ ポート 443 へのトラフィックをブロックするように、 access-list コマンド ステートメントを設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、最初の行でスタティック PAT が Web トラフィックに対して設定されるため、HTTPS 認証コンフィギュレーションをサポートするために 2 番めの行を追加する必要があります。
例
次に、HTTP トラフィックがセキュアに認証されるように設定する例を示します。
「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag の値を表します。
次に、HTTPS トラフィックがセキュアに認証されるように設定するコマンドを示します。
「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag の値を表します。
(注) aaa authentication secure-https-client コマンドは、HTTPS トラフィックには必要ありません。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証をイネーブルにします。 |
|
aaa authorization command
aaa authorization command コマンドでは、CLI でのコマンド実行が認可の対象かどうかを指定します。コマンド認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization command コマンドを使用します。コマンド認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization command { LOCAL | tacacs+ server_tag [ LOCAL ]}
no aaa authorization command { LOCAL | tacacs+ server_tag [ LOCAL ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
TACACS+ サーバ グループが一時的に使用できないときの LOCAL 認可へのフォールバックのサポートが追加されました。 |
|
使用上のガイドライン
デフォルトでは、ログインするとユーザ EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。 enable コマンド(または、ローカル データベースを使用するときは login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドを含む高度なコマンドにアクセスできます。コマンドへのアクセスを制御する場合には、セキュリティ アプライアンス にコマンド許可を設定し、各ユーザに許可するコマンドを制限します。
• ローカル特権レベル:セキュリティ アプライアンスでコマンド特権レベルを設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)を CLI アクセスについて認証する場合、セキュリティ アプライアンスはそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、その特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード(レベル 0 または 1 のコマンド)にアクセスします。ユーザは、特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするために再び enable コマンドで認証するか、 login コマンドでログイン(ローカル データベースに限る)できます。
(注) ローカル データベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカル コマンド許可を使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、セキュリティ アプライアンスによってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n(2 ~ 15)を入力したときに、セキュリティ アプライアンスによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにしない限り使用されません (詳細については、enable コマンドを参照してください)。
• TACACS+ サーバ特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバでチェックされます。
マルチ セキュリティ コンテキストでコマンド許可を実装する場合の重要な考慮点を次に示します。
• AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。
コマンド許可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。これにより、異なるセキュリティ コンテキストに対して異なるコマンド認可を実行できます。
セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。
• changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されたユーザ名に関係なく、管理者 ID として常にデフォルトの「enable_15」ユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド許可が設定されていない場合や、enable_15 ユーザの認可が前のコンテキスト セッションでのユーザの認可と異なる場合に、混乱が生じる可能性があります。
これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効となる、コマンド アカウンティングにも影響します。 changeto コマンドの使用が許可されているすべての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名でログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。
– changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれで enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。
– コンテキストごとに別々にコマンドを認可する場合は、 changeto コマンドの使用許可を持つ管理者に対しても拒否されるコマンドが enable_15 ユーザ名でも拒否されることを、各コンテキストで確認してください。
セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、再度 enable コマンドを入力して必要なユーザ名を使用できます。
(注) システム実行スペースでは aaa コマンドはサポートされません。したがって、システム実行スペースではコマンド認可は使用できません。
• aaa authentication enable console コマンドを使用して、ローカル、RADIUS、または LDAP 認証の enable 認証を設定します。
enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を維持するために必要です。
または、コンフィギュレーションが不要な login コマンド(認証を伴う enable コマンドと同じ)を使用できます。enable 認証ほどセキュアではないため、このオプションは推奨しません。
CLI 認証( aaa authentication { ssh | telnet | serial } console )を使用することもできますが、必須ではありません。
• RADIUS が認証に使用されている場合、 aaa authorization exec authentication-server コマンドを使用して、RADIUS からの管理ユーザ特権レベルのサポートをイネーブルにすることができますが、必須ではありません。このコマンドは、ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管理認可もイネーブルにします。このコマンドを使用すると、ローカル コマンド許可に影響するかも知れません。 authentication-server キーワードを使用すると、ユーザの認証に使用されたサーバから特権レベルを取得するデフォルトの動作を維持します(LDAP(マッピング済み)、LOCAL および RADIUS サーバに適用されます)。ただし、このオプションは、TACACS+ サーバからのユーザ特権レベルの取得をイネーブルにします。
• 次に示すユーザ タイプごとの前提条件を確認してください。
– ローカル データベース ユーザ: username コマンドを使用して、ローカル データベース内のユーザを特権レベル 0 ~ 15 で設定します。
– RADIUS ユーザ:ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定します。
– LDAP ユーザ:ユーザを特権レベル 0 ~ 15 を使用して設定し、 ldap map-attributes コマンドを使用して LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。
• コマンド特権レベルの設定については、 privilege コマンドを参照してください。
TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力する場合、セキュリティ アプライアンスによってコマンドとユーザ名が TACACS+ サーバに送信され、コマンドが認可されているかどうかが判別されます。
TACACS+ サーバによるコマンド認可を設定するときは、意図したとおりに機能することが確認できるまで、コンフィギュレーションを保存しないでください。間違いによりロック アウトされた場合、通常はセキュリティ アプライアンスを再起動することによってアクセスを回復できます。
TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバ システムとセキュリティ アプライアンスへの完全冗長接続が必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続された 1 つのサーバとインターフェイス 2 に接続された別のサーバを含めます。TACACS+ サーバが使用できない場合にフォールバック方式としてローカル コマンド許可を設定することもできます。この場合、ローカル ユーザおよびコマンド特権レベルを設定する必要があります。
TACACS+ サーバの設定については、『 Cisco ASA 5500 Series Command Line Configuration Guide 』を参照してください。
• aaa authentication { ssh | telnet | serial } console コマンドを使用して、CLI 認証を設定します。
• aaa authentication enable console コマンドを使用して、 enable 認証を設定します。
例
次に、tplus1 という名前の TACACS+ サーバ グループを使用してコマンド認可をイネーブルにする例を示します。
次に、tplus1 サーバ グループ内のすべてのサーバが使用できない場合に、ローカル ユーザ データベースへのフォールバックをサポートする管理認可を設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization exec authentication-server
管理認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization exec authentication-server コマンドまたは aaa authorization exec コマンドを使用します。管理許可をディセーブルにするには、 aaa authorization exec authentication-server コマンドの no 形式または、 no aaa authorization exec コマンドを使用します。
aaa authorization exec [authentication-server]
no aaa authorization exec [authentication-server]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authorization exec authentication-server コマンドを使用すると、ユーザの service-type クレデンシャルはコンソール アクセスの許可の前に検査されます。
no aaa authorization exec authentication-server コマンドを使用するときは、以下に注意してください:
• コンソール アクセスの許可の前に、ユーザの service-type クレデンシャルはチェックされません。
• コマンド認可が設定されている場合、RADIUS、LDAP、および TACACS+ ユーザについて AAA サーバで特権レベル属性が見つかると、特権レベル属性が引き続き適用されます。
ユーザが CLI、ASDM、または enable コマンドにアクセスするときにユーザを認証するように aaa authentication console コマンドを設定すると、ユーザ コンフィギュレーションに応じて aaa authorization exec authentication-server コマンドで管理アクセスを制限できます。
(注) シリアル アクセスは管理認証に含まれないため、aaa authentication serial console を設定している場合は、認証したユーザはすべてコンソール ポートにアクセスできます。
ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。
• LDAP マッピング済みユーザ:LDAP 属性をマッピングするには、 ldap attribute-map コマンドを参照してください。
• RADIUS ユーザ:次の値のいずれかにマッピングする IETF RADIUS numeric service-type 属性を使用します。
– Service-Type 5(発信)は、管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。リモート アクセス(IPsec および SSL)ユーザは、引き続き自身のリモート アクセス セッションを認証および終了できます。
– Service-Type 6(管理)は、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
– Service-Type 7(NAS プロンプト)は、 aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。
(注) 認識される service-type は、ログイン(1)、フレーム化(2)、管理(6)、および NAS プロンプト(7)のみです。その他の service-type を使用すると、アクセスは拒否されます。
• TACACS+ ユーザ:「service=shell」エントリで許可を要求し、サーバは次のように PASS または FAIL で応答します。
– PASS、特権レベル 1 は、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
– PASS、特権レベル 2 以上は、 aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。
– FAIL は、管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。
• ローカル ユーザ: service-type コマンドを設定します。これは、 username コマンドのユーザ名コンフィギュレーション モードです。デフォルトの service-type は admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。
例
次に、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で、aaa authentication console コマンドを使用する例を示します。
次に、サーバ グループ「AuthIn」をイネーブル認証用に指定する例を示します。
次に、aaa authentication console コマンドを使用して、グループ「svrgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックさせる例を示します。
hostname(config)# aaa-server svrgrp1 protocol tacacs
関連コマンド
|
|
|
aaa authorization include, exclude
セキュリティ アプライアンス を介した接続の許可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization include コマンドを使用します。許可からアドレスを除外するには、 aaa authorization exclude コマンドを使用します。許可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
no aaa authorization { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag
構文の説明
デフォルト
IP アドレス 0 は「すべてのホスト」を意味します。ローカル IP アドレスを 0 に設定すると、許可されるホストを許可サーバによって決定できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクセス リストで指定されているトラフィックの認可をイネーブルにするには、 aaa authorization match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
セキュリティが同じインターフェイス間で aaa authorization include および exclude コマンドを使用することはできません。その場合は、 aaa authorization match コマンドを使用する必要があります。
TACACS+ でネットワーク アクセス認可を実行するように、セキュリティ アプライアンスを設定できます。認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まずセキュリティ アプライアンスに認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。
ユーザの認証が完了すると、セキュリティ アプライアンスは、一致するトラフィックの認可ルールをチェックします。トラフィックが認可ステートメントに一致した場合、セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバはセキュリティ アプライアンスに応答し、ユーザ プロファイルに基づいてそのトラフィックの許可または拒否を示します。セキュリティ アプライアンスは、その応答内の認可ルールを実施します。
ユーザに対するネットワーク アクセス認可の設定については、ご使用の TACACS+ サーバのマニュアルを参照してください。
IP アドレスごとに 1 つの aaa authorization include コマンドが許可されます。
最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再送信を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。
Unable to connect to remote host: Connection timed out
(注) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。セキュリティ アプライアンスでは、サーバがストリングを解析してポート範囲に変換できることを前提としており、ポート範囲をストリングとしてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。
例
この例では、最初のコマンド ステートメントで tplus1 という名前のサーバ グループを作成し、このグループで使用する TACACS+ プロトコルを指定しています。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 3 つのコマンド ステートメントで指定しているのは、外部インターフェイス経由で外部ホストへの接続を開始するすべてのユーザを tplus1 サーバ グループを使用して認証すること、正常に認証されたユーザに対してはすべてのサービスの使用を認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド ステートメントでは、セキュリティ アプライアンスのコンソールへの SSH アクセスには、tplus1 サーバ グループからの認証が必要であることを指定しています。
次に、外部インターフェイスからの DNS ルックアップに対する認可をイネーブルにする例を示します。
次に、内部ホストから内部インターフェイスに到着する ICMP echo-reply パケットの認可をイネーブルにする例を示します。
これは、ユーザが Telnet、HTTP、または FTP を使用して認証されていない場合は外部ホストを ping できないことを意味します。
次に、内部ホストから内部インターフェイスに到着する ICMP エコー(ping)についてのみ認可をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
コマンドの実行が認可の対象かどうかを指定します。または、指定したサーバ グループ内のすべてのサーバがディセーブルである場合に、ローカル ユーザ データベースへのフォールバックをサポートするように管理認可を設定します。 |
|
特定の access-list コマンド名に対して LOCAL または TACACS+ ユーザ認可サービスをイネーブルまたはディセーブルにします。 |
|
aaa authorization match
セキュリティ アプライアンス を通じた接続の許可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization match マンドを使用します。認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization match acl_name interface_name server_tag
no aaa authorization match acl_name interface_name server_tag
構文の説明
拡張アクセス リストの名前を指定します。access-list extended コマンドを参照してください。 許可 ACE は、一致したトラフィックを認可するようにマークします。一方、 拒否 エントリは、一致したトラフィックを認可から除外します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authorization match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。
TACACS+ でネットワーク アクセス認可を実行するように、セキュリティ アプライアンスを設定できます。 aaa authorization match コマンドによる RADIUS 認可では、FWSM への VPN 管理接続の認可のみがサポートされます。
認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まずセキュリティ アプライアンスに認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。
ユーザの認証が完了すると、セキュリティ アプライアンスは、一致するトラフィックの認可ルールをチェックします。トラフィックが認可ステートメントに一致した場合、セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバはセキュリティ アプライアンスに応答し、ユーザ プロファイルに基づいてそのトラフィックの許可または拒否を示します。セキュリティ アプライアンスは、その応答内の認可ルールを実施します。
ユーザに対するネットワーク アクセス認可の設定については、ご使用の TACACS+ サーバのマニュアルを参照してください。
最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再送信を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。
Unable to connect to remote host: Connection timed out
(注) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。セキュリティ アプライアンスでは、サーバがストリングを解析してポート範囲に変換できることを前提としており、ポート範囲をストリングとしてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。
例
次に、aaa コマンドで tplus1 サーバ グループを使用する例を示します。
この例では、最初のコマンド ステートメントで tplus1 サーバ グループを TACACS+ グループとして定義しています。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 2 つのコマンド ステートメントでは、内部インターフェイスを通過する、任意の外部ホストへの接続が tplus1 サーバ グループを使用して認証され、これらのすべての接続がアカウンティング データベースに記録されることを指定しています。最後のコマンド ステートメントでは、myacl 内の ACE に一致する接続が tplus1 サーバ グループ内の AAA サーバによって認可されることを指定しています。
関連コマンド
|
|
|
|---|---|
1 人のユーザまたはすべてのユーザについて、AAA 認可キャッシュと AAA 認証キャッシュを削除します。これにより、次に接続を作成するときにユーザは再認証する必要があります。 |
|
認証および認可のために認可サーバに提供されたユーザ名、ユーザ名がバインドされている IP アドレス、およびユーザは認証されただけかキャッシュされたサービスを持っているかを表示します。 |
aaa local authentication attempts max-fail
セキュリティ アプライアンス で特定のユーザ アカウントに対して許可されるローカル ログイン試行の連続失敗回数を制限するには(特権レベル 15 のユーザを除きます。この機能はレベル 15 のユーザには影響しません)、グローバル コンフィギュレーション モードで aaa local authentication attempts max-fail コマンドを使用します。このコマンドは、ローカル ユーザ データベースによる認証だけに影響します。この機能をディセーブルにし、ローカル ログイン試行の連続失敗回数を無制限に許可するには、このコマンドの no 形式を使用します。
aaa local authentication attempts max-fail number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを省略すると、ユーザが間違ったパスワードを入力できる回数に制限は設けられません。
間違ったパスワードを入力した試行回数が設定回数に達すると、ユーザはロック アウトされ、管理者がユーザ名をアンロックするまで、ユーザは正常にログインできません。ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。
特権レベル 15 のユーザはこのコマンドの影響を受けず、ロック アウトされることはありません。
ユーザが正常に認証されるか、セキュリティ アプライアンスがリブートされると、失敗試行回数は 0 にリセットされ、ロックアウト ステータスは No にリセットされます。
例
次に、aaa local authentication attempts max-limits コマンドを使用して、許可される失敗試行の最大回数を 2 に設定する例を示します。
関連コマンド
|
|
|
aaa mac-exempt
認証および認可から免除する MAC アドレスの定義済みリストの使用を指定するには、グローバル コンフィギュレーション モードで aaa mac-exempt コマンドを使用します。追加できる aaa mac-exempt コマンドは 1 つだけです。MAC アドレスのリストの使用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa mac-exempt コマンドを使用する前に、 mac-list コマンドを使用して MAC リスト番号を設定します。MAC リスト内の permit エントリによって MAC アドレスは認証および認可から免除され、deny エントリによって MAC アドレスの認証および認可が要求されます(認証および認可がイネーブルの場合)。追加できる aaa mac-exempt コマンドのインスタンスは 1 つだけであるため、免除するすべての MAC アドレスを MAC リストに含めてください。
例
次の例では、1 個の MAC アドレスに対する認証をバイパスします。
次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。
次に、00a0.c95d.02b2 を除く MAC アドレスのグループの認証をバイパスする例を示します。
関連コマンド
|
|
|
aaa proxy-limit
ユーザごとに許可される同時プロキシ接続の最大数を設定することで、uauth セッションの制限を手動で設定するには、グローバル コンフィギュレーション モードで aaa proxy-limit コマンドを使用します。プロキシをディセーブルにするには、 disable パラメータを使用します。デフォルトのプロキシ制限値(16)に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
送信元アドレスがプロキシ サーバである場合は、この IP アドレスを認証から除外するか、許容される未処理 AAA 要求の数を増やすことを検討してください。
例
次に、ユーザごとに許可される未処理認証要求の最大数を設定する例を示します。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、あるいは ASDM ユーザ認証をイネーブルまたはディセーブルにするか、表示します。 |
|
aaa-server
AAA サーバ グループを作成し、すべてのグループ ホストに対してグループ固有かつ共通の AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server コマンドを使用します。指定したグループを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag protocol server-protocol
no aaa-server server-tag protocol server-protocol
構文の説明
サーバ グループ名を指定します。 aaa-server host コマンドで指定した名前と同じにします。他の AAA コマンドで、この AAA サーバ グループ名を参照します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa-server コマンドで AAA サーバ グループ プロトコルを定義することによって AAA サーバ コンフィギュレーションを制御し、次に aaa-server host コマンドを使用してサーバをグループに追加します。
シングル モードで最大 15 個のサーバ グループ、マルチ モードでコンテキストごとに 4 個のサーバ グループを保持できます。各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。
例
次に、 aaa-server コマンドを使用して、TACACS+ サーバ グループ コンフィギュレーションの詳細を変更する例を示します。
hostname(config)# aaa-server svrgrp1 protocol tacacs+
関連コマンド
|
|
|
アカウンティング メッセージが単一のサーバに送信されるか(シングル モード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定します。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
aaa-server active/fail
障害とマークされた AAA サーバを再度アクティブにするには、特権 EXEC モードで aaa-server active コマンドを使用します。アクティブなサーバを障害状態にするには、特権 EXEC モードで aaa-server fail コマンドを使用します。
aaa-server server_tag [ active | fail ] host { server_ip | name }
構文の説明
name コマンドを使用してローカルで割り当てた名前か、DNS 名を使用してサーバ名を指定します。DNS 名の最大文字数は 128 文字で、 name コマンドを使用して割り当てた名前は 63 文字です。 |
|
サーバ グループのシンボリック名を指定します。この名前は、 aaa-server コマンドによって指定された名前と照合されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用しないと、グループ内の障害が発生したサーバは、グループ内のすべてのサーバに障害が発生するまで障害状態のままになります。グループ内のすべてのサーバに障害が発生した後に、サーバはすべて再度アクティブにされます。
例
次に、サーバ 192.168.125.60 の状態を表示し、手動で再度アクティブにする例を示します。
hostname# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: FAILED. Server disabled at 11:10:08 UTC Fri Aug 22
...
hostname# aaa-server active host 192.168.125.60
hostname# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: ACTIVE (admin initiated). Last Transaction at 11:40:09 UTC Fri Aug 22
...
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
aaa-server host
AAA サーバを AAA サーバ グループの一部として設定し、ホスト固有の AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server host コマンドを使用します。 aaa-server host コマンドを使用すると、AAA サーバ ホスト コンフィギュレーション モードが開始されます。このモードから、ホスト固有の AAA サーバ接続データを指定および管理できます。ホスト コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]
no aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa-server コマンドで AAA サーバ グループを定義することによって AAA サーバ コンフィギュレーションを制御し、次に aaa-server host コマンドを使用してサーバをグループに追加します。
シングル モードで最大 15 個のサーバ グループ、マルチ モードでコンテキストごとに 4 個のサーバ グループを保持できます。各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。
例
次に、「watchdogs」という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、そのサーバの Kerberos レルムを定義する例を示します。
(注) Kerberos 領域名では数字と大文字だけを使用します。セキュリティ アプライアンスは領域名に小文字を受け入れますが、小文字を大文字に変換しません。大文字だけを使用してください。
hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
次に、「svrgrp1」という名前の SDI AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、タイムアウト間隔を 6 秒に、リトライ間隔を 7 秒に、SDI バージョンをバージョン 5 に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# sdi-version sdi-5
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
absolute
時間範囲が有効である場合に絶対時間を定義するには、時間範囲コンフィギュレーション モードで absolute コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
absolute [ end time date ] [ start time date ]
構文の説明
日付を day month year 形式で指定します(たとえば、1 January 2006)。年の有効な範囲は、1993 ~ 2035 です。 |
|
時刻を HH:MM 形式で指定します。たとえば、8:00 は午前 8 時です。午後 8 時は 20:00 と指定します。 |
デフォルト
開始時刻および日付を指定しない場合、permit ステートメントまたは deny ステートメントはただちに有効になり、常にオンです。同様に、最大終了時刻は 23:59 31 December 2035 です。終了時刻および日付を指定しない場合、関連付けられている permit ステートメントまたは deny ステートメントは無期限に有効です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。
例
次に、ACL を 2006 年 1 月 1 日の午前 8 時にアクティブにする例を示します。例を示します。
関連コマンド
|
|
|
|---|---|
time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。 |
|
accept-subordinates
デバイスにインストールされていない下位 CA 証明書がフェーズ 1 の IKE 交換で提供されたときに、その証明書を受け入れるようにセキュリティ アプライアンスを設定するには、クリプト CA トラストポイント コンフィギュレーション モードで accept-subordinates コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェーズ 1 の処理中に、IKE ピアによって下位証明書とアイデンティティ証明書の両方が渡される場合があります。下位証明書はセキュリティ アプライアンスにインストールされない場合があります。このコマンドを使用すると、管理者はデバイス上にトラストポイントとして設定されていない下位 CA 証明書をサポートできます。確立されたすべてのトラストポイントのすべての下位 CA 証明書が受け入れ可能である必要はありません。つまり、このコマンドを使用すると、デバイスで、証明書チェーン全体をローカルにインストールすることなく、その証明書チェーンを認証できます。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、セキュリティ アプライアンスでトラストポイント central の下位証明書を受け入れることができるようにする例を示します。
関連コマンド
|
|
|
|---|---|
access-group
アクセス リストをインターフェイスにバインドするには、グローバル コンフィギュレーション モードで access-group コマンドを使用します。アクセス リストをインターフェイスからアンバインドするには、このコマンドの no 形式を使用します。
access-group access-list { in | out } interface interface_name [ per-user-override | control-plane ]
no access-group access-list { in | out } interface interface_name
構文の説明
(任意)ダウンロード可能なユーザ アクセス リストが、インターフェイスに適用されているアクセス リストを上書きできるようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドは、アクセス リストをインターフェイスにバインドします。アクセス リストは、インターフェイスへの着信トラフィックに適用されます。 access-list コマンド ステートメントで permit オプションを入力すると、セキュリティ アプライアンスによってパケットの処理は続行されます。 access-list コマンド ステートメントで deny オプションを入力すると、セキュリティ アプライアンスによってパケットは廃棄され、次の syslog メッセージが生成されます。
%hostname-4-106019: IP packet from source_addr to destination_addr , protocol protocol received from interface interface_name deny by access-group idper-user-override オプションを指定すると、ダウンロードしたアクセス リストで、インターフェイスに適用されているアクセス リストを上書きできます。オプションの per-user-override 引数がないと、セキュリティ アプライアンスによって既存のフィルタリング動作が保持されます。 per-user-override があると、セキュリティ アプライアンスにより、ユーザに関連付けられているユーザごとのアクセス リスト(ダウンロードされた場合)の permit または deny ステータスで、 access-group コマンドに関連付けられているアクセス リストの permit または deny ステータスを上書きできるようになります。さらに、次のルールが適用されます。
• パケットが到着した時点で、そのパケットに関連付けられているユーザごとのアクセス リストがない場合、インターフェイス アクセス リストが適用されます。
• ユーザごとのアクセス リストは、 timeout コマンドの uauth オプションで指定されたタイムアウト値によって管理されますが、このタイムアウト値は、ユーザごとの AAA セッション タイムアウト値によって上書きできます。
• 既存のアクセス リスト ログ動作は同じです。たとえば、ユーザごとのアクセス リストのためにユーザ トラフィックが拒否された場合、syslog メッセージ 109025 が記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセス リストのログ オプションは、影響を及ぼしません。
access-list コマンドは常に access-group コマンドとともに使用します。
access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードによって、アクセス リストは指定したインターフェイス上のトラフィックに適用されます。 out キーワードによって、アクセス リストは発信トラフィックに適用されます。
(注) 1 つ以上の access-group コマンドによって参照されるアクセス リストから、すべての機能エントリ(permit ステートメントおよび deny ステートメント)を削除すると、access-group コマンドはコンフィギュレーションから自動的に削除されます。access-group コマンドは、空のアクセス リストまたはコメントだけを含むアクセス リストを参照できません。
no access-group コマンドは、アクセス リストをインターフェイス interface_name からアンバインドします。
show running config access-group コマンドは、インターフェイスにバインドされている現在のアクセス リストを表示します。
clear configure access-group コマンドは、インターフェイスからすべてのアクセス リストを削除します。
(注) to-the-box 管理トラフィック用のアクセス コントロール ルール(http、ssh、telnet などのコマンドで定義)は、control-plane オプションで適用されるアクセス リストよりも優先されます。したがって、このような許可された管理トラフィックは、to-the-box アクセス リストで明示的に拒否されている場合でも着信が許可されます。
例
次の例は、 access-group コマンドを使用する方法を示しています。
static コマンドでは、10.1.1.3 にある Web サーバにグローバル アドレス 209.165.201.3 を指定しています。 access-list コマンドでは、任意のホストからポート 80 を使用してグローバル アドレスにアクセスできるようにしています。 access-group コマンドでは、外部インターフェイスに入るトラフィックに access-list コマンドを適用するように指定しています。
関連コマンド
|
|
|
|---|---|
access-list alert-interval
拒否フローの最大数メッセージの時間間隔を指定するには、グローバル コンフィギュレーション モードで access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
access-list alert-interval secs
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list alert-interval コマンドでは、システム ログ メッセージ 106001 を生成する時間間隔を設定します。システム ログ メッセージ 106001 によって、セキュリティ アプライアンスが拒否フローの最大数に達したことが警告されます。拒否フローの最大数に達したときに、前回のシステム ログ メッセージ 106001 が生成されてから secs 秒以上経過していた場合は、さらに 106001 メッセージが生成されます。
拒否フローの最大数メッセージの生成については、 access-list deny-flow-max コマンド を参照してください。
例
次に、拒否フローの最大数メッセージの時間間隔を指定する例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list deny-flow-max
作成できる同時拒否フローの最大数を指定するには、グローバル コンフィギュレーション モードで access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが ACL 拒否フローの最大数 n に達すると、システム ログ メッセージ 106101 が生成されます。
例
次に、作成できる同時拒否フローの最大数を指定する例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list ethertype
EtherType に基づいてトラフィックを制御するアクセス リストを設定するには、グローバル コンフィギュレーション モードで access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
no access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
構文の説明
デフォルト
• 特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
log オプション キーワードを指定した場合、システム ログ メッセージ 106100 のデフォルトの重大度レベルは 6(情報)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、16 ビットの 16 進数値で示された任意の EtherType を制御できます。EtherType ACL によってイーサネット V2 フレームがサポートされます。802.3 形式のフレームは、タイプ フィールドではなく長さフィールドを使用するため、ACL によって処理されません。ブリッジ プロトコル データ ユニットは唯一の例外であり、ACL によって処理されます。ブリッジ プロトコル データ ユニットは SNAP 方式でカプセル化されており、セキュリティ アプライアンスは特に BPDU を処理するように設計されています。
EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる場合は、両方のインターフェイスに ACL を適用する必要があります。
MPLS を許可する場合は、セキュリティ アプライアンスに接続されている両方の MPLS ルータが LDP セッションまたは TDP セッション用のルータ ID としてセキュリティ アプライアンス インターフェイス上の IP アドレスを使用するように設定することにより、LDP TCP 接続と TDP TCP 接続がセキュリティ アプライアンス経由で確立されるようにします (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。
インターフェイスの方向ごとに、各タイプ(拡張または EtherType)の ACL を 1 つだけ適用できます。同じ ACL を複数のインターフェイスに適用することもできます。
(注) EtherType アクセス リストが deny all コマンドで設定されている場合、すべてのイーサネット フレームが廃棄されます。その場合でも、オートネゴシエーションなどの物理プロトコル トラフィックだけは許可されます。
例
次に、EtherType アクセス リストを追加する例を示します。
関連コマンド
|
|
|
|---|---|
access-list extended
アクセス コントロール エントリを追加するには、グローバル コンフィギュレーション モードで access-list extended コマンドを使用します。アクセス リストは、同じアクセス リスト ID を持つ 1 つ以上の ACE で構成されます。アクセス リストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを指定したりするために使用されます。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リスト全体を削除するには、 clear configure access-list コマンドを使用します。
access-list id [ line line-number ] [ extended ] { deny | permit }
{ protocol | object-group protocol_obj_grp_id }
{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id ]
{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]
no access-list id [ line line-number ] [ extended ] { deny | permit } { tcp | udp }
{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port ] | object-group service_obj_grp_id ]
{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]
構文の説明
デフォルト
• ACE ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、 deny ACE が存在している必要があります。
• log キーワードが指定されている場合、システム ログ メッセージ 106100 のデフォルトの重大度は 6(情報)で、デフォルトの間隔は 300 秒です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
特定のアクセス リスト名に対して入力した各 ACE は、ACE で行番号を指定しない限り、そのアクセス リストの最後に追加されます。
ACE の順序は重要です。セキュリティ アプライアンスがパケットを転送するかドロップするかを決定するとき、セキュリティ アプライアンスでは、エントリがリストされている順に、各 ACE に対してパケットをテストします。一致が見つかると、ACE はそれ以上チェックされません。たとえば、アクセス リストの先頭にすべてのトラフィックを明示的に許可する ACE を作成した場合、残りのステートメントはチェックされません。
アクセス リストの最後で暗黙的な拒否が設定されるため、明示的に許可しない限り、トラフィックは通過できません。たとえば、特定のアドレスを除き、セキュリティ アプライアンス経由でのネットワークへのアクセスをすべてのユーザに許可する場合は、特定のアドレスを拒否し、それ以外はすべて許可する必要があります。
NAT を使用する場合、アクセス リストに対して設定する IP アドレスは、アクセス リストが付加されるインターフェイスによって異なります。インターフェイスに接続されるネットワーク上で有効なアドレスを使用する必要があります。このガイドラインは、着信アクセス グループと発信アクセス グループの両方に適用されます。使用されるアドレスは、方向ではなく、インターフェイスのみによって決まります。
TCP 接続と UDP 接続では、リターン トラフィックを許可するアクセス リストは必要ありません。これは、FWSM によって、確立された双方向接続のすべてのリターン トラフィックが許可されるためです。ただし、ICMP などのコネクションレス型のプロトコルでは、セキュリティ アプライアンスによって単方向のセッションが確立されます。そのため、両方向の ICMP を許可するアクセス リストが必要となるか(アクセス リストを送信元インターフェイスおよび宛先インターフェイスに適用)、または ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。
ICMP はコネクションレス型プロトコルであるため、両方向の ICMP を許可するアクセス リストが必要となるか(アクセス リストを送信元インターフェイスおよび宛先インターフェイスに適用)、または ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンでは、ICMP セッションはステートフル接続として処理されます。ping を制御するには、 echo-reply ( 0 )(セキュリティ アプライアンスからホストへ)または echo ( 8 )(ホストからセキュリティ アプライアンスへ)を指定します。ICMP タイプのリストについては、 表 1 を参照してください。
インターフェイスの方向ごとに、各タイプ(拡張または EtherType)のアクセス リストを 1 つだけ適用できます。同じアクセス リストを複数のインターフェイスに適用できます。インターフェイスへのアクセス リストの適用の詳細については、 access-group コマンドを参照してください。
(注) アクセス リスト コンフィギュレーションを変更する場合、既存の接続がタイムアウトするのを待たずに新しいアクセス リスト情報を使用するときは、clear local-host コマンドを使用して接続をクリアできます。
|
|
|
|---|---|
例
次のアクセス リストは、(アクセス リストを適用するインターフェイス上の)すべてのホストがセキュリティ アプライアンスを通過するのを許可します。
次のサンプル アクセス リストでは、192.168.1.0/24 上のホストが 209.165.201.0/27 ネットワークにアクセスすることが禁止されます。その他のアドレスはすべて許可されます。
一部のホストのみにアクセスを制限する場合は、制限された permit ACE を入力します。デフォルトでは、明示的に許可しない限り、他のトラフィックはすべて拒否されます。
次のアクセス リストでは、すべてのホスト(アクセス リスト適用先のインターフェイス上にあるすべてのホスト)がアドレス 209.165.201.29 の Web サイトにアクセスすることが禁止されます。他のトラフィックはすべて許可されます。
オブジェクト グループを使用する次のアクセス リストでは、内部ネットワーク上のいくつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。
ネットワーク オブジェクトの 1 つのグループ(A)からネットワーク オブジェクトの別のグループ(B)へのトラフィックを許可するアクセス リストを一時的にディセーブルにするには、次のコマンドを使用します。
時間ベースのアクセス リストを実装するには、 time-range コマンドを使用して、1 日および週の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲をアクセス リストにバインドします。次に、「Sales」という名前のアクセス リストを「New_York_Minute」という名前の時間範囲にバインドする例を示します。
関連コマンド
|
|
|
|---|---|
access-list remark
access-list extended コマンドの前または後に追加するコメントのテキストを指定するには、グローバル コンフィギュレーション モードで access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。
access-list id [ line line-num ] remark text
no access-list id [ line line-num ] remark [ text ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コメント テキストには、スペース以外の文字を少なくとも 1 つ含める必要があります。空のコメントは許可されません。コメント テキストは、スペースや句読点を含め、最大 100 文字です。
例
次に、 access-list コマンドの前または後に追加するコメントのテキストを指定する例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list rename
アクセス リストの名前を変更するには、グローバル コンフィギュレーション モードで access-list rename コマンドを使用します。
access-list id rename new_acl_id
構文の説明
新しいアクセス リスト ID を最大 241 文字のストリングまたは整数として指定します。ID は、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、アクセス リストの名前を TEST から OUTSIDE に変更する例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list standard
OSPF 再配布のルート マップで使用できる、OSPF ルートの宛先 IP アドレスを指定するアクセス リストを追加するには、グローバル コンフィギュレーション モードで access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
no access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
構文の説明
デフォルト
• 特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドとともに deny キーワード使用すると、パケットはセキュリティ アプライアンスを通過できません。デフォルトでは、特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
送信元アドレス、ローカル アドレス、または宛先アドレスを指定するには、次のガイドラインを使用します。
• 4 つの部分からなるドット付き 10 進数形式の 32 ビットの数値を使用します。
例
次に、適応型セキュリティ アプライアンス経由の IP トラフィックを拒否する例を示します。
次に、条件に合致している場合に、適応型セキュリティ アプライアンス経由の IP トラフィックを許可する例を示します。
関連コマンド
|
|
|
|---|---|
access-list webtype
クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションにアクセス リストを追加するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
access-list id webtype { deny | permit } url [ url_string | any ] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
no access-list id webtype { deny | permit } url [ url_string | any ] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
access-list id webtype { deny | permit } tcp [ host ip_address | ip_address subnet_mask | any ] [ oper port [ port ]] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
no access-list id webtype { deny | permit } tcp [ host ip_address | ip_address subnet_mask | any ] [ oper port [ port ]] [ log [[ disable | default ] | level ] [ interval secs ] [ time_range name ]]
構文の説明
デフォルト
• 特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
• log オプション キーワードを指定した場合、システム ログ メッセージ 106100 のデフォルトのレベルは 6(情報)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list webtype コマンドは、クライアントレス SSL VPN フィルタリングを設定するために使用されます。URL には、完全な URL またはファイルを除いた部分的な URL を指定できます。また、サーバのワイルドカードを含めたり、ポートを指定したりできます。
有効なプロトコル識別子は、http、https、cifs、imap4、pop3、および smtp です。URL にキーワード any を含めて、任意の URL を参照することもできます。アスタリスクを使用して、DNS 名のサブコンポーネントを表すことができます。
例
次の例は、特定の企業の URL へのアクセスを拒否する方法を示しています。
次の例は、特定のファイルへのアクセスを拒否する方法を示しています。
次の例は、任意の URL へのポート 8080 経由の HTTP アクセスを拒否する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
accounting-mode
アカウンティング メッセージが単一のサーバに送信されるか(シングル モード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定するには、AAA サーバ コンフィギュレーション モードで accounting-mode コマンドを使用します。アカウンティング モードの指定を削除するには、このコマンドの no 形式を使用します。
accounting-mode { simultaneous | single }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
単一のサーバにアカウンティング メッセージを送信するには、キーワード single を使用します。サーバ グループ内のすべてのサーバにアカウンティング メッセージを送信するには、キーワード simultaneous を使用します。
このコマンドは、アカウンティング(RADIUS または TACACS+)にサーバ グループが使用されている場合にのみ有効です。
例
次に、 accounting-mode コマンドを使用して、グループ内のすべてのサーバにアカウンティング メッセージを送信する例を示します。
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
hostname(config-aaa-server-group)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ グループ コンフィギュレーション モードを開始し、グループ内のすべてのホストに対してグループ固有かつ共通の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-port
このホストの RADIUS アカウンティングに使用されるポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで accounting-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドでは、アカウンティング レコードの送信先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。
構文の説明
デフォルト
デフォルトでは、デバイスはアカウンティングのためにポート 1646 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS アカウンティングのデフォルトのポート番号(1646)が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RADIUS アカウンティング サーバで 1646 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、適切なポートに対してセキュリティ アプライアンスを設定する必要があります。
例
次に、ホスト「1.2.3.4」に「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、アカウンティング ポートを 2222 に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# accountinq-port 2222
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-server-group
アカウンティング レコード送信用の AAA サーバ グループを指定するには、さまざまなモードで accounting-server-group コマンドを使用します。アカウンティング サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスでは、アカウンティングを使用して、ユーザがアクセスするネットワーク リソースを追跡します。
accounting-server-group group_tag
no accounting-server-group [ group_tag ]
構文の説明
設定済みのアカウンティング サーバまたはサーバ グループを指定します。アカウンティング サーバを設定するには、 aaa-server コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、webvpn コンフィギュレーション モードではなく、トンネル グループ一般属性コンフィギュレーション モードで使用できるようになりました。 |
使用上のガイドライン
このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般属性コンフィギュレーション モードの同等のコマンドに変換されます。
例
トンネル グループ一般属性コンフィギュレーション モードでの次の例では、IPSec LAN-to-LAN トンネル グループ「xyz」に対して「aaa-server123」という名前のアカウンティング サーバ グループを設定します。
次に、POP3SSVRS という名前の一連のアカウンティング サーバを使用するように POP3S 電子メール プロキシを設定する例を示します。
hostname(config)# pop3s
関連コマンド
|
|
|
|---|---|
フィードバック