Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

次のコマンドは、undebug コマンドで使用できます。特定のコマンドのデバッグ、または特定の debug コマンドに関連付けられた引数とキーワードの詳細については、 debug command のエントリを参照してください。

• aaa：AAA 情報

• acl：ACL 情報

• all：すべてのデバッグ

• appfw：アプリケーション ファイアウォール情報

• arp：NP オペレーションを含む ARP

• asdm：ASDM 情報

• auto-update：Auto-update 情報

• boot-mem：ブート メモリの計算と設定

• cifs：CIFS 情報

• cmgr：CMGR 情報

• context：コンテキスト情報

• cplane：CP 情報

• crypto：クリプト情報

• ctiqbe：CTIQBE 情報

• ctl-provider：CTL プロバイダーのデバッグ情報

• dap：DAP 情報

• dcerpc：DCERPC 情報

• ddns：ダイナミック DNS 情報

• dhcpc：DHCP クライアント情報

• dhcpd：DHCP サーバ情報

• dhcprelay：DHCP リレー情報

• disk：ディスク情報

• dns：DNS 情報

• eap：EAP 情報

• eigrp：EIGRP プロトコル情報

• email：電子メール情報

• entity：エンティティ MIB 情報

• eou：EAPoUDP 情報

• esmtp：ESMTP 情報

• fips：FIPS 140-2 情報

• fixup：フィックスアップ情報

• fover：フェールオーバー情報

• fsm：FSM 情報

• ftp：FTP 情報

• generic：その他の情報

• gtp：GTP 情報

• h323：H323 情報

• http：HTTP 情報

• icmp：ICMP 情報

• igmp：インターネット グループ管理プロトコル

• ils：LDAP 情報

• im：IM インスペクション情報

• imagemgr：Image Manager 情報

• inspect：デバッグ情報のインスペクション

• integrityfw：Integrity ファイアウォール情報

• ip：IP 情報

• ipsec-over-tcp：IPSec over TCP 情報

• IPSec-pass-thru：ipsec-pass-thru 情報のインスペクション

• ipv6：IPv6 情報

• iua-proxy：IUA プロキシ情報

• kerberos：KERBEROS 情報

• l2tp：L2TP 情報

• ldap：LDAP 情報

• mfib：マルチキャスト転送情報ベース

• mgcp：MGCP 情報

• module-boot：サービス モジュール ブート情報

• mrib：マルチキャスト ルーティング情報ベース

• nac-framework：NAC-FRAMEWORK 情報

• netbios-inspect：NETBIOS インスペクション情報

• npshim：NPSHIM 情報

• ntdomain：NT ドメイン情報

• ntp：NTP 情報

• ospf：OSPF 情報

• p2p：P2P インスペクション情報

• parser：パーサー情報

• pim：Protocol Independent Multicast

• pix：PIX 情報

• ppp：PPP 情報

• pppoe：PPPoE 情報

• pptp：PPTP 情報

• radius：RADIUS 情報

• redundant-interface：冗長インターフェイス情報

• rip：RIP 情報

• rtp：RTP 情報

• rtsp：RTSP 情報

• sdi：SDI 情報

• sequence：シーケンス番号の追加

• session-command：セッション コマンド情報

• sip：SIP 情報

• skinny：Skinny 情報

• sla：IP SLA モニタ デバッグ

• smtp-client：電子メール システムのログ メッセージ

• splitdns：スプリット DNS 情報

• sqlnet：SQLNET 情報

• ssh：SSH 情報

• sunrpc：SUNRPC 情報

• tacacs：TACACS 情報

• tcp：WebVPN の TCP

• tcp-map：TCP マップ情報

• timestamps：タイムスタンプの追加

• track：スタティック ルート トラッキング

• vlan-mapping：VLAN マッピング情報

• vpn-sessiondb：VPN セッション データベース情報

• vpnlb：VPN ロード バランシング情報

• wccp：WCCP 情報

• webvpn：WebVPN 情報

• xdmcp：XDMCP 情報

• xml：XML パーサー情報

デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、 debug コマンドは、ネットワーク トラフィックが少なく、ユーザも少ないときに使用することを推奨します。デバッギングをこのような時間帯に行うと、 debug コマンド処理のオーバーヘッドの増加によりシステムの使用に影響が及ぶ可能性が少なくなります。

例

次に、すべてのデバッグ出力をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 65534 です。

 

コマンド履歴

 

使用上のガイドライン

文字列で Network File System（NetFS; ネットワーク ファイル システム）の場所を指定します。SMB プロトコルおよび FTP プロトコルだけがサポートされています。たとえば、smb://（NetFS の場所）または ftp://（NetFS の場所）。この場所の名前を storage-objects コマンドで使用します。

例

次に、UNIX グループ ID を 4567 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 65534 です。

 

コマンド履歴

 

使用上のガイドライン

文字列で Network File System（NetFS; ネットワーク ファイル システム）の場所を指定します。SMB プロトコルおよび FTP プロトコルだけがサポートされています。たとえば、smb://（NetFS の場所）または ftp://（NetFS の場所）。この場所の名前を storage-objects コマンドで使用します。

例

次に、UNIX ユーザ ID を 333 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのサイズは 2147483647 です。

 

コマンド履歴

 

使用上のガイドライン

サイズを 0 に設定すると、実質的にオブジェクトのアップロードは許可されません。

例

次に、アップロードされるオブジェクトの最大サイズを 1500 バイトに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

緊急フラグおよび緊急オフセットはデフォルトでクリアされます。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。その新しい TCP マップを、 policy-map コマンドを使用して適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用して、緊急フラグを許可します。

URG フラグは、ストリーム中の他のデータよりもプライオリティの高い情報がこのパケットに含まれていることを示すために使用します。TCP RFC では、URG フラグの正確な解釈を明確化していません。したがって、エンド システムにおいては緊急オフセットがさまざまな方法で処理されます。このため、エンド システムが攻撃を受けやすくなります。デフォルトの動作では、URG フラグとオフセットはクリアされます。

例

次に、緊急フラグを許可する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

例

次に、SIP インスペクション ポリシー マップの Alert-Info ヘッダー フィールドと Call-Info ヘッダー フィールドにある SIP 以外の URI を識別する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

既存の URL は上書きできません。既存の URL を置き換えるには、まずこのコマンドの no 形式を使用して、その URL を削除します。

例

次に、ca-crl コンフィギュレーション モードを開始し、CRL 取得用の URL のリストを作成および維持するためにインデックス 3 を設定して CRL の取得元となる URL https://foobin.com を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

Websense フィルタリング サーバの場合、url-block url-size コマンドを使用すると、最大 4 KB の長い URL をフィルタリングできます。Secure Computing の場合は、url-block url-size コマンドを使用して、最大 3 KB の長い URL をフィルタリングできます。Websense フィルタリング サーバおよび N2H2 フィルタリング サーバの場合、url-block block コマンドを使用すると、セキュリティ アプライアンスは、URL フィルタリング サーバからの応答を待機している間、Web クライアント要求への応答として Web サーバから受信したパケットをバッファに保存します。これにより、Web クライアントのパフォーマンスがデフォルトのセキュリティ アプライアンス動作よりも向上します。デフォルトの動作では、パケットをドロップし、接続か許可された場合に Web サーバにパケットの再送信を要求します。

url-block block コマンドを使用し、フィルタリング サーバが接続を許可した場合、セキュリティ アプライアンスはブロックを HTTP 応答バッファから Web クライアントに送信し、バッファからブロックを削除します。フィルタリング サーバが接続を拒否した場合、セキュリティ アプライアンスは拒否メッセージを Web クライアントに送信し、HTTP 応答バッファからブロックを削除します。

url-block block コマンド を使用して、フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答のバッファリングに使用するブロック数を指定します。

url-block url-size コマンドを url-block mempool-size コマンドとともに使用して、フィルタリングする URL の最大長と URL バッファに割り当てる最大メモリを指定します。Websense サーバまたは Secure-Computing サーバに、1159 バイトよりも長く、最大 4096 バイトまでの URL を渡す場合は、これらのコマンドを使用します。 url-block url-size コマンドは、1159 バイトよりも長い URL をバッファに保存し、その URL を（TCP パケット ストリームを使用して）Websense サーバまたは Secure-Computing サーバに渡します。これにより、Websense サーバまたは Secure-Computing サーバでは、その URL へのアクセスを許可または拒否できます。

例

次に、URL フィルタリング サーバからの応答をバッファに保存するために 1550 バイトのブロックを 56 個割り当てる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

（注） N2H2 サーバ アプリケーションは、URL フィルタリングでこのコマンドをサポートしません。

url-cache コマンドには、URL サーバからの応答をキャッシュするコンフィギュレーション オプションが用意されています。

url-cache コマンドは、URL キャッシングのイネーブル化、キャッシュ サイズの設定、およびキャッシュ統計情報の表示を行う場合に使用します。

キャッシングにより、URL アクセス権限がセキュリティ アプライアンス上のメモリに保存されます。ホストが接続を要求すると、セキュリティ アプライアンスは要求を Websense サーバに転送するのではなく、一致するアクセス権限を URL キャッシュ内で探します。キャッシングをディセーブルにするには、 no url-cache コマンドを使用します。

（注） Websense サーバで設定を変更した場合は、no url-cache コマンドでキャッシュをディセーブルにした後、url-cache コマンドで再度イネーブルにします。

URL キャッシュを使用しても、Websense プロトコル バージョン 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル バージョン 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティ ニーズを満たす使用状況プロファイルを取得した後、 url-cache をイネーブルにしてスループットを向上させます。Websense プロトコル バージョン 4 の URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログが更新されます。

例

次に、送信元アドレスと宛先アドレスに基づいてすべての発信 HTTP 接続をキャッシュする例を示します。

 

関連コマンド

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

例

次に、Finance という DAP レコードの URL エントリをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、RTSP インスペクション ポリシー マップで URL の長さ制限を設定する例を示します。

 

関連コマンド

 

デフォルト

デフォルトの URL リストはありません。

 

コマンド履歴

 

使用上のガイドライン

グローバル コンフィギュレーション モードで url-list コマンドを使用して、1 つ以上の URL リストを作成します。特定のグループ ポリシーまたはユーザに対してリスト内の URL へのアクセスを許可するには、ここで作成した listname を、webvpn モードで url-list コマンドとともに使用します。

例

次に、www.cisco.com、www.example.com、および www.example.org へのアクセスを提供する Marketing URLs という名前の URL リストを作成する例を示します。次の表に、各 URL の設定で使用する値を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの URL リストはありません。

 

コマンド履歴

 

使用上のガイドライン

次回このコマンドを使用すると、前回までの設定が上書きされます。

webvpn モードで url-list コマンドを使用してユーザまたはグループ ポリシーの WebVPN ホームページに表示する URL リストを指定する前に、XML オブジェクトでリストを作成する必要があります。グローバル コンフィギュレーション モードで import コマンドを使用して、URL リストをセキュリティ アプライアンスにダウンロードします。次に、url-list コマンドを使用して、リストを特定のグループ ポリシーまたはユーザに適用します。

例

次に、FirstGroupURLs という名前の URL リストを FirstGroup という名前のグループ ポリシーに適用し、このリストを 1 番めの URL リストに指定する例を示します。

 

関連コマンド

 

構文の説明

N2H2

Websense

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

url-server コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。URL サーバ数の上限は、シングル コンテキスト モードでは 16、マルチ コンテキスト モードでは 4 ですが、一度に使用できるアプリケーションは、N2H2 または Websense のいずれか 1 つのみです。さらに、セキュリティ アプライアンス上でコンフィギュレーションを変更しても、アプリケーション サーバ上のコンフィギュレーションは更新されないため、ベンダーの指示に従って別途更新する必要があります。

HTTPS および FTP に対して filter コマンドを発行するには、事前に url-server コマンドを設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連するすべての filter コマンドも削除されます。

サーバを指定した後、 filter url コマンドを使用して URL フィルタリング サービスをイネーブルにします。

サーバの統計情報（到達不能サーバを含む）を表示するには、 show url-server statistics コマンドを使用します。

次の手順を実行して、URL フィルタリングを行います。

ステップ 1 ベンダー固有の url-server コマンドの適切な形式を使用して、URL フィルタリング アプリケーション サーバを指定します。

ステップ 2 filter コマンドを使用して、URL フィルタリングをイネーブルにします。

ステップ 3 （任意） url-cache コマンドを使用して、URL キャッシングをイネーブルにし、認識される応答時間を短縮します。

ステップ 4 （任意） url-block コマンドを使用して、長い URL および HTTP バッファリングのサポートをイネーブルにします。

ステップ 5 show url-block block statistics 、 show url-cache statistics 、または show url-server statistics コマンドを使用して、実行情報を表示します。

N2H2 によるフィルタリングの詳細については、次の N2H2 の Web サイトを参照してください。

http://www.n2h2.com

Websense フィルタリング サービスの詳細については、次の Web サイトを参照してください。

http://www.websense.com/

例

次に、N2H2 の使用時に 10.0.2.54 ホストからの接続を除くすべての発信 HTTP 接続をフィルタリングする例を示します。

次に、Websense の使用時に 10.0.2.54 ホストからの接続を除くすべての発信 HTTP 接続をフィルタリングする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ユーザ認証はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

個々のユーザは、設定した認証サーバの順序に従って認証されます。

プライマリ セキュリティ アプライアンスでユーザ認証が必要な場合は、バックアップ サーバでも同様にユーザ認証を設定する必要があります。

例

次に、「FirstGroup」という名前のグループ ポリシーのユーザ認証をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

30 分。

 

コマンド履歴

 

使用上のガイドライン

最小値は 1 分、デフォルトは 30 分、最大値は 10,080 分です。

このタイマーは、VPN トンネル自体ではなく、VPN トンネルを通過するクライアント アクセスだけを終了します。

show uauth コマンドへの応答で示されるアイドル タイムアウトは、常に Cisco Easy VPN リモート デバイスのトンネルを認証したユーザのアイドル タイムアウト値になります。

例

次に、「FirstGroup」という名前のグループ ポリシーに対して 45 分のアイドル タイムアウト値を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ユーザストレージはディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

ユーザ名、パスワード、および事前共有キーがコンフィギュレーションに示されていますが、セキュリティ アプライアンスではこの情報が内部アルゴリズムを使用して暗号化された形式で格納されるため、セキュリティのリスクは発生しません。

例

次に、anyfiler02a/new_share というパス、anyshare というファイル共有で、パスワードが 12345678 の newuser というユーザとして、ユーザ ストレージを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの特権レベルは 2 です。

 

コマンド履歴

 

使用上のガイドライン

login コマンドでは、このデータベースを認証用に使用します。

CLI にアクセスできるユーザや特権モードを開始できないユーザをローカル データベースに追加する場合は、コマンド認可をイネーブルにする必要があります （ aaa authorization command コマンドを参照）。コマンド認可をイネーブルにしなければ、ユーザは、特権レベルが 2 以上（デフォルトは 2）であれば、CLI で独自のパスワードを使用して特権 EXEC モード（およびすべてのコマンド）にアクセスできます。または、AAA 認証を使用してユーザが login コマンドを使用できないようにするか、すべてのローカル ユーザをレベル 1 に設定して enable パスワードで特権 EXEC モードにアクセスできるユーザを制御できます。

デフォルトでは、このコマンドで追加した VPN ユーザには属性またはグループ ポリシーが関連付けられません。 username attributes コマンドを使用して、明示的にすべての値を設定する必要があります。

例

次に、パスワードが 12345678、特権レベルが 12 の「anyuser」という名前のユーザを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

プライマリ属性のデフォルト値は CN（一般名）です。

セカンダリ属性のデフォルト値は OU（組織の部門）です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ユーザ名として使用する証明書内のフィールドを選択します。このコマンドは、リリース 8.0.4 以降で廃止された authorization-dn-attributes コマンドに代わるものです。 username-from-certificate コマンドは、セキュリティ アプライアンスに、指定した証明書フィールドをユーザ名/パスワード認可のためのユーザ名として使用するように強制します。

ユーザ名/パスワード認証または認可のために、証明書からのユーザ名の事前充填機能で、取得されたこのユーザ名を使用するには、トンネル グループ webvpn 属性モードで pre-fill-username コマンドも設定する必要があります。つまり、ユーザ名の事前充填機能を使用するには、両方のコマンドを設定する必要があります。

プライマリ属性およびセカンダリ属性の有効値は、次のとおりです。

例

次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、プライマリ属性として CN（一般名）、セカンダリ属性として OU を使用して、デジタル証明書から認可クエリーの名前を取得するように指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。 login コマンドでは、このデータベースを認証用に使用します。ユーザ名属性は、 username コマンドまたは username attributes コマンドを使用して設定できます。

設定ユーザ名コンフィギュレーション モードのコマンドの構文には、次のような共通する特徴があります。

• no 形式を使用すると、実行コンフィギュレーションから属性が削除されます。

• none キーワードを使用しても、実行コンフィギュレーションから属性が削除されます。ただし、このキーワードでは、属性をヌル値に設定し、継承されないようにすることによって、このことを行います。

• ブール型属性には、イネーブルおよびディセーブルの設定用に明示的な構文があります。

username attributes コマンドは、設定ユーザ名モードを開始し、次の属性を設定できるようにします。

ユーザ名の webvpn モード属性を設定するには、ユーザ名 webvpn コンフィギュレーション モードで username attributes コマンドを入力してから、 webvpn コマンドを入力します。詳細については、 webvpn コマンド（グループ ポリシー属性モードおよびユーザ名属性モード）の説明を参照してください。

例

次に、「anyuser」という名前のユーザのユーザ名属性コンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ユーザ名プロンプトのデフォルト テキストは、「USERNAME:」です。

ユーザ名プロンプトのデフォルト スタイルは、color:black;font-weight:bold;text-align:right です。

 

コマンド履歴

 

使用上のガイドライン

style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、テキストを「Corporate Username:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

値のデフォルトの動作はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを発行すると、設定されたメッセージを含むポップアップ ブラウザ ウィンドウがエンドユーザに表示されます。このコマンドでは、セキュリティ アプライアンス コンフィギュレーション ファイルは変更されません。

例

次の例は、DAP トレース デバッグをイネーブルにする方法を示しています。

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

SSL VPN 接続に成功すると、ポータル ページに、クリック可能な点滅するアイコンが表示されます。ユーザはそのアイコンをクリックして、接続に関連付けられているメッセージを確認できます。DAP ポリシーからの接続が終了し（アクション = 終了）、その DAP レコードにユーザ メッセージが設定されている場合は、そのメッセージがログイン画面に表示されます。

複数の DAP レコードが接続に適用される場合、セキュリティ アプライアンスは該当するユーザ メッセージを組み合わせて 1 つのストリングとして表示します。

例

次に、Finance という DAP レコードに「Hello Money Managers」というユーザ メッセージを設定する例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスの WebVPN サーバは、SSO サーバにシングル サインオン認証要求を送信することに HTTP POST 要求を使用します。要求されたコマンド user-parameter は、HTTP POST 要求に SSO 認証用のユーザ名パラメータを含める必要があることを指定します。

（注） ログイン時に、ユーザは実際の名前を入力します。この名前は、HTTP POST 要求に入力されて認証 Web サーバに渡されます。

例

次に、AAA サーバ ホスト コンフィギュレーション モードで、SSO 認証に使用される HTTP POST 要求にユーザ名パラメータ userid を含めることを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ユーザストレージはディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

ユーザ名、パスワード、および事前共有キーがコンフィギュレーションに示されていますが、セキュリティ アプライアンスではこの情報が内部アルゴリズムを使用して暗号化された形式で格納されるため、セキュリティのリスクは発生しません。

例

次に、anyfiler02a/new_share というパス、anyshare というファイル共有で、パスワードが 12345678 の newuser というユーザとして、ユーザ ストレージを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを設定すると、セキュリティ アプライアンスは、Framed IP 属性に加えて RADIUS 属性に対する照合も実行します。このコマンドは、インスタンスを複数設定できます。

RADIUS 属性タイプのリストは、インターネット割り当て番号局の Web サイトで参照できます。

http://www.iana.org/assignments/radius-types/radius-types.xml

例

次に、ユーザ名 RADIUS 属性の RADIUS アカウンティングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

リモート アクセス VPN では、配置の要件に応じて、Secure Sockets Layer（SSL）VPN、IP Security（IPSec; IP セキュリティ）、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。 validation-policy コマンドを使用して、オンボード CA 証明書へのアクセスに使用できるプロトコル タイプを指定できます。

このコマンドで no-chain オプションを指定すると、セキュリティ アプライアンスは、そのセキュリティ アプライアンスでトラストポイントとして設定されていない下位 CA 証明書をサポートできません。

セキュリティ アプライアンスでは、同じ CA に対して 2 つのトラストポイントを保持できます。これにより、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能がイネーブルになっている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

例

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントを SSL トラストポイントとして指定する例を示します。

次に、トラストポイント checkin1 に対してクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントが指定したトラストポイントの下位証明書を受け入れるように設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

現在のフラッシュ デバイスがデフォルトのファイル システムです。

（注） /md5 オプションを指定する場合、ftp、http、tftp などのネットワーク ファイルをソースとして使用できます。/md5 オプションを指定せずに verify コマンドを使用した場合は、フラッシュのローカル イメージのみを確認できます。

 

コマンド履歴

 

使用上のガイドライン

verify コマンドを使用して、ファイルを使用する前にそのチェックサムを確認します。

ディスクで配布される各ソフトウェア イメージでは、イメージ全体に対して 1 つのチェックサムが使用されます。このチェックサムは、イメージをフラッシュ メモリにコピーする場合にのみ表示され、イメージ ファイルをあるディスクから別のディスクにコピーする場合は表示されません。

新しいイメージをロードまたは複製する前に、そのイメージのチェックサムと MD5 情報を記録しておき、イメージをフラッシュ メモリまたはサーバにコピーするときにチェックサムを確認できるようにします。Cisco.com では、さまざまなイメージ情報を入手できます。

フラッシュ メモリの内容を表示するには、 show flash コマンドを使用します。フラッシュ メモリの内容のリストには、個々のファイルのチェックサムは含まれません。イメージをフラッシュ メモリにコピーした後で、そのイメージのチェックサムを再計算して確認するには、 verify コマンドを使用します。ただし、 verify コマンドでは、ファイルがファイル システムに保存された後にのみ、整合性チェックを実行します。破損しているイメージがセキュリティ アプライアンスに転送され、検出されずにファイル システムに保存される場合があります。破損しているイメージが正常にセキュリティ アプライアンスに転送されると、ソフトウェアはイメージが壊れていることを把握できず、ファイルの確認が正常に完了します。

Message-Digest5（MD5; メッセージ ダイジェスト 5）ハッシュ アルゴリズムを使用してファイルを検証するには、 /md5 オプションを指定して verify コマンドを使用します。MD5（RFC 1321 で規定）は、一意の 128 ビットのメッセージ ダイジェストを作成することによってデータ整合性を確認するアルゴリズムです。 verify コマンドの /md5 オプションを使用すると、セキュリティ アプライアンスのソフトウェア イメージの MD5 チェックサム値を、その既知の MD5 チェックサム値と比較することによって、イメージの整合性を確認できます。すべてのセキュリティ アプライアンスのソフトウェア イメージの MD5 値は、ローカル システムのイメージの値と比較するために、Cisco.com から入手できるようになっています。

MD5 整合性チェックを実行するには、 /md5 キーワードを指定して verify コマンドを発行します。たとえば、 verify /md5 flash:cdisk.bin コマンドを発行すると、ソフトウェア イメージの MD5 値が計算され、表示されます。この値を、Cisco.com で入手できるこのイメージの値と比較します。

または、まず Cisco.com から MD5 値を取得し、その値をコマンド構文で指定できます。たとえば、 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 コマンドを発行すると、MD5 値が一致するかどうかを示すメッセージが表示されます。MD5 値が一致しない場合は、いずれかのイメージが破損しているか、または入力した MD5 値が正しくありません。

例

次に、cdisk.bin というイメージ ファイルに対して使用された verify コマンドの例を示します。わかりやすくするために、一部のテキストは省略されています。

 

関連コマンド

 

構文の説明

 

デフォルト

セキュリティ アプライアンスは、バージョン 1 およびバージョン 2 のパケットを受信しますが、送信するのはバージョン 1 のパケットのみです。

 

コマンド履歴

 

使用上のガイドライン

インターフェイスで rip send version コマンドと rip receive version コマンドを入力することによって、インターフェイスごとにグローバルな設定を上書きすることができます。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

例

次に、すべてのインターフェイスで RIP バージョン 2 のパケットを送受信するようにセキュリティ アプライアンスを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスで HTTP 認証を使用する場合は（ aaa authentication match コマンドまたは aaa authentication include コマンドを参照）、セキュリティ アプライアンスで基本 HTTP 認証がデフォルトで使用されます。 redirect キーワードを指定した aaa authentication listener を使用して、セキュリティ アプライアンスが HTTP 接続をセキュリティ アプライアンスによって生成された Web ページにリダイレクトするように認証方式を変更できます。

ただし、基本 HTTP 認証の使用を続行する場合は、HTTP 認証をカスケードするときに virtual http コマンドが必要になることがあります。

セキュリティ アプライアンスに加えて宛先 HTTP サーバで認証が必要な場合は、 virtual http コマンドを使用して、セキュリティ アプライアンス（AAA サーバ経由）と HTTP サーバで別々に認証を受けることができます。仮想 HTTP を使用しない場合は、セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。AAA サーバと HTTP サーバでユーザ名とパスワードが異なる場合、HTTP 認証は失敗します。

このコマンドは、AAA 認証を必要とするすべての HTTP 接続をセキュリティ アプライアンス上の仮想 HTTP サーバにリダイレクトします。セキュリティ アプライアンスにより、AAA サーバのユーザ名とパスワードの入力を求めるプロンプトが表示されます。AAA サーバがユーザを認証すると、セキュリティ アプライアンスは HTTP 接続を元のサーバにリダイレクトして戻しますが、AAA サーバのユーザ名とパスワードは含めません。HTTP パケットにユーザ名とパスワードが含まれていないため、HTTP サーバによりユーザに HTTP サーバのユーザ名とパスワードの入力を求めるプロンプトが別途表示されます。

着信ユーザ（セキュリティの低い方から高い方へ向かう）については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 HTTP アドレスも含める必要があります。さらに、NAT が必要ない場合でも（ no nat-control コマンドを使用）、仮想 HTTP IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます（アドレスを同一アドレスに変換）。

発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 HTTP アドレスへのアクセスを許可してください。 static ステートメントは不要です。

（注） virtual http コマンドを使用する場合は、timeout uauth コマンドの期間を 0 秒に設定しないでください。設定すると、実際の Web サーバへの HTTP 接続ができなくなります。

例

次に、AAA 認証とともに仮想 HTTP をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

任意のプロトコルまたはサービスのネットワーク アクセス認証を設定できますが（ aaa authentication match コマンドまたは aaa authentication include コマンドを参照）、HTTP、Telnet、または FTP のみで直接認証することもできます。ユーザはまずこれらのサービスのいずれかで認証を行ってから、認証を要求する他のトラフィックの通過を認可する必要があります。HTTP、Telnet、または FTP のセキュリティ アプライアンスの通過を許可せず、その他のタイプのトラフィックを認証する場合は、セキュリティ アプライアンス上で設定された所定の IP アドレスにユーザが Telnet で接続し、セキュリティ アプライアンスによって Telnet プロンプトが表示されるように、仮想 Telnet を設定できます。

authentication match コマンドまたは aaa authentication include コマンドを使用して、仮想 Telnet アドレスおよび認証するその他のサービスへの Telnet アクセスに対する認証を設定する必要があります。

認証が済んでいないユーザが仮想 Telnet IP アドレスに接続すると、ユーザはユーザ名とパスワードを求められ、その後 AAA サーバにより認証されます。認証されると、ユーザには「Authentication Successful.」というメッセージが表示されます。それ以降、ユーザは認証を必要とする他のサービスに正常にアクセスできます。

着信ユーザ（セキュリティの低い方から高い方へ向かう）については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 Telnet アドレスも含める必要があります。さらに、NAT が必要ない場合でも（ no nat-control コマンドを使用）、仮想 Telnet IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます（アドレスを同一アドレスに変換）。

発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 Telnet アドレスへのアクセスを許可してください。 static ステートメントは不要です。

セキュリティ アプライアンスからログアウトするには、仮想 Telnet IP アドレスに再接続します。ログアウトするように求められます。

例

次に、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

1 つの VLAN をサブインターフェイスにのみ割り当てることができます。物理インターフェイスに割り当てることはできません。トラフィックがサブインターフェイスを通過するには、各サブインターフェイスに VLAN ID が必要となります。VLAN ID を変更するために no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を指定して vlan コマンドを入力すると、セキュリティ アプライアンスによって古い ID が変更されます。

サブインターフェイスをイネーブルにするには、 no shutdown コマンドを使用して物理インターフェイスをイネーブルにする必要があります。 サブインターフェイスをイネーブルにする場合、通常は、物理インターフェイスをトラフィックが通過しないようにします。これは、物理インターフェイスはタグなしパケットを通過させるためです。したがって、インターフェイスの停止によってトラフィックが物理インターフェイスを通過しないようにすることはできません。代わりに、 nameif コマンドを省略することによって、トラフィックが物理インターフェイスを通過しないようにします。物理インターフェイスでタグなしパケットを通過させる場合は、通常どおり nameif コマンドを設定できます。

サブインターフェイスの最大数は、プラットフォームによって異なります。プラットフォームごとのサブインターフェイスの最大数については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

例

次に、VLAN 101 をサブインターフェイスに割り当てる例を示します。

次に、VLAN を 102 に変更する例を示します。