- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月3日
章のタイトル: 許可および認証用の外部サーバの設定
許可および認証用の外部サーバの設定
この付録では、セキュリティ アプライアンスで AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、正しいセキュリティ アプライアンス認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。
権限および属性のポリシー実施の概要
セキュリティ アプライアンスは、ユーザ許可属性(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ属性を、セキュリティ アプライアンスの Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)から、外部認証サーバや許可 AAA サーバ(RADIUS または LDAP)から、セキュリティ アプライアンスのグループ ポリシーから、またはこれら 3 つのすべてから取得できるようにセキュリティ アプライアンスを設定できます。
セキュリティ アプライアンスがすべてのソースから属性を受信すると、それらの属性は評価および集約され、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。
セキュリティ アプライアンスは、次の順序で属性を適用します(図 B-1 も参照してください)。
1.
セキュリティ アプライアンスの DAP 属性:バージョン 8.0 に導入され、最も優先されます。DAP にブックマーク/URL リストを設定した場合、そのリストはグループ ポリシーのブックマーク/URL リスト セットよりも優先されます。
2. AAA サーバのユーザ属性:ユーザ認証または許可が成功すると、AAA サーバはこれらの属性を返します。これらの属性を、セキュリティ アプライアンスのローカル AAA データベースの個々のユーザに設定されている属性(ASDM のユーザ アカウント)と混同しないでください。
3. セキュリティ アプライアンスで設定されたグループ ポリシー:RADIUS サーバがユーザに対して RADIUS CLASS 属性 IETF-Class-25(OU=<group-policy>)の値を返す場合、セキュリティ アプライアンスは、ユーザを同じ名前のグループ ポリシーに配置し、サーバから返されないすべての属性をそのグループ ポリシーで適用します。LDAP サーバでは、任意の属性名を使用してセッションのグループ ポリシーを設定できます。セキュリティ アプライアンスで設定した LDAP 属性マップは、LDAP 属性を Cisco 属性 IETF-Radius-Class にマッピングします。
4. 接続プロファイル(CLI ではトンネル グループと呼ばれます)により割り当てられるグループ ポリシー:接続プロファイルは、接続の暫定的な設定を含み、認証前のユーザに適用されるデフォルトのグループ ポリシーが設定されています。セキュリティ アプライアンスに接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、DAP、サーバから返されるユーザ属性、またはユーザに割り当てられるグループ ポリシーで不足しているすべての属性が提供されます。
5. セキュリティ アプライアンスで割り当てられたデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト属性は、DAP、ユーザ属性、グループ ポリシー、または接続プロファイルで不足している値を提供します。
外部 LDAP サーバの設定
VPN 3000 コンセントレータと ASA/PIX 7.0 では、認証作業に Cisco LDAP スキーマが必要でした。バージョン 7.1.x 以降では、セキュリティ アプライアンスは、ネイティブ LDAP スキーマを使用して認証 および 許可を行うため、Cisco スキーマは必要とされません。
許可(権限ポリシー)の設定は、LDAP 属性マップを使用して行います。例については、次を参照してください。
「許可および認証用の外部サーバの設定」。
この項では、LDAP サーバの構造、スキーマ、および属性について説明します。説明する項目は次のとおりです。
• 「LDAP 操作のためのセキュリティ アプライアンスの構成」
• 「セキュリティ アプライアンスの LDAP コンフィギュレーションの定義」
• 「ASDM を使用して LDAP を設定する場合の追加情報」
上記のプロセスは、使用する LDAP サーバのタイプによって異なります。
(注) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。
LDAP 操作のためのセキュリティ アプライアンスの構成
この項では、LDAP 階層、およびセキュリティ アプライアンスの LDAP サーバへの認証済みバインディング内で検索を実行する方法について説明します。説明する項目は次のとおりです。
• 「階層の検索」
• 「セキュリティ アプライアンスと LDAP サーバのバインディング」
• 「Active Directory の Login DN の例」
LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 B-2 を参照してください。
マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。
階層の検索
セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合わせて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。
• LDAP Base DN は、サーバがセキュリティ アプライアンスから許可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。
• Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。
• Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前属性には、cn(一般名)、sAMAccountName、および userPrincipalName を含めることができます。
図 B-2 では、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 B-1 は、使用可能な 2 種類の検索のコンフィギュレーションを示します。
最初のコンフィギュレーションの例では、Terry が必要な LDAP 許可を得て自身の IPSec トンネル接続を確立すると、セキュリティ アプライアンスは LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検索は短時間でできます。
2 番目のコンフィギュレーションの例では、セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。
|
|
|
|
|
|
|---|---|---|---|---|
セキュリティ アプライアンスと LDAP サーバのバインディング
一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。Login DN フィールドでは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理特権を持つユーザの特性に対応している必要があります。たとえば、Login DN フィールドを cn=Administrator、cn=users、ou=people、dc=example、dc=com のように定義できます。
(注) LDAP クライアントとして、セキュリティ アプライアンスは、匿名のバインドまたは要求の送信をサポートしていません。
Active Directory の Login DN の例
Login DN は、ユーザ検索が行われる前に、セキュリティ アプライアンスがバインドの交換中に LDAP クライアントと LDAP サーバ間の信頼性を確立するために使用する LDAP サーバ上のユーザ名です。
VPN の認証/許可の操作、および、バージョン 8.0.4 以降の AD グループの取得(password-management の変更が不要なときの読み取り専用操作)では、特権の低い Login DN を使用できます。たとえば、Login DN には、Domain Users グループの memberOf で指定されているユーザを指定できます。
VPN の password-management の変更では、Login DN にはアカウント オペレータの特権が必要となります。
これらのいずれの場合でも、Login/Bind DN には、スーパーユーザ レベルの特権は必要ありません。特定の Login DN 要件については、LDAP アドミニストレータ ガイドを参照してください。
セキュリティ アプライアンスの LDAP コンフィギュレーションの定義
この項では、LDAP AV-pair 属性の構文の定義方法について説明します。説明する項目は次のとおりです。
• 「LDAP 許可でサポートされている Cisco 属性」
(注) セキュリティ アプライアンスは、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、名前ではなく数値の ID が使用されます。
許可では、権限または属性を使用するプロセスを参照します。認証サーバまたは許可サーバとして定義されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。
ソフトウェア バージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。バージョン 7.1 以降では、このプレフィックスは削除されています。
LDAP 許可でサポートされている Cisco 属性
この項では、ASA 5500、VPN 3000、および PIX 500 シリーズのセキュリティ アプライアンスで使用される属性の詳細なリスト( 表 B-2 )を示します。この表には、これらのセキュリティ アプライアンスを組み合わせたネットワーク構成に役立つ VPN 3000 と PIX 500 シリーズの属性サポート情報が含まれています。
|
|
|
|
|
タイプ |
|
|
|---|---|---|---|---|---|---|
|
|
|
|
|
|
(Business-Hours など) |
|
| [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 詳細については、 Cisco-AV-Pair 属性構文を参照してください。 |
||||||
有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name |
||||||
1 = プロキシ設定を変更しない |
||||||
|
|
|
|
|
1 = RADIUS 2 = LDAP(許可のみ) 3 = NT ドメイン 4 = SDI(RSA) 5 = 内部 6 = RADIUS での Expiry 7 = Kerberos/Active Directory |
||
1 = クライアントが設定したリストを使用する |
||||||
0 = なし |
||||||
|
|
|
|
||||
| 1 = 暗号化が必要 |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 = シスコ(Cisco Integrated Client を使用) |
||||||
| 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) 1 = Zone Alarm 1 = Personal Firewall |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
2 = L2TP 4 = IPSec 8 = L2TP/IPSec 16 = WebVPN. 8 および 4 は相互排他値 (0 ~ 11、16 ~ 27 は有効値) |
||||
1 = Java および ActiveX 複数のパラメータをフィルタリングするには値を加算します。たとえば、Java スクリプトとクッキーの両方をフィルタリングするには 10 を入力します。(10 = 2 + 8) |
||||||
Cisco-AV-Pair 属性構文
[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]
表 B-3 で構文のルールについて説明します。
(注) リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。
SSL VPN クライアントレス(ブラウザモード)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。
表 B-4 に、Cisco-AV-Pair 属性のトークンの一覧を示します。
ASDM を使用して LDAP を設定する場合の追加情報
ASDM を使用して LDAP を設定する場合の追加情報は、次の URL の Cisco.com のセキュリティ アプライアンスに関するマニュアル領域で入手できます。
http://www.cisco.com/en/US/products/ps6121/
products_installation_and_configuration_guides_list.html
カテゴリ「Selected ASDM Configuration Topics for ASA」には、Microsoft Active Directory サーバを使用してセキュリティ アプライアンス上で認証および許可を設定する手順の例が含まれています。
• AnyConnect トンネルへのスタティック IP アドレスの割り当て
その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。
• 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml
• 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』
http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml
外部 RADIUS サーバの設定
この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。説明する項目は次のとおりです。
• 「セキュリティ アプライアンスの RADIUS 許可属性」
RADIUS 設定手順の確認
この項では、セキュリティ アプライアンスのユーザ認証および許可をサポートするために必要な RADIUS 設定手順について説明します。次の手順に従って、セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。
ステップ 1 セキュリティ アプライアンスの属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。
• Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがって、この手順をスキップできます。
• FUNK RADIUS サーバを使用している場合:シスコは、セキュリティ アプライアンスの属性がすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。
• 他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):セキュリティ アプライアンスの各属性を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。セキュリティ アプライアンス RADIUS 許可属性および値のリストについては、 表 B-5 を参照してください。
ステップ 2 権限および属性を持つユーザまたはグループをセットアップし、IPSec または SSL トンネルの確立時に送信します。
セキュリティ アプライアンスの RADIUS 許可属性
許可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。
表 B-5 に、ユーザ許可に使用でき、セキュリティ アプライアンスがサポートしている使用可能なすべての RADIUS 属性の一覧を示します。
(注) RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を使用します。LDAP 属性は、ID ではなく属性名で使用します。
外部 TACACS+ サーバの設定
セキュリティ アプライアンス は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。
(注) TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。
表 B-6 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 許可応答属性の一覧を示します。 表 B-7 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。
|
|
|
|---|---|
|
|
|
|---|---|
トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
|
トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
|
フィードバック