AAA 用の RADIUS サーバーについて
Cisco ASA は AAA について、次の RFC 準拠 RADIUS サーバーをサポートしています。
-
Cisco Secure ACS 3.2、4.0、4.1、4.2、および 5.x
-
Cisco Identity Services Engine(ISE)
-
RSA 認証マネージャ 5.2、6.1 および 7.x の RSA Radius
-
Microsoft
サポートされている認証方式
ASA は、RADIUS サーバーでの次の認証方式をサポートします。
-
PAP:すべての接続タイプの場合。
-
CHAP および MS-CHAPv1:L2TP-over-IPsec 接続の場合。
-
MS-CHAPv2:L2TP-over-IPsec 接続の場合。また、パスワード管理機能がイネーブルで、通常の IPsec リモート アクセス接続の場合。MS-CHAPv2 は、クライアントレス接続でも使用できます。
-
認証プロキシ モード:RADIUS から Active Directory、RADIUS から RSA/SDI、Radius からトークン サーバー、RSA/SDI から RADIUS の各接続。
(注)
MS-CHAPv2 を、ASA と RADIUS サーバーの間の VPN 接続で使用されるプロトコルとしてイネーブルにするには、トンネル グループ一般属性でパスワード管理をイネーブルにする必要があります。パスワード管理を有効にすると、ASA から RADIUS サーバーへの MS-CHAPv2 認証要求が生成されます。詳細については、password-management コマンドの説明を参照してください。
二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバーが MS-CHAPv2 をサポートしない場合は、no mschapv2-capable コマンドを使用して、そのサーバーが MS-CHAPv2 以外の認証要求を送信するように設定できます。
VPN 接続のユーザー認証
ASA は、RADIUS サーバーを使用して、ダイナミック ACL またはユーザーごとの ACL 名を使用する VPN リモート アクセスおよびファイアウォール カットスルー プロキシ セッションのユーザー許可を実行できます。ダイナミック ACL を実装するには、これをサポートするように RADIUS サーバーを設定する必要があります。ユーザーを認証する場合、RADIUS サーバーによってダウンロード可能 ACL、または ACL 名が ASA に送信されます。所定のサービスへのアクセスが ACL によって許可または拒否されます。認証セッションの有効期限が切れると、ASA は ACL を削除します。
ACL に加えて、ASA は、VPN リモート アクセスおよびファイアウォール カットスルー プロキシ セッションの認証およびアクセス許可の設定を行うための多くの属性をサポートしています。
RADIUS 属性のサポートされるセット
ASA は次の RADIUS 属性のセットをサポートしています。
-
RFC 2138 に定義されている認証属性
-
RFC 2139 に定義されているアカウンティング属性
-
RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS 属性
-
Cisco IOS ベンダー固有属性(VSA)は、RADIUS ベンダー ID 9 で識別されます。
-
RADIUS ベンダー ID 3076 によって識別される Cisco VPN 関連 VSA
-
RFC 2548 に定義されている Microsoft VSA
サポートされる RADIUS 認証属性
認可では、権限または属性を使用するプロセスを参照します。認証サーバーとして定義されている RADIUS サーバーは、権限または属性が設定されている場合はこれらを使用します。これらの属性のベンダー ID は 3076 です。
次の表に、ユーザー認可に使用可能な、サポートされている RADIUS 属性の一覧を示します。
(注) |
RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。ASA は、属性名ではなく数値の属性 ID に基づいて RADIUS 属性を使用します。 次の表に示した属性はすべてダウンストリーム属性であり、RADIUS サーバーから ASA に送信されます。ただし、属性番号 146、150、151、および 152 を除きます。これらの属性番号はアップストリーム属性であり、ASA から RADIUS サーバーに送信されます。RADIUS 属性 146 および 150 は、認証および認可の要求の場合に ASA から RADIUS サーバーに送信されます。前述の 4 つの属性はすべて、アカウンティング開始、中間アップデート、および終了の要求の場合に ASA から RADIUS サーバーに送信されます。アップストリーム RADIUS 属性 146、150、151、152 は、バージョン 8.4(3) で導入されました。 |
属性名 |
ASA |
属性番号 |
構文/タイプ |
シングルまたはマルチ値 |
説明または値 |
---|---|---|---|---|---|
Access-Hours |
Y |
1 |
文字列 |
シングル |
時間範囲の名前(Business-hours など) |
Access-List-Inbound |
Y |
86 |
文字列 |
シングル |
ACL ID |
Access-List-Outbound |
Y |
87 |
文字列 |
シングル |
ACL ID |
Address-Pools |
Y |
217 |
文字列 |
シングル |
IP ローカル プールの名前 |
Allow-Network-Extension-Mode |
Y |
64 |
ブール |
シングル |
0 = 無効1 = 有効 |
Authenticated-User-Idle-Timeout |
Y |
50 |
整数 |
シングル |
1 ~ 35791394 分 |
Authorization-DN-Field |
Y |
67 |
文字列 |
シングル |
有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name |
Authorization-Required |
66 |
整数 |
シングル |
0 = いいえ 1 = はい |
|
Authorization-Type |
はい |
65 |
整数 |
シングル |
0 = なし 1 = RADIUS 2 = LDAP |
Banner1 |
Y |
15 |
文字列 |
シングル |
Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列 |
Banner2 |
Y |
36 |
文字列 |
シングル |
Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列。Banner2 文字列は Banner1 文字列に連結されます(設定されている場合)。 |
Cisco-IP-Phone-Bypass |
Y |
51 |
整数 |
シングル |
0 = 無効1 = 有効 |
Cisco-LEAP-Bypass |
Y |
75 |
整数 |
シングル |
0 = 無効1 = 有効 |
Client Type |
Y |
150 |
整数 |
シングル |
1 = Cisco VPN Client(IKEv1) 2 = AnyConnect Client SSL VPN 3 = Clientless SSL VPN 4 = Cut-Through-Proxy 5 = L2TP/IPsec SSL VPN 6 = AnyConnect Client IPsec VPN(IKEv2) |
Client-Type-Version-Limiting |
Y |
77 |
文字列 |
シングル |
IPsec VPN のバージョン番号を示す文字列 |
DHCP-Network-Scope |
Y |
61 |
文字列 |
シングル |
IP アドレス |
Extended-Authentication-On-Rekey |
Y |
122 |
整数 |
シングル |
0 = 無効1 = 有効 |
Framed-Interface-Id |
Y |
96 |
文字列 |
シングル |
割り当てられた IPv6 インターフェイス ID。完全に割り当てられた IPv6 アドレスを作成するために、Framed-IPv6-Prefix と組み合わせます。例:Framed-Interface-ID=1:1:1:1 と Framed-IPv6-Prefix=2001:0db8::/64 を組み合わせると、IP アドレス 2001:0db8::1:1:1:1 が得られます。 |
Framed-IPv6-Prefix |
Y |
97 |
文字列 |
シングル |
割り当てられた IPv6 プレフィックスと長さ。完全に割り当てられた IPv6 アドレスを作成するために、Framed-Interface-Id と組み合わせます。例:プレフィックス 2001:0db8::/64 と Framed-Interface-Id=1:1:1:1 を組み合わせると、IP アドレス 2001:0db8::1:1:1:1 が得られます。この属性を使用して、フレームインターフェイス Id を使用せずに IP アドレスを割り当てることができます。これには、プレフィックス長/128 を使用して完全な IPv6 アドレスを割り当てます(たとえば、フレーム化された IPv6 プレフィックス = 2001: 0db8:: 1/128)。 |
Group-Policy |
Y |
25 |
文字列 |
シングル |
リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2.x 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の形式のいずれかを使用できます。
|
IE-Proxy-Bypass-Local |
83 |
整数 |
シングル |
0 = なし 1 = ローカル |
|
IE-Proxy-Exception-List |
82 |
文字列 |
シングル |
改行(\n)区切りの DNS ドメインのリスト |
|
IE-Proxy-PAC-URL |
Y |
133 |
文字列 |
シングル |
PAC アドレス文字列 |
IE-Proxy-Server |
80 |
文字列 |
シングル |
IP アドレス |
|
IE-Proxy-Server-Policy |
81 |
整数 |
シングル |
1 = 変更なし 2 = プロキシなし 3 = 自動検出 4 = コンセントレータ設定を使用する |
|
IKE-KeepAlive-Confidence-Interval |
Y |
68 |
整数 |
シングル |
10 ~ 300 秒 |
IKE-Keepalive-Retry-Interval |
Y |
84 |
整数 |
シングル |
2 ~ 10 秒 |
IKE-Keep-Alives |
Y |
41 |
ブール |
シングル |
0 = 無効1 = 有効 |
Intercept-DHCP-Configure-Msg |
Y |
62 |
ブール |
シングル |
0 = 無効1 = 有効 |
IPsec-Allow-Passwd-Store |
Y |
16 |
ブール |
シングル |
0 = 無効1 = 有効 |
IPsec-Authentication |
13 |
整数 |
シングル |
0 = なし 1 = RADIUS 2 = LDAP(認可のみ) 3 = NT ドメイン 4 = SDI 5 = 内部 6 = RADIUS での Expiry 認証 7 = Kerberos/Active Directory |
|
IPsec-Auth-On-Rekey |
Y |
42 |
ブール |
シングル |
0 = 無効1 = 有効 |
IPsec-Backup-Server-List |
Y |
60 |
文字列 |
シングル |
サーバー アドレス(スペース区切り) |
IPsec-Backup-Servers |
Y |
59 |
文字列 |
シングル |
1 = クライアントが設定したリストを使用する 2 = クライアント リストをディセーブルにして消去する 3 = バックアップ サーバー リストを使用する |
IPsec-Client-Firewall-Filter-Name |
57 |
文字列 |
シングル |
クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。 |
|
IPsec-Client-Firewall-Filter-Optional |
Y |
58 |
整数 |
シングル |
0 = 必須 1 = オプション |
IPsec-Default-Domain |
Y |
28 |
文字列 |
シングル |
クライアントに送信するデフォルト ドメイン名を 1 つだけ指定します(1 ~ 255 文字)。 |
IPsec-IKE-Peer-ID-Check |
Y |
40 |
整数 |
シングル |
1 = 必須 2 = ピア証明書でサポートされる場合 3 = チェックしない |
IPsec-IP-Compression |
Y |
39 |
整数 |
シングル |
0 = 無効1 = 有効 |
IPsec-Mode-Config |
Y |
31 |
ブール |
シングル |
0 = 無効1 = 有効 |
IPsec-Over-UDP |
Y |
34 |
ブール |
シングル |
0 = 無効1 = 有効 |
IPsec-Over-UDP-Port |
Y |
35 |
整数 |
シングル |
4001 ~ 49151。デフォルトは 10000 です。 |
IPsec-Required-Client-Firewall-Capability |
Y |
56 |
整数 |
シングル |
0 = なし 1 = リモート FW Are-You-There(AYT)で定義されているポリシー 2 = Policy pushed CPP 4 = サーバーからのポリシー |
IPsec-Sec-Association |
12 |
文字列 |
シングル |
セキュリティ アソシエーションの名前 |
|
IPsec-Split-DNS-Names |
Y |
29 |
文字列 |
シングル |
クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。 |
IPsec-Split-Tunneling-Policy |
Y |
55 |
整数 |
シングル |
0 = スプリット トンネリングなし 1 = スプリット トンネリング 2 = ローカル LAN を許可 |
IPsec-Split-Tunnel-List |
Y |
27 |
文字列 |
シングル |
スプリット トンネルの包含リストを記述したネットワークまたは ACL の名前を指定します。 |
IPsec-Tunnel-Type |
Y |
30 |
整数 |
シングル |
1 = LAN-to-LAN 2 = リモート アクセス |
IPsec-User-Group-Lock |
33 |
ブール |
シングル |
0 = 無効1 = 有効 |
|
IPv6-Address-Pools |
Y |
218 |
文字列 |
シングル |
IP ローカル プール IPv6 の名前 |
IPv6-VPN-Filter |
Y |
219 |
文字列 |
シングル |
ACL 値 |
L2TP-Encryption |
21 |
整数 |
シングル |
ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化/ステートレスが必要 |
|
L2TP-MPPC-Compression |
38 |
整数 |
シングル |
0 = 無効1 = 有効 |
|
Member-Of |
Y |
145 |
文字列 |
シングル |
カンマ区切りの文字列。例:
ダイナミック アクセス ポリシーで使用できる管理属性。グループ ポリシーは設定されません。 |
MS-Client-Subnet-Mask |
Y |
63 |
ブール |
シングル |
IP アドレス |
NAC-Default-ACL |
92 |
文字列 |
ACL |
||
NAC-Enable |
89 |
整数 |
シングル |
0 = いいえ 1 = はい |
|
NAC-Revalidation-Timer |
91 |
整数 |
シングル |
300 ~ 86400 秒 |
|
NAC-Settings |
Y |
141 |
文字列 |
シングル |
NAC ポリシーの名前 |
NAC-Status-Query-Timer |
90 |
整数 |
シングル |
30 ~ 1800 秒 |
|
Perfect-Forward-Secrecy-Enable |
Y |
88 |
ブール |
シングル |
0 = いいえ 1 = はい |
PPTP-Encryption |
20 |
整数 |
シングル |
ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化/ステートレスが必要 |
|
PPTP-MPPC-Compression |
37 |
整数 |
シングル |
0 = 無効1 = 有効 |
|
Primary-DNS |
Y |
5 |
文字列 |
シングル |
IP アドレス |
Primary-WINS |
Y |
7 |
文字列 |
シングル |
IP アドレス |
Privilege-Level |
Y |
220 |
整数 |
シングル |
0 ~ 15 の整数。 |
Required-Client- Firewall-Vendor-Code |
Y |
45 |
整数 |
シングル |
1 = Cisco Systems(Cisco Integrated Client を使用) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = Cisco Systems(Cisco Intrusion Prevention Security Agent を使用) |
Required-Client-Firewall-Description |
Y |
47 |
文字列 |
シングル |
文字列 |
Required-Client-Firewall-Product-Code |
Y |
46 |
整数 |
シングル |
シスコ製品: 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 製品: 1 = BlackIce Defender/Agent Sygate 製品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent |
Required-Individual-User-Auth |
Y |
49 |
整数 |
シングル |
0 = 無効1 = 有効 |
Require-HW-Client-Auth |
Y |
48 |
ブール |
シングル |
0 = 無効1 = 有効 |
Secondary-DNS |
Y |
6 |
文字列 |
シングル |
IP アドレス |
Secondary-WINS |
Y |
8 |
文字列 |
シングル |
IP アドレス |
SEP-Card-Assignment |
9 |
整数 |
シングル |
未使用 |
|
Session Subtype |
Y |
152 |
整数 |
シングル |
0 = なし 1 =クライアントレス 2 =クライアント 3 =クライアントのみ Session Subtype が適用されるのは、Session Type(151)属性の値が 1、2、3、または 4 の場合のみです。 |
Session Type |
Y |
151 |
整数 |
シングル |
0 = なし 1 = AnyConnect Client SSL VPN 2 = AnyConnect Client IPSec VPN(IKEv2) 3 = クライアントレス SSL VPN 4 = クライントレス電子メール プロキシ 5 = Cisco VPN Client(IKEv1) 6 = IKEv1 LAN-LAN 7 = IKEv2 LAN-LAN 8 = VPN ロード バランシング |
Simultaneous-Logins |
Y |
2 |
整数 |
シングル |
0-2147483647 |
Smart-Tunnel |
Y |
136 |
文字列 |
シングル |
スマート トンネルの名前 |
Smart-Tunnel-Auto |
Y |
138 |
整数 |
シングル |
0 = ディセーブル 1 = イネーブル 2 = 自動スタート |
Smart-Tunnel-Auto-Signon-Enable |
Y |
139 |
文字列 |
シングル |
ドメイン名が付加された Smart Tunnel Auto Signon リストの名前 |
Strip-Realm |
Y |
135 |
ブール |
シングル |
0 = 無効1 = 有効 |
SVC-Ask |
Y |
131 |
文字列 |
シングル |
0 = ディセーブル 1 = イネーブル 3 = デフォルト サービスをイネーブルにする 5 = デフォルト クライアントレスをイネーブルにする (2 と 4 は使用しない) |
SVC-Ask-Timeout |
Y |
132 |
整数 |
シングル |
5 ~ 120 秒 |
SVC-DPD-Interval-Client |
Y |
108 |
整数 |
シングル |
0 = オフ 5 ~ 3600 秒 |
SVC-DPD-Interval-Gateway |
Y |
109 |
整数 |
シングル |
0 = オフ 5 ~ 3600 秒 |
SVC-DTLS |
Y |
123 |
整数 |
シングル |
0 = False 1 = True |
SVC-Keepalive |
Y |
107 |
整数 |
シングル |
0 = オフ 15 ~ 600 秒 |
SVC-Modules |
Y |
127 |
文字列 |
シングル |
文字列(モジュールの名前) |
SVC-MTU |
Y |
125 |
整数 |
シングル |
MTU 値 256 ~ 1406 バイト |
SVC-Profiles |
Y |
128 |
文字列 |
シングル |
文字列(プロファイルの名前) |
SVC-Rekey-Time |
Y |
110 |
整数 |
シングル |
0 = ディセーブル 1 ~ 10080 分 |
Tunnel Group Name |
Y |
146 |
文字列 |
シングル |
1 ~ 253 文字 |
Tunnel-Group-Lock |
Y |
85 |
文字列 |
シングル |
トンネル グループの名前または「none」 |
Tunneling-Protocols |
Y |
11 |
整数 |
シングル |
1 = PPTP 2 = L2TP 4 = IPSec (IKEv1) 8 = L2TP/IPSec 16 = WebVPN 32 = SVC 64 = IPsec (IKEv2) 8 と 4 は相互排他。0 ~ 11、16 ~ 27、32 ~ 43、48 ~ 59 は有効な値。 |
Use-Client-Address |
17 |
ブール |
シングル |
0 = 無効1 = 有効 |
|
VLAN |
Y |
140 |
整数 |
シングル |
0 ~ 4094 |
WebVPN-Access-List |
Y |
73 |
文字列 |
シングル |
アクセス リスト名 |
WebVPN ACL |
Y |
73 |
文字列 |
シングル |
デバイスの WebVPN ACL 名 |
WebVPN-ActiveX-Relay |
Y |
137 |
整数 |
シングル |
0 = 無効 その他 = 有効 |
WebVPN-Apply-ACL |
Y |
102 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Auto-HTTP-Signon |
Y |
124 |
文字列 |
シングル |
予約済み |
WebVPN-Citrix-Metaframe-Enable |
Y |
101 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Content-Filter-Parameters |
Y |
69 |
整数 |
シングル |
1 = Java ActiveX 2 = Java スクリプト 4 = イメージ 8 = イメージに含まれるクッキー |
WebVPN-Customization |
Y |
113 |
文字列 |
シングル |
カスタマイゼーションの名前 |
WebVPN-Default-Homepage |
Y |
76 |
文字列 |
シングル |
URL(たとえば http://example-example.com) |
WebVPN-Deny-Message |
Y |
116 |
文字列 |
シングル |
有効な文字列(500 文字以内) |
WebVPN-Download_Max-Size |
Y |
157 |
整数 |
シングル |
0x7fffffff |
WebVPN-File-Access-Enable |
Y |
94 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-File-Server-Browsing-Enable |
Y |
96 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-File-Server-Entry-Enable |
Y |
95 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Group-based-HTTP/HTTPS-Proxy-Exception-List |
Y |
78 |
文字列 |
シングル |
オプションのワイルドカード(*)を使用したカンマ区切りの DNS/IP(たとえば、*.cisco.com、192.168.1.*、wwwin.cisco.com) |
WebVPN-Hidden-Shares |
Y |
126 |
整数 |
シングル |
0 = なし 1 = 表示される |
WebVPN-Home-Page-Use-Smart-Tunnel |
Y |
228 |
ブール |
シングル |
クライアントレス ホーム ページをスマート トンネル経由で表示する場合にイネーブルにします。 |
WebVPN-HTML-Filter |
Y |
69 |
Bitmap |
シングル |
1 = Java ActiveX 2 = スクリプト 4 = イメージ 8 = クッキー |
WebVPN-HTTP-Compression |
Y |
120 |
整数 |
シングル |
0 = オフ 1 = デフレート圧縮 |
WebVPN-HTTP-Proxy-IP-Address |
Y |
74 |
文字列 |
シングル |
http= または https= プレフィックス付きの、カンマ区切りの DNS/IP:ポート(例:http=10.10.10.10:80、https=11.11.11.11:443) |
WebVPN-Idle-Timeout-Alert-Interval |
Y |
148 |
整数 |
シングル |
0 ~ 30。0 = ディセーブル。 |
WebVPN-Keepalive-Ignore |
Y |
121 |
整数 |
シングル |
0 ~ 900 |
WebVPN-Macro-Substitution |
Y |
223 |
文字列 |
シングル |
無制限。 |
WebVPN-Macro-Substitution |
Y |
224 |
文字列 |
シングル |
無制限。 |
WebVPN-Port-Forwarding-Enable |
Y |
97 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Port-Forwarding-Exchange-Proxy-Enable |
Y |
98 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Port-Forwarding-HTTP-Proxy |
Y |
99 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-Port-Forwarding-List |
Y |
72 |
文字列 |
シングル |
ポート転送リスト名 |
WebVPN-Port-Forwarding-Name |
Y |
79 |
文字列 |
シングル |
名前の文字列(例、「Corporate-Apps」)。 このテキストでクライアントレス ポータル ホーム ページのデフォルト文字列「Application Access」が置き換えられます。 |
WebVPN-Post-Max-Size |
Y |
159 |
整数 |
シングル |
0x7fffffff |
WebVPN-Session-Timeout-Alert-Interval |
Y |
149 |
整数 |
シングル |
0 ~ 30。0 = ディセーブル。 |
WebVPN Smart-Card-Removal-Disconnect |
Y |
225 |
ブール |
シングル |
0 = 無効1 = 有効 |
WebVPN-Smart-Tunnel |
Y |
136 |
文字列 |
シングル |
スマート トンネルの名前 |
WebVPN-Smart-Tunnel-Auto-Sign-On |
Y |
139 |
文字列 |
シングル |
ドメイン名が付加されたスマート トンネル自動サインオン リストの名前 |
WebVPN-Smart-Tunnel-Auto-Start |
Y |
138 |
整数 |
シングル |
0 = 無効1 = 有効2 = 自動スタート |
WebVPN-Smart-Tunnel-Tunnel-Policy |
Y |
227 |
文字列 |
シングル |
「e ネットワーク名」、「i ネットワーク名」、「a」のいずれか。ここで、ネットワーク名は、スマート トンネル ネットワークのリストの名前です。e はトンネルが除外されることを示し、i はトンネルが指定されることを示し、a はすべてのトンネルを示します。 |
WebVPN-SSL-VPN-Client-Enable |
Y |
103 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-SSL-VPN-Client-Keep- Installation |
Y |
105 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-SSL-VPN-Client-Required |
Y |
104 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-SSO-Server-Name |
Y |
114 |
文字列 |
シングル |
有効な文字列 |
WebVPN-Storage-Key |
Y |
162 |
文字列 |
シングル |
|
WebVPN-Storage-Objects |
Y |
161 |
文字列 |
シングル |
|
WebVPN-SVC-Keepalive-Frequency |
Y |
107 |
整数 |
シングル |
15 ~ 600 秒、0=オフ |
WebVPN-SVC-Client-DPD-Frequency |
Y |
108 |
整数 |
シングル |
5 ~ 3600 秒、0=オフ |
WebVPN-SVC-DTLS-Enable |
Y |
123 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-SVC-DTLS-MTU |
Y |
125 |
整数 |
シングル |
MTU 値は 256 ~ 1406 バイトです。 |
WebVPN-SVC-Gateway-DPD-Frequency |
Y |
109 |
整数 |
シングル |
5 ~ 3600 秒、0=オフ |
WebVPN-SVC-Rekey-Time |
Y |
110 |
整数 |
シングル |
4 ~ 10080 分、0=オフ |
WebVPN-SVC-Rekey-Method |
Y |
111 |
整数 |
シングル |
0(オフ)、1(SSL)、2(新しいトンネル) |
WebVPN-SVC-Compression |
Y |
112 |
整数 |
シングル |
0(オフ)、1(デフォルトの圧縮) |
WebVPN-UNIX-Group-ID (GID) |
Y |
222 |
整数 |
シングル |
UNIX での有効なグループ ID |
WebVPN-UNIX-User-ID (UIDs) |
Y |
221 |
整数 |
シングル |
UNIX での有効なユーザー ID |
WebVPN-Upload-Max-Size |
Y |
158 |
整数 |
シングル |
0x7fffffff |
WebVPN-URL-Entry-Enable |
Y |
93 |
整数 |
シングル |
0 = 無効1 = 有効 |
WebVPN-URL-List |
Y |
71 |
文字列 |
シングル |
URL リスト名 |
WebVPN-User-Storage |
Y |
160 |
文字列 |
シングル |
|
WebVPN-VDI |
Y |
163 |
文字列 |
シングル |
設定のリスト |
サポートされる IETF RADIUS 認証属性
次の表に、サポートされる IETF RADIUS 属性の一覧を示します。
属性名 |
ASA |
属性番号 |
構文/タイプ |
シングルまたはマルチ値 |
説明または値 |
---|---|---|---|---|---|
IETF-Radius-Class |
Y |
25 |
シングル |
バージョン 8.2.x 以降では、Group-Policy 属性(VSA 3076、#25)を使用することをお勧めします。
|
|
IETF-Radius-Filter-Id |
Y |
11 |
文字列 |
シングル |
フル トンネルの IPsec クライアントと SSL VPN クライアントのみに適用される、ASA で定義された ACL 名。 |
IETF-Radius-Framed-IP-Address |
Y |
n/a |
文字列 |
シングル |
IP アドレス |
IETF-Radius-Framed-IP-Netmask |
Y |
n/a |
文字列 |
シングル |
IP アドレス マスク |
IETF-Radius-Idle-Timeout |
Y |
28 |
整数 |
シングル |
Seconds |
IETF-Radius-Service-Type |
Y |
6 |
整数 |
シングル |
秒。使用可能なサービス タイプの値:
|
IETF-Radius-Session-Timeout |
Y |
27 |
整数 |
シングル |
Seconds |
RADIUS アカウンティング切断の理由コード
これらのコードは、パケットを送信するときに ASA が切断された場合に返されます。
切断の理由コード |
---|
ACCT_DISC_USER_REQ = 1 |
ACCT_DISC_LOST_CARRIER = 2 |
ACCT_DISC_LOST_SERVICE = 3 |
ACCT_DISC_IDLE_TIMEOUT = 4 |
ACCT_DISC_SESS_TIMEOUT = 5 |
ACCT_DISC_ADMIN_RESET = 6 |
ACCT_DISC_ADMIN_REBOOT = 7 |
ACCT_DISC_PORT_ERROR = 8 |
ACCT_DISC_NAS_ERROR = 9 |
ACCT_DISC_NAS_REQUEST = 10 |
ACCT_DISC_NAS_REBOOT = 11 |
ACCT_DISC_PORT_UNNEEDED = 12 |
ACCT_DISC_PORT_PREEMPTED = 13 |
ACCT_DISC_PORT_SUSPENDED = 14 |
ACCT_DISC_SERV_UNAVAIL = 15 |
ACCT_DISC_CALLBACK = 16 |
ACCT_DISC_USER_ERROR = 17 |
ACCT_DISC_HOST_REQUEST = 18 |
ACCT_DISC_ADMIN_SHUTDOWN = 19 |
ACCT_DISC_SA_EXPIRED = 21 |
ACCT_DISC_MAX_REASONS = 22 |