ユーザアイデンティティソース

以下のトピックでは、ユーザ認識のソースである、Firepower システムユーザのアイデンティティソースについて説明しています。これらのユーザは、アイデンティティおよびアクセスコントロールポリシーで制御できます。

ユーザアイデンティティソースについて

次の表に、Firepower システムでサポートされているユーザアイデンティティソースの概要を示します。各アイデンティティソースは、ユーザ認識のためのユーザの記憶域を提供します。これらのユーザは、アイデンティティおよびアクセスコントロールポリシーで制御できます。


ユーザアイデンティティソース	ポリシー	サーバ要件	タイプ（Type）	認証タイプ（Authentication Type）	ユーザ認識	ユーザ制御	詳細
ユーザエージェント	アイデンティティ	Microsoft Active Directory	権限のあるログイン	パッシブ	○	○	ユーザエージェントのアイデンティティソース
ISE	アイデンティティ	Microsoft Active Directory	権限のあるログイン	パッシブ	○	○	ISE アイデンティティソース
TS エージェント	アイデンティティ	Microsoft Windows Terminal Server	権限のあるログイン	パッシブ	○	○	ターミナルサービス（TS）エージェントのアイデンティティソース
キャプティブポータル	アイデンティティ	LDAP または Microsoft Active Directory	権限のあるログイン	Active	○	○	キャプティブポータルのアイデンティティソース
トラフィックベースの検出	ネットワーク検出	適用対象外	権限のないログイン	適用対象外	[はい（Yes）]	[いいえ（No）]	トラフィックベース検出のアイデンティティソース

展開するアイデンティティソースを選択する際には、以下を検討してください。

非 LDAP ユーザログインにはトラフィックベースの検出を使用する必要があります。たとえば、ユーザエージェントのみを使用してユーザアクティビティを検出している場合は、非 LDAP ログインを制限しても効果はありません。
失敗したログインまたは認証アクティビティを記録するには、トラフィックベースの検出またはキャプティブポータルを使用する必要があります。失敗したログインまたは認証試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。
キャプティブポータルのアイデンティティソースには、ルーテッドインターフェイスを備えた管理対象デバイスが必要です。キャプティブポータルでインライン（タップモードとも呼ばれます）インターフェイスを使用することはできません。

これらのアイデンティティソースからのデータは、Firepower Management Center のユーザデータベースとユーザアクティビティデータベースに格納されます。Firepower Management Center サーバユーザダウンロードを設定して、新しいユーザデータがデータベースに自動的かつ定期的にダウンロードされるようにできまます。

必要なアイデンティティソースを使用してアイデンティティルールを設定したら、各ルールにアクセスコントロールポリシーを関連付け、ポリシーを有効にするために管理対象デバイスに展開する必要があります。アクセスコントロールポリシーおよび展開の詳細については、ユーザ条件、レルム条件、および ISE 属性条件（ユーザ制御）を参照してください。

Firepower システムでのユーザ検出の一般情報については、ユーザアイデンティティについてを参照してください。

ユーザエージェントのアイデンティティソース

ユーザエージェントは、パッシブ認証方法で、信頼できるアイデンティティソース（つまり、信頼された Active Directory サーバでユーザ情報が提供されます）でもあります。ユーザエージェントは、Firepower システムと統合されると、ユーザが Active Directory クレデンシャルでホストにログインする、またはホストからログアウトするときに、そのユーザをモニタします。ユーザエージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。

ユーザエージェントは、各ユーザを IP アドレスと関連付けます。これにより、ユーザ条件を使用するアクセスコントロールルールをトリガーすることができます。1 つのユーザエージェントを使用して、最大 5 つの Active Directory サーバでユーザアクティビティをモニタでき、最大 5 つの Firepower Management Center に暗号化データを送信できます。

ユーザエージェントは失敗したログイン試行を報告しません。

ユーザエージェントのガイドライン

ユーザエージェントは、以下を含む段階的な設定が必要です。

ユーザエージェントがインストールされている少なくとも 1 台のコンピュータ。
ユーザエージェントがインストールされたコンピュータまたは Active Directory サーバと Firepower Management Center との間の接続。
ユーザエージェントからユーザデータを受け取る各 Firepower Management Center で設定されたアイデンティティレルム。

段階的なユーザエージェントの設定とサーバの要件の詳細については、『Firepower ユーザエージェント構成ガイド』を参照してください。

（注）

コンピュータまたは Active Directory サーバの時間が Firepower Management Center の時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。

Firepower Management Center接続は、ログインとログオフがユーザエージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセスコントロールルール内で使用するユーザとグループを指定するためにも使用されます。ユーザエージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログインデータは Firepower Management Center に報告されません。ユーザエージェントのデータは、Firepower Management Center のユーザデータベースとユーザアクティビティデータベースに保存されます。

（注）

ユーザエージェントは $ 記号で終わる Active Directory ユーザ名を Firepower Management Centerに送信できません。これらのユーザをモニタする場合は、最後の $ の文字を削除する必要があります。

複数のユーザがリモートセッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防ぐ方法の詳細については、『Firepower ユーザエージェント構成ガイド』を参照してください。

ユーザ制御のためのユーザエージェントの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	グローバルだけ	Admin/Access Admin/Network Admin

ユーザエージェントの詳細については、ユーザエージェントのアイデンティティソースを参照してください。

始める前に

の説明に従って、ユーザエージェント接続用の Active Directory レルムを設定し、有効にします。

手順

ステップ 1

Firepower Management Center にログインします。

ステップ 2

[システム（System）] > [統合（Integration）] をクリックします。

ステップ 3

[アイデンティティの送信元（Identity Sources）] タブをクリックします。

ステップ 4

[サービスタイプ（Service Type）] に [ユーザエージェント（User Agent）] をクリックし、ユーザエージェント接続を有効にします。

（注）

接続を無効にするには、[なし（None）] をクリックします。

ステップ 5

[新規エージェント（New Agent）] をクリックして新しいエージェントを追加します。

ステップ 6

エージェントをインストールするコンピュータの [ホスト名（Hostname）] または [アドレス（Address）] を入力します。IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用してユーザエージェントに接続するように Firepower Management Centerを設定することはできません。

ステップ 7

[追加（Add）] をクリックします。

ステップ 8

接続を削除するには、削除アイコン（）をクリックして、その削除を確認します。

次のタスク

Firepower ユーザエージェント構成ガイドの説明に従って、ユーザエージェントの設定を続けます。
の説明に従ってアイデンティティルールを設定します。
アイデンティティポリシーをアクセスコントロールポリシーに関連付けます（アクセス制御への他のポリシーの関連付けを参照）。
設定変更の展開の説明に従って、使用するアイデンティティポリシーとアクセスコントロールポリシーを管理対象デバイスに展開します。

ユーザエージェントアイデンティティソースのトラブルシューティング

ユーザエージェント接続に問題が起こった場合は、Firepower ユーザエージェント構成ガイドを確認してください。

このガイドの関連するトラブルシューティング情報については、レルムとユーザのダウンロードのトラブルシュートとユーザ制御のトラブルシューティングを参照してください。

ユーザエージェントによって報告されるユーザデータに関する問題が発生した場合は、次の点に注意してください。

システムはデータがまだデータベースにないユーザエージェントユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。ユーザのアクティビティは、システムがユーザのダウンロードでユーザに関する情報の取得に成功するまでルールで処理されず、Web インターフェイスに表示されません。
Firepower Management Center のハイアベイラビリティが設定されており、プライマリが失敗した場合、たとえ以前ユーザを確認できており、Firepower Management Center にダウンロード済みであっても、フェールオーバーダウンタイム中にユーザエージェントが報告したすべてのログインが特定不能となります。未確認のユーザは Firepower Management Center には不明なユーザとして記録されます。ダウンタイム後、[不明（Unknown）] ユーザはアイデンティティポリシーのルールに従って再び識別され、処理されます。
ユーザエージェントが TS エージェントと同じユーザをモニタした場合、システムは TS エージェントのデータを優先します。TS エージェントとユーザエージェントが同じ IP アドレスによる同一のアクティビティを報告した場合は、TS エージェントのデータのみがログに記録されます。
アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、（クライアントではない）サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

ISE アイデンティティソース

Cisco Identity Services Engine（ISE）の展開を Firepower システムと統合して、ISE をパッシブ認証に使用できます。

ISE は、信頼できるアイデンティティソースで、Active Directory（AD）、LDAP、RADIUS、または RSA を使用して認証するユーザに関するユーザ認識データを提供します。さらに、Active Directory ユーザのユーザ制御を行えます。ISE は、ISE ゲストサービスユーザの失敗したログイン試行またはアクティビティは報告しません。

（注）

FirePOWER システムは、マシンの認証をユーザと関連付けないため、Active Directory 認証と同時に 802.1x マシン認証をサポートすることはできません。802.1x アクティブログインを使用する場合は、802.1x アクティブログイン（マシンとユーザの両方）だけを報告するように ISE を設定します。このように設定すれば、マシンログインはシステムに 1 回だけ報告されます。

Cisco ISE の詳細については、Cisco Identity Services Engine Administrator Guideを参照してください。

ISE のガイドラインと制限事項

Firepower システムで ISE を構成する際に、このセクションで説明されているガイドラインを使用してください。

ISE バージョンと設定の互換性

ご使用の ISE バージョンと設定は、次のように Firepower との統合や相互作用に影響を与えます。

ISE サーバと Firepower Management Center の時刻を同期します。そうしないと、システムが予期しない間隔でユーザのタイムアウトを実行する可能性があります。
ISE データを使用してユーザ制御を実装するには、レルムの作成の説明に従って、pxGrid のペルソナを想定して ISE サーバのレルムを設定し有効にします。
ISE サーバに接続する各 Firepower Management Center ホスト名は一意である必要があります。そうでない場合、Firepower Management Center のいずれかへの接続は廃棄されます。
ISE のバージョン 1.3 には、IPv6 対応エンドポイントのサポートが含まれていません。ISE のこのバージョンを実行している場合、ユーザアイデンティティデータを収集したり、IPv6 対応エンドポイント上で修正を実行したりすることはできません。
ISE のバージョン 2.0 パッチ 4 以降には、IPv6 対応エンドポイントのサポートが含まれています。
ISE の展開で ISE Endpoint Protection Service（EPS）が有効で設定されている場合は、ISE 接続を使用して、相関ポリシー違反に関与している送信元または宛先ホストに対する ISE EPS 修復を実行できます。
ユーザの EPSStatus が変更された後でユーザの SGT を更新するように ISE の展開を設定した場合は、ISE EPS 修復により、Firepower Management Center 上の SGT も更新されます。

システムのこのバージョンと互換性がある特定のバージョンの ISE については、『Cisco Firepower Compatibility Guide』を参照してください。

ISE でのクライアントの認証

ISE サーバと Firepower Management Center の間の接続が成功するには、ISE でクライアントを手動で承認する必要があります。（通常、接続テスト用と ISE エージェント用の 2 つのクライアントがあります）。

『Cisco Identity Services Engine Administrator Guide』の「Managing users and external identity sources」の章で説明しているように、ISE で [新しいアカウントを自動的に承認（Automatically approve new accounts）] を有効にすることもできます。

セキュリティグループタグ（SGT）（Security Group Tag (SGT)）

セキュリティグループタグ（SGT）は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。Cisco ISE および Cisco TrustSec は、ネットワークに入るときに、セキュリティグループアクセス（SGA）と呼ばれる機能を使用して、パケットに SGT 属性を適用します。これらの SGT は、ISE または TrustSec 内のユーザの割り当てられたセキュリティグループに対応します。ID ソースとして ISE を設定すると、Firepower システムは、これらの SGT を使用してトラフィックをフィルタリングできます。

（注）

ISE SGT 属性タグのみを使用してユーザ制御を実装する場合、ISE サーバのレルムを設定する必要はありません。ISE SGT 属性条件は、関連するアイデンティティポリシーの有無にかかわらずポリシーで設定できます。詳細については、ISE 属性条件の設定を参照してください。

（注）

一部のルールでは、カスタム SGT 条件が ISE によって割り当てられなかった SGT 属性にタグ付けされたトラフィックを照合できます。これはユーザ制御とみなされず、アイデンティティソースとして ISE を使用しない場合にのみ機能します。カスタム SGT 条件を参照してください。

エンドポイントロケーション（Endpoint Location）（またはロケーション IP（Location IP））

[エンドポイントロケーション（Endpoint Location）] 属性は、ISE によって識別される、ユーザの認証に ISE を使用したネットワークデバイスの IP アドレスです。

[エンドポイントロケーション（Endpoint Location）]（[ロケーション IP（Location IP）]）に基づいてトラフィックを制御するには、アイデンティティポリシーを設定し、展開する必要があります。

ISE 属性

ISE 接続を設定すると、ISE 属性データが Firepower Management Center データベースに入力されます。ユーザ認識とユーザ制御に使用できる ISE 属性は、次のとおりです。

エンドポイントプロファイル（Endpoint Profile）（またはデバイスタイプ（Device Type））

[エンドポイントプロファイル（Endpoint Profile）] 属性は、ISE によって識別されるユーザのエンドポイントデバイスタイプです。

[エンドポイントプロファイル（Endpoint Profile）]（[デバイスタイプ（Device Type）]）に基づいてトラフィックを制御するには、アイデンティティポリシーを設定し、展開する必要があります。

ユーザ制御用 ISE の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	グローバルだけ	Admin/Access Admin/Network Admin

始める前に

レルムの作成の説明に従い、pxGrid ペルソナを想定して ISE サーバのレルムを設定し、有効にします。
暗号化接続を使用して ISE サーバで Firepower Management Center を認証するには、Firepower Management Center のアクセス元となるマシンで証明書データとキーを利用可能にするか、証明書を作成します。

手順

ステップ 1

Firepower Management Center にログインします。

ステップ 2

[システム（System）] > [統合（Integration）] をクリックします。

ステップ 3

[アイデンティティの送信元（Identity Sources）] タブをクリックします。

ステップ 4

[サービスタイプ（Service Type）] で [Identity Services Engine] をクリックし、ISE 接続を有効にします。

（注）

接続を無効にするには、[なし（None）] をクリックします。

ステップ 5

[プライマリホスト名/IP アドレス（Primary Host Name/IP Address）]、およびオプションで [セカンダリホスト名/IP アドレス（Secondary Host Name/IP Address）] を入力します。

ステップ 6

[pxGrid サーバ CA（pxGrid Server CA）] および [MNT サーバ CA（MNT Server CA）] リストから該当する認証局を、[FMC サーバ証明書（FMC Server Certificate）] リストから適切な証明書をそれぞれクリックします。また、追加アイコン（）をクリックして証明書を追加することもできます。

（注）

[FMC サーバ証明書（FMC Server Certificate）] には、clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

ステップ 7

（オプション）CIDR ブロック表記を使用して [ISE ネットワークフィルタ（ISE Network Filter）] を入力します。

ステップ 8

接続をテストするには、[テスト（Test）] をクリックします。

テストが失敗した場合、接続障害に関する詳細については、[その他のログ（Additional Logs）] をクリックします。

次のタスク

アイデンティティポリシーの作成の説明に従って、制御するユーザおよび他のオプションを、アイデンティティポリシーを使って指定します。
アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティルールをアクセスコントロールポリシーに関連付けます。このポリシーは、トラフィックのフィルタリングと、必要に応じて検査を実行します。
設定変更の展開の説明に従って、使用するアイデンティティポリシーとアクセスコントロールポリシーを管理対象デバイスに展開します。
ワークフローの使用の説明に従って、ユーザアクティビティをモニタします。

ISE 設定フィールド

次のフィールドを使用して ISE への接続を設定します。

プライマリおよびセカンダリホスト名/IP アドレス（Primary and Secondary Host Name/IP Address）

プライマリ（およびオプションでセカンダリ）pxGrid ISE サーバのホスト名または IP アドレス。

指定するホスト名により使用されるポートには、ISE と Firepower Management Center の両方から到達可能である必要があります。

pxGrid サーバ CA（pxGrid Server CA）

pxGrid フレームワークの認証局。展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

MNT サーバ CA（MNT Server CA）

一括ダウンロード実行時の ISE 証明書の認証局。展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

FMC サーバ証明書（FMC Server Certificate）

ISE への接続時、または一括ダウンロードの実行時に Firepower Management Center が ISE に提供する必要がある証明書およびキー。

（注）

ISE ネットワークフィルタ（ISE Network Filter）

オプションのフィルタで、ISE が Firepower Management Center にレポートするデータを制限するために設定できます。ネットワークフィルタを指定する場合、ISE はそのフィルタ内のネットワークからデータをレポートします。次の方法でフィルタを指定できます。

任意（Any）のフィルタを指定する場合はフィールドを空白のままにします。
CIDR 表記を使用して単一の IPv4 アドレスブロックを入力します。
CIDR 表記を使用して IPv4 アドレスブロックのリストをカンマで区切って入力します。

（注）

このバージョンの Firepower システムは、ISE のバージョンに関係なく、IPv6 アドレスを使用したフィルタリングをサポートしません。

ISE アイデンティティソースのトラブルシューティング

関連の他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシュートおよびユーザ制御のトラブルシューティングを参照してください。

ISE 接続に問題が起こった場合は、次のことを確認してください。

ISE と FirePOWER システムを正常に統合するには、ISE 内の pxGrid アイデンティティマッピング機能を有効にする必要があります。
ISE サーバと Firepower Management Center の間の接続が成功するには、ISE でクライアントを手動で承認する必要があります。（通常、接続テスト用と ISE エージェント用の 2 つのクライアントがあります）。

『Cisco Identity Services Engine Administrator Guide』の「Managing users and external identity sources」の章で説明しているように、ISE で [新しいアカウントを自動的に承認（Automatically approve new accounts）] を有効にすることもできます。
[FMC サーバ証明書（FMC Server Certificate）] には、[clientAuth] 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。
ISE サーバの時刻は、Firepower Management Center の時刻と同期している必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
展開にプライマリとセカンダリの pxGrid ノードが含まれている場合は、
- 両方のノードの証明書が、同じ認証局によって署名される必要があります。
- ホスト名により使用されるポートが、ISE サーバと Firepower Management Center の両方により到達可能である必要があります。
展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

ISE によって報告されるユーザデータに関する問題が発生した場合は、次の点に注意してください。

システムはデータがまだデータベースにない ISE ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。ISE ユーザから見えるアクティビティは、システムがユーザのダウンロードで情報の取得に成功するまでアクセスコントロールルールで処理されず、Web インターフェイスに表示されません。
LDAP、RADIUS、または RSA ドメインコントローラで認証された ISE ユーザに対するユーザ制御は実行できません。
Firepower Management Center は、ISE ゲストサービスユーザのユーザデータを受信できません。
ISE が TS エージェントと同じユーザをモニタした場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントと ISE が同じ IP アドレスによる同一のアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。
使用する ISE バージョンと構成は、Firepower システムでの ISE の使用方法に影響を与えます。詳細については、ISE アイデンティティソースを参照してください。
アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、（クライアントではない）サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

サポートされている機能に問題がある場合は、ISE アイデンティティソースで詳細を参照してバージョンの互換性を確認してください。

ターミナルサービス（TS）エージェントのアイデンティティソース

TS エージェントはパッシブ認証方式で、Firepower システムでサポートされる権限のあるアイデンティティソースの 1 つです。Windows Terminal Server が認証を実行し、TS エージェントがスタンドアロンまたはハイアベイラビリティの Firepower Management Center にその認証の実行を報告します。

TS エージェントは、Windows Terminal Server にインストールされると、個々のユーザがモニタ対象ネットワークにログインまたはログアウトする際にそのユーザに固有のポート範囲を割り当てます。Firepower Management Center では、この固有のポートを使用して Firepower システムの個々のユーザを識別します。1 つの TS エージェントを使用して、1 つの Windows Terminal Server 上のユーザアクティビティをモニタし、暗号化データを Firepower Management Center に送信できます。

TS エージェントは失敗したログイン試行を報告しません。TS エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。

TS エージェントのガイドライン

TS エージェントには段階的な設定が必要で、次のものがあります。

TS エージェントがインストールおよび設定された Windows Terminal Server。
サーバがモニタするユーザを対象とする 1 つ以上のアイデンティティレルム。

TS エージェントは、Microsoft Windows Terminal Server にインストールします。段階的な TS エージェントのインストールと設定、およびサーバと Firepower システムの要件の詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。

TS エージェントのデータは [ユーザ（Users）] テーブル、[ユーザアクティビティ（User Activity）] テーブル、および [接続イベント（Connection Event）] テーブルに表示され、ユーザ認識とユーザ制御に使用できます。

（注）

TS エージェントが別のパッシブ認証のアイデンティティソース（ユーザエージェントまたは ISE）と同じユーザをモニタする場合、Firepower Management Center では TS エージェントのデータを優先します。TS エージェントと別のパッシブのアイデンティティソースが同じ IP アドレスでアクティビティを報告した場合、TS エージェントのデータだけが Firepower Management Center に記録されます。

TS エージェントのユーザ制御の構成

TS エージェントをユーザ認識およびユーザ制御のアイデンティティソースとして使用するには、『Cisco Terminal Services (TS) Agent Guide』の説明に従って TS エージェントソフトウェアをインストールして構成してください。

次に行う作業：

アイデンティティポリシーの作成の説明に従い、アイデンティティポリシーを使用して、制御するユーザおよびその他のオプションを指定します。
アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティルールをアクセスコントロールポリシーに関連付けます。このポリシーは、トラフィックのフィルタリングと、必要に応じて検査を実行します。
設定変更の展開の説明に従って、使用するアイデンティティポリシーとアクセスコントロールポリシーを管理対象デバイスに展開します。
ワークフローの使用の説明に従って、ユーザアクティビティをモニタします。

TS エージェントアイデンティティソースのトラブルシューティング

TS エージェントと Firepower システムの統合に問題が起こった場合は、次のことを確認してください。

TS エージェントサーバと Firepower Management Center の時計を同期させる必要があります。
TS エージェントが別のパッシブ認証 ID ソース（ユーザエージェントまたは ISE）と同じユーザをモニタしている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。
アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、（クライアントではない）サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

トラブルシューティングのすべての情報は、『Cisco Terminal Services (TS) Agent Configuration Guide』を参照してください。

キャプティブポータルのアイデンティティソース

キャプティブポータルは、Firepower システムでサポートされる権限のあるアイデンティティソースの 1 つです。これは Firepower システムでサポートされる唯一のアクティブな認証方式であり、ユーザは管理対象デバイスを使用してネットワークに対する認証を行うことができます。

通常、キャプティブポータルを使用して、インターネットにアクセスするため、または制限されている内部リソースにアクセスするための認証を要求します。必要に応じて、リソースへのゲストアクセスを設定することができます。システムはキャプティブポータルユーザを認証した後、それらのユーザのトラフィックをアクセス制御ルールに従って処理します。キャプティブポータルは、HTTP および HTTPS のトラフィックのみで認証を行います。

（注）

キャプティブポータルが認証を実行する前に、HTTPS トラフィックを復号化する必要があります。

キャプティブポータルはまた、失敗した認証の試行を記録します。失敗した試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。キャプティブポータルで報告される失敗した認証アクティビティのユーザアクティビティタイプは [認証失敗ユーザ（Failed Auth User）] です。

キャプティブポータルから取得された認証データはユーザ認識とユーザ制御に使用できます。

キャプティブポータルのガイドラインと制約事項

アイデンティティポリシーでキャプティブポータルを設定して展開すると、指定されたレルムのユーザは以下のデバイスを介して認証を行ってからネットワークにアクセスします。

7000 および 8000 シリーズデバイス上の仮想ルータ
バージョン 9.5(2) 以降で稼働するルーテッドモードの ASA FirePOWER デバイス
ルーテッドモードの Firepower Threat Defense デバイス

必要なルーテッドインターフェイス

キャプティブポータルアクティブ認証を実行できるのは、ルーテッドインターフェイスが設定されているデバイスのみです。キャプティブポータルにルールを設定していて、キャプティブポータルデバイスにインラインインターフェイスとルーテッドインターフェイスが含まれている場合は、デバイス上のルーテッドインターフェイスのみを対象とするインターフェイス条件を設定する必要があります。

アクセスコントロールポリシーで参照されているアイデンティティポリシーに 1 つ以上のキャプティブポータルのアイデンティティルールが含まれ、以下を管理する Firepower Management Centerにポリシーを展開する場合、次のようになります。

ルーテッドインターフェイスが設定されている 1 つ以上のデバイスの場合、ポリシー導入は成功し、ルーテッドインターフェイスがアクティブ認証を実行します。

システムは ASA with FirePOWER デバイスでインターフェイスタイプを検証しません。ASA with FirePOWER デバイス上でインライン（タップモード）インターフェイスにキャプティブポータルポリシーを適用すると、ポリシーは正常に展開されますが、これらのルールに一致するトラフィック内のユーザは「不明」と識別されます。
1 つ以上の NGIPSv デバイスの場合、ポリシー導入は失敗します。

キャプティブポータルとポリシー

アイデンティティポリシーのキャプティブポータルを設定し、アイデンティティルールのアクティブ認証を呼び出します。アイデンティティポリシーは、アクセスコントロールポリシーに関連付けられます。

キャプティブポータルのいくつかのアイデンティティポリシー設定はアクセスコントロールポリシーの [アクティブ認証（Active Authentication）] タブページで行い、残りの設定はアクセスコントロールポリシーに関連付けられたアイデンティティルールで行います。

アクティブ認証ルールには [アクティブ認証（Active Authentication）] ルールアクションが含まれているか、または [パッシブ認証でユーザを識別できない場合はアクティブ認証を使用する（Use active authentication if passive authentication cannot identify user）] が選択された [パッシブ認証（Passive Authentication）] ルールアクションが含まれています。それぞれのケースで、システムは SSL 復号を透過的に有効化/無効化し、これにより Snort プロセスが再起動します。

注意	SSL 復号が無効の場合（つまりアクセスコントロールポリシーに SSL ポリシーが含まれない場合）に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると設定の変更を展開する際に Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲットデバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

キャプティブポータルの要件と制約事項

以下の要件と制約事項に注意してください。

システムがサポートするキャプティブポータルログインの数は 1 秒あたり最大 20 です。
（ルーテッドモードで ASA バージョン 9.5(2) 以降を実行する）ASA FirePOWER デバイスをキャプティブポータルに使用するには、captive-portal ASA CLI コマンドを使用してキャプティブポータルでのアクティブ認証を有効にし、『ASA ファイアウォール設定ガイド（バージョン 9.5(2) 以降）』（https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-installation-and-configuration-guides-list.html [英語]）の説明に従ってポートを定義します。
キャプティブポータルに使用する予定のデバイスの IP アドレスおよびポートを宛先とするトラフィックを許可する必要があります。
キャプティブポータルアクティブ認証を HTTPS トラフィックで行う場合、SSL ポリシーを使用して、認証対象のユーザからのトラフィックを復号する必要があります。キャプティブポータルユーザの Web ブラウザと管理対象デバイス上のキャプティブポータルデーモンとの間の接続では、トラフィックを復号できません。この接続は、キャプティブポータルユーザの認証に使用されます。

ユーザ制御のためのキャプティブポータルの設定方法

始める前に

アクティブ認証にキャプティブポータルを使用するには、アクセスコントロールポリシー、アイデンティティポリシー、SSL ポリシーを設定して、アイデンティティおよび SSL ポリシーをアクセスコントロールポリシーと関連付ける必要があります。最後にポリシーを管理対象デバイスに展開します。このトピックでは、このタスクのハイレベルな概要について説明します。

手順全体の例は、キャプティブポータルの設定パート 1：アイデンティティポリシーの作成にあります。

最初に次のタスクを実行します。

ルーテッドインターフェイスが設定された 1 つ以上のデバイスが、 Firepower Management Center によって管理されていることを確認します。

Firepower Management Center で ASA with FirePOWER デバイスを管理している場合には、キャプティブポータルのガイドラインと制約事項を参照してください。
キャプティブポータルで暗号化認証を使用するには、Firepower Management Center のアクセス元となるマシンで証明書データとキーを利用可能にするか、PKI オブジェクトを作成します。PKI オブジェクトの作成方法については、PKI オブジェクトを参照してください。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	Control	任意（NGIPSv を除く）	任意（Any）	Administrator/Access Admin/Network Admin

キャプティブポータルを使用したユーザアクティビティの制御方法のハイレベルな概要は次のとおりです。

手順

ステップ 1	次のトピックに記載されているようにレルムを作成し、有効化します。レルムの作成レルムディレクトリの設定ユーザとグループのダウンロード
ステップ 2	キャプティブポータル用のアクティブ認証アイデンティティポリシーを作成します。アイデンティティポリシーによって、キャプティブポータルで認証後にレルムアクセスリソースで選択したユーザを有効にします。詳細については、キャプティブポータルの設定パート 1：アイデンティティポリシーの作成を参照してください。
ステップ 3	キャプティブポータルポート（デフォルトでは TCP 885）上のトラフィックを許可するキャプティブポータルに関するアクセスコントロールルールを設定します。キャプティブポータルが使用可能な TCP ポートのいずれかを選択できます。どれを選択しても、そのポートでトラフィックを許可するルールを作成する必要があります。詳細については、キャプティブポータルの設定パート 2：TCP ポートアクセスコントロールルールの作成を参照してください。
ステップ 4	別のアクセスコントロールルールを追加して、選択したレルムのユーザがキャプティブポータルを使用してリソースにアクセスできるようにします。これにより、ユーザはキャプティブポータルで認証できます。詳細については、キャプティブポータルの設定パート 3：ユーザアクセスコントロールルールの作成を参照してください。
ステップ 5	キャプティブポータルユーザが HTTPS プロトコルを使用して Web ページにアクセスできるように、[不明（Unknown）] なユーザ用の SSL 復号 - 再署名ポリシーを設定します。 HTTPS トラフィックがキャプティブポータルへ送信される前に復号化される場合のみ、キャプティブポータルはユーザを認証できます。システムは、キャプティブポータルを [不明（Unknown）] ユーザと認識します。詳細については、キャプティブポータルの設定パート 4：SSL 復号 - 再署名ポリシーの作成を参照してください。
ステップ 6	アイデンティティポリシーと SSL ポリシーをアクセスコントロールポリシーに関連付けます（ステップ 2）。この最後の手順により、システムはキャプティブポータルを使用してユーザを認証します。詳細については、キャプティブポータルの設定パート 5：アクセスコントロールポリシーへのアイデンティティポリシーと SSL ポリシーの関連付けを参照してください。

次のタスク

キャプティブポータルの設定パート 1：アイデンティティポリシーの作成を参照してください。

キャプティブポータルの設定パート 1：アイデンティティポリシーの作成

始める前に

5 つのパートに分かれたこの手順では、デフォルトの TCP ポート 885 を使用し、キャプティブポータルと SSL 復号の両方に Firepower Management Center サーバ証明書を使用して、キャプティブポータルを設定する方法を示します。この例の各パートでは、キャプティブポータルでアクティブ認証を実行できるようにするために必要なタスクについて説明します。

すべての手順を実行すると、ドメイン内のユーザ用に機能するようにキャプティブポータルを設定できます。必要に応じて、手順の各パートで説明されている追加のタスクを実行できます。

手順全体の概要については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。

手順

ステップ 1	まだ Firepower Management Center にログインしていない場合は、ログインします。
ステップ 2	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [アイデンティティ（Identity）] の順にクリックして、アイデンティティポリシーを作成または編集します。
ステップ 3	（オプション）[カテゴリの追加（Add Category）] をクリックし、そのキャプティブポータルアイデンティティルール用にカテゴリを追加して、カテゴリの [名前（Name）] を入力します。
ステップ 4	[アクティブ認証（Active Authentication）] タブをクリックします。
ステップ 5	リストから適切な [サーバ証明書（Server Certificate）] を選択するか、追加アイコン（）をクリックして証明書を追加します。
ステップ 6	[ポート（Port）] フィールドに 885 と入力し、[最大ログイン試行回数（Maximum login attempts）] を指定します。
ステップ 7	（オプション）キャプティブポータルフィールドの説明に従って、[アクティブ認証応答ページ（Active Authentication Response Page）] を選択します。次の図は例を示しています。
ステップ 8	[保存（Save）] をクリックします。
ステップ 9	[ルール（Rules）] タブをクリックします。
ステップ 10	[ルールの追加（Add Rule）] をクリックして新しいキャプティブポータルアイデンティティポリシールールを追加するか、編集アイコン（）をクリックして既存のルールを編集します。
ステップ 11	ルールの [名前（Name）] を入力します。
ステップ 12	[アクション（Action）] リストから [アクティブ認証（Active Authentication）] を選択します。システムは、TCP トラフィックにのみキャプティブポータルアクティブ認証を適用できます。アイデンティティルールの [アクション（Action）] が [アクティブ認証（Active Authentication）] である（つまりキャプティブポータルを使用している）場合、またはパッシブ認証を使用しており、[レルムおよび設定（Realms & Settings）] タブページのオプションで [パッシブ認証でユーザを識別できない場合にアクティブ認証を使用（Use active authentication if passive authentication cannot identify user）] がオンに設定されている場合、TCP ポート制約のみを使用します。
ステップ 13	[レルムおよび設定（Realm & Settings）] タブをクリックします。
ステップ 14	[レルム（Realms）] 一覧から、ユーザ認証に使用するレルムを選択します。
ステップ 15	（オプション）[認証でユーザを識別できない場合はゲストとして識別する（Identify as Guest if authentication cannot identify user）] をオンにします。詳細については、キャプティブポータルフィールドを参照してください。
ステップ 16	リストから [認証タイプ（Authentication Type）] を 1 つ選択します。
ステップ 17	（オプション）キャプティブポータルから特定のアプリケーショントラフィックを除外する方法については、キャプティブポータルからのアプリケーションの除外を参照してください。
ステップ 18	ルール条件タイプの説明に従って、ルールに条件を追加します（ポートやネットワークなど）。
ステップ 19	[追加（Add）] をクリックします。
ステップ 20	ページの上部にある [保存（Save）] をクリックします。

次のタスク

キャプティブポータルの設定パート 2：TCP ポートアクセスコントロールルールの作成に進みます。

キャプティブポータルの設定パート 2：TCP ポートアクセスコントロールルールの作成

この手順では、キャプティブポータルのデフォルトポートである TCP ポート 885 を使用して、キャプティブポータルがクライアントと通信できるようにするアクセスコントロールルールを作成する方法を示します。必要に応じて別のポートを選択できますが、キャプティブポータルの設定パート 1：アイデンティティポリシーの作成で選択したポートと一致している必要があります。

始める前に

キャプティブポータル設定全体の概要については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。

手順

ステップ 1	アクセスコントロールポリシーエディタで、[ルールの追加（Add Rule）] をクリックします。
ステップ 2	ルールの [名前（Name）] を入力します。
ステップ 3	[アクション（Action）] 一覧から、[許可（Allow）] を選択します。
ステップ 4	[ポート（Ports）] タブをクリックします。
ステップ 5	[選択した宛先ポート（Selected Destination Ports）] フィールの [プロトコル（Protocol）] 一覧から、[TCP] を選択します。
ステップ 6	[ポート（Port）] フィールドに、「885 」と入力します。
ステップ 7	[ポート（Port）] フィールドの横にある [追加（Add）] をクリックします。次の図は例を示しています。
ステップ 8	ページ下部の [追加（Add）] をクリックします。

次のタスク

キャプティブポータルの設定パート 3：ユーザアクセスコントロールルールの作成に進みます。

キャプティブポータルの設定パート 3：ユーザアクセスコントロールルールの作成

この手順では、レルム内のユーザがキャプティブポータルを使用して認証できるようにするアクセスコントロールルールを追加する方法について説明します。

始める前に

キャプティブポータル設定全体の概要については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。

手順

ステップ 1	ルールエディタで、[ルールの追加（Add Rule）] をクリックします。
ステップ 2	ルールの [名前（Name）] を入力します。
ステップ 3	[アクション（Action）] 一覧から、[許可（Allow）] を選択します。
ステップ 4	[ユーザ（Users）] タブをクリックします。
ステップ 5	[使用可能なレルム（Available Realms）] 一覧で、許可するレルムをクリックします。
ステップ 6	レルムが表示されない場合は、（更新）をクリックします。
ステップ 7	[使用可能なユーザ（Available Users）] 一覧で、ルールに追加するユーザを選択し、[ルールに追加（Add to Rule）] をクリックします。
ステップ 8	（オプション）ルール条件タイプの説明に従って、アクセスコントロールポリシーに条件を追加します。
ステップ 9	[追加（Add）] をクリックします。
ステップ 10	[アクセス制御ルール（access control rule）] ページで、[保存（Save）] をクリックします。
ステップ 11	ポリシーエディタで、ルールの位置を設定します。クリックしてドラッグするか、または右クリックメニューを使用してカットアンドペーストを実行します。ルールには 1 から番号が付けられます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、そのトラフィックを処理するルールです。適切なルールの順序を指定することで、ネットワークトラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。

次のタスク

キャプティブポータルの設定パート 4：SSL 復号 - 再署名ポリシーの作成に進みます。

キャプティブポータルの設定パート 4：SSL 復号 - 再署名ポリシーの作成

この手順では、トラフィックがキャプティブポータルに到達する前に、トラフィックを復号して再署名する SSL アクセスポリシーを作成する方法について説明します。キャプティブポータルは、トラフィックが復号された後にのみトラフィックを認証できます。

始める前に

キャプティブポータル設定全体の概要については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。

手順

ステップ 1	PKI オブジェクトの説明に従って、SSL トラフィックを複合化するための証明書オブジェクトを作成します（まだ作成していない場合）。
ステップ 2	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [SSL] の順にクリックします。
ステップ 3	[新しいポリシー（New Policy）] をクリックします。
ステップ 4	ポリシーの [名前（Name）] を入力し、[デフォルトのアクション（Default Action）] を選択します。デフォルトのアクションについては、SSL ポリシーのデフォルトアクションを参照してください。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	[ルールの追加（Add Rule）] をクリックします。
ステップ 7	ルールの [名前（Name）] を入力します。
ステップ 8	[アクション（Action）] 一覧から、[復号-再署名（Decrypt - Resign）] を選択します。
ステップ 9	[with] 一覧から、使用する PKI オブジェクトを選択します。
ステップ 10	[ユーザ（Users）] タブをクリックします。
ステップ 11	[使用可能なレルム（Available Realms）] 一覧の上にある（更新）をクリックします。
ステップ 12	[使用可能なレルム（Available Realms）] 一覧で、[特殊なアイデンティティ（Special Identities）] をクリックします。
ステップ 13	[使用可能なユーザ（Available Users）] 一覧で、[不明（Unknown）] をクリックします。
ステップ 14	[ルールに追加（Add to Rule）] をクリックします。次の図は例を示しています。
ステップ 15	（オプション）SSL ルール条件の説明に従って、他のオプションを設定します。
ステップ 16	[追加（Add）] をクリックします。
ステップ 17	ページの上部にある [保存（Save）] をクリックします。

次のタスク

キャプティブポータルの設定パート 5：アクセスコントロールポリシーへのアイデンティティポリシーと SSL ポリシーの関連付けに進みます。

キャプティブポータルの設定パート 5：アクセスコントロールポリシーへのアイデンティティポリシーと SSL ポリシーの関連付け

この手順では、アイデンティティポリシーと SSL [復号-再署名（Decrypt - Resign）] ルールを、以前に作成したアクセスコントロールポリシーに関連付ける方法について説明します。この手順を実行すると、ユーザはキャプティブポータルを使用して認証できるようになります。

始める前に

キャプティブポータル設定全体の概要については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [アクセスコントロール（Access Control）] をクリックして、キャプティブポータルの設定パート 2：TCP ポートアクセスコントロールルールの作成の説明に従い作成したアクセスコントロールポリシーを編集します。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 2	新しいアクセスコントロールポリシーを作成するか、既存のポリシーを編集します。
ステップ 3	ページ上部の [アイデンティティポリシー（Identity Policy）] の横にあるリンクをクリックします。
ステップ 4	一覧から、使用するアイデンティティポリシーの名前を選択し、ページ上部にある [保存（Save）] をクリックします。
ステップ 5	上記の手順を繰り返して、使用するキャプティブポータル SSL ポリシーをアクセスコントロールポリシーに関連付けます。
ステップ 6	アクセスコントロールポリシーのターゲットデバイスの設定の説明に従って、管理対象デバイスでそのポリシーをターゲットにします（この手順をまだ行っていない場合）。

次のタスク

設定変更の展開の説明に従って、使用するアイデンティティポリシーとアクセスコントロールポリシーを管理対象デバイスに展開します。
ワークフローの使用の説明に従って、ユーザアクティビティをモニタします。

キャプティブポータルフィールド

次のフィールドを使用して、アイデンティティポリシーの [アクティブ認証（Active Authentication）] タブでキャプティブポータルを設定します。アイデンティティルールフィールドも参照してください。

サーバ証明書（Server Certificate）

キャプティブポータルデーモンが示すサーバ証明書。

[ポート（Port）]

キャプティブポータル接続のために使用するポート番号。ASA FirePOWER デバイスをキャプティブポータルに使用しようとする場合は、このフィールドのポート番号が、captive-portal CLI コマンドを使用して ASA FirePOWER デバイスで設定したポート番号と一致していなければなりません。

最大ログイン試行回数（Maximum login attempts）

ユーザのログイン要求がシステムによって拒否されるまでに許容されるログイン試行失敗の最大数。

アクティブ認証回答ページ（Active Authentication Response Page）

キャプティブポータルユーザに対して表示される、システム提供またはカスタムの HTTP 応答ページ。アイデンティティポリシーのアクティブ認証設定で [アクティブ認証応答ページ（Active Authentication Response Page）] を選択したら、[HTTP 応答ページ（TTP Response Page）] で 1 つ以上のアイデンティティルールを [認証タイプ（Authentication Type）][認証プロトコル（Authentication Protocol）] として設定する必要があります。

システム提供の HTTP 応答ページには、[ユーザ名（Username）] と [パスワード（Password）] フィールドに加え、[ゲストとしてログイン（Login as guest）] ボタンがあり、ユーザはゲストとしてネットワークにアクセスできます。単一のログイン方法を表示するには、カスタム HTTP 応答ページを設定します。

次のオプションから選択します。

汎用的な応答を使用する場合は、[システム提供（System‑provided）] をクリックします。表示アイコン（）をクリックすると、このページの HTML コードが表示されます。
カスタム応答を作成する場合は、[カスタム（Custom）] をクリックします。システム提供コードを示すウィンドウが表示され、これを置換または変更できます。完了したら、変更を保存します。カスタムページは、編集アイコン（）をクリックすると編集できます。

キャプティブポータルからのアプリケーションの除外


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	Control	任意（NGIPSv を除く）	任意（Any）	Administrator、Access Admin、Network Admin

アプリケーション（HTTP ユーザエージェント文字列によって指定される）を選択し、キャプティブポータルのアクティブ認証から除外することができます。これにより、選択されたアプリケーションからのトラフィックが認証を受けずにアイデンティティポリシーを通過できるようになります。

（注）

このリストに表示されるのは、User-Agent Exclusion タグが付けられたアプリケーションのみです。

手順

ステップ 1

アイデンティティルールエディタページの [レルムおよび設定（Realm & Settings）] タブで、[アプリケーションフィルタ（Application Filters）] リストのシスコ提供のフィルタを使用して、フィルタに追加するアプリケーションのリストを絞り込みます。

リストを展開および縮小するには、各フィルタタイプの横にある矢印をクリックします。
フィルタタイプを右クリックし、[すべて選択（Check All）] または [すべて選択解除（Uncheck All）] をクリックします。このリストには、各タイプで選択したフィルタ数が示されることに注意してください。
表示されるフィルタを絞り込むには、[名前で検索（Search by name）] フィールドに検索文字列を入力します。これは、カテゴリとタグの場合に特に有効です。検索をクリアするには、クリアアイコン（）をクリックします。
フィルタのリストを更新し、選択したフィルタをすべてクリアするには、リロードアイコン（）をクリックします。
すべてのフィルタと検索フィールドをクリアするには、[すべてのフィルタをクリア（Clear All Filters）] をクリックします。

（注）

リストには一度に 100 のアプリケーションが表示されます。

ステップ 2

[使用可能なアプリケーション（Available Applications）] リストから、フィルタに追加するアプリケーションを選択します。

表示される個別のアプリケーションを絞り込むには、[名前で検索（Search by name）] フィールドに検索文字列を入力します。検索をクリアするには、クリアアイコン（）をクリックします。
使用可能な個別のアプリケーションのリストを参照するには、リストの下部にあるページングアイコンを使用します。
アプリケーションのリストを更新し、選択したアプリケーションをすべてクリアするには、リロードアイコン（）をクリックします。

ステップ 3

外部認証から除外する、選択したアプリケーションを追加します。クリックしてドラッグするか、[ルールに追加（Add to Rule）] をクリックできます。結果は、選択したアプリケーションフィルタの組み合わせになります。

次のタスク

アイデンティティルールの作成の説明に従ってアイデンティティルールの設定を続けます。

キャプティブポータルのアイデンティティソースのトラブルシューティング

キャプティブポータルに関する問題が発生した場合は、次の点を確認してください。

キャプティブポータルサーバの時刻は、Firepower Management Center の時刻と同期している必要があります。
設定済みの DNS 解決があり、Kerberos（または Kerberos をオプションとする場合は HTTP ネゴシエート）キャプティブポータルを実行するアイデンティティルールを作成する場合は、キャプティブポータルデバイスの完全修飾ドメイン名（FQDN）を解決するように DNS サーバを設定する必要があります。FQDN は、DNS 設定時に指定したホスト名と一致する必要があります。

ASA with FirePOWER Services および Firepower Threat Defense デバイスの場合、FQDN は、キャプティブポータルに使用されるルーテッドインターフェイスの IP アドレスに解決される必要があります。
Kerberos（または Kerberos をオプションとする場合に HTTP ネゴシエート）を、アイデンティティルールの [認証タイプ（Authentication Type）] として選択する場合、選択する [レルム（Realm）] は、Kerberos キャプティブポータルアクティブ認証を実行できるように、[アクティブディレクトリ参加ユーザ名（AD Join Username）] と [アクティブディレクトリ参加パスワード（AD Join Password）] を使用して設定する必要があります。
アイデンティティルールの [認証タイプ（Authentication Type）] として [HTTP 基本（HTTP Basic）] を選択した場合、ネットワーク上のユーザはセッションがタイムアウトしたことを認識しない場合があります。ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。
Firepower Management Center と管理対象デバイスとの間の接続に障害が発生した場合、ユーザが以前に認識され Firepower Management Center にダウンロードされた場合を除き、デバイスによって報告されたすべてのキャプティブポータルログインはダウンタイム中に特定できません。識別されていないユーザは、Firepower Management Center で [不明（Unknown）] のユーザとして記録されます。ダウンタイム後、不明のユーザはアイデンティティポリシーのルールに従って再確認され、処理されます。
キャプティブポータルに使用する予定のデバイスにインラインインターフェイスとルーテッドインターフェイスの両方が含まれる場合、キャプティブポータルデバイス上でルーテッドインターフェイスだけを対象とするようにキャプティブポータルアイデンティティルールでゾーン条件を設定する必要があります。
システムは ASA with FirePOWER デバイスでインターフェイスタイプを検証しません。ASA with FirePOWER デバイス上でインライン（タップモード）インターフェイスにキャプティブポータルポリシーを適用すると、ポリシーは正常に展開されますが、これらのルールに一致するトラフィック内のユーザは「不明」と識別されます。
アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、（クライアントではない）サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

リモートアクセス VPN アイデンティティソース

Firepower Threat Defense は、リモートアクセス SSL と IPsec IKEv2 VPN をサポートするセキュアなゲートウェイ機能を提供します。完全なトンネルクライアントである AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] は、セキュリティゲートウェイへのセキュアな SSL および IKEv2 IPsec 接続をリモートユーザに提供します。これはエンドポイントデバイスでサポートされている唯一のクライアントで、Firepower Threat Defense デバイスへのリモート VPN 接続が可能です。

Firepower Threat Defense のリモートアクセス VPN の管理の説明に従って安全な VPN ゲートウェイを設定する場合、ユーザが Active Directory リポジトリ内にいる場合は、それらのユーザのアイデンティティポリシーを設定して、アクセスコントロールポリシーにアイデンティティポリシーを関連付けることができます。

リモートユーザから提供されるログイン情報は、LDAP/AD レルムまたは RADIUS サーバグループによって検証されます。これらのエンティティは、Firepower Threat Defense セキュアゲートウェイと統合されます。

（注）

ユーザが認証ソースとして Active Directory を使用して RA VPN で認証を受ける場合、ユーザは自分のユーザ名を使用してログインする必要があります。domain\username または username@domain という形式でのログインは失敗します。（Active Directory はこのユーザ名をログオン名または場合によっては sAMAccountName として参照します）。詳細については、MSDN でユーザの命名属性 [英語] を参照してください。

認証に RADIUS を使用する場合、ユーザは前述のどの形式でもログインできます。

VPN 接続を介して一度認証されると、リモートユーザは VPN の ID を引き受けます。この VPN ID は、Firepower Threat Defense セキュアゲートウェイ上のアイデンティティポリシーによって、そのリモートユーザに属するネットワークトラフィックを認識してフィルタリングするために使用されます。

アイデンティティポリシーはアクセスコントロールポリシーと関連付けられ、これにより、誰がネットワークリソースにアクセスできるかが決まります。リモートユーザがネットワークリソースからブロックされるか、ネットワークリソースにアクセスできるかはこのようにして決まります。

Firepower Threat Defense ダイナミック認証

Firepower Threat Defense は、RADIUS サーバを使用して、ダイナミック ACL またはユーザごとの ACL 名を使用する VPN リモートアクセスおよびファイアウォールカットスループロキシセッションのユーザ許可を実行できます。ダイナミック ACL を実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザが認証を試みる場合、RADIUS サーバによってダウンロード可能 ACL、または ACL 名が Firepower Threat Defense に送信されます。所定のサービスへのアクセスが ACL によって許可または拒否されます。認証セッションの有効期限が切れると、Firepower Threat Defense によって ACL が削除されます。

ユーザ制御用 RA VPN の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	グローバルだけ	Admin/Access Admin/Network Admin

始める前に

レルムの作成の説明に従って、レルムを作成します。
認証、認可、および監査（AAA）を使用するには、RADIUS サーバグループの説明に従って RADIUS サーバグループを設定します。

手順

ステップ 1	Firepower Management Center にログインします。
ステップ 2	[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] の順にクリックします。
ステップ 3	Firepower Threat Defense のリモートアクセス VPN の管理を参照してください。

次のタスク

アイデンティティポリシーの作成の説明に従って、制御するユーザおよび他のオプションを、アイデンティティポリシーを使って指定します。
アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティルールをアクセスコントロールポリシーに関連付けます。このポリシーは、トラフィックのフィルタリングと、必要に応じて検査を実行します。
設定変更の展開の説明に従って、使用するアイデンティティポリシーとアクセスコントロールポリシーを管理対象デバイスに展開します。
Firepower Threat Defense VPN モニタリングの説明に従って、VPN ユーザトラフィックをモニタします。

RADIUS ダイナミック認証の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
エクスポートコンプライアンス	該当なし	Firepower Threat Defense	リーフのみ	Admin

始める前に

Firepower Threat Defense でこの機能を使用するには、AnyConnect Apex、Apex Plus、または AnyConnect Only ライセンスが必要です。
RADIUS サーバで参照されている場合、セキュリティゾーンやインターフェイスグループには 1 つのインターフェイスのみ設定できます。
ダイナミック認証が有効になっている RADIUS サーバでダイナミック認証を機能させるためには、Firepower Threat Defense 6.3 以降が必要です。
RADIUS サーバでのインターフェイスの選択は、Firepower Threat Defense 6.3 以前のリリースではサポートされていません。そのため、インターフェイスオプションは展開時に無視されることをユーザに通知する警告が表示されます。

手順

ステップ 1	ダイナミック認証を使用して、RADIUS サーバオブジェクトを設定します。RADIUS サーバグループのオプションを参照してください。
ステップ 2	認可変更（CoA）対応インターフェイスを介して ISE サーバへの適切なルートを設定します。ユーザ制御用 ISE の設定を参照してください。
ステップ 3	ダイナミック認証を使用して作成した RADIUS サーバグループオブジェクトを使用して、リモートアクセス VPN ポリシーを設定します。#m_Platform-Settings-Policy-Management.ditamap#map_391934B1EEA44607ACE8304D51DC10F3を参照してください。
ステップ 4	FlexConfig を介して、DNS サーバの詳細とドメインルックアップインターフェイスを設定します。FlexConfig オブジェクトの設定を参照してください。
ステップ 5	VNP ネットワーク経由で DNS サーバに到達可能な場合は、リモートアクセス VPN トンネルを介して DNS トラフィックを許可するためのスプリットトンネルをグループポリシーに設定します。グループポリシーオブジェクトの設定を参照してください。

リモートアクセス VPN アイデンティティソースのトラブルシューティング

関連する他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシュート、ユーザ制御のトラブルシューティング、および Firepower Threat Defense VPN のトラブルシューティングを参照してください。
リモートアクセス VPN の問題が発生した場合は、Firepower Management Center と管理対象デバイスとの間の接続を確認します。接続に障害が発生している場合、ユーザが既に認識されて Firepower Management Center にダウンロードされている場合を除き、デバイスによって報告されたすべてのリモートアクセス VPN ログインはダウンタイム中に識別されません。

識別されていないユーザは、Firepower Management Center で [不明（Unknown）] のユーザとして記録されます。ダウンタイム後、[不明（Unknown）] ユーザはアイデンティティポリシーのルールに従って再び識別され、処理されます。
アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、（クライアントではない）サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

トラフィックベース検出のアイデンティティソース

トラフィックベース検出は、Firepower システムでサポートされている唯一の権限のないアイデンティティソースです。トラフィックベース検出を設定すると、管理対象デバイスは、指定したネットワークでの LDAP、AIM、POP3、IMAP、Oracle、SIP（VoIP）、FTP、HTTP、MDNS、SMTP のログインを検出します。トラフィックベースの検出から取得されたデータは、ユーザ認識にのみ使用できます。権威のあるアイデンティティソースとは異なり、トラフィックベースの検出はネットワーク検出ポリシーで設定します。トラフィックベースのユーザ検出の設定を参照してください。

次の制限事項に注意してください。

トラフィックベースの検出では、LDAP 接続に対する Kerberos ログインのみを LDAP 認証として解釈します。また、管理対象デバイスは、SSL や TLS などのプロトコルを使用して暗号化された LDAP 認証を検出できません。
トラフィックベースの検出では OSCAR プロトコルを使用した AIM ログインだけを検出します。TOC2 を使用する AIM ログインは検出できません。
トラフィックベースの検出では SMTP ロギングを制限することができません。これは、ユーザが SMTP ログインに基づいてデータベースに追加されていないためです。システムが SMTP ログインを検出しても、一致する電子メールアドレスのユーザがデータベース内に存在しなければ、そのログインは記録されません。

トラフィックベースの検出は、失敗したログイン試行も記録します。失敗ログイン試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。トラフィックベースの検出により検出された失敗ログインアクティビティのユーザアクティビティタイプは [失敗したユーザログイン（Failed User Login）] です。

（注）

システムは失敗した HTTP ログインと成功した HTTP ログインを区別できません。HTTP ユーザ情報を表示するには、トラフィックベースの検出設定で [失敗したログイン試行の取得（Capture Failed Login Attempts）] を有効にする必要があります。

注意	ネットワーク検出ポリシーを使用して、HTTP、FTP、MDNS プロトコルを介した非権限、トラフィックベースのユーザ検出を有効/無効にすると設定の変更を展開する際に Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲットデバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

トラフィックベースの検出データ

デバイスがトラフィックベースの検出を使用してログインを検出すると、次の情報をユーザアクティビティとして記録するために Firepower Management Centerに送信します。

ログインで識別されたユーザ名
ログインの時刻
ログインに関係する IP アドレス。このアドレスは、ユーザのホスト（LDAP、POP3、IMAP、および AIM ログインの場合）、サーバ（HTTP、MDNS、FTP、SMTP および Oracle ログインの場合）、またはセッション発信元（SIP ログインの場合）の IP アドレスになります。
ユーザの電子メールアドレス（POP3、IMAP、および SMTP ログインの場合）
ログインを検出したデバイスの名前

ユーザがすでに検出されている場合、Firepower Management Centerはそのユーザのログイン履歴を更新します。Firepower Management Center は POP3 および IMAP ログイン内の電子メールアドレスを使用して LDAP ユーザに関連付ける場合があることに注意してください。これは、Firepower Management Center が新しい IMAP ログインを検出して、その IMAP ログイン内の電子メールアドレスが既存の LDAP ユーザのアドレスと一致した場合は、IMAP ログインで新しいユーザが作成されるのではなく、LDAP ユーザの履歴が更新されることを意味します。

ユーザが以前に検出されなかった場合、Firepower Management Center はユーザデータベースにユーザを追加します。AIM、SIP、Oracle ログインでは、常に新しいユーザレコードが作成されます。これは、それらのログインイベントには Firepower Management Center が他のログインタイプに関連付けることができるデータが含まれていないためです。

Firepower Management Center は、次の場合に、ユーザアイデンティティまたはユーザ ID を記録しません。

そのログインタイプを無視するようにネットワーク検出ポリシーを設定した場合
管理対象デバイスが SMTP ログインを検出したものの、ユーザデータベースに電子メールアドレスが一致する、検出済みの LDAP、POP3、または IMAP ユーザが含まれていない場合

ユーザデータはユーザテーブルに追加されます。

トラフィックベースの検出戦略

ユーザアクティビティを検出するプロトコルを制限して、検出するユーザの総数を削減することにより、ほぼ完全なユーザ情報を提供していると思われるユーザに焦点を絞ることができます。プロトコルの検出を制限すると、ユーザ名の散乱を最小限に抑え、Firepower Management Center 上の記憶域を節約することができます。

トラフィックベースの検出プロトコルを選択する際には、以下を検討してください。

AIM、POP3、IMAP などのプロトコル経由でユーザ名を取得すると、契約業者、訪問者、およびその他のゲストからのネットワークアクセスによって組織に無関係なユーザ名が収集される可能性があります。
AIM、Oracle、および SIP ログインは、無関係なユーザレコードを作成する可能性があります。この現象は、このようなログインタイプが、システムが LDAP サーバから取得するユーザメタデータのいずれにも関連付けられていないうえ、管理対象デバイスが検出するその他のログインタイプに含まれている情報のいずれにも関連付けられていないために発生します。そのため、Firepower Management Centerは、これらのユーザとその他のユーザタイプを関連付けることができません。

Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ユーザ アイデンティティ ソース

ユーザ アイデンティティ ソース