セキュリティ デバイスでの AAA について
認証、許可、アカウンティング(AAA)によって、セキュリティ アプライアンスは、ユーザがだれか(認証)、ユーザは何を実行できるか(認可)、ユーザは何を実行したか(アカウンティング)を特定できます。認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングもまた、単独で使用することも、認証および認可とともに使用することもできます。
認証、許可、アカウンティングでは、ユーザ アクセスに関して、アクセス リストだけを使用する場合よりも、さらに高度な保護および制御が実現されます。たとえば、すべての外部ユーザに DMZ ネットワーク上のサーバにある Telnet へのアクセスを許可する ACL を作成できますが、サーバへのユーザ アクセスを制限する場合に、これらのユーザの IP アドレスが常に認識できるわけではないときには、AAA をイネーブルにして、認証されたユーザか認可されたユーザ、またはその両方だけにセキュリティ アプライアンスを通過させることができます(Telnet サーバも認証を強制します。セキュリティ アプライアンスは非認可ユーザがサーバにアクセスしようとするのを防ぎます)。
-
認証:認証は、ユーザー ID に基づいてアクセスを付与します。認証は、一般的にユーザ名とパスワードからなる有効なユーザ クレデンシャルを要求することによってユーザ ID を確立します。次の項目を認証するように、セキュリティ アプライアンスを設定できます。
-
Telnet、SSH、HTTPS/ASDM、またはシリアル コンソールを使用した、セキュリティ アプライアンスへの管理接続
-
enable コマンド。
-
-
認可:認可は、認証された後のユーザーの能力を制御します。許可は、認証された個々のユーザが使用できるサービスおよびコマンドを制御します。認可をイネーブルにしなかった場合、認証が単独で、すべての認証済みユーザに対して同じサービス アクセスを提供します。
許可で提供される制御を必要とする場合は、広範な認証ルールを設定してから、詳細な許可を設定できます。たとえば、外部ネットワーク上の任意のサーバにアクセスしようとする内部ユーザを認証してから、認可を使用して、特定のユーザがアクセスできる外部サーバを制限できます。
セキュリティ アプライアンスはユーザごとに最初の 16 個の認可要求をキャッシュします。そのため、ユーザが現在の認証セッション中に同じサービスにアクセスする場合、セキュリティ アプライアンスは要求を認可サーバに再送信しません。
-
アカウンティング:アカウンティングはセキュリティアプライアンスを通過するトラフィックを追跡して、ユーザーアクティビティのレコードを提供します。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始および停止時間、ユーザ名、セッション中にセキュリティ アプライアンスを通過したバイト数、使用したサービス、および各セッションの持続時間が含まれます。
AAA の準備
AAA サービスは、ローカル データベースまたは 1 つ以上の AAA サーバの使用に依存します。また、ローカル データベースを AAA サーバによって提供される大多数のサービスのフォールバックとして使用することもできます。AAA を実装する前に、ローカル データベースを設定し、AAA サーバ グループおよびサーバを設定する必要があります。
ローカル データベースおよび AAA サーバの設定は、セキュリティ アプライアンスにサポートさせる AAA サービスによって異なります。AAA サーバを使用するかどうかに関係なく、管理アクセスをサポートするユーザ アカウントでローカル データベースを設定して予想外のロックアウトを防いだり、また必要であれば、AAA サーバが到達不能のときにフォールバック方式を提供したりする必要があります。詳細については、ユーザ アカウントの設定を参照してください。
次の表に、AAA サービスのサポートの概要を AAA サーバ タイプ別およびローカル データベース別に示します。ローカルデータベースは、ユーザ アカウントの設定を参照)。[プラットフォーム(Platform)] > [デバイス管理(Device Admin)] > [AAA] ページを使用して、AAA サーバーグループを確立し、個々の AAA サーバーをサーバーグループに追加します。
ページでユーザーアカウントを設定することによって管理します(
AAA サービス |
データベース タイプ |
|||||||
---|---|---|---|---|---|---|---|---|
Local |
RADIUS |
TACACS+ |
SDI |
NT |
Kerberos |
LDAP |
HTTP Form |
|
認証 |
||||||||
VPN ユーザ |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
○ 1 |
ファイアウォール セッション |
対応 |
対応 |
対応 |
× |
× |
× |
× |
× |
管理者 |
対応 |
対応 |
対応 |
× |
× |
× |
× |
× |
許可 |
||||||||
VPN ユーザ |
対応 |
対応 |
× |
× |
× |
× |
対応 |
× |
ファイアウォール セッション |
なし |
はい 2 |
対応 |
× |
× |
× |
× |
× |
管理者 |
はい 3 |
× |
対応 |
× |
× |
× |
× |
× |
アカウンティング |
||||||||
VPN 接続 |
× |
対応 |
対応 |
× |
× |
× |
× |
× |
ファイアウォール セッション |
× |
対応 |
対応 |
× |
× |
× |
× |
× |
管理者 |
× |
対応 |
対応 |
× |
× |
× |
× |
× |
1 HTTP Form プロトコルは、WebVPN ユーザだけを対象にしたシングル サインオン認証をサポートします。
2 ファイアウォール セッションでは、RADIUS 認可はユーザ固有の ACL でだけサポートされ、ユーザ固有の ACL は RADIUS 認証応答で受信または指定されます。
3 ローカル コマンド認可は、権限レベルでだけサポートされます。
ローカル データベース
セキュリティ アプライアンスにより、ユーザ アカウントを入力できるローカル データベースが保持されます。ユーザ アカウントには、最低でもユーザ名が含まれます。一般的には、パスワードおよび権限レベルを各ユーザ名に割り当てますが、パスワードは任意です。ローカルユーザーアカウントは、ユーザ アカウントの設定を参照)。
ページで管理できます(ローカル データベースを使用してコマンド認可をイネーブルにすると、セキュリティ アプライアンスは割り当て済みのユーザ権限レベルを参照して、どのコマンドが使用可能かを判断します。デフォルトでは、すべてのコマンドに権限レベル 0 またはレベル 15 のどちらかが割り当てられます。
(注) |
CLI へのアクセスは許可するが、特権モードには入れないようにするユーザをローカル データベースに追加する場合は、コマンド認可をイネーブルにする必要があります。コマンド認可がない場合、ユーザの特権レベルが 2 以上(2 がデフォルト)あると、ユーザは自身のパスワードを使用して、CLI で特権モード(およびすべてのコマンド)にアクセスできます。また、ユーザがログイン コマンドを使用できないように、コンソール アクセスに対して RADIUS または TACACS+ 認証を使用することや、システムのイネーブル パスワードを使用して特権モードにアクセスできるユーザを制御できるように、すべてのローカル ユーザをレベル 1 に設定することもできます。 |
ローカル データベースはネットワーク アクセス認可には使用できません。
ローカル データベースのユーザ アカウントによって、コンソールとイネーブル パスワードの認証、コマンド認可、および VPN 認証と認可のフォールバック サポートが提供されます。この動作は、セキュリティ アプライアンスからの予想外のロックアウトを防ぐように設計されています。
フォールバック サポートを必要とするユーザについては、ローカル データベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、トランスペアレント フォールバック サポートが提供されます。ユーザは、サービスを提供しているのが AAA サーバなのかローカル データベースなのかを判断できないため、AAA サーバでローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを使用するということは、どちらのユーザ名およびパスワードを提供する必要があるのかがユーザにはわからないということになります。
マルチコンテキストモードの場合、システム実行スペースでユーザー名を設定し、login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカルデータベースを参照する aaa コマンドは設定できません。
(注) |
VPN 機能は、マルチ モードではサポートされません。 |
デバイス管理用の AAA
セキュリティ アプライアンスに対する次のすべての管理接続を認証できます。
-
[Telnet]
-
SSH
-
シリアル コンソール
-
ASDM
-
VPN 管理アクセス
また、イネーブル モードに入ろうとする管理者も認証できます。管理コマンドを認可できます。管理セッションおよびセッション中に発行されたコマンドのアカウンティング データをアカウンティング サーバに送信させることができます。
ページを使用すると、AAA をデバイス管理用に設定できます(ネットワーク アクセス用の AAA
ファイアウォール AAA ルールの管理を参照)を使用すると、ファイアウォールを通過するトラフィックの認証、許可、アカウンティングのルールを設定できます。作成するルールはアクセス ルールと同様ですが、定義済みのトラフィックに対して認証、許可、またはアカウンティングを行うかどうか、および AAA サービス要求を処理するためにセキュリティ アプライアンスが使用する AAA サーバ グループを指定する点だけが異なります。
ページ(VPN アクセス用の AAA
VPN アクセス用の AAA サービスには次のものがあります。
-
ユーザーを VPN グループに割り当てるためのユーザーアカウント設定。ユーザ アカウントの設定を参照)。
ページで設定します( -
多数のユーザーアカウントまたはトンネルグループによって参照される可能性がある VPN グループポリシー。
または ページで設定します。 -
トンネルグループポリシー。
または ページで設定します。
[AAA] の [Authentication] タブの設定
[AAA] ページには 3 つのタブ付きパネルがあり、[AAA] ページに移動すると、[認証(Authentication)] パネルが表示されます。これらのオプションを使用して、デバイス コンソールへの権限付きアクセスを制御し、接続タイプによってアクセスを制限し、アクセス メッセージを定義します。
[Authorization] タブを使用して、認証されたユーザーが使用できるサービスとコマンドを制御します。
[Accounting] タブを使用して、コンソール トラフィックのトラッキングをアクティブにして、ユーザ アクティビティを記録します。
ナビゲーション パス
-
(デバイスビュー)デバイスポリシーセレクタから
を選択します。 -
(ポリシービュー)ポリシータイプセレクタから、
を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。
関連項目
[Authentication] タブの使用
[Authentication] タブを使用して、セキュリティ アプライアンスへの管理者アクセスの認証をイネーブルにします。[Authentication] タブでは、AAA サーバによって認証されたときにユーザに表示されるプロンプトとメッセージを設定することもできます。
コマンドを入力する前に、デバイスによってユーザ名とパスワードの入力を求められます。認証サーバがオフラインの場合は、コンソールのログイン要求がタイムアウトになるまで待機します。そのあとで、ファイアウォールのユーザ名とイネーブル パスワードでコンソールにアクセスできます。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Require AAA Authentication to allow use of privileged commands |
|||
有効 |
ファイアウォール上で EXEC モードでのアクセスをユーザーに許可するために、AAA サーバーからの認証を要求します。このオプションは、ファイアウォール コンソールへのアクセス試行を 3 回まで許可します。この数を超えた場合、「アクセスが拒否されました」というメッセージが表示されます。 オンにすると、[Server Group] フィールドがイネーブルになります。 |
||
Server Group |
ユーザ認証のために接続する AAA サーバの名前を入力または選択します。 |
||
Use LOCAL when server group fails |
選択したサーバで障害が発生した場合に、バックアップとしてローカル データベースを使用するには、このチェックボックスをオンにします([Server Group] を指定しないと、このオプションはイネーブルにはなりません)。 |
||
Require AAA Authentication for the following types of connections |
|||
認証を必要とする接続を選択します。各タイプで、ファイアウォール コンソールへのアクセス試行は 3 回まで許可されます。この数を超えた場合、「アクセスが拒否されました」というメッセージが表示されます。 次の接続オプションをそれぞれ個別に選択します。
選択した各接続で、[Server Group] を指定して、ローカル データベースをバックアップとして使用するかどうかを指定します。
|
|||
Authentication Prompts |
|||
Login Prompt |
セキュリティ アプライアンスにログインするときにユーザに表示されるプロンプトを入力します。 |
||
Accepted Message |
正常に認証されたときに表示されるメッセージを入力します。 |
||
Rejected Message |
何らかの理由で認証が失敗したときに表示されるメッセージを入力します。 |
||
Rejected Message for Invalid Credentials |
不明または無効なクレデンシャルを入力したために認証が失敗したときに表示されるメッセージを入力します。 FWSM 3.2 以降のデバイスでのみ使用できます。 |
||
Rejected Message for Expired Password |
期限が切れたパスワードを入力したために認証が失敗したときに表示されるメッセージを入力します。 FWSM 3.2 以降のデバイスでのみ使用できます。 |
||
Maximum Local Authentication Failed Attempts |
アカウントがロックされる前に、デバイスがローカル データベースでユーザの認証を試行する回数を指定します。有効な値は 1 ~ 16 です。 ASA/PIX 7.01 以降と FWSM 3.11 以降のデバイスでのみ使用できます。 |
||
ログイン履歴 |
ログイン履歴レポート機能を有効にするには、このチェックボックスをオンにします。有効にすると、ログインに成功した直後に、すべての管理ログイン試行に関する情報が収集され、ASA に表示されます。これには次の情報が含まれます。
|
||
期間(Duration)(任意) |
ログインイベントを保存する日数を入力します。ここで値を指定しない場合、ログイン履歴は無制限になります。
|
[Authorization] タブ
[Authorization] タブでは、ファイアウォール コマンドにアクセスするための認可を設定できます。
ナビゲーション パス
[Authorization] タブには [AAA] ページからアクセスできます。[AAA] の [Authentication] タブの設定を参照してください。
関連項目
フィールド リファレンス
要素 |
説明 |
---|---|
Enable Authorization for Command Access Server Group Use LOCAL when server group fails |
ファイアウォール コマンドにアクセスするために認可を必要とします。 認可に使用するサーバ グループを指定します。 選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。 |
execシェルアクセスの承認の有効化(Enable Authorization for exec shell access) (ASA 8.0(2) 以降のみ) |
選択すると、管理許可が有効になります。 管理許可を有効にしたら、認証にリモートサーバーを使用するか、ローカルデータベースを使用するかを指定します。
|
execシェルアクセスの承認の自動有効化(Auto Enable Authorization for exec shell access) (ASA 9.1(5) 以降のみ) |
十分な権限を有するユーザーは、ログイン認証サーバーから特権 EXEC モードに直接入れます。それ以外では、ユーザはユーザ EXEC モードになります。これらの特権は、各 EXEC モードに入るために必要な Service-Type および Privilege-Level 属性で決定されます。特権 EXEC モードを開始するには、ユーザは Administrative の Service-Type 属性およびそれらに割り当てられた 1 以上の Privilege Level 属性を有している必要があります。 このオプションは、システム コンテキストではサポートされていません。ただし、Telnet またはシリアル認証を管理コンテキストで設定した場合、認証はスイッチから ASASM へのセッションにも適用されます。 |
HTTP接続の承認の有効化(Enable Authorization for HTTP Connection) Server Group Use LOCAL when server group fails (ASA 9.4(1) 以降のみ) |
選択すると、HTTP による認証が有効になります。ユーザー名の認証はデフォルトで無効になっています。 承認に使用するサーバーグループを選択します。 選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。 |
[Accounting] タブ
[Accounting] タブを使用して、ファイアウォール デバイスへのアクセスおよびデバイス上のコマンドへのアクセスのアカウンティングをイネーブルにします。
ナビゲーション パス
[Accounting] タブには [AAA] ページからアクセスできます。[AAA] の [Authentication] タブの設定を参照してください。
関連項目
フィールド リファレンス
要素 |
説明 |
---|---|
Require AAA Accounting for privileged commands |
|
有効 |
選択すると、コンソールによる管理アクセス用の特権モードの開始と終了を示すアカウンティング レコードの生成がイネーブルになります。 |
Server Group |
アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。 |
Require AAA Accounting for the following types of connections |
|
接続タイプ |
アカウンティング レコードを生成する接続タイプを指定します。
|
Server Group |
アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。 |
Require Accounting for command access |
|
有効 |
選択すると、管理者/ユーザによって入力されたコマンドのアカウンティング レコードの生成がイネーブルになります。 |
Server Group |
アカウンティング レコードが送信されるサーバか RADIUS または TACACS+ サーバのグループを選択できるドロップダウン メニューが表示されます。 |
特権レベル |
アカウンティング レコードを生成するために、コマンドに関連付けられている必要がある最小権限レベル。デフォルトの特権レベルは 0 です。 |