セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS for Windows で VPN 3000 Concentrator を使用する方法 - IPSec

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、VPN 3000 コンセントレータに接続するユーザの認証のために、Cisco Secure Access Control Server(ACS)for Windows の最も簡単な設定を推奨しています。 VPN 3000 コンセントレータでのグループとは、1 つのエンティティとして処理されるユーザの集まりです。 ユーザを個々に設定する場合に対して、グループを設定すると、システム管理が簡素化され、設定作業の合理化が可能です。 以前のリリースでは、ID、セキュリティ、アクセス、パフォーマンス、DNS、WINS、およびトンネリング プロトコルだけがグループに対して設定されていました。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco Secure ACS for Windows RADIUS が、他のデバイスで適切にインストールされていて、動作する。

  • Cisco VPN 3000 コンセントレータは設定され、HTMLインターフェイスと管理することができます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure ACS for Windows RADIUS バージョン 4.0 または それ 以降。

  • Cisco VPN 3000 コンセントレータ バージョン 4.7 または それ 以降。

Microsoft Windows リリース 3.0 と それ以降を使うと、グループ単位ベースのこれらの機能を設定し、行うことができます。

  • 認証(RADIUS、NT ドメイン、SDI、または内部サーバ。) *

  • 説明(RADIUSユーザ ユーザー アカウントは送信されるユーザ接続時間のデータおよびパケットを収集します。)

  • アドレス プール(設定された プールからの IP アドレスを内部で割り当てることを許可します。)

注: *グループ ベース 認証は Cisco バグ ID CSCdu57258登録ユーザのみ)現在で複数の SDI サーバをサポートしません

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN 3000 コンセントレータでのグループの使用

Cisco Secure ACS for Windows と VPN 3000 コンセントレータの両方でグループを定義できますが、グループの使用方法は異なります。 手順を簡素化するために、次の作業を実行します。

  • 最初のトンネルを確立するための VPN 3000 コンセントレータの一つのグループを設定して下さい。 これは通常、トンネル グループと呼ばれ、事前共有キー(グループ パスワード)を使用して VPN 3000 コンセントレータへの暗号化されたインターネット キー エクスチェンジ(IKE)セッションを確立するために使用されます。 これはすべての VPN 3000 Clients で設定する必要があるパスワードおよび同じグループ名です VPN コンセントレータに接続したいと思う。

  • ポリシー管理に標準 RADIUS 属性とベンダー固有属性(VSA)を使用するグループを、Cisco Secure ACS for Windows サーバ上で設定します。 VPN 3000 コンセントレータで使用する必要がある VSA は RADIUS(VPN 3000)属性です。

  • Cisco Secure ACS for Windows RADIUS サーバでユーザを設定し、これらのユーザを同じサーバ上で設定されたグループのいずれかに割り当てます。 グループに定義された属性がユーザに継承され、ユーザの認証時に Cisco Secure ACS for Windows がこれらの属性を VPN コンセントレータに送信します。

VPN 3000 コンセントレータでのグループとユーザ属性の使用方法

VPN 3000 コンセントレータでは、VPN コンセントレータでトンネル グループを認証し、RADIUS でユーザを認証してから、受信した属性を整理する必要があります。 コンセントレータはこの選択の順序で認証が VPN コンセントレータでまたは RADIUS と実行されるかどうか、属性を利用します:

  1. ユーザ属性:これらの属性は他の属性よりも常に優先されます。

  2. トンネル グループ属性:ユーザの認証時に戻されなかったすべての属性は、トンネル グループ属性によって書き込まれます。

  3. ベース グループ属性:ユーザ属性やトンネル グループ属性で欠如しているすべての属性は、VPN コンセントレータのベース グループ属性によって書き込まれます。

RADIUSサーバおよび VPN 3000 コンセントレータを設定して下さい

RADIUSサーバおよび VPN 3000 コンセントレータを設定するためにこれらのステップを完了して下さい。

  1. VPN 3000 コンセントレータ 設定に Cisco Secure ACS for Windows RADIUSサーバを追加して下さい。

    1. ブラウザの Location または Address バーのプライベートインターフェイスの IP アドレスの入力によって VPN 3000 コンセントレータに接続するのに Webブラウザを使用して下さい。

    2. VPN コンセントレータ(デフォルトにログオンして下さい: ログイン = admin、パスワード = admin)。

    3. Configuration > System > Servers > Authentication の順に選択 し、『Add』 をクリック して下さい(左メニューから)。

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. サーバタイプのRADIUS を選択し、Cisco Secure ACS for Windows RADIUSサーバのためのこれらのパラメータを追加して下さい。 その他のパラメータは、すべてデフォルト状態のままにしておきます。

      • Authentication Server:Cisco Secure ACS for Windows RADIUS サーバの IP アドレスを入力します。

      • Server Secret:RADIUS サーバ シークレットを入力します。 このシークレットは、Cisco Secure ACS for Windows 設定で VPN 3000 コンセントレータを設定したときと同じものを指定する必要があります。

      • Verify:確認用にパスワードを再入力します。

        これにより、VPN 3000 コンセントレータのグローバル設定に認証サーバが追加されます。 このサーバは、認証サーバが具体的に定義されている場合を除き、すべてのグループで使用されます。 あるグループに認証サーバが設定されていない場合は、グローバル認証サーバに戻されます。

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. VPN 3000 コンセントレータのトンネル グループを設定して下さい。

    1. (左メニューから) Configuration > User Management > Groups の順に選択 し、『Add』 をクリック して下さい。

    2. Configuration タブでこれらのパラメータを変更するか、追加します。 これらのパラメータをすべて変更するまで、Apply はクリックしないでください。

      注: これらのパラメータは、リモート アクセス VPN 接続に最低限必要なパラメータです。 また、これらのパラメータは、VPN 3000 コンセントレータのベース グループのデフォルト設定が変更されていないことを前提としています。

      Identity

      • Group Name:グループ名を入力します。 たとえば、IPsecUsers を使用します。

      • Password:グループのパスワードを入力します。 これは IKE セッションの事前共有キーです。

      • Verify:確認用にパスワードを再入力します。

      • Type:この値は、デフォルトの 「Internal」のままにしてください。

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPSEC

      • トンネルタイプ— 『Remote-Access』 を選択 して下さい。

      • Authentication:RADIUS。 この設定により、ユーザの認証に使用する方法が VPN コンセントレータに指示されます。

      • mode config — Mode Configチェックボックスを選択して下さい。

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. [Apply] をクリックします。

  3. VPN 3000 コンセントレータのマルチ認証サーバを設定して下さい。

    1. グループが定義されたら、そのグループを強調表示し、Auth を『Modify』 をクリック して下さい。 サーバ。 グローバル サーバに存在しないサーバであっても、個別の認証サーバを各グループに対して定義できます。

    2. サーバタイプのRADIUS を選択し、Cisco Secure ACS for Windows RADIUSサーバのためのこれらのパラメータを追加して下さい。 その他のパラメータは、すべてデフォルト状態のままにしておきます。

      • Authentication Server:Cisco Secure ACS for Windows RADIUS サーバの IP アドレスを入力します。

      • Server Secret:RADIUS サーバ シークレットを入力します。 このシークレットは、Cisco Secure ACS for Windows 設定で VPN 3000 コンセントレータを設定したときと同じものを指定する必要があります。

      • Verify:確認用にパスワードを再入力します。

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. Cisco Secure ACS for Windows サーバコンフィギュレーションに VPN 3000 コンセントレータを追加して下さい。

    1. Cisco Secure ACS for Windows RADIUSサーバを実行する PC の admin セッションを開始するために ACS Admin アイコンをダブルクリックして下さい。 必要に応じて、適切なユーザ名とパスワードでログインします。

    2. 『Network Configuration』 を選択 し、ネットワーク デバイス グループの下で『Add Entry』 をクリック して下さい。

      1. 新しいグループ名を作成して下さい。

      2. [Submit] をクリックします。 新しいグループ名はネットワーク デバイス グループにリストします現われます。

        新しいグループを作成するかわりに、割り当てられなかったグループをクリックし、AAA クライアントとして VPN コンセントレータを追加できます。 しかし Cisco は新しいグループを作成することを推奨しません。

      3. 新しいグループをクリックし、AAA クライアントの下で『Add Entry』 をクリック して下さい。

        注: Cisco Secure ACS という点において、AAA クライアントは AAA クライアントの機能性を提供するで、また Cisco Secure ACS によってサポートされる AAA セキュリティプロトコルをサポートしますネットワークデバイス。 これには Cisco アクセス サーバが、Cisco PIXファイアウォール、Cisco VPN 3000 シリーズ コンセントレータ、Cisco VPN 5000 シリーズ コンセントレータ、Cisco IOS 含まれていますか。 ルータ、Cisco Aironet アクセス ポイント 340 および 350 デバイス、および Cisco いくつかの Catalyst スイッチ。

      4. これらのパラメータを VPN 3000 コンセントレータに追加します。

      • AAA クライアントは- VPN 3000 コンセントレータの… hostname —ホスト名を入力します(DNS 解決のために)。

      • AAA Client IP Address:VPN 3000 コンセントレータの IP アドレスを入力します。

      • Key:RADIUS サーバ シークレットを入力します。 これはステップ 1.の VPN コンセントレータに認証サーバを追加したときに設定した同じシークレットである必要があります。

      • ネットワーク デバイス グループ—リストから、VPN コンセントレータが属するネットワーク デバイス グループを選択して下さい。

      • 認証するを使用して— 『RADIUS』 を選択 して下さい(Cisco VPN 3000/ASA/PIX 7.x およびそれ以降)。 これにより、VPN 3000 VSA で Group 設定ウィンドウが表示されるようになります。

      CiscoSecure-6.gif

    3. [Submit] をクリックします。

    4. 『Interface Configuration』 を選択 し、Cisco VPN 3000/ASA/PIX 7.x およびそれ以降を『RADIUS』 をクリック し、ベンダー別 グループ [26] をチェックして下さい。

      注: '「RADIUS 属性 26」とは、すべてのベンダー固有属性です。 たとえば、> RADIUS (Cisco VPN 3000/ASA/PIX 7.x およびそれ以降) 『Interface Configuration』 を選択 し、利用可能 な属性すべてが 026 から開始することがわかって下さい。 これはこれらのベンダ別の属性すべてが IETF RADIUS 26 規格の下で下ることを示します。 これらの属性は、デフォルトでは User Setup や Group Setup に表示されません。 これらがグループ Setup で表示されるようにするには、RADIUS で認証を行う AAA クライアント(この場合は VPN 3000 コンセントレータ)をネットワーク設定に作成します。 次に、User Setup、Group Setup、またはその両方に表示させたい属性をインターフェイス設定から選び、チェックマークを入れます。

      資料は利用可能 な属性および使用方法 RADIUS特性を記述したものです。

    5. [Submit] をクリックします。

  5. Cisco Secure ACS for Windows 設定にグループを追加して下さい。

    1. 『Group Setup』 を選択 し、そしてテンプレート グループの 1 つを選択して下さい(たとえば、0)グループ化し、『Rename Group』 をクリック して下さい。

      /image/gif/paws/13874/CiscoSecure-13.gif

      組織のために適切な何かに名前を変更して下さい。 たとえば、設計、販売、またはマーケティング。 これらのグループにはユーザが追加されるため、そのグループの実際の用途を反映したグループ名を付けてください。 すべてのユーザを同じグループに追加する場合は、「VPN ユーザ グループ」と命名できます。

    2. 最近名前を変更されたグループのパラメータを編集するために『Edit Settings』 をクリック して下さい。

    3. VPN 3000 RADIUS/ASA/PIX 7.x およびそれ以降を『Cisco』 をクリック し、これらのお勧めの属性を設定して下さい。 これにより、このグループに割り当てられているユーザに Cisco VPN 3000 RADIUS 属性が継承されるため、すべてのユーザのポリシーを Cisco Secure ACS for Windows で集中管理できます。

      注: 厳密にはステップ 2 が推奨し、VPN コンセントレータの基礎群がオリジナル デフォルト設定から変更しないと同時にトンネル グループが設定される限り、Cisco VPN 3000/ASA/PIX 7.x およびそれ以降 RADIUS特性が設定されるために必要となりません。

      推奨される VPN 3000 属性:

      • Primary-DNS:プライマリ DNS サーバの IP アドレスを入力します。

      • Secondary-DNS:セカンダリ DNS サーバの IP アドレスを入力します。

      • Primary-WINS:プライマリ WINS サーバの IP アドレスを入力します。

      • Secondary-WINS:セカンダリ WINS サーバの IP アドレスを入力します。

      • トンネリング プロトコル— 『IPSec』 を選択 して下さい。 これにより、IPSec クライアント接続のみが許可されるようになります。 PPTP や L2TP は許可されません。

      • IPsec-Sec-AssociationESP-3DES-MD5 と入力します。 これにより、ご使用のすべての IPSec クライアントが最も高度な暗号を使用して接続するようになります。

      • IPsec 許可パスワード ストア— 『Disallow』 を選択 して下さいそうすればユーザは VPN クライアントのパスワードを保存することができません。

      • IPsec-Banner:ユーザの接続時に表示されるウェルカム メッセージ バナーを入力します。 「MyCompany 従業員用 VPN アクセスへようこそ」などのメッセージを入力します。

      • IPsec-Default Domain:会社のドメイン名を入力します。 「mycompany.com」のようにします。

      /image/gif/paws/13874/CiscoSecure-7.gif

      この属性セットは、必須ではありません。 ただし、VPN 3000 コンセントレータのベース グループ属性が変更されているかどうかわからない場合は、これらの属性を設定することを推奨いたします。

      • Simultaneous-Logins:ユーザが同じユーザ名で同時にログインできる数を入力します。 推奨値は 1 または 2 です。

      • 9 月カード割り当て— 『Any-SEP』 を選択 して下さい。

      • IPsec モード構成— 『ON』 を選択 して下さい。

      • IPsec によ NAT —このグループのユーザに UDP プロトコル上の IPsec を使用して接続してほしくなかったら、『OFF』 を選択 して下さい。 『ON』 を選択 する場合、VPN クライアントにまだローカルで IPsec を NAT によってディセーブルにし、普通接続する機能があります。

      • IPsec によ NAT ポート— 4001 〜 49151 の範囲で UDP ポート番号を選択して下さい。 これは IPsec によ NAT がオンになっているときだけ使用されます。

      次の属性セットを使用できるようにするためには、VPN コンセントレータで何らかの設定が必要になります。 これは上級ユーザのみに推奨します。

      • Access-Hours:この属性を使用するためには、VPN 3000 コンセントレータで Configuration > Policy Management の順に選択し、アクセス時間の範囲を設定する必要があります。 あるいは、Cisco Secure ACS for Windows で設定可能なアクセス時間を使用してこの属性を管理してください。

      • IPsec-Split-Tunnel-List:この属性を使用するためには、VPN コンセントレータで Configuration > Policy Management > Traffic Management の順に選択し、ネットワーク リストを設定してください。 ネットワーク リストとは、クライアントに対して送信されたネットワークのリストであり、リスト内のネットワークへのデータのみを暗号化するようにクライアントに対して指示します。

    4. > 設定を保存し、新しいグループをアクティブにする再始動 『SUBMIT』 を選択 して下さい。

    5. より多くのグループを追加するためにこれらのステップを繰り返して下さい。

  6. Cisco Secure ACS for Windows でユーザを設定します。

    1. 『User Setup』 を選択 し、ユーザ名を入力し、『Add/Edit』 をクリック して下さい。

      CiscoSecure-12.gif

    2. ユーザ設定のセクションでこれらのパラメータを設定します。

      • パスワード認証— 『Cisco Secure Database』 を選択 して下さい。

      • Cisco Secure PAP - Password:ユーザのパスワードを入力します。

      • Cisco Secure PAP - Confirm Password:新規ユーザのパスワードを再入力します。

      • Group to which the user is assigned:前のステップで作成したグループの名前を選択します。

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. ユーザ設定を保存し、アクティブにするために『SUBMIT』 をクリック して下さい。

    4. 追加ユーザを追加するためにこれらのステップを繰り返して下さい。

  7. 認証をテストして下さい。

    VPN 3000 コンセントレータで Configuration > System > Servers > Authentication > Test の順に選択 して下さい。

    /image/gif/paws/13874/CiscoSecure-5.gif

    Cisco Secure ACS for Windows で設定したユーザ名 および パスワードの入力によって VPN コンセントレータから Cisco Secure ACS for Windows サーバに認証をテストして下さい。

    CiscoSecure-9.gif

    良好な認証で、VPN コンセントレータは" Authentication Successful " メッセージを示します。

    /image/gif/paws/13874/CiscoSecure-10.gif

    Cisco Secure ACS for Windows に障害がある場合、Cisco Secure ACS for Windows レポートおよびアクティビティ > 試行失敗 メニューは障害を示します。 デフォル トインストールでは、これらの失敗レポートは c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed 試みのディスクにあります。

    注: Cisco VPN 3000 コンセントレータは TEST 認証が使用されるときだけ Password Authentication Protocol (PAP)を使用します。

  8. VPN 3000 コンセントレータへの接続応答。

    この場合クライアントを使用して VPN 3000 コンセントレータに接続できます。 設定されるステップ 2.で同じグループ名およびパスワードを使用するために VPN クライアントが設定されることをことを確かめて下さい。

アカウンティングの追加

認証が機能するようになると、アカウンティングを追加できます。

VPN 3000 で、> 会計 Configuration > System > Servers の順に選択 して下さい。

CiscoSecure-15.gif

Cisco Secure ACS for Windows サーバを追加するために『Add』 をクリック して下さい。

/image/gif/paws/13874/CiscoSecure-14.gif

Configuration > User Management > Groups の順に選択 するとき各グループに個々のアカウンティング サーバを追加できます。 グループを強調表示し、Acct を『Modify』 をクリック して下さい。 サーバ

/image/gif/paws/13874/CiscoSecure-16.gif

サーバシークレットのアカウンティング サーバの IP アドレスを入力して下さい。

/image/gif/paws/13874/CiscoSecure-17.gif

Cisco Secure ACS for Windows で、アカウンティング記録は次の出力のように表示されます。

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

各グループのための個々のIP プールを規定 して下さい

各グループに個々のIP プールを規定できます。 ユーザ グループに設定されるプールからの IP アドレスは割り当てられます。 プールが特定のグループのために定義されない場合、ユーザ グローバルプールからの IP アドレスは割り当てられます。 各グループのための個々のプールを設定するために Configuration > User Management > Groups の順に選択 して下さい。

/image/gif/paws/13874/CiscoSecure-16.gif

グループを強調表示し、『Modify Address Pool』 をクリック して下さい。 IPプールを追加するために『Add』 をクリック して下さい。 ここに定義される IP アドレスのプールはグローバルプールのサブセットである場合もあります。

/image/gif/paws/13874/CiscoSecure-18.gif

デバッグ

接続が機能しない場合、AUTH、IKE、および IPsec というイベント クラスを VPN コンセントレータに追加できます。これには、Configuration > System > Events > Classes > Modify(Severity to Log=1-9, Severity to Console=1-3)の順に選択します。 AUTHDBG は、AUTHDECODE、IKEDBG、IKEDECODE、IPSECDBG、IPSECDECODE はまた利用でき、しかしたくさんの情報を提供するかもしれません。 RADIUS サーバから受け渡される属性について詳しい情報が必要な場合は、AUTHDECODE、IKEDECODE、および IPSECDECODE を使用すると、Severity to Log=1-13 レベルの情報を入手できます。

/image/gif/paws/13874/CiscoSecure-19.gif

Monitoring > Filterable Event Log からイベントログを取得して下さい。

/image/gif/paws/13874/CiscoSecure-20.gif

Cisco Secure ACS for Windows 失敗はレポートおよびアクティビティ > 試行失敗 > active.csv にあります

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13874