セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ベルギーの eID カードを使った ASA 8.x Anyconnect の認証

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ASA 8.x の Anyconnect 認証を設定して、ベルギーの eID のカードを使用する方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 適切な ASA 8.0 ソフトウェアの ASA 5505

  • AnyConnect Client

  • ASDM 6.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

eID はユーザがリモート Windows PC で認証するために使用する必要があるベルギー政府が発行する PKI (公開鍵インフラストラクチャ)カードです。 AnyConnect ソフトウェアクライアントはローカルPC でインストールされ、リモート パソコンからの認証クレデンシャルを奪取 します。 認証が完了した、リモートユーザは完全な SSL トンネルによって中央リソースへのアクセス権を得ます。 リモートユーザは ASA によって管理されるプールから得られる IP アドレスと提供されます。

ローカルPC セットアップ

オペレーティング システム

ローカルPC のオペレーティング システム(Windows、MacOS、Unix、または Linux)はインストールされるすべての必須パッチと現在である必要があります。

カード読取り装置

電子カード読者はローカル コンピュータで eID カードを使用するためにインストールする必要があります。 電子カード読者は establishs コンピュータのプログラムと ID カードの半導体素子間の通信のチャネル ハードウェア デバイスです。

公認カード読取り装置のリストに関しては、この URL を参照して下さい: http://www.cardreaders.be/en/default.htm leavingcisco.com

カード読取り装置を使用するために、ハードウェアベンダーが推奨するドライバをインストールして下さい。

eID ランタイム ソフトウェア

ベルギー政府が提供する eID 動作時ソフトウェアをインストールして下さい。 このソフトウェアはリモートユーザが eID カードのコンテンツを読み込み、検証し、印刷することを可能にします。 ソフトウェアは Windows、MAC OS X および Linux にフランス語およびオランダ語で利用できます。

詳細については、この URL を参照して下さい:

認証 認証

ローカルPC の Microsoft Windows ストアに認証 認証をインポートして下さい。 ストアに認証をインポートし損う場合 AnyConnect クライアントは ASA への SSL 接続を確立することができません。

手順

認証 認証を Windows ストアにインポートするために、これらのステップを完了して下さい:

  1. eID をカード読取り装置に挿入し、eID カードのコンテンツにアクセスするためにミドルウェアを起動させて下さい。

    eID カードのコンテンツは現われます。

    asa_anyconnect_auth_eid_01.gif

  2. Certificats (FR)タブをクリックして下さい。

    認証階層は表示する。

    asa_anyconnect_auth_eid_02.gif

  3. ベルギー ルートCA を拡張し、次に市民 CA を拡張して下さい

  4. ネームド 認証の認証バージョンを選択して下さい。

  5. Enregistrer (FR)ボタンをクリックして下さい。

    認証は Windows ストアにコピーされます。

: Details ボタンをクリックするとき、ウィンドウはことに認証についてのディスプレイ 詳細現われます。 Details タブで、Serial Number フィールドを表示するために Subject フィールドを選択して下さい。 Serial Number フィールドはユーザ許可のために使用する固有の値を示します。 たとえば、シリアル番号「56100307215"は 072 のシーケンス番号によって誕生日が 10月第 3 であるユーザを、1956 年および 15 の検査数字表します。 中央政府機関から承認のためにこれらの数を保存するために要求を入れて下さい。 それは国のベルギー市民のデータベースのメンテナンスに関する適切な公式宣言をする責任です

検証

正常にインポートされる認証がこれらのステップを完了することを確認するため:

  1. Windows XP マシンで、DOSウィンドウを開き、mmc コマンドを入力して下さい。

    コンソール アプリケーションは現われます。

  2. > Add を『File』 を選択 して下さい/スナップインを取除いて下さい(または Ctrl+M)を押して下さい。

    Add/Remove Snap-in ダイアログボックスは現われます。

  3. [Add] ボタンをクリックします。

    追加スタンドアロン スナップ式ダイアログボックスは現われます。

  4. 利用可能 なスタンドアロン スナップ ins リストで、認証を選択し、『Add』 をクリック して下さい。

  5. ユーザアカウント オプション ボタンをクリックし、『Finish』 をクリック して下さい。

    スナップ式認証は Add/Remove Snap-in ダイアログボックスに現われます。

  6. 追加スタンドアロン スナップ式ダイアログボックスを閉じるために『Close』 をクリック し次に Add/Remove Snap-in ダイアログボックスで変更を保存し、コンソール アプリケーションに戻るために『OK』 をクリック して下さい。

  7. コンソール ルートフォルダの下で、拡張して下さい認証-現在のユーザ

  8. 個人的拡張し、次に認証を拡張して下さい。

    インポートされた証明はこのイメージに示すように Windows ストアに現われる必要があります:

    /image/gif/paws/98710/asa_anyconnect_auth_eid_03.gif

AnyConnect インストール

リモート パソコンで AnyConnect クライアントをインストールして下さい。 AnyConnect ソフトウェアは利用可能 な ゲートウェイのリストをプリセットするために編集することができる XML コンフィギュレーション ファイルを使用します。 XML ファイルはリモート パソコンでこのパスで保存されます:

C:\Documents and Settings\ %USERNAME% \適用業務 データ\ Cisco \ Cisco AnyConnect VPN Client

%USERNAME% がリモート パソコンのユーザの名前であるところ。

XML ファイルの名前は preferences.xml です ファイルのコンテンツの例はここにあります:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectPreferences>
<DefaultHost>192.168.0.1</DefaultHost>
</AnyConnectPreferences>

192.168.0.1 が ASA ゲートウェイの IP アドレスであるところ。

ASA 必要条件

ASA がこれらの必要条件を満たすことを確認して下さい:

  • AnyConnect および ASDM はフラッシュするで動作する必要があります。

    この資料の手順を完了するために、インストールされる適切な ASA 8.0 ソフトウェアと ASA 5505 を使用して下さい。 AnyConnect および ASDM アプリケーションはフラッシュするで前もって積む必要があります。 フラッシュするのコンテンツを表示するために show flash コマンドを使用して下さい:

    ciscoasa#show flash:
    --#--  --length--  -----date/time------  path
       66  14524416    Jun 26 2007 10:24:02  asa802-k8.bin
       67  6889764     Jun 26 2007 10:25:28  asdm-602.bin
       68  2635734     Jul 09 2007 07:37:06  anyconnect-win-2.0.0343-k9.pkg
  • ASA は工場出荷時状態と動作する必要があります。

    この資料の手順を完了するために新しい ASA シャーシを使用する場合この要件をスキップできます。 さもなければ、工場出荷時状態に ASA をリセットするためにこれらのステップを完了して下さい:

    1. ASDM アプリケーションでは、ASA シャーシに接続し、工場出荷時のデフォルト設定に > リセットされたデバイス 『File』 を選択 して下さい。

      asa_anyconnect_auth_eid_04.gif

    2. テンプレートにデフォルト値を残して下さい。

    3. イーサネットの PC を 0/1 の内部インターフェイス接続し、ASA の DHCPサーバによって提供される IP アドレスを更新して下さい。

    ASA をコマンド・ラインからの工場出荷時状態にリセットするために、これらのコマンドを使用して下さい:

    ciscoasa#conf t
    ciscoasa#config factory-default 192.168.0.1 255.255.255.0 

ASA の設定

ASA 工場出荷時状態をリセットすれば、192.168.0.1 にイーサネットの ASA に 0/1 の内部インターフェイスを接続し ASDM を始めることができます。

前のパスワードは維持されます(またはデフォルトでブランクである場合もあります)。

デフォルトで、ASA はサブネット 192.168.0.0/24 のソース IP アドレスの着信 管理 セッションを受け入れます。 デフォルト DHCPサーバは ASDM の内部インターフェイスに接続するために ASA の内部インターフェイスで有効に なる 範囲 192.168.0.2-129/24 の IP アドレスを、有効な提供します。

ASA を設定するには、次の手順を実行します。

  1. Outside インターフェイスをイネーブルに設定して下さい

  2. ドメイン名、パスワードおよびシステムの時刻を設定して下さい

  3. Outside インターフェイスの DHCPサーバを有効に して下さい

  4. eID VPN アドレス プールを設定して下さい

  5. ベルギー ルートCA認証をインポートして下さい

  6. Secure Sockets Layer を設定して下さい

  7. デフォルト グループ ポリシーを定義して下さい

  8. 認証マッピングを定義して下さい

  9. ローカルユーザを追加して下さい

  10. ASA をリブートして下さい

ステップ 1. Outside インターフェイスをイネーブルに設定して下さい

このステップは outside インターフェイスをイネーブルに設定する方法を記述します。

  1. ASDM アプリケーションで、『Configuration』 をクリック し、次にセットアップを『Device』 をクリック して下さい。

  2. デバイス セットアップ エリアで、『Interfaces』 を選択 し、次に Interfaces タブをクリックして下さい。

    /image/gif/paws/98710/asa_anyconnect_auth_eid_05.gif

  3. outside インターフェイスを選択し、『Edit』 をクリック して下さい。

  4. General タブの IP アドレス セクションでは、使用 静的な IP オプションを選択して下さい。

  5. IP アドレスのための 197.0.100.1 およびサブネット マスクのための 255.255.255.0 を入力して下さい。

  6. [Apply] をクリックします。

ステップ 2.ドメイン名、パスワードおよびシステムの時刻を設定して下さい

このステップはドメイン名、パスワードおよびシステムの時刻を設定する方法を記述します。

  1. デバイス設定エリアで、名前/パスワードを『Device』 を選択 して下さい。

    asa_anyconnect_auth_eid_06.gif

  2. ドメイン名のための cisco.be を入力し、cisco123for をイネーブルパスワード値入力して下さい。

    デフォルトで、パスワードはブランクです。

  3. [Apply] をクリックします。

  4. デバイス設定エリアで、システムの時刻を選択し、クロック値を変更して下さい(必要ならば)。

  5. [Apply] をクリックします。

ステップ 3. Outside インターフェイスの DHCPサーバを有効に して下さい。

このステップはテストすることを促進することを outside インターフェイスの DHCPサーバが可能にする方法を記述します。

  1. Configuration をクリックし、次に Device Management をクリックします。

  2. デバイス管理 エリアでは、DHCP を拡張し、『DHCP Server』 を選択 して下さい。

    asa_anyconnect_auth_eid_07.gif

  3. outside インターフェイスをインターフェイス リストから選択し、『Edit』 をクリック して下さい。

    編集 DHCP Server ダイアログボックスは現われます。

  4. イネーブル DHCP Server チェックボックスをチェックして下さい。

  5. DHCPアドレスプールでは、197.0.100.20 から 197.0.100.30 に IP アドレスを入力して下さい。

  6. グローバル な DHCP オプション エリアでは、インターフェイス チェック チェック ボックスからのイネーブル 自動構成のチェックを外して下さい。

  7. [Apply] をクリックします。

ステップ 4. eID VPN アドレス プールを設定して下さい

このステップは AnyConnect リモート クライアントを提供するのに使用する IP アドレスのプールを定義する方法を記述します。

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. 取除アクセスVPN エリアでは、ネットワーク(クライアント)アクセスを拡張し、次にアドレス 指定を拡張して下さい。

  3. プールを『address』 を選択 し、次に IP アドレス プール エリアと指名される Configure にある Add ボタンをクリックして下さい。

    [Add IP Pool] ダイアログボックスが表示されます。

    asa_anyconnect_auth_eid_08.gif

  4. Name フィールドでは、eID-VPNPOOL を入力して下さい。

  5. 開始 IP アドレスおよび終了 IP address フィールドでは、192.168.10.100 から 192.168.10.110 に IP アドレスの範囲を入力して下さい。

  6. 255.255.255.0 をサブネット マスク ドロップダウン リストから選択し、『OK』 をクリック し、それから『Apply』 をクリック して下さい。

ステップ 5.ベルギー ルートCA認証をインポートして下さい

このステップは ASA にベルギー ルートCA認証をインポートする方法を記述します。

  1. ダウンロードし、ベルギー ルートCA 認証を(belgiumrca.crt および belgiumrca2.crt)政府 Webサイトからインストールし、ローカルPC でそれを保存して下さい。

    ベルギー政府 Webサイトはこの URL にあります: http://certs.eid.belgium.be/ leavingcisco.com

  2. リモートアクセス VPN エリアでは、証明書管理を拡張し、CA証明を選択して下さい。

  3. 『Add』 をクリック し、次にファイルから『Install』 をクリック して下さい。

  4. ベルギー ルートCA認証(belgiumrca.crt)ファイルを保存した参照し、InstallCertificate をクリックして下さい位置に

  5. 変更を保存するために『Apply』 をクリック して下さい。

このイメージは ASA でインストールされる認証を示します:

/image/gif/paws/98710/asa_anyconnect_auth_eid_09.gif

ステップ 6. Secure Sockets Layer を設定して下さい

このステップはセキュア暗号化 オプションに優先順位をつけ、SSL VPN クライアント イメージを定義し、接続プロファイルを定義する方法を記述します。

  1. セキュア暗号化 オプションに優先順位をつけて下さい。

    リモートアクセス VPN エリアでは、高度を拡張し、SSL 設定を選択して下さい。 暗号化 セクションでは、アクティブ アルゴリズムは次の通り、上スタックされます:

    • AES256-SHA1

    • AES128-SHA1

    • 3DES-SHA1

    • RC4-SHA1

    asa_anyconnect_auth_eid_10.gif

  2. AnyConnect クライアントのための SSL VPN クライアント イメージを定義して下さい。

    1. リモートアクセス VPN エリアでは、高度を拡張し、SSL VPN を拡張し、設定を『Client』 を選択 して下さい。

    2. SSL VPN クライアント イメージ エリアで、『Add』 をクリック して下さい。

    3. フラッシュするで保存される AnyConnect パッケージを選択して下さい。

      AnyConnect パッケージはこのイメージに示すように SSL VPN クライアント イメージにリストします現われます:

      asa_anyconnect_auth_eid_11.gif

  3. DefaultWEBVPNGroup 接続プロファイルを定義して下さい。

    1. リモートアクセス VPN エリアでは、ネットワーク(クライアント)アクセスを拡張し、SSL VPN 接続プロファイルを選択して下さい。

    2. アクセスインターフェイス エリアでは、イネーブル Cisco AnyConnect VPN Client チェックボックスをチェックして下さい。

    3. outside インターフェイスに関しては、割り当てアクセスをチェックし、クライアント 認証を必要とし、このイメージに示すように DTLS チェックボックスを有効に して下さい:

      asa_anyconnect_auth_eid_12.gif

    4. 接続プロファイル エリアで、DefaultWEBVPNGroup を選択し、『Edit』 をクリック して下さい。

      編集 SSL VPN 接続プロファイル ダイアログボックスは現われます。

      /image/gif/paws/98710/asa_anyconnect_auth_eid_13.gif

    5. ナビゲーション領域で、基本を選択して下さい。

    6. 認証 エリアで、Certificateオプション・ボタンをクリックして下さい。

    7. デフォルト グループ政策分野では、SSL VPN クライアント プロトコル チェックボックスをチェックして下さい。

    8. 高度を拡張し、認証を選択して下さい。

    9. 『Add』 をクリック し、このイメージに示すようにローカル サーバー グループが付いている outside インターフェイスを追加して下さい:

      asa_anyconnect_auth_eid_14.gif

    10. ナビゲーション領域で、許可を選択して下さい。

    11. デフォルト 許可 サーバグループ エリアで、ローカルをサーバグループ ドロップダウン リストから選択し、ユーザを Connect チェックボックスに許可 データベースで存在 しなければなりませんチェックして下さい。

    12. ユーザネーム マッピング エリアで、SER (シリアル番号)をプライマリ DN フィールド ドロップダウン リストから選択し、セカンダリ DN フィールドから『None』 を選択 し、『OK』 をクリック して下さい。

      asa_anyconnect_auth_eid_15.gif

ステップ 7.デフォルト グループ ポリシーを定義して下さい

このステップはデフォルト グループ ポリシーを定義する方法を記述します。

  1. リモートアクセス VPN エリアでは、ネットワーク(クライアント)アクセスを拡張し、ポリシーを『Group』 を選択 して下さい。

    asa_anyconnect_auth_eid_16.gif

  2. DfltGrpPolicy をグループ ポリシーのリストから選択し、『Edit』 をクリック して下さい。

  3. 編集 Internal Group Policy ダイアログボックスは現われます。

    /image/gif/paws/98710/asa_anyconnect_auth_eid_17.gif

  4. ナビゲーション領域から、『General』 を選択 して下さい。

  5. アドレス プールに、アドレスのプールを選択するために『SELECT』 をクリック し eID-VPNPOOL を選択して下さい。

  6. より多くのオプション エリアでは、IPsec および L2TP/IPsec チェックボックスのチェックを外し、『OK』 をクリック して下さい。

ステップ 8.認証マッピングを定義して下さい

このステップは認証マッピング基準を定義する方法を記述します。

  1. リモートアクセス VPN エリアで、『Advanced』 をクリック し、SSL VPN 接続プロファイル マップに『Certificate』 を選択 して下さい。

  2. 接続プロファイル マップ エリアへの認証では、『Add』 をクリック し、マップ リストから DefaultCertificateMap を選択して下さい。

    このマップは接続プロファイル フィールドにマッピング されるの DefaultWEBVPNProfile を一致する必要があります。

  3. エリア マッピング基準のでは、『Add』 をクリック し、これらの値を追加して下さい:

    • フィールド: 発行元は、国(c)、等号、「あります」

    • フィールド: 発行元、Common Name (CN)、等号、「市民カリフォルニア」

    マッピング基準はこのイメージに示すように現われる必要があります:

    /image/gif/paws/98710/asa_anyconnect_auth_eid_18.gif

  4. [Apply] をクリックします。

ステップ 9.ローカルユーザを追加して下さい

このステップはローカルユーザを追加する方法を記述します。

  1. リモートアクセス VPN エリアでは、AAA セットアップを拡張し、ローカルユーザを選択して下さい。

  2. ローカルユーザ利用者域で、『Add』 をクリック して下さい。

  3. Username フィールドでは、ユーザ許可証のシリアル番号を入力して下さい。 たとえば、56100307215 (この資料の認証 認証 セクションに記述されているように)。

    /image/gif/paws/98710/asa_anyconnect_auth_eid_19.gif

  4. [Apply] をクリックします。

ステップ 10. ASA をリブートして下さい

すべての変更がシステム サービスに加えられるようにするために ASA をリブートして下さい。

最適化して下さい

テストしている間、一部の SSL トンネルはきちんと閉じないかもしれません。 それにもどって来る可能性を与える AnyConnect クライアントは切断され、再接続するかもしれないと ASA が仮定するのでトンネルは廃棄されません。 ただし、基礎ライセンス(2 つの SSL トンネル SSL トンネルがきちんと閉じられないときデフォルトで)の実験室試験の間に、ライセンスを排出するかもしれません。 この問題が発生する場合、VPNsessiondb ログオフ <option > コマンドをすべてのアクティブ SSL セッションをログオフするために使用して下さい。

一分 設定

すぐに運用コンフィギュレーションを作成するために、ASA を工場出荷時状態にリセットし、コンフィギュレーションモードのこの設定を貼り付けて下さい:

ciscoasa
ciscoasa#conf t
ciscoasa#clear configure all
ciscoasa#domain-name cisco.be
ciscoasa#enable password 9jNfZuG3TC5tCVH0 encrypted
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
interface Vlan2
 nameif outside
 security-level 0
 ip address 197.0.100.1 255.255.255.0 
interface Ethernet0/0
 switchport access vlan 2
 no shutdown
interface Ethernet0/1 
 no shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
dns server-group DefaultDNS
 domain-name cisco.be
ip local pool eID-VPNPOOL 192.168.10.100-192.168.10.110 mask 255.255.255.0
asdm image disk0:/asdm-602.bin
no asdm history enable
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.255.0 inside
crypto ca trustpoint ASDM_TrustPoint0
 enrollment terminal
 crl configure
crypto ca certificate map DefaultCertificateMap 10
 issuer-name attr c eq be
 issuer-name attr cn eq citizen ca
crypto ca certificate chain ASDM_TrustPoint0
 certificate ca 580b056c5324dbb25057185ff9e5a650
    30820394 3082027c a0030201 02021058 0b056c53 24dbb250 57185ff9 e5a65030 
    0d06092a 864886f7 0d010105 05003027 310b3009 06035504 06130242 45311830 
    16060355 0403130f 42656c67 69756d20 526f6f74 20434130 1e170d30 33303132 
    36323330 3030305a 170d3134 30313236 32333030 30305a30 27310b30 09060355 
    04061302 42453118 30160603 55040313 0f42656c 6769756d 20526f6f 74204341 
    30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 
    00c8a171 e91c4642 7978716f 9daea9a8 ab28b74d c720eb30 915a75f5 e2d2cfc8 
    4c149842 58adc711 c540406a 5af97412 2787e99c e5714e22 2cd11218 aa305ea2 
    21b9d9bb fff674eb 3101e73b 7e580f91 164d7689 a8014fad 226670fa 4b1d95c1 
    3058eabc d965d89a b488eb49 4652dfd2 531576cb 145d1949 b16f6ad3 d3fdbcc2 
    2dec453f 093f58be fcd4ef00 8c813572 bff718ea 96627d2b 287f156c 63d2caca 
    7d05acc8 6d076d32 be68b805 40ae5498 563e66f1 30e8efc4 ab935e07 de328f12 
    74aa5b34 2354c0ea 6ccefe36 92a80917 eaa12dcf 6ce3841d de872e33 0b3c74e2 
    21503895 2e5ce0e5 c631f9db 40fa6aa1 a48a939b a7210687 1d27d3c4 a1c94cb0 
    6f020301 0001a381 bb3081b8 300e0603 551d0f01 01ff0404 03020106 300f0603 
    551d1301 01ff0405 30030101 ff304206 03551d20 043b3039 30370605 60380101 
    01302e30 2c06082b 06010505 07020116 20687474 703a2f2f 7265706f 7369746f 
    72792e65 69642e62 656c6769 756d2e62 65301d06 03551d0e 04160414 10f00c56 
    9b61ea57 3ab63597 6d9fddb9 148edbe6 30110609 60864801 86f84201 01040403 
    02000730 1f060355 1d230418 30168014 10f00c56 9b61ea57 3ab63597 6d9fddb9 
    148edbe6 300d0609 2a864886 f70d0101 05050003 82010100 c86d2251 8a61f80f 
    966ed520 b281f8c6 dca31600 dacd6ae7 6b2afa59 48a74c49 37d773a1 6a01655e 
    32bde797 d3d02e3c 73d38c7b 83efd642 c13fa8a9 5d0f37ba 76d240bd cc2d3fd3 
    4441499c fd5b29f4 0223225b 711bbf58 d9284e2d 45f4dae7 b5634544 110d2a7f 
    337f3649 b4ce6ea9 0231ae5c fdc889bf 427bd7f1 60f2d787 f6572e7a 7e6a1380 
    1ddce3d0 631e3d71 31b160d4 9e08caab f094c748 755481f3 1bad779c e8b28fdb 
    83ac8f34 6be8bfc3 d9f543c3 6455eb1a bd368636 ba218c97 1a21d4ea 2d3bacba 
    eca71dab beb94a9b 352f1c5c 1d51a71f 54ed1297 fff26e87 7d46c974 d6efeb3d 
    7de6596e 069404e4 a2558738 286a225e e2be7412 b004432a
  quit
no crypto isakmp nat-traversal
!
dhcpd address 192.168.0.2-192.168.0.129 inside
dhcpd enable inside
dhcpd address 197.0.100.20-197.0.100.30 outside
dhcpd enable outside
!
service-policy global_policy global
ssl encryption aes256-sha1 aes128-sha1 3des-sha1 rc4-sha1
ssl certificate-authentication interface outside port 443
webvpn
 enable outside
 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
 svc enable
certificate-group-map DefaultCertificateMap 10 DefaultWEBVPNGroup
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol svc webvpn
 address-pools value eID-VPNPOOL
username 63041403325 nopassword
tunnel-group DefaultWEBVPNGroup general-attributes
 authentication-server-group (outside) LOCAL
 authorization-server-group LOCAL
 authorization-required
 authorization-dn-attributes SER
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication certificate
exit
copy run start


関連情報


Document ID: 98710