セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 8.x: CAC - Cisco VPN Client のスマートカードの認証

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 9 月 17 日) | フィードバック


目次


概要

このドキュメントでは、認証に Common Access Card(CAC)を使用してネットワークのリモート アクセスに関して Cisco 適応型セキュリティ アプライアンス(ASA)を設定する例を紹介します。

この資料のスコープは適応性がある Security Device Manager (ASDM)、Cisco VPN Client および Microsoft Active Directory (AD) /Lightweight ディレクトリアクセスプロトコル(LDAP)で Cisco ASA の設定をカバーします。

このガイドの設定は Microsoft AD/LDAP サーバを使用します。 この資料はまた進んだ機能を、OCSP のような、LDAP アトリビュート マップ取り扱い、ダイナミックアクセスはポリシングを行ないます(DAP)。

前提条件

要件

Cisco ASA、Cisco VPN Client、Microsoft AD/LDAP、および公開鍵インフラストラクチャ (PKI)の基本的な知識は完全なセットアップを理解して有利です。 AD 団体会員およびユーザ プロパティーとの習熟度、また認証属性と AD/LDAP オブジェクト間の許可 プロセスを関連させる LDAP オブジェクト ヘルプ。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.0(x) 以降が稼働する Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)

  • ASA 8.x 用の Cisco Adaptive Security Device Manager(ASDM)バージョン 6.x

  • Cisco VPN Client 4.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Cisco ASA の設定

このセクションは Cisco ASA によって ASDM の設定をカバーします。 それは IPSec接続によって VPN リモートアクセストンネルを配置するために必要な ステップをカバーします。 CAC 認証は認証のために使用され、認証のユーザー プリンシパル名(UPN)アトリビュートは許可のためのアクティブ ディレクトリで読み込まれます。

導入に関する考慮事項

  • このガイドはインターフェイスのような基本設定を、DNS、NTP、ルーティング、デバイスアクセス、または ASDM アクセス、先祖などカバーしません ネットワーク オペレータはこれらの設定をよく理解しているものとします。

    詳細については、多機能セキュリティ アプライアンス モデルを参照して下さい。

  • いくつかのセクションは基本 VPN アクセスのために必要とされる必須コンフィギュレーションです。 たとえば、VPN トンネルは OCSP チェック、LDAP マッピング、またはダイナミックアクセス ポリシー(DAP)チェックなしで CAC カードと設定することができます。 DoD は設定される OCSP なしで、トンネル作業のチェックする OCSP 統治を委任します。

  • 必要な ASA イメージが少なくとも 8.0.2 および ASDM 6.0.2 です。

  • LDAP スキーマ変更は必要ではないです。

  • ポリシーを強制するための LDAP およびダイナミック アクセス ポリシーのマッピングの例については、付録 A を参照してください。

  • LDAP オブジェクトを MS でチェックする方法については、付録 D を参照してください。

  • RFC のリストについては「関連情報」セクションを参照して下さい。

認証、許可、アカウンティング(AAA)設定

ユーザは自身の組織の DISA 認証局 (CA) サーバまたは CA サーバによるよくあるアクセス カード(CAC)の認証と認証されます。 証明書はネットワークへのリモート アクセス用に有効である必要があります。 認証に加えて、ユーザはまた Microsoft Active Directory または Lightweight Directory Access Protocol (LDAP) オブジェクトと許可する必要があります。 米国国防総省(DoD)は認証の認証対象代替名(SAN)セクションの一部である許可のためにユーザー プリンシパル名(UPN)アトリビュートの使用を必要とします。 UPN か EDI/PI はこの形式に– 1234567890@mil ある必要があります。 下記の設定は許可のための LDAPサーバで ASA の AAAサーバを設定する方法を示します。 LDAP の追加コンフィギュレーションについては付録 A がマッピングに反対するのを参照して下さい。

LDAP サーバの設定

次の手順に従ってください。

  1. > AAAサーバグループは設定されるリモートアクセス VPN > AAA に行きます。

  2. 「AAA サーバ グループ」表で、『Add』 をクリック して下さい。

  3. サーバグループ名前を入力し、Protocol オプション・ ボタンの LDAP を選択して下さい。 図 1 を参照してください。

  4. 「選択したグループのサーバ」は表で、『Add』 をクリック します。 この表で強調表示される作成するサーバことを確かめて下さい。

  5. 編集 AAAサーバ ウィンドウで、図 2.参照して下さい。

    注: この接続のタイプに LDAP および AD が設定されている場合、[Enable LDAP over SSL] オプションを選択してください。

    1. LDAP があるインターフェイスを選択して下さい。 このガイドは内部インターフェイスを示します。

    2. サーバの IP アドレスを入力します。

    3. サーバポートを入力して下さい。 デフォルトの LDAP ポートは 389 です。

    4. サーバタイプを選択して下さい。

    5. ベース DN を入力して下さい。 これらの値は AD/LDAP 管理者に問い合わせてください。

      図 1: サーバグループを追加して下さい

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-1.gif

    6. スコープ オプションの下で、適切であるものはどれでも選択して下さい。 これはベース DN に依存しています。 AD/LDAP 管理者に連絡して支援を求めてください。

    7. ネーム属性フィールドでは、userPrincipalName を入力して下さい。 このアトリビュートは AD/LDAP サーバでユーザ許可のために利用します。

    8. ログイン DN フィールドでは、管理者 DN を入力して下さい。

      注: ユーザ オブジェクトおよび団体会員が含まれているユーザは LDAP 構造 管理権限か権限/検索表示するためにがなければなりません。

    9. ログインパスワード フィールドでは、管理者のパスワードを入力して下さい。

    10. LDAP 属性は [None] のままにします。

      図 2

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-2.gif

      このオプションを設定 許可のための他の AD/LDAP オブジェクトを追加するあとで使用します

    11. [OK] をクリックします。

  6. [OK] をクリックします。

証明書の管理

ASA で認証をインストールする 2 つのステップがあります。 最初に、必要な CA 証明書(ルートおよび追加の認証局)をインストールします。 2 番目に、ASA を仕様 CA に登録し、ID証明を得て下さい。 DoD PKI はこれらの認証を利用します: CA2、クラス 3 ルートを、ASA が登録される CA## 中間物、ASA ID 認証および OCSP 認証を定着させて下さい。 OCSP を使用しないために選択する場合 OCSP 認証はインストールされる必要はありません。

注: デバイスの ID証明のために登録する方法に関する原証明、また手順を得るためにセキュリティ POC に連絡して下さい。 SSL 認証はリモートアクセスの ASA のために十分である必要があります。 デュアル SAN 証明書は必要ありません

注: インストールされるクライアントのローカルマシンはまた DoD CA チェーンがなければなりません。 認証は Internet Explorer を通した Microsoft 証明書ストアで表示することができます。 DoD はマシンに自動的にすべての CA を追加するバッチファイルを生成 しました。 詳細については、お客様の PKI POC にお問い合わせください。

注: DoD CA2 およびクラス 3 は(、また ASA 認証を発行した ASA ID および通常 CA 中間物)ですユーザ認証のために必要とされる唯一の CA 定着します。 すべての電流 CA 中間物は CA2 およびクラス 3 ルート チェーンの下で CA2 およびクラス 3 ルートが追加される限り落ち、信頼されます。

キーの生成

次の手順に従ってください。

  1. リモートアクセス VPN > Certificate Management > ID証明 > Add に行って下さい。

  2. 新しい ID 認証を『Add』 を選択 し、次にキーペア オプションによって『New』 を選択 して下さい。

  3. Add 鍵ペア ウィンドウで、キー名(DoD-1024)を入力して下さい; New 鍵を追加するために無線をクリックして下さい。 図 3 を参照してください。

    図3

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-3.gif

  4. キーのサイズを選択して下さい。

  5. 一般目的に使用方法を保存して下さい。

  6. 生成する Now ボタンをクリックして下さい。

    注: DoD ルートCA 2 は 2048 ビット キーを使用します。 第 2 キーはこの CA を使用できるために 2048 ビット キーペアを使用する生成する必要があります。 第 2 キーを追加するために上記のステップに従って下さい。

ルート CA 証明書のインストール

次の手順に従ってください。

  1. リモートアクセス VPN > Certificate Management > CA 認証 > Add に行って下さい。

  2. [Install from File] を選択し、証明書を参照します。

  3. [Install Certificate] を選択します。

    図 4: 原証明をインストールして下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-4.gif

  4. このメッセージが現れます。 図 5.参照して下さい。

    図 5

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-5.gif

    注: インストールするすべての証明書について、手順 1 から手順 3 までを繰り返してください。 DoD PKI では、 ルートCA 2、クラス 3 ルート、CA## 中間物、ASA ID、および OCSP サーバ。 OCSP を使用しない場合、OCSP 証明書は不要です。

    図 6: 原証明をインストールして下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-6.gif

ASA の登録と ID 証明書のインストール

次の手順に従ってください。

  1. リモートアクセス VPN > Certificate Management > ID証明 > Add に行って下さい。

  2. 新しい ID証明を『Add』 を選択 して下さい。

  3. DoD-1024 キー ペアを選択します。 図 7.参照して下さい。

    図 7: ID 証明書パラメータ

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-7.gif

  4. 認証 サブジェクト DN ボックスに行き、アトリビュートを『SELECT』 を選択 して下さい。

  5. [Certificate Subject DN] ウィンドウで、デバイスの情報を入力します。 例については図 8 参照して下さい。

    図 8: DN の編集

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-8.gif

  6. [OK] をクリックします。

    注: サブジェクト DN を追加するときは、システム内で設定されているデバイスのホスト名を使用するようにします。 必須フィールドについては PKI POC から聞き取ることができます。

  7. [Add Certificate] を選択します。

  8. 要求を保存したいと思うディレクトリを選択するために「参照します」クリックして下さい。 図 9.参照して下さい。

    図 9 証明書要求

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-9.gif

  9. ワードパッドとのファイルを開いて下さい; 要求を適切なドキュメントにコピーし、PKI POC に送信 して下さい。 図 10.参照して下さい。

    図 10: 登録要求

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-10.gif

  10. CA 管理者から認証を受け取ったら、リモートアクセス VPN > Certificate Management > ID 認証 > インストールに行って下さい。 図 11 を参照してください。

    図 11: インポート ID証明

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-11.gif

  11. Install certificate ウィンドウでは、ID 認証に参照し、『install certificate』 を選択 して下さい。 例については図 12 参照して下さい。

    図 12: ID証明をインストールして下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-12.gif

    注: 発された認証およびキーペアを保存するために ID 認証 トラストポイントをエクスポートすることを推奨します。 これによって ASA 管理者は、RMA またはハードウェア障害の場合に証明書およびキー ペアを新しい ASA にインポートすることができます。 詳細については、Trustpoints をエクスポートし、インポートすることを参照して下さい。

    注: フラッシュ メモリの設定を保存するために SAVE ボタンをクリックして下さい。

VPN の設定

これは別の方式を使用すれば DHCP のようなオプション、です。

  1. リモートアクセス VPN > ネットワーク(クライアント)アクセス > アドレス 指定 > アドレス プールに行って下さい。

  2. [Add] をクリックします。

  3. 追加 IPプール ウィンドウで、開始し、IP アドレスを終了する IPプールの名前を入力しサブネット マスクを選択して下さい。 図 13 を参照してください。

    図 13: IPプールを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-13.gif

  4. [OK] をクリックします。

  5. リモートアクセス VPN > ネットワーク(クライアント)アクセス > アドレス 指定 > 割り当てのポリシーに行って下さい。

  6. 適切な IP アドレス 割り当て 方式を選択して下さい。 このガイドでは、内部アドレス プールを使用します。 図 14 参照して下さい。

    図 14: IP アドレス割り当て方法

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-14.gif

  7. [Apply] をクリックします。

トンネル グループおよびグループ ポリシーの作成

注: トンネル グループおよびグループ ポリシーを作成する前に、リモートアクセス VPN > ネットワーク(クライアント)アクセス > IPSec接続プロファイルに行って下さいおよび割り当てアクセス ボックスが IPSec アクセスのためのイネーブル インターフェイスOutside インターフェイスがあるように確認されることを確かめて下さい。

グループ ポリシー

注: 新しいポリシーを作成したいと思わない場合グループ ポリシーで構築されるデフォルトを使用できます。

  1. リモートアクセス VPN > ネットワーク(クライアント)アクセス > グループ ポリシーに行って下さい。

  2. [Add] をクリックして、[Internal Group Policy] を選択します。

  3. [Add Internal Group Policy] ウィンドウで、[Name] テキスト ボックスにグループ ポリシーの名前を入力します。 図 15 参照して下さい。

    図 15: 内部グループ ポリシーを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-15.gif

    1. General タブで、SSL のような他のプロトコルを使用しなかったらトンネリング プロトコル オプションの IPsec を選択して下さい。

    2. [Servers] セクションで、[inherit] チェック ボックスのチェックを外し、DNS サーバおよび WINS サーバの IP アドレスを入力します。 DHCP スコープを、該当する場合入力して下さい。

    3. サーバでは区分し、デフォルト ドメインの受継チェックボックスをチェックを外し、適切なドメイン名を入力して下さい。

    4. General タブでは、アドレス プール セクションの受継チェックボックスのチェックを外し、前のステップで作成されるアドレス プールを追加して下さい。 IP アドレス 割り当ての別の方式を使用する場合、これを適切な変更を受継ぎ、行なうために設定 しました残して下さい。

    5. 他の Configuration タブはすべてデフォルト設定で残っています。

  4. [OK] をクリックします。

トンネル グループ インターフェイスおよびイメージの設定

注: 新しいグループを作成しない場合、デフォルトの組み込みグループを使用できます。

  1. リモートアクセス VPN > ネットワーク(クライアント)アクセス > IPSec接続 プロファイル > Add に行って下さい。 図 16 参照して下さい。

    図 16: 接続プロファイルを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-16.gif

  2. リモートアクセスのために『Add』 をクリック し、『IPSec』 を選択 して下さい。

  3. 追加 Profile ウィンドウでは、ネーム テキストボックスでトンネル グループの名前を入力して下さい。

  4. 追加 Profile ウィンドウで、ピア 認証のために以前にインストールされる ID 認証を選択して下さい。

  5. 認証をローカルに設定 されて残して下さい。

  6. Profile ウィンドウで、前のステップで作成されるグループ ポリシーを選択して下さい。

    注: ASDM は認証のためのオプションで自動的に認証が使用されるのにローカルを設定します。 これを解決するために、ディセーブルにするために IKE 認証モードを設定 して下さい。 これをディセーブルにしない場合、ユーザ名 および パスワード プロンプトは接続することを試みるとき現われます。 図 17 を参照して下さい。

    図 17: 接続プロファイルを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-17.gif

  7. Advanced タブ > 許可をクリックして下さい。 許可 サーバグループで、より早いステップで作成される LDAPサーバ グループを選択し、ユーザがあるようにボックスを許可 データベースで接続するために存在 しなければなりません確認して下さい。 承認設定で、使用するためにアトリビュートとして UPN を選択して下さい。 図 18 を参照してください。

    図 18: UPN 設定

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-18.gif

  8. [OK] をクリックします。

注: フラッシュ メモリの設定を保存するために SAVE ボタンをクリックして下さい。

IKE/ISAKMP パラメータを設定して下さい

次の手順に従ってください。

  1. > 進みました > IPSec はリモートアクセス VPN > ネットワーク(クライアント)アクセスに行きます。

  2. outside インターフェイスに IKE パラメータ タブで有効に なる IKE があることを確認して下さい。 そうでなかったら、outside インターフェイスを強調表示し、『Enable』 をクリック し、デフォルトに他のすべてを残して下さい。

  3. IKE ポリシーに行って下さい。

  4. [Add] をクリックします。 プライオリティ番号のための 10 を入力して下さい、暗号化のためのトリプル DES、ハッシュのための sha、認証のための rsa-sig、および DH グループのための 2 つを選択して下さい; デフォルトでライフタイムを残して下さい。 例については図 19 参照して下さい。

  5. [OK] をクリックします。

    図 19: IKE/ISAKMP ポリシーを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-19.gif

    注: 複数の IKE/ISAKMP ポリシーを追加できますもし必要なら。

  6. > 進みました > IPSec > 認証はリモートアクセス VPN > ネットワーク(クライアント)アクセス接続プロファイル マップ >Policy に行きます。 図 20 参照して下さい。

  7. ポリシー セクションでは、使用を除いてすべてのチェックボックスのグループに認証を一致させる設定されたルール チェックを外して下さい。

  8. > 進みました > IPSec > 認証はリモートアクセス VPN > ネットワーク(クライアント)アクセス接続プロファイルにマッピング します > ルール行きます。

  9. 上表で『Add』 をクリック して下さい。

    図 20: ポリシーと一致する認証 グループ

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-20.gif

  10. 追加認証一致規則ウィンドウで、これらの手順に従って下さい:

    1. マップ セクションで既存のマップ DefaultCertificateMap を保存して下さい。

    2. ルール優先順位として 10 を保存して下さい。

    3. マッピング された グループの下で、オプション ボタンをクリックするときより早いセクションで作成されるトンネル グループを選択して下さい。 図 21 を参照してください。

    4. [OK] をクリックします。

      図 21: 認証一致規則を追加して下さい

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-21.gif

  11. 下の表にある [Add] をクリックします。

  12. ウィンドウ追加認証一致規則基準のでは、これらの手順に従って下さい:

    図 22: 証明書の照合ルールの基準

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-22.gif

    1. 服従するためにフィールド列セットを保存して下さい。

    2. Component カラムを全フィールドに設定 しておいて下さい。

    3. [Operator] カラムを [Does Not Equal] に変更します。

    4. Value 列では、2 つの二重引用符を入力して下さい(「」)。

    5. [OK]、[Apply] の順にクリックします。 例については図 22 参照して下さい。

IPSecパラメータを設定して下さい

次の手順に従ってください。

  1. > 進みました > IPSec > クリプト マップはリモートアクセス VPN > ネットワーク(クライアント)アクセスに行きます。

  2. [Add] をクリックします。

  3. 作成 IPSec ルール ウィンドウで、基本的なタブで、これらの手順に従って下さい: 図 23 参照して下さい。

    1. インターフェイスのために『outside』 を選択 して下さい。

    2. ポリシーの種類のためのダイナミックを選択して下さい。

    3. プライオリティ番号を入力して下さい。

    4. transform-set を選択し、『Add』 をクリック して下さい。 このガイドは ESP-AES-256-SHA を使用します。 もし必要なら多重 transform-set を追加できます。

  4. トラフィック選択タブをクリックして下さい。

  5. インターフェイスおよび処理 セクションで、インターフェイスのために『outside』 を選択 し、処理のために保護して下さい

  6. ソース セクションで、選択して下さい。

  7. 宛先 セクションで、選択して下さい。

  8. [OK] をクリックします。

  9. [Apply] をクリックします。

    図 23: IPSec ルールを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-23.gif

OCSP の設定

OCSP レスポンダ証明書の設定

OCSP 設定は OCSP 応答側 ベンダーに依存を変えることができます。 詳細についてはベンダーの手動を読んで下さい。

  1. OCSP レスポンダから自己生成された証明書を取得します。

  2. 以前に述べられる手順に従い、OSCP サーバのための認証をインストールして下さい。

    注: 失効チェックがどれもに設定 されないことを確かめて下さい。 OCSP チェックは実際の OCSP サーバで起こる必要はありません。

OCSP を使用するための CA の設定

次の手順に従ってください。

  1. リモートアクセス VPN> 証明書管理 > CA証明に行って下さい。

  2. 表でそれを強調表示するとき OCSP を使用するために設定するように CA を選択して下さい。

  3. [Edit] をクリックします。

  4. 失効のためのチェック 認証がチェックされるようにして下さい。

  5. [Revocation Methods] セクションで、OCSP を追加します。 図 24 を参照してください。

    図 24: OCSP 失効チェック

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-24.gif

  6. 厳密な OCSP チェックに続きたいと思う場合考慮認証 有効なが…チェックを外される取得することができないようにして下さい。

    注: OCSP を失効用に使用するすべての CA サーバを設定または編集します。

OCSP ルールの設定

注: これらの手順に従う前にポリシーと一致する認証 グループが作成される OCSP 応答側が設定されることを確認すれば。

注:  一部の OCSP 実装では、ASA についての DNS A および PTR レコードが必要になる場合があります。 このチェックは ASA が .mil サイトからあることを確認するためにされます。

  1. リモートアクセス VPN> 証明書管理 > CA証明 2.に行って下さい

  2. CA を設定するために選択するため OCSP を表でそれを強調表示するのに使用するため。

  3. [Edit] をクリックします。

  4. [OCSP Rule] タブをクリックします。

  5. [Add] をクリックします。

  6. 追加 OCSP ルール ウィンドウで、これらの手順に従って下さい: 図 25 参照して下さい。

    図 25: OCSP ルールを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-25.gif

    1. 認証 マップ オプションで、IKE/ISAKMP パラメータ セクションで作成されるマップを選択して下さい: DefaultCertificateMap

    2. 認証 オプションで、OCSP 応答側を選択して下さい。

    3. [Index] オプションに、10 と入力します。

    4. [URL] オプションに、OCSP レスポンダの IP アドレスまたはホスト名を入力します。 ホスト名を使用する場合、DNSサーバが ASA で設定されることを確かめて下さい。)

    5. [OK] をクリックします。

    6. [Apply] をクリックします。

Cisco VPN Client の設定

このセクションは Cisco VPN Client の設定をカバーします。

前提条件: Cisco VPN Client およびミドルウェア アプリケーションはホスト PC に既にインストールされています。 Cisco VPN Client はこれらのミドルウェア アプリケーションをサポートします: GemPLUS (GemSAFE ワークステーション 2.0 またはそれ以降leavingcisco.com )、Activcard (Activcard 金バージョン 2.0.1 または それ 以降leavingcisco.com )および Aladdin (ランタイム環境(RTE)バージョン 2.6 または それ 以降を eTokenleavingcisco.com )。

Cisco VPN Client を開始して下さい

ホスト PC から: Start > Programs > Cisco Systems VPN Client > VPN Client の順にクリック して下さい。

新規接続

次の手順に従ってください。

  1. エントリを『Connection』 をクリック して下さい。

  2. VPN サーバの接続および IP アドレス または ホスト名の説明を『New』 をクリック し、次に入力して下さい。 図 26 を参照してください。

  3. Authentication タブの下で、『Certificate Authentication』 を選択 して下さい。

  4. ネーム オプションで、シグニチャ 認証を選択し、送信 CA 認証 チェーンをチェックして下さい。 (通常失敗した場合選択された作業である、認証を他の試みることができますデフォルト認証。)

  5. [Save] をクリックします。

    図 26: 新しい VPN 接続を作成して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-26.gif

リモート アクセスの開始

次の手順に従ってください。

  1. 前の手順で作成されるエントリをダブルクリックして下さい。

  2. ピンナンバーを入力して下さい。

  3. [OK] をクリックします。

付録 A:LDAP マッピングおよび DAP

ASA/PIX リリース 7.1(x) で開始して、LDAP マッピングと呼ばれた機能は導入されました。 これは Cisco 属性と LDAP オブジェクトまたは属性の間のマッピングを提供する高度な機能で、LDAP スキーマ変更が不要になります。 CAC 認証を実装する場合、これはリモート アクセス接続への追加のポリシー適用をサポートすることができます。 LDAP マッピングの例は下記にあります。 AD/LDAP サーバの変更を行なう管理者権限を必要とすることに注意して下さい。 ASA 8.x ソフトウェアでは、ダイナミック アクセス ポリシー(DAP)機能が導入されました。 DAP は CAC と共にはたらくことができます複数の AD グループを検知 するために、またポリシー、ACL、等を押すために…

シナリオ 1: リモートアクセス許可 ダイヤルインとのアクティブ ディレクトリ適用–割り当て/拒否アクセス

この例は Cisco アトリビュート cVPN3000-Tunneling-Protocol に AD アトリビュート msNPAllowDailin をマッピング します。

  • AD 属性の値: TRUE = 許可、 FALSE = 拒否

  • Cisco 属性値: 1 = 偽、4 (IPSec)または 20 (4 IPSec + 16 WebVPN) = TRUE

割り当て状態に関しては、マッピング します

  • TRUE = 20

拒否ダイヤルイン状態に関しては、マッピング します

  • FALSE = 1

注: TRUE および FALSE はすべて大文字です。 Cisco 属性に関する詳細については、セキュリティ アプライアンス モデル ユーザ許可のための外部サーバの設定を参照して下さい。

Active Directory の設定

次の手順に従ってください。

  1. Active Directory サーバで、[Start] > [Run] をクリックします。

  2. 開いたテキストボックスでは、型 dsa.msc はそれから『OK』 をクリック し これで Active Directory 管理コンソールが起動します。

  3. アクティブ ディレクトリ マネジメントコンソールで、Active Directory Users and Computers を拡張するプラス記号をクリックして下さい。

  4. ドメイン名を拡張するプラス記号をクリックして下さい。

  5. ユーザ向けに作成される OU がある場合すべてのユーザを表示するために OU を拡張して下さい; ユーザ フォルダですべてのユーザに割り当ててもらう場合、それらを表示するためにそのフォルダを開いて下さい。 図 A1 を参照してください。

    図 A1: Active Directory 管理コンソール

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-40.gif

  6. 編集したいと思うユーザをダブルクリックして下さい。

    ユーザ プロパティー ページの Dial-in タブをクリックし、割り当てるか、または否定しますクリックして下さい。 図 A2 を参照してください。

    図 A2: ユーザのプロパティ

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-41.gif

  7. [OK] をクリックします。

ASA の設定

次の手順に従ってください。

  1. ASDM では、> LDAP アトリビュート マップは設定されるリモートアクセス VPN > AAA に行きます。

  2. [Add] をクリックします。

  3. 追加 LDAP アトリビュート Map ウィンドウでは、これらの指示に従って下さい: 図 A3 を参照してください。

    図 A3 LDAP アトリビュート マップを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-42.gif

    1. 名のテキスト ボックスで名前を入力して下さい。

    2. マップネーム タブでは、顧客名 テキストボックスの msNPAllowDialin を入力して下さい。

    3. マップネーム タブで、Cisco 名前のドロップダウン オプションのトンネリング プロトコルを選択して下さい。

    4. [Add] をクリックします。

    5. [Map Value] タブをクリックします。

    6. [Add] をクリックします。

    7. 追加では顧客名 テキストボックスの LDAP Map 値 ウィンドウ、タイプ TRUE、および Cisco 値 テキストボックスのタイプ 20 を帰因させて下さい。

    8. [Add] をクリックします。

    9. 顧客名 テキストボックスの、および Cisco 値 テキストボックスのタイプ 1 をタイプして下さい。 図 A4 を参照してください。

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-43.gif

    10. [OK] をクリックします。

    11. [OK] をクリックします。

    12. [APPLY] をクリックします。

    13. 図 A5 のように設定見え。

      図 A5: LDAP 属性マップの設定

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-44.gif

  4. > AAA サーバ グループは設定されるリモートアクセス VPN > AAA に行きます。 図 A6 を参照してください。

    図 A6: AAA サーバ グループ

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-45.gif

  5. 編集したいと思うサーバグループをクリックして下さい。 選択したグループ セクションのサーバでは、サーバのIPアドレスホスト名を選択し、次に『Edit』 をクリック して下さい。

  6. で AAAサーバ ウィンドウを、LDAP アトリビュート マップ テキストボックスで、選択しますドロップダウン ボタンで作成される LDAP アトリビュート マップを編集して下さい。 図 A7 を参照して下さい。

    図 A7: LDAP アトリビュート マップを追加して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-46.gif

  7. [OK] をクリックします。

注: 確認するためにきちんとマッピング して いるかどうか LDAP バインディングおよびアトリビュート作業をテストする間、LDAP デバッグをつけて下さい。 トラブルシューティング コマンドについては付録 C を参照してください。

シナリオ 2: 割り当てるべき団体会員/拒否アクセスのアクティブ ディレクトリ適用

この例は LDAP アトリビュート memberOf を状態として団体会員を確立するために Cisco トンネリング プロトコル アトリビュートにマッピング するのに使用します。 このポリシーを機能させるには、次の条件が必要です。

  • 現存するグループを使用するか、または割り当て状態の ASA VPN ユーザ向けの新しいグループを作成して下さい。

  • 現存するグループを使用するか、または拒否状態の非 ASA ユーザ向けの新しいグループを作成して下さい。

  • グループのための正しい DN があること LDAP ビューアをチェックインすることを確かめて下さい。 詳細は、「付録 D」を参照してください。 DN が正しくない場合、マッピングは正しく動作しません。

注: ASA がこのリリースの memberOf アトリビュートの一線級選手しか読まないことができることに注意して下さい。 作成される新しいグループがリストの上にあることを確かめて下さい。 その他のオプションはので特殊文字の AD 外観最初に名前の前の特殊文字を置くことです。 この警告を回避するために、複数のグループを検知 するのに 8.x ソフトウェアで DAP を使用して下さい。

注: memberOf が ASA に常に送返されるようにユーザが拒否グループまたは少なくとも 1 他のグループの一部であることを確かめて下さい。 偽拒否状態を規定 する必要がありませんが最良 の 方法はそうすることです。 現存するグループ名はか新しいグループ名が領域がはいっている場合、アトリビュートをこのように入力して下さい: 「CN=Backup オペレータ、CN=Builtin、DC=ggsgseclab、DC=org」。

注: DAP では、ASA が複数グループの memberOf 属性を参照し、グループに基づいた許可を行います。 DAP のセクションを参照してください。

マッピング

  • AD 属性値

    • memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org

    • memberOf CN=TelnetClients,CN=Users,DC=labrat,DC=com

  • Cisco 属性の値: 1 = 偽、20 = TRUE

割り当て状態に関しては、マップ

  • memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org= 20

拒否状態に関しては、マップ

  • memberOf CN=TelnetClients,CN=Users,DC=ggsgseclab,DC=org = 1

注: 将来のリリースでは、接続を許可し、否定する Cisco アトリビュートがあります。 Cisco アトリビュートに関する詳細については、セキュリティ アプライアンス モデル ユーザ許可のための外部サーバの設定を参照して下さい。

Active Directory の設定

次の手順に従ってください。

  1. Active Directory サーバで、[Start] > [Run] をクリックします。

  2. 開いたテキストボックスでは、dsa.msc を入力し、『OK』 をクリック して下さい これで Active Directory 管理コンソールが起動します。

  3. アクティブ ディレクトリ マネジメントコンソールで、Active Directory Users and Computers を拡張するプラス記号をクリックして下さい。 図 A8 を参照して下さい。

    図 A8 Active Directory グループ

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-47.gif

  4. ドメイン名を拡張するプラス記号をクリックして下さい。

  5. ユーザ フォルダを右クリックし、> グループ 『New』 を選択 して下さい。

  6. グループ名を、入力して下さいたとえば: ASAUsers。

  7. [OK] をクリックします。

  8. ユーザ フォルダをクリックし、次にちょうど作成したグループをダブルクリックして下さい。

  9. Members タブをクリックし、次に『Add』 をクリック して下さい。

  10. 追加したいと思うユーザの名前を入力し次に『OK』 をクリック して下さい。

ASA の設定

次の手順に従ってください。

  1. ASDM では、> LDAP アトリビュート マップは設定されるリモートアクセス VPN > AAA に行きます。

  2. [Add] をクリックします。

  3. 追加 LDAP アトリビュート Map ウィンドウでは、これらの指示に従って下さい: 図 A3 を参照してください。

    1. 名のテキスト ボックスで名前を入力して下さい。

    2. マップネーム タブでは、顧客名 テキストボックス c.の memberOf を入力して下さい。

    3. マップネーム タブで、Cisco 名前のドロップダウン オプションのトンネリング プロトコルを選択して下さい。

    4. [Add] をクリックします。

    5. [Map Value] タブをクリックします。

    6. [Add] をクリックします。

    7. 追加では LDAP Map 値 ウィンドウを、タイプ CN=ASAUsers、CN=Users、DC=ggsgseclab、Cisco 値 テキストボックスの顧客名 テキストボックスおよびタイプ 20DC=org 帰因させて下さい。

    8. [Add] をクリックします。

    9. CN=TelnetClients を、CN=Users、DC=ggsgseclab、Cisco 値 テキストボックスの顧客名 テキストボックスおよびタイプ 1 の DC=org タイプして下さい。 図 A4 を参照してください。

    10. [OK] をクリックします。

    11. [OK] をクリックします。

    12. [Apply] をクリックします。

    13. 図 A9 のように設定見え。

      図 A9: LDAP アトリビュート マップ

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-48.gif

  4. > AAA サーバ グループは設定されるリモートアクセス VPN > AAA に行きます。

  5. 編集したいと思うサーバグループをクリックして下さい。 選択したグループ セクションのサーバでは、サーバのIPアドレスホスト名を選択し、次に『Edit』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-49.gif

  6. で AAAサーバ ウィンドウを、LDAP アトリビュート マップ テキストボックスで、選択しますドロップダウン ボタンで作成される LDAP アトリビュート マップを編集して下さい。

  7. [OK] をクリックします。

注: LDAP バインディングおよびアトリビュート マッピングはきちんとはたらくことを確認するためにテストする間、LDAP デバッグをつけて下さい。 トラブルシューティング コマンドについては付録 C を参照してください。

シナリオ 3: 複数の memberOf 属性のためのダイナミック アクセス ポリシー

この例は DAP をアクティブ ディレクトリ 団体会員に基づいてアクセスを許可するために複数の memberOf 属性を検知 するのに使用します。 8.x よりも前では、ASA は最初の memberOf 属性のみを読み取っていました。 8.x を使うと、ASA は memberOf 属性をまったく検知できます。

  • 現存するグループを使用するか、または割り当て状態の ASA VPN ユーザ向けの新しいグループ(か複数のグループを)作成して下さい。

  • 現存するグループを使用するか、または拒否状態の非 ASA ユーザ向けの新しいグループを作成して下さい。

  • グループのための正しい DN があること LDAP ビューアをチェックインすることを確かめて下さい。 詳細は、「付録 D」を参照してください。 DN が正しくない場合、マッピングは正しく動作しません。

ASA の設定

次の手順に従ってください。

  1. ASDM では、リモートアクセス VPN > ネットワーク(クライアント)アクセス > ダイナミックアクセス ポリシーに行って下さい。

  2. [Add] をクリックします。

  3. 追加ダイナミックアクセス ポリシーでは、これらの手順に従って下さい:

    1. 名のテキスト ボックス b.で名前を入力して下さい。

    2. 優先セクションでは、1 つ入力して下さい(または数大きいより 0)。

    3. 選択基準で、[Add] をクリックします。

    4. [Add AAA Attribute] で、[LDAP] を選択します。

    5. [Attribute ID] セクションで、memberOf と入力します。

    6. 値セクションでは、AD グループ名を"=,"を 選択する、入力して下さい。 参照したいと思う各グループのためのこのステップを繰り返して下さい。 図 A10 を参照してください。

      図 A10: AAA アトリビュート マップ

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-50.gif

    7. [OK] を選択します。

    8. アクセスポリシー属性では区分して下さい、『Continue』 を選択 して下さい。 図 A11 を参照してください。

      図 A11: ダイナミック ポリシーを追加して下さい

      http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-51.gif

  4. ASDM では、リモートアクセス VPN > ネットワーク(クライアント)アクセス > ダイナミックアクセス ポリシーに行って下さい。

  5. 既定のアクセス ポリシーを選択し、『Edit』 を選択 して下さい。

  6. デフォルト アクションは終わるために設定 する必要があります。 図 A12 を参照してください。

    図 A12: ダイナミック ポリシーを編集して下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-52.gif

  7. [OK] をクリックします。

注: 終端が選択されない場合、ユーザはあらゆるグループで続けることが、ないのでデフォルトそれできても。

付録 B:ASA CLI 設定

ASA 5510
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname asa80
domain-name army.mil
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
no ip address
!
boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name army.mil
!
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
pager lines 24
logging console debugging
mtu outside 1500
!
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
!
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect
0:02:00
timeout uauth 0:05:00 absolute
!
--------------------------LDAP Maps & DAP---------------------------
ldap attribute-map memberOf
map-name memberOf Tunneling-Protocols
March 11, 2008 ASA – CAC Authentication for AnyConnect VPN Access
Company Confidential. A printed copy of this document is considered uncontrolled.
49
map-value memberOf CN=_ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
dynamic-access-policy-record CAC-USERS
description "Multi-Group Membership Check"
priority 1
dynamic-access-policy-record DfltAccessPolicy
action terminate
--------------------------------------------------------------------
!
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
--------------------------------------------------------------------
!
aaa authentication http console LOCAL
http server enable 445
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!
---------------------IPsec------------------------------------------
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 1 set transform-set ESP-AES-128-SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128
crypto map outside_map interface outside
--------------------------------------------------------------------
!
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint ASDM_TrustPoint0
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
crl configure
crypto ca trustpoint ASDM_TrustPoint1
revocation-check ocsp
enrollment terminal
fqdn asa80
subject-name CN=asa80,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
no client-types
crl configure
crypto ca trustpoint ASDM_TrustPoint2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
no client-types
crl configure
crypto ca trustpoint ASDM_TrustPoint3
revocation-check ocsp none
enrollment terminal
crl configure
!
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain ASDM_TrustPoint0
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101
05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 311b3019 06035504 03131244 6f44204a 49544320 526f6f74
crypto ca certificate chain ASDM_TrustPoint1
certificate 319e
30820411 3082037a a0030201 02020231 9e300d06 092a8648 86f70d01
01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e
532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06
0355040b
crypto ca certificate chain ASDM_TrustPoint2
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101
05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
f766e045 f15ddb43 9549d1e9 a0ea6814 b64bcece 089e1b6e 1be959a5
6fc20a76
crypto ca certificate chain ASDM_TrustPoint3
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101
05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 31163014 06035504 03130d44 6f442052 6f6f7420 43412032
301e170d
30343132 31333135 30303130 5a170d32 39313230 35313530 3031305a
305b310b
30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572
6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
1303504b
49311630 14060355 0403130d 446f4420 526f6f74 20434120 32308201
crypto ca certificate chain ASDM_TrustPoint4
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101
05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 311c301a 06035504 03131344 6f442043 4c415353 20332052
6f6f7420
!
!
-------------------------ISAKMP-------------------------------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
--------------------------------------------------------------------
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
!
-----------------------VPN Group/Tunnel Policy--------------------
group-policy CAC-USERS internal
group-policy CAC-USERS attributes
vpn-tunnel-protocol IPSec
default-domain none
address-pools value CAC-USERS
tunnel-group CAC-USERS type remote-access
tunnel-group CAC-USERS general-attributes
 authorization-server-group AD-LDAP
 default-group-policy CAC-USERS
 authorization-required
 authorization-dn-attributes UPN
tunnel-group CAC-USERS ipsec-attributes
trust-point ASDM_TrustPoint1
isakmp ikev1-user-authentication none
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map DefaultCertificateMap 10 CAC-USERS
--------------------------------------------------------------------
prompt hostname context

付録 C:トラブルシューティング

AAA および LDAP のトラブルシューティング

  • デバッグ LDAP 255 – LDAP 交換を表示する

  • デバッグ AAA 公有地 10 – AAA 交換を表示する

例 1: 正しい属性マッピングによる接続の許可

下記の例は付録 A で示されているシナリオ 2 の接続の成功の内でよくあるデバッグ LDAP およびデバッグ AAA の出力を示します

IPSec接続だけ可能にするためにトンネリング グループが設定されることに注目して下さい。 LDAP のメンバー グループ化は/割り当て IPSec である 4 という値にマッピング されます。 このマッピングはそれに割り当て状態を与えるものがです。 拒否状態に関しては、その値は PPTP のための 1 です。

図 C1: debug LDAP および debug aaa common の出力:正しいマッピング
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction
Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to 172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status = Successful
[78] LDAP Search:
     Base DN = [CN=Users,DC=ggsgseclab,DC=org]
     Filter = [userPrincipalName=1234567890@mil]
     Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value = 0..50........../........60...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] userCertificate: value = 0..'0........../..t.....50...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050 
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes: 1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10 "CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

CAC-Test#

例 2: 不適切に設定された Cisco アトリビュート マッピング することの許可された接続

下記の例は付録 A で示されているシナリオ 2 の許可された接続の内でよくあるデバッグ LDAP およびデバッグ AAA の出力を示します

両方の属性のためのマッピングが不正確である同じ値と一致することに注目して下さい。

図 C2: debug LDAP および debug aaa common の出力:誤ったマッピング
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction
Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160
[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
   Base DN = [CN=Users,DC=ggsgseclab,DC=org]
   Filter = [userPrincipalName=1234567890@mil]
   Scope = [SUBTREE]
[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

DAP のトラブルシューティング

  • デバッグ DAP エラー– DAP エラーを表示する

  • デバッグ DAP トレース– DAP 機能 トレースを表示する

例 1: DAP による接続の許可

下記の例は付録 A で示されているシナリオ 3 の接続の成功内のデバッグ DAP エラーおよびデバッグ DAP トレースの出力を示します 複数の memberOf 属性に注意して下さい。 ユーザは ASA 設定に依存しているグループの_ASAUsers にか VPNUsers または ANY 両方 1 属することができます。

図 C3: DAP のデバッグ
# debug dap errors
debug dap errors enabled at level 1
# debug dap trace
debug dap trace enabled at level 1
#
The DAP policy contains the following attributes for user:
1241879298@mil
-----------------------------------------------------------------------
---
1: action = continue
DAP_TRACE: DAP_open: C8EEFA10
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.1 = top
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.2 = person
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.3 =
organizationalPerson
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.4 = user
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.cn = 1241879298
DAP_TRACE: Username: 1241879298@mil,
aaa.ldap.physicalDeliveryOfficeName = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.givenName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.distinguishedName =
CN=1241879298,CN=Users,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.instanceType = 4
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenCreated =
20070626163734.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenChanged =
20070718151143.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.displayName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNCreated = 33691
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf.1 = VPNUsers
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf.2 = _ASAUsers
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNChanged = 53274
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.department = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.name = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectGUID =
....+..F.."5....
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userAccountControl =
328192
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPwdCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.codePage = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.countryCode = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPasswordTime = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogoff = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogon = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.pwdLastSet =
128273494546718750
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.primaryGroupID = 513
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userParameters = m:
d.
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectSid = ..
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.accountExpires =
9223372036854775807
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.logonCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountName =
1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountType =
805306368
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userPrincipalName =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectCategory =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.msNPAllowDialin = TRUE
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.username =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.tunnelgroup = CAC-USERS
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["1"] = "top";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["2"] =
"person";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["3"] =
"organizationalPerson";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["4"] =
"user";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["cn"] = "1241879298";
DAP_TRACE:
dap_add_to_lua_tree:aaa["ldap"]["physicalDeliveryOfficeName"] =
"NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["givenName"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["distinguishedName"] =
"CN=1241879298,CN=Users,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["instanceType"] = "4";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenCreated"] =
"20070626163734.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenChanged"] =
"20070718151143.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["displayName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNCreated"] = "33691";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"]["1"] =
"VPNUsers";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"]["2"] =
"_ASAUsers";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNChanged"] = "53274";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["department"] = "NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["name"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectGUID"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userAccountControl"] =
"328192";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPwdCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["codePage"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["countryCode"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPasswordTime"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogoff"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogon"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["pwdLastSet"] =
"128273494546718750";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["primaryGroupID"] = "513";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userParameters"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectSid"] contains binary
data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["accountExpires"] =
"9223372036854775807";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["logonCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountType"] =
"805306368";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userPrincipalName"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectCategory"] =
"CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["msNPAllowDialin"] = "TRUE";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["username"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["tunnelgroup"] = "CACUSERS";
DAP_TRACE: dap_add_to_lua_tree:endpoint["application"]["clienttype"] =
"IPSec";
DAP_TRACE: Username: 1241879298@mil, Selected DAPs: CAC-USERS
DAP_TRACE: dap_request: memory usage = 33%
DAP_TRACE: dap_process_selected_daps: selected 1 records
DAP_TRACE: Username: 1241879298@mil, dap_aggregate_attr: rec_count = 1
DAP_TRACE: Username: 1241879298@mil, DAP_close: C8EEFA10d.

例 2: DAP による接続の拒否

下記の例は付録 A で示されているシナリオ 3 の不成功な接続内のデバッグ DAP エラーおよびデバッグ DAP トレースの出力を示します

図 C4: DAP のデバッグ
# debug dap errors
debug dap errors enabled at level 1
# debug dap trace
debug dap trace enabled at level 1
#
The DAP policy contains the following attributes for user:
1241879298@mil
-----------------------------------------------------------------------
---
1: action = terminate
DAP_TRACE: DAP_open: C91154E8
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.1 = top
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.2 = person
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.3 =
organizationalPerson
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.4 = user
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.cn = 1241879298
DAP_TRACE: Username: 1241879298@mil,
aaa.ldap.physicalDeliveryOfficeName = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.givenName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.distinguishedName =
CN=1241879298,CN=Users,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.instanceType = 4
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenCreated =
20070626163734.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenChanged =
20070718151143.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.displayName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNCreated = 33691
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf = DnsAdmins
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNChanged = 53274
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.department = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.name = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectGUID =
....+..F.."5....
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userAccountControl =
328192
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPwdCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.codePage = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.countryCode = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPasswordTime = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogoff = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogon = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.pwdLastSet =
128273494546718750
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.primaryGroupID = 513
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userParameters = m:
d.
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectSid = ..
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.accountExpires =
9223372036854775807
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.logonCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountName =
1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountType =
805306368
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userPrincipalName =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectCategory =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.msNPAllowDialin = TRUE
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.username =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.tunnelgroup = CAC-USERS
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["1"] = "top";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["2"] =
"person";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["3"] =
"organizationalPerson";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["4"] =
"user";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["cn"] = "1241879298";
DAP_TRACE:
dap_add_to_lua_tree:aaa["ldap"]["physicalDeliveryOfficeName"] =
"NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["givenName"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["distinguishedName"] =
"CN=1241879298,CN=Users,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["instanceType"] = "4";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenCreated"] =
"20070626163734.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenChanged"] =
"20070718151143.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["displayName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNCreated"] = "33691";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"] = "DnsAdmins";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNChanged"] = "53274";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["department"] = "NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["name"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectGUID"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userAccountControl"] =
"328192";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPwdCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["codePage"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["countryCode"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPasswordTime"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogoff"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogon"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["pwdLastSet"] =
"128273494546718750";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["primaryGroupID"] = "513";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userParameters"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectSid"] contains binary
data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["accountExpires"] =
"9223372036854775807";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["logonCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountType"] =
"805306368";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userPrincipalName"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectCategory"] =
"CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["msNPAllowDialin"] = "TRUE";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["username"] =
"1241879298@mil";
DAP_TRACE: Username: 1241879298@mil, Selected DAPs:
DAP_TRACE: dap_request: memory usage = 33%
DAP_TRACE: dap_process_selected_daps: selected 0 records
DAP_TRACE: Username: 1241879298@mil, dap_aggregate_attr: rec_count = 1

認証局および OCSP のトラブルシューティング

  • debug crypto ca 3

  • クラス カリフォルニア コンソール(かバッファ)デバッグを記録 する コンフィギュレーションモードでは

下記の例はポリシーと一致する OCSP 応答側の正常な認証の検証および壊れる認証 グループを示します。

図 C3 はポリシーと一致する検証された認証およびはたらく認証 グループがあるデバッグ 出力を示します。

図 C4 はポリシーと一致する不適切に設定された認証 グループのデバッグ 出力を示します。

図 C5 は、無効になった証明書を持つユーザのデバッグ出力を示します。

図 C3: OCSP デバッグ:成功した証明書検証
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number:
 2FB5FC74000000000035,
 subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=com, issuer_name: 
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting 
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: 
serial number: 2FB5FC74000000000035, subject name: 
cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil,
 Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match CRYPTO_PKI:Certificate validated.
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Certificate validated
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=

図 C4: 失敗した証明書グループ照合ポリシーの出力

図 C4: 失敗した証明書グループ照合ポリシーの出力
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number: 
2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map FAILED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name eq "".
CRYPTO_PKI: Peer cert could not be authorized with map: DefaultCertificateMap.
No Tunnel Group Match for peer certificate.
Unable to locate tunnel group map

図 C5: 無効になった証明書の出力
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled 
uvalidation=. CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct 
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. 
Attempting to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert:
 serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,
ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: 
subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil, 
Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, 
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

付録 D:MS 内の LDAP オブジェクトの確認

Microsoft サーバ 2003 CD では、LDAP 構造を表示するためにインストールすることができる、また LDAP オブジェクト/属性があります追加ツール。 これらのツールをインストールするには、CD の Support ディレクトリに移動し、Tools ディレクトリを選択します。 SUPTOOLS.MSI をインストールします。

LDAP Viewer

次の手順に従ってください。

  1. インストールの後で、Start > Run の順に進んで下さい。

  2. ldp を入力し、次に『OK』 をクリック して下さい。 これで LDAP Viewer が始動します。

  3. > 接続応答 『Connection』 をクリック して下さい。

  4. サーバ名を入力し、次に『OK』 をクリック して下さい。

  5. > バインド『Connection』 をクリック して下さい。

  6. ユーザ名とパスワードを入力します。

    注: 管理者権限が必要です。

  7. [OK] をクリックします。

  8. LDAP オブジェクトを表示します。 図 D1 を参照してください。

    図 D1: LDAP Viewer

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-53.gif

Active Directory サービス インターフェイス エディタ

  • アクティブディレクトリサーバでは、Start > Run の順に進んで下さい。

  • adsiedit.msc と入力します。 これでエディタが始動します。

  • オブジェクトを右クリックし、『Properties』 をクリック して下さい。

このツールは特定のオブジェクトのためのすべての属性を示します。 図 D2 を参照して下さい

図 D2: ADSI の編集

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/107237-cac-Anyconnect-54.gif

IPSEC のトラブルシューティング

  • debug crypto isakmp – IKE/ISAKMP ネゴシエーションフェーズを表示する

  • debug crypto ipsec – IPSec ネゴシエーションフェーズを表示する

  • debug crypto engine – IPSecメッセージを表示する

  • debug crypto ca メッセージ– PKI メッセージを表示する

  • debug crypto ca トランザクション– PKI トランザクションを表示する

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107237