セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/PIX 8.x: CLI および ASDM によるダウンロード可能 ACL を使用した VPN アクセスの Radius の承認(ACS 4.x)の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ネットワーク アクセスのためにユーザを認証するようにセキュリティ アプライアンスを設定する方法について説明します。 暗黙的に RADIUS 許可をイネーブルにすることができるため、この項ではセキュリティ アプライアンスの RADIUS 許可の設定に関する情報は含まれません。 ここでは、セキュリティ アプライアンスが RADIUS サーバから受信したアクセス リスト情報をどのように処理するかについて説明します。

アクセス リストをセキュリティ アプライアンスにダウンロードするように RADIUS サーバを設定できます。または、認証時にアクセス リスト名をダウンロードするようにも設定できます。 ユーザは、ユーザ固有のアクセス リストで許可された操作だけを認可されます。

ダウンロード可能 アクセス リストは各ユーザ向けに適切なアクセス リストを提供するのに Cisco Secure ACS を使用するとき最もスケーラブル な 手段(方法)です。 ダウンロード可能アクセス リスト機能および Cisco Secure ACS の詳細については、『ダウンロード可能アクセス制御リストを送信する RADIUS サーバの設定』および『ダウンロード可能 IP ACL』を参照してください。

ASA 8.3 以降: バージョン 8.3 および それ 以降が付いている Cisco ASA の同一の構成のための CLI および ASDM 設定例のダウンロード可能ACL を使用した VPN アクセスのための RADIUS認証(ACS 5.x)

前提条件

要件

このドキュメントでは、ASA が完全に動作していて、Cisco ASDM か CLI で設定を変更できるように設定されていることを想定しています。

注: ASDM 用の HTTPS アクセスの許可」または「PIX/ASA 7.x: 内部および外部インターフェイスの SSH の設定例」を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 適応型セキュリティ アプライアンス ソフトウェア バージョン 7.x 以降

  • Cisco Adaptive Security Device Manager バージョン 5.x および それ 以降

  • Cisco VPN Client バージョン 4.x 以降

  • Cisco Secure Access Control Server 4.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、Cisco PIX セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

多くのユーザかユーザグループに適用できる ACL 定義のセットを作成するのにダウンロード可能 IP ACL を使用できます。 これらの ACL 定義のセットは、ACL コンテンツと呼ばれます。 また NAFs を組み込むとき、ユーザがアクセスを追求する AAA クライアントに送られる ACL コンテンツを制御します。 すなわち、ダウンロード可能 IP ACL はそれぞれが NAF と関連付けられたりまたはすべての AAA クライアントに(デフォルトで)関連付けられる 1つ以上の ACL コンテンツ 定義から成り立ちます。 NAF AAA クライアントの IP アドレスに従って規定 された ACL コンテンツの適用を制御します。 NAFs に関する詳細についてはそれらがダウンロード可能 IP ACL をどのように調整するか、ネットワーク アクセス フィルターについて参照すれば。

ダウンロード可能 IP ACL は、次のように動作します。

  1. ACS がネットワークにユーザアクセスを認めるとき、ACS はダウンロード可能 IP ACL がユーザのそのユーザかグループに割り当てられるかどうか判別します。

  2. ACS がユーザのユーザかグループに割り当てられるダウンロード可能 IP ACL を見つければ、ACL コンテンツ エントリが Radius Authentication 要求を送信 した AAA クライアントと関連付けられるかどうか判別します。

  3. ACS はユーザセッション、名前付きACL を規定 する、および名前付きACL のバージョン送信 します RADIUS アクセス受諾パケット、アトリビュートの一部として。

  4. それはキャッシュの ACL の最新バージョンを、すなわち持っていないこと AAA クライアントが応答すれば、ACL は新しかったりまたは変更しました、ACS はデバイスに ACL を(新しいですか更新済)送信 します。

また、各ユーザまたはユーザ グループの RADIUS Cisco cisco-av-pair 属性 [26/9/1] での ACL の設定の代わりに、ダウンロード可能 IP ACL を使用することもできます。 名前を参照する場合ダウンロード可能 IP ACL を一度作成できそれに名前をつけ、次に各々の適当なユーザかユーザグループにダウンロード可能 IP ACL を割り当てます。 この方式は各ユーザまたはユーザグループのための RADIUS Cisco cisco-av-pair アトリビュートを設定する場合効率的よりです。

NAFs を用いるとき更に、使用する AAA クライアントに関してユーザの同じユーザかグループに異なる ACL コンテンツを加えることができます。 AAA クライアントの追加設定は AAA クライアントを ACS からのダウンロード可能 IP ACL を使用するために設定した後必要ではないです。 ダウンロード可能 ACL は確立した複製養生法かバックアップによって保護されます。

ACS Web インターフェイスに ACL 定義を入力するとき、キーワードや名前エントリを使用しないでください。 その他のあらゆる点において、ダウンロード可能 IP ACL を適用しようとしている AAA クライアントの標準的な ACL コマンド構文およびセマンティクスを使用してください。 ACS に入力する ACL 定義は、1 つまたは複数の ACL コマンドによって構成されます。 各コマンドはそれぞれ別の行に入力されます。

ダウンロード可能 IP ACL に 1つ以上の名前付きACL コンテンツを追加できます。 デフォルトで、各 ACL コンテンツはすべての AAA クライアントに適用します、NAFs を定義したら、それに関連付ける NAF にリストされている AAA クライアントに各 ACL コンテンツの適用を制限できます。 すなわち、NAFs を用いるとき、ネットワーク セキュリティ 戦略に従って各 ACL コンテンツを、複数の異なるネットワークデバイスかネットワーク デバイス グループに単一 ダウンロード可能 IP ACL 内の、適当な作ることができます。

また、ダウンロード可能 IP ACL の ACL コンテンツの発注を変更できます。 ACS は表の上から始まって使用する AAA クライアントが含まれていると ACL コンテンツを、検査し、NAF と見つける最初の ACL コンテンツをダウンロードします。 順序を設定するときは、最も広範に適用できる ACL の内容をリストの上部に配置すると、システムを効率的にできます。 NAFs がオーバーラップする AAA クライアントの作成が含まれていれば、特定から一般に続行する必要があることを認識して下さい。 たとえば、ACS は全 AAA クライアント NAF 設定が付いている ACL コンテンツをダウンロードし、リストでより低い考慮しません。

特定の AAA クライアントのダウンロード可能 IP ACL を使用するために、AAA クライアントはこれらの方向に従う必要があります:

  • 認証に RADIUS を使用する

  • ダウンロード可能 IP ACL をサポートしている

ダウンロード可能 IP ACL をサポートする Cisco デバイスの例を次に示します。

  • ASA および PIXデバイス

  • VPN 3000 シリーズ コンセントレータ

  • IOSバージョン 12.3(8)T またはそれ以降を実行する Ciscoデバイス

これは ACL Definition ボックスで VPN 3000/ASA/PIX 7.x+ ACL を入力するのに使用する必要がある形式の例です:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80 

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/110119/asa-vpn-acs1.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 でのアドレスであり、ラボ環境で使用されたものです。

リモート アクセス VPN(IPSec)の設定

ASDM の手順

リモート アクセス VPN を設定するには、次の手順を実行します。

  1. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > 進みました > IPSec > IKE Policies> ISAKMPポリシーを作成するために追加します『Configuration』 を選択 して下さい。

    asa-vpn-acs2.gif

  2. 示されているように ISAKMPポリシー詳細を提供します。

    /image/gif/paws/110119/asa-vpn-acs3.gif

    [OK]、[Apply] の順にクリックします。

  3. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > 進みました > IPSec > Outside インターフェイスの IKE を有効に する IKE パラメータ 『Configuration』 を選択 して下さい。

    asa-vpn-acs4.gif

  4. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > 進みました > IPSec > IPSec トランスフォーム セット > Add 示されているように、設定 される ESP-3DES-SHA トランスフォームを作成するために『Configuration』 を選択 して下さい。

    /image/gif/paws/110119/asa-vpn-acs5.gif

    [OK]、[Apply] の順にクリックします。

  5. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPSec] > [Crypto Maps] > [Add] の順に選択し、次のような Priority 1 のダイナミック ポリシーを持つ暗号マップを作成します。

    /image/gif/paws/110119/asa-vpn-acs6.gif

    [OK]、[Apply] の順にクリックします。

  6. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > アドレス 指定 > アドレス プール 『Configuration』 を選択 し、VPN クライアント ユーザ向けの VPN クライアントを追加するために『Add』 をクリック して下さい。

    asa-vpn-acs7.gif

  7. > 設定されるリモートアクセス VPN > AAA > AAA サーバ グループ 『Configuration』 を選択 し、AAAサーバグループ名前およびプロトコルを追加するために『Add』 をクリック して下さい。

    asa-vpn-acs8.gif

    AAAサーバ IP アドレスを(ACS)および接続するインターフェイスを追加して下さい。 また RADIUS パラメータ エリアのサーバシークレット キーを追加して下さい。 [OK] をクリックします。

    asa-vpn-acs9.gif

  8. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > IPSec接続プロファイル > Add トンネル グループ、たとえば、TunnelGroup1 および事前共有キーを、示されているように cisco123 として追加するために『Configuration』 を選択 して下さい。

    asa-vpn-acs10.gif

    • 基本的なタブの下で、ユーザ認証 フィールドのための VPN としてサーバグループを選択して下さい。

    • VPN クライアント ユーザ向けのクライアントアドレス プールとして vpnclient を選択して下さい。

    asa-vpn-acs11.gif

    [OK] をクリックします。

  9. IPSec アクセスの Outside インターフェイスを有効にします。 [Apply] をクリックして、次に進みます。

    asa-vpn-acs12.gif

CLI による ASA/PIX の設定

後述のステップを実行して DHCP サーバを設定し、コマンドラインから VPN Client に IP アドレスを割り当てます。 使用する各コマンドについての詳細は、『リモート アクセス VPN の設定』または『Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、コマンド リファレンス』を参照してください。

ASA デバイスでの実行コンフィギュレーション
ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif DMZ
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0

!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0

!--- Radius Attribute Filter 

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.1-192.168.5.10 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA 
   to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy

!--- Create the AAA server group "vpn" and specify the protocol as RADIUS.
!--- Specify the CSACS server as a member of the "vpn" group and provide the
!--- location and key.

aaa-server vpn protocol radius
 max-failed-attempts 5
aaa-server vpn (DMZ) host 172.16.1.1
 retry-interval 1
 timeout 30
 key cisco123
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.  
!--- A Triple DES encryption with
!--- the sha hash algorithm is used.


crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


!--- Defines a dynamic crypto map with 
!--- the specified encryption settings.


crypto dynamic-map outside_dyn_map 1 set transform-set ESP-3DES-SHA


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with 
!--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses ISAKMP policy 2.   
!--- The configuration commands here define the Phase 
!--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal

!--- Associate the vpnclient pool to the tunnel group using the address pool.
!--- Associate the AAA server group (VPN) with the tunnel group.


tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient
 authentication-server-group vpn


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Cisco VPN Client の設定

ASA の設定に成功したことを確認するには、Cisco VPN Client を使用して Cisco ASA に接続してみます。

  1. [Start] > [Programs] > [Cisco Systems VPN Client] > [VPN Client] の順に選択します。

  2. [New] をクリックして、[Create New VPN Connection Entry] ウィンドウを開きます。

    /image/gif/paws/110119/asa-vpn-acs13.gif

  3. 新しい接続の詳細情報を入力します。

    接続エントリの名前と説明を入力します。 [Host] ボックスに、ASA の外部 IP アドレスを入力します。 次に、ASA で設定されている VPN トンネル  グループ名(TunnelGroup1)とパスワード(事前共有鍵 - cisco123)を入力します。 [Save] をクリックします。

    /image/gif/paws/110119/asa-vpn-acs14.gif

  4. 使用する接続をクリックし、VPN Client メイン ウィンドウの [Connect] をクリックします。

    /image/gif/paws/110119/asa-vpn-acs15.gif

  5. プロンプトが表示されたら、Username : cisco およびパスワード: Xauth のための ASA の設定による password1 はリモートネットワークに接続するために、『OK』 をクリック し。

    /image/gif/paws/110119/asa-vpn-acs16.gif

  6. VPN Client が中央サイトの ASA に接続されます。

    /image/gif/paws/110119/asa-vpn-acs17.gif

  7. 接続が正常に確立されたら、Status メニューから [Statistics] を選択し、トンネルの詳細情報を確認します。

    /image/gif/paws/110119/asa-vpn-acs18.gif

ユーザごとのダウンロード可能 ACL 用の ACS の設定

ように共有プロファイル コンポーネント Cisco Secure ACS のダウンロード可能 アクセス リストを設定でき、次にグループか個々のユーザにアクセス リストを割り当てる。

ダイナミック アクセス リストを設定するために、それをサポートするために RADIUSサーバを設定して下さい。 ユーザが認証を受けるとき、RADIUSサーバはセキュリティ アプライアンス モデルにダウンロード可能 アクセス リストかアクセス リスト名前を送ります。 所定のサービスへのアクセスはアクセス リストによって許可されるか、または拒否されます。 セキュリティ アプライアンス モデルは認証 セッションが切れるときアクセス リストを削除します。

この例では、「cisco」IPSec VPN ユーザは認証に成功し、RADIUSサーバはセキュリティ アプライアンス モデルにダウンロード可能 アクセス リストを送ります。 ユーザ「cisco」は 10.1.1.2 サーバのみにアクセスでき、その他すべてのアクセスを拒否します。 ACL を確認するには、「ユーザ/グループのダウンロード可能 ACL」を参照してください。

Cisco Secure ACS で RADIUS を設定するには、次の手順を実行してください。

  1. 左で『Network Configuration』 を選択 し、RADIUSサーバデータベースの ASA のためのエントリを追加するために『Add Entry』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs19.gif

  2. 172.16.1.2 をクライアントIPアドレス フィールドで入力し、共有秘密 Key フィールドのための "cisco123" を入力して下さい。 Authenticate Using ドロップダウン ボックス(Cisco VPN 3000/ASA/PIX 7.x+) 『RADIUS』 を選択 して下さい。 『SUBMIT』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs20.gif

  3. ユーザ名を Cisco Secure データベースの USER フィールドで入力し、『Add/Edit』 をクリック して下さい。

    この例では、ユーザ名は cisco です。

    /image/gif/paws/110119/asa-vpn-acs21.gif

  4. Next ウィンドウでは、「cisco」のためのパスワードを入力して下さい。 この例でも、パスワードは password1 です。 終了したら、[Submit] をクリックします。

    /image/gif/paws/110119/asa-vpn-acs22.gif

  5. ACS が表示する オプションを進めたかどれが判別するのに Advanced Options ページを使用します。 使用しない詳細オプションを隠す場合 ACS Webインターフェイスの他のエリアに出るページを簡素化できます。 『Interface Configuration』 をクリック し、次に Advanced Options ページを開くために『Advanced Options』 をクリック して下さい。

    asa-vpn-acs23.gif

    ユーザー レベル ダウンロード可能 ACL およびグループ レベル ダウンロード可能 ACL があるようにボックスを確認して下さい。

    ユーザー レベル ダウンロード可能 ACL -選択されたとき、このオプションは User Setup ページのダウンロード可能 ACL (アクセスコントロールリスト)セクションを有効に します。

    グループ レベル ダウンロード可能 ACL -選択されたとき、このオプションは Group Setup ページのダウンロード可能 ACL セクションを有効に します。

  6. ナビゲーション バーで、『Shared Profile Components』 をクリック し、ダウンロード可能 IP ACL をクリックして下さい。

    注: ダウンロード可能 IP ACL が Shared Profile Components ページで現われない場合、インターフェイスコンフィギュレーション セクションの Advanced Options ページのユーザー レベル ダウンロード可能 ACL か、グループ レベル ダウンロード可能 ACL オプション、またはその両方を有効に して下さい。

    /image/gif/paws/110119/asa-vpn-acs24.gif

  7. [Add] をクリックします。 ダウンロード可能 IP ACL ページは提示されます。

    /image/gif/paws/110119/asa-vpn-acs25.gif

  8. ネームボックスでは、新しい IP ACL の名前を入力して下さい。

    注: IP ACL の名前は 27 文字まで含まれている場合があります。 名前は領域またはのこれらの文字含まれていてはなりません: ハイフン(-)、角カッコ([)、右角かっこ(])、スラッシュ(/)、バックスラッシュ(\)、引用符(」)、左山かっこ(<)、直角角カッコ(>)、またはダッシュを残される(-)。

    説明ボックスでは、新しい IP ACL の説明を入力して下さい。 説明は 1,000 文字までである場合もあります。

    asa-vpn-acs26.gif

    ACL コンテンツを新しい IP ACL に追加するために、『Add』 をクリック して下さい。

  9. ネームボックスでは、新しい ACL コンテンツの名前を入力して下さい。

    注: ACL コンテンツの名前は 27 文字まで含まれている場合があります。 名前は領域またはのこれらの文字含まれていてはなりません: ハイフン(-)、角カッコ([)、右角かっこ(])、スラッシュ(/)、バックスラッシュ(\)、引用符(」)、左山かっこ(<)、直角角カッコ(>)、またはダッシュを残される(-)。

    ACL Definition ボックスでは、新しい ACL Definition を入力して下さい。

    注: ACS Web インターフェイスに ACL 定義を入力するとき、キーワードや名前エントリを使用しないでください。 むしろ、割り当てから始めるか、またはキーワードを否定して下さい。

    ACL コンテンツを保存するために、『SUBMIT』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs27.gif

  10. ダウンロード可能 IP ACL ページは ACL Contents カラムに名指しでリストされている新しい ACL 満足ので提示されます。 NAF ACL コンテンツに関連付けるために、新しい ACL コンテンツの右へネットワーク アクセス フィルタリング ボックスから NAF 選択して下さい。 デフォルトで、NAF あります(全 AAA クライアント)。 NAF 割り当てない場合、ACS はすべてのネットワークデバイスにデフォルトである ACL コンテンツを関連付けます。

    /image/gif/paws/110119/asa-vpn-acs28.gif

    ACL コンテンツの発注を設定 するために、ACL Definition のためのオプション ボタンをクリックし、次にリストでそれの位置を変えるために上下にクリックして下さい。

    IP ACL を保存するために、『SUBMIT』 をクリック して下さい。

    注: ACL コンテンツの発注は重要です。 完全に、ACS はもし使用するなら最初の ACL Definition だけ、適当な NAF 設定がある全 AAA クライアント デフォルト設定を含む、ダウンロードします。 通常、ACL コンテンツのリストは NAF ほとんどの仕様をものから NAF ほとんどの一般(全 AAA クライアント)を 1 に(最も狭い)続行します。

    注: ACS はすぐに実施される新しい IP ACL を入力します。 たとえば、IP ACL が PIXファイアウォールと併用するためのなら、彼/彼女のユーザかグループ プロファイルに割り当てられるそのダウンロード可能 IP ACL があるユーザの認証を試みるあらゆる PIXファイアウォールに送信 されることは利用可能です。

  11. User Setup ページに行き、ユーザページを編集して下さい。 ダウンロード可能 ACL の下で割り当て IP ACL を区分して下さい、クリックして下さい: チェックボックス。 リストから IP ACL を選択して下さい。 ユーザアカウント オプションの設定を終了した場合、オプションを記録するために『SUBMIT』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs29.gif

グループのダウンロード可能 ACL 用の ACS の設定

ステップ 1 〜個々のユーザ向けのダウンロード可能ACL のための設定 ACS の 9 を完了し、Cisco Secure ACS のグループのためのダウンロード可能ACL を設定するために次の手順に従って下さい。

この例では、「cisco」IPSec VPN ユーザは VPNグループに属します。 VPNグループ ポリシーはグループのすべてのユーザ向けに適用します。

" cisco」VPNグループ ユーザは認証に成功し、RADIUSサーバはセキュリティ アプライアンス モデルにダウンロード可能 アクセス リストを送ります。 ユーザ「cisco」は 10.1.1.2 サーバのみにアクセスでき、その他すべてのアクセスを拒否します。 ACL を確認するには、「ユーザ/グループのダウンロード可能 ACL」を参照してください。

  1. ナビゲーション バーで、『Group Setup』 をクリック して下さい。 SELECT ページ グループセットアップは開きます。

    asa-vpn-acs30.gif

  2. グループ 1 の VPN に名前を変更し、『SUBMIT』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs31.gif

  3. グループ リストから、グループを選択し、次に『Edit Settings』 をクリック して下さい。

    /image/gif/paws/110119/asa-vpn-acs32.gif

  4. ダウンロード可能 ACL の下で割り当て IP ACL チェックボックスを区分して下さい、クリックして下さい。 リストから IP ACL を選択して下さい。

    /image/gif/paws/110119/asa-vpn-acs33.gif

  5. ちょうど作ったグループ設定を保存するために、『SUBMIT』 をクリック して下さい。

  6. ユーザセットアップに進み、グループに追加することを望むユーザを編集して下さい: VPN. 終了したら、[Submit] をクリックします。

    /image/gif/paws/110119/asa-vpn-acs34.gif

    この場合 VPNグループのために設定されるダウンロード可能ACL はこのユーザ向けに適用します

  7. 他のグループ設定を規定 し続けるために適当ようにこの章で他の手順を、行って下さい

ユーザ グループ用の IETF RADIUS の設定

次の通りユーザが認証を受けるとき RADIUSサーバからのセキュリティ アプライアンス モデルで既に作成してしまったアクセス リストの名前をダウンロードするために、IETF RADIUS フィルタid アトリビュート(11) 属性 番号を設定して下さい:

filter-id=acl_name

" cisco」VPNグループ ユーザは認証に成功し、RADIUSサーバはセキュリティ アプライアンス モデルで既に作成してしまったアクセス リストの ACL 名前を(新しい)ダウンロードします。 「cisco」ユーザは 10.1.1.2 サーバを除く ASA の内部ネットワークであるすべてのデバイスにアクセスできます。 ACL を確認するには、「Filter-Id ACL」を参照してください。

例によって、ACL によって指名される新しいの ASA のフィルタリングのために設定されます。

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

IETF RADIUS 設定パラメータは、次の条件が満たされる場合に限り表示されます。 設定しました

  • [Network Configuration] で、AAA クライアントが RADIUS プロトコルのいずれかを使用する

  • Webインターフェイスのインターフェイスコンフィギュレーション セクションの RADIUS (IETF) ページのグループ レベル RADIUS特性

RADIUS 属性は、ACS から要求側の AAA クライアントに各ユーザ用のプロファイルとして送信されます。

IETF RADIUS特性設定を現在のグループの各ユーザ向けの許可として適用するために行うためにこれらの操作を行って下さい:

  1. ナビゲーション バーで、『Group Setup』 をクリック して下さい。

    SELECT ページ グループセットアップは開きます。

  2. グループ リストから、グループを選択し、次に『Edit Settings』 をクリック して下さい。

    asa-vpn-acs35.gif

    グループの名前はグループ設定 ページの上で現われます。

  3. IEFT RADIUS特性にスクロールして下さい。 各 IETF RADIUS特性に関しては、現在のグループを承認して下さい。 [011] フィルタid アトリビュートのチェックボックスをチェックし、次にフィールドのアトリビュートのための許可の ASA によって定義される ACL name(new)を追加して下さい。 ASA show running コンフィギュレーション出力を参照して下さい。

    asa-vpn-acs36.gif

  4. ちょうど保存し作った、すぐに加えるために、『SUBMIT』 をクリック し、適用して下さいグループ設定を。

    注: グループ設定を保存し、加えるために以降は、『SUBMIT』 をクリック します。 変更を設定して準備ができているとき > サービス 制御 『System Configuration』 を選択 して下さい。 それから『Restart』 を選択 して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

show crypto コマンド

  • show crypto isakmp sa:ピアの現在の IKE セキュリティ アソシエーション(SA)すべてを表示します。

    ciscoasa# sh crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active 
       and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 192.168.10.2
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    ciscoasa#
  • show crypto ipsec sa:現在の SA が使用している設定を表示します。

    ciscoasa# sh crypto ipsec sa
    interface: outside
        Crypto map tag: outside_dyn_map, seq num: 1, 
       local addr: 192.168.1.1
    
          local ident (addr/mask/prot/port): 
       (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): 
       (192.168.5.1/255.255.255.255/0/0)
          current_peer: 192.168.10.2, username: cisco
          dynamic allocated peer ip: 192.168.5.1
    
          #pkts encaps: 65, #pkts encrypt: 
       65, #pkts digest: 65
          #pkts decaps: 65, #pkts decrypt: 
       65, #pkts verify: 65
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 
       0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 
       0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, 
       #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 192.168.1.1, 
       remote crypto endpt.: 192.168.10.2
    
          path mtu 1500, ipsec overhead 58, 
       media mtu 1500
          current outbound spi: EEF0EC32
    
        inbound esp sas:
          spi: 0xA6F92298 (2801345176)
             transform: esp-3des esp-sha-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 86016, crypto-map: 
       outside_dyn_map
             sa timing: remaining key lifetime (sec): 
       28647
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xEEF0EC32 (4008766514)
             transform: esp-3des esp-sha-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 86016, crypto-map: 
       outside_dyn_map
             sa timing: remaining key lifetime (sec): 28647
             IV size: 8 bytes
             replay detection support: Y

ユーザ/グループのダウンロード可能 ACL

ユーザ cisco のダウンロード可能 ACL を確認します。 ACL は CSACS からダウンロードされます。

ciscoasa(config)# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0 (hitcnt=0) 0x8719a411

access-list #ACSACL#-IP-VPN_Access-49bf68ad; 2 elements (dynamic)
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 1 extended permit 
   ip any host 10.1.1.2 (hitcnt=2) 0x334915fe
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 2 extended deny 
   ip any any (hitcnt=40) 0x7c718bd1

Filter-Id ACL

[011] フィルタid はグループに適用しました-グループの VPN およびユーザは ASA で定義される ACL によって(新しい)フィルタリングされます。

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 
   255.255.255.0 192.168.5.0 255.255.255.0 
   (hitcnt=0) 0x8719a411
access-list new; 2 elements
access-list new line 1 extended deny ip 
   any host 10.1.1.2 (hitcnt=4) 0xb247fec8
access-list new line 2 extended permit ip any any 
   (hitcnt=39) 0x40e5d57c

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。 デバッグ出力例も紹介しています。

注: リモートアクセス IPSec VPN の詳細は、『一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について』を参照してください。

セキュリティ アソシエーションのクリア

トラブルシューティングを行う際には、変更を加えた後、既存のセキュリティ アソシエーションを必ずクリアしてください。 PIX の特権モードで、次のコマンドを使用します。

  • clear [crypto] ipsec sa:アクティブな IPSec SA を削除します。 crypto キーワードはオプションです。

  • clear [crypto] isakmp sa:アクティブな IKE SA を削除します。 crypto キーワードはオプションです。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec 7:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp 7:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 110119