Cisco ASA サービス モジュール CLI コンフィギュレーション ガイド ソフトウェア バージョン 8.5
AAA サーバとローカル データベースの設定
AAA サーバとローカル データベースの設定
発行日;2012/09/24 | 英語版ドキュメント(2012/05/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

AAA サーバとローカル データベースの設定

AAA に関する情報

認証について

認可に関する情報

アカウンティングに関する情報

サーバ サポートの要約

RADIUS サーバのサポート

認証方法

属性のサポート

RADIUS 認可機能

TACACS+ サーバのサポート

RSA/SDI サーバのサポート

RSA/SDI バージョンのサポート

2 ステップ認証プロセス

RSA/SDI プライマリ サーバおよびレプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

LDAP による認証

LDAP サーバのタイプ

ローカル データベースのサポート(フォールバック方式としての使用を含む)

グループ内の複数のサーバを使用したフォールバックの仕組み

証明書とユーザ ログイン クレデンシャルの使用

ユーザ ログイン クレデンシャルの使用

証明書の使用

AAA サーバのライセンス要件

ガイドラインと制限事項

AAA の設定

AAA を設定するためのタスク フロー

AAA サーバ グループの設定

LDAP 属性マップの設定

ユーザ アカウントのローカル データベースへの追加

ガイドライン

制限事項

ユーザ パスワードの管理

ユーザ パスワードの変更

SSH の公開キーを持つユーザの認証

AAA によるユーザ ロールの区別

ローカル認証の使用

RADIUS 認証の使用

LDAP 認証の使用

TACACS+ 認証の使用

AAA サーバのモニタリング

その他の参考資料

RFC

AAA サーバの機能履歴

AAA サーバとローカル データベースの設定

この章では、認証、許可、およびアカウンティング(AAA、「トリプル エー」と発音)のサポート、および AAA サーバとローカル データベースの設定方法について説明します。

この章は、次の項目を取り上げます。

「AAA に関する情報」

「AAA サーバのライセンス要件」

「ガイドラインと制限事項」

「AAA の設定」

「AAA サーバのモニタリング」

「その他の参考資料」

「AAA サーバの機能履歴」

AAA に関する情報

AAA によって、ASASMが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。

AAA には、ユーザ アクセスに対して、アクセス リストだけを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセス リストを作成できます。一部のユーザだけがサーバにアクセスできるようにする際に、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済みのユーザだけにASASMを介した接続を許可することができます (Telnet サーバもまた、認証を実行します。ASASMは、認可されないユーザがサーバにアクセスできないようにします)。

認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。

この項は、次の内容で構成されています。

「認証について」

「認可に関する情報」

「アカウンティングに関する情報」

「サーバ サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「RSA/SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「ローカル データベースのサポート(フォールバック方式としての使用を含む)」

「グループ内の複数のサーバを使用したフォールバックの仕組み」

「証明書とユーザ ログイン クレデンシャルの使用」

「AAA を設定するためのタスク フロー」

認証について

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。このクレデンシャルは通常、ユーザ名とパスワードです。次の項目を認証するように、ASASMを設定できます。

ASASM へのすべての管理接続(この接続には、次のセッションが含まれます)

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

enable コマンド

ネットワーク アクセス

認可に関する情報

ユーザの認証後、認可によって ユーザごと にアクセスが制御されます。次の項目を認可するように、ASASMを設定できます。

管理コマンド

ネットワーク アクセス

認可によって、各認証済みユーザが使用できるサービスおよびコマンドが制御されます。認可をイネーブルにしていない場合は、認証だけで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御を必要とする場合は、広範な認証ルールを設定してから、詳細な認可を設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限できます。

ASASMはユーザあたり最初の 16 件の認可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、ASASMは認可サーバに要求を再送信しません。

アカウンティングに関する情報

アカウンティングは、ASASMを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。ASASMアカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでを経由したバイト数、使用されたサービス、各セッションの継続時間が含まれます。

サーバ サポートの要約

表 33-1 に、各 AAA サービスのサポート状況の要約を AAA サーバ タイプ(ローカル データベースを含む)別に示します。特定の AAA サーバ タイプのサポートの詳細については、表に続く項目を参照してください。

 

表 33-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI(RSA)
NT
Kerberos
LDAP
HTTP Form
認証

ファイアウォール セッション

Yes

Yes

Yes

Yes

Yes

Yes

Yes

No

管理者

Yes

Yes

Yes

Yes1

Yes

Yes

Yes

No

認可

ファイアウォール セッション

No

Yes2

Yes

No

No

No

No

No

管理者

Yes3

No

Yes

No

No

No

No

No

アカウンティング

ファイアウォール セッション

No

Yes

Yes

No

No

No

No

No

管理者

No

Yes4

Yes

No

No

No

No

No

nullnullnullnull

表 33-1に記載されているネイティブ プロトコル認証のほか、ASASMではプロキシ認証がサポートされています。たとえば、ASASM は RADIUS サーバ経由で RSA/SDI または Lightweight Directory Access Protocol(LDAP)サーバ、あるいはその両方へのプロキシとして動作することができます。デジタル証明書、またはデジタル証明書と表内の AAA の組み合わせ、あるいはその両方による認証もサポートされます。


RADIUS サーバのサポート

ASASM は次の RFC 互換サーバの AAA をサポートしています。

Cisco Secure ACS 3.2、4.0、4.1、4.2、および 5.x

Cisco Identity Services Engine(ISE)

RSA 認証マネージャ 5.2、6.1、および 7.x の RSA RADIUS

Microsoft

認証方法

ASASMは、RADIUS で次の認証方法をサポートします。

PAP:すべての接続タイプの場合。

認証プロキシ モード:RADIUS から Active Directory、RADIUS から RSA/SDI、RADIUS からトークンサーバ、および RSA/SDI から RADIUS 接続。

属性のサポート

ASASMは、次の RADIUS 属性のセットをサポートします。

RFC 2138 に定義されている認証属性

RFC 2139 に定義されているアカウンティング属性

RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS 属性

Cisco IOS のベンダー固有属性(VSA)は、RADIUS ベンダー ID 9 で識別されます。

RFC 2548 に定義されている Microsoft VSA

Cisco VSA(Cisco-Priv-Level)。標準的な 0 ~ 15 の数値で特権のランクを表し、1 は最低レベル、15 は最高レベル。0 は特権がないことを示します。最初のレベル(ログイン)では、このレベルで使用可能なコマンドへの特権 EXEC アクセスを許可します。第 2 レベル(enable)では CLI コンフィギュレーション特権が許可されます。

属性のリストは、 http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ref_extserver.html#wp1605508 から入手できます。

RADIUS 認可機能

ASASM では、ダイナミック アクセス リストまたはユーザごとのアクセス リスト名を使用する VPN リモートおよびファイアウォールのカットスルー プロキシ セッションのユーザ認可に RADIUS サーバを使用できます。ダイナミック アクセス リストを実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能なアクセス リスト、またはアクセス リスト名が ASASM に送信されます。所定のサービスへのアクセスがアクセス リストによって許可または拒否されます。認証セッションの有効期限が切れると、ASASMによってアクセス リストが削除されます。

ASASM では、アクセス リストのほかに、VPN リモート アクセスおよびファイアウォールのカットスルー プロキシ セッションの認可や権限の設定に関する多数の属性をサポートしています。認可属性の完全なリストについては、次の URL を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ref_extserver.html#wp1605508

TACACS+ サーバのサポート

ASASMは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認証をサポートします。

RSA/SDI サーバのサポート

RSA SecureID サーバは、SDI サーバとも呼ばれます。

この項は、次の内容で構成されています。

「RSA/SDI バージョンのサポート」

「2 ステップ認証プロセス」

「RSA/SDI プライマリ サーバおよびレプリカ サーバ」

RSA/SDI バージョンのサポート

ASASM では、SDI バージョン 5.x、6.x、および 7.x をサポートしています。SDI は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。各プライマリおよびそのレプリカは、シングル ノード秘密ファイルを共有します。そのノード秘密ファイルの名前は .sdi が付加された ACE またはサーバ IP アドレスの 16 進数値に基づきます。

ASASM で設定するバージョン 5.x、6.x、または 7.x の SDI サーバは、プライマリまたはレプリカのいずれかになることができます。ユーザ認証のための SDI エージェントによるサーバの選択方法の詳細については、「RSA/SDI プライマリ サーバおよびレプリカ サーバ」を参照してください。

2 ステップ認証プロセス

SDI バージョン 5.x、6.x、および 7.x では 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求から情報を取り込み、それを使用して別のサーバに認証を証明しないように防止します。エージェントはまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ名をロックして、別の(レプリカ)サーバがユーザ名を受信できないようにします。このアクションは、同じユーザが、同じ認証サーバを同時に使用して、2 つのASASMに認証を証明することができないことを意味します。ユーザ名のロックに成功すると、ASASMはパスコードを送信します。

RSA/SDI プライマリ サーバおよびレプリカ サーバ

ASASMは、最初のユーザが設定済みサーバ(プライマリでもレプリカでもかまいません)に認証を証明するときに、サーバ リストを取得します。次に、ASASM はリスト上の各サーバにプライオリティを割り当て、その後のサーバ選択では、この割り当てられたプライオリティのサーバから無作為に抽出します。最もプライオリティの高いサーバが選択される可能性が高くなります。

NT サーバのサポート

ASASMでは、NTLM バージョン 1 をサポートしている Microsoft Windows Server オペレーティング システム(ひとまとめにして「NT サーバ」と呼びます)がサポートされています。


) NT サーバでは、ユーザ パスワードの最大長は 14 文字です。それより長いパスワードは、NTLM バージョン 1 の制限により切り捨てられます。


Kerberos サーバのサポート

ASASMは、3DES、DES、および RC4 暗号タイプをサポートしています。

単純な Kerberos サーバ コンフィギュレーションの例については、 例 33-2(P.33-16) を参照してください。

LDAP サーバのサポート

ASASMでは LDAP をサポートしています。この項は、次の内容で構成されています。

「LDAP による認証」

「LDAP サーバのタイプ」

LDAP による認証

認証中、ASASMは、ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使って LDAP サーバに対する認証を行います。デフォルトで、ASASMは、通常はユーザ名とパスワードである認証パラメータを LDAP サーバにプレーン テキストで渡します。

ASASM では、次の SASL メカニズムをサポートしています。次に、強度の低い順番に示します。

Digest-MD5:ASASMは、ユーザ名とパスワードから計算した MD5 値を使用して LDAP サーバに応答します。

Kerberos:ASASMは、GSSAPI Kerberos メカニズムを使用して、ユーザ名と領域を送信することで LDAP サーバに応答します。

これらの SASL メカニズムの任意の組み合わせをサポートするように、ASASMと LDAP サーバを設定できます。複数のメカニズムを設定した場合、ASASMではサーバに設定されている SASL メカニズムのリストが取得され、認証メカニズムはASASMとサーバの両方に設定されているメカニズムのなかで最も強力なものに設定されます。たとえば、LDAP サーバとASASMの両方がこれら両方のメカニズムをサポートしている場合、ASASMは、より強力な方の Kerberos メカニズムを選択します。

ユーザ LDAP 認証が成功すると、LDAP サーバは認証されたユーザの属性を返します。VPN 認証の場合、通常これらの属性には、VPN セッションに適用される認可データが含まれます。したがって、LDAP を使用すると、認証と認可が 1 つのステップで行われます。

LDAP サーバのタイプ

ASASMでは LDAP バージョン 3 がサポートされており、Sun Microsystems JAVA System Directory Server(従来の Sun ONE Directory Server)、Microsoft Active Directory、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバとの互換性があります。

デフォルトでは、ASASMによって Microsoft Active Directory、Sun LDAP、Novell、OpenLDAP、または汎用 LDAPv3 ディレクトリ サーバに接続しているかどうかが自動検出されます。ただし、自動検出により LDAP サーバのタイプが特定できなくても、そのサーバが、Microsoft Active Directory、Sun LDAP ディレクトリ サーバ、それ以外の LDAP サーバのいずれであるかがわかっている場合は、そのサーバ タイプを手動で設定できます。

サーバ タイプを設定する場合、次のガイドラインに注意してください。

Sun ディレクトリ サーバにアクセスするようにASASMで設定されている Distinguished Name(DN; 認定者名)は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACL を設定できます。

Microsoft Active Directory および Sun サーバでのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

ASASMでは、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバを使用したパスワード管理はサポートされません。

ASASM は、ログイン認定者名(DN)とログイン パスワードを使用して、LDAP サーバとの信頼関係(バインド)を築きます。詳細については、「ASASM と LDAP サーバのバインディング」を参照してください。

ローカル データベースのサポート(フォールバック方式としての使用を含む)

ASASMは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

ローカル データベースは、複数の機能のフォールバック方式として動作できます。この動作は、ASASMから誤ってロックアウトされないようにすることを意図しています。

フォールバック サポートを必要とするユーザについては、ローカル データベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカル データベースでサポートされているフォールバック機能は次のとおりです。

コンソールおよびイネーブル パスワード認証:グループ内のサーバがすべて使用可能である場合、ASASM ではローカル データベースを使用して管理アクセスを認証します。これには、イネーブル パスワード認証が含まれる場合があります。

コマンド認可:グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカル データベースが使用されます。

グループ内の複数のサーバを使用したフォールバックの仕組み

サーバ グループ内に複数のサーバを設定し、サーバ グループのローカル データベースへのフォールバックをイネーブルにしている場合、ASASMからの認証要求に対してグループ内のどのサーバからも応答がないと、フォールバックが発生します。次のシナリオで例証します。

サーバ 1、サーバ 2 の順で、LDAP サーバ グループに 2 台の Active Directory サーバを設定します。リモート ユーザがログインすると、ASASMによってサーバ 1 に対する認証が試みられます。

サーバ 1 から認証エラー(「user not found」など)が返されると、ASASMによるサーバ 2 に対する認証は試みられません。

タイムアウト期間内にサーバ 1 から応答がないと(または認証回数が、設定されている最大数を超えている場合)、ASASMによってサーバ 2 に対する認証が試みられます。

グループ内のどちらのサーバからも応答がなく、ASASM にローカル データベースへのフォールバックが設定されている場合は、ASASM によってローカル データベースに対する認証が試みられます。

証明書とユーザ ログイン クレデンシャルの使用

この項では、認証と認可に証明書およびユーザ ログイン クレデンシャル(ユーザ名とパスワード)を使用する、さまざまな方法について説明します。

すべての場合において、LDAP 認可では、パスワードをクレデンシャルとして使用しません。RADIUS 認可では、すべてのユーザの共通パスワードまたはユーザ名のいずれかを、パスワードとして使用します。

この項は、次の内容で構成されています。

「ユーザ ログイン クレデンシャルの使用」

「証明書の使用」

ユーザ ログイン クレデンシャルの使用

認証および認可のデフォルトの方法では、ユーザ ログイン クレデンシャルを使用します。

認証

認証サーバ グループ設定によってイネーブルにされます(ASDM 接続プロファイルとも呼ばれます)。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

認可サーバ グループ設定によってイネーブルにされます(ASDM 接続プロファイルとも呼ばれます)。

ユーザ名をクレデンシャルとして使用します。

証明書の使用

ユーザ デジタル証明書が設定されている場合、ASASMによって最初に証明書が検証されます。ただし、証明書の DN は認証用のユーザ名として使用されません。

認証と認可の両方がイネーブルになっている場合、ASASMによって、ユーザの認証と認可の両方にユーザ ログイン クレデンシャルが使用されます。

認証

認証サーバ グループ設定によってイネーブルにされます。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

認可サーバ グループ設定によってイネーブルにされます

ユーザ名をクレデンシャルとして使用します。

認証がディセーブルで認可がイネーブルになっている場合、ASASMによって認可にプライマリ DN のフィールドが使用されます。

認証

認証サーバ グループ設定によってディセーブル([None] に設定)になります。

クレデンシャルは使用されません。

認可

認可サーバ グループ設定によってイネーブルにされます

証明書のプライマリ DN フィールドのユーザ名の値をクレデンシャルとして使用します。


) 証明書にプライマリ DN のフィールドが存在しない場合、ASASMでは、セカンダリ DN のフィールド値が認可要求のユーザ名として使用されます。


次のサブジェクト DN フィールドと値が含まれるユーザ証明書を例に挙げます。

Cn=anyuser,OU=sales;O=XYZCorporation;L=boston;S=mass;C=us;ea=anyuser@example.com
 

プライマリ DN = EA(電子メール アドレス)およびセカンダリ DN = CN(通常名)の場合、認可要求で使われるユーザ名は anyuser@example.com になります。

AAA サーバのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドライン

username コマンドには、8.4(3) 以前用と、8.4(4) 以降用の 2 種類のバージョンがあります。詳細については、コマンド リファレンスを参照してください。

AAA の設定

この項は、次の内容で構成されています。

「AAA サーバ グループの設定」

「LDAP 属性マップの設定」

「ユーザ アカウントのローカル データベースへの追加」

「ユーザ パスワードの管理」

「ユーザ パスワードの変更」

「SSH の公開キーを持つユーザの認証」

「AAA によるユーザ ロールの区別」

AAA を設定するためのタスク フロー


ステップ 1 次のいずれかまたは両方を実行します。

AAA サーバ グループを追加します。「AAA サーバ グループの設定」を参照してください。

ローカル データベースにユーザを追加します。「ユーザ アカウントのローカル データベースへの追加」を参照してください。

ステップ 2 LDAP サーバの場合は、LDAP 属性マップを設定します。「LDAP 属性マップの設定」を参照してください。

ステップ 3 管理者は、ユーザにパスワード ポリシー属性を指定します。「ユーザ パスワードの管理」を参照してください。

ステップ 4 (任意)ユーザは自分のパスワードを変更できます。「ユーザ パスワードの変更」を参照してください。

ステップ 5 (任意)ユーザは公開キーで認証を受けることができます。「SSH の公開キーを持つユーザの認証」を参照してください。

ステップ 6 (任意)認証時に管理ユーザとリモート アクセス ユーザを区別します。「AAA によるユーザ ロールの区別」を参照してください。


 

AAA サーバ グループの設定

認証、許可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバ グループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別されます。各サーバ グループは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。

ガイドライン

シングル モードで最大 100 個のサーバ グループ、またはマルチ モードでコンテキストごとに 4 つのサーバ グループを持つことができます。

各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。

ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。グループ内のすべてのサーバが使用できない場合、ASASMは、ローカル データベースがフォールバック方式として設定されていると、ローカル データベースに接続しようとします(管理認証および認可限定)。フォールバック方式として設定されていない場合、ASASMは引き続き AAA サーバにアクセスしようとします。

手順の詳細

 

コマンド
目的

ステップ 1

aaa-server server_tag protocol { kerberos | ldap | nt | radius | sdi | tacacs+ }
 

hostname(config)# aaa-server servergroup1 protocol ldap

hostname(config-aaa-server-group)#

 

hostname(config)# aaa-server servergroup1 protocol radius

hostname(config-aaa-server-group)# interim-accounting-update

 

hostname(config)# aaa-server servergroup1 protocol radius

hostname(config-aaa-server-group)# ad-agent-mode

サーバ グループ名とプロトコルを識別します。たとえば、RADIUS を使用してネットワーク アクセスを認証し、TACACS+ を使用して CLI アクセスを認証するには、RADIUS サーバ用に 1 つ、TACACS+ サーバ用に 1 つというように、最低 2 つのサーバ グループを作成する必要があります。

シングル モードで最大 100 個のサーバ グループ、またはマルチ モードでコンテキストごとに 4 つのサーバ グループを持つことができます。各グループには、シングルモードで最大 15 台、マルチ モードで最大 4 台のサーバを含めることができます。

aaa-server protocol コマンドを入力する場合は、コンフィギュレーション モードを開始します。

interim-accounting-update オプションは、クライアントレス SSL セッションおよび AnyConnect セッションに対して、マルチセッション アカウンティングをイネーブルします。このオプションを選択すると、開始レコードと終了レコード以外に中間アカウンティング レコードが RADIUS サーバに送信されます。

ヒント Clean Access SSO を使用して VPN 接続を完了できないという問題がユーザに発生している場合は、このオプションを選択します。この問題は ASASM に対してクライアントレス接続または AnyConnect 接続を直接行う場合に発生する可能性があります。

ad-agent-mode オプションで、ASASM と AD エージェント間の共有秘密を指定し、RADIUS サーバ グループがフル機能の RADIUS サーバではない AD エージェントを含めるよう指示します。ユーザ ID と関連付けることができるのは、 ad-agent-mode オプションを使用して設定された RADIUS サーバ グループだけです。結果として、 ad-agent-mode オプションを使用して設定されていない RADIUS サーバ グループを指定すると test aaa-server { authentication | authorization } aaa-server-group コマンドが使用できなくなります。

ステップ 2

merge-dacl { before-avpair | after-avpair }
 

hostname(config)# aaa-server servergroup1 protocol radius

hostname(config-aaa-server-group)# merge-dacl before-avpair

ダウンロード可能 ACL と、RADIUS パケットから Cisco AV ペアで受信した ACL を結合します。デフォルト設定は no merge dacl で、ダウンロード可能な ACL は Cisco AV ペア ACL と結合されません。AV ペアおよびダウンロード可能な ACL の両方を受信した場合は、AV ペアが優先し、使用されます。

before-avpair オプションは、ダウンロード可能な ACL エントリが Cisco-AV-Pair エントリの前に配置されるように指定します。

after-avpair オプションは、ダウンロード可能な ACL エントリが Cisco-AV-Pair エントリの後に配置されるように指定します。このオプションは、VPN 接続にのみ適用されます。VPN ユーザの場合は、ACL は Cisco AV ペア ACL、ダウンロード可能 ACL、および ASASM で設定される ACL の形式になります。このオプションでは、ダウンロード可能 ACL と AV ペア ACL が結合されているどうかを判断します。ASASM で設定される ACL には適用されません。

ステップ 3

max-failed-attempts number
 

hostname(config-aaa-server-group)# max-failed-attempts 2

次のサーバを試す前にグループ内の AAA サーバに送信する要求の最大数を指定します。 number 引数の範囲は 1 ~ 5 です。デフォルトは 3 です。

ローカル データベースを使用してフォールバック方式を設定し(管理アクセスだけの場合は、「ローカル コマンド認可の設定」および「TACACS+ コマンド認可の設定」を参照してフォールバック メカニズムを設定)、グループ内のすべてのサーバが応答できなかった場合、グループは非応答と見なされ、フォールバック方式が試行されます。サーバ グループで、追加の AAA 要求によるアクセスがない、非応答と見なされる時間が 10 分間(デフォルト)続くと、ただちにフォールバック方式が使用されます。非応答時間をデフォルトから変更するには、次のステップの reactivation-mode コマンドを参照してください。

フォールバック方式として設定されていない場合、ASASMは引き続きグループ内のサーバにアクセスしようとします。

ステップ 4

reactivation-mode { depletion [ deadtime minutes ] | timed }
 

hostname(config-aaa-server-group)# reactivation-mode deadtime 20

グループ内で障害の発生したサーバを再度アクティブ化する方法(再アクティブ化ポリシー)を指定します。

depletion キーワードを指定すると、グループ内のすべてのサーバが非アクティブになった後に、障害の発生したサーバが再度アクティブ化されます。

deadtime minutes キーワード引数のペアには、グループ内の最後のサーバをディセーブルにしてから、次にすべてのサーバを再度イネーブルにするまでの経過時間を分単位で 0 ~ 1440 から指定します。デフォルトは 10 分です。

timed キーワードは、30 秒間のダウンタイムの後に障害が発生したサーバを再度アクティブ化します。

ステップ 5

accounting-mode simultaneous
 
hostname(config-aaa-server-group)# accounting-mode simultaneous

グループ内のすべてのサーバにアカウンティング メッセージを送信します(RADIUS または TACACS+ のみ)。

アクティブ サーバだけ送信メッセージをデフォルトに戻すには、 accounting-mode single コマンドを入力します。

ステップ 6

aaa-server server_group [ interface_name ] host server_ip
 
hostname(config)# aaa-server servergroup1 outside host 10.10.1.1

サーバと、そのサーバが属する AAA サーバ グループを識別します。

aaa-server host コマンドを入力すると、AAA サーバのホスト コンフィギュレーション モードを開始します。必要に応じて、ホスト コンフィギュレーション モード コマンドを使用して、さらに AAA サーバを設定します。

ホスト コンフィギュレーション モードでのコマンドは、すべての AAA サーバ タイプに適用されるわけではありません。 表 33-2 に、使用可能なコマンド、適用先のサーバ タイプ、および新規 AAA サーバ定義にそのコマンドのデフォルト値が指定されているかどうかを示します。コマンドが、指定したサーバ タイプに適用可能で、デフォルト値が用意されていない場合は(「--」で示す)、コマンドを使用して値を指定します。

 

表 33-2 ホスト モード コマンド、サーバ タイプ、およびデフォルト

コマンド
適用可能な AAA サーバ タイプ
デフォルト値
説明

accounting-port

RADIUS

1646

acl-netmask-convert

RADIUS

standard

authentication-port

RADIUS

1645

kerberos-realm

Kerberos

--

key

RADIUS

--

TACACS+

--

ldap-attribute-map

LDAP

--

ldap-base-dn

LDAP

--

ldap-login-dn

LDAP

--

ldap-login-password

LDAP

--

ldap-naming-attribute

LDAP

--

ldap-over-ssl

LDAP

636

設定されていない場合は、ASASM では LDAP 要求に sAMAccountName を使用します。SASL とプレーン テキストのどちらを使用する場合でも、ASASM と LDAP サーバの間での通信のセキュリティは SSL で確保されます。SASL を設定しない場合、SSL で LDAP 通信を保護することを強くお勧めします。

ldap-scope

LDAP

--

mschapv2-capable

RADIUS

enabled

nt-auth-domain-controller

NT

--

radius-common-pw

RADIUS

--

retry-interval

Kerberos

10 秒

RADIUS

10 秒

SDI

10 秒

sasl-mechanism

LDAP

--

server-port

Kerberos

88

LDAP

389

NT

139

SDI

5500

TACACS+

49

server-type

LDAP

auto-discovery

自動検出により LDAP サーバのタイプが特定できなくても、そのサーバが、Microsoft Active Directory、Sun LDAP ディレクトリ サーバ、それ以外の LDAP サーバのいずれであるかがわかっている場合は、そのサーバ タイプを手動で設定できます。

timeout

すべて

10 秒

例 33-1 に、1 つのプライマリ サーバと 1 つのバックアップ サーバを持つ 1 つの TACACS+ グループ、単一のサーバを持つ 1 つの RADIUS グループ、および 1 つの NT ドメイン サーバを追加する方法を示します。

例 33-1 複数の AAA サーバ グループおよびサーバ

hostname(config)# aaa-server AuthInbound protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 2
hostname(config-aaa-server-group)# reactivation-mode depletion deadtime 20
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.1
hostname(config-aaa-server-host)# key TACPlusUauthKey
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.2
hostname(config-aaa-server-host)# key TACPlusUauthKey2
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthOutbound protocol radius
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthOutbound (inside) host 10.1.1.3
hostname(config-aaa-server-host)# key RadUauthKey
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server NTAuth protocol nt
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server NTAuth (inside) host 10.1.1.4
hostname(config-aaa-server-host)# nt-auth-domain-controller primary1
hostname(config-aaa-server-host)# exit
 

例 33-2 に、watchdogs という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加して、そのサーバの Kerberos 領域を定義する方法を示します。例 33-2 では、リトライ インターバルと Kerberos サーバがリスンするポートを定義していないため、ASASMは、これら 2 つのサーバ固有のパラメータにデフォルト値を使用します。 表 33-2 に、すべての AAA サーバ ホスト モード コマンドのデフォルト値を示します。


) Kerberos 領域名では数字と大文字だけを使用します。ASASMは領域名に小文字を受け入れますが、小文字を大文字に変換しません。大文字だけを使用してください。


例 33-2 Kerberos サーバ グループおよびサーバ

hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#
 

LDAP 属性マップの設定

ASASM では、ACL、ブックマーク リスト、DNS、または WINS 設定、セッション タイマーなど、VPN リモート アクセス ユーザまたはファイアウォール ネットワークのアクセス/カットスルー プロキシ セッションの認証、あるいはポリシー権限(認可属性とも呼ばれる)の設定に、LDAP ディレクトリを使用できます。つまり、LDAP サーバを使用して、ローカル グループ ポリシーに外部のキー属性を設定できます。

認可プロセスは、LDAP 属性マップを使用して処理されます(ベンダー固有属性を定義する RADIUS ディクショナリと同様)。これはネイティブ LDAP ユーザ属性を Cisco ASASM の属性名に変換します。それらの属性マップを LDAP サーバにバインドしたり、必要に応じて削除したりすることができます。また、属性マップを表示または消去することもできます。

ガイドライン

属性マッピング機能を適切に使用するには、シスコの LDAP 属性の名前と値およびユーザ定義の属性の名前と値を理解する必要があります。LDAP 属性マップの詳細については、「Active Directory/LDAP VPN リモート アクセス認可の例」を参照してください。

頻繁にマッピングされるシスコの LDAP 属性の名前と、一般にマッピングされるユーザ定義の属性のタイプは次のとおりです。

IETF-Radius-Class(ASASM バージョン 8.2 以降では Group_Policy):グループ ポリシーをディレクトリの部門またはユーザ グループ(たとえば、Microsoft Active Directory の memberOf)属性値に基づいて設定します。ASDM バージョン 6.2/ASA バージョン 8.2 以降では、IETF-Radius-Class 属性はグループ ポリシー属性に置き換わりました。

IETF-Radius-Filter-Id:VPN クライアント、IPsec、および SSL に適用されるアクセス コントロール リストまたは ACL。

IETF-Radius-Framed-IP-Address:VPN リモート アクセス クライアント、IPsec、および SSL に割り当てる静的 IP アドレスを割り当てます。

Banner1:VPN のリモート アクセス ユーザがログインするときにテキストのバナーを表示します。

Tunneling-Protocols:アクセス タイプに基づいて VPN リモート アクセス セッションを許可または拒否します。


) 1 つの ldapattribute マップには 1 つ以上の属性を含めることができます。特定の LADP サーバには 1 つの ldap 属性のみを割り当てることができます。


LDAP 機能を正しくマッピングするには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

ldap attribute-map map-name
 

hostname(config)# ldap attribute-map att_map_1

空の LDAP 属性マップ テーブルを作成します。

ステップ 2

map-name user-attribute-name Cisco-attribute-name
 

hostname(config-ldap-attribute-map)# map-name department IETF-Radius-Class

ユーザ定義の属性名 department を、シスコの属性にマッピングします。

ステップ 3

map-value user-attribute-name Cisco-attribute-name
 

hostname(config-ldap-attribute-map)# map-value department Engineering group1

ユーザ定義のマップ値である department をユーザ定義の属性値とシスコの属性値にマッピングします。

ステップ 4

aaa-server server_group [ interface_name ] host server_ip
 

hostname(config)# aaa-server ldap_dir_1 host 10.1.1.4

サーバと、そのサーバが属する AAA サーバ グループを識別します。

ステップ 5

ldap-attribute-map map-name
 

hostname(config-aaa-server-host)# ldap-attribute-map att_map_1

属性マップを LDAP サーバにバインドします。

次の例は、accessType という名前の LDAP 属性に基づいて管理セッションをASASMに制限する方法を示しています。accessType 属性の有効な値は次の 3 つです。

VPN

admin

helpdesk

次の例では、各値が、ASASM でサポートされる有効な IETF-Radius-Service-Type 属性のいずれかにマッピングされる方法を示します。有効なタイプには、remote-access(Service-Type 5)発信、admin(Service-Type 6)管理、および nas-prompt(Service-Type 7)NAS プロンプトがあります。

hostname(config)# ldap attribute-map MGMT
hostname(config-ldap-attribute-map)# map-name accessType IETF-Radius-Service-Type
hostname(config-ldap-attribute-map)# map-value accessType VPN 5
hostname(config-ldap-attribute-map)# map-value accessType admin 6
hostname(config-ldap-attribute-map)# map-value accessType helpdesk 7
 
hostname(config-ldap-attribute-map)# aaa-server LDAP protocol ldap
hostname(config-aaa-server-group)# aaa-server LDAP (inside) host 10.1.254.91
hostname(config-aaa-server-host)# ldap-base-dn CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-login-password test
hostname(config-aaa-server-host)# ldap-login-dn CN=Administrator,CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# server-type auto-detect
hostname(config-aaa-server-host)# ldap-attribute-map MGMT
 

次の例では、シスコの LDAP 属性名の全リストを表示します。

hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name att_map_1?
 
ldap mode commands/options:
cisco-attribute-names:
Access-Hours
Allow-Network-Extension-Mode
Auth-Service-Type
Authenticated-User-Idle-Timeout
Authorization-Required
Authorization-Type
:
:
X509-Cert-Data
hostname(config-ldap-attribute-map)#
 

ユーザ アカウントのローカル データースへの追加

この項では、ローカル データベースでユーザを管理する方法について説明します。次の項目を取り上げます。

ガイドライン

次の各機能は、ローカル データベースを使用して実行されます。

ASDM ユーザごとのアクセス

コンソール認証

Telnet 認証および SSH 認証。

enable コマンド認証

この設定は、CLI アクセスにだけ使用され、ASDM ログインには影響しません。

コマンド認可

ローカル データベースを使用するコマンド認可を有効にすると、ASASM では、ユーザ特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド認可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。

ネットワーク アクセス認証

マルチ コンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカル データベースを参照する AAA ルールは設定できません。

制限事項

ローカル データベースはネットワーク アクセス認可には使用できません。

ユーザをローカル データベースに追加するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

username user name { nopassword | password password } [ privilege priv_level ]
 

hostname(config)# username exampleuser1 privilege 1

ユーザ アカウントを作成します。 username user name キーワードは、4 ~ 64 文字の文字列です。

(注) ASASM は、事前に設定されたユーザ名と文字の大小だけが異なるユーザ名の作成を禁止しません。VPN ユーザをローカル ユーザ データベースを使用して認証する場合には、この方法は推奨しません。「User1」や「user1」などのユーザ名は、認証の目的では区別されますが、最大同時ログイン数の制限が設定されている場合、これらのユーザは同じセッション数を共有します。このため、同時ログイン数の制限を超えるトンネルを確立することで、「user1」によって「User1」をログオフさせることが可能になります。

password password 引数は、3 ~ 32 文字の文字列です。 スイッチから ASASM にセッションを確立しているとき、 aaa authentication telnet console コマンドを使用するとデフォルト パスワードを上書きできます。 privilege level 引数では、0 ~ 15 の特権レベルを設定します。デフォルトは 2 です。この特権レベルは、コマンド認可で使用されます。


注意 コマンド認可(aaa authorization console LOCAL コマンド)を使用しない場合は、デフォルトのレベル 2 を使用して特権 EXEC モードにアクセスできます。特権 EXEC モードへのアクセスを制限する場合、特権レベルを 0 または 1 に設定するか、service-type コマンドを使用します(ステップ 5を参照)。

nopassword キーワードは、パスワードを指定しないユーザ アカウントを作成します。

通常、 encrypted および nt-encrypted キーワードは表示専用です。 username コマンド内のパスワードを定義すると、ASASMはセキュリティを維持するため、そのパスワードをコンフィギュレーションに保存するときに暗号化します。 show running-config コマンドを入力すると、 username コマンドは実際のパスワードを表示しません。このコマンドは暗号化されたパスワードを表示し、次に encrypted または nt-encrypted キーワード( mschap を指定する場合)を表示します。たとえば、パスワードに「test」と入力すると、 show running-config の出力には次のように表示されます。

username user1 password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
 

実際に CLI で encrypted または nt-encrypted キーワードを入力するのは、あるコンフィギュレーション ファイルを他のASASMにカット アンド ペーストして、同じパスワードを使用している場合だけです。

ステップ 2

aaa authorization exec authentication-server
 

hostname(config)# aaa authorization exec authentication-server

(任意)管理アクセスを認証するユーザに、ユーザ固有のアクセス レベルを強制します( aaa authentication console LOCAL コマンドを参照)。このコマンドは、ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管理認可をイネーブルにします。

aaa authorization exec LOCAL コマンドを使用して、ローカル データベースから属性を取得できるようにします。AAA サーバのユーザを管理認可が有効になるように設定する方法については、「管理認可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

次に示すユーザ タイプごとの前提条件を確認してください。

username コマンドを使用して、0 ~ 15 の特権レベルでローカル データベースでユーザを設定します。 service-type コマンドを使用して、アクセスのレベルを設定します。

RADIUS ユーザに Cisco VSA CVPN3000-Privilege-Level の 0 ~ 15 の値を設定します。

LDAP ユーザを特権レベル 0 ~ 15 を使用して設定し、 ldap map-attributes コマンドを使用して LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。

コマンド特権レベルの設定については、 privilege コマンドを参照してください。

ステップ 3

service-type { admin | nas-prompt | remote-access }
 

hostname(config-username)# service-type admin

(任意)ステップ 2 で管理認可を設定した場合は、ユーザ レベルを設定します。 admin キーワードは、 aaa authentication console LOCAL コマンドによって指定されたサービスへのフル アクセスを許可します。デフォルトは admin キーワードです。

nas-prompt キーワードは、 aaa authentication { telnet | ssh | serial} console LOCAL コマンドを設定しているときに CLI へのアクセスを許可しますが、 aaa authentication http console LOCAL コマンドを設定しているときは ASDM へのコンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console LOCAL コマンドを使用して認証をイネーブルにしている場合、ユーザは、 enable コマンド(または login コマンド)を使用して特権 EXEC モードにアクセスできません。

remote-access キーワードは管理アクセスを拒否します。ユーザは、 aaa authentication console LOCAL コマンドで指定されているいずれのサービスも使用できません( serial キーワードは除きます。この場合、シリアル アクセスは許可されます)。

次の例では、admin ユーザ アカウントに対して特権レベル 15 を割り当てます。

hostname(config)# username admin password password privilege 15
 

次の例では、パスワードを指定しないユーザ アカウントを作成します。

hostname(config)# username user34 nopassword
 

次の例では、管理認可をイネーブルにし、パスワードを指定するユーザ アカウントを作成し、ユーザ名属性コンフィギュレーション モードを開始して、 service-type 属性を指定します。

hostname(config)# aaa authorization exec authentication-server
hostname(config)# username user1 password gOgeOus
hostname(config)# username user1 attributes
hostname(config-username)# service-type nas-prompt
 

ユーザ パスワードの管理

ASASM では、必要な特権を持つ管理者が現在のコンテキストでユーザのパスワード ポリシーを変更することができます。

ユーザ パスワードには次のガイドラインがあります。

最大継続時間は 0 ~ 65536 日。

長さは最小 3 文字から 64 文字まで。

更新時に変更する最小文字数は 0 文字から 64 文字まで。

小文字を含めることが可能。

大文字を含めることが可能。

数字を含めることが可能。

特殊文字を含めることが可能。

ユーザのパスワード ポリシーを指定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

password-policy lifetime value
 

hostname (config)# password-policy lifetime 1000

現在のコンテキストのパスワード ポリシーおよびパスワードが期限切れになるまでの期間を日数で設定します。有効な値は、0 ~ 65536 です。デフォルト値は 0 日です。

ステップ 2

password-policy minimum-changes value
 

hostname(config)# password-policy minimum-changes 4

新規のパスワードと古いパスワードとの間で変更しなければならない最小文字数を設定します。有効な値は、0 ~ 64 文字です。デフォルト値は 0 です。

新しいパスワードには、現在のパスワードから少なくとも 4 文字は変更される必要があり、現在のパスワードの一部に新しいパスワードが含まれない場合のみ変更されたと見なされます。

ステップ 3

password-policy minimum-length value
 

hostname(config)# password-policy minimum-length 8

パスワードの最小長を設定します。有効な値は、3 ~ 64 文字です。推奨されるパスワードの最小長は 8 文字です。

最小長がその他の最小個数(小文字、数字、特殊文字、大文字)より小さいと、エラー メッセージが表示され、最小長の値は変更されません。

ステップ 4

password-policy minimum-lowercase value
 

hostname(config)# password-policy minimum-lowercase 6

パスワードに含める小文字の最小個数を設定します。有効な値は、0 ~ 64 文字です。デフォルト値は、最小個数がないことを意味する 0 です。

ステップ 5

password-policy minimum-numeric value
 

hostname(config)# password-policy minimum-numeric 1

パスワードに含める数字の最小個数を設定します。有効な値は、0 ~ 64 文字です。デフォルト値は、最小個数がないことを意味する 0 です。

ステップ 6

password-policy minimum-special value
 

hostname(config)# password-policy minimum-special 2

パスワードに含める特殊文字の最小個数を設定します。有効な値は、0 ~ 64 文字です。特殊文字には、!、@、#、$、%、^、&、*、(、) が含まれます。デフォルト値は、最小個数がないことを意味する 0 です。

ステップ 7

password-policy minimum-uppercase value
 

hostname(config)# password-policy minimum-uppercase 3

パスワードに含める大文字の最小個数を設定します。有効な値は、0 ~ 64 文字です。デフォルト値は、最小個数がないことを意味する 0 です。

ステップ 8

password-policy authenticate enable
 
hostname(config)# password-policy authenticate enable

(任意)ユーザが自分のユーザ アカウントを変更できるようにするかどうかを決定します。

認証がイネーブルの場合、ユーザは username コマンドや clear configure username コマンドを使用して自分のパスワードを変更したり、自分のアカウントを削除したりすることはできません。

ユーザ パスワードの変更

ASASM では、必要な特権を持つ管理者が現在のコンテキストでユーザのパスワードを変更することができます。ユーザがパスワードを変更するには、その前に現在のパスワードで認証を受ける必要があります。ただし、管理者がユーザ パスワードを変更する場合は、認証は不要です。

ユーザが自分のアカウント パスワードを変更できるようにするには、次のコマンドを入力します。

 

コマンド
目的
change-password [old-password old-password [new-password new-password]]
 

hostname# change-password old-password myoldpassword000 new password mynewpassword123

ユーザが自分のアカウント パスワードを変更できるようにします。new-password new-password のキーワードと引数のペアに新しいパスワードを指定します。old-password old-password のキーワードと引数のペアに古いパスワードを指定します。これによってユーザが再認証されます。ユーザがパスワードを省略すると、ASA から入力を求めるプロンプトが表示されます。ユーザが change-password コマンドを入力すると、実行コンフィギュレーションを保存するように求められます。

SSH の公開キーを持つユーザの認証

ユーザは SSH の公開キーで認証を受けることができます。公開キーはハッシュすることもハッシュしないこともできます。

SSH の公開キーで認証を行うには、次のコマンドを入力します。

 

コマンド
目的
username {name} attributes
 

hostname(config)# username anyuser ssh authentication publickey key [hashed]

公開キー認証をユーザ単位でイネーブルにします。key 引数の値は次のいずれかになります。

key 引数が指定され、ハッシュされたタグが指定されていない場合、キーの値は、SSH-RSA の未処理キーを生成することのできる SSH キー生成ソフトウェアによって生成される Base 64 で符号化された公開キーである必要があります(つまり、証明書は使用しません)。Base 64 符号化済みの公開キーを送信すると、そのキーは SHA-256 によってハッシュされ、対応する 32 バイトのハッシュがそれ以降の比較に使用されます。

key 引数が指定され、ハッシュされたタグを指定した場合は、キーの値は、SHA-256 で事前にハッシュされている必要があります。長さは 32 バイトで、各バイトはコロンで区切られている必要があります(解析のため)。

設定を保存すると、ハッシュされたキー値はコンフィギュレーションに保存され、ASASM のリブート時に使用されます。

AAA によるユーザ ロールの区別

ASASM を使用すると、RADIUS、LDAP、TACACS+、またはローカル ユーザ データベースを使用して認証する場合に、管理ユーザとリモート アクセス ユーザを区別することができます。ユーザ ロールを区別することで、リモート アクセス VPN ユーザやネットワーク アクセス ユーザが ASASM に管理接続を確立するのを防ぐことができます。

ユーザ ロールを区別するには、ユーザ名コンフィギュレーション モードで service-type 属性を使用します。RADIUS および LDAP の場合( ldap-attribute-map コマンドを使用)、Cisco ベンダー固有属性(VSA)の Cisco-Priv-Level を使用して、認証済みのユーザに特権レベルを割り当てることができます。

この項は、次の内容で構成されています。

「ローカル認証の使用」

「RADIUS 認証の使用」

「LDAP 認証の使用」

「TACACS+ 認証の使用」

ローカル認証の使用

ローカル認証を使用している場合、 service-type 属性および特権レベルを設定する前に、ユーザを作成し、パスワードと特権レベルを割り当てる必要があります。

そのためには、次のコマンドを入力します。

hostname(config)# username admin password mysecret123 privilege 15
 

mysecret123 は保存されているパスワードです。15 は割り当てられる権限レベルで、これは管理ユーザを表します。

service-type 属性の使用可能な設定オプションには、次のものがあります。

admin :ユーザはコンフィギュレーション モードにアクセスできます。このオプションでは、ユーザにリモート アクセス経由での接続が許可されます。

nas-prompt :ユーザは EXEC モードにアクセスできます。

remote-access :ユーザはネットワークにアクセスできます。

次の例では、admin という名前のユーザに service-type として admin を指定します。

hostname(config)# username admin attributes
hostname(config-username)# service-type admin
 

次の例では、ra-user という名前のユーザに service-type として remote-access を指定します。

hostname(config)# username ra-user attributes
hostname(config-username)# service-type remote-access
 

RADIUS 認証の使用

RADIUS IETF の service-type 属性が、RADIUS 認証および認可要求の結果として access-accept メッセージで送信される場合、この属性は認証されたユーザにどのタイプのサービスを付与するかを指定するために使用されます。サポートされる属性値は、administrative(6)、nas-prompt(7)、Framed(2)、および Login(1)です。認証と認可に使用できるサポートされている RADIUS IETF VSA のリストについては、表 C-8を参照してください。

RADIUS 認証の使用の詳細については、「外部 RADIUS サーバの設定」を参照してください。Cisco Secure ACS のための RADIUS 認証の設定については、Cisco.com にある Cisco Secure ACS のマニュアルを参照してください。

RADIUS Cisco VSA privilege-level 属性(ベンダー ID 3076、サブ ID 220)が access-accept メッセージで送信される場合は、ユーザの権限レベルを指定するために使用されます。認可に使用できるサポートされている RADIUS VSA のリストについては、表 C-7を参照してください。

LDAP 認証の使用

ユーザが LDAP 経由で認証される場合、ネイティブ LDAP 属性およびその値は Cisco ASASM 属性にマッピングされ、特定の認可機能を提供します。認可に使用できるサポートされている LDAP VSA のリストについては、表 C-2を参照してください。

LDAP 認可には、LDAP 属性マッピング機能を使用できます。この機能の例については、「権限および属性のポリシー実施の概要」を参照してください。

次の例は、LDAP 属性マップを定義する方法を示しています。この例では、セキュリティ ポリシーによって、LDAP によって認証されているユーザが、ユーザ レコードのフィールドまたはパラメータの title と company を、IETF-RADIUS service-type と privilege-level にそれぞれマップすることを指定しています。

LDAP 属性マップを定義するには、次のコマンドを入力します。

hostname(config)# ldap attribute-map admin-control
hostname(config-ldap-attribute-map)# map-name title IETF-RADIUS-Service-Type
hostname(config-ldap-attribute-map)# map-name company Privilege-Level
 

次に、 ldap-attribute-map コマンドの出力例を示します。

ldap attribute-map admin-control
map-name company Privilege-Level
map-name title IETF-Radius-Service-Type
 

LDAP 属性マップを LDAP AAA サーバに適用するには、次のコマンドを入力します。

hostname(config)# aaa-server ldap-server (dmz1) host 10.20.30.1
hostname(config-aaa-server-host)# ldap-attribute-map admin-control
 

) 認証されたユーザが ASDM、SSH、または Telnet を使用して ASASM に管理アクセスを試みたものの、これを実行するために必要な特権レベルを持っていないと、ASASM から syslog メッセージ 113021 が生成されます。このメッセージは、管理者権限が不適切であるためログインに失敗したことをユーザに通知するものです。


TACACS+ 認証の使用

TACACS+ 認証を設定する方法については、「外部 TACACS+ サーバの設定」を参照してください。

AAA サーバのモニタリング

AAA サーバをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show aaa-server

設定済みの AAA サーバの統計情報を表示します。

AAA サーバ コンフィギュレーションをクリアするには、 clear aaa-server statistics コマンドを入力します。

show running-config aaa-server

AAA サーバ実行コンフィギュレーションを表示します。

AAA サーバの統計情報をクリアするには、 clear configure aaa-server コマンドを入力します。

show running-config all ldap attribute-map

実行コンフィギュレーションのすべての LDAP 属性を表示します。

実行コンフィギュレーションのすべての LDAP 属性をクリアするには、 clear configuration ldap attribute-map コマンドを使用します。

show running-config zonelabs-integrity

Zone Labs Integrity サーバ コンフィギュレーションを表示します。

Zone Labs Integrity サーバ コンフィギュレーションをクリアするには、clear configure zonelabs-integrity コマンドを使用します。

show ad-groups name [ filter string ]

LDAP を使用する AD サーバだけに適用し、AD サーバに登録されているグループを表示します。

show running-config [all] password-policy

現在のコンテキストのパスワード ポリシーを表示します。

その他の参考資料

LDAP マッピングの実装に関するその他の情報については、「RFC」を参照してください。

RFC

RFC
タイトル

2138

『Remote Authentication Dial In User Service (RADIUS)』

2139

『RADIUS Accounting』

2548

『Microsoft Vendor-specific RADIUS Attributes』

2868

『RADIUS Attributes for Tunnel Protocol Support』

AAA サーバの機能履歴

表 33-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 33-3 AAA サーバの機能履歴

機能名
プラットフォーム リリース
機能情報

AAA サーバ

7.0(1)

AAA サーバでは、AAA のサポート情報と AAA サーバおよびローカル データベースの設定方法が示されます。

次のコマンドを導入しました。

username aaa authorization exec authentication-server aaa authentication console LOCAL aaa authorization exec LOCAL service-type、ldap attribute-map aaa-server protocol aaa authentication { telnet | ssh | serial} console LOCAL aaa authentication http console LOCAL、aaa authentication enable console LOCAL、max-failed-attempts、reactivation-mode、accounting-mode simultaneous、aaa-server host、authorization-server-group、tunnel-group、tunnel-group general-attributes、map-name、map-value、ldap-attribute-map、zonelabs-Integrity server-address zonelabs-integrity port zonelabs-integrity interface zonelabs-integrity fail-timeout zonelabs-integrity fail-close zonelabs-integrity fail-open zonelabs-integrity ssl-certificate-port zonelabs-integrity ssl-client-authentication {enable | disable} client-firewall {opt | req} zonelabs-integrity

ASASM から RADIUS アクセス要求およびアカウンティング要求パケットで送信されるキー ベンダー固有属性(VSA)

8.4(3)

新しい 4 つの VSA:トンネル グループ名(146)とクライアントのタイプ(150)が、ASASM から RADIUS アクセス要求パケットで送信されます。セッションのタイプ(151)とセッションのサブタイプ(152)は、ASASM から RADIUS アカウンティング要求パケットで送信されます。4 つの属性は、すべてのアカウンティング要求パケット タイプ(開始、中間アップデート、停止)に対してすべて送信されます。その後、RADIUS サーバ(たとえば、ACS と ISE)は認可とポリシー属性を強制するか、これらをアカウンティングと課金の目的で使用できます。

パスワード ポリシー、パスワード変更、SSH 公開キー認証に対する共通基準認証および FIPS のサポート

8.4(4)

password-policy lifetime password-policy minimum changes password-policy minimum-length password-policy minimum-lowercase password-policy minimum-uppercase password-policy minimum-numeric password-policy minimum-special password-policy authenticate enable username username attributes clear configure username change-password clear configure password-policy show running-config password-policy 、および username コマンドを導入または変更しました。


1.

 
Rivest、Shamir、Adelman(RSA)/Security Dynamics International(SDI)は、ASA5500 ソフトウェア バージョン 8.2(1) 以降を使用する ASDM HTTP 管理アクセス用にサポートされています。

2.

 
ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセス リストでだけサポートされます。このアクセス リストは RADIUS 認証応答で受信または指定されます。

3.

 
ローカル コマンド認可は、特権レベルに限りサポートされます。

4.

 
コマンド アカウンティングは、TACACS+ でのみ使用できます。