Cisco NAC アプライアンス - Clean Access Server コンフィギュレーション ガイド
Cisco VPN コンセントレータとの統合
Cisco VPN コンセントレータとの統合
発行日;2012/02/06 | 英語版ドキュメント(2011/08/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

Cisco VPN コンセントレータとの統合

概要

SSO

VPN コンセントレータとの統合のための Cisco NAC アプライアンスの設定

デフォルト ログイン ページの追加

ユーザ ロールおよび要件の設定

CAS での L3 サポートのイネーブル化

Discovery Host の確認

CAS への VPN コンセントレータの追加

CAS を VPN コンセントレータの RADIUS アカウンティング サーバに設定

CAS へのアカウンティング サーバの追加

VPN コンセントレータとアカウンティング サーバのマッピング

フローティング デバイスとしての VPN コンセントレータの追加

CAS および CAM の SSO の設定

CAS での SSO の設定

CAM での SSO の設定

FIPS 140-2 準拠の配置における VPN SSO の設定

信頼できる CA のインポート

ID 証明書の設定

CAS へのサイト間 VPN の作成

(任意)認証サーバ マッピング規則の作成

Cisco NAC アプライアンス Agent および VPN コンセントレータと SSO

Cisco NAC アプライアンス Agent レイヤ 3 VPN コンセントレータのユーザ操作

アクティブ VPN クライアントの表示

Cisco VPN コンセントレータとの統合

この章では、Clean Access Server(CAS)と Cisco VPN コンセントレータを統合するために必要な設定について説明します。この章の内容は、次のとおりです。

「概要」

「VPN コンセントレータとの統合のための Cisco NAC アプライアンスの設定」

「Cisco NAC アプライアンス Agent および VPN コンセントレータと SSO」

「アクティブ VPN クライアントの表示」

概要

Cisco NAC アプライアンスを使用すると、VPN コンセントレータまたはルータ(または複数のルータ)の後ろにインバンド CAS を配置できます。また、ユーザと CAS の間に 1 つまたは複数のルータがある場合、Clean Access Manager(CAM)と CAS が一意の IP アドレスによってユーザ セッションをトラッキングできるようにして、マルチホップ レイヤ 3 インバンド配置をサポートしています。1 つの CAS で L2 と L3 のユーザに両方対応することも可能です。レイヤ 2 接続されたユーザがいる場合、CAM および CAS は引き続きユーザの MAC アドレスに基づいてユーザ セッションを管理します。

ユーザが L3 ホップに関して 1 つまたは複数ホップ以上離れている場合は、次の点に注意してください。

ユーザ セッションは MAC アドレスではなく、一意の IP アドレスに基づいて確立されます。

ユーザの IP アドレスが変更された場合は(ユーザとの VPN 接続が切断された場合など)、クライアントは Nessus スキャン プロセスを再実行する必要があります。

クライアントと CAS が L3 で 1 ホップ以上離れている場合に、クライアントが CAS を検出するには、最初に CAS から Agent をダウンロードしてインストールする必要があります。これにより、ユーザが CAS から L3 ホップに関して 1 つまたは複数ホップ以上離れている場合に、以降のログインに必要な CAM 情報がクライアントに提供されます。CAS からの直接ダウンロード以外の方法を使用して Agent を取得してインストールしても、必要な CAM 情報は Agent に提供されず、インストールされたこれらの Agent はマルチホップ L3 配置で稼動できません。

Certified List は、MAC アドレスによって L2 および L3 VPN ユーザをトラッキングし、これらのユーザに Certified Devices Timer が適用されます。

ネットワーク スキャナや Agent ログなど、その他のすべてのユーザ監査証跡は、マルチホップ L3 ユーザ用に保持されます。

セッション タイマーは、マルチホップ L3 インバンド配置の場合も、L2(インバンドまたは Out-Of-Band(OOB; アウトオブバンド))配置の場合と同様に機能します。

マルチホップ L3 VPN コンセントレータ統合構成で Single Sign-On(SSO; シングルサインオン)機能が設定されている場合は、CAS でユーザのセッションがタイムアウトになっても、そのユーザがまだ VPN コンセントレータにログインしたままであれば、ユーザ名やパスワードを入力しなくてもユーザ セッションが復元されます。

必要なトポロジと設定は非常に単純です。図 6-1 は、VPN コンセントレータに統合された Cisco NAC アプライアンス ネットワークを示します。図 6-2 は、複数のアカウンティング サーバが使用されている場合の Cisco NAC アプライアンスと統合される前の VPN コンセントレータ構成を示し、図 6-3 は、統合後の構成を示しています。CAS は VPN コンセントレータの唯一の RADIUS アカウンティング サーバとして設定する必要があります。VPN コンセントレータがすでに 1 つまたは複数の RADIUS アカウンティング サーバ用に設定されている場合は、これらの設定をコンセントレータから CAS に転送する必要があります。


) VPN コンセントレータでスプリット トンネリングを使用している場合、スプリット トンネルが、Discovery Host 用に使用されているネットワークへのアクセスを許可するようにしてください。Discovery Host が CAM IP アドレスと同じである場合、CAM を許可する必要があります。


SSO

CiscoNAC アプライアンスは VPN コンセントレータとともに導入できるだけでなく、SSO を介して Cisco VPN コンセントレータ ユーザに最適な操作性を実現します。VPN クライアントを介してログインするユーザは、Cisco NAC アプライアンスに再ログインする必要がありません。Cisco NAC アプライアンスは VPN ログイン、および任意の VPN ユーザ グループ属性およびクラス属性を利用して、ユーザを特定のロールに対応付けます。

このレベルの統合を実現するには、RADIUS アカウンティング サーバと、RADIUS アカウンティング プロキシとして機能する CAS を使用します。Cisco NAC アプライアンスは、以下に対する SSO をサポートしています。

Cisco VPN コンセントレータ

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

Cisco Airespace Wireless LAN コントローラ

Cisco SSL VPN Client(Full Tunnel)

Cisco VPN Client(IPSec)


) Agent を VPN トンネル モードで機能させるには、CAS で [Enable L3 support] オプションをオンにする必要があります([Device Management] > [Clean Access Servers] > [Manage [CAS_IP]] > [Network] > [IP])。



) CAS は、SSO を実現するため、Calling_Station_ID または Framed_IP_address RADIUS のいずれかの属性からクライアントの IP アドレスを取得できます。SSO のための Cisco NAC アプライアンス RADIUS アカウンティング サポートには、Cisco Airespace Wireless LAN コントローラ が含まれています。Cisco NAC アプライアンスで SSO を動作させるには、Cisco Airespace Wireless LAN コントローラから Calling_Station_IP 属性をクライアントの IP アドレスとして送信する必要があります(逆に、Framed_IP_address 属性は VPN コンセントレータで使用されます)。「アクティブ VPN クライアントの表示」も参照してください。


詳細については、「CAS および CAM の SSO の設定」を参照してください。

図 6-1 Cisco NAC アプライアンスと統合された VPN コンセントレータ

 

図 6-2 Cisco NAC アプライアンスとの統合前の VPN コンセントレータ

 

図 6-3 Cisco NAC アプライアンスとの統合後の VPN コンセントレータ

 

VPN コンセントレータとの統合のための Cisco NAC アプライアンスの設定

VPN コンセントレータと連携するように Cisco NAC アプライアンスを設定するには、次の手順が必要です。


ステップ 1 デフォルト ログイン ページの追加

ステップ 2 VPN ユーザに対するユーザ ロールおよび要件の設定

ステップ 3 CAS での L3 サポートのイネーブル化

ステップ 4 Discovery Host の確認

ステップ 5 CAS への VPN コンセントレータの追加

ステップ 6 CAS を VPN コンセントレータの RADIUS アカウンティング サーバに設定

ステップ 7 CAS へのアカウンティング サーバの追加

ステップ 8 VPN コンセントレータとアカウンティング サーバのマッピング

ステップ 9 (任意)認証サーバ マッピング規則の作成

ステップ 10 フローティング デバイスとしての VPN コンセントレータの追加

ステップ 11 CAS および CAM の SSO の設定

ステップ 12 FIPS 140-2 準拠の配置における VPN SSO の設定(FIPS 140-2 準拠の配置の場合)

ステップ 13 Cisco VPN SSO の CAM での(任意)認証サーバ マッピング規則の作成

ステップ 14 Cisco NAC アプライアンス Agent および VPN コンセントレータと SSOとしてのテスト

ステップ 15 アクティブ VPN クライアントの表示(トラブルシューティング用)


 

デフォルト ログイン ページの追加

Agent によるユーザの認証を可能にするには、Web ログイン ユーザと Agent ユーザの両方のためのログイン ページをシステムに追加する必要があります。デフォルトのユーザ ログイン ページを迅速に追加するには、[Administration] > [User Pages] > [Login Page] > [Add | Add] を選択します。ログイン ページの設定オプションの詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。

ユーザ ロールおよび要件の設定

VPN ユーザにクライアント ポスチャ評価を適用するには、要件とともにユーザ ロールを設定する必要があります。設定の詳細については、『 Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。

CAS での L3 サポートのイネーブル化

Agent を VPN トンネル モードで機能させるには、CAS の IP フォームで [Enable L3 support] オプションをオンにする必要があります。

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Network] > [IP] の順番に進みます。

図 6-4 [CAS Network] タブ:[Enable L3 support]

 

2. [Clean Access Server Type]、[Trusted Interface]、および [Untrusted Interface] の設定は常に正しく設定されている必要があります(CAS の追加時)。

3. [Enable L3 support] のチェックボックスをオンにします。

4. [Update] をクリックします。

5. [Reboot] をクリックします。


) • L3 機能のイネーブル化またはディセーブル化は、デフォルトでディセーブルです。有効にするには、CAS の [Update] および [Reboot] を実行する必要があります。 [Update] を実行すると、次にリブートするまで、変更された設定が Web コンソールに維持されます。[Reboot] を実行すると、CAS のプロセスが起動します。

L3 および L2 strict オプションは同時に使用できません。一方のオプションをイネーブルにすると、他方のオプションがディセーブルになります。


 

「L3 サポートのイネーブル化」も参照してください。

Discovery Host の確認

Agent で VPN 配置または L3 配置の CAS を検出できるようにするには、Discovery Host をイネーブルにする必要があります。デフォルトでは、[Discovery Host] フィールドは CAM の IP アドレスに設定されています。VPN コンセントレータは、ユーザと CAS の間のルータとして機能するので、Agent は UDP 8906 検出パケットを CAS のネットワークに向けるために、Discovery Host を使用します。CAS は、これらのパケットを使用して Agent がアクティブであることを認識し、CAM に到達する前にパケットを廃棄します(この機能は Cisco NAC Web Agent には適用されません)。Agent をクライアント マシンに配布およびインストールする前に、CAM で [Discovery Host] フィールドを設定する必要があります。

1. [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] の順番に進みます。

2. [Discovery Host] フィールドの IP アドレスが、CAM の IP アドレス(デフォルト)、または CAS を経由してトラフィックをルーティングおよび転送する必要がある信頼できるネットワーク IP アドレスであることを確認します。

3. [Discovery Host] を変更した場合は、[Update] ボタンをクリックします。

詳細については、「Agent の VPN/L3 アクセス」、および『 Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Configuring Agent Distribution/Installation」を参照してください。

CAS への VPN コンセントレータの追加

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] > [VPN Concentrators] の順番に進みます。

図 6-5 VPN コンセントレータの追加

 

2. [Name] に、コンセントレータの名前を入力します。

3. [IP Address] に、コンセントレータのプライベート IP アドレスを入力します。

4. [Shared Secret] に、CAS と VPN コンセントレータ間の共有秘密を入力します。コンセントレータ自体にも、同じ共有秘密を設定する必要があります。

5. [Confirm Shared Secret] フィールドに共有秘密を再入力します。

6. (任意)[Description] に説明を入力します

7. FIPS 140-2 準拠の配置の場合、[Enable IPsec] チェックボックスを有効にし、認証トラフィックのセキュアな IPSec トンネルを確立できるようにします。「FIPS 140-2 準拠の配置における VPN SSO の設定」も参照してください。

8. [Add VPN Concentrator] をクリックします。

CAS を VPN コンセントレータの RADIUS アカウンティング サーバに設定

CAS を VPN コンセントレータの RADIUS アカウンティング サーバに設定します(たとえば、VPN 3000 シリーズでは、[Configuration] > [System] > [Servers] > [Accounting] で実行します)。あとで CAS に転送するために、各アカウンティング サーバの設定を記録することを推奨します。CAS は VPN コンセントレータの唯一のアカウンティング サーバでなければなりません。VPN コンセントレータには CAS の信頼できる側の IP アドレス、および CAS と同じ共有秘密を持つように設定する必要があります。

詳細については、次のような該当する製品マニュアルを参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/tsd_products_support_series_home.html

http://www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html

CAS へのアカウンティング サーバの追加

VPN コンセントレータがアカウンティング サーバと連携するように設定されている場合、アカウンティング サーバの情報を CAS に転送する必要があります。CAS は代わりにこれらのアソシエーションを保持します。

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] > [Accounting Servers] の順番に進みます。

図 6-6 アカウンティング サーバの追加

 

2. [Name] に、アカウンティング サーバの名前を入力します。

3. [IP Address] に、アカウンティング サーバの IP アドレスを入力します。

4. [Port] に、アカウンティング サーバのポートを入力します(通常は 1813)。

5. [Retry] に、アカウンティング サーバの再試行回数を入力します。これにより、指定したタイムアウト内に応答がない場合に、要求を再試行する回数が指定されます。たとえば、[Retry] が 2 で、[Timeout] が 3(秒)の場合、CAS がリスト内の次のアカウンティング サーバに要求を送信するまでに 6 秒かかります。

6. [Timeout] に、アカウンティング サーバのタイムアウトを入力します(秒単位)。これにより、応答がない場合に、アカウンティング サーバに要求を再試行するまでの CAS の待機時間が指定されます。

7. [Shared Secret] に、CAS とアカウンティング サーバ間の共有秘密を入力します。VPN コンセントレータから設定を転送したり、新しい秘密を作成したりできますが、アカウンティング サーバ自体に同じ共有秘密を設定する必要があります。

8. [Confirm Shared Secret] フィールドに共有秘密を再入力します。

9. (任意)[Description] に説明を入力します。

10. FIPS 140-2 準拠の配置の場合、[Enable IPsec] チェックボックスを有効にし、認証トラフィックのセキュアな IPSec トンネルを確立できるようにします。

11. [Add Accounting Server] をクリックします。

VPN コンセントレータとアカウンティング サーバのマッピング

複数の VPN コンセントレータと複数のアカウンティング サーバを管理する場合は、VPN コンセントレータと一連のアカウンティング サーバを対応付けるマッピングを作成できます。このようにすると、CAS はアカウンティング サーバに到達できない場合に、リスト内の次のサーバに処理を継続できます。

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] > [Accounting Mapping] の順番に進みます。

図 6-7 Accounting Mapping

 

2. ドロップダウン メニューで [VPN Concentrator] を選択します。CAS に追加されたすべての VPN コンセントレータが表示されます。

3. ドロップダウン メニューで [Accounting Server] を選択します。CAS に設定されたすべてのアカウンティング サーバが表示されます。

4. [Add Entry] ボタンをクリックして、マッピングを追加します。下のリストに、名前、IP アドレス、およびポートを基準として各 VPN コンセントレータに対応付けられたアカウンティング サーバがすべて表示されます。

フローティング デバイスとしての VPN コンセントレータの追加

一般に、CAS がクライアントと同じサブネット上にない場合、クライアントがシステムにログインしたときに、CAS はクライアントの IP アドレスに関する MAC 情報を取得しません。ユーザと CAS(すべてのサーバ タイプ)間に VPN コンセントレータがある場合、VPN コンセントレータはクライアント IP アドレスに対してプロキシ ARP を実行するため、CAS は新しい各クライアント IP アドレスとともに、VPN コンセントレータの MAC アドレスを認識します。VPN コンセントレータがフローティング デバイスとして設定されていない場合は、Cisco NAC アプライアンスへの最初のユーザ ログインだけが要件を満たす必要があります。したがって、管理者は [Device Management] > [Clean Access] > [Certified Devices] > [Add Floating Device] を実行して、ルータまたは VPN コンセントレータの MAC アドレスを [Floating Device] リストに追加する必要があります(エントリ例:00:16:21:11:4D:67 1 vpn_concentrator)。詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Add Floating Devices」を参照してください。

CAS および CAM の SSO の設定

SSO を使用すると、ユーザは VPN クライアントを介して 1 回ログインするだけで、ポスチャ評価プロセスに進むことができます。SSO を実行するために、Cisco NAC アプライアンスは VPN コンセントレータまたは無線コントローラから RADIUS アカウンティング情報を取得してユーザ認証を行い、この情報を使用してユーザをユーザ ロールに対応付けます。これにより、ユーザは CAS にログインしなくても、ポスチャ評価に直接進むことができます。SSO は、次のように CAS と CAM の両方に設定されます。

RADIUS アカウンティング パケットから必要とされる最も重要な属性は、User_name、Framed_IP_address、Calling_Station_ID です。ユーザが CAS で SSO によりログインできるためには、Framed_IP_address 属性または Calling_Station_ID 属性(クライアントの IP アドレスのために送信)が RADIUS アカウンティング メッセージに記述されていなければなりません。


) SSO のための RADIUS アカウンティング サポートには、Cisco Airespace Wireless LAN コントローラが含まれています。Cisco NAC アプライアンスで SSO を動作させるには、Cisco Airespace Wireless LAN コントローラから Calling_Station_IP 属性をクライアントの IP アドレスとして送信する必要があります(逆に、Framed_IP_address 属性は VPN コンセントレータで使用されます)。


CAS での SSO の設定


ステップ 1 [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] > [General] の順番に進みます。

図 6-8 一般的な設定(SSO/Logout/RADIUS Accounting Port)

 

ステップ 2 [Single Sign-On] のチェックボックスをオンにして、CAS で VPN SSO をイネーブルにします。

ステップ 3 [Agent VPN Detection Delay] 値の時間(秒単位)を入力します。エージェントが VPN SSO を試みる前に CAS が必要な RADIUS アカウンティング情報を受け取っていない場合、エージェントはユーザ ログインのプロンプトを表示します。[Agent VPN Detection Delay] フィールドでは、SWISS UDP 検出パケットを送信しているリモート ユーザ Agent からの認証のためのプロンプトを表示するまでに CAS が待つ時間を指定できます。

このオプションにより、CAS が通常は VPN ログインから利用するログイン クレデンシャルの入力を求めるプロンプトを表示する前に、VPN を通じて接続済みのユーザのための更新を受信する時間が CAS にあります。指定の待機時間内に CAS が接続状態を学習した場合、自動的に VPN SSO 機能に引き渡されます。VPN 経由でユーザ接続が行われたという通知のないまま指定の待機時間が経過した場合、CAS によりログイン クレデンシャルを入力するよう求められます。


) [Agent VPN Detection Delay] は、遅延時間が切れるまですべての VPN SSO ユーザに適用されます。


この値が 0 の場合、CAS はすぐに VPN SSO を実行するようエージェントに依頼します。VPN が接続されたときに、CAS が受信した最初の RADIUS アカウンティング パケットに VPN SSO を実行するための十分な情報が含まれている場合は、この値を 0 に設定します。

この値が 0 以外の場合、CAS は SWISS パケットを使用して、エージェントに対し VPN SSO ログインを行う前に指定した時間待つよう伝えます。以下の場合にこのフィールドにゼロ以外の値を設定します。

最初の RADIUS アカウンティング パケットが遅延し、エージェントによってユーザ認証のプロンプトが表示される場合。

VPN コンセントレータで、最初のアカウンティング パケットで送信された VPN IP アドレスを更新するため、第 2 のアカウンティング パケットが必要な場合。この場合、CAS は最初のアカウンティング パケットのあとでこの VPN 接続を有効なものと認識せず、 [Agent VPN Detection Delay] に 0 が設定されているとユーザ ログインのプロンプトを表示します。

ステップ 4 ログアウト時にユーザの VPN セッションを自動的に終了するには、[Auto-Logout] のチェックボックスをオンにします。

ステップ 5 デフォルト ポート(1813)のままにするか、あるいは [RADIUS Accounting Port] に対し新しいポートを設定します。


) VPN SSO をサポートする Real-IP ゲートウェイとして配置された CAS は、信頼できる(eth0)インターフェイス上でだけアカウンティング ポートをオープンします。


ステップ 6 [Update] をクリックします。


 

CAM での SSO の設定

Cisco NAC アプライアンス VPN コンセントレータとの統合を設定する場合に SSO をサポートするには、Cisco VPN SSO の認証元を CAM に追加する必要があります。

1. [User Management] > [Auth Servers] > [New] の順番に進みます。

図 6-9 新しい認証サーバの追加(CAM)

 

2. [Authentication Type] ドロップダウン メニューで、[Cisco VPN SSO] を選択します。

3. [Provider Name] はデフォルトで [Cisco VPN] に設定されています。

4. [Default Role] ドロップダウン メニューで、ポスチャ評価プロセスのために VPN クライアント ユーザに割り当てるユーザ ロールを選択します。

5. オプションの [Description] に、認証サーバ リスト内で VPN コンセントレータを識別する説明を入力します。

6. [Add Server] をクリックします。

[User Management] > [Auth Servers] > [List of Servers] に新しい Cisco VPN SSO 認証サーバが表示されます。

設定値を変更する場合は、その認証サーバの横にある [Edit] ボタンをクリックします。

認証サーバの横にある [Mapping] ボタンをクリックして、Cisco VPN SSO に対する RADIUS 属性ベース マッピング規則を設定します。

詳細については、『 Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。

FIPS 140-2 準拠の配置における VPN SSO の設定

FIPS 準拠の Cisco NAC アプライアンス システムと Cisco ASA 間の IPSec 通信設定は 3 つの主要フェーズから構成されます。

信頼できる CA のインポート

ID 証明書の設定

CAS へのサイト間 VPN の作成

信頼できる CA のインポート

信頼できる Certificate Authority(CA; 認証局)を ASA VPN コンセントレータにインポートする手順は、次のとおりです。


ステップ 1 ASDM で [Configuration] ツールバー ボタンをクリックします。

ステップ 2 [Site-to-Site VPN] タブを選択します。

ステップ 3 [Panel Certificate Management] > [CA Certificates] の順に進みます(図 6-10)。

図 6-10 CA 証明書のインポート

 

ステップ 4 [Add] をクリックし、CA のトラストポイント名を入力します。

ステップ 5 [Browse] をクリックし、CA 証明書ファイルを選択します。

ステップ 6 [Install Certificate] をクリックします。


 

ID 証明書の設定

ASA VPN コンセントレータに ID 証明書を設定する手順は、次のとおりです。


ステップ 1 [Certificate Management] > [Identity Certificates] の順に進みます。

ステップ 2 トラストポイント名を指定します。

ステップ 3 [Import the identity certificate from a file] オプションを選択します(図 6-11)。

図 6-11 ID 証明書のインポート

 

ステップ 4 証明書の 暗号解除パスフレーズ (信頼できる CA 証明書をエクスポートしたときに指定したパスワード)を入力します。

ステップ 5 [Browse] をクリックし、ID 証明書を選択します。

この証明書と鍵のペアは pkcs12 形式にしてください。pkcs12 形式ではない場合、次の OpenSSL コマンドを使用して、別々の鍵ファイルと証明書ファイルを 1 つの pkcs12 形式に変換できます。

openssl pkcs12 -export -in cert.pem -inkey key.pem -out ASACert.p12
 

ステップ 6 ID 証明書のパスワードを指定します(証明書の 暗号解除パスフレーズ と同じパスワードです)。

ステップ 7 [Add Certificate] をクリックします。


 

CAS へのサイト間 VPN の作成


) 次の手順には ASDM バージョン 6.2(1)(asdm-621.bin)を使用します。



ステップ 1 [Wizards] > [IPsec VPN Wizard] を選択します(図 6-12)。

図 6-12 VPN Wizard

 

ステップ 2 次のトンネル属性を指定します。

[VPN Tunnel Type]:[Site-to-Site]

[VPN Tunnel Interface]:[inside]

ステップ 3 [Enable inbound IPsec sessions...] オプションをオンにし、[Next] をクリックします。

ステップ 4 次の属性を指定します。

[Peer IP Address]: <CAS の信頼できる IP アドレス>

[Authentication method]:[Certificate]

[Certificate Name]: <ID 証明書のインポート時に入力したトラストポイント名>

[Tunnel Group Name]: <CAS IP アドレス> (デフォルト設定)

ステップ 5 [Next] をクリックします。

ステップ 6 次の IKE ポリシー属性を指定します。

[Encryption] [AES-128]

[Authentication] [SHA]

[Diffie-Hellman Group]:[2]

ステップ 7 [Next] をクリックします。

ステップ 8 次の IPsec ポリシー規則属性を指定します。

[Encryption] [AES-128]

[Authentication] [SHA]

[Enable Perfect Forward Secrecy] オプションをオンにします。

[Diffie-Hellman Group]:[2]

ステップ 9 [Next] をクリックします。

ステップ 10 次のホストとネットワークの属性を指定します。

[Action] [Protect]

[Local Networks]: <ASA の内部 IP アドレス>

[Remote Networks]: <CAS IP アドレス>

ステップ 11 [Exempt ASA side host/network] オプションをオンにし、[Next] をクリックします。

ステップ 12 設定の概要を確認し、[Finish] をクリックします。

ステップ 13 [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPSec Transform Sets] の順に進みます(図 6-13)。

図 6-13 IPSec トランスフォーム セットの追加

 

ステップ 14 [Add] をクリックします。

ステップ 15 次の属性を指定します。

[Set Name]:[NAC-AES-128-SHA]

[Mode] [Transport]

[ESP Encryption]:[AES-128]

[ESP Authentication]:[SHA]

ステップ 16 [OK] をクリックします。

ステップ 17 [Configuration] > [Site-to-Site VPN] > [Connection Profiles] の順に進みます。

ステップ 18 作成した IPSec 接続を選択し、[Edit] をクリックします。

ステップ 19 [Encryption Algorithms] で [Manage] をクリックします([IKE Proposal] の横)。

ステップ 20 [Configure IKE Proposals] ダイアログボックスで [Edit] をクリックします。

ステップ 21 [aes-128/sha/2/rsa-sig] の提案を選択し、[Lifetime] 属性が [8 hours] になるように編集します。

ステップ 22 [OK] をクリックします。

ステップ 23 [IPSec Proposal] を [NAC-AES-128-SHA] に指定し、[OK] をクリックします。

ステップ 24 [Apply] をクリックします。

ステップ 25 [Tools] > [Command Line Interface] を選択し、 ping <CA Sip アドレス> を入力します。

ping 出力を確認します。


 

(任意)認証サーバ マッピング規則の作成

Cisco VPN SSO タイプの場合、VPN コンセントレータから渡される RADIUS 認証サーバ属性に基づくマッピング規則を作成し、ユーザをロールにマッピングできます。次の RADIUS 属性を使用すると、Cisco VPN SSO マッピング規則を設定できます。

Class

Framed_IP_Address

NAS_IP_Address

NAS_Port

NAS_Port_Type

User_Name

Tunnel_Client_Endpoint

Service_Type

Framed_Protocol

Acct_Authentic

マッピング規則は CAM Web 管理コンソールで設定します([User Management] > [Auth Servers] > [Mapping Rules])。設定の詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「User Management: Configuring Auth Servers」を参照してください。

Cisco NAC アプライアンス Agent および VPN コンセントレータと SSO

Agent はマルチホップ L3 配置、および Agent からの VPN と L3 アクセスをサポートします。Agent は次の動作を実行します。

1. クライアント ネットワーク上で CAS(L2 配置)を検索します。見つからない場合は、次の処理を実行します。

2. CAM に検出パケットを送信して、CAS を検出しようとします。これにより、CAS が複数ホップ離れている場合(マルチホップ配置)でも、検出パケットは CAS を通過するため、CAS はこれらのパケットを代行受信して、Agent に応答します。

クライアントが L3 ホップに関して 1 つまたは複数ホップ以上離れている場合に CAS を検出するには、最初にクライアントが CAS から Agent をダウンロードする必要があります。次の 2 つの方法でダウンロードできます。

Agent ダウンロード Web ページから(つまり、Web ログイン経由)。

最新の Cisco NAC Agent へのクライアント アップグレードまたは Agent バージョン 4.6.2.113 以降への自動アップグレードによる。Agent の自動アップグレード プロセスを機能させるには、クライアントに以前のバージョンの Agent がすでにインストールされている必要があります。

いずれの方法でも、Agent は CAM の IP アドレスを取得して、トラフィックを L3 ネットワーク経由で CAM または CAS に送信することができます。この方法でインストールされた Agent は、L3/VPN コンセントレータ配置でも、通常の L2 配置でも使用できます。詳細については、「L3 サポートのイネーブル化」を参照してください。


) VPN SSO 配置の場合に、Agent を CAS からダウンロードせずに他の方法でダウンロードすると、Agent は CAM の実行時 IP 情報を取得できないため、ポップアップが自動表示されず、クライアント マシンがスキャンされません。Cisco NAC Agent ユーザは、Agent 設定 XML ファイルに DiscoveryHost 設定を指定することで、この問題を回避できます。



) • VPN 接続が確立している間に Agent をアンインストールしても、VPN 接続は終了しませんが、(設定した場合)クライアント マシンは [Certified Devices] リストから削除され、ユーザは [Online Users] リストから削除されます。

3.5.0 以前のバージョンの Clean Access Agent がすでにインストールされている場合、または Agent が CAS 以外の方法でインストールされている場合は、Web ログインを実行して CAS から直接最新の Agent セットアップ ファイルをダウンロードし、Agent を再インストールして、L3 機能を取得する必要があります。


 

Cisco NAC アプライアンス Agent レイヤ 3 VPN コンセントレータのユーザ操作

1. Cisco NAC アプライアンスとともに動作するよう設定された VPN 接続アプリケーションを起動します。

2. ログインしたらブラウザを開き、イントラネットまたはエクストラネット サイトを表示します。

Cisco NAC アプライアンスを使用すると、VPN コンセントレータまたはルータ(または複数のルータ)の後ろにインバンド CAS を配置できます。Cisco NAC アプライアンスでは、ユーザと CAS の間に 1 つまたは複数のルータがある場合、CAM と CAS が一意の IP アドレスによってユーザ セッションをトラッキングできるようにして、マルチホップ レイヤ 3 インバンド配置をサポートしています。レイヤ 2 接続されたユーザがいる場合、CAM および CAS は引き続きユーザの MAC アドレスに基づいてユーザ セッションを管理します。図 6-14 に、Agent および SSO を使用している VPN ユーザに関するログインおよびポスチャ評価プロセスを示します。VPN 接続を介して、Agent の初期ダウンロードを実行する必要があります。

図 6-14 SSO を使用する VPN ユーザの場合の Agent

 

SSO を使用した場合、Agent は自動ログインとスキャンを実行します(図 6-15を参照)。

図 6-15 Agent 自動ログイン画面(ユーザ表示)

 


) Web ログインは常にレイヤ 2 またはレイヤ 3 モードで機能します。レイヤ 3 機能はディセーブルにできません。


アクティブ VPN クライアントの表示

[Active VPN Clients] ページには、VPN SSO によって CAS に通知された IP アドレスが一覧表示されます。このページはトラブルシューティング用のもので、CAS 管理ページと CAS ダイレクト アクセス コンソールの両方で利用できます。[Active VPN Clients] ページに表示されるのは、CAS が有効な RADIUS アカウンティング START パケットを受信したユーザのリストです。

CAS は、特定のクライアント マシンの有効な RADIUS アカウンティング START パケットを受信すると、これを [Active VPN Clients] リストに追加します。

クライアントがこのリストに表示されている場合、そのクライアントは SSO を実行できます。

クライアントがこのリストに表示されていない場合、START パケットが CAS に到達していないか、形式が間違っていることが考えられます。

パケットのフォーマットに含まれている必要がある重要な項目には、次のものがあります。

Account-Status-type = 1(START パケットであることを示す)

Calling-station-Id(エンド マシンの IP アドレスを示す)

ユーザがブラウズや Agent の実行を試みたとき、CAM および CAS は [Active VPN Client] の情報とマッピング規則を比較し、ユーザに割り当てるロールを決定します。

アクティブ VPN クライアントの表示

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] > [Active Clients] の順番に進みます。

図 6-16 Active Clients(VPN コンセントレータ)

 

2. [List All VPN Clients] の [Show All] ボタンをクリックしてすべての VPN クライアントを一覧表示するか、または [Search] を実行します。次のいずれかを実行するまでは、[Active Clients] ページは空白のままです。

a. システム SSO テーブルのすべてのカレント IP およびユーザ情報を表示するため、[Show All] をクリックします。

b. または、[Search IP Address] テキスト フィールドに IP アドレスを入力し、ドロップダウン メニューから演算子([equals]、[starts with]、[ends with]、[contains])を選択し、[Search] ボタンをクリックして結果を表示します。

3. ページ下部の表に、次の情報が読み込まれます。エントリは、クライアントの IP アドレス順にソートされます。

[Total Active VPN Clients]:SSO テーブル内で現在アクティブとなっている VPN クライアントの数を表示します。

[Client IP]:RADIUS アカウンティング パケットから受信したクライアント IP アドレス。

[Client Name]:RADIUS アカウンティング パケットから受信したクライアント名。

[VPN Server IP]:SSO に使用される Cisco VPN SSO 認証サーバの IP アドレス。

[Login Time]:アクティブな VPN セッションが確立された日付と時刻。


) [Show All] をクリックするか、新しい検索を実行すると、ページが最新の SSO テーブルの情報に更新されます。


4. [Active Client] ページのエントリを削除するには、次のいずれかを実行します。

a. [Clear] ボタンをクリックして、SSO テーブルから すべてのアクティブな VPN クライアントをクリアします 。たとえば、VPN サーバのクラッシュにより VPN ユーザのセッションが終了した場合、CAS に RADIUS アカウンティング停止メッセージは送信されず、このユーザは、手動で削除するまでシステム SSO テーブルに残ります。[Active VPN Clients] ページのすべてのエントリを削除すると、新しい SSO テーブルでシステムが再起動されます。

b. 個々のエントリのチェックボックスをオンにし、カラムの最上部にある [Delete] ボタンをクリックして、そのエントリを SSO テーブルから削除します。


) [Clear] ボタンまたは [Delete] ボタンをクリックした場合、システムの現在の SSO クライアント テーブルからユーザが削除されるだけで、[Online Users] リストからは削除されません。



ヒント アクティブな VPN クライアントは、CAS のダイレクト コンソール(https://<CAS_eth0_IP_address>/admin)の [Monitoring] > [Active VPN Clients] ページ(図 6-17)で表示することもできます。


図 6-17 CAS ダイレクト アクセス コンソール:アクティブな VPN クライアントのモニタリング