Cisco ASA 1000V CLI コンフィギュレーション for ASDM モード ASA 1000V 用ソフトウェア バージョン 8.7
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/12/17 | 英語版ドキュメント(2012/12/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

認可および認証用の外部サーバの設定

権限および属性のポリシー実施の概要

外部 LDAP サーバの設定

LDAP 操作のための の構成

LDAP 階層の検索

と LDAP サーバのバインディング

の LDAP コンフィギュレーションの定義

LDAP 認可でサポートされている Cisco 属性

Cisco-AV-Pair 属性の構文

Cisco-AV-Pair の ACL 例

Active Directory/LDAP VPN リモート アクセス認可の例

ユーザベースの属性ポリシーの適用

特定のグループ ポリシーへの LDAP ユーザの配置

AnyConnect トンネルへのスタティック IP アドレスの割り当て

ダイヤルインの許可または拒否アクセスの適用

ログイン時間と Time-of-Day ルールの適用

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

RADIUS Authorization 属性

IETF RADIUS Authorization 属性

外部 TACACS+ サーバの設定

認可および認証用の外部サーバの設定

この付録では、ASA 1000Vで AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するようにASA 1000Vを設定する前に、正しいASA 1000V認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。

この付録では、次の項目について説明します。

「権限および属性のポリシー実施の概要」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限および属性のポリシー実施の概要

ASA 1000Vは、ユーザ認可属性(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ属性を、ASA 1000V のダイナミック アクセス ポリシー(DAP)から、外部認証サーバや認可 AAA サーバ(RADIUS または LDAP)から、ASA 1000V のグループ ポリシーから、またはこれら 3 つのすべてから取得できるように ASA 1000V を設定できます。

ASA 1000V がすべてのソースから属性を受信すると、それらの属性は評価および集約され、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。

ASA 1000V は、次の順序で属性を適用します(図 C-1 を参照)。

1. ASA 1000V の DAP 属性:バージョン 8.0(2) に導入され、これらの属性が最も優先されます。DAP にブックマークまたは URL リストを設定した場合、そのリストはグループ ポリシーに設定されたブックマークまたは URL リストよりも優先されます。

2. AAA サーバのユーザ属性:ユーザ認証または認可が成功すると、AAA サーバはこれらの属性を返します。これらの属性を、ASA 1000Vのローカル AAA データベースの個々のユーザに設定されている属性(ASDM のユーザ アカウント)と混同しないでください。

3. ASA 1000V で設定されたグループ ポリシー:RADIUS サーバがユーザに対して RADIUS CLASS 属性 IETF-Class-25(OU= group-policy )の値を返す場合、ASA 1000V は、ユーザを同じ名前のグループ ポリシーに配置し、サーバから返されないそのグループ ポリシーのすべての属性を適用します。

LDAP サーバでは、任意の属性名を使用してセッションのグループ ポリシーを設定できます。ASA 1000V で設定した LDAP 属性マップは、LDAP 属性を Cisco 属性 IETF-Radius-Class にマッピングします。

4. 接続プロファイル(CLI のトンネル グループと呼ばれる)で割り当てられたグループ ポリシー:接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。ASA 1000V に接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、DAP で不足しているすべての属性、サーバから返されるユーザ属性、またはユーザに割り当てられるグループ ポリシーが提供されます。

5. ASA 1000Vで割り当てられたデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト属性は、DAP、ユーザ属性、グループ ポリシー、または接続プロファイルで不足している値を提供します。

図 C-1 ポリシー実施フロー

 

外部 LDAP サーバの設定

VPN 3000 コンセントレータと ASA/PIX 7.0 ソフトウェアでは、認証作業に Cisco LDAP スキーマが必要でした。バージョン 7.1.x 以降では、ASA 1000V は、ネイティブ LDAP スキーマを使用して認証および認可を行うため、Cisco スキーマは必要とされません。

認可(権限ポリシー)の設定は、LDAP 属性マップを使用して行います。例については、「Active Directory/LDAP VPN リモート アクセス認可の例」を参照してください。

この項では、LDAP サーバの構造、スキーマ、および属性について説明します。次の項目を取り上げます。

「LDAP 操作のための ASA 1000V の構成」

「ASA 1000V の LDAP コンフィギュレーションの定義」

「Active Directory/LDAP VPN リモート アクセス認可の例」

上記のプロセスは、使用する LDAP サーバのタイプによって異なります。


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


LDAP 操作のための ASA 1000V の構成

この項では、LDAP 階層、および ASA 1000V の LDAP サーバへの認証済みバインディング内で検索する方法について説明します。

「LDAP 階層の検索」

「ASA 1000V と LDAP サーバのバインディング」

LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Employee1 を例に考えてみます。Employee1 はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Employee1 を Example Corporation のメンバと想定して、シングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Employee1 は Engineering 部門のメンバであると想定され、この部門は People と呼ばれる組織ユニットのメンバであり、Example Corporation のメンバです。マルチレベルの階層の例については、図 C-2 を参照してください。

マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が、高速で検索結果が戻ります。

図 C-2 マルチレベルの LDAP 階層

 

LDAP 階層の検索

ASA 1000Vでは、LDAP 階層内での検索を調整できます。ASA 1000V に次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合わせて使用することにより、ユーザの権限が含まれている部分だけを検索するように階層の検索を限定できます。

LDAP Base DN は、サーバが ASA 1000V から認可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。

Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前属性には、cn(通常名)、sAMAccountName、および userPrincipalName を含めることができます。

図 C-2 では、Example Corporation 用の LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 C-1 は、2 種類の検索のコンフィギュレーションの例を示します。

最初のコンフィギュレーションの例では、Employee1 が必要な LDAP 認可を得て自身の IPSec トンネル接続を確立すると、ASA 1000V は LDAP サーバに検索要求を送信します。この要求では、サーバが Employee1 を代行して Engineering グループの検索を実行することを指定します。この検索は短時間でできます。

2 番目のコンフィギュレーションの例では、ASA 1000V は、Employee1 を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 C-1 検索コンフィギュレーションの例

No.
LDAP Base DN
検索範囲
名前属性
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Employee1

検索が高速

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Employee1

検索に時間がかかる

ASA 1000V と LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、ASA 1000Vに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。ASA 1000V は、ユーザが検索する前に、ログイン認定者名(DN)とログイン パスワードを使用して、LDAP サーバとの信頼関係(バインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。

バインディング時、ASA 1000Vは、サーバに対する認証を Login DN とログイン パスワードを使用して行います。Microsoft Active Directory の読み取り専用操作(認証、許可、グループ検索など)を行うとき、ASA 1000V では特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理書き込み操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの一部を指定する必要があります。Microsoft Active Directory グループの検索(「MemberOf retrieval」とも呼ばれる)ASA 1000V バージョン 8.0.4 に追加されました。

Login DN の例を次にします。次のエントリがあります。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com

読み取りと書き込み操作に対する特定の Login DN 要件については、LDAP アドミニストレータ ガイドを参照してください。

ASA 1000V は次の機能をサポートします。

暗号化されていないパスワードを使用し、デフォルトポート 389 を使用する簡易 LDAP 認証。デフォルトのポートの代わりに他のポートも使用できます。

デフォルト ポート 636 を使用するセキュアな LDAP(LDAP-S)。デフォルトのポートの代わりに他のポートも使用できます。

Simple Authentication and Security Layer(SASL)MD5

SASL Kerberos

ASA 1000V は匿名認証をサポートしていません。


) LDAP クライアントとして、ASA 1000V は、匿名のバインドまたは要求の送信をサポートしていません。


ASA 1000V の LDAP コンフィギュレーションの定義

この項では、LDAP AV-pair 属性の構文の定義方法について説明します。内容は次のとおりです。

「LDAP 認可でサポートされている Cisco 属性」

「Cisco-AV-Pair 属性の構文」

「Cisco-AV-Pair の ACL 例」


) ASA 1000Vは、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、名前ではなく数値の ID が使用されます。

認可では、権限または属性を使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。

ソフトウェア バージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。ソフトウェア バージョン 7.1 以降では、このプレフィックスは削除されています。


LDAP 認可でサポートされている Cisco 属性

この項では、ASA 5500、VPN 3000 コンセントレータ、および PIX 500 シリーズの ASA 1000V で使用される属性の詳細なリスト( 表 C-2 を参照)を示します。この表には、これらのデバイスを組み合わせたネットワーク構成に役立つ VPN 3000 コンセントレータおよび PIX 500 シリーズの ASA 1000V の属性サポート情報が含まれています。

 

表 C-2 LDAP 認可で ASA 1000V がサポートする Cisco 属性

属性名
VPN 3000
ASA
PIX
構文/タイプ
シングルまたはマルチ値
有効な値

Access-Hours

Y

Y

Y

String

シングル

time-range の名前
(Business-Hours など)

Allow-Network-Extension- Mode

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

Integer

シングル

1 ~ 35791394 分

Authorization-Required

Y

Integer

シングル

0 = しない
1 = する

Authorization-Type

Y

Integer

シングル

0 = なし
1 = RADIUS
2 = LDAP

Banner1

Y

Y

Y

String

シングル

クライアントレス SSL VPN、クライアント SSL VPN、および IPSec クライアントのバナー文字列。

Banner2

Y

Y

Y

String

シングル

クライアントレス SSL VPN、クライアント SSL VPN、および IPSec クライアントのバナー文字列。

Cisco-AV-Pair

Y

Y

Y

String

マルチ

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については「Cisco-AV-Pair 属性の構文」を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

String

シングル

IPSec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

Integer

シングル

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

String

シングル

IP アドレス

DN-Field

Y

Y

Y

String

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name。

Firewall-ACL-In

Y

Y

String

シングル

アクセス リスト ID

Firewall-ACL-Out

Y

Y

String

シングル

アクセス リスト ID

Group-Policy

Y

Y

String

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。

グループ ポリシー名

OU= グループ ポリシー名

OU= グループ ポリシー名:

IE-Proxy-Bypass-Local

ブール

シングル

0=ディセーブル
1=イネーブル

IE-Proxy-Exception-List

String

シングル

DNS ドメインのリスト。エントリは改行文字シーケンス(\n)で区切る必要があります。

IE-Proxy-Method

Y

Y

Y

Integer

シングル

1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = ASA 1000V 設定を使用する

IE-Proxy-Server

Y

Y

Y

Integer

シングル

IP アドレス

IETF-Radius-Class

Y

Y

Y

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、Group-Policy 属性の使用をお勧めします。次の 3 つの形式のいずれかを使用できます。

グループ ポリシー名

OU= グループ ポリシー名

OU= グループ ポリシー名:

IETF-Radius-Filter-Id

Y

Y

Y

String

シングル

ASA 1000Vで定義されたアクセス リスト名。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。

IETF-Radius-Framed-IP-Address

Y

Y

Y

String

シングル

IP アドレス。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

String

シングル

IP アドレス マスク。これらの設定は、VPN リモート アクセス クライアント、IPSec クライアント、および SSL クライアントの設定に適用されます。

IETF-Radius-Idle-Timeout

Y

Y

Y

Integer

シングル

IETF-Radius-Service-Type

Y

Y

Y

Integer

シングル

1 = Login
2 = Framed
5 = リモート アクセス
6 = Administrative
7 = NAS Prompt

IETF-Radius-Session-Timeout

Y

Y

Y

Integer

シングル

IKE-Keep-Alives

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Allow-Passwd-Store

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Authentication

Y

Y
Y
Integer
シングル
0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI(RSA)
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos または Active Directory

IPsec-Auth-On-Rekey

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Backup-Server-List

Y

Y

Y

String

シングル

サーバ アドレス(スペース区切り)

IPsec-Backup-Servers

Y

Y

Y

String

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPsec-Client-Firewall-Filter- Name

Y

String

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPsec-Client-Firewall-Filter- Optional

Y

Y

Y

Integer

シングル

0 = 必須
1 = オプション

IPsec-Default-Domain

Y

Y

Y

String

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPsec-Extended-Auth-On-Rekey

Y

Y

String

シングル

String

IPsec-IKE-Peer-ID-Check

Y

Y

Y

Integer

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPsec-IP-Compression

Y

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Mode-Config

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP-Port

Y

Y

Y

Integer

シングル

4001 ~ 49151、デフォルトは 10000。

IPsec-Required-Client-Firewall-
機能

Y

Y

Y

Integer

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPsec-Sec-Association

Y

String
シングル
セキュリティ アソシエーションの名前

IPsec-Split-DNS-Names

Y

Y

Y

String

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPsec-Split-Tunneling-Policy

Y

Y

Y

Integer

シングル

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPsec-Split-Tunnel-List

Y

Y

Y

String

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPsec-Tunnel-Type

Y

Y

Y

Integer

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPsec-User-Group-Lock

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

Integer

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

String

シングル

IP アドレス

PFS-Required

Y

Y

Y

ブール

シングル

0 = しない
1 = する

Port-Forwarding-Name

Y

Y

String

シングル

名前の文字列(「Corporate-Apps」など)

PPTP-Encryption

Y

Integer

シングル

ビットマップ:

1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
String
シングル
IP アドレス

Primary-WINS

Y
Y
Y
String
シングル
IP アドレス

Privilege-Level

Integer

シングル

ユーザ名の場合、0~15

Required-Client- Firewall-Vendor-Code

Y

Y

Y

Integer

シングル

1 = シスコ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

String

シングル

--

Required-Client-Firewall- Product-Code

Y

Y

Y

Integer

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
String
シングル
IP アドレス

Secondary-WINS

Y
Y
Y
String
シングル
IP アドレス

SEP-Card-Assignment

Integer
シングル
未使用

Simultaneous-Logins

Y
Y
Y
Integer
シングル
0 ~2147483647

Strip-Realm

Y

Y

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

シングル

--

TACACS-Privilege-Level

Y

Y

Y

整数

シングル

--

Tunnel-Group-Lock

Y

Y

String

シングル

トンネル グループの名前または「none」

Tunneling-Protocols

Y

Y

Y

Integer
シングル

1 = PPTP
2 = L2TP
4 = IPSec(IKEv1)
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec(IKEv2)
8 および 4 は相互排他値
(0~11、16~27、32~43、48~59 は有効値)。

Use-Client-Address

Y

ブール

シングル

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

String

シングル

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

Integer

シングル

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

String

シングル

サーバのパスワード

WebVPN-ACL-Filters

Y

String

シングル

Webtype アクセス リスト名

WebVPN-Apply-ACL-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、この属性は必要とされません。

WebVPN-Citrix-Support-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、この属性は必要とされません。

WebVPN-Enable-functions

Integer

シングル

使用しない(廃止)

WebVPN-Exchange-Server- Address

String

シングル

使用しない(廃止)

WebVPN-Exchange-Server- NETBIOS-Name

String

シングル

使用しない(廃止)

WebVPN-File-Access-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-
Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

String

シングル

ポート転送リスト名

WebVPN-Homepage

Y

Y

String

シングル

URL(http://www.example.com など)

WebVPN-Macro-Substitution-
Value1

Y

Y

String

シングル

例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Substitution-
Value2

Y

Y

String

シングル

例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

String

シングル

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

Integer

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

Integer

シングル

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

Integer

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Keepalive

Y

Y

Integer

シングル

0 = ディセーブル
n = キープアライブ値(15 ~ 600 秒)

WebVPN-SVC-Keep-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

Integer

シングル

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

Integer

シングル

0 = ディセーブル
n = 分単位の再試行間隔
(4 ~10080 分)

WebVPN-SVC-Required-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

String

シングル

URL リスト名

Cisco-AV-Pair 属性の構文

Cisco Attribute Value(AV)ペア(ID 番号 26/9/1)を使用して、(Cisco ACS のような)RADIUS サーバから、または LDAP 属性マップ経由で LDAP サーバから、アクセス リストを適用できます。

Cisco-AV-Pair ルールの構文は次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 C-3 で構文のルールについて説明します。

 

表 C-3 AV-Pair 属性の構文ルール

フィールド
説明

Action

deny、permit など、ルールが一致した場合に実行するアクション。

Destination

パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード any で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

Prefix

AV ペアの固有識別子(例:ip:inacl#1=(標準アクセス リスト用)または webvpn:inacl#(クライアントレス SSL VPN アクセス リスト用))。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp igmp ip tcp udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード any で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。ASA 1000V がソースまたはプロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。ASA 1000V がソースまたはプロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Cisco-AV-Pair の ACL 例

表 C-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。


) inacl# の各 ACL # は固有である必要があります。ただし、これらはシーケンシャル(たとえば、1、2、3、4)である必要はありません。つまり、5、45、135 のように設定できます。


 

表 C-4 Cisco-AV-Pair の例とアクションの許可または拒否

Cisco-AV-Pair の例
アクションの許可または拒否
ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log

フルトンネル IPsec または SSL VPN クライアントを使用した、2 つのホスト間の IP トラフィックを許可します。

ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log

フルトンネル IPsec または SSL VPN クライアントのみを使用した、すべてのホストからポート 80 の特定のホストへの TCP トラフィックを許可します。

webvpn:inacl#1=permit url http://www.example.com
webvpn:inacl#2=deny url smtp://server
webvpn:inacl#3=permit url cifs://server/share

指定 URL へのクライアントレス SSL VPN トラフィックを許可し、特定サーバへの SMTP トラフィックを拒否し、指定サーバへのファイル共有アクセス(CIFS)を許可します。

webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log
webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log

非デフォルト ポートの 2323 で Telnet アクセスを拒否し、非デフォルト ポートの 2222 で SSH アクセスを許可します。そうしない場合は、その他のアプリケーション トラフィックが、クライアントレス SSL VPN でそれらのポートを使用して流れます。

webvpn:inacl#1=permit url ssh://10.86.1.2
webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log
webvpn:inacl#48=deny url telnet://10.86.1.2
webvpn:inacl#100=deny tcp 10.86.1.6 eq 23

デフォルト ポート 22 へのクライアントレス SSL VPN SSH アクセスを許可し、ポート 23 への Telnet アクセスを拒否します。この例では、これらの ACL で実施される Telnet または SSH Java プラグインを使用していることを前提としています。

ACL でサポートされている URL タイプ

サーバのワイルド カード、またはポートが含まれる部分的な URL です。

次の URL タイプがサポートされています。

すべての URL

https://

post://

ssh://

cifs://

ica://

rdp://

telnet://

citrix://

imap4://

rdp2://

vnc://

citrixs://

ftp://

smart-tunnel://

http://

pop3://

smtp://


) この表に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうかにより、CLI または ASDM のメニューに表示されます。


Cisco-AV-Pair(ACL)使用のガイドライン

リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。

SSL VPN クライアントレス(ブラウザモード)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。

Webtype ACL では ASA 1000V がソースとなるため、ソースを指定しないでください。

表 C-5 に、Cisco-AV-Pair 属性のトークンの一覧を示します。

 

表 C-5 ASA 1000Vがサポートするトークン

トークン
構文のフィールド
説明

ip:inacl# Num =

該当なし(識別子)

Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始します。リモート IPSec トンネルと SSL VPN(SVC)トンネルにアクセス リストを適用します。

webvpn:inacl# Num =

該当なし(識別子)

Num は固有の整数)。クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルにアクセス リストを適用します。

deny

Action

アクションを拒否します。(デフォルト)

permit

Action

アクションを許可します。

icmp

Protocol

インターネット制御メッセージ プロトコル(ICMP)

1

Protocol

インターネット制御メッセージ プロトコル(ICMP)

IP

Protocol

インターネット プロトコル(IP)

0

Protocol

インターネット プロトコル(IP)

TCP

Protocol

伝送制御プロトコル(TCP)

6

Protocol

伝送制御プロトコル(TCP)

UDP

Protocol

ユーザ データグラム プロトコル(UDP)

17

Protocol

ユーザ データグラム プロトコル(UDP)

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字文字列。

log

Log

イベントが発生すると、フィルタ ログ メッセージが表示されます。(permit and log または deny and log の場合と同様)。

lt

Operator

値より小さい

gt

Operator

値より大きい

eq

Operator

値と等しい

neq

Operator

値と等しくない

range

Operator

この範囲に含まれる。range の後に 2 つの値を続けます。

Active Directory/LDAP VPN リモート アクセス認可の例

この項では、Microsoft Active Directory サーバを使用しているASA 1000Vで認証および認可を設定するための手順の例を示します。説明する項目は次のとおりです。

「ユーザベースの属性ポリシーの適用」

「特定のグループ ポリシーへの LDAP ユーザの配置」

「AnyConnect トンネルへのスタティック IP アドレスの割り当て」

「ダイヤルインの許可または拒否アクセスの適用」

「ログイン時間と Time-of-Day ルールの適用」

その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。

『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』

(http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml)

ユーザベースの属性ポリシーの適用

すべての標準 LDAP 属性は、予約済みのベンダー固有属性(VSA)にマッピングできます。同様に、1 つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマッピングできます。

次の例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように ASA 1000V を設定します。サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドでは、physicalDeliveryOfficeName という名前の属性を使用します。ASA 1000V で、physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングする属性マップを作成します。認証の間に、ASA 1000Vはサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco 属性 Banner1 にマッピングしてユーザにバナーを表示します。

この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介して接続します。

AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。


ステップ 1 ユーザを右クリックします。

[Properties] ダイアログボックスが表示されます(図 C-3 を参照)。

ステップ 2 [General] タブをクリックして、[Office] フィールドにバナー テキストを入力します。このフィールドは、AD/LDAP 属性 physicalDeliveryOfficeName を使用します。

図 C-3 LDAP User Configuration

 

ステップ 3 ASA 1000V に、LDAP 属性マップを作成します。

Banner マップを作成し、AD/LDAP 属性である physicalDeliveryOfficeName を Cisco 属性である Banner1 にマッピングする例を次に示します。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 3 で作成した属性マップ Banner を関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 5 バナーの適用をテストします。

クライアントレス SSL 接続と、ユーザ認証後に属性マップ経由で適用されたバナーを次の例に示します(図 C-4 を参照)。

図 C-4 表示されたバナー

 

特定のグループ ポリシーへの LDAP ユーザの配置

次の例では、AD の LDAP サーバの User1 を、ASA 1000V の特定のグループ ポリシーに対して認証します。サーバで、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次に、属性マップを作成し、[Department] を Cisco 属性である IETF-Radius-Class にマッピングします。認証の間に、ASA 1000Vはサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループ ポリシーに配置します。

この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介して接続します。

AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。


ステップ 1 ユーザを右クリックします。

[Properties] ダイアログボックスが表示されます(図 C-5 を参照)。

ステップ 2 [Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。

図 C-5 AD の LDAP の [Department] 属性

 

ステップ 3 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを定義します。

次に、シスコ属性 IETF-Radius-Class に AD 属性である Department をマッピングする例を示します。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 3 で作成した group_policy 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 5 ASA 1000V で新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー属性を設定します。この例では、サーバの [Department] フィールドに入力された Group-policy-1 を作成しました。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 6 ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からの属性(およびデフォルト group-policy からの適用可能なすべての属性)を継承していることを確認します。

ステップ 7 特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、ASA 1000Vとサーバ間の通信をモニタすることができます。次は、このコマンドの出力例であり、キー メッセージを提供するために編集されています。

[29] Authentication successful for user1 to 10.1.1.2
[29] Retrieving user attributes from server 10.1.1.2
[29] Retrieved Attributes:
[29] department: value = Group-Policy-1
[29] mapped to IETF-Radius-Class: value = Group-Policy-1
 


 

AnyConnect トンネルへのスタティック IP アドレスの割り当て

この例では、AnyConnect クライアント ユーザ Web1 がスタティック IP アドレスを受信するように設定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドでは、msRADIUSFramedIPAddress 属性を使用します。この属性を Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングする属性マップを作成します。

認証の間に、ASA 1000V はサーバから msRADIUSFramedIPAddress の値を取得し、その値を Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティック アドレスを提供します。

この例は、IPSec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x および SSL VPN クライアント)などのフルトンネル クライアントに適用されます。

AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。


ステップ 1 ユーザ名を右クリックします。

[Properties] ダイアログボックスが表示されます(図 C-6 を参照)。

ステップ 2 [Dialin] タブをクリックして [Assign Static IP Address] チェックボックスをオンにし、IP アドレス 10.1.1.2 を入力します。

図 C-6 スタティック IP アドレスの割り当て

 

ステップ 3 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを作成します。

この例では、[Static Address] フィールドで使用された AD 属性である msRADIUSFramedIPAddress を、Cisco 属性である IETF-Radius-Framed-IP-Address にマッピングします。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 3 で作成した static_address 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 5 vpn-address-assigment コマンドが AAA を指定するように設定されているかどうかを、 show run all vpn-addr-assign コマンドでコンフィギュレーションのこの部分を表示して確認します。

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa << Make sure this is configured >>
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#
 

ステップ 6 ASA 1000Vと AnyConnect クライアントとの接続を確立します。次のことを確認します。

バナーがクライアントレス接続と同じシーケンスで受信されている(図 C-7 を参照)。

ユーザが、サーバで設定され、ASA 1000Vにマッピングされた IP アドレスを受信している(図 C-8 を参照)。

図 C-7 AnyConnect セッションのバナーの確認

 

図 C-8 確立された AnyConnect セッション

 

 

ステップ 7 show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアドレスを確認できます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 10.1.1.2 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : Group1_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 


 

ダイヤルインの許可または拒否アクセスの適用

この例では、ユーザが許可するトンネリング プロトコルを指定する LDAP 属性マップを作成します。[Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco 属性である Tunneling-Protocol にマッピングします。Cisco Tunneling-Protocol 属性は、 表 C-6 に示されるビットマップ値をサポートします。

 

表 C-6 Cisco Tunneling-Protocol 属性のビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPsec(IKEv1)

82

L2TP/IPsec

16

クライアントレス SSL

32

SSL クライアント:AnyConnect または SSL VPN クライアント

64

IPsec(IKEv2)

1.IPSec と L2TP over IPSec は同時にサポートされません。そのため、値 4 と 8 は相互排他値となります。

2.注 1 を参照してください。

この属性を使用して、プロトコルの [Allow Access](TRUE)または [Deny Access](FALSE)の条件を作成し、ユーザがアクセスを許可される方法を適用します。

この簡単な例では、tunnel-protocol である IPsec/IKEv1(4)をマッピングすることで、Cisco VPN クライアントの許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48(16+32)としてマッピングし、拒否(false)条件を作成します。これにより、ユーザは IPSec を使用して ASA 1000V に接続できますが、クライアントレス SSL または AnyConnect クライアントを使用すると、接続は拒否されます。

ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テクニカル ノートを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。


ステップ 1 ユーザを右クリックします。

[Properties] ダイアログボックスが表示されます。

ステップ 2 [Dial-in] タブをクリックし、[Allow Access] オプション ボタンをクリックします(図 C-9)。

図 C-9 AD/LDAP user1 の [Allow access]

 


) [Control access through the Remote Access Policy] オプションを選択した場合、値はサーバから返されず、適用される権限は、ASA 1000V の内部グループ ポリシー設定に基づきます。


ステップ 3 IPSec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否する属性マップを作成します。

この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD 属性 msNPAllowDialin を map-name コマンドを使用して Cisco 属性 Tunneling-Protocols にマッピングし、マップ値を map-value コマンドで追加します。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した tunneling_protocols 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 5 属性マップが設定したとおりに動作することを確認します。

ステップ 6 クライアント レス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試みます。クライアントレス SSL と AnyConnect の接続に失敗し、ユーザには、接続の失敗原因が許可されていない接続メカニズムにあることが通知されます。IPsec クライアントの接続は成功します。これは、属性マップに従って IPsec にトンネリング プロトコルが許可されているためです(図 C-10 および図 C-11 を参照)。

図 C-10 クライアントレス ユーザへのログイン拒否メッセージ

 

図 C-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ

 

ログイン時間と Time-of-Day ルールの適用

この例では、クライアントレス SSL ユーザ(ビジネス パートナー等)がネットワークへアクセスできる時間を設定して適用します。

この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィールドは、physicalDeliveryOfficeName 属性を使用します。次に、ASA 1000V で属性マップを作成し、その属性を Cisco 属性である Access-Hours にマッピングします。認証の間に、ASA 1000V はサーバから physicalDeliveryOfficeName の値を取得し、それを Access-Hours にマッピングします。

AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。


ステップ 1 ユーザを選択し、[Properties] を右クリックします。

[Properties] ダイアログボックスが表示されます(図 C-12 を参照)。

ステップ 2 [General] タブをクリックします。

図 C-12 [Active Directory Properties] ダイアログボックス

 

ステップ 3 属性マップを作成します。

この例では、access_hours 属性マップを作成し、[Office] フィールドで使用される AD 属性 physicalDeliveryOfficeName を、Cisco 属性 Access-Hours にマッピングします。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 3 で作成した access_hours 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 5 各値にサーバで許可された時間範囲を設定します。

次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00
 


 

外部 RADIUS サーバの設定

この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。説明する項目は次のとおりです。

「RADIUS 設定手順の確認」

「ASA 1000VRADIUS Authorization 属性」

「ASA 1000V IETF RADIUS Authorization 属性」

RADIUS 設定手順の確認

この項では、ASA 1000V のユーザ認証および認可をサポートするために必要な RADIUS 設定手順について説明します。

RADIUS サーバを ASA 1000V と相互運用するように設定するには、次の手順を実行します。


ステップ 1 ASA 1000Vの属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがって、この手順をスキップできます。

FUNK RADIUS サーバを使用している場合:シスコは、ASA 1000Vの属性がすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、Cisco.com の Cisco Download Software Center または ASA 1000V の CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):ASA 1000V の各属性を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。ASA 1000V の RADIUS 認可属性および値のリストについては、 表 C-7 を参照してください。

ステップ 2 権限および属性を持つユーザまたはグループをセットアップし、IPSec または SSL トンネルの確立時に送信します。


 

ASA 1000VRADIUS Authorization 属性

認可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。これらの属性のベンダー ID は 3076 です。

表 C-7 に、ユーザ認可に使用でき、ASA 1000V がサポートしている使用可能な RADIUS 属性の一覧を示します。


) RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。ASA 1000V アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を使用します。LDAP 属性は、ID ではなく属性名で使用します。

表 C-7 に示された属性は、属性番号 146、150、151 および 152 を除いて、RADIUS サーバから ASA 1000V に送信された送信されるダウン ストリーム属性です。これらの属性番号は、ASA 1000V から RADIUS サーバに送信されるアップストリームの属性です。RADIUS 属性 146 および 150 は、認証要求および認可要求のために ASA から RADIUS サーバに送信されます。前に示された 4 つの属性は、すべて、アカウンティング開始、暫定アップデートおよび停止要求のために ASA から RADIUS サーバに送信されます。アップストリーム RADIUS 属性である 146、150、151、および 152 は、ASA バージョン 8.4.3 で導入されました。


 

表 C-7 ASA 1000V でサポートされる RADIUS 属性と値

属性名
VPN 3000
ASA
PIX
属性 No.
構文/タイプ
シングルまたはマルチ
説明または値

Access-Hours

Y

Y

Y

1

String

シングル

時間範囲の名前(Business-hours など)

Simultaneous-Logins

Y

Y

Y

2

Integer

シングル

0 ~2147483647

Primary-DNS

Y

Y

Y

5

String

シングル

IP アドレス

Secondary-DNS

Y

Y

Y

6

String

シングル

IP アドレス

Primary-WINS

Y

Y

Y

7

String

シングル

IP アドレス

Secondary-WINS

Y

Y

Y

8

String

シングル

IP アドレス

SEP-Card-Assignment

9

Integer

シングル

未使用

Tunneling-Protocols

Y

Y

Y

11

Integer

シングル

1 = PPTP
2 = L2TP
4 = IPSec(IKEv1)
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec(IKEv2)
8 および 4 は相互排他値
(0~11、16~27、32~43、48~59 は有効値)。

IPsec-Sec-Association

Y

12

String

シングル

セキュリティ アソシエーションの名前

IPsec-Authentication

Y

13

Integer

シングル

0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

String

シングル

Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)の場合に表示されるバナー文字列

IPsec-Allow-Passwd-Store

Y

Y

Y

16

ブール

シングル

0 = ディセーブル
1 = イネーブル

Use-Client-Address

Y

17

ブール

シングル

0 = ディセーブル
1 = イネーブル

PPTP-Encryption

Y

20

Integer

シングル

ビットマップ:
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

Integer

シングル

ビットマップ:
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

Group-Policy

Y

Y

25

String

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。

グループ ポリシー名

OU= グループ ポリシー名

OU= グループ ポリシー名 ;

IPsec-Split-Tunnel-List

Y

Y

Y

27

String

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPsec-Default-Domain

Y

Y

Y

28

String

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPsec-Split-DNS-Names

Y

Y

Y

29

String

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPsec-Tunnel-Type

Y

Y

Y

30

Integer

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPsec-Mode-Config

Y

Y

Y

31

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-User-Group-Lock

Y

33

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP

Y

Y

Y

34

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP-Port

Y

Y

Y

35

Integer

シングル

4001 ~49151。デフォルトは 10000 です。

Banner2

Y

Y

Y

36

String

シングル

Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)の場合に表示されるバナー文字列。Banner2 文字列は、Banner1 文字列に連結されます(設定されている場合)。

PPTP-MPPC-Compression

Y

37

Integer

シングル

0 = ディセーブル
1 = イネーブル

L2TP-MPPC-Compression

Y

38

Integer

シングル

0 = ディセーブル
1 = イネーブル

IPsec-IP-Compression

Y

Y

Y

39

Integer

シングル

0 = ディセーブル
1 = イネーブル

IPsec-IKE-Peer-ID-Check

Y

Y

Y

40

Integer

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブール

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Auth-On-Rekey

Y

Y

Y

42

ブール

シングル

0 = ディセーブル
1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

Integer

シングル

1 = シスコ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

Integer

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:
1 = BlackIce Defender/Agent

Sygate 製品:
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

String

シングル

String

Require-HW-Client-Auth

Y

Y

Y

48

ブール

シングル

0 = ディセーブル
1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

Integer

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

Integer

シングル

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

Integer

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Split-Tunneling-Policy

Y

Y

Y

55

Integer

シングル

0 = スプリット トンネリングなし
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPsec-Required-Client-Firewall-Capability

Y

Y

Y

56

Integer

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPsec-Client-Firewall-Filter-Name

Y

57

String

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPsec-Client-Firewall-Filter-Optional

Y

Y

Y

58

Integer

シングル

0 = 必須
1 = オプション

IPsec-Backup-Servers

Y

Y

Y

59

String

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPsec-Backup-Server-List

Y

Y

Y

60

String

シングル

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y

Y

Y

61

String

シングル

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブール

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブール

シングル

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブール

シングル

0 = ディセーブル
1 = イネーブル

Authorization-Type

Y

Y

Y

65

Integer

シングル

0 = なし
1 = RADIUS
2 = LDAP

Authorization-Required

Y

66

Integer

シングル

0 = しない
1 = する

Authorization-DN-Field

Y

Y

Y

67

String

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

Integer

シングル

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

Integer

シングル

1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

String

シングル

URL リスト名

WebVPN-Port-Forward-List

Y

72

String

シングル

ポート転送リスト名

WebVPN-Access-List

Y

73

String

シングル

アクセス リスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Homepage

Y

Y

76

String

シングル

URL(http://example-example.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

String

シングル

IPsec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

String

シングル

名前の文字列(「Corporate-Apps」など)。

このテキストでクライアントレス ポータル ホームページのデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

String

シングル

IP アドレス

IE-Proxy-Server-Policy

Y

81

Integer

シングル

1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

String

シングル

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

Integer

シングル

0 = なし
1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

Integer

シングル

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

String

シングル

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

String

シングル

アクセス リスト ID

Access-List-Outbound

Y

Y

87

String

シングル

アクセス リスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブール

シングル

0 = しない
1 = する

NAC-Enable

Y

89

Integer

シングル

0 = しない
1 = する

NAC-Status-Query-Timer

Y

90

Integer

シングル

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

Integer

シングル

300 ~ 86400 秒

NAC-Default-ACL

Y

92

String

アクセス リスト

WebVPN-URL-Entry-Enable

Y

Y

93

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

Integer

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

Integer

シングル

0 = ディセーブル
1 = イネーブル

SVC-Keepalive

Y

Y

107

Integer

シングル

0 = オフ
15 ~ 600 秒

SVC-DPD-Interval-Client

Y

Y

108

Integer

シングル

0 = オフ
5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

Y

109

Integer

シングル

0 = オフ
5 ~ 3600 秒

SVC-Rekey-Time

Y

110

Integer

シングル

0 = ディセーブル
1 ~ 10080 分

WebVPN-Deny-Message

Y

116

String

シングル

有効な文字列(500 文字以内)

Extended-Authentication-On-Rekey

Y

Y

122

Integer

シングル

0 = ディセーブル
1 = イネーブル

SVC-DTLS

Y

123

Integer

シングル

0 = False
1 = True

SVC-MTU

Y

125

Integer

シングル

MTU 値
256 ~ 1406 バイト

SVC-Modules

Y

127

String

シングル

文字列(モジュールの名前)

SVC-Profiles

Y

128

String

シングル

文字列(プロファイルの名前)

SVC-Ask

Y

131

String

シングル

0 = ディセーブル
1 = イネーブル
3 = デフォルト サービスをイネーブルにする
5 = デフォルト クライアントレスをイネーブルにする
(2 と 4 は使用しない)

SVC-Ask-Timeout

Y

132

Integer

シングル

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

String

シングル

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブール

シングル

0 = ディセーブル
1 = イネーブル

Smart-Tunnel

Y

136

String

シングル

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

Integer

シングル

0 = ディセーブル
Otherwise = イネーブル

Smart-Tunnel-Auto

Y

138

Integer

シングル

0 = ディセーブル
1 = イネーブル
2 =自動スタート

Smart-Tunnel-Auto-Signon-Enable

Y

139

String

シングル

ドメイン名が付加された Smart Tunnel Auto Signon リストの名前

VLAN

Y

140

Integer

シングル

0 ~4094

NAC-Settings

Y

141

String

シングル

NAC ポリシーの名前

Member-Of

Y

Y

145

String

シングル

カンマ区切りの文字列。例:

Engineering, Sales
 

ダイナミック アクセス ポリシーで使用できる管理属性。グループ ポリシーは設定されません。

Tunnel Group Name

Y

Y

146

String

シングル

1~253 文字

Client Type

Y

Y

150

Integer

シングル

1 = Cisco VPN Client(IKEv1)
2 = AnyConnect Client SSL VPN
3 = クライアントレス SSL VPN
4 = Cut-Through-Proxy
5 = L2TP/IPsec SSL VPN
6 = AnyConnect Client IPSec VPN(IKEv2)

Session Type

Y

Y

151

Integer

シングル

0 = なし
1 = AnyConnect Client SSL VPN
2 = AnyConnect Client IPSec VPN(IKEv2)
3 = クライアントレス SSL VPN
4 = クライアントレス電子メール プロキシ
5 = Cisco VPN Client(IKEv1)
6 = IKEv1 LAN-LAN
7 = IKEv2 LAN-LAN
8 = VPN ロード バランシング

Session Subtype

Y

Y

152

Integer

シングル

0 = なし
1 = クライアントレス
2 = クライアント
3 = クライアントのみ

サブセッション タイプは、セッション タイプ(151)属性が 1、2、3、4 のいずれかである場合にだけ適用されます。

Address-Pools

Y

Y

217

String

シングル

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

String

シングル

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

String

シングル

ACL 値

Privilege-Level

Y

Y

220

Integer

シングル

0 ~ 15 の整数。

WebVPN-Macro-Value1

Y

223

String

シングル

無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Value2

Y

224

String

シングル

無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

ASA 1000V IETF RADIUS Authorization 属性

表 C-8 に、サポートされている IETF RADIUS 属性を示します。

表 C-8 ASA 1000V でサポートされる RADIUS 属性と値

属性名
VPN 3000
ASA
PIX
属性 No.
構文/タイプ
シングルまたはマルチ
説明または値

IETF-Radius-Class

Y

Y

Y

25

シングル

バージョン 8.2.x 以降では、 表 C-7 に記載された Group-Policy 属性(VSA 3076, #25)の使用をお勧めします。

グループ ポリシー名

OU= グループ ポリシー名

OU= グループ ポリシー名

IETF-Radius-Filter-Id

Y

Y

Y

11

String

シングル

フルトンネルの IPsec クライアントと SSL VPN クライアントのみに適用される、ASA 1000V で定義されたアクセス リスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

n/a

String

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

n/a

String

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

28

Integer

シングル

IETF-Radius-Service-Type

Y

Y

Y

6

Integer

シングル

秒。使用可能なサービス タイプの値:
.Administrative:ユーザは configure プロンプトへのアクセスを許可されています。

.NAS-Prompt:ユーザは exec プロンプトへのアクセスを許可されています。

.remote-access:ユーザはネットワーク アクセスを許可されています。

IETF-Radius-Session-Timeout

Y

Y

Y

27

Integer

シングル

外部 TACACS+ サーバの設定

ASA 1000V は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。


) TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。


表 C-9 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 認可応答属性の一覧を示します。 表 C-10 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。

 

表 C-9 サポートされる TACACS+ 認可応答属性

属性
説明

acl

接続に適用する、ローカルで設定済みのアクセス リストを識別します。

idletime

認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。

timeout

認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。

.

表 C-10 サポートされる TACACS+ アカウンティング属性

属性
説明

bytes_in

この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。

cmd

実行するコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

切断理由を特定する数字コードを示します(ストップ レコードのみ)。

elapsed_time

接続の経過時間(秒)を定義します(ストップ レコードのみ)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

local_ip

トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求に対するユーザの権限レベル、または 1 に設定されます。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェル」に設定されます。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。