Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 7.2
extsvr.fm
許可および認証用の外部サーバの設定
発行日;2013/09/05 | 英語版ドキュメント(2011/04/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

許可および認証用の外部サーバの設定

LDAP、RADIUS、またはローカル認証および許可の選択

権限および属性のポリシー実施の概要

外部 LDAP サーバの設定

LDAP ディレクトリ構造および設定手順の確認

セキュリティ アプライアンス LDAP スキーマの構成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

セキュリティ アプライアンスの LDAP スキーマの定義

Cisco-AV-Pair 属性の構文

セキュリティ アプライアンス許可スキーマの例

LDAP サーバへのスキーマのロード

ユーザ権限の定義

ユーザ ファイルの例

Active Directory の設定例の確認

例 1:Microsoft Active Directory(ASA/PIX)を使用する LDAP 認証の設定

例 2:Microsoft Active Directory を使用する LDAP 認証の設定

例 3:Microsoft Active Directory を使用した LDAP 認証と LDAP 許可

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 許可属性

セキュリティ アプライアンス TACACS+ 属性

許可および認証用の外部サーバの設定

この付録では、セキュリティ アプライアンス、VPN3000 や PIX ユーザの認証および許可をサポートする外部 LDAP または RADIUS サーバを設定する方法について説明します。認証により、ユーザが誰かが決まり、許可によりユーザが何を実行できるかが決まります。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、正しいセキュリティ アプライアンス認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。

この付録は、次の項で構成されています。

LDAP、RADIUS、またはローカル認証および許可の選択

権限および属性のポリシー実施の概要

外部 LDAP サーバの設定

外部 RADIUS サーバの設定

LDAP、RADIUS、またはローカル認証および許可の選択

いずれの認証または許可の方式がプラットフォームに適切であるかの判断を助けるために、この項では、セキュリティ アプライアンス(ASA)、PIX および VPN 3000 プラットフォームで提供されている LDAP および RADIUS のサポートについて説明します。

LDAP 認証

PIX 7.1.x およびセキュリティ アプライアンスのみでサポートされます。VPN 3000 は、ネイティブ LDAP 認証をサポートしません。LDAP サーバは、ユーザ名の取得と検索、および許可機能の一部として定義された属性を適用します。

LDAP 許可

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされます。LDAP サーバはユーザ名を取得/検索し、定義された属性を適用します。

RADIUS 認証

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされます。RADIUS サーバはユーザ名を取得/検索し、許可機能を実行するときに定義された属性を適用します。

RADIUS 許可

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされます。RADIUS サーバはユーザ名を取得/検索し、定義された属性を適用します。

ローカル認証

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされます。ローカル/内部サーバでは、ユーザ名の取得と検索、および許可機能の一部として定義された属性を適用します。

ローカルの許可

PIX 7.1.x およびセキュリティ アプライアンスのみでサポートされます。ローカル/内部サーバはユーザ名を取得/検索し、定義された属性を適用します。

権限および属性のポリシー実施の概要

セキュリティ アプライアンスがローカル/内部データベース、RADIUS/LDAP 認証サーバ、または RADIUS/LDAP 許可サーバのいずれからユーザ属性を受信するかを設定できます。ユーザを異なる属性を持つグループ ポリシーに配置できますが、ユーザ属性が常に優先されます。デバイスがユーザと 1 つまたは複数のグループを認証した後で、セキュリティ アプライアンスはユーザとグループ属性のセットを組み合わせて 1 つの集約属性セットにします。セキュリティ アプライアンスは、次の順で属性を使用して、認証されたユーザに集約属性を適用します。

1. ユーザ属性:サーバは、ユーザ認証またはユーザ許可の成功後にこれらの属性を返します。これらは他のすべてに優先されます。

2. グループ ポリシー属性:これらの属性は、ユーザに関連付けられたグループ ポリシーから取得されます。ローカル データベース内のユーザ グループ ポリシー名は、vpn-group-policy 属性で識別されるか、または外部 RADIUS/LDAP サーバからのユーザ グループ ポリシー名は OU=GroupName 形式の RADIUS CLASS 属性(25)の値で識別されます。グループ ポリシーにより、ユーザ属性から欠落しているすべての属性が提供されます。両方に値がある場合、ユーザ属性がグループ ポリシー属性を上書きします。

3. トンネル グループのデフォルト グループ ポリシー属性:これらの属性は、トンネル グループに関連付けられたデフォルト グループ ポリシー(Base グループ)から取得されます。そのグループ ポリシーのルックアップ後、トンネル グループのデフォルト グループ ポリシーは、ユーザまたはグループ ポリシー属性から欠落している属性を提供します。両方に値がある場合、ユーザ属性がグループ ポリシー属性を上書きします。

4. システム デフォルト属性:システム デフォルト属性は、ユーザ、グループ、またはトンネル グループ属性から欠落している属性を提供します。

外部 LDAP サーバの設定


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


この項では、LDAP サーバの構造、スキーマ、および属性について説明します。説明する項目は次のとおりです。

LDAP ディレクトリ構造および設定手順の確認

セキュリティ アプライアンス LDAP スキーマの構成

セキュリティ アプライアンスの LDAP スキーマの定義

LDAP サーバへのスキーマのロード

ユーザ権限の定義

Active Directory の設定例の確認

LDAP ディレクトリ構造および設定手順の確認

LDAP サーバが、ディレクトリ内のエントリとして情報を保存します。LDAP スキーマでは、このようなエントリが保存する情報のタイプを定義します。スキーマは、クラスと各クラスのオブジェクトに含められる(必須および任意)属性のセットをリストします。

LDAP サーバがセキュリティ アプライアンスと相互運用するように設定するには、セキュリティ アプライアンス許可スキーマを定義します。セキュリティ アプライアンス許可スキーマは、セキュリティ アプライアンスがサポートするクラスとクラスの属性を定義します。具体的には、これはオブジェクト クラス(cVPN3000-User-Authorization)とセキュリティ アプライアンスのユーザ許可に使用される可能性があるそのすべての属性(アクセス時刻、プライマリ DNS など)で構成されます。各属性は、属性の名前、番号(オブジェクト ID または OID と呼ばれる)、タイプおよび可能な値で構成されます。

セキュリティ アプライアンスの許可スキーマを定義して、サーバにロードした後で、サーバに許可する各ユーザのセキュリティ アプライアンス属性と権限、およびそれぞれの値を定義します。

つまり、LDAP サーバをセット アップするには次を実行します。

組織の階層構成に基づいて LDAP セキュリティ アプライアンス許可スキーマを設計する

セキュリティ アプライアンス許可スキーマを定義する

LDAP サーバにスキーマをロードする

LDAP サーバの各ユーザの権限を定義する

上記のプロセスは、使用する LDAP サーバのタイプによって異なります。

セキュリティ アプライアンス LDAP スキーマの構成

実際にスキーマを作成する前に、組織の構成について検討します。LDAP スキーマは、組織の論理階層が反映されたものにする必要があります。

たとえば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry は Engineering グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 E-1 を参照してください。

マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図 E-1 マルチレベルの LDAP 階層

 

階層の検索

セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合わせて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN は、サーバがセキュリティ アプライアンスから許可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。

Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute では、LDAP サーバのエントリを一意に識別する相対識別名(RDN)を定義します。共通のネーミング属性は、cn(一般名)と ui(ユーザ ID)です。

図 E-1 では、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 E-1 は、使用可能な 2 種類の検索のコンフィギュレーションを示します。

最初のコンフィギュレーションの例では、Terry が必要な LDAP 許可を得て自身の IPSec トンネル接続を確立すると、セキュリティ アプライアンスは LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検索は短時間でできます。

2 番目のコンフィギュレーションの例では、セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 E-1 検索コンフィギュレーションの例

#
LDAP Base DN
検索範囲
名前属性
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索が高速

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。Login DN フィールドでは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理特権を持つユーザの特性に対応している必要があります。たとえば、Login DN フィールドを cn=Administrator、cn=users、ou=people、dc=example、dc=com のように定義できます。

セキュリティ アプライアンスの LDAP スキーマの定義

LDAP 階層のユーザ情報を構成する方法を定義した後で、スキーマにこの構成を決定します。スキーマを定義するには、オブジェクト クラス名の定義から始めます。セキュリティ アプライアンス ディレクトリのクラス名は、cVPN3000-User-Authorization です。クラスには、1.2.840.113556.1.8000.795.1.1 のオブジェクト ID(OID)があります。ディレクトリ内のエントリまたはユーザはすべて、このクラスのオブジェクトです。

LDAP サーバによっては(たとえば、Microsoft Active Directory LDAP サーバ)、いったん定義したクラスの OID は再利用できません。次に大きい OID を使用します。たとえば、クラス名 cVPN3000-Usr-Authorization に OID 1.2.840.113556.1.8000.795.1.1 を間違って定義した場合、正しいクラス名 cVPN3000-User-Authorization に次の OID の 1.2.840.113556.1.8000.795.1.2 をたとえば入力できます。

Microsoft Active Directory LDAP サーバの場合、LDAP データ交換形式(LDIF)を使用してファイルにテキスト形式のスキーマを定義します。このファイルには、 .ldif 拡張子があります(例: schema.ldif )。他の LDAP サーバは、オブジェクト クラスとその属性の定義にグラフィカル ユーザ インターフェイスまたはスクリプト ファイルを使用します。LDIF の詳細については、RFC-2849 を参照してください。


) • 3 つすべてのアプライアンスのすべての LDAP 属性が、cVPN3000 の文字で始まります(例:cVPN3000-Access-Hours)。

アプライアンスは、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、名前ではなく数値の ID が使用されます。

許可では、権限または属性を使用するプロセスを参照します。認証サーバまたは許可サーバとして定義されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。


 

セキュリティ アプライアンス、PIX ファイアウォールおよび VPN 3000 の属性の完全なリストについては、 表 E-2 を参照してください。

すべての文字列で大文字と小文字が区別され、通常の書き方と矛盾する場合でも、テーブルでは語頭が大文字の属性名を使用する必要があります。たとえば、cVPN3000-IETF-RADIUS-Class ではなく cVPN3000-IETF-Radius-Class を使用します。

 

表 E-2 セキュリティ アプライアンスがサポートするシスコの LDAP スキーマ属性

属性名/
OID(オブジェクト ID)
VPN 3000
ASA
PIX
属性 OID1
構文/
タイプ
シングルまたはマルチ
有効な値
cVPN3000-Access-Hours
Y
Y
Y
1
文字列
シングル
time-range の名前(Business-Hours など)
cVPN3000-Simultaneous-Logins
Y
Y
Y
2
整数型
シングル
0-2147483647
cVPN3000-Primary-DNS
Y
Y
Y
3
文字列
シングル
IP アドレス
cVPN3000-Secondary-DNS
Y
Y
Y
4
文字列
シングル
IP アドレス
cVPN3000-Primary-WINS
Y
Y
Y
5
文字列
シングル
IP アドレス
cVPN3000-Secondary-WINS
Y
Y
Y
6
文字列
シングル
IP アドレス
cVPN3000-SEP-Card-Assignment
7
整数型
シングル
未使用
cVPN3000-Tunneling-Protocols

Y

Y

Y

8
整数型
シングル
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN.
8 および 4 は相互排他値
(0 ~ 11、16 ~ 27 は有効値)
cVPN3000-IPSec-Sec-Association

Y

9
文字列
シングル
セキュリティ アソシエーションの名前
cVPN3000-IPSec-Authentication

Y

10
整数型
シングル
0 = なし
1 = RADIUS
2 = LDAP(許可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

cVPN3000-IPSec-Banner1

Y

Y

Y

11

文字列

シングル

バナー文字列

cVPN3000-IPSec-Allow-Passwd-Store

Y

Y

Y

12

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Use-Client-Address

Y

13

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-PPTP-Encryption

Y

14

整数型

シングル

ビットマップ:

1 = 暗号化が必要

2 =40 ビット

4 =128 ビット

8 = ステートレスが必要

例:15 = 40/128 ビットで暗号化/ステートレスが必要

cVPN3000-L2TP-Encryption

Y

15

整数型

シングル

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 =128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

cVPN3000-IPSec-Split-Tunnel-List

Y

Y

Y

16

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

cVPN3000-IPSec-Default-Domain

Y

Y

Y

17

文字列

シングル

クライアントに送信するデフォルト ドメイン名を 1 つだけ指定します(1 ~ 255 文字)。

cVPN3000-IPSec-Split-DNS-Name

Y

Y

Y

18

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

cVPN3000-IPSec-Tunnel-Type

Y

Y

Y

19

整数型

シングル

1 = LAN-to-LAN

2 = リモート アクセス

cVPN3000-IPSec-Mode-Config

Y

Y

Y

20

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-User-Group-Lock

Y

21

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Over-UDP

Y

Y

Y

22

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Over-UDP-Port

Y

Y

Y

23

整数型

シングル

4001 ~ 49151、デフォルトは 10000

cVPN3000-IPSec-Banner2

Y

Y

Y

24

文字列

シングル

バナー文字列

cVPN3000-PPTP-MPPC-Compression

Y

25

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-L2TP-MPPC-Compression

Y

26

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-IP-Compression

Y

Y

Y

27

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-IKE-Peer-ID-Check

Y

Y

Y

28

整数型

シングル

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

cVPN3000-IKE-Keep-Alives

Y

Y

Y

29

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Auth-On-Rekey

Y

Y

Y

30

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Required-Client- Firewall-Vendor-Code

Y

Y

Y

31

整数型

シングル

1 = シスコ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

cVPN3000-Required-Client-Firewall- Product-Code

Y

Y

Y

32

整数型

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

cVPN3000-Required-Client-Firewall- Description

Y

Y

Y

33

文字列

シングル

文字列

cVPN3000-Require-Individual-User-Auth

Y

Y

Y

34

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Require-HW-Client-Auth

Y

Y

Y

35

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Authenticated-User-Idle- Timeout

Y

Y

Y

36

整数型

シングル

1 ~ 35791394 分

cVPN3000-Cisco-IP-Phone-Bypass

Y

Y

Y

37

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Split-Tunneling-Policy

Y

Y

Y

38

整数型

シングル

0 = すべてをトンネリング

1 = スプリット トンネリング

2 = ローカル LAN を許可

cVPN3000-IPSec-Required-Client-Firewall-Capability

Y

Y

Y

39

整数型

シングル

0 = なし

1 = リモート FW Are-You-There(AYT)で定義されているポリシー

2 = Policy pushed CPP

4 = サーバからのポリシー

cVPN3000-IPSec-Client-Firewall-Filter- Name

Y

40

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

cVPN3000-IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

41

整数型

シングル

0 = 必須

1 = オプション

cVPN3000-IPSec-Backup-Servers

Y

Y

Y

42

文字列

シングル

1 = クライアントが設定したリストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

cVPN3000-IPSec-Backup-Server-List

Y

Y

Y

43

文字列

シングル

サーバ アドレス(スペース区切り)

cVPN3000-Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

44

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-MS-Client-Subnet-Mask

Y

Y

Y

45

文字列

シングル

IP アドレス

cVPN3000-Allow-Network-Extension- Mode

Y

Y

Y

46

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Strip-Realm

Y

Y

Y

47

ブール

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-Cisco-AV-Pair

Y

Y

Y

48

文字列

マルチ

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、 Cisco-AV-Pair 属性の構文を参照してください。

cVPN3000-User-Auth-Server-Name

Y

49

文字列

シングル

IP アドレスまたはホスト名

cVPN3000-User-Auth-Server-Port

Y

50

整数型

シングル

サーバ プロトコルのポート番号

cVPN3000-User-Auth-Server-Secret

Y

51

文字列

シングル

サーバのパスワード

cVPN3000-Confidence-Interval

Y

Y

Y

52

整数型

シングル

10 ~ 300 秒

cVPN3000-Cisco-LEAP-Bypass

Y

Y

Y

53

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-DHCP-Network-Scope

Y

Y

Y

54

文字列

シングル

IP アドレス

cVPN3000-Client-Type-Version-Limiting

Y

Y

Y

55

文字列

シングル

IPsec VPN クライアントのバージョン番号を示す文字列

cVPN3000-WebVPN-Content-Filter- Parameters

Y

Y

56

整数型

シングル

1 = Java & ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージに含まれるクッキー

複数のパラメータをフィルタリングするには値を加算します。たとえば、Java スクリプトとクッキーの両方をフィルタリングするには 10 を入力します。(10 = 2 + 8)

cVPN3000-WebVPN-Enable-functions

57

整数型

シングル

使用しない(廃止)

cVPN3000-WebVPN-Exchange-Server- Address

58

文字列

シングル

使用しない(廃止)

cVPN3000-WebVPN-Exchange-Server- NETBIOS-Name

59

文字列

シングル

使用しない(廃止)

cVPN3000-Port-Forwarding-Name

Y

Y

60

文字列

シングル

名前文字列(例:「Corporate-Apps」)

cVPN3000-IETF-Radius-Framed-IP- Address

Y

Y

Y

61

文字列

シングル

IP アドレス

cVPN3000-IETF-Radius-Framed-IP- Netmask

Y

Y

Y

62

文字列

シングル

IP アドレス

cVPN3000-IETF-Radius-Session-Timeout

Y

Y

Y

63

整数型

シングル

1 ~ 35791394 分

0 の場合、無制限です

cVPN3000-IETF-Radius-Idle-Timeout

Y

Y

Y

64

整数型

シングル

1 ~ 35791394 分

0 の場合、無制限です

cVPN3000-IETF-Radius-Class

Y

Y

Y

65

文字列

シングル

グループ名の文字列。次の 3 種類から任意の形式を使用します。

OU=Engineering

OU=Engineering;

Engineering

cVPN3000-IETF-Radius-Filter-Id

Y

Y

Y

66

文字列

シングル

アクセスリスト

cVPN3000-Authorization-Required

Y

67

整数型

シングル

0 = しない

1 = する

cVPN3000-Authorization-Type

Y

68

整数型

シングル

0 = なし

1 = RADIUS

2 = LDAP

cVPN3000-DN-Field

Y

Y

Y

69

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

cVPN3000-WebVPN-URL-List

Y

70

文字列

シングル

URL リスト名

cVPN3000-WebVPN-Forwarded-Ports

Y

71

文字列

シングル

ポート転送リスト名

cVPN3000-WebVPN-ACL-Filters

Y

72

文字列

シングル

アクセス リスト名

cVPN3000-WebVPN-Homepage

Y

Y

73

文字列

シングル

URL(http://example-portal.com など)

cVPN3000-WebVPN-Single-Sign-On- Server-Name

Y

74

文字列

シングル

SSO サーバの名前(1 ~ 31 文字)

cVPN3000-WebVPN-URL-Entry-Enable

Y

Y

75

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Access-Enable

Y

Y

76

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Server-Entry- Enable

Y

Y

77

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Server-Browsing-Enable

Y

Y

78

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Enable

Y

Y

79

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

80

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

81

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

82

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Citrix-Support-Enable

Y

Y

83

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Apply-ACL-Enable

Y

Y

84

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Enable

Y

Y

85

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Required-Enable

Y

Y

86

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Keep-Enable

Y

Y

87

整数型

シングル

0 = ディセーブル

1 = イネーブル

cVPN3000-IE-Proxy-Server

Y

88

文字列

シングル

IP アドレス

cVPN3000-IE-Proxy-Method

Y

89

整数型

シングル

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = その他

cVPN3000-IE-Proxy-Exception-List

Y

90

文字列

シングル

改行(\n)区切りの DNS ドメインのリスト

cVPN3000-IE-Proxy-Bypass-Local

Y

91

整数型

シングル

0 = なし

1 = ローカル

cVPN3000-Tunnel-Group-Lock

Y

Y

92

文字列

シングル

トンネル グループの名前または「none」

cVPN3000-Firewall-ACL-In

Y

Y

93

文字列

シングル

アクセス リスト ID

cVPN3000-Firewall-ACL-Out

Y

Y

94

文字列

シングル

アクセス リスト ID

cVPN3000-PFS-Required

Y

Y

Y

95

ブール

シングル

0 = しない

1 = する

cVPN3000-WebVPN-SVC-Keepalive

Y

Y

96

整数型

シングル

0 = ディセーブル

n = キープアライブ値(15 ~ 600 秒)

cVPN3000-WebVPN-SVC-Client-DPD

Y

Y

97

整数型

シングル

0 = ディセーブル

n = デッドピア検出値(30 ~ 3600 秒)

cVPN3000-WebVPN-SVC-Gateway-DPD

Y

Y

98

整数型

シングル

0 = ディセーブル

n = デッドピア検出値(30 ~ 3600 秒)

cVPN3000-WebVPN-SVC-Rekey-Period

Y

Y

99

整数型

シングル

0 = ディセーブル

n = 分単位リトライ期間(4 ~ 10080)

cVPN3000-WebVPN-SVC-Rekey-Method

Y

Y

100

整数型

シングル

0 = なし

1 = SSL

2 = 新規トンネル

3 = 任意(SSL に設定)

cVPN3000-WebVPN-SVC-Compression

Y

Y

101

整数型

シングル

0 = なし

1 = デフレート圧縮

1.各属性の完全なオブジェクト ID を得るには、1.2.840.113556.8000.795.2 の最後にこのカラムの数字を追加します。したがって、テーブルの最初の属性の OID である cVPN3000-Access-Hours は、1.2.840.113556.8000.795.2.1 になります。同様に、テーブルの最後の属性の OID である cVPN3000-WebVPN-SVC-Compression は、1.2.840.113556.8000.795.2.115 になります。

Cisco-AV-Pair 属性の構文

Cisco-AV-Pair ルールの構文は次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

 

フィールド
説明

Prefix

AV ペアの固有の識別子。例: ip:inacl#1= (標準 ACL に使用)または webvpn:inacl# (WebVPN ACL に使用)。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Action

deny、permit など、ルールが一致した場合に実行するアクション。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、ip、tcp、udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。これは、IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合、続いて Source Wildcard Mask を指定する必要があります。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。

Destination

パケットを受信するネットワークまたはホスト。これは、IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合、続いて Source Wildcard Mask を指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

次に例を示します。

ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log
 
webvpn:inacl#1=permit url http://www.cnn.com
webvpn:inacl#2=deny smtp any host 10.1.3.5
webvpn:inacl#3=permit url cifs://mar_server/peopleshare1
 

) • リモート IPsec トンネルおよび SSL VPN クライアント(SVC)トンネルに ACL を適用するには、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。

WebVPN クライアントレス(ブラウザモード)トンネルに ACL を適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。


 

表 E-3 に、Cisco-AV-Pair 属性のトークンの一覧を示します。

 

表 E-3 セキュリティ アプライアンスでサポートされるトークン

トークン
構文のフィールド
説明

ip:inacl# Num =

該当なし(識別子)

Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始します。リモート IPSec トンネルと SSL VPN(SVC)トンネルに ACL を適用します。

webvpn:inacl# Num =

該当なし(識別子)

Num は固有の整数)。WebVPN AV ペアのアクセス コントロール リストをすべて開始します。WebVPN クライアントレス(ブラウザモード)トンネルに ACL を適用します。

deny

アクション

アクションを拒否します。(デフォルト)

permit

アクション

アクションを許可します。

icmp

プロトコル

インターネット制御メッセージ プロトコル(ICMP)

1

プロトコル

インターネット制御メッセージ プロトコル(ICMP)

IP

プロトコル

インターネット プロトコル(IP)

0

プロトコル

インターネット プロトコル(IP)

TCP

プロトコル

伝送制御プロトコル(TCP)

6

プロトコル

伝送制御プロトコル(TCP)

UDP

プロトコル

ユーザ データグラム プロトコル(UDP)

17

プロトコル

ユーザ データグラム プロトコル(UDP)

any

ホスト名

すべてのホストにルールを適用します。

host

ホスト名

ホスト名を示す任意の英数字文字列。

log

ログ

イベントが一致すると、フィルタ ログ メッセージが表示されます (permit and log または deny and log の場合と同様)。

lt

演算子

値より小さい

gt

演算子

値より大きい

eq

演算子

値と等しい

neq

演算子

値と等しくない

range

演算子

この範囲に含まれる。range の後に 2 つの値を続けます。

セキュリティ アプライアンス許可スキーマの例

この項では、LDAP スキーマのサンプルを提供します。このスキーマは、セキュリティ アプライアンス クラスおよび属性をサポートします。Microsoft Active Directory LDAP サーバに固有です。独自の LDAP サーバに対する独自のスキーマを定義する際のモデルとして、 表 E-2 とともに使用します。

Schema 3k_schema.ldif

dn: CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Access-Hours
attributeID: 1.2.840.113556.1.8000.795.2.1
attributeSyntax: 2.5.5.3
cn: cVPN3000-Access-Hours
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Access-Hours
distinguishedName:
CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: attributeSchema
oMSyntax: 27
name: cVPN3000-Access-Hours
showInAdvancedViewOnly: TRUE
 
.....
.... (define subsequent security appliance authorization attributes here)
....
 
 
dn: CN=cVPN3000-Primary-DNS,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Primary-DNS
attributeID: 1.2.840.113556.1.8000.795.2.3
attributeSyntax: 2.5.5.3
cn: cVPN3000-Primary-DNS
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Primary-DNS
distinguishedName:
CN=cVPN3000-Primary-DNS,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: attributeSchema
oMSyntax: 27
name: cVPN3000-Primary-DNS
showInAdvancedViewOnly: TRUE
 
.....
.... (define subsequent security appliance authorization attributes here)
....
 
dn: CN=cVPN3000-Confidence-Interval,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Confidence-Interval
attributeID: 1.2.840.113556.1.8000.795.2.52
attributeSyntax: 2.5.5.9
cn: cVPN3000-Confidence-Interval
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Confidence-Interval
distinguishedName:
CN=cVPN3000-Confidence-Interval,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
 
dn: CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-User-Authorization
adminDescription: Cisco Class Schema
cn: cVPN3000-User-Authorization
defaultObjectCategory:
CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
defaultSecurityDescriptor:
D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
governsID: 1.2.840.113556.1.8000.795.1.1
instanceType: 4
lDAPDisplayName: cVPN3000-User-Authorization
 
mustContain: cn
mayContain: cVPN3000-Access-Hours
mayContain: cVPN3000-Simultaneous-Logins
mayContain: cVPN3000-Primary-DNS
...
mayContain: cVPN3000-Confidence-Interval
mayContain: cVPN3000-Cisco-LEAP-Bypass
 
distinguishedName:
CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Class-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: classSchema
objectClassCategory: 1
possSuperiors: organizationalUnit
name: cVPN3000-User-Authorization
rDNAttID: cn
showInAdvancedViewOnly: TRUE
subClassOf: top
systemOnly: FALSE
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
systemOnly: FALSE
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

LDAP サーバへのスキーマのロード


) この項の手順は、Microsoft Active Directory LDAP サーバに固有です。別のタイプのサーバがある場合のスキーマのロードの詳細については、サーバのマニュアルを参照してください。


LDAP サーバにスキーマをロードするには、スキーマ ファイルが存在するディレクトリから次のコマンドを入力します。 ldifde -i -f Schema Name 例:ldifde -i -f 3k_schema.ldif

ユーザ権限の定義


) この項の手順は、Microsoft Active Directory LDAP サーバに固有です。別のタイプのサーバがある場合のユーザ属性の定義とロードについては、サーバのマニュアルを参照してください。


LDAP サーバで許可する各ユーザごとにユーザ ファイルを定義します。ユーザ ファイルには、特定のユーザに関連付けられたすべてのセキュリティ アプライアンス属性と値を定義します。各ユーザは、cVPN3000-User-Authorization クラスのオブジェクトです。ユーザ ファイルを定義するには、任意のテキスト エディタを使用します。ファイルには .ldif 拡張子が必要です。(ユーザ ファイルの例については、 Robin.ldif を参照してください)。

LDAP サーバにユーザ ファイルをロードするには、 ldap_user .ldif ファイルの使用するバージョンが存在するディレクトリに次のコマンドを入力します。 ldifde -i -f ldap_user.ldif。 例: ldifde -i -f Robin.ldif

スキーマとユーザ ファイルの両方を作成およびロードが完了すれば、LDAP サーバがセキュリティ アプライアンス許可要求を処理する準備ができています。

ユーザ ファイルの例

この項では、ユーザ Robin のサンプル ユーザ ファイルを示します。

Robin.ldif

dn: cn=Robin,OU=People,DC=ExampleCorporation,DC=com
changetype: add
cn: Robin
CVPN3000-Access-Hours: Corporate_time
cVPN3000-Simultaneous-Logins: 2
cVPN3000-IPSec-Over-UDP: TRUE
CVPN3000-IPSec-Over-UDP-Port: 12125
cVPN3000-IPSec-Banner1: Welcome to the Example Corporation!!!
cVPN3000-IPSec-Banner2: Unauthorized access is prohibited!!!!!
cVPN3000-Primary-DNS: 10.10.4.5
CVPN3000-Secondary-DNS: 10.11.12.7
CVPN3000-Primary-WINS: 10.20.1.44
CVPN3000-SEP-Card-Assignment: 1
CVPN3000-IPSec-Tunnel-Type: 2
CVPN3000-Tunneling-Protocols: 7
cVPN3000-Confidence-Interval: 300
cVPN3000-IPSec-Allow-Passwd-Store: TRUE
objectClass: cVPN3000-User-Authorization

Active Directory の設定例の確認

この項では、Microsoft Active Directory サーバを使用しているセキュリティ アプライアンスで認証および許可を設定するための手順の例を示します。説明する項目は次のとおりです。

例 1:Microsoft Active Directory(ASA/PIX)を使用する LDAP 認証の設定

例 2:Microsoft Active Directory を使用する LDAP 認証の設定

例 3:Microsoft Active Directory を使用した LDAP 認証と LDAP 許可

例 1:Microsoft Active Directory(ASA/PIX)を使用する LDAP 認証の設定

次に、SDI を使用する認証および LDAP と Microsoft Active Directory(AD)を使用する許可の設定手順の例を示します。このサンプル手順を実行するには、次の手順を実行します。


ステップ 1 LDIF ファイルを使用して、Microsoft AD データベースの cVPN3000-User-Authorization レコードを作成します。このレコードには、ユーザの Cisco VPN 許可属性が含まれます。


) Cisco VPN 属性の Microsoft AD LDAP スキーマを取得する場合は、Cisco TAC にお問い合わせください。


ステップ 2 新しいレコードを確認するには、[Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Active Directory Users and Computers] を選択します。

[Active Directory Users and Computers] ウィンドウが表示されます(図 E-2 を参照)。

図 E-2 [Active Directory Users and Computers] ウィンドウ

 

ステップ 3 セキュリティ アプライアンスで、LDAP サーバの AAA サーバ レコードを作成します。この例では、これらの許可レコードは、Franklin-Altiga フォルダに保存されます。必要な手順は次のコマンドで示します。

hostname(config)# aaa-server ldap-authorize-grp protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authorize-grp host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn ou=Franklin-Altiga,dc=frdevtestad, dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-attribute-map LdapSvrName
hostname(config-aaa-server-host)#
 

ステップ 4 次のコマンド例に示すように、SDI 認証と LDAP 許可を指定するトンネル グループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra
hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes
hostname(config)# authentication-server-group sdi-group
hostname(config)# authorization-server-group ldap-authorize-group
hostname(config)#

) この例では、sdi-group の設定は表示されません。


例 2:Microsoft Active Directory を使用する LDAP 認証の設定

この例では、Microsoft Active Directory を使用した LDAP 認証の設定手順について説明します。送信中のユーザ クレデンシャルをセキュアにするために、この手順では、SSL 接続での LDAP ディレクトリとセキュリティ アプライアンスがメッセージを交換するように設定します。また、セキュリティ アプライアンスが Microsoft AD ユーザ レコードの部門属性をユーザが割り当てられているグループ ポリシーとして解釈するように設定します。このグループの許可属性が RADIUS サーバから取得されます。

ユーザ レコードを表示するには、図 E-3 に示すように、[Active Directory Users and Computers] ウィンドウで User フォルダをクリックします。

図 E-3 User フォルダが表示された [Active Directory Users and Computers] ウィンドウ

 

特定のユーザ属性と値を確認するには、ユーザ名を右クリックし、[Properties] をクリックします。図 E-4 に示すように、[Username Properties] ダイアログボックスが表示されます。

図 E-4 [ Username Properties] ダイアログボックス

 


) 部門属性は、[Active Directory Users and Computers] ウィンドウの [Organization] タブで設定します。


この例を設定するには、次の手順をセキュリティ アプライアンスで実行します。


ステップ 1 次のコマンド例に示すように、LDAP 認証サーバの AAA サーバ レコードを作成し、ldap-base-dn を使用して Active Directory ユーザ レコードの検索場所を指定します。

hostname(config)# aaa-server ldap-authenticate-grp protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authenticate-grp host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn cn=Users,dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#

 

ステップ 2 次のコマンド例に示すように、シスコ属性 cVPN3000-IETF-Radius-Class に AD 属性 department をマッピングするための LDAP マッピング テーブル エントリを作成します。

hostname(config)# ldap attribute-map ActiveDirectoryMapTable
hostname(config-ldap-attribute-map)# map-name department cVPN3000-IETF-Radius-Class
hostname(config-ldap-attribute-map)#

 

ステップ 3 次のコマンド例に示すように、LDAP 属性マップの名前を設定します。

hostname(config-aaa-server-host)# ldap-attribute-map ActiveDirectoryMapTable

hostname(config-aaa-server-host)#

ステップ 4 次のようにセキュアな LDAP 接続を指定します。

hostname(config-aaa-server-host)# ldap-over-ssl enable

hostname(config-aaa-server-host)#

ステップ 5 RADIUS サーバとグループ名を関連付ける外部グループ ポリシーを作成します。この例では、次のコマンド例に示すようにユーザが Engineering グループに割り当てられます。

hostname(config-aaa-server-host)# group-policy Engineering external server-group radius-group password anypassword

hostname(config-aaa-server-host)#

ステップ 6 次のコマンド例に示すように、LDAP 認証を指定するトンネル グループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra

hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes

hostname(config-tunnel-general)# authentication-server-group ldap-authenticate-grp

hostname(config-tunnel-general)#


) RADIUS グループの設定はこの例では示されていません。


例 3:Microsoft Active Directory を使用した LDAP 認証と LDAP 許可

次の例では、LDAP と Microsoft Active Directory を使用して認証と許可の両方を設定する手順を示します。Microsoft のユーザ レコードには、部門属性はユーザのグループ名として解釈されます。このグループ名の許可属性は Active Directory サーバから取得されます。

部門属性は、[Active Directory Users and Computers] ダイアログボックスの [Organization] タブで図 E-5 に示すように設定されます。

図 E-5 [Active Directory Users and Computers] ダイアログの [Organization] タブ

この例を設定するには、次の手順をセキュリティ アプライアンスで実行します。


ステップ 1 次のコマンド例に示すように、シスコ属性 cVPN3000-IETF-Radius-Class に Active Directory 属性 department をマッピングするための LDAP マッピング テーブル エントリを作成します。

hostname(config)# ldap attribute-map ActiveDirectoryMapTable
hostname(config-ldap-attribute-map)# map-name department cVPN3000-IETF-Radius-Class

 

ステップ 2 次のコマンド例に示すように、LDAP 認証サーバの AAA サーバ レコードを作成し、ldap-base-dn を使用して Active Directory ユーザ レコードの検索場所を指定します。

hostname(config)# aaa-server ldap-authenticate protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authenticate host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn cn=Users,dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#

 

ステップ 3 次のコマンド例に示すように、LDAP 属性マップの名前を設定します。

hostname(config-aaa-server-host)# ldap-attribute-map ActiveDirectoryMapTable
hostname(config-aaa-server-host)#

 

ステップ 4 次のようにセキュアな LDAP 接続を指定します。

hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#

 

ステップ 5 次のコマンド例に示すように、LDAP 許可サーバを設定するための AAA サーバ レコードを作成し、ldap-base-dn を使用してシスコの cVPN3000-User-Authorization レコードの検索場所を指定します。

hostname(config-aaa-server-host)# aaa-server ldap-authorize protocol ldap
hostname(config-aaa-server-host)# aaa-server ldap-authorize host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn ou=Franklin-Altiga,dc=frdevtestad, dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#

 

ステップ 6 LDAP 許可サーバとグループ名を関連付ける外部グループ ポリシーを作成します。この例では、次のコマンドに示すようにユーザが Engineering グループに割り当てられます。

hostname(config-aaa-server-host)# group-policy engineering external server-group ldap-authorize
hostname(config-aaa-server-host)#

 

ステップ 7 次のコマンド例に示すように、LDAP 認証を指定するトンネル グループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra
hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes
hostname(config-tunnel-general)# authentication-server-group ldap-authenticate
hostname(config-tunnel-general)#

 

外部 RADIUS サーバの設定

この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS および TACACS+ 属性を定義します。説明する項目は次のとおりです。

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 許可属性

セキュリティ アプライアンス TACACS+ 属性

RADIUS 設定手順の確認

この項では、セキュリティ アプライアンスのユーザ認証および許可をサポートするために必要な RADIUS 設定手順について説明します。次の手順に従って、セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。


ステップ 1 セキュリティ アプライアンスの属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがって、この手順をスキップできます。

FUNK RADIUS サーバを使用している場合:シスコは、セキュリティ アプライアンスの属性がすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):セキュリティ アプライアンスの各属性を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。セキュリティ アプライアンス RADIUS 許可属性および値のリストについては、 表 E-4 を参照してください。

ステップ 2 権限および属性を持つユーザまたはグループをセットアップし、IPSec/WebVPN トンネルの確立時に送信します。権限または属性には、アクセス時間、プライマリ DNS、バナーなどが含まれる場合があります。


 

セキュリティ アプライアンスの RADIUS 許可属性


) 許可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。


表 E-4 に、ユーザ許可に使用でき、セキュリティ アプライアンスがサポートしている使用可能なすべての属性の一覧を示します。

 

表 E-4 セキュリティ アプライアンスでサポートされる RADIUS 属性と値

属性名
VPN 3000
ASA
PIX
属性 #
構文/タイプ
シングルまたはマルチ
説明または値
Access-Hours
Y
Y
Y
1
文字列
シングル
時間範囲の名前(Business-hours など)
Simultaneous-Logins
Y
Y
Y
2
整数型
シングル
0 ~ 2147483647 の整数
Primary-DNS
Y
Y
Y
5
文字列
シングル
IP アドレス
Secondary-DNS
Y
Y
Y
6
文字列
シングル
IP アドレス
Primary-WINS
Y
Y
Y
7
文字列
シングル
IP アドレス
Secondary-WINS
Y
Y
Y
8
文字列
シングル
IP アドレス
SEP-Card-Assignment
9
整数型
シングル
未使用
Tunneling-Protocols
Y
Y
Y
11
整数型
シングル
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN.
4 および 8 は相互排他値、0 ~ 11 および 16 ~ 27 は有効値
IPSec-Sec-Association
Y
12
文字列
シングル
セキュリティ アソシエーションの名前
IPSec-Authentication
Y
13
整数型
シングル
0 = なし
1 = RADIUS
2 = LDAP(許可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

Banner1

Y
Y
Y

15

文字列

シングル

バナー文字列

IPSec-Allow-Passwd-Store

Y
Y
Y

16

ブール

シングル

0 = ディセーブル

1 = イネーブル

Use-Client-Address

Y

17

ブール

シングル

0 = ディセーブル

1 = イネーブル

PPTP-Encryption

Y

20

整数型

シングル

ビットマップ:

1 = 暗号化が必要

2 =40 ビット

4 =128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数型

シングル

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 =128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

IPSec-Split-Tunnel-List

Y
Y
Y

27

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPSec-Default-Domain

Y
Y
Y

28

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Split-DNS-Names

Y
Y
Y

29

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Tunnel-Type

Y
Y
Y

30

整数型

シングル

1 = LAN-to-LAN

2 = リモート アクセス

IPSec-Mode-Config

Y
Y
Y

31

ブール

シングル

0 = ディセーブル

1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブール

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP

Y
Y
Y

34

ブール

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP-Port

Y
Y
Y

35

整数型

シングル

4001 ~ 49151、デフォルトは 10000

Banner2

Y
Y
Y

36

文字列

シングル

バナー文字列。設定されている場合、Banner2 文字列は Banner1 文字列に連結されます。

PPTP-MPPC-Compression

Y

37

整数型

シングル

0 = ディセーブル

1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数型

シングル

0 = ディセーブル

1 = イネーブル

IPSec-IP-Compression

Y
Y
Y

39

整数型

シングル

0 = ディセーブル

1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y
Y
Y

40

整数型

シングル

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

IKE-Keep-Alives

Y
Y
Y

41

ブール

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Auth-On-Rekey

Y
Y
Y

42

ブール

シングル

0 = ディセーブル

1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y
Y
Y

45

整数型

シングル

1 = シスコ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y
Y
Y

46

整数型

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

Required-Client-Firewall-Description

Y
Y
Y

47

文字列

シングル

文字列

Require-HW-Client-Auth

Y
Y
Y

48

ブール

シングル

0 = ディセーブル

1 = イネーブル

Required-Individual-User-Auth

Y
Y
Y

49

整数型

シングル

0 = ディセーブル

1 = イネーブル

Authenticated-User-Idle-Timeout

Y
Y
Y

50

整数型

シングル

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y
Y
Y

51

整数型

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Split-Tunneling-Policy

Y
Y
Y

55

整数型

シングル

0 = スプリット トンネリングなし

1 = スプリット トンネリング

2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y
Y
Y

56

整数型

シングル

0 = なし

1 = リモート FW Are-You-There(AYT)で定義されているポリシー

2 = Policy pushed CPP

4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPSec-Client-Firewall-Filter-Optional

Y
Y
Y

58

整数型

シングル

0 = 必須

1 = オプション

IPSec-Backup-Servers

Y
Y
Y

59

文字列

シングル

1 = クライアントが設定したリストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y
Y
Y

60

文字列

シングル

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y
Y
Y

61

文字列

シングル

IP アドレス

Intercept-DHCP-Configure-Msg

Y
Y
Y

62

ブール

シングル

0 = ディセーブル

1 = イネーブル

MS-Client-Subnet-Mask

Y
Y
Y

63

ブール

シングル

IP アドレス

Allow-Network-Extension-Mode

Y
Y
Y

64

ブール

シングル

0 = ディセーブル

1 = イネーブル

Authorization-Type

Y
Y
Y

65

整数型

シングル

0 = なし

1 = RADIUS

2 = LDAP

Authorization-Required

Y

66

整数型

シングル

0 = しない

1 = する

Authorization-DN-Field

Y
Y
Y

67

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y
Y
Y

68

整数型

シングル

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y
Y

69

整数型

シングル

1 = Java ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

文字列

シングル

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

シングル

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

シングル

アクセス リスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

シングル

URL(http://example-portal.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

シングル

IPsec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

シングル

名前文字列(例:「Corporate-Apps」)。

このテキストで WebVPN ホーム ページのデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

文字列

シングル

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数型

シングル

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

文字列

シングル

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数型

シングル

0 = なし

1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数型

シングル

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

シングル

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

シングル

アクセス リスト ID

Access-List-Outbound

Y

Y

87

文字列

シングル

アクセス リスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブール

シングル

0 = しない

1 = する

NAC-Enable

Y

89

整数型

0 = しない

1 = する

NAC-Status-Query-Timer

Y

90

整数型

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数型

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセス リスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数型

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数型

シングル

0 = ディセーブル

1 = イネーブル

Strip-Realm

Y

Y

Y

135

ブール

シングル

0 = ディセーブル

1 = イネーブル


) 3 つのセキュリティ アプライアンスすべて(VPN 3000、PIX、および ASA)に対するサポートをより反映するために、RADIUS 属性名に cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を使用します。LDAP 属性は、ID ではなく属性名で使用します。


セキュリティ アプライアンス TACACS+ 属性

セキュリティ アプライアンス は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。


) TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。


表 E-5 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 許可応答属性の一覧を示します。 表 E-6 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。

 

表 E-5 サポートされる TACACS+ 許可応答属性

属性
説明

acl

接続に適用する、ローカルで設定済みのアクセス リストを識別します。

idletime

認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。

timeout

認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。

 

表 E-6 サポートされる TACACS+ アカウンティング属性

属性
説明

bytes_in

この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。

cmd

実行するコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

切断理由を特定する数字コードを示します(ストップ レコードのみ)。

elapsed_time

接続の経過時間(秒)を定義します(ストップ レコードのみ)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

local_ip

トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求の場合はユーザの権限レベル、それ以外の場合は 1 に設定されます。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェル」に設定されます。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。