Cisco ASA シリーズ VPN ASDM コンフィギュレーション ガイド ソ フ ト ウ ェ ア バージ ョ ン 7.3
ダイナミック アクセス ポリシー
ダイナミック アクセス ポリシー
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ダイナミック アクセス ポリシー

ダイナミック アクセス ポリシーについて

DAP によるリモート アクセス プロトコルおよびポスチャ評価ツールのサポート

DAP を使用するリモート アクセス接続シーケンス

ダイナミック アクセス ポリシーのライセンス

ダイナミック アクセス ポリシーの設定

ダイナミック アクセス ポリシーの追加または編集

ダイナミック アクセス ポリシーのテスト

DAP の AAA 属性選択基準の設定

Active Directory グループの取得

AAA 属性の定義

DAP のエンドポイント属性選択基準の設定

DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加

DAP へのアプリケーション属性の追加

DAP への AnyConnect エンドポイント属性の追加

DAP へのファイル エンドポイント属性の追加

DAP へのデバイス エンドポイント属性の追加

DAP への NAC エンドポイント属性の追加

DAP へのオペレーティング システム エンドポイント属性の追加

DAP へのパーソナル ファイアウォール エンドポイント属性の追加

DAP へのポリシー エンドポイント属性の追加

DAP へのプロセス エンドポイント属性の追加

DAP へのレジストリ エンドポイント属性の追加

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

エンドポイント属性の定義

Lua を使用した DAP における追加の DAP 選択基準の作成

Lua EVAL 式を作成する構文

DAP CheckAndMsg 関数

DAP EVAL 式の例

追加の Lua 機能

DAP アクセスと許可ポリシー属性の設定

[Action] タブ

[Network ACL Filters] タブ

[Web-Type ACL Filters (clientless)] タブ

[Functions] タブ

[Port Forwarding Lists] タブ

[Bookmarks] タブ

[Access Method] タブ

[AnyConnect] タブ

[AnyConnect Custom Attributes] タブ

DAP トレースの実行

DAP の例

DAP を使用したネットワーク リソースの定義

DAP を使用した WebVPN ACL の適用

CSD チェックの強制と DAP によるポリシーの適用

ダイナミック アクセス ポリシーについて

VPN ゲートウェイは動的な環境で動作します。個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。

ASA でのダイナミック アクセス ポリシー(DAP)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまり、ASA では、定義したポリシーに基づき、特定のユーザに対して、特定のセッションのアクセスが許可されます。ASA は、ユーザが接続した時点で、1 つ以上の DAP レコードから属性を選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。

DAP システムには、注意を必要とする次のコンポーネントがあります。

DAP 選択コンフィギュレーション ファイル:セッション確立中に DAP レコードを選択および適用するために ASA が使用する、基準が記述されたテキスト ファイル。ASA に保存されています。ASDM を使用して、このファイルを変更したり、XML データ形式で ASA にアップロードしたりできます。DAP 選択コンフィギュレーション ファイルには、ユーザが設定するすべての属性が記載されています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタで設定されるアクセス ポリシー、ポート転送、URL のリストなどがあります。

DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。

詳細については、『 Dynamic Access Deployment Guide 』( https://supportforums.cisco.com/docs/DOC-1369 )を参照してください。

DAP によるリモート アクセス プロトコルおよびポスチャ評価ツールのサポート

ASA は、管理者が設定したポスチャ評価ツールを使用してエンドポイント セキュリティ属性を取得します。このポスチャ評価ツールには、AnyConnect ポスチャ モジュール、独立したホスト スキャン パッケージ、Cisco Secure Desktop、NAC などがあります。

次の表に、DAP がサポートしている各リモート アクセス プロトコル、その方式で使用可能なポスチャ評価ツール、およびそのツールによって提供される情報を示します。

 

サポートされる
リモート アクセス プロトコル
AnyConnect ポスチャ モジュール
ホスト スキャン パッケージ
Cisco Secure Desktop
(Endpoint Assessment ホスト スキャン拡張機能がイネーブルでない)
AnyConnect ポスチャ モジュール
ホスト スキャン パッケージ
Cisco Secure Desktop
(Endpoint Assessment ホスト スキャン拡張機能がイネーブルである)
NAC
Cisco NAC アプライアンス

ファイル情報、レジストリ キーの値、実行プロセス、オペレーティング システムを返す

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール ソフトウェアの情報を返す

NAC ステータスを返す

VLAN タイプと VLAN ID を返す

IPsec VPN

No

No

Yes

Yes

Cisco AnyConnect VPN

Yes

Yes

Yes

Yes

クライアントレス(ブラウザベース)SSL VPN

Yes

Yes

No

No

PIX カットスルー プロキシ(ポスチャ評価は使用不可)

No

No

No

No

DAP を使用するリモート アクセス接続シーケンス

次のシーケンスは、標準的なリモート アクセス接続を確立する場合の概要を示しています。

1. リモート クライアントが VPN 接続を試みます。

2. ASA は、設定された NAC 値と Cisco Secure Desktop の Host Scan 値を使用してポスチャ評価を実行します。

3. ASA が、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。

4. ASA が、AAA 認可属性をそのセッションに適用し、VPN トンネルを確立します。

5. ASA が、AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

6. ASA が、選択した DAP レコードから DAP 属性を集約します。集約された属性が DAP ポリシーを構成します。

7. ASA がその DAP ポリシーをセッションに適用します。

ダイナミック アクセス ポリシーのライセンス


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件

ASAv

Premium ライセンス

他のすべてのモデル

AnyConnect Premium ライセンス

Advanced Endpoint Assessment ライセンス

AnyConnect Mobile ライセンス


) ASA 管理者が AnyConnect モバイル ポスチャ DAP 属性をどのように使用するかは、インストール済みの AnyConnect ライセンスによって異なります。詳細については、「DAP への AnyConnect エンドポイント属性の追加」を参照してください。


ダイナミック アクセス ポリシーの設定

はじめる前に

特に記載のない限り、DAP エンドポイント属性を設定する前に Cisco Secure Desktop またはホスト スキャンをインストールする必要があります。

ファイル、プロセス、レジストリのエンドポイント属性を設定する前に、ファイル、プロセス、レジストリの基本ホスト スキャン属性を設定する必要があります。手順については、ASDM を起動して [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択し、[Help] をクリックしてください。

DAP は、ASCII 文字のみサポートされます。


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] の順に選択します。

ステップ 2 特定のアンチウイルス、アンチスパイウェア、またはパーソナル ファイアウォールのエンドポイント属性を含めるには、ペインの最上部近くの [CSD configuration] リンクをクリックします。次に、Cisco Secure Desktop およびホスト スキャンの拡張機能をイネーブルにします。このリンクは、これら両方の機能をすでにイネーブルにしている場合には表示されません。

Cisco Secure Desktop 拡張機能をイネーブルにしてホスト スキャン拡張機能はイネーブルにしない場合、変更を適用すると、ASDM は ホスト スキャン コンフィギュレーション をイネーブルにするリンクを表示します。

ステップ 3 設定済みの DAP のリストを表示します。テーブルには次のフィールドが表示されます。

[ACL Priority]:DAP レコードのプライオリティを表示します。

ASA は、複数の DAP レコードからネットワーク ACL と Web タイプ ACL を集約するときに、この値を使用して ACL を論理的に順序付けします。ASA は、最上位のプライオリティ番号から最下位のプライオリティ番号の順にレコードを並べ、最下位のプライオリティをテーブルの一番下に配置します。番号が大きいほどプライオリティが高いことを意味します。たとえば、値が 4 の DAP レコードは値が 2 のレコードよりも高いプライオリティを持つことになります。プライオリティは、手動での並べ替えはできません。

[Name]:DAP レコードの名前を表示します。

[Network ACL List]:セッションに適用されるファイアウォール ACL の名前を表示します。

[Web-Type ACL List]:セッションに適用される SSL VPN ACL の名前を表示します。

[Description]:DAP レコードの目的を説明します。

ステップ 4 [Add] または [Edit] をクリックして、「ダイナミック アクセス ポリシーの追加または編集」を実行します。

ステップ 5 [Apply] をクリックして DAP 設定を保存します。

ステップ 6 [Find] フィールドを使用して、ダイナミック アクセス ポリシー(DAP)を検索します。

このフィールドへの入力を開始すると、DAP テーブルの各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用すると、検索範囲が広がります。

たとえば、[Find] フィールドに sal と入力すると、 Sales という名前の DAP が一致しますが、 Wholesalers という名前の DAP は一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の Sales と Wholesalers のうち、最初に出現するものが検出されます。

ステップ 7 「ダイナミック アクセス ポリシーのテスト」を実行して設定を確認します。

ダイナミック アクセス ポリシーの追加または編集


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] または [Edit] の順に選択します。

ステップ 2 このダイナミック アクセス ポリシーの名前(必須)と説明(オプション)を入力します。

[Policy Name] は、4 ~ 32 文字の文字列で、スペースは使用できません。

DAP の [Description] フィールドには 80 文字まで入力できます。

ステップ 3 [ACL Priority] フィールドで、そのダイナミック アクセス ポリシーのプライオリティを設定します。

セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。有効値の範囲は 0 ~ 2147483647 です。デフォルト値は 0 です。

ステップ 4 この DAP の選択基準を指定します。

a. [Selection Criteria] ペインのドロップダウン リスト(ラベルなし)で、ユーザがこのダイナミック アクセス ポリシーを使用するには、すべてのエンドポイント属性を満たすことに加えて、ここで設定される AAA 属性値のいずれか([ANY])またはすべて([ALL])が必要となるのか、それとも一切不要([NONE])であるのかを選択します。

重複するエントリは許可されません。AAA またはエンドポイント属性なしの DAP レコードを設定すると、ASA は常にそのレコードを選択します。これは、そのレコードがすべての選択基準を満たすことになるからです。

b. [AAA Attributes] フィールドの [Add] または [Edit] をクリックして、「DAP の AAA 属性選択基準の設定」を実行します。

c. [Endpoint Attributes] 領域の [Add] または [Edit] をクリックして、「DAP のエンドポイント属性選択基準の設定」を実行します。

d. [Advanced] フィールドをクリックして、「Lua を使用した DAP における追加の DAP 選択基準の作成」を実行します。この機能を使用するには、 Lua プログラミング言語 の知識が必要です。

[AND/OR]:基本的な選択ルールと、ここで入力する論理式との関係を定義します。つまり、すでに設定されている AAA 属性およびエンドポイント属性に新しい属性を追加するのか、またはそれら設定済みの属性に置き換えるのかを指定します。デフォルト値は AND です。

[Logical Expressions]:それぞれのタイプのエンドポイント属性のインスタンスを複数設定できます。新しい AAA またはエンドポイント選択属性を定義する自由形式の Lua を入力します。ASDM は、ここで入力されるテキストの検証を行わず、単にこのテキストを DAP XML ファイルにコピーします。ASA がそれを処理し、解析不能な式があれば破棄します。

ステップ 5 この DAP のアクセス/許可ポリシー属性を指定します。

ここで設定する属性値は、既存のユーザ、グループ、トンネル グループ、およびデフォルトのグループ レコードを含め、AAA システムの認可値を上書きします。「DAP アクセスと許可ポリシー属性の設定」を参照してください。

ステップ 6 [OK] をクリックします。

ダイナミック アクセス ポリシーのテスト

このペインでは、認可属性値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。


ステップ 1 属性値のペアを指定するには、[AAA Attribute] テーブルと [Endpoint Attribute] テーブルに関連付けられた [Add/Edit] ボタンを使用します。

[Add/Edit] ボタンをクリックすると表示されるダイアログは、[Add/Edit AAA Attributes] ウィンドウと [Add/Edit Endpoint Attributes] ダイアログボックスに表示されるダイアログに似ています。

ステップ 2 [Test] ボタンをクリックします。

デバイス上の DAP サブシステムは、各レコードの AAA およびエンドポイント選択属性を評価するときに、これらの値を参照します。結果は、[Test Results] 領域に表示されます。


 

DAP の AAA 属性選択基準の設定

DAP は AAA サービスを補完します。用意されている認可属性のセットは限られていますが、それらの属性によって AAA で提供される認可属性を無効にできます。AAA 属性は、Cisco AAA 属性階層から、または ASA が RADIUS または LDAP サーバから受信する一式の応答属性セットから指定できます。ASA は、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。ASA は、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。


ステップ 1 DAP レコードの選択基準として AAA 属性を設定するには、[Add/Edit AAA Attributes] ダイアログボックスで、使用する Cisco、LDAP、または RADIUS 属性を設定します。これらの属性は、入力する値に対して「=」または「!=」のいずれかに設定できます。各 DAP レコードに設定可能な AAA 属性の数に制限はありません。AAA 属性の詳細については、「 AAA 属性の定義」を参照してください。

[AAA Attributes Type]:ドロップダウン リストを使用して、Cisco、LDAP、または RADIUS 属性を選択します。

[Cisco]:AAA 階層モデルに保存されているユーザ認可属性を参照します。DAP レコードの AAA 選択属性に、これらのユーザ認可属性の小規模なサブセットを指定できます。次の属性が含まれます。

[Group Policy]:VPN ユーザ セッションに関連付けられているグループ ポリシー名を示します。セキュリティ アプライアンスでローカルに設定するか、IETF-Class (25) 属性として RADIUS/LDAP から送信します。最大 64 文字です。

[Assigned IP Address]:ポリシーに指定する IPv4 アドレスを入力します。フル トンネル VPN クライアント(IPsec、L2TP/IPsec、SSL VPN AnyConnect)に割り当てられた IP アドレスは、クライアントレス SSL VPN には割り当てられません。クライアントレス セッションにはアドレスの割り当てがないからです。

[Assigned IPv6 Address]:ポリシーに指定する IPv6 アドレスを入力します。

[Connection Profile]:コネクションまたはトネリングのグループ名。最大 64 文字です。

[Username]:認証されたユーザのユーザ名。最大 64 文字です。ローカル認証、RADIUS 認証、LDAP 認証のいずれかを、またはその他の認証タイプ(RSA/SDI、NT Domain などのいずれかを使用している場合に適用されます。

[=/!=]:と等しい/と等しくない

[LDAP]:LDAP クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ LDAP 応答属性値のペアを保存します。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。

LDAP 認証/認可サーバへの VPN リモート アクセス セッションが次の 3 つの Active Directory グループ(memberOf 列挙)のいずれかを返す場合は、次のとおりとなります。

cn=Engineering,ou=People,dc=company,dc=com

cn=Employees,ou=People,dc=company,dc=com

cn=EastCoastast,ou=People,dc=company,dc=com

ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループを処理します。これらのグループは、aaa.ldap の選択基準としてどのような組み合わせでも使用できます。

LDAP 属性は、DAP レコード内の属性名と属性値のペアで構成されています。LDAP 属性名は、構文に従う必要があり、大文字、小文字を区別します。たとえば、AD サーバが部門として返す値の代わりに、LDAP 属性の Department を指定した場合、DAP レコードはこの属性設定に基づき一致しません。


) [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に例を示します。

eng;sale; cn=Audgen VPN,ou=USERS,o=OAG


[RADIUS]:RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ RADIUS 応答属性値のペアを保存します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

RADIUS 属性は、DAP レコード内の属性番号と属性値のペアで構成されています。セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。


) RADIUS 属性について、DAP は Attribute ID = 4096 + RADIUS ID と定義します。

次に例を示します。

RADIUS 属性「Access Hours」の Radius ID は 1 であり、したがって DAP 属性値は 4096 + 1 = 4097 となります。

RADIUS 属性「Member Of」の Radius ID は 146 であり、したがって DAP 属性値は 4096 + 146 = 4242 となります。


LDAP および RADIUS 属性には、次の値があります。

[Attribute ID]:属性の名前/番号。最大 64 文字です。

[Value]:属性名(LDAP)または数値(RADIUS)。

[Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に例を示します。
eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

[=/!=]:と等しい/と等しくない

LDAP には、[Get AD Groups] ボタンが含まれます。「Active Directory グループの取得」を参照してください。

Active Directory グループの取得

Active Directory サーバにクエリーを実行し、このペインで利用可能な AD グループを問い合わせることができます。この機能は、LDAP を使用している Active Directory サーバだけに適用されます。このボタンは、Active Directory LDAP サーバに対して、ユーザが属するグループのリスト(memberOf 列挙)の問い合わせを実行します。このグループ情報を使用し、ダイナミック アクセス ポリシーの AAA 選択基準を指定します。

AD グループは、CLI の show-ad-groups コマンドをバックグランドで実行することで LDAP サーバから取得されます。ASA がサーバの応答を待つデフォルト時間は 10 秒です。この時間は、AAA サーバ ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用して調整できます。

[Edit AAA Server] ペインで Group Base DN を変更し、Active Directory 階層の中で検索を開始するレベルを変更できます。ウィンドウ内で、ASA がサーバの応答を待つ時間も変更できます。これらの機能を設定するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] の順に選択します。


) Active Directory サーバにあるグループが多数である場合、取得した AD グループのリスト(show ad-groups コマンドの出力)はサーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、フィルタ機能を使用して、サーバから返されるグループの数を減らしてください。


[AD Server Group]:AD グループを取得する AAA サーバ グループ名。

[Filter By]:表示されるグループを減らすために、グループ名またはグループ名の一部を指定します。

[Group Name]:サーバから取得された AD グループのリスト。

AAA 属性の定義

次の表に、DAP で使用できる AAA 選択属性名の定義を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] セクションで使用します。

 

属性タイプ
属性名
ソース
ストリングの最大長
説明

Cisco

aaa.cisco.grouppolicy

AAA

ストリング

64

ASA 上にある、または RADIUS/LDAP サーバから IETF-CLass (25) 属性として送信されたグループ ポリシー名

aaa.cisco.ipaddress

AAA

数値

-

フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect)

aaa.cisco.tunnelgroup

AAA

ストリング

64

接続プロファイル(トンネル グループ)の名前

aaa.cisco.username

AAA

ストリング

64

認証されたユーザの名前(ローカル認証や認可を使用している場合に適用)

LDAP

aaa.ldap.< label >

LDAP

ストリング

128

LDAP 属性値ペア

RADIUS

aaa.radius.<number>

RADIUS

ストリング

128

RADIUS 属性値ペア

セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。

DAP のエンドポイント属性選択基準の設定

エンドポイント属性には、エンドポイント システム環境、ポスチャ評価結果、およびアプリケーションに関する情報が含まれています。ASA は、エンドポイント属性の集合をセッション確立時に動的に生成し、セッションに関連付けられたデータベースにその属性を保存します。各 DAP レコードには、ASA がセッションの DAP レコードを選択するために満たす必要があるエンドポイント選択属性が指定されます。ASA は、設定されたすべての条件を満たす DAP レコードだけを選択します。

はじめる前に

DAP レコードの選択基準としてエンドポイント属性を設定することは、「ダイナミック アクセス ポリシーの設定」という大きなプロセスの一部です。DAP の選択基準としてエンドポイント属性を設定する前に、この手順を確認してください。

エンドポイント属性の詳細については、「 エンドポイント属性の定義」を参照してください。

ホスト スキャンがアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールの各メモリ常駐型プログラムをチェックする方法の詳細については、「DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム」を参照してください。


ステップ 1 [Add] または [Edit] をクリックして、次のいずれかのエンドポイント属性を選択基準として追加します。

各タイプのエンドポイント属性のインスタンスを複数作成できます。各 DAP レコードに設定可能なエンドポイント属性の数に制限はありません。

「DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加」

「DAP へのアプリケーション属性の追加」

「DAP への AnyConnect エンドポイント属性の追加」

「DAP へのファイル エンドポイント属性の追加」

「DAP へのデバイス エンドポイント属性の追加」

「DAP への NAC エンドポイント属性の追加」

「DAP へのオペレーティング システム エンドポイント属性の追加」

「DAP へのパーソナル ファイアウォール エンドポイント属性の追加」

「DAP へのポリシー エンドポイント属性の追加」

「DAP へのプロセス エンドポイント属性の追加」

「DAP へのレジストリ エンドポイント属性の追加」

ステップ 2 条件に一致する DAP ポリシーを指定します。

これらのエンドポイント属性のタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND、デフォルト)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定します。

a. [Logical Op] をクリックします。

b. エンドポイント属性のタイプごとに、[Match Any](デフォルト)または [Match All] を選択します。

c. [OK] をクリックします。

ステップ 3 「ダイナミック アクセス ポリシーの追加または編集」に戻ってください。

DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Anti-Spyware] または [Anti-Virus] を選択します。

ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。

ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のアンチスパイウェアまたはアンチウイルスのベンダーの名前をクリックします。

ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 6 [Last Update] チェックボックスをオンにします。最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

ステップ 7 [OK] をクリックします。


 

DAP へのアプリケーション属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Application] を選択します。

ステップ 2 [Client Type] の操作フィールドで、[=](等しい)または [!=](等しくない)を選択します。

ステップ 3 [Client type] リスト ボックスで、テスト対象のリモート アクセス接続のタイプを指定します。

ステップ 4 [OK] をクリックします。


 

DAP への AnyConnect エンドポイント属性の追加

AnyConnect エンドポイント属性(モバイル ポスチャまたは AnyConnect アイデンティティ拡張機能(ACIDex)とも呼ばれる)は、AnyConnect VPN クライアントが ASA にポスチャ情報を伝えるために使用されます。ダイナミック アクセス ポリシーでは、このエンドポイント属性を使用してユーザを認可します。

モバイル ポスチャ属性をダイナミック アクセス ポリシーに組み込むと、エンドポイントにホスト スキャンや Cisco Secure Desktop がエンドポイントにインストールされていなくても適用できます。

モバイル ポスチャ属性の一部は、モバイル デバイスのみを実行している AnyConnect クライアントに関連し、一部のモバイル ポスチャ属性は、モバイル デバイスを実行している AnyConnect クライアントおよび AnyConnect デスクトップ クライアントの両方に関連しています。

はじめる前に

モバイル ポスチャを活用するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials ライセンスが ASA にインストールされている必要があります。これらのライセンスをインストールする企業は、DAP 属性および他の既存のエンドポイント属性に基づいてサポートされているモバイル デバイスの DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [AnyConnect] を選択します。

ステップ 2 [Client Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Client Version] フィールドで AnyConnect クライアント バージョン番号を指定します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のクライアント バージョンを評価できるほか、デスクトップやラップトップ デバイスのクライアント バージョンも評価できます。

ステップ 3 [Platform] チェックボックスをオンにして、等しい(=)または等しくない(!=)を操作フィールドで選択してから、[Platform] リスト ボックスでオペレーティング システムを選択します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のオペレーティング システムを評価できるほか、デスクトップやラップトップ デバイスのオペレーティング システムも評価できます。プラットフォームを選択すると、追加の属性フィールドである [Device Type] と [Device Unique ID] が使用可能になります。

ステップ 4 [Platform Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Platform Version] フィールドでオペレーティング システム バージョン番号を指定します。

作成する DAP レコードにこの属性も含まれるようにするには、前の手順でプラットフォームも必ず指定してください。

ステップ 5 [Platform] チェックボックスをオンにした場合は、[Device Type] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスを [Device Type] フィールドで選択するか入力します。

サポートされるデバイスであるにもかかわらず、[Device Type] フィールドのリストに表示されていない場合は、[Device Type] フィールドに入力できます。デバイス タイプ情報を入手する最も確実な方法は、AnyConnect クライアントをエンドポイントにインストールして ASA に接続し、DAP トレースを実行することです。DAP トレースの結果の中で、 endpoint.anyconnect.devicetype の値を見つけます。この値を [Device Type] フィールドに入力する必要があります。

ステップ 6 [Platform] チェックボックスをオンにした場合は、[Device Unique ID] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスの一意の ID を [Device Unique ID] フィールドに入力します。

[Device Unique ID] によって個々のデバイスが区別されるので、特定のモバイル デバイスに対するポリシーを設定できます。デバイスの一意の ID を取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、 endpoint.anyconnect.deviceuniqueid の値を見つける必要があります。この値を [Device Unique ID] フィールドに入力する必要があります。

ステップ 7 [Platform] をオンにした場合は、[MAC Addresses Pool] フィールドに MAC アドレスを追加できます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、MAC アドレスを指定します。各 MAC アドレスのフォーマットは xx-xx-xx-xx-xx-xx であることが必要です。x は有効な 16 進数文字(0 ~ 9、A ~ F、または a ~ f)です。MAC アドレスは、1 つ以上の空白スペースで区切る必要があります。

MAC アドレスによって個々のシステムが区別されるので、特定のデバイスに対するポリシーを設定できます。システムの MAC アドレスを取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、 endpoint.anyconnect.macaddress の値を見つける必要があります。この値を [MAC Address Pool] フィールドに入力する必要があります。

ステップ 8 [OK] をクリックします。


 

DAP へのファイル エンドポイント属性の追加

はじめる前に

ファイル エンドポイント属性を設定する前に、どのファイルをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [File] を選択します。

ステップ 2 [Exists] と [Does not exist] のオプション ボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものを選択します。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のファイル エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

ファイルの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4 [Last Update] チェックボックスをオンにしてから、更新日からの日数が指定の値よりも小さい(<)と大きい(>)のどちらを条件とするかを操作フィールドで選択します。更新日からの日数を [days] フィールドに入力します。

ステップ 5 [Checksum] チェックボックスをオンにしてから、テスト対象ファイルのチェックサム値と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 6 [Compute CRC32 Checksum ] をクリックすると、テスト対象のファイルのチェックサム値が計算されます。

ステップ 7 [OK] をクリックします。


 

DAP へのデバイス エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Device] を選択します。

ステップ 2 [Host Name] チェックボックスをオンにしてから、テスト対象デバイスのホスト名と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。完全修飾ドメイン名(FQDN)ではなく、コンピュータのホスト名のみを使用します。

ステップ 3 [MAC address] チェックボックスをオンにしてから、テスト対象のネットワーク インターフェイス カードの MAC アドレスと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。1 つのエントリにつき MAC アドレスは 1 つだけです。アドレスのフォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

ステップ 4 [BIOS Serial Number] チェックボックスをオンにしてから、テスト対象のデバイスの BIOS シリアル番号と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。数値フォーマットは、製造業者固有です。フォーマット要件はありません。

ステップ 5 [TCP/UDP Port Number] チェックボックスをオンにしてから、テスト対象のリスニング状態の TCP ポートと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

TCP/UDP コンボ ボックスでは、テスト対象(TCP(IPv4)、UDP(IPv4)、TCP(IPv6)、または UDP(IPv6))のポートの種類を選択します。複数のポートをテストする場合は、DAP の個々のエンドポイント属性のルールをいくつか作成し、それぞれに 1 個のポートを指定します。

ステップ 6 [Version of Secure Desktop (CSD)] チェックボックスをオンにしてから、エンドポイント上で実行されるホスト スキャン イメージのバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 7 [Version of Endpoint Assessment] チェックボックスをオンにしてから、テスト対象のエンドポイント アセスメント(OPSWAT)のバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 8 [OK] をクリックします。


 

DAP への NAC エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [NAC] を選択します。

ステップ 2 [Posture Status] チェックボックスをオンにしてから、ACS によって受信されるポスチャ トークン文字列と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。ポスチャ トークン文字列を [Posture Status] テキスト ボックスに入力します。

ステップ 3 [OK] をクリックします。


 

DAP へのオペレーティング システム エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。

ステップ 2 [OS Version] チェックボックスをオンにしてから、[OS Version] リスト ボックスで設定するオペレーティング システム(Windows、Mac、または Linux)と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 3 [OS Update] チェックボックスをオンにしてから、[OS Update] テキスト ボックスに入力する Windows、Mac、または Linux オペレーティング システムのサービス パックと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 4 [OK] をクリックします。


 

DAP へのパーソナル ファイアウォール エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。

ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。

ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のパーソナル ファイアウォール ベンダーの名前をクリックします。

ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 6 [OK] をクリックします。


 

DAP へのポリシー エンドポイント属性の追加


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Policy] を選択します。

ステップ 2 [Location] チェックボックスをオンにしてから、Cisco Secure Desktop Microsoft Windows ロケーション プロファイルと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。Cisco Secure Desktop Microsoft Windows ロケーション プロファイル文字列を [Location] テキスト ボックスに入力します。

ステップ 3 [OK] をクリックします。


 

DAP へのプロセス エンドポイント属性の追加

はじめる前に

プロセス エンドポイント属性を設定する前に、どのプロセスをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Process] を選択します。

ステップ 2 [Exists] または [Does not exist] のボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のエンドポイント ID をドロップダウン リストから選択します。

エンドポイント ID プロセス情報がリスト ボックスの下に表示されます。

ステップ 4 [OK] をクリックします。


 

DAP へのレジストリ エンドポイント属性の追加

レジストリ エンドポイント属性のスキャンは Windows オペレーティング システムにのみ適用されます。

はじめる前に

レジストリ エンドポイント属性を設定する前に、どのレジストリ キーをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Registry] を選択します。

ステップ 2 [Exists] または [Does not exist] のボタンでは、レジストリ エンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のレジストリ エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

レジストリの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4 [Value] チェックボックスをオンにしてから、操作フィールドで等しい(=)または等しくない(!=)を選択します。

ステップ 5 最初の [Value] リスト ボックスで、レジストリ キーが dword か文字列かを指定します。

ステップ 6 2 つ目の [Value] 操作リスト ボックスに、スキャン対象のレジストリ キーの値を入力します。

ステップ 7 スキャン時にレジストリ エントリの大文字と小文字の違いを無視するには、チェックボックスをオンにします。検索時に大文字と小文字を区別するには、チェックボックスをオフにしてください。

ステップ 8 [OK] をクリックします。


 

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop のプリログイン評価モジュールおよびホスト スキャン モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラムのほとんど(すべてではなく)は、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。ホスト スキャンは、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。

インストールされているプログラムがアクティブ スキャンをサポートしない場合、ホスト スキャンはそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、ホスト スキャンはそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、ホスト スキャンはそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、そのプログラムがインストールされているとしても、DAP についての情報が多く含まれる debug trace コマンドの出力にはプログラムの存在が示されません。

エンドポイント属性の定義

次に、DAP で使用できるエンドポイント選択属性を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Dynamic Access Policy Selection Criteria] ペインの [Advanced] 領域で使用します。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

 

属性タイプ
属性名
ソース
ストリングの最大長
説明

アンチスパイウェア(Cisco Secure Desktop が必要)

endpoint.as[" label "].exists

ホスト スキャン

true

--

アンチスパイウェア プログラムが存在する

endpoint.as[" label "].version

ストリング

32

バージョン

endpoint.as[" label "].description

ストリング

128

アンチスパイウェアの説明

endpoint.as[" label "].lastupdate

整数

--

アンチスパイウェア定義を更新してからの経過時間(秒)

ウイルス対策

(Cisco Secure Desktop が必要)

endpoint.av[" label "].exists

ホスト スキャン

true

--

アンチウイルス プログラムが存在する

endpoint.av[" label "].version

ストリング

32

バージョン

endpoint.av[" label "].description

ストリング

128

アンチウイルスの説明

endpoint.av[" label "].lastupdate

整数

--

アンチウイルス定義を更新してからの経過時間(秒)

AnyConnect

(Cisco Secure Desktop やホスト スキャンは必要ありません)

endpoint.anyconnect.clientversion

エンドポイント

version

--

AnyConnect クライアントのバージョン。

endpoint.anyconnect.platform

ストリング

--

AnyConnect クライアントがインストールされているオペレーティング システム。

endpoint.anyconnect.platformversion

version

64

AnyConnect クライアントがインストールされているオペレーティング システムのバージョン。

endpoint.anyconnect.devicetype

ストリング

64

AnyConnect クライアントがインストールされているモバイル デバイスのタイプ。

endpoint.anyconnect.deviceuniqueid

64

AnyConnect クライアントがインストールされているモバイル デバイスの一意の ID。

endpoint.anyconnect.macaddress

ストリング

フォーマットは xx-xx-xx-xx-xx-xx であることが必要です。x は有効な 16 進数文字です。

AnyConnect クライアントがインストールされているデバイスの MAC アドレス。

アプリケーション

endpoint.application.clienttype

アプリケーション

ストリング

--

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

デバイス

endpoint.device.hostname

エンドポイント

ストリング

64

ホスト名のみ。FQDN ではありません。

endpoint.device.MAC

ストリング

フォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

ネットワーク インターフェイス カードの MAC アドレス。1 つのエントリにつき MAC アドレスは 1 つだけです。

endpoint.device.id

ストリング

64

BIOS シリアル番号。数値フォーマットは、製造業者固有です。フォーマット要件はありません。

endpoint.device.port

ストリング

1 ~ 65535 の整数。

リスニング状態の TCP ポート。1 回線ごとに 1 つのポートを定義できます。

endpoint.device.protection_version

ストリング

64

実行されるホスト スキャン イメージのバージョン。

endpoint.device.protection_extension

ストリング

64

Endpoint Assessment(OPSWAT)のバージョン

ファイル

endpoint.file[" label "].exists

Secure Desktop

true

--

ファイルが存在する

endpoint.file[“label”].endpointid

endpoint.file[" label "].lastmodified

整数

--

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file[" label "].crc.32

整数

--

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

ストリング

--

ユーザ定義ステータス ストリング

オペレーティング システム

endpoint.os.version

Secure Desktop

ストリング

32

オペレーティング システム

endpoint.os.servicepack

整数

--

Windows のサービス パック

パーソナル ファイアウォール

(Secure Desktop が必要)

endpoint.fw[" label "].exists

ホスト スキャン

true

--

パーソナル ファイアウォールが存在する

endpoint.fw[" label "].version

ストリング

32

バージョン

endpoint.fw[" label "].description

ストリング

128

パーソナル ファイアウォールの説明

ポリシー

endpoint.policy.location

Secure Desktop

ストリング

64

Cisco Secure Desktop からのロケーション値

プロセス

endpoint.process[" label "].exists

Secure Desktop

true

--

プロセスが存在する

endpoint.process[" label "].path

ストリング

255

プロセスのフル パス

レジストリ

endpoint.registry[" label "].type

Secure Desktop

dword
ストリング

--

dword

endpoint.registry[" label "].value

ストリング

255

レジストリ エントリの値

VLAN

endoint.vlan.type

CNA

ストリング

--

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

Lua を使用した DAP における追加の DAP 選択基準の作成

この項では、AAA またはエンドポイント属性の論理式の作成方法について説明します。これを行うには、Lua に関する高度な知識が必要です。Lua のプログラミングについての詳細は、以下を参照してください。http://www.lua.org/manual/5.1/manual.html

[Advanced] フィールドに、AAA またはエンドポイント選択論理演算を表す自由形式の Lua テキストを入力します。ASDM は、ここで入力されるテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーするだけです。ASA がそれを処理し、解析不能な式があれば破棄されます。

このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された条件のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するように ASA を設定できます。エンドポイント属性は累積され、すべて満たす必要があります。セキュリティ アプライアンスで 1 つのエンドポイント属性または別の属性を使用できるようにするには、Lua で適切な論理式を作成してここで入力する必要があります。

次の各項では、Lua EVAL 式作成の詳細と、例を示します。

Lua EVAL 式を作成する構文

DAP CheckAndMsg 関数

DAP EVAL 式の例

追加の Lua 機能

Lua EVAL 式を作成する構文


) [Advanced] モードを使用する必要がある場合は、プログラムを直接的に検証することが可能になり、明確になるため、できるだけ EVAL 式を使用することをお勧めします。


EVAL(< attribute > , <comparison>, {< value > | < attribute >}, [<type>])

 

<attribute>

AAA 属性、または Cisco Secure Desktop から返された属性。属性の定義については、「エンドポイント属性の定義」を参照してください。

<comparison>

次の文字列のいずれか(引用符が必要)

“EQ”

等しい

“NE”

等しくない

“LT”

より小さい

“GT”

より大きい

“LE”

以下

“GE”

以上

<value>

引用符で囲まれ、属性と比較する値を含む文字列

<type>

次の文字列のいずれか(引用符が必要)

“string”

大文字、小文字を区別する文字列の比較

“”

大文字、小文字を区別しない文字列の比較

“integer”

数値比較で、文字列値を数値に変換

“hex”

16 進数を用いた数値比較で、16 進数の文字列を 16 進数に変換

“version”

X.Y.Z の形式でバージョンを比較 (X、Y、Z はいずれも数値)

DAP CheckAndMsg 関数

CheckAndMsg は、DAP がコールするように設定可能な Lua 関数です。条件に基づきユーザ メッセージを生成します。

DAP の [Advanced] フィールドで、CheckAndMsg を使用するように ASDM を設定できます。ASA は、Lua CheckAndMsg 関数が選択されており、結果がクライアントレス SSL VPN または AnyConnect のターミネーションとなるときだけに、メッセージをユーザに表示します。

CheckAndMsg 関数の構文は以下のとおりです。

CheckAndMsg(value, “<message string if value is true>”, “<message string if value if false>”)
 

CheckAndMsg 関数の作成時には、以下の点に注意してください。

CheckAndMsg は、最初の引数として渡された値を返します。

文字列比較を使用したくない場合、EVAL 関数を最初の引数として使用してください。次に例を示します。

(CheckAndMsg((EVAL(...)) , "true msg", "false msg"))
 

CheckandMsg は EVAL 関数の結果を返し、セキュリティ アプライアンスは DAP レコードを選択すべきかどうかを判断するのにその結果を使用します。レコードが選択された結果、ターミネーションとなった場合、セキュリティ アプライアンスは適切なメッセージを表示します。

DAP EVAL 式の例

Lua で論理式を作成する場合は、これらの例を参考にしてください。

説明

Windows XP かどうかをテストするエンドポイント。

EVAL(endpoint.os.version, “EQ”, “Windows XP”, “string”)

CLIENTLESS または CVC クライアント タイプに一致するかどうかをテストするエンドポイント式。

(EVAL(endpoint.application.clienttype,”EQ”,"CLIENTLESS") or
EVAL(endpoint.application.clienttype, “EQ”,"CVC"))

Norton Antivirus バージョン 10.x かどうかをテストするが、10.5.x は除外するエンドポイント式。

(EVAL(endpoint.av[“NortonAV”].version, “GE”, "10",”version”) and EVAL(endpoint.av[“NortonAV”].version,”LT”, "10.5", “version”) or EVAL(endpoint.av[“NortonAV”].version, “GE”, "10.6", “version”)))

単一アンチウイルス プログラム McAfee がユーザの PC にインストールされているかどうかのチェック。インストールされていない場合はメッセージを表示します。

(CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].exists,"NE","true"),"McAfee AV was not found on your computer", nil))

McAfee アンチウイルス定義が過去 10 日(864000 秒)以内に更新されたかどうかのチェック。更新が必要な場合はメッセージを表示します。

((CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,"GT","864000","integer"),"AV Update needed!Please wait for the McAfee AV till it loads the latest dat file.",nil) ))
 

debug dap trace で以下が返された後に特定のホットフィックスがあるかどうかをチェック。

endpoint.os.windows.hotfix["KB923414"] = "true";
(CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"NE","true"),"The required hotfix is not installed on your PC.",nil))

アンチウイルス プログラムのチェック

アンチウイルス プログラムがない場合、または実行していない場合も、ユーザが問題に気づき、修正できるようにメッセージを設定できます。これにより、アクセスが拒否されても、ASA は「ターミネーション」状態の原因となったすべてのメッセージを DAP から収集し、ブラウザのログイン ページに表示します。アクセスが許可された場合、ASA はポータル ページの DAP 評価プロセスで生成されたすべてのメッセージを表示します。

次の例は、Norton Antivirus プログラムのチェックでこの機能を使用する方法を示します。

1. 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

(CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "EQ", "false"),"Your Norton AV was found but the active component of it was not enabled", nil) or CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "NE", "true"),"Norton AV was not found on your computer", nil) )
 

2. 同じ [Advanced] フィールドで、[OR] ボタンをクリックします。

3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

4. Norton Antivirus がインストールされていないか、無効になっている PC から接続します。予測される結果は、接続が許可されず、 かつ メッセージが点滅する !で表示されます。

5. 点滅する ! をクリックして、メッセージを表示します。

アンチウイルス プログラム 、1 日半以上経過した定義のチェック

この例では、Norton または McAfee のアンチウイルス プログラムが存在するかどうか、また、ウイルス定義が 1 日半(10,000 秒)以内のものであるかどうかを確認します。定義が 1 日半以上経過している場合、ASA はセッションを終了し、メッセージと、修正するためのリンクを表示します。このタスクを完了するには、次の手順を実行します。

1. 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

((EVAL(endpoint.av[“NortonAV”].exists,”EQ”,”true”,”string”) and CheckAndMsg(EVAL(endpoint.av[“NortonAV”].lastupdate,”GT”,”10000”,integer”),To remediate <a href=’http://www.symantec.com ’>Click this link </a>”,nil)) or
(EVAL(endpoint.av[“McAfeeAV”].exists,”EQ”,”true”,”string”) and CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,”GT”,”10000”,integer”),To remediate <a href=’http://www.mcafee.com ’>Click this link</a>”,nil))
 

2. 同じ [Advanced] フィールドで、[AND] をクリックします。

3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

4. Norton または McAfee のアンチウイルス プログラムがインストールされており、バージョンが 1 日半以上前のものである PC から 接続します。予測される結果は、接続が許可されず、 かつ メッセージが点滅する !で表示されます。

5. 点滅する ! をクリックして、メッセージと、修復のためのリンクを表示します。

追加の Lua 機能

クライアントレス SSL VPN のダイナミック アクセス ポリシーで作業している場合、一致基準に高度な柔軟性が必要とされることが考えられます。たとえば、以下に従い別の DAP を適用しなければならない場合があります。

組織ユニット(OU)またはユーザ オブジェクトの他の階層のレベル

命名規則に従っているものの、一致する可能性が高いグループ名。グループ名ではワイルドカードを使用したほうが良い場合があります。

ASDM の [DAP] ペイン内の [Advanced] セクションで Lua 論理式を作成し、この柔軟性を実現できます。

OU ベースの一致例

DAP は、論理式で LDAP サーバから返される多数の属性を使用できます。DAP トレースの項で出力例を参照するか、debug dap trace を実行してください。

LDAP サーバはユーザの認定者名(DN)を返します。これは、ディレクトリ内のどの部分にユーザ オブジェクトがあるかを暗黙的に示します。たとえば、ユーザの DN が CN=Example User,OU=Admins,dc=cisco,dc=com である場合、このユーザは OU=Admins,dc=cisco,dc=com に存在します。すべての管理者がこの OU(または、このレベル以下のコンテナ)に存在する場合、以下のように、この基準に一致する論理式を使用できます。

assert(function()
if ( (type(aaa.ldap.distinguishedName) == "string") and
(string.find(aaa.ldap.distinguishedName, "OU=Admins,dc=cisco,dc=com$") ~= nil) ) then
return true
end
return false
end)()
 

この例では、string.find 関数で正規表現を使用できます。文字列の最後に $ を使用し、この文字列から distinguishedName フィールドの最後へのアンカーをつけます。

グループ メンバーシップの例

AD グループ メンバーシップのパターン照合のために、基本論理式を作成できます。ユーザが複数のグループのメンバーであることが考えられるため、DAP は LDAP サーバからの応答を表内の別々のエントリへと解析します。以下を実行するには、高度な機能が必要です。

memberOf フィールドを文字列として比較する(ユーザが 1 つのグループだけに所属している場合)。

返されたそれぞれの memberOf フィールドで繰り返し処理し、返されたデータが「table」タイプであるかどうかを確認する。

そのために記述し、テストした関数を以下に示します。この例では、ユーザが「-stu」で終わるいずれかのグループのメンバーである場合、この DAP に一致します。

assert(function()
local pattern = "-stu$"
local attribute = aaa.ldap.memberOf
if ((type(attribute) == "string") and
(string.find(attribute, pattern) ~= nil)) then
return true
elseif (type(attribute) == "table") then
local k, v
for k, v in pairs(attribute) do
if (string.find(v, pattern) ~= nil) then
return true
end
end
end
return false
end)()

アンチウイルスの例

次の例は、アンチウイルス ソフトウェアが検知されたかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチスパイウェアの例

次の例は、アンチスパイウェアが検知されたかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.as) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

ファイアウォールの例

次の例は、ファイアウォールが検知されたかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.fw) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチウイルス、アンチスパイウェア、 または すべてのファイアウォールの例

次の例は、アンチウイルス、アンチスパイウェアまたはファイアウォールのいずれかの存在が検知されたかどうかを確認するためにカスタム関数を使用しています。

assert(function()
function check(antix)
if (type(antix) == "table") then
for k,v in pairs(antix) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
end
return false
end
return (check(endpoint.av) or check(endpoint.fw) or check(endpoint.as))
end)()

アクセス拒否の例

アンチウイルス プログラムが存在しない場合のアクセスを拒否するために、次の関数を使用できます。ターミネーションを実行するためのアクションが設定されている DAP で使用します。

assert( function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ”, "true", "string")) then
return false
end
end
return CheckAndMsg(true, "Please install antivirus software before connecting.", nil)
end)()
 

アンチウイルス プログラムがないユーザがログインしようとすると、DAP は次のメッセージを表示します。

Please install antivirus software before connecting.

DAP アクセスと許可ポリシー属性の設定

次の各タブをクリックして、タブ内のフィールドを設定します。

[Action] タブ

特定の接続またはセッションに適用する特殊な処理を指定します。

[Continue]:(デフォルト)セッションにアクセス ポリシー属性を適用します。

[Quarantine]:検疫を使用すると、すでに VPN 経由でトンネルを確立した特定のクライアントを制限できます。ASA は、制限付き ACL をセッションに適用して制限付きグループを形成します。この基になるのは、選択された DAP レコードです。管理目的で定義されたポリシーにエンドポイントが準拠していないときも、ユーザは修復のためのサービス(たとえばアンチウイルス アプリケーションのアップデート)にアクセスできますが、そのユーザには制限が適用されます。修復後、ユーザは再接続できます。この再接続により、新しいポスチャ アセスメントが起動されます。このアセスメントに合格すると、接続されます。このパラメータを使用するには、AnyConnect セキュア モビリティ機能をサポートしている AnyConnect リリースが必要です。

[Terminate]:セッションを終了します。

[User Message]:この DAP レコードが選択されるときに、ポータル ページに表示するテキスト メッセージを入力します。最大 490 文字です。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。数件の DAP レコードが選択され、それぞれにユーザ メッセージがある場合は、ユーザ メッセージがすべて表示されます。

URL やその他の埋め込みテキストを含めることができます。この場合は、正しい HTML タグを使用する必要があります。例:すべてのコントラクタは、ご使用のアンチウイルス ソフトウェアのアップグレード手順について、<a href='http://wwwin.example.com/procedure.html'> Instructions</a> を参照してください。

[Network ACL Filters] タブ

この DAP レコードに適用するネットワーク ACL を選択および設定できます。DAP の ACL には、許可ルールまたは拒否ルールを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。

[Network ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みのネットワーク ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。このフィールドは、IPv4 および IPv6 ネットワーク トラフィックのアクセス ルールを定義できる統合 ACL をサポートしています。

[Manage...]:ネットワーク ACL を追加、編集、および削除するときにクリックします。

[Network ACL] リスト:この DAP レコードのネットワーク ACL が表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択したネットワーク ACL が右側の [Network ACLs] リストに追加されます。

[Delete]:クリックすると、強調表示されているネットワーク ACL が [Network ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Web-Type ACL Filters (clientless)] タブ

この DAP レコードに適用する Web タイプ ACL を選択および設定できます。DAP の ACL には、許可または拒否ルールだけを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。

[Web-Type ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みの Web タイプ ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。

[Manage...]:Web タイプ ACL を追加、編集、および削除するときにクリックします。

[Web-Type ACL] リスト:この DAP レコードの Web タイプ ACL が表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択した Web タイプ ACL が右側の [Web-Type ACLs] リストに追加されます。

[Delete]:クリックすると、Web タイプ ACL の 1 つが [Web-Type ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Functions] タブ

DAP レコードのファイル サーバ入力とブラウジング、HTTP プロキシ、および URL 入力を設定できます。

[File Server Browsing]:ファイル サーバまたは共有機能の CIFS ブラウジングをイネーブルまたはディセーブルにします。

ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。CIFS ブラウズ機能では、国際化がサポートされていません。

[File Server Entry]:ポータル ページでユーザがファイル サーバのパスおよび名前を入力できるようにするかどうかを設定します。イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドロワが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。

[HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送に関与します。このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、自動的にブラウザの古いプロキシ コンフィギュレーションを変更して、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。

[URL Entry]:ポータル ページでユーザが HTTP/HTTPS URL を入力できるようにするかどうかを設定します。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。

SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとは限りません。SSL VPN は、企業ネットワーク上のリモート ユーザの PC やワークステーションと ASA との間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業の ASA から目的の Web サーバまでの通信はセキュアではありません。

クライアントレス VPN 接続では、ASA はエンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、ASA はセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、ASA は、信頼できる CA 証明書の検証も実行しません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。

ユーザのインターネット アクセスを制限するには、[Disable for the URL Entry] フィールドを選択します。これにより、SSL VPN ユーザがクライアントレス VPN 接続中に Web サーフィンできないようにします。

[Unchanged]:(デフォルト)クリックすると、このセッションに適用されるグループ ポリシーからの値が使用されます。

[Enable/Disable]:機能をイネーブルにするかディセーブルにするかを指定します。

[Auto-start]:クリックすると HTTP プロキシがイネーブルになり、これらの機能に関連付けられたアプレットが DAP レコードによって自動的に起動するようになります。

[Port Forwarding Lists] タブ

ユーザ セッションのためのポート転送リストを選択および設定できます。

ポート転送によりグループ内のリモート ユーザは、既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできます。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。


) ポート転送は、一部の SSL/TLS バージョンでは使用できません。



注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートする Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされていることを確認します。

[Port Forwarding]:この DAP レコードに適用されるポート転送リストのオプションを選択します。このフィールドのその他の属性は、[Port Forwarding] を [Enable] または [Auto-start] に設定した場合にだけイネーブルになります。

[Unchanged]:クリックすると、属性が実行コンフィギュレーションから削除されます。

[Enable/Disable]:ポート転送をイネーブルにするかディセーブルにするかを指定します。

[Auto-start]:クリックするとポート転送がイネーブルになり、DAP レコードのポート転送リストに関連付けられたポート転送アプレットが自動的に起動するようになります。

[Port Forwarding List] ドロップダウン リスト:DAP レコードに追加する、設定済みのポート転送リストを選択します。

[New...]:新規のポート転送リストを設定するときにクリックします。

[Port Forwarding Lists](ラベルなし):DAP レコードのポート転送リストが表示されます。

[Add]:クリックすると、ドロップダウン リストで選択したポート転送リストが右側のポート転送リストに追加されます。

[Delete]:クリックすると、選択されているポート転送リストがポート転送リストから削除されます。ASA からポート転送リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。

[Bookmarks] タブ

特定のユーザ セッション URL のブックマークを選択および設定できます。

[Enable bookmarks]:クリックするとイネーブルになります。このチェックボックスがオフのときは、接続のポータル ページにブックマークは表示されません。

[Bookmark] ドロップダウン リスト:DAP レコードに追加する、設定済みのブックマークを選択します。

[Manage...]:ブックマークを追加、インポート、エクスポート、削除するときにクリックします。

[Bookmarks](ラベルなし):この DAP レコードの URL リストが表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択したブックマークが右側の URL 領域に追加されます。

[Delete]:クリックすると、選択されているブックマークが URL リスト領域から削除されます。ASA からブックマークを削除するには、まず DAP レコードからそのブックマークを削除する必要があります。

[Access Method] タブ

許可するリモート アクセスのタイプを設定できます。

[Unchanged]:現在のリモート アクセス方式を引き続き使用します。

[AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。

[Web-Portal]:クライアントレス VPN で接続します。

[Both-default-Web-Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。

[Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。

[AnyConnect] タブ

Always-on VPN フラグのステータスを選択できます。

[Always-On VPN for AnyConnect client]:AnyConnect サービス プロファイル内の Always-on VPN フラグ設定を未変更にするか、ディセーブルにするか、AnyConnect プロファイル設定を使用するかを指定します。

このパラメータを使用するには、Cisco IronPort Web セキュリティ アプライアンスのリリースが、Cisco AnyConnect VPN クライアントに対してセキュア モビリティ ソリューション ライセンシングをサポートしている必要があります。また、AnyConnect のリリースが、「セキュア モビリティ ソリューション」の機能をサポートしている必要もあります。詳細については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

[AnyConnect Custom Attributes] タブ

このポリシーに現在割り当てられているカスタム属性を示します。このダイアログボックスでは、すでに定義済みのカスタム属性をこのポリシーに関連付けるか、カスタム属性を定義してこのポリシーに関連付けることができます。

カスタム属性は AnyConnect クライアントに送信され、アップグレードの延期などの機能を設定するために使用されます。カスタム属性にはタイプと名前付きの値があります。まず属性のタイプを定義した後、このタイプの名前付きの値を 1 つ以上定義できます。機能に対して設定する固有のカスタム属性の詳細については、使用している AnyConnect リリースの『 Cisco AnyConnect Secure Mobility Client Administrator Guide 』を参照してください。

カスタム属性は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] および [AnyConnect Custom Attribute Names] で事前に定義できます。事前に定義したカスタム属性は、ダイナミック アクセス ポリシーとグループ ポリシーの両方で使用されます。

カスタム属性の設定手順は両方のタイプのポリシーで同じであるため、この手順については「内部グループ ポリシーの AnyConnect クライアント カスタム属性について」を参照してください。

DAP トレースの実行

DAP トレースを実行すると、すべての接続済みデバイスの DAP エンドポイント属性が表示されます。


ステップ 1 SSH ターミナルから ASA にログオンして特権 EXEC モードを開始します。

ASA の特権 EXEC モードでは、表示されるプロンプトは hostname# となります。

ステップ 2 DAP デバッグをイネーブルにします。セッションのすべての DAP 属性がターミナル ウィンドウに表示されます。

hostname# debug dap trace
endpoint.anyconnect.clientversion="0.16.0021";
endpoint.anyconnect.platform="apple-ios";
endpoint.anyconnect.platformversion="4.1";
endpoint.anyconnect.devicetype="iPhone1,2";
endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75";
 

ステップ 3 (オプション)DAP トレースの出力を検索するには、コマンドの出力をシステム ログに送ります。ASA でのロギングの詳細については、『 Cisco ASA Series General Operations ASDM Configuration Guide 』の「 Configure Logging 」を参照してください。


 

DAP の例

DAP を使用したネットワーク リソースの定義

DAP を使用した WebVPN ACL の適用

CSD チェックの強制と DAP によるポリシーの適用

DAP を使用したネットワーク リソースの定義

この例は、ユーザまたはグループのネットワーク リソースを定義する方法として、ダイナミック アクセス ポリシーを設定する方法を示しています。Trusted_VPN_Access という名前の DAP ポリシーは、クライアントレス VPN アクセスと AnyConnect VPN アクセスを許可します。Untrusted_VPN_Access という名前のポリシーは、クライアントレス VPN アクセスだけを許可します。


ステップ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] に移動し、ポリシーごとに次の属性を設定します。

 

属性
Trusted_VPN_Access
Untrusted_VPN_Access

Endpoint Attribute Type Policy

信頼できる

信頼できない

Endpoint Attribute Process

ieexplore.exe

--

Advanced Endpoint Assessment

AntiVirus= McAfee Attribute

CSD Location

信頼できる

信頼できない

LDAP memberOf

Engineering、Managers

ベンダー

ACL

Web-Type ACL

Access

AnyConnect および Web Portal

Web Portal


 

DAP を使用した WebVPN ACL の適用

DAP では、Network ACLs(IPsec および AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、URL リスト、および Functions を含め、アクセス ポリシー属性のサブセットを直接適用できます。グループ ポリシーが適用されるバナーまたはスプリット トンネル リストなどには、直接適用できません。[Add/Edit Dynamic Access Policy] ペインの [Access Policy Attributes] タブには、DAP が直接適用される属性の完全なメニューが表示されます。

Active Directory/LDAP は、ユーザ グループ ポリシー メンバーシップをユーザ エントリの「memberOf」属性として保存します。DAP は、AD グループ(memberOf)のユーザ = ASA が設定済み Web タイプ ACL を適用する Engineering となるように定義します。


ステップ 1 ASDM で、[Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 ペインの [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タブをクリックします。

ステップ 6 [Web-Type ACL] ドロップダウン リストを使用して、AD グループ(memberOf)= Engineering のユーザに適用する ACL を選択します。


 

CSD チェックの強制と DAP によるポリシーの適用

この例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering および Employees)と 1 つの特定 ASA トンネル グループに属することをチェックする DAP を作成します。その後、ACL をユーザに適用します。

DAP が適用される ACL により、リソースへのアクセスを制御します。それらの ACL は、ASA のグループ ポリシーで定義されるどの ACL よりも優先されます。また ASA は、スプリット トンネリング リスト、バナー、および DNS など、DAP で定義または制御しない要素の通常の AAA グループ ポリシー継承ルールおよび属性を適用します。


ステップ 1 ASDM で、[Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 6 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Employees」と入力します。

ステップ 7 AAA 属性タイプとしては、ドロップダウン リストを使用して [Cisco] を選択します。

ステップ 8 [Tunnel] グループ ボックスをオンにし、ドロップダウン リストを使用して [=] を選択し、隣のドロップダウン リストで適切なトンネル グループ(接続ポリシー)を選択します。

ステップ 9 [Access Policy Attributes] 領域の [Network ACL Filters] タブで、前のステップで定義した DAP 基準を満たすユーザに適用する ACL を選択します。