Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

認可および認証用の外部サーバの設定

権限およびアトリビュートのポリシー実施の概要

外部 LDAP サーバの設定

LDAP 操作用のセキュリティ アプライアンスの編成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

Active Directory の Login DN の例

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

LDAP 認可でサポートされている Cisco アトリビュート

Cisco-AV-Pair アトリビュート シンタックス

Active Directory/LDAP VPN リモート アクセスの認可の使用例

ユーザベース アトリビュート ポリシーの適用

LDAP ユーザの特定のグループ ポリシーへの追加

AnyConnect トンネルでのスタティック IP アドレス割り当ての適用

Dial-in Allow または Deny Access の適用

ログイン時間および Time-of-Day ルールの適用

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

外部 TACACS+ サーバの設定

認可および認証用の外部サーバの設定

この付録では、セキュリティ アプライアンス上で AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバを設定する方法について説明します。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、正しいセキュリティ アプライアンス認可アトリビュートでサーバを設定し、アトリビュートのサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。

この付録では、次の項目を取り上げます。

「権限およびアトリビュートのポリシー実施の概要」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限およびアトリビュートのポリシー実施の概要

セキュリティ アプライアンスは、ユーザ認可アトリビュート(ユーザ資格または権限とも呼ばれます)を VPN 接続に適用する方法をいくつかサポートしています。セキュリティ アプライアンスは、ユーザ アトリビュートをセキュリティ アプライアンスの Dynamic Access Policy(DAP)、外部認証または認可 AAA サーバ(RADIUS または LDAP)あるいはその両方、セキュリティ アプライアンスのグループ ポリシー、あるいはこれら 3 つのすべてから取得するように設定できます。

セキュリティ アプライアンスがすべてのソースからアトリビュートを受信すると、アトリビュートは評価およびマージされ、ユーザ ポリシーに適用されます。DAP、AAA サーバまたはグループ ポリシーから取得したアトリビュートの間で衝突がある場合、DAP から取得したアトリビュートが常に優先されます。

セキュリティ アプライアンスは、次の順序でアトリビュートを適用します(図 D-1 も参照)。

1. セキュリティ アプライアンスの DAP アトリビュート:バージョン 8.0 で導入されました。このアトリビュートは常に優先されます。DAP でブックマーク/URL リストを設定している場合、グループ ポリシーで設定されているブックマーク/URL リストが上書きされます。

2. AAA サーバのユーザ アトリビュート:ユーザ認証または認可あるいはその両方が成功すると、サーバはこれらを返します。これらのアトリビュートは、セキュリティ アプライアンス(ASDM のユーザ アカウント)のローカル AAA データベースの個々のユーザに設定されているアトリビュートとは異なる点に注意してください。

3. セキュリティ アプライアンスで設定されているグループ ポリシー:RADIUS サーバにより、ユーザの RADIUS CLASS アトリビュート IETF-Class-25(OU=<group-policy>)の値が返される場合、セキュリティ アプライアンスは、同じ名前のグループ ポリシーにユーザを追加し、サーバから返されないアトリビュートをグループ ポリシーに適用します。LDAP サーバの場合、アトリビュート名は、セッションのグループ ポリシーの設定に使用できます。セキュリティ アプライアンスで設定する LDAP アトリビュートは、LDAP アトリビュートを Cisco アトリビュート IETF-Radius-Class にマッピングします。

4. 接続プロファイル(CLI ではトンネル グループと呼ばれます)により割り当てられるグループ ポリシー:接続プロファイルは、接続の暫定的な設定を含み、認証前のユーザに適用されるデフォルトのグループ ポリシーが設定されています。セキュリティ アプライアンスに接続するすべてのユーザは、最初に、DAP、サーバにより返されるユーザ アトリビュート、またはユーザに割り当てられるグループ ポリシーで不足しているアトリビュートを提供するこのグループに属します。

5. セキュリティ アプライアンスにより割り当てられるデフォルト グループ ポリシー(DfltGrpPolicy):システム デフォルト アトリビュートは、DAP、ユーザ アトリビュート、グループ ポリシー、または接続プロファイルで不足している値を提供します。

図 D-1 ポリシーの適用フロー

 

外部 LDAP サーバの設定

VPN 3000 コンセントレータおよび ASA/PIX 7.0 では、認可操作のために Cisco LDAP スキーマが必要でした。Version 7.1.x 以降では、セキュリティ アプライアンスは、ネイティブ LDAP スキーマを使用して認証 および 認可を実行するため、Cisco スキーマは必要なくなりました。

認可(権限ポリシー)は、LDAP アトリビュート マップを使用して設定します。例については、
「Active Directory/LDAP VPN リモート アクセスの認可の使用例」を参照してください。

この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目を取り上げます。

「LDAP 操作用のセキュリティ アプライアンスの編成」

「セキュリティ アプライアンスの LDAP コンフィギュレーションの定義」

「Active Directory/LDAP VPN リモート アクセスの認可の使用例」

これらのプロセスのうちの特定のステップは、使用する LDAP サーバのタイプによって異なります。


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


LDAP 操作用のセキュリティ アプライアンスの編成

この項では、LDAP 階層、およびセキュリティ アプライアンスの LDAP サーバへの認証済みバインディング内で検索を実行する方法について説明します。次の項目を取り上げます。

「階層の検索」

「セキュリティ アプライアンスと LDAP サーバのバインディング」

「Active Directory の Login DN の例」

LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 D-2 を参照してください。

マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図 D-2 マルチレベルの LDAP 階層

 

階層の検索

セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合せて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN は、サーバがセキュリティ アプライアンスから認可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。

Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前アトリビュートは、cn(通常名)、sAMAccountName、userPrincipalName です。

図 D-2 では、Example Corporation で可能な LDAP 階層の例を示します。この階層を指定すると、複数の方法で検索を定義できます。 表 D-1 は、2 種類の可能な検索のコンフィギュレーションを示します。

最初のコンフィギュレーションの例では、Terry が必要な LDAP 認可を得て自身の IPSec トンネル接続を確立すると、セキュリティ アプライアンスは LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検索は短時間で行えます。

2 番目のコンフィギュレーションの例では、セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 D-1 検索コンフィギュレーションの例

#
LDAP Base DN
検索範囲
名前アトリビュート
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索が高速

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ユーザの認証要求に Login DN フィールドを付加することで、自身が認証バインディングされていることを示します。Login DN フィールドでは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理特権を持つユーザの特性に対応している必要があります。たとえば、Login DN フィールドを cn=Administrator、cn=users、ou=people、dc=example、dc=com のように定義できます。


) LDAP クライアントとして、セキュリティ アプライアンスは、匿名バインドまたは要求をサポートしません。


Active Directory の Login DN の例

Login DN は、LDAP サーバ上のユーザ名で、セキュリティ アプライアンスはこれを使用して、Bind 交換中にユーザ検索を実行する前に、それ自体(LDAP クライアント)と LDAP サーバとの信頼関係を確立します。

VPN 認証/認可操作、およびバージョン 8.0.4 以降の AD グループの取得(パスワード管理変更が必要ない場合だけの読み取り操作)では、より少ない権限の Login DN を使用できます。たとえば、Login DN は、Domain Users グループのメンバーであるユーザにすることができます。

VPN パスワード管理変更が必要な場合、Login DN には Account Operators 権限が必要です。

いずれの場合でも、Login/Bind DN にスーパーユーザ レベルの権限は必要ありません。特定の Login DN 要件については、LDAP の管理者ガイドを参照してください。

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

この項では、LDAP AV-pair アトリビュート シンタックスの定義方法について説明します。次の項目について説明します。

「LDAP 認可でサポートされている Cisco アトリビュート」

「Cisco-AV-Pair アトリビュート シンタックス」


) セキュリティ アプライアンスは、数値の ID ではなくアトリビュート名に基づいて LDAP アトリビュートを使用します。一方、RADIUS アトリビュートには、名前ではなく数値の ID が使用されます。

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

ソフトウェア バージョン 7.0 の場合、LDAP アトリビュートには cVPN3000 プレフィクスが含まれます。このプレフィクスは、Version 7.1 以降で削除されました。


LDAP 認可でサポートされている Cisco アトリビュート

ここでは、ASA 5500、VPN 3000、PIX 500 の各シリーズ セキュリティ アプライアンスのアトリビュート( 表 D-2 )の詳細なリストを示します。この表では、これらのセキュリティ アプライアンスが混在した環境でネットワークを設定する場合に役に立つ、VPN 3000 および PIX 500 シリーズのアトリビュート サポート情報を示します。

 

表 D-2 LDAP 認可でセキュリティ アプライアンスがサポートする Cisco アトリビュート

アトリビュート名/
VPN 3000
ASA
PIX
シンタックス/
タイプ
シングルまたはマルチ値
有効な値

Access-Hours

Y
Y
Y
文字列
シングル
time-range の名前
(Business-Hours など)

Allow-Network-Extension- Mode

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

整数

シングル

1 ~ 35791394 分

Authorization-Required

Y

整数

シングル

0 = No
1 = Yes

Authorization-Type

Y

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Auth-Service-Type

Banner1

Y

Y

Y

文字列

シングル

バナー文字列

Banner2

Y

Y

Y

文字列

シングル

バナー文字列

Cisco-AV-Pair

Y

Y

Y

文字列

マルチ

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、「Cisco-AV-Pair アトリビュート シンタックス」を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

文字列

シングル

IPSec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

整数

シングル

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

文字列

シングル

IP アドレス

DN-Field

Y

Y

Y

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

Firewall-ACL-In

Y

Y

文字列

シングル

アクセス リスト ID

Firewall-ACL-Out

Y

Y

文字列

シングル

アクセス リスト ID

IE-Proxy-Bypass-Local

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IE-Proxy-Exception-List

文字列

シングル

DNS ドメインのリスト。エントリは新規行文字シーケンス(\n)で区切らなければなりません。

IE-Proxy-Method

Y

Y

Y

整数

シングル

1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = セキュリティ アプライアンス設定を使用する

IE-Proxy-Server

Y

Y

Y

整数

シングル

IP アドレス

IETF-Radius-Class

Y

Y

Y

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。

IETF-Radius-Filter-Id

Y

Y

Y

文字列

シングル

セキュリティ アプライアンスで定義されているアクセス リスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

文字列

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

文字列

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

整数

シングル

IETF-Radius-Service-Type

Y

Y

Y

整数

シングル

IETF-Radius-Session-Timeout

Y

Y

Y

整数

シングル

IKE-Keep-Alives

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Allow-Passwd-Store

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Authentication

Y

Y
Y
整数
シングル
0 = なし
1 = RADIUS
2 = LDAP(認可限定)
3 = NT ドメイン
4 = SDI(RSA)
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

IPSec-Auth-On-Rekey

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Backup-Server-List

Y

Y

Y

文字列

シングル

サーバ アドレス(スペース区切り)

IPSec-Backup-Servers

Y

Y

Y

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPSec-Client-Firewall-Filter- Name

Y

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

整数

シングル

0 = 必須
1 = オプション

IPSec-Default-Domain

Y

Y

Y

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-IKE-Peer-ID-Check

Y

Y

Y

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPSec-IP-Compression

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Mode-Config

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

整数

シングル

4001 ~ 49151、デフォルトは 10000

IPSec-Required-Client-Firewall-
Capability

Y

Y

Y

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Sec-Association

Y

文字列
シングル
セキュリティ アソシエーションの名前

IPSec-Split-DNS-Names

Y

Y

Y

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Split-Tunneling-Policy

Y

Y

Y

整数

シングル

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Split-Tunnel-List

Y

Y

Y

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPSec-Tunnel-Type

Y

Y

Y

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-User-Group-Lock

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

文字列

シングル

IP アドレス

PFS-Required

Y

Y

Y

ブーリアン

シングル

0 = No
1 = Yes

Port-Forwarding-Name

Y

Y

文字列

シングル

名前の文字列(「Corporate-Apps」など)

PPTP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Primary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

Privilege-Level

Required-Client- Firewall-Vendor-Code

Y

Y

Y

整数

シングル

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

文字列

シングル

文字列

Required-Client-Firewall- Product-Code

Y

Y

Y

整数

シングル

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Secondary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

SEP-Card-Assignment

整数
シングル
使用しない

Simultaneous-Logins

Y
Y
Y
整数
シングル
0 ~ 2147483647

Strip-Realm

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

シングル

TACACS-Privilege-Level

Y

Y

Y

整数

シングル

Tunnel-Group-Lock

Y

Y

文字列

シングル

トンネル グループの名前または「none」

Tunneling-Protocols

Y

Y

Y

整数
シングル
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN
8 および 4 は相互排他値
(0 ~ 11、16 ~ 27 は有効値)

Use-Client-Address

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

文字列

シングル

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

整数

シングル

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

文字列

シングル

サーバのパスワード

WebVPN-ACL-Filters

Y

文字列

シングル

アクセス リスト名

WebVPN-Apply-ACL-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Support-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Content-Filter- Parameters

Y

Y

整数

シングル

1 = Java および ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

複数のパラメータをフィルタリングするには値を加算します。たとえば、Java スクリプトとクッキーの両方をフィルタリングするには 10 を入力します(10 = 2 + 8)。

WebVPN-Enable-functions

整数

シングル

使用しない(廃止)

WebVPN-Exchange-Server- Address

文字列

シングル

使用しない(廃止)

WebVPN-Exchange-Server- NETBIOS-Name

文字列

シングル

使用しない(廃止)

WebVPN-File-Access-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-
Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

文字列

シングル

ポート転送リスト名

WebVPN-Homepage

Y

Y

文字列

シングル

URL(http://example-portal.com など)

WebVPN-Macro-Substitution-
Value1

Y

Y

文字列

シングル

WebVPN-Macro-Substitution-
Value2

Y

Y

文字列

シングル

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

文字列

シングル

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッド ピア検知値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

整数

シングル

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッド ピア検知値(30 ~ 3600 秒)

WebVPN-SVC-Keepalive

Y

Y

整数

シングル

0 = ディセーブル
n = キープアライブ値(15 ~ 600 秒)

WebVPN-SVC-Keep-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

整数

シングル

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

整数

シングル

0 = ディセーブル
n = 分単位の再試行間隔
(4 ~ 10080 分)

WebVPN-SVC-Required-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

文字列

シングル

URL リスト名

Cisco-AV-Pair アトリビュート シンタックス

Cisco-AV-Pair ルールのシンタックスは次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 D-3 でシンタックス ルールについて説明します。

 

表 D-3 AV-Pair アトリビュートのシンタックス ルール

フィールド
説明

Prefix

AV ペアの一意の識別子。たとえば、 ip:inacl#1= (標準アクセス リストに使用)または webvpn:inacl# (クライアントレス SSL VPN アクセス リストに使用)などです。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Action

deny、permit など、ルールが一致した場合に実行するアクション。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、ip、tcp、udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスで指定する場合、続いて Source Wildcard Mask を指定する必要があります。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。

Destination

パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスで指定する場合、続いて Source Wildcard Mask を指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

次の例を参考にしてください。

ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log
 
webvpn:inacl#1=permit url http://www.website.com
webvpn:inacl#2=deny smtp any host 10.1.3.5
webvpn:inacl#3=permit url cifs://mar_server/peopleshare1
 

) リモート IPSec トンネルおよび SSL VPN Client(SVC; SSL VPN クライアント)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィクス ip:inacl# を追加して使用してください。

SSL VPN クライアントレス(ブラウザモード)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィクス webvpn:inacl# を追加して使用してください。


表 D-4 に、Cisco-AV-Pair アトリビュートのトークン一覧を示します。

 

表 D-4 セキュリティ アプライアンスでサポートされるトークン

トークン
シンタックスのフィールド
説明

ip:inacl# Num =

該当なし(識別子)

Num は一意の整数)AV ペアのアクセス コントロール リストをすべて開始します。リモート IPSec および SSL VPN(SVC)トンネルにアクセス リストを適用します。

webvpn:inacl# Num =

該当なし(識別子)

Num は一意の整数)クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルに強制的にアクセス リストを適用します。

deny

Action

アクションを拒否します (デフォルト)。

permit

Action

アクションを許可します。

icmp

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

1

Protocol

インターネット制御メッセージ プロトコル(ICMP)。

IP

Protocol

Internet Protocol(IP; インターネット プロトコル)。

0

Protocol

インターネット プロトコル(IP)。

TCP

Protocol

Transmission Control Protocol(TCP; 伝送制御プロトコル)。

6

Protocol

伝送制御プロトコル(TCP)。

UDP

Protocol

ユーザ データグラム プロトコル(UDP)。

17

Protocol

ユーザ データグラム プロトコル(UDP)。

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字文字列。

log

Log

イベントが一致すると、フィルタ ログ メッセージが表示されます (permit and log または deny and log の場合と同様)。

lt

Operator

値より小さい。

gt

Operator

値より大きい。

eq

Operator

値と等しい。

neq

Operator

値と等しくない。

range

Operator

この範囲に含まれる。range の後に 2 つの値を続ける必要があります。

Active Directory/LDAP VPN リモート アクセスの認可の使用例

この項では、Microsoft Active Directory サーバを使用しているセキュリティ アプライアンスで認証および認可を設定するための手順の例を示します。ここで、次の使用例について説明します。

「ユーザベース アトリビュート ポリシーの適用」

「LDAP ユーザの特定のグループ ポリシーへの追加」

「AnyConnect トンネルでのスタティック IP アドレス割り当ての適用」

「Dial-in Allow または Deny Access の適用」

「ログイン時間および Time-of-Day ルールの適用」

Cisco.com で利用できるその他の設定例については、次の TechNote を参照してください。

ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login

http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml

ユーザベース アトリビュート ポリシーの適用

任意の標準 LDAP アトリビュートを既知の ベンダー固有属性にマッピングできます。同様に、1 つ以上の LDAP アトリビュートを 1 つ以上の Cisco LDAP アトリビュートにマッピングできます。

この使用例では、AD LDAP サーバで設定されているユーザに簡単なバナーを適用するようにセキュリティ アプライアンスを設定します。この例では、サーバで、[General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドは、physicalDeliveryOfficeName というアトリビュートを使用します。また、セキュリティ アプライアンスで、physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングするアトリビュート マップを作成します。認証中、セキュリティ アプライアンスは、サーバから physicalDeliveryOfficeName の値を受け取り、この値を Cisco アトリビュート Banner1 にマッピングして、バナーをユーザに表示します。

この例は、IPSec VPN クライアント、AnyConnect SSL VPN Client またはクライアントレス SSL VPN など、任意の接続タイプに適用されます。この例では、User1 は、クライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD/LDAP サーバでユーザのアトリビュートを設定します。

ユーザを右クリックします。プロパティ ウィンドウ(図 D-3)が表示されます。[General] タブをクリックして、バナー テキストを [Office] フィールドに入力します。[Office] フィールドでは、AD/LDAP アトリビュート physicalDeliveryOfficeName が使用されます。

図 D-3 図 3:LDAP ユーザの設定

 

ステップ 2 LDAP アトリビュート マップをセキュリティ アプライアンスで作成します。

次に、マップ Banner を作成して、AD/LDAP アトリビュート physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングする例を示します。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次に、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 で aaa-server- host コンフィギュレーション モードを開始し、ステップ 2 で作成したアトリビュート マップ Banner を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 4 バナー適用をテストします。

次に、クライアントレス SSL 接続と、ユーザ認証後にアトリビュート マップを介して適用されるバナーの例(図 D-4)を示します。

図 D-4 表示されるバナー

 

LDAP ユーザの特定のグループ ポリシーへの追加

この例では、セキュリティ アプライアンスの特定のグループ ポリシーに対して、AD LDAP サーバで User1 を認証します。また、サーバで、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次に、アトリビュート マップを作成して、Department を Cisco アトリビュート IETF-Radius-Class にマッピングします。認証中、セキュリティ アプライアンスは、サーバから Department の値を受け取り、この値を IETF-Radius-Class にマッピングして、User1 をグループ ポリシーに追加します。

この例は、IPSec VPN クライアント、AnyConnect SSL VPN Client またはクライアントレス SSL VPN など、任意の接続タイプに適用されます。この例では、User1 は、クライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD LDAP サーバでユーザのアトリビュートを設定します。

ユーザを右クリックします。[Properties] ウィンドウ(図 D-5)が表示されます。[Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。

図 D-5 AD LDAP の Department アトリビュート

 

ステップ 2 ステップ 1 に示されている LDAP 設定のアトリビュート マップを定義します。

この例では、AD アトリビュート Department を Cisco アトリビュート IETF-Radius-Class にマッピングします。次の例を参考にしてください。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次に、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 で aaa-server- host コンフィギュレーション モードを開始し、ステップ 2 で作成したアトリビュート マップ group_policy を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 4 新しい group-policy をセキュリティ アプライアンスに追加し、ユーザに割り当てられる必須ポリシー アトリビュートを設定します。この例では、Group-policy-1 を作成しました。これは、サーバで [Department] フィールドに入力した名前です。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 5 ユーザが実際に実行するように VPN 接続を確立して、セッションが Group-Policy1 からアトリビュート(およびデフォルト group-policy からその他の該当するアトリビュート)を継承するか確認します。

セキュリティ アプライアンスとサーバ間の通信をモニタするには、特権 EXEC モードから debug ldap 255 コマンドを入力します。次に、このコマンドの出力例を示します。この出力はキー メッセージを示すように編集されています。

[29] Authentication successful for user1 to 3.3.3.4

[29] Retrieving user attributes from server 3.3.3.4

[29] Retrieved Attributes:

[29] department: value = Group-Policy-1

[29] mapped to IETF-Radius-Class: value = Group-Policy-1

AnyConnect トンネルでのスタティック IP アドレス割り当ての適用

この例では、スタティック IP アドレスを受け取るように AnyConnect クライアント ユーザ Web1 を設定します。AD LDAP サーバで [Dialin] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドは、msRADIUSFramedIPAddress アトリビュートを使用します。次に、これを Cisco アトリビュート IETF-Radius-Framed-IP-Address にマッピングするアトリビュート マップを作成します。

認証中、セキュリティ アプライアンスは、サーバから msRADIUSFramedIPAddress の値を受け取り、この値を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマッピングして、スタティック アドレスを User1 に渡します。

この例は、IPSec クライアントおよび SSL VPN クライアント(AnyConnect クライアント 2.x およびレガシー SSL VPN クライアント)などのフルトンネル クライアントに適用されます。


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザ名を右クリックします。[Properties] ウィンドウ(図 D-6)が表示されます。[Dialin] タブをクリックし、[Assign Static IP Address] を選択して、IP アドレスを入力します。この例では、3.3.3.233 と入力します。

図 D-6 スタティック IP アドレスの割り当て

 

ステップ 2 ステップ 1 に示されている LDAP 設定のアトリビュート マップを作成します。

この例では、[Static Address] フィールドで使用される AD アトリビュート msRADIUSFrameIPAddress を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマッピングします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFrameIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次に、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 で aaa-server- host コンフィギュレーション モードを開始し、ステップ 2 で作成したアトリビュート マップ static_address を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 4 show run all vpn-addr-assign コマンドを使用して構成のこの部分を表示することで、 vpn-address-assigment コマンドが、aaa を指定するように設定されているか確認します。

vpn-addr-assign aaa

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa <<<< ensure this configured.
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#

 

ステップ 5 AnyConnect クライアントでセキュリティ アプライアンスとの接続を確立します。次の点に注意してください。

バナーはクライアントレス接続と同じ順序で受信されます(図 D-7 を参照)。

ユーザは、サーバで設定されセキュリティ アプライアンスにマッピングされる IP アドレスを受信します(図 D-8 を参照してください)。

図 D-7 AnyConnect セッションのバナーの確認

 

図 D-8 確立された AnyConnect セッション

 

 


 

セッションの詳細を表示し、割り当てられたアドレスを確認するには、 show vpn-sessiondb svc コマンドを使用します。また、AnyConnect クライアントの接続が切断されてから経過した時間を表示することもできます。セッションがアクティブの場合、この [Inactivity] フィールドに 00:00m:00s が表示されます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 3.3.3.233 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : UseCase3_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
Inactivity : 0h:28m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 
BXB-ASA5540#

Dial-in Allow または Deny Access の適用

この例では、ユーザにより許可されているトンネリング プロトコルを指定する LDAP アトリビュート マップを作成します。また、[Dialin] タブの [Allow Access] および [Deny Access] 設定を Cisco アトリビュート トンネリング プロトコルにマッピングします。Cisco トンネリング プロトコルは、 表 D-5 に示されているビットマップ値をサポートします。

表 D-5 Cisco トンネリング プロトコル アトリビュートのビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPSec

82

L2TP/IPSEC

16

クライアントレス SSL

32

SSL Client:AnyConnect またはレガシー SSL VPN クライアント

1.IPSec および L2TP over IPSec は同時にはサポートされません。そのため、値 4 と 8 は相互に排他的な値です。

2.注 1 を参照してください。

このアトリビュートを使用して、プロトコルの Allow Access(TRUE)または Deny Access(FALSE)条件を作成し、ユーザにアクセスが許可される方法を適用します。

この簡単な例では、トンネル プロトコル IPSec (4) をマッピングすることで、IPSec クライアントの許可(true)条件を作成できます。また、値 48(16+32)としてマッピングされる WebVPN (16) および SVC/AC (32) をマッピングして、拒否(false)条件を作成します。これにより、ユーザは、IPSec を使用してセキュリティ アプライアンスに接続できますが、クライアントレス SSL または AnyConnect クライアントを使用した接続は拒否されます。

Dial-in Allow Acess または Deny Access の適用に関するこの他の例については、次の URL の Tech Note『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』を参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザを右クリックします。[Properties] ウィンドウが表示されます。[Dial-in] タブをクリックします。[Allow Access](図 D-9)を選択します。

図 D-9 AD-LDAP user1:アクセスの許可

 


) 3 つ目のオプション [Control access through the Remote Access Policy] を選択すると、値がサーバから返されず、セキュリティ アプライアンスの内部グループ ポリシー設定に基づいて権限が適用されます。


ステップ 2 IPSec および AnyConnect 接続の両方を許可し、クライアントレス SSL 接続を拒否するアトリビュート マップを作成します。

ここでは、マップ tunneling_protocols を作成し、 map-name コマンドを使用して Allow Access 設定により使用される AD アトリビュート msNPAllowDialin を Cisco アトリビュート Tunneling-Protocols にマッピングして、 map-value コマンドを使用してマップ値を追加します。

次の例を参考にしてください。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次に、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 で aaa-server- host コンフィギュレーション モードを開始し、ステップ 2 で作成したアトリビュート マップ tunneling_protocols を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 4 アトリビュート マップが設定に従って機能しているか確認します。

リモート ユーザと同様に PC を使用して、クライアントレス SSL、AnyConnect クライアントおよび IPSec クライアントでの接続を試します。クライアントレスおよび AnyConnect 接続が失敗し、接続メカニズムが許可されていないために接続が失敗したことをユーザに通知されるか確認します。IPSec クライアントの接続は許可されます。これは、IPSec は、アトリビュート マップで許可されているトンネリング プロトコルであるためです。

図 D-10 クライアントレス ユーザ用のログイン拒否メッセージ

 

図 D-11 AnyConnect クライアント ユーザ用のログイン拒否メッセージ

 

ログイン時間および Time-of-Day ルールの適用

この使用例では、クライアントレス SSL ユーザがネットワークへのアクセスを許可される時間を適用します。この例は、ビジネス パートナーに通常の営業時間内に限りネットワークへのアクセスを許可する場合に役に立ちます。

この使用例では、AD サーバで、[Office] フィールドを使用してパートナーの名前を入力します。このフィールドは、physicalDeliveryOfficeName アトリビュートを使用します。次に、セキュリティ アプライアンスでアトリビュート マップを作成して、そのアトリビュートを Cisco アトリビュート Access-Hours にマッピングします。認証中、セキュリティ アプライアンスは、physicalDeliveryOfficeName([Office] フィールド)の値を受け取り、この値を Access-Hours にマッピングします。


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザを選択します。[Properties] を右クリックします。[Properties] ウィンドウ(図 D-12)が表示されます。この使用例では、[General] タブの [Office] フィールドを使用します。

図 D-12 Active Directory:時間範囲

 

ステップ 2 アトリビュート マップを作成します。

この例では、アトリビュート マップ access_hours を作成して、[Office] フィールドにより使用される AD アトリビュート physicalDeliveryOfficeName を Cisco アトリビュート Access-Hours にマッピングします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次に、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 で aaa-server- host コンフィギュレーション モードを開始し、ステップ 2 で作成したアトリビュート マップ access_hours を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 4 サーバで許可される各値の時間範囲を設定します。この例では、[Office] フィールドの User1 に Partner と入力しました。そのため、Partner に時間範囲が設定されていなければなりません。次に、Partner のアクセス時間を月曜日から金曜日の 9am ~ 5pm に設定する例を示します。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00


 

外部 RADIUS サーバの設定

この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS アトリビュートを定義します。次の項目について説明します。

「RADIUS 設定手順の確認」

「セキュリティ アプライアンスの RADIUS 認可アトリビュート」

RADIUS 設定手順の確認

この項では、セキュリティ アプライアンスのユーザ認証および認可をサポートするために必要な RADIUS 設定手順について説明します。次の手順に従って、セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。


ステップ 1 セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリビュートをロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバには、これらのアトリビュートがすでに統合されています。したがって、このステップをスキップできます。

FUNK RADIUS サーバを使用している場合:シスコは、セキュリティ アプライアンスのアトリビュートがすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):セキュリティ アプライアンスの各アトリビュートを手動で定義する必要があります。アトリビュートを定義するには、アトリビュート名または番号、タイプ、値、ベンダー コード(3076)を使用します。セキュリティ アプライアンス RADIUS 認可アトリビュートおよび値のリストについては、 表 D-6 を参照してください。

ステップ 2 IPSec または SSL トンネルの確立時に送信する権限およびアトリビュートをユーザまたはグループにセットアップします。


 

セキュリティ アプライアンスの RADIUS 認可アトリビュート

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

表 D-6 に、ユーザ認可に使用でき、セキュリティ アプライアンスがサポートしている使用可能なすべての RADIUS アトリビュートの一覧を示します。


) RADIUS アトリビュート名には、cVPN3000 プレフィクスは含まれません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS のアトリビュート名にはまだ cVPN3000 プレフィクスが含まれています。アプライアンスは、アトリビュート名ではなく数値のアトリビュート ID に基づいて、RADIUS アトリビュートを使用します。LDAP アトリビュートは、ID ではなくアトリビュート名で使用します。


 

表 D-6 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
シンタックス/タイプ
シングルまたはマルチ値
説明または値

Access-Hours

Y

Y

Y

1

文字列

シングル

時間範囲の名前(Business-hours など)

Simultaneous-Logins

Y

Y

Y

2

整数

シングル

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

シングル

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

シングル

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

シングル

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

シングル

IP アドレス

SEP-Card-Assignment

9

整数

シングル

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

シングル

1 = PPTP

2 = L2TP

4 = IPSec

8 = L2TP/IPSec

16 = WebVPN

4 および 8 は相互排他値、0 ~ 11 および 16 ~ 27 は有効値

IPSec-Sec-Association

Y

12

文字列

シングル

セキュリティ アソシエーションの名前

IPSec-Authentication

Y

13

整数

シングル

0 = なし

1 = RADIUS

2 = LDAP(認可限定)

3 = NT ドメイン

4 = SDI

5 = 内部

6 = RADIUS での Expiry 認証

7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

文字列

シングル

バナー文字列

IPSec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

PPTP-Encryption

Y

20

整数

シングル

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

シングル

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

IPSec-Split-Tunnel-List

Y

Y

Y

27

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPSec-Default-Domain

Y

Y

Y

28

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Split-DNS-Names

Y

Y

Y

29

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Tunnel-Type

Y

Y

Y

30

整数

シングル

1 = LAN-to-LAN

2 = リモート アクセス

IPSec-Mode-Config

Y

Y

Y

31

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

34

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

35

整数

シングル

4001 ~ 49151、デフォルトは 10000

Banner2

Y

Y

Y

36

文字列

シングル

バナー文字列(設定すると Banner1 文字列に連結されます)

PPTP-MPPC-Compression

Y

37

整数

シングル

0 = ディセーブル

1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

シングル

0 = ディセーブル

1 = イネーブル

IPSec-IP-Compression

Y

Y

Y

39

整数

シングル

0 = ディセーブル

1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

シングル

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

シングル

1 = シスコシステムズ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

シングル

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

シングル

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

シングル

0 = ディセーブル

1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

シングル

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

シングル

0 = ディセーブル

1 = イネーブル

IPSec-Split-Tunneling-Policy

Y

Y

Y

55

整数

シングル

0 = スプリット トンネリングなし

1 = スプリット トンネリング

2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

シングル

0 = なし

1 = リモート FW Are-You-There(AYT)で定義されているポリシー

2 = Policy pushed CPP

4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPSec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

シングル

0 = 必須

1 = オプション

IPSec-Backup-Servers

Y

Y

Y

59

文字列

シングル

1 = クライアントが設定したリストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y

Y

Y

60

文字列

シングル

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y

Y

Y

61

文字列

シングル

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

シングル

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

シングル

0 = なし

1 = RADIUS

2 = LDAP

Authorization-Required

Y

66

整数

シングル

0 = No

1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

シングル

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

シングル

1 = Java ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

文字列

シングル

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

シングル

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

シングル

アクセス リスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

シングル

URL(http://example-portal.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

シングル

IPSec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

シングル

名前の文字列(「Corporate-Apps」など)

このテキストでクライアントレス ポータル ホーム ページのデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

文字列

シングル

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

シングル

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

文字列

シングル

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

シングル

0 = なし

1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

シングル

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

シングル

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

シングル

アクセス リスト ID

Access-List-Outbound

Y

Y

87

文字列

シングル

アクセス リスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

シングル

0 = No

1 = Yes

NAC-Enable

Y

89

整数

シングル

0 = No

1 = Yes

NAC-Status-Query-Timer

Y

90

整数

シングル

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

シングル

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセス リスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

シングル

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

シングル

0 = ディセーブル

1 = イネーブル

SVC-Keepalive

Y

Y

107

整数

シングル

0 = オフ

15 ~ 600 秒

SVC-DPD-Interval-Client

Y

Y

108

整数

シングル

0 = オフ

5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

Y

109

整数

シングル

0 = オフ

5 ~ 3600 秒

SVC-Rekey-Time

Y

110

整数

シングル

0 = ディセーブル

1 ~ 10080 分

WebVPN-Deny-Message

Y

116

文字列

シングル

有効な文字列(500 文字以内)

SVC-DTLS

Y

123

整数

シングル

0 = False

1 = True

SVC-MTU

Y

125

整数

シングル

MTU 値

256 ~ 1406 バイト

SVC-Modules

Y

127

文字列

シングル

文字列(モジュールの名前)

SVC-Profiles

Y

128

文字列

シングル

文字列(プロファイルの名前)

SVC-Ask

Y

131

文字列

シングル

0 = ディセーブル

1 = イネーブル

3 = デフォルト サービスをイネーブルにする

5 = デフォルト クライアントレスをイネーブルにする

(2 と 4 は使用しない)

SVC-Ask-Timeout

Y

132

整数

シングル

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

文字列

シングル

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブーリアン

シングル

0 = ディセーブル

1 = イネーブル

Smart-Tunnel

Y

136

文字列

シングル

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

整数

シングル

0 = ディセーブル

その他 = イネーブル

Smart-Tunnel-Auto

Y

138

整数

シングル

0 = ディセーブル

1 = イネーブル

2 = 自動スタート

VLAN

Y

140

整数

シングル

0 - 4094

NAC-Settings

Y

141

文字列

シングル

NAC ポリシーの名前

Member-Of

Y

Y

145

文字列

シングル

カンマ区切りの文字列。例:

Engineering, Sales

Address-Pools

Y

Y

217

文字列

シングル

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

文字列

シングル

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

文字列

シングル

ACL 値

Privilege-Level

Y

Y

220

整数

シングル

0 ~ 15 の整数

WebVPN-Macro-Value1

Y

223

文字列

シングル

無制限

WebVPN-Macro-Value2

Y

224

文字列

シングル

無制限

外部 TACACS+ サーバの設定

セキュリティ アプライアンス は、TACACS+ アトリビュートをサポートします。TACACS+ は、認証、認可、およびアカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類のアトリビュートをサポートします。サーバとクライアントの両方で必須アトリビュートを解釈できる必要があり、また、必須アトリビュートはユーザに適用する必要があります。オプションのアトリビュートは、解釈または使用できる場合とできない場合があります。


) TACACS+ アトリビュートを使用するには、NAS で AAA サービスをイネーブルにしておいてください。


表 D-7 では、カットスルー プロキシ接続に対してサポートされている TACACS+ 認可応答アトリビュートのリストを示します。 表 D-8 では、サポートされている TACACS+ アカウンティング アトリビュートのリストを示します。

 

表 D-7 サポートされる TACACS+ 認可応答アトリビュート

アトリビュート
説明

acl

接続に適用する、ローカルで設定済みのアクセス リストを識別します。

idletime

認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。

timeout

認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。

 

表 D-8 サポートされる TACACS+ アカウンティング アトリビュート

アトリビュート
説明

bytes_in

この接続中に転送される入力バイト数を指定します(ストップ レコード限定)。

bytes_out

この接続中に転送される出力バイト数を指定します(ストップ レコード限定)。

cmd

実行するコマンドを定義します(コマンド アカウンティング限定)。

disc-cause

切断理由を特定する数字コードを示します(ストップ レコード限定)。

elapsed_time

接続の経過時間(秒)を定義します(ストップ レコード限定)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

local_ip

トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求に対するユーザの特権レベル、または 1 に設定されます。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェル」に設定されます。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。