Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

認可および認証用の外部サーバの設定

権限およびアトリビュートのポリシー実施の概要

外部 LDAP サーバの設定

LDAP 操作用のセキュリティ アプライアンスの構成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

Active Directory 用 Login DN の例

セキュリティ アプライアンスの LDAP 設定の定義

LDAP 認可でサポートされているシスコのアトリビュート

Cisco-AV-Pair アトリビュートのシンタックス

Active Directory/LDAP VPN リモート アクセス認可の使用例

ユーザベースのアトリビュートのポリシー実施

特定のグループポリシーへ LDAP ユーザの配置

AnyConnect トンネルに対するスタティック IP アドレス割り当ての実施

ダイヤルイン許可または拒否アクセスの実施

ログオン時間と Time-of-Day ルールの実施

外部 RADIUS サーバの設定

RADIUS 設定の手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

外部 TACACS+ サーバの設定

認可および認証用の外部サーバの設定

この付録では、セキュリティ アプライアンス上で AAA をサポートするように外部 LDAP、RADIUS、または TACACS+ サーバを設定する方法について説明します。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、正しいセキュリティ アプライアンス認可アトリビュートでサーバを設定し、これらのアトリビュートのサブセットから個々のユーザに固有のアクセス権を割り当てる必要があります。

この付録では、次の項目について説明します。

「権限およびアトリビュートのポリシー実施の概要」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限およびアトリビュートのポリシー実施の概要

セキュリティ アプライアンスでは、ユーザ認可アトリビュート(ユーザ登録または権限とも呼ばれる)をVPN接続に適用するために複数の方法をサポートします。セキュリティ アプライアンスの Dynamic Access Policy(DAP)から、外部の認証/認可 AAA サーバ(RADIUS または LDAP)から、セキュリティ アプライアンスのグループ ポリシーから、またはこれら 3 つすべてから、ユーザ アトリビュートを取得するようにセキュリティ アプライアンスを設定できます。

セキュリティ アプライアンスがすべてのソースからアトリビュートを受け取る場合、アトリビュートは評価されてマージされ、ユーザ ポリシーに適用されます。DAP、AAA サーバ、グループ ポリシーからのアトリビュート間で競合が発生した場合は、DAP から取得されたアトリビュートが常に優先します。

セキュリティ アプライアンスは、次の順序でアトリビュートを適用します(図 E-1 に図示)。

1. セキュリティ アプライアンス上の DAP アトリビュート:バージョン 8.0 で導入されました。その他すべてよりも優先します。DAP でブックマーク/URLのリストを設定した場合、グループ ポリシーで設定されたブックマーク/URLのリストが上書きされます。

2. AAA サーバ上のユーザ アトリビュート:ユーザの認証または認可が成功すると、サーバはこれらを返します。セキュリティ アプライアンス上のローカル AAA データベースで個々のユーザに設定されたアトリビュートと混同しないでください(ASDM のユーザ アカウント)。

3. セキュリティ アプライアンス上で設定されたグループ ポリシー:RADIUS サーバがユーザの RADIUS CLASS アトリビュート IETF-Class-25(OU=<group-policy>)の値を返す場合、セキュリティ アプライアンスでは、同名のグループ ポリシーにユーザを登録し、グループ ポリシー内のサーバが返さないアトリビュートを強制的に適用します。LDAP サーバの場合、任意のアトリビュート名を使用して、セッションのグループ ポリシーを設定できます。セキュリティ アプライアンスで設定する LDAP アトリビュート マップでは、LDAP アトリビュートを Cisco アトリビュートの IETF-Radius-Class にマッピングします。

4. 接続プロファイルによって割り当てられたグループ ポリシー(CLI ではトンネルグループと呼ぶ):接続プロファイルでは、接続の予備設定があり、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。セキュリティ アプライアンスに接続するすべてのユーザが最初はこのグループに属します。このグループは、DAP で見つからなかったすべてのアトリビュート、サーバが返したユーザ アトリビュート、ユーザに割り当てられたグループ ポリシーを提供します。

5. セキュリティ アプライアンスによって割り当てられるデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト アトリビュートは、DAP、ユーザ アトリビュート、グループ ポリシー、または接続プロファイル で見つからなかったすべての値を提供します。

図 E-1 ポリシー実施の流れ

 

外部 LDAP サーバの設定

VPN 3000 コンセントレータと ASA/PIX 7.0 では、認可操作に Cisco LDAP スキーマが必要です。バージョン 7.1.x から、セキュリティ アプライアンスはネイティブの LDAP スキーマを使用して認証 および 認可を実行します。Cisco スキーマは不要になりました。

認可(権限ポリシー)は、LDAP アトリビュート マップを使用して設定します。例については、次を参照してください。
「Active Directory/LDAP VPN リモート アクセス認可の使用例」

この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目について説明します。

「LDAP 操作用のセキュリティ アプライアンスの構成」

「セキュリティ アプライアンスの LDAP 設定の定義」

「Active Directory/LDAP VPN リモート アクセス認可の使用例」

使用する LDAP サーバのタイプによって、上記のプロセスの手順が異なります。


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


LDAP 操作用のセキュリティ アプライアンスの構成

この項では、LDAP 階層内で検索を実行する方法と、セキュリティ アプライアンス上の LDAP サーバに対して認証バインディングを実行する方法について説明します。次の項目について説明します。

「階層の検索」

「セキュリティ アプライアンスと LDAP サーバのバインディング」

「Active Directory 用 Login DN の例」

LDAP の設定は、企業の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員、Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定し、浅い単一レベルの階層をセットアップすると決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は、エンジニアリング部門のメンバーであると想定され、この部門は、People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。図 E-2 に、マルチレベルの階層の例を示します。

マルチレベル階層はさらに細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図 E-2 マルチレベルの LDAP 階層

 

階層の検索

セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合せて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN には、サーバがセキュリティ アプライアンスから認可要求を受信したときにユーザ情報の検索を開始すべき LDAP の階層を定義します。

Search Scope には、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。単一レベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute には、LDAP サーバのエントリを一意に識別する Relative Distinguished Name(RDN; 相対識別名)を定義します。一般的な名前アトリビュートは、cn(共通名)、sAMAccountName、userPrincipalName です。

図 E-2 に、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 E-1 に、2 種類の可能な検索の設定を示します。

最初の設定例では、Terry が必要な LDAP 認可を得て自身の IPSec トンネル接続を確立すると、セキュリティ アプライアンスは、LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行してエンジニアリング グループの検索を実行する必要があることを指定します。この検索は短時間でできます。

2 番目の設定例では、セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 E-1 検索設定の例

#
LDAP Base DN
Search Scope
Naming Attribute
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索に時間がかからない

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ユーザの認証要求に Login DN フィールドを付加することにより、自身が認証バインディングされていることを示します。Login DN フィールドには、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理特権を持つユーザの特性に対応している必要があります。たとえば、次のような Login DN フィールドを定義できます。cn=Administrator, cn=users, ou=people, dc=example, dc=com


) LDAP クライアントとしてのセキュリティ アプライアンスは、匿名のバインドまたは要求の送信をサポートしていません。


Active Directory 用 Login DN の例

Login DN とは、バインド交換時にユーザ検索が行われる前にセキュリティ アプライアンスが 自身(LDAP クライアント)と LDAP サーバとの間で信頼関係を確立するために LDAP サーバで使用するユーザ名のことです。

VPN 認証/認可操作において、およびバージョン 8.0.4 以降で AD グループを取得する(password-management の変更が不要な場合のみ読み取り操作になる)場合は、少ない特権で Login DN を使用できます。たとえば Login DN を Domain Users グループのメンバーであるユーザにすることができます。

VPN password-management の変更では、Login DN に Account Operators 特権が必要です。

いずれの場合も、Login/Bind DN にスーパーユーザ レベルの特権は必要ありません。具体的な Login DN の要件については、LDAP 管理者向けのガイドを参照してください。

セキュリティ アプライアンスの LDAP 設定の定義

この項では、LDAP AV-Pair アトリビュートのシンタックスについて説明します。次の項目について説明します。

「LDAP 認可でサポートされているシスコのアトリビュート」

「Cisco-AV-Pair アトリビュートのシンタックス」


) セキュリティ アプライアンスでは、数字のアトリビュート ID ではなくアトリビュート名に基づいて、LDAP アトリビュートを使用します。一方、RADIUS アトリビュートでは、名前ではなく数字の ID が使用されます。

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

ソフトウェア バージョン 7.0 では、LDAP アトリビュートに cVPN3000 プレフィックスを含めます。バージョン 7.1 以降では、このプレフィックスが削除されました。


LDAP 認可でサポートされているシスコのアトリビュート

この項では、ASA 5500、VPN 3000、PIX 500 シリーズのセキュリティ アプライアンスのアトリビュート( 表 E-2 )の詳細なリストを示します。表には、これらのセキュリティ アプライアンスが混在するネットワークを設定するときに役立つ、VPN 3000 および PIX 500 シリーズのアトリビュート サポート情報が含まれています。

 

表 E-2 LDAP 認可においてセキュリティ アプライアンスでサポートされているシスコのアトリビュート

アトリビュート名/
VPN 3000
ASA
PIX
シンタックス/
タイプ
単値または複値
取り得る値

Access-Hours

Y
Y
Y
文字列
単値
時間の範囲の名前
(例:Business-Hours)

Allow-Network-Extension- Mode

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

整数

単値

1 ~ 35791394 分

Authorization-Required

Y

整数

単値

0 = いいえ
1 = はい

Authorization-Type

Y

整数

単値

0 = なし
1 = RADIUS
2 = LDAP

Auth-Service-Type

Banner1

Y

Y

Y

文字列

単値

バナー文字列

Banner2

Y

Y

Y

文字列

単値

バナー文字列

Cisco-AV-Pair

Y

Y

Y

文字列

多値

次の形式のオクテット文字列

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、「Cisco-AV-Pair アトリビュートのシンタックス」を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

文字列

単値

IPSec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

整数

単値

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

文字列

単値

IP アドレス

DN-Field

Y

Y

Y

文字列

単値

取り得る値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name。

Firewall-ACL-In

Y

Y

文字列

単値

アクセスリストの ID

Firewall-ACL-Out

Y

Y

文字列

単値

アクセスリストの ID

IE-Proxy-Bypass-Local

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IE-Proxy-Exception-List

文字列

単値

DNS ドメインのリスト。エントリは、改行文字シーケンス(\n)で区切る必要があります。

IE-Proxy-Method

Y

Y

Y

整数

単値

1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = セキュリティ アプライアンス設定を使用する

IE-Proxy-Server

Y

Y

Y

整数

単値

[IP Address]

IETF-Radius-Class

Y

Y

Y

単値

リモート アクセス VPN セッションのグループ ポリシーを設定します。

IETF-Radius-Filter-Id

Y

Y

Y

文字列

単値

セキュリティ アプライアンスで定義されたアクセス リスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

文字列

単値

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

文字列

単値

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

整数

単値

分数

IETF-Radius-Service-Type

Y

Y

Y

整数

単値

IETF-Radius-Session-Timeout

Y

Y

Y

整数

単値

IKE-Keep-Alives

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Allow-Passwd-Store

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Authentication

Y

Y
Y
整数
単値
0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT Domain
4 = SDI(RSA)
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

IPSec-Auth-On-Rekey

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Backup-Server-List

Y

Y

Y

文字列

単値

サーバ アドレス(スペースで区切る)

IPSec-Backup-Servers

Y

Y

Y

文字列

単値

1 = Client-Configured リストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPSec-Client-Firewall-Filter- Name

Y

文字列

単値

ファイアウォール ポリシーとしてクライアントに配信が必要なフィルタの名前を指定します。

IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

整数

単値

0 = 必須
1 = オプション

IPSec-Default-Domain

Y

Y

Y

文字列

単値

クライアントに送信する単一のデフォルトのドメイン名(1 ~ 255 文字)を指定します。

IPSec-IKE-Peer-ID-Check

Y

Y

Y

整数

単値

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPSec-IP-Compression

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

IPSec-Mode-Config

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

整数

単値

4001 ~ 49151、デフォルトは 10000

IPSec-Required-Client-Firewall-
Capability

Y

Y

Y

整数

単値

0 = なし
1 = リモート FW Are-You-There (AYT) で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Sec-Association

Y

文字列
単値
セキュリティ関連の名前

IPSec-Split-DNS-Names

Y

Y

Y

文字列

単値

クライアントに送信する単一のセカンダリ ドメイン名(1 ~ 255 文字)のリストを指定します。

IPSec-Split-Tunneling-Policy

Y

Y

Y

整数

単値

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Split-Tunnel-List

Y

Y

Y

文字列

単値

スプリット トンネルの包含リストを表すネットワーク名またはアクセスリストを指定します。

IPSec-Tunnel-Type

Y

Y

Y

整数

単値

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-User-Group-Lock

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

整数

単値

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

整数

単値

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

文字列

単値

IP アドレス

PFS-Required

Y

Y

Y

ブーリアン

単値

0 = いいえ
1 = はい

Port-Forwarding-Name

Y

Y

文字列

単値

名前を示す文字列("Corporate-Apps" など)

PPTP-Encryption

Y

整数

単値

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
文字列
単値
IP アドレス

Primary-WINS

Y
Y
Y
文字列
単値
IP アドレス

Privilege-Level

Required-Client- Firewall-Vendor-Code

Y

Y

Y

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

文字列

単値

文字列

Required-Client-Firewall- Product-Code

Y

Y

Y

整数

単値

シスコシステムズの製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs の製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE の製品:

1 = BlackIce Defender/Agent

Sygate の製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
文字列
単値
IP アドレス

Secondary-WINS

Y
Y
Y
文字列
単値
IP アドレス

SEP-Card-Assignment

整数
単値
使用しない

Simultaneous-Logins

Y
Y
Y
整数
単値
0 ~ 2147483647

Strip-Realm

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

単値

TACACS-Privilege-Level

Y

Y

Y

整数

単値

Tunnel-Group-Lock

Y

Y

文字列

単値

トンネルグループの名前または「none」

Tunneling-Protocols

Y

Y

Y

整数
単値
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN。
8 と 4 は相互排他値
(0 ~ 11 と 16 ~ 27 は有効値)

Use-Client-Address

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

文字列

単値

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

整数

単値

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

文字列

単値

サーバのパスワード

WebVPN-ACL-Filters

Y

文字列

単値

アクセスリスト名

WebVPN-Apply-ACL-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Support-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Content-Filter- Parameters

Y

Y

整数

単値

1 = Java および ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージのクッキー

複数のパラメータをフィルタリングするには、上記の値を加算します。たとえば、Java スクリプトとクッキーの両方をフィルタリングするには、10 と入力します。(10 = 2 + 8)

WebVPN-Enable-functions

整数

単値

未使用 - 推奨しない

WebVPN-Exchange-Server- Address

文字列

単値

未使用 - 推奨しない

WebVPN-Exchange-Server- NETBIOS-Name

文字列

単値

未使用 - 推奨しない

WebVPN-File-Access-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-
Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

文字列

単値

ポート転送リスト名

WebVPN-Homepage

Y

Y

文字列

単値

http://example-portal.com などの URL

WebVPN-Macro-Substitution-
Value1

Y

Y

文字列

単値

WebVPN-Macro-Substitution-
Value2

Y

Y

文字列

単値

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

文字列

単値

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

整数

単値

0 = ディセーブル
n = デッド ピア検知値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

整数

単値

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

整数

単値

0 = ディセーブル
n = デッド ピア検知値(30 ~ 3600 秒)

WebVPN-SVC-Keepalive

Y

Y

整数

単値

0 = ディセーブル
n = キープアライブ値(15 ~ 600 秒)

WebVPN-SVC-Keep-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

整数

単値

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

整数

単値

0 = ディセーブル
n = リトライ間隔
(4 ~ 10080 分)

WebVPN-SVC-Required-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

文字列

単値

URL リスト名

Cisco-AV-Pair アトリビュートのシンタックス

各 Cisco-AV-Pair ルールのシンタックスは次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 E-3 にシンタックス ルールを示します。

 

表 E-3 AV-Pair アトリビュート シンタックスのルール

フィールド
説明

Prefix

AV ペアの固有の識別子。たとえば ip:inacl#1= (標準アクセス リストの場合)または webvpn:inacl# (クライアントレス SSL VPN アクセス リストの場合) このフィールドが表示されるのは、フィルタが AV ペアとして送信されている場合です。

処理

ルールが一致した場合に実行するアクション:deny、permit。

プロトコル

IP プロトコルを示す番号またはその名前。0 ~ 255 の整数値、またはキーワード:icmp、igmp、ip、tcp、udp。

Source

パケットの送信元のネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合には、Source Wildcard Mask も続けて指定する必要があります。

Source Wildcard Mask

ソース アドレスに適用されるワイルドカード マスク。

Destination

パケットの送信先のネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合には、Destination Wildcard Mask も続けて指定する必要があります。★原文の誤り。Destination の説明の場合、Source Wildcard Mask→Destination Wildcard Maskに変更が必要★

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP ポート番号または UDP ポート番号(0 ~ 65535)。

次の例を参考にしてください。

ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log
 
webvpn:inacl#1=permit url http://www.website.com
webvpn:inacl#2=deny smtp any host 10.1.3.5
webvpn:inacl#3=permit url cifs://mar_server/peopleshare1
 

) リモートの IPsec および SSL VPN クライアント(SVC)トンネルの場合、Cisco-AV ペア エントリにプレフィックス ip:inacl# を付けてアクセス リストを使用してください。

SSL VPN クライアントレス(ブラウザモード)のトンネルの場合、Cisco-AV ペア エントリにプレフィックス webvpn:inacl# を付けてアクセス リストを使用してください。


表 E-4 では、Cisco-AV-Pair アトリビュートのトークンをリストで示します。

 

表 E-4 セキュリティ アプライアンスでサポートするトークン

トークン
シンタックスのフィールド
説明

ip:inacl# Num =

なし(識別子)

Num は一意の整数)。AV ペアによるアクセス コントロール リストをすべて開始します。リモート IPSec および SSL VPN (SVC) トンネルに強制的にアクセス リストを適用します。

webvpn:inacl# Num =

なし(識別子)

Num は一意の整数)。クライアントレス SSL AV ペアによるアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルに強制的にアクセス リストを適用します。

deny

処理

アクションを拒否します (デフォルト)。

permit

処理

アクションを許可します。

icmp

プロトコル

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

1

プロトコル

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

IP

プロトコル

Internet Protocol(IP; インターネット プロトコル)。

0

プロトコル

Internet Protocol(IP; インターネット プロトコル)。

TCP

プロトコル

Transmission Control Protocol(TCP; 伝送制御プロトコル)。

6

プロトコル

Transmission Control Protocol(TCP; 伝送制御プロトコル)。

UDP

プロトコル

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)。

17

プロトコル

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)。

any

ホスト名

すべてのホストにルールを適用します。

host

ホスト名

ホスト名を示す任意の英数字による文字列。

log

Log

イベントが該当すると、フィルタ ログ メッセージが表示されます(イベント許可または拒否によるログに記録と同様)。

lt

Operator

指定された値よりも小さい

gt

Operator

指定された値よりも大きい

eq

Operator

指定された値と等しい

neq

Operator

指定された値と等しくない

range

Operator

含まれる値の範囲。range の後に、2 つの値が続きます。

Active Directory/LDAP VPN リモート アクセス認可の使用例

この項では、Microsoft Active Directory サーバを使用するセキュリティ アプライアンスで認証および認可を設定する手順について説明します。次の使用例を説明します。

「ユーザベースのアトリビュートのポリシー実施」

「特定のグループポリシーへ LDAP ユーザの配置」

「AnyConnect トンネルに対するスタティック IP アドレス割り当ての実施」

「ダイヤルイン許可または拒否アクセスの実施」

「ログオン時間と Time-of-Day ルールの実施」

その他の設定例については、Cisco.com の次の TechNotes で入手可能です。

ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login

http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml

ユーザベースのアトリビュートのポリシー実施

あらゆる標準 LDAP アトリビュートを有名なVendor Specific Attribute(VSA)にマッピングできます。同様に、1 つ以上の LDAP アトリビュートを 1 つ以上の Cisco LDAP アトリビュートにマッピングできます。

この使用例では、AD LDAP サーバで設定されたユーザに対して簡単なバナーを示すようにセキュリティ アプライアンスを設定します。このケースでは、サーバで [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドは、physicalDeliveryOfficeName という名前のアトリビュートを使用します。セキュリティ アプライアンスでは、physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングするアトリビュート マップを作成します。認証時に、セキュリティ アプライアンスは physicalDeliveryOfficeName の値をサーバから取得してこの値を Cisco アトリビュート Banner1 にマッピングし、バナーをユーザに表示します。

このケースは、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、クライアントレス SSL VPN などあらゆる接続タイプに当てはまります。このケースの目的に沿って、User1 はクライアントレス SSL VPN 接続を介して接続しています。


ステップ 1 AD/LDAP サーバ上のユーザに対してアトリビュートを設定します。

ユーザを右クリックします。プロパティのウィンドウが表示されます(図 E-3)。[General] タブをクリックし、[Office] フィールドにバナー テキストを入力します。[Office] フィールドでは、AD/LDAP アトリビュート physicalDeliveryOfficeName を使用します。

図 E-3 図 3 LDAP ユーザ設定

 

ステップ 2 セキュリティ アプライアンスで LDAP アトリビュート マップを作成します。

次の例では、マップ Banner を作成し、AD/LDAP アトリビュート physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングします。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 に対して aaa サーバのホスト設定モードに入り、手順 2 で作成したアトリビュート マップ Banner を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 4 バナーの実施をテストします。

この例は、クライアントレス SSL 接続と、ユーザ認証後にアトリビュート マップを介して実施されたバナーを表しています(図 E-4)。

図 E-4 表示されるバナー

 

特定のグループポリシーへ LDAP ユーザの配置

このケースでは、AD LDAP サーバ上の User1 をセキュリティ アプライアンス上の特定のグループ ポリシーに対して認証します。サーバでは、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次に、アトリビュート マップを作成し、Department を Cisco アトリビュートの IETF-Radius-Class にマッピングします。認証時に、セキュリティ アプライアンスはサーバから Department の値を受け取ってこの値を IETF-Radius-Class にマッピングし、User1 をこのグループ ポリシーに配置します。

このケースは、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、クライアントレス SSL VPN などあらゆる接続タイプに当てはまります。このケースの目的に沿って、User1 はクライアントレス SSL VPN 接続を介して接続しています。


ステップ 1 AD LDAP サーバ上のユーザに対してアトリビュートを設定します。

ユーザを右クリックします。プロパティのウィンドウが表示されます(図 E-5)。[Organization] タブをクリックし、[Department] フィールドに Group-Policy-1 と入力します。

図 E-5 AD LDAP の Department アトリビュート

 

ステップ 2 ステップ 1に示した LDAP 設定のアトリビュート マップを定義します。

このケースでは、AD アトリビュートの Department を Cisco アトリビュート IETF-Radius-Class にマッピングします。次の例を参考にしてください。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 に対して aaa サーバのホスト設定モードに入り、手順 2 で作成したアトリビュート マップ group_policy を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 4 セキュリティ アプライアンスで新しいグループ ポリシーを追加し、ユーザに割り当てる必須のポリシー アトリビュートを設定します。このケースでは、Group-policy-1(サーバで [Department] フィールドに入力した名前)を作成しました。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 5 ユーザが行う場合と同様に VPN 接続を確立します。次に、セッションが Group-Policy1 のアトリビュート(およびデフォルトのグループ ポリシーから適用可能なその他のアトリビュート)を継承していることを確認します。

セキュリティ アプライアンス とサーバの間の通信は、特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで監視できます。このコマンドの出力例を次に示します。この出力は、主要なメッセージを提示するために編集してあります。

[29] Authentication successful for user1 to 3.3.3.4

[29] Retrieving user attributes from server 3.3.3.4

[29] Retrieved Attributes:

[29] department: value = Group-Policy-1

[29] mapped to IETF-Radius-Class: value = Group-Policy-1

AnyConnect トンネルに対するスタティック IP アドレス割り当ての実施

このケースでは、スタティック IP アドレスを受け取るように AnyConnect クライアント ユーザ Web1 を設定します。AD LDAP サーバの [Dial-in] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドは、msRADIUSFramedIPAddress アトリビュートを使用します。アトリビュート マップを作成し、このアトリビュートを Cisco アトリビュートの IETF-Radius-Framed-IP-Address にマッピングします。

認証時に、セキュリティ アプライアンスは msRADIUSFramedIPAddress の値をサーバから取得してこの値を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマッピングし、スタティック アドレスを User1 に提供します。

このケースは、IPSec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x やレガシーの SSL VPN クライアント)などのフルトンネル クライアントに当てはまります。


ステップ 1 AD LDAP サーバ上のユーザ アトリビュートを設定します。

ユーザ名を右クリックします。プロパティのウィンドウが表示されます(図 E-6)。[Dial-in] タブをクリックし、[Assign Static IP Address] をチェックして、IP アドレスを入力します。このケースでは、3.3.3.233 を使用します。

図 E-6 スタティック IP アドレスの割り当て

 

ステップ 2 ステップ 1に示した LDAP 設定のアトリビュート マップを作成します。

このケースでは、スタティック アドレス フィールドで使用する AD アトリビュートの msRADIUSFrameIPAddress を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマッピングします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFrameIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 に対して aaa サーバのホスト設定モードに入り、手順 2 で作成したアトリビュート マップ static_address を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 4 show run all vpn-addr-assign コマンドを使用して設定のこの部分を表示し、aaa を指定するように vpn-address-assigment コマンドが設定されていることを確認します。

vpn-addr-assign aaa

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa <<<< ensure this configured.
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#

 

ステップ 5 AnyConnect クライアントを使用して、セキュリティ アプライアンスへの接続を確立します。次の点を観察します。

クライアントレス接続と同じシーケンスで、バナーを受信すること(図 E-7)。

ユーザは、サーバで設定されてセキュリティ アプライアンスにマッピングされたIPアドレスを受け取ること(図 E-8)。

図 E-7 AnyConnect セッションのバナーの確認

 

図 E-8 確立された AnyConnect セッション

 

 

show vpn-sessiondb svc コマンドを使用して、セッションの詳細を表示したり、割り当てられたアドレスを確認したりすることができます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 3.3.3.233 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : UseCase3_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 
BXB-ASA5540#

ダイヤルイン許可または拒否アクセスの実施

このケースでは、ユーザに許可されたトンネリング プロトコルを指定する LDAP アトリビュート マップを作成します。[Dial-in] タブの [Allow Access] 設定と [Deny Access] 設定を Cisco アトリビュート Tunneling-Protocols にマッピングします。Cisco Tunneling-Protocols では、 表 E-5 に示すビットマップ値をサポートします。

表 E-5 Cisco Tunneling-Protocol アトリビュートのビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPSec

82

L2TP/IPSEC

16

クライアントレス SSL

32

SSL クライアント:AnyConnect またはレガシー SSL VPN クライアント

1.IPSec および L2TP over IPSec の同時使用はサポートされない。そのため、値 4 と 8 は相互排他値である。

2.注 1 を参照。

このアトリビュートを使用して、プロトコルの Allow Access(TRUE)または Deny Access(FALSE)条件を作成し、ユーザが許可されたアクセス方法を実施します。

この簡単な例では、トンネリング プロトコル IPSec(4)をマッピングすることにより、IPSec クライアントの許可(true)条件を作成できます。また、WebVPN(16)およびSVC/AC(32)をマッピングし(値 48(16 + 32)としてマッピングされる)、拒否(false)条件を作成します。これによって、ユーザは IPSec を使用してセキュリティ アプライアンスに接続できますが、クライアントレス SSL または AnyConnect クライアントを使用して接続しようとしてもすべて拒否されます。

[Dial-in] の [Allow Acess] または [Deny Access] を実施する別の例は、次の URL から入手できるテクニカル ノート『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』にあります。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml


ステップ 1 AD LDAP サーバ上のユーザ アトリビュートを設定します。

ユーザを右クリックします。プロパティのウィンドウが表示されます。[Dial-in] タブをクリックします。[Allow Access] を選択します(図 E-9)。

図 E-9 AD-LDAP user1 - アクセスの許可

 


) 3 番目のオプションである [Control access through the Remote Access Policy] を選択した場合は、値がサーバから返されず、使用される権限はセキュリティ アプライアンスの内部グループ ポリシー設定に基づいて決まります。


ステップ 2 アトリビュート マップを作成し、IPSec および AnyConnect 接続の両方を許可し、クライアントレス SSL 接続は拒否するように設定します。

このケースでは、マップ tunneling_protocols を作成し、 map-name コマンドを使用して [Allow Access] 設定で使用される AD アトリビュート msNPAllowDialin を Cisco アトリビュート Tunneling-Protocols にマッピングします。次に、 map-value コマンドを使用して値をマッピングします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 に対して aaa サーバのホスト設定モードに入り、手順 2 で作成したアトリビュート マップ tunneling_protocols を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 4 アトリビュート マップが設定どおりに機能することを確認します。

リモート ユーザとして PC を使用し、クライアントレス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試みます。クライアントレス接続と AnyConnect 接続は失敗し、ユーザには不正な接続メカニズムが理由で接続が失敗したことが通知されます。アトリビュート マップによって IPSec は許可されたトンネリング プロトコルであるため、IPSec クライアントは接続できます。

図 E-10 クライアントレス ユーザのログイン拒否メッセージ

 

図 E-11 AnyConnect クライアント ユーザのログイン拒否メッセージ

 

ログオン時間と Time-of-Day ルールの実施

この使用例では、クライアントレス SSL ユーザにネットワークへのアクセスを許可する時間を設定して実施します。たとえば通常の業務時間中のみビジネス パートナーにネットワークへのアクセスを許可する場合などです。

このケースでは、AD サーバで [Office] フィールドを使用してパートナーの名前を入力します。このフィールドは、physicalDeliveryOfficeName アトリビュートを使用します。次に、セキュリティ アプライアンスでアトリビュート マップを作成し、アトリビュートを Cisco アトリビュートの Access-Hours にマッピングします。認証時に、セキュリティ アプライアンスは physicalDeliveryOfficeName の値([Office] フィールド)を受け取ってこの値を Access-Hours にマッピングします。


ステップ 1 AD LDAP サーバ上のユーザ アトリビュートを設定します。

ユーザを選択します。[Properties] を右クリックします。プロパティのウィンドウが表示されます(図 E-12)。このケースでは、[General] タブの [Office] フィールドを使用します。

図 E-12 Active Directory - 時間範囲

 

ステップ 2 アトリビュート マップを作成します。

このケースでは、アトリビュート マップ access_hours を作成し、[Office] フィールドで使用する AD アトリビュートの physicalDeliveryOfficeName を Cisco アトリビュートの Access-Hours にマッピングします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP のホスト 3.3.3.4 に対して aaa サーバのホスト設定モードに入り、手順 2 で作成したアトリビュート マップ access_hours を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 4 サーバで許可される各値に対して時間範囲を設定します。このケースでは、User1 の [Office] フィールドに Partner と入力しました。そのため、Partner に対して設定された時間範囲が必要です。次の例では、Partner のアクセス時間を月曜日~金曜日の午前 9 時~午後 5 時に設定します。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00


 

外部 RADIUS サーバの設定

この項では、RADIUS を設定する手順の概要を示し、Cisco RADIUS アトリビュートを定義します。次の項目について説明します。

「RADIUS 設定の手順の確認」

「セキュリティ アプライアンスの RADIUS 認可アトリビュート」

RADIUS 設定の手順の確認

この項では、セキュリティ アプライアンスのユーザの認証および認可をサポートするために必要な RADIUS 設定の手順を示します。次の手順に従って、セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。


ステップ 1 セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリビュートをロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバにはこれらのアトリビュートがすでに統合されています。この場合は、この手順を省略できます。

FUNK RADIUS サーバを使用している場合:シスコでは、セキュリティ アプライアンスのアトリビュートがすべて含まれているディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):セキュリティ アプライアンスの各アトリビュートを手作業で定義する必要があります。アトリビュートを定義するには、アトリビュート名または番号、タイプ、値、ベンダー コード(3076)が必要です。セキュリティ アプライアンス RADIUS 認可アトリビュートと値のリストについては、 表 E-6 を参照してください。

ステップ 2 権限のあるユーザまたはグループをセットアップし、IPSec または SSL トンネル確立時に送信します。


 

セキュリティ アプライアンスの RADIUS 認可アトリビュート

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

表 E-6 は、ユーザ認可に使用可能で、セキュリティ アプライアンス対応の取り得るすべての RADIUS アトリビュートをリスト表示したものです。


) RADIUS アトリビュート名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS のアトリビュート名にはまだ VPN3000 プレフィックスが含まれています。アプライアンスは、アトリビュート名ではなく数字のアトリビュート ID に基づいて、RADIUS アトリビュートを使用します。LDAP アトリビュートは、ID ではなくアトリビュート名で使用します。


 

表 E-6 セキュリティ アプライアンスがサポートしている RADIUS のアトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
シンタックス/タイプ
単値または
複値
説明または値

Access-Hours

Y

Y

Y

1

文字列

単値

時間の範囲の名前。例:Business-hours

Simultaneous-Logins

Y

Y

Y

2

整数

単値

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

単値

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

単値

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

単値

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

単値

IP アドレス

SEP-Card-Assignment

9

整数

単値

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

単値

1 = PPTP

2 = L2TP

4 = IPSec

8 = L2TP/IPSec

16 = WebVPN

4 と 8 は相互排他値、0 ~ 11 と 16 ~ 27 は有効値

IPSec-Sec-Association

Y

12

文字列

単値

セキュリティ関連の名前

IPSec-Authentication

Y

13

整数

単値

0 = なし

1 = RADIUS

2 = LDAP(認可のみ)

3 = NT ドメイン

4 = SDI

5 = 内部

6 = RADIUS での Expiry 認証

7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

文字列

単値

バナー文字列

IPSec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

PPTP-Encryption

Y

20

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

15 = 40/128 ビットで暗号化/ステートレスが必要

IPSec-Split-Tunnel-List

Y

Y

Y

27

文字列

単値

スプリット トンネルの包含リストを表すネットワークおよびアクセスリストを指定します。

IPSec-Default-Domain

Y

Y

Y

28

文字列

単値

クライアントに送信する単一のデフォルトのドメイン名(1 ~ 255 文字)を指定します

IPSec-Split-DNS-Names

Y

Y

Y

29

文字列

単値

クライアントに送信する単一のセカンダリ ドメイン名(1 ~ 255 文字)のリストを指定します

IPSec-Tunnel-Type

Y

Y

Y

30

整数

単値

1 = LAN-to-LAN

2 = リモートアクセス

IPSec-Mode-Config

Y

Y

Y

31

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

34

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

35

整数

単値

4001 ~ 49151、デフォルトは 10000

Banner2

Y

Y

Y

36

文字列

単値

バナー文字列は設定されると Banner1 文字列に連結されます。

PPTP-MPPC-Compression

Y

37

整数

単値

0 = ディセーブル

1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-IP-Compression

Y

Y

Y

39

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

単値

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

単値

シスコシステムズの製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs の製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE の製品:

1 = BlackIce Defender/Agent

Sygate の製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

単値

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

単値

0 = ディセーブル

1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

単値

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-Split-Tunneling-Policy

Y

Y

Y

55

整数

単値

0 = スプリット トンネリングなし

1 = スプリット トンネリング

2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

単値

0 = なし

1 = リモート FW Are-You-There (AYT) で定義されているポリシー

2 = Policy Pushed CPP

4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

単値

ファイアウォール ポリシーとしてクライアントに配信が必要なフィルタの名前を指定します

IPSec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

単値

0 = 必須

1 = オプション

IPSec-Backup-Servers

Y

Y

Y

59

文字列

単値

1 = Client-Configured リストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y

Y

Y

60

文字列

単値

サーバ アドレス(スペースで区切る)

DHCP-Network-Scope

Y

Y

Y

61

文字列

単値

[IP Address]

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

単値

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

単値

0 = なし

1 = RADIUS

2 = LDAP

Authorization-Required

Y

66

整数

単値

0 = No

1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

単値

取り得る値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

単値

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

単値

1 = Java ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージのクッキー

WebVPN-URL-List

Y

71

文字列

単値

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

単値

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

単値

アクセスリスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

単値

http://example-portal.com などの URL

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

単値

IPSec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

単値

文字列による名前(「Corporate-Apps」など)。

このテキストはクライアントレス ポータル ホームページ上のデフォルトの文字列「Application Access」を置き換えます。

IE-Proxy-Server

Y

80

文字列

単値

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

単値

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = コンセントレータの設定を使用

IE-Proxy-Exception-List

Y

82

文字列

単値

改行(\n)で区切られた DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

単値

0 = なし

1 =ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

単値

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

単値

トンネルグループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

単値

アクセスリストの ID

Access-List-Outbound

Y

Y

87

文字列

単値

アクセスリストの ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

単値

0 = No

1 = Yes

NAC-Enable

Y

89

整数

単値

0 = No

1 = Yes

NAC-Status-Query-Timer

Y

90

整数

単値

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

単値

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセスリスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

単値

0 = ディセーブル

1 = イネーブル

SVC-Keepalive

Y

Y

107

整数

0 = オフ

15 ~ 600 秒

SVC-DPD-Interval-Client

Y

Y

108

整数

0 = オフ

5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

Y

109

整数

0 = オフ

5 ~ 3600 秒

SVC-Rekey-Time

Y

110

整数

単値

0 = ディセーブル

1 ~ 10080 分

WebVPN-Deny-Message

Y

116

文字列

単値

有効な文字列(最大 500 文字)

SVC-DTLS

Y

123

整数

単値

0 = False

1 = True

SVC-MTU

Y

125

整数

単値

MTU 値

256 ~ 1406 バイト

SVC-Modules

Y

127

文字列

単値

文字列(モジュールの名前)

SVC-Profiles

Y

128

文字列

単値

文字列(プロファイルの名前)

SVC-Ask

Y

131

文字列

単値

0 = ディセーブル

1 = イネーブル

3 = デフォルト サービスをイネーブルにする

5 = デフォルト クライアントレスをイネーブルにする

(2 と 4 は未使用)

SVC-Ask-Timeout

Y

132

整数

単値

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

文字列

単値

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Smart-Tunnel

Y

136

文字列

単値

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

整数

単値

0 = ディセーブル

それ以外 = イネーブル

Smart-Tunnel-Auto

Y

138

整数

単値

0 = ディセーブル

1 = イネーブル

2 = 自動開始

VLAN

Y

140

整数

単値

0 - 4094

NAC-Settings

Y

141

文字列

単値

NAC ポリシーの名前

Member-Of

Y

Y

145

文字列

単値

カンマ区切りの文字列。例:

Engineering, Sales

Address-Pools

Y

Y

217

文字列

単値

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

文字列

単値

IP ローカル プールの名前(IPv6)

IPv6-VPN-Filter

Y

219

文字列

単値

ACL 値

Privilege-Level

Y

Y

220

整数

単値

0 ~ 15 の整数

WebVPN-Macro-Value1

Y

223

文字列

単値

無限

WebVPN-Macro-Value2

Y

224

文字列

単値

無限

外部 TACACS+ サーバの設定

セキュリティ アプライアンス は TACACS+ アトリビュートをサポートします。TACACS+ では、認証、認可、アカウンティングの機能を分けています。プロトコルでは、必須とオプションの 2 つのアトリビュート タイプをサポートします。サーバとクライアントの両方で必須アトリビュートを認識する必要があり、その必須アトリビュートはユーザに適用しなければなりません。オプション アトリビュートについては、認識して使用しなくてもかまいません。


) TACACS+ アトリビュートを使用するには、Network Access Server(NAS; ネットワーク アクセス サーバ)上で AAA サービスをイネーブルにしてください。


表 E-7 は、カットスルー プロキシ接続でサポートされる TACACS+ 認可応答アトリビュートを示しています。 表 E-8 は、サポートされる TACACS+ アカウンティング アトリビュートを示しています。

 

表 E-7 サポートされる TACACS+ 認可応答アトリビュート

アトリビュート
説明

acl

接続に適用する、ローカルに設定されているアクセスリストを示します。

idletime

認証済みユーザ セッションが終了する前に許可される、非アクティブ状態の期間を分単位で示します。

timeout

認証済みユーザ セッションが終了する前に、認証クレデンシャルがアクティブのままになる絶対時間を分単位で示します。

 

表 E-8 サポートされる TACACS+ アカウンティング アトリビュート

アトリビュート
説明

bytes_in

この接続中に転送される入力バイト数を指定します(終了レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(終了レコードのみ)。

cmd

実行されるコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

接続解除の理由を識別する数字コードを示します(終了レコードのみ)。

elapsed_time

接続の経過時間を秒単位で定義します(終了レコードのみ)。

foreign_ip

トンネル接続のために使用するクライアントの IP アドレスを指定します。カットスルー プロキシ接続で最も低いセキュリティ インターフェイスのアドレスを定義します。

local_ip

トンネル接続のために使用するクライアントの接続先の IP アドレスを指定します。カットスルー プロキシ接続で最も高いセキュリティ インターフェイスのアドレスを定義します。

NAS port

接続用のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求の場合、ユーザの特権レベルに設定します。それ以外の場合、1 に設定します。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングの場合だけは、常に「shell」に設定します。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。