Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
接続プロファイル、グループ ポリシー、およ びユーザの設定
接続プロファイル、グループ ポリシー、およびユーザの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

接続プロファイル、グループ ポリシー、およびユーザの設定

接続プロファイル、グループ ポリシー、およびユーザの概要

接続プロファイル

接続プロファイルの一般接続パラメータ

トンネルグループの IPSec 接続パラメータ

クライアントレス SSL VPN セッション用接続プロファイル接続パラメータ

接続プロファイルの設定

最大接続プロファイル

デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション

IPSec トンネルグループの一般アトリビュートの設定

IPSec リモートアクセス接続プロファイルの設定

IPSec リモートアクセス接続プロファイルの名前とタイプの指定

IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定

IPv6 アクセスのイネーブル化

IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定

PPP リモートアクセス接続プロファイルの IPSec アトリビュートの設定

LAN-to-LAN 接続プロファイルの設定

デフォルトの LAN-to-LAN 接続プロファイルのコンフィギュレーション

LAN-to-LAN 接続プロファイルの名前とタイプの指定

LAN-to-LAN 接続プロファイルの一般アトリビュートの設定

LAN-to-LAN IPSec アトリビュートの設定

クライアントレス SSL VPN セッション用接続プロファイルの設定

クライアントレス SSL VPN セッション用接続プロファイルの名前とタイプ

クライアントレス SSL VPN セッション用トンネルグループ一般アトリビュート

クライアントレス SSL VPN セッション用トンネルグループ アトリビュート

クライアントレス SSL VPN セッションのユーザーに対するログイン ウィンドウのカスタマイズ

パスワード管理用の Microsoft Active Directory の設定

Active Directory を使用した次回ログオン時のパスワードの強制変更

Active Directory を使用したパスワードの有効期限の指定

Active Directory を使用した AAA の account-disabled インジケータの上書き

Active Directory を使用したパスワードの最小長の指定

Active Directory を使用したパスワードの複雑さの強化

AnyConnect クライアントの RADIUS/SDI メッセージ サポートのための接続プロファイルの設定

AnyConnect クライアントと RADIUS/SDI サーバの対話

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

グループポリシー

デフォルトのグループポリシー

グループポリシーの設定

外部グループポリシーの設定

内部グループポリシーの設定

グループポリシー アトリビュートの設定

WINS サーバおよび DNS サーバの設定

VPN 固有アトリビュートの設定

セキュリティ アトリビュートの設定

バナー メッセージの設定

IPSec-UDP アトリビュートの設定

スプリット トンネリング アトリビュートの設定

トンネリング用ドメイン アトリビュートの設定

VPN ハードウェア クライアント用アトリビュートの設定

バックアップ サーバ アトリビュートの設定

Microsoft Internet Explorer クライアントのパラメータの設定

ネットワーク アドミッション コントロールのパラメータの設定

アドレス プールの設定

ファイアウォール ポリシーの設定

クライアント アクセス規則の設定

クライアントレス SSL VPN セッション用グループポリシー アトリビュート

ユーザ アトリビュートの設定

ユーザ名のコンフィギュレーションの表示

特定ユーザのアトリビュートの設定

ユーザのパスワードと特権レベルの設定

ユーザ アトリビュートの設定

VPN ユーザ アトリビュートの設定

特定のユーザに対するクライアントレス SSL VPN の設定

接続プロファイル、グループ ポリシー、およびユーザの設定

この章では、VPN の接続プロファイル(以前は「トンネル グループ」と呼ばれていました)、グループ ポリシー、およびユーザの設定方法について説明します。次の事項について説明します。

「接続プロファイル、グループ ポリシー、およびユーザの概要」

「接続プロファイルの設定」

「グループポリシー」

「ユーザ アトリビュートの設定」

要約すると次のようになります。最初に接続プロファイルを設定して、接続用の値を設定します。次に、グループ ポリシーを設定します。グループ ポリシーでは、ユーザの集合に関する値が設定されます。その後、ユーザを設定します。ユーザはグループの値を継承でき、さらに個別のユーザ単位に特定の値を設定できます。この章では、これらのエンティティを設定する方法と理由について説明します。

接続プロファイル、グループ ポリシー、およびユーザの概要

グループとユーザは、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のセキュリティ管理とadaptive security applianceの設定における中核的な概念です。グループとユーザで指定されるアトリビュートによって、VPN へのユーザ アクセスと VPN の使用方法が決定されます。 グループ は、ユーザの集合を 1 つのエンティティとして扱うものです。 ユーザ のアトリビュートは、 グループポリシー から取得されます。接続プロファイルは、特定の接続用のグループ ポリシーを指定します。ユーザに特定のグループ ポリシーを割り当てない場合は、その接続のデフォルトのグループ ポリシーが適用されます。


tunnel-group コマンドを使用して、接続プロファイルを設定します。この章では、「接続プロファイル」と「トンネル グループ」が同意語として使用されている箇所があります。


接続プロファイルとグループポリシーを使用すると、システム管理が簡略化されます。コンフィギュレーション タスクを効率化するために、adaptive security applianceには、デフォルトの LAN-to-LAN 接続プロファイル、デフォルトのリモートアクセス 接続プロファイル、デフォルトのクライアントレス SSL VPN 接続プロファイル、およびデフォルトのグループポリシー(DfltGrpPolicy)が用意されています。デフォルトの接続プロファイルとグループ ポリシーでは、多くのユーザに共通すると考えられる設定が提供されます。ユーザを追加するときは、ユーザがグループポリシーからパラメータを「継承」するように指定できます。この指定により、多数のユーザの VPN アクセスを迅速に設定できます。

すべての VPN ユーザに同一の権限を許可する場合は、特定の接続プロファイルやグループポリシーを設定する必要はありませんが、VPN がそのように使用されることはほとんどありません。たとえば、経理グループ、カスタマー サポート グループ、および MIS(経営情報システム)グループが、プライベート ネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS の特定のユーザにシステムへのアクセスを許可し、その他の MIS ユーザはアクセスできないようにする場合もあります。接続プロファイルとグループ ポリシーにより、このような柔軟な設定を安全に実行できます。


) adaptive security applianceには、オブジェクト グループという概念もあります。これは、ネットワーク リストのスーパーセットです。オブジェクト グループを使用すると、ポートやネットワークに対する VPN アクセスを定義できます。オブジェクト グループは、グループポリシーや接続プロファイルよりも、ACL と関連があります。オブジェクト グループを使用する方法の詳細については、第 14 章「アクセスリストによるトラフィックの指定」を参照してください。


セキュリティ アプライアンスは、さまざまなソースからアトリビュート値を適用できます。次の階層に従って適用します。

1. Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)レコード

2. [Username]

3. グループ ポリシー

4. 接続プロファイルのグループ ポリシー

5. デフォルトのグループ ポリシー

したがって、アトリビュートの DAP 値のプライオリティは、ユーザ、グループ ポリシー、または接続プロファイルに設定されたプライオリティよりも高くなります。

DAP レコードのアトリビュートをイネーブルまたはディセーブルにすると、セキュリティ アプライアンスがその値を適用し、強制します。たとえば、DAP webvpn モードで HTTP プロキシをディセーブルにすると、セキュリティ アプライアンスは値を検索しなくなります。代わりに http-proxy コマンドに no 値を使用する場合、アトリビュートが DAP レコードに存在しないため、セキュリティ アプライアンスはユーザ名の AAA アトリビュートと、必要に応じて、適用する値を検索するグループ ポリシーに移行します。ASDM を使用して DAP を設定することをお勧めします。

接続プロファイル

接続プロファイルは、トンネル接続ポリシーを決定するレコードのセットで構成されます。これらのレコードでは、トンネル ユーザが認証されるサーバ、およびアカウンティング サーバがある場合は接続情報の送信先となるサーバが指定されます。また、これらのレコードには、接続用のデフォルト グループポリシーも指定され、さらにプロトコル固有の接続パラメータも含まれています。接続プロファイルには、トンネル自体の作成に関連する少数のアトリビュートが含まれます。また、接続プロファイルには、ユーザ関連のアトリビュートを定義するグループポリシーへのポインタも含まれます。

adaptive security applianceには、LAN-to-LAN 接続用の DefaultL2LGroup とリモートアクセス接続用の DefaultRAGroup、およびクライアントレス SSL VPN(ブラウザベース)接続用の DefaultWEBVPNGroup というデフォルトの接続プロファイルが用意されています。これらのデフォルト接続プロファイルは変更できますが、削除はできません。また、環境に固有の接続プロファイルを 1 つ以上作成することもできます。接続プロファイルは、adaptive security applianceのローカルな設定であり、外部サーバでは設定できません。

接続プロファイルでは、次のアトリビュートが指定されます。

「接続プロファイルの一般接続パラメータ」

「トンネルグループの IPSec 接続パラメータ」

「クライアントレス SSL VPN セッション用接続プロファイル接続パラメータ」

接続プロファイルの一般接続パラメータ

一般パラメータは、すべての VPN 接続に共通です。一般パラメータには、次のものがあります。

接続プロファイル名:接続プロファイルを追加または編集する場合に接続プロファイル名を指定します。次の考慮事項が適用されます。

認証に事前共有キーを使用するクライアントの場合、接続プロファイル名は IPSec クライアントがadaptive security applianceに渡すグループ名と同じです。

認証に証明書を使用するクライアントはこの名前を証明書の一部として渡し、adaptive security applianceが証明書からこの名前を抽出します。

接続タイプ:接続タイプには、IPSec リモートアクセス、IPSec LAN-to-LAN、およびクライアントレス SSL VPN があります。接続プロファイルでは、接続タイプを 1 つだけ指定できます。

認証、認可、アカウンティング サーバ:これらのパラメータでは、adaptive security applianceが次の目的で使用するサーバのグループまたはリストを指定します。

ユーザの認証

ユーザがアクセスを認可されたサービスに関する情報の取得

アカウンティング レコードの保存

サーバ グループは、1 つ以上のサーバで構成されます。

接続用のデフォルト グループポリシー:グループポリシーは、ユーザ関連のアトリビュートのセットです。デフォルト グループポリシーは、adaptive security applianceがトンネル ユーザを認証または認可する際にデフォルトで使用するアトリビュートを含んだグループポリシーです。

クライアント アドレスの割り当て方式:この方式には、adaptive security applianceがクライアントに割り当てる 1 つ以上の DHCP サーバまたはアドレス プールの値が含まれます。

account-disabled の上書き:このパラメータにより、AAA サーバから受信した「account-disabled」インジケータを上書きできます。

パスワード管理:このパラメータにより、現在のパスワードが指定された日数(デフォルトでは 14 日)で有効期限が切れることをユーザに警告して、パスワードを変更する機会をユーザに提供できます。

グループの除去と領域の除去:これらのパラメータは、adaptive security applianceが受信したユーザ名を処理する方法を指示します。これらが適用されるのは、user@realm という形式で受信したユーザ名だけです。領域とは、ユーザ名に @ デリミタが負荷されている管理ドメインです(user@abc)。

strip-group コマンドを指定する場合、adaptive security applianceは、VPN クライアントによって提示されるユーザ名からグループ名を取得してユーザ接続の接続プロファイルを選択します。その後、adaptive security applianceは認可/認証のためにユーザ名のユーザ部分だけを送信します。それ以外の場合(ディセーブルになっている場合)、adaptive security applianceは領域を含むユーザ名全体を送信します。

strip-realm コマンドの処理は、ユーザ名を認証または認可サーバに送信するときにユーザ名から領域を削除します。コマンドがイネーブルになっている場合、adaptive security applianceはユーザ名認可/認証のユーザ部分だけを送信します。それ以外の場合、adaptive security applianceはユーザ名全体を送信します。

認可の要求:このパラメータで、ユーザが接続する前に認可が必要かどうかを決めます。

認可 DN アトリビュート:このパラメータは、認可の実行時に使用する認定者名アトリビュートを指定します。

トンネルグループの IPSec 接続パラメータ

IPSec パラメータには、次のものがあります。

クライアント認証方式:事前共有キー、証明書、またはその両方。

事前共有キーに基づく IKE 接続の場合は、接続ポリシーに関連付けられている英数字キー自体(長さ 128 文字まで)。

ピア ID 確認要求:このパラメータはピアの証明書を使用してピアの ID を確認することを要求するかどうかを指定します。

拡張ハイブリッド認証方式:XAUTH とハイブリッド XAUTH。

adaptive security applianceの認証のためにデジタル証明書を使用する必要がある場合、および RADIUS、TACACS+、SecurID などのリモート VPN ユーザ認証のために異なるレガシー方式を使用する必要がある場合、 isakmp ikev1-user-authentication コマンドを使用して、ハイブリッド XAUTH 認証を実装します。

ISAKMP(IKE)キープアライブの設定。この機能により、adaptive security applianceは リモート ピアの継続的な存在を監視し、自分自身の存在をピアに報告します。ピアが応答しなくなると、adaptive security applianceは接続を削除します。IKE キープアライブをイネーブルにすると、IKE ピアが接続を失ったときに接続がハングしません。

IKE キープアライブにはさまざまな形式があります。この機能が動作するには、adaptive security applianceとリモート ピアが共通の形式をサポートしている必要があります。この機能は、次のピアに対して動作します。

Cisco AnyConnect VPN クライアント

Cisco VPN Client(Release 3.0 以上)

Cisco VPN 3000 Client(Release 2.x)

Cisco VPN 3002 Hardware Client

Cisco VPN 3000 シリーズ コンセントレータ

Cisco IOS ソフトウェア

Cisco Secure PIX Firewall

シスコ以外の VPN クライアントは IKE キープアライブをサポートしません。

IKE キープアライブをサポートするピアとサポートしないピアが混在するグループを設定する場合は、グループ全体に対して IKE キープアライブをイネーブルにします。この機能をサポートしないピアに影響はありません。

IKE キープアライブをディセーブルにすると、応答しないピアとの接続はタイムアウトになるまでアクティブのままになるため、アイドル タイムアウトを短くすることを推奨します。アイドル タイムアウトを変更するには、「グループポリシーの設定」を参照してください。


) ISDN 回線経由で接続するクライアントがグループに含まれる場合は、接続コストを削減するために IKE キープアライブをディセーブルにしてください。通常、ISDN 接続はアイドルになると切断されますが、IKE キープアライブのメカニズムによって接続がアイドル状態にならないために、切断されなくなります。

IKE キープアライブをディセーブルにすると、クライアントは IKE キーと IPSec キーのどちらかの期限が満了した場合だけ切断されます。IKE キープアライブがイネーブルになっている場合とは異なり、障害が発生したトラフィックは Peer Timeout Profile 値を持つトンネルから切断されません。



) IKE メイン モードを使用する LAN-to-LAN コンフィギュレーションの場合は、2 つのピアの IKE キープアライブの設定が同じであることを確認してください。両方のピアで IKE キープアライブがイネーブルになっているか、または両方のピアで IKE キープアライブがディセーブルになっている必要があります。


デジタル証明書を使用して認証を設定する場合、(ID 証明書とすべての発行証明書をピアに送信する)証明書チェーン全体を送信するか、または発行証明書(ルート証明書とすべての下位 CA 証明書を含む)だけを送信するかを指定できます。

Windows クライアント ソフトウェアの古いバージョンを使用しているユーザに、クライアントをアップデートする必要があることを通知できるため、アップデートされたクライアント バージョンを取得するためのメカニズムを提供できます。VPN 3002 ハードウェア クライアントのユーザの場合、自動アップデートをトリガーできます。すべての接続プロファイルまたは特定の接続プロファイルに対して、クライアント アップデートを設定および変更できます。

デジタル証明書を使用して認証を設定する場合、IKE ピアに送信する証明書を識別するトラストポイントの名前を指定できます。

クライアントレス SSL VPN セッション用接続プロファイル接続パラメータ

表 28-1 は、クライアントレス SSL VPN に固有の接続プロファイルのアトリビュートのリストです。これらのアトリビュートに加えて、すべての VPN 接続に共通する一般的な接続プロファイルのアトリビュートを設定します。接続プロファイルを設定するための詳細な手順については、 第 28 章「接続プロファイル、グループ ポリシー、およびユーザの設定」 「クライアントレス SSL VPN セッション用接続プロファイルの設定」 を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」と呼ばれていました。接続プロファイルは tunnel-group コマンドを使用して設定します。この章では、この 2 つの用語をしばしば同じ意味で使用しています。


 

表 28-1 クライアントレス SSL VPN の接続プロファイルのアトリビュート

コマンド
機能

authentication

AAA または証明書の認証方式を設定します。

customization

以前に定義した、適用対象のカスタマイゼーションの名前を指定します。カスタマイゼーションは、ログイン時にユーザに表示されるウィンドウの内容を決定します。カスタマイゼーション パラメータは、クライアントレス SSL VPN 設定の一部として設定します。

nbns-server

CIFS 名前解決用の NetBIOS ネーム サービス サーバの名前(nbns-server)を指定します。

group-alias

これらはサーバが接続プロファイルを参照できる 1 つ以上の代替名を指定します。ログイン時に、ユーザはドロップダウン メニューからグループ名を選択します。

group-url

1 つ以上のグループの URL を指定します。このアトリビュートを設定すると、指定した URL に着信するユーザはログイン時にグループを選択する必要がありません。

dns-group

DNS サーバ グループは、DNS サーバ名、ドメイン名、ネーム サーバ、リトライ回数、および DNS サーバが接続プロファイルに使用するタイムアウト値を指定します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用してグループベースのポリシー アトリビュートを「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合の VPN フィーチャ ポリシーを指定します。

override-svc-download

リモート ユーザに AnyConnect VPN クライアントをダウンロードするために設定された、グループ ポリシーまたはユーザ名のアトリビュートのダウンロードを上書きします。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

接続プロファイルの設定

次の各項では、接続プロファイルの内容とコンフィギュレーションについて説明します。

「最大接続プロファイル」

「デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション」

「IPSec リモートアクセス接続プロファイルの名前とタイプの指定」

「IPSec リモートアクセス接続プロファイルの設定」

「LAN-to-LAN 接続プロファイルの設定」

「クライアントレス SSL VPN セッション用接続プロファイルの設定」

「クライアントレス SSL VPN セッションのユーザーに対するログイン ウィンドウのカスタマイズ」

「AnyConnect クライアントの RADIUS/SDI メッセージ サポートのための接続プロファイルの設定」

デフォルト接続プロファイルは変更可能です。また、3 つのトンネルグループ タイプの 1 つとして新しい接続プロファイルを設定することもできます。接続プロファイルのアトリビュートを明示的に設定しない場合、そのアトリビュートは、値をデフォルト接続プロファイルから取得します。デフォルト接続タイプはリモート アクセスです。その後のパラメータは、選択したトンネル タイプによって異なります。デフォルト接続プロファイルも含めて、すべての接続プロファイルの現在のコンフィギュレーションとデフォルトのコンフィギュレーションを確認するには、 show running-config all tunnel-group コマンドを入力します。

最大接続プロファイル

adaptive security applianceがサポートできる接続プロファイルの最大数(トンネル グループ)は、プラットフォームでの同時 VPN セッションの最大数 + 5 です。たとえば、ASA5505 は最大 25 の同時 VPN セッションをサポートでき、30(25+5)のトンネルグループが可能です。制限を超えるトンネル グループを追加しようとすると、「ERROR: The limit of 30 configured tunnel groups has been reached」メッセージが表示されます。

表 28-2 では、各 ASA プラットフォームの最大 VPN セッション数と接続プロファイル数を示します。

 

表 28-2 各 ASA プラットフォームの最大 VPN セッション数と接続プロファイル数

5505 Base/ Security Plus
5510/Base/ Security Plus
5520
5540
5550
5580-20
5580-40

最大 VPN セッション

10/25

250

750

5000

5000

10,000

10,000

最大接続プロファイル

15/30

255

755

5005

5005

10,005

10,005

デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション

デフォルトのリモートアクセス接続プロファイルの内容は、次のとおりです。

tunnel-group DefaultRAGroup type remote-access
tunnel-group DefaultRAGroup general-attributes
no address-pool
no ipv6-address-pool
authentication-server-group LOCAL
accounting-server-group RADIUS
default-group-policy DfltGrpPolicy
no dhcp-server
no strip-realm
no password-management
no override-account-disable
no strip-group
no authorization-required
authorization-dn-attributes CN OU
tunnel-group DefaultRAGroup webvpn-attributes
hic-fail-group-policy DfltGrpPolicy
customization DfltCustomization
authentication aaa
no override-svc-download
no radius-reject-message
dns-group DefaultDNS
tunnel-group DefaultRAGroup ipsec-attributes
no pre-shared-key
peer-id-validate req
no chain
no trust-point
isakmp keepalive threshold 1500 retry 2
no radius-sdi-xauth
isakmp ikev1-user-authentication xauth
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
no authentication ms-chap-v2
no authentication eap-proxy
 

IPSec トンネルグループの一般アトリビュートの設定

一般アトリビュートは、複数のトンネルグループ タイプにわたって共通です。IPSec リモートアクセスおよびクライアントレス SSL VPN トンネルは、同じ一般パアトリビュートの大部分を共有します。IPSec LAN-to-LAN トンネルはサブセットを使用します。すべてのコマンドの詳細な説明については、『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』を参照してください。次の各項では、IPSec リモートアクセス 接続プロファイル、IPSec LAN-to-LAN 接続プロファイル、およびクライアントレス SSL VPN 接続プロファイルの設定方法について説明します。

IPSec リモートアクセス接続プロファイルの設定

ハードウェアまたはソフトウェア クライアントを使用して、リモート クライアントと中央サイトのadaptive security applianceとの間の接続をセットアップする場合は、IPSec リモートアクセス接続プロファイルを使用します。IPSec リモートアクセス トンネルグループを設定するには、最初に接続プロファイル一般アトリビュートを設定してから、IPSec リモートアクセス アトリビュートを設定します。IPSec リモートアクセス VPN 接続プロファイルは、リモートアクセス IPSec クライアント接続にだけ適用されます。IPSec リモートアクセス 接続プロファイルの設定方法については、次の項を参照してください。

「IPSec リモートアクセス接続プロファイルの名前とタイプの指定」

「IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定」

「IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定」

IPSec リモートアクセス接続プロファイルの名前とタイプの指定

tunnel-group コマンドを入力してトンネルグループの名前とタイプを指定することにより、接続プロファイルを作成します。IPSec リモートアクセス トンネルの場合、タイプは remote-access になります。

hostname(config)# tunnel-group tunnel_group_name type remote-access
hostname(config)#
 

たとえば、TunnelGroup1 という名前の IPSec リモートアクセス接続プロファイルを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup1 type remote-access
hostname(config)#
 

IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定

接続プロファイルの一般アトリビュートを設定または変更するには、次の手順でパラメータを指定します。


ステップ 1 一般アトリビュートを設定するには、 tunnel-group general-attributes コマンドを入力して、トンネルグループ一般アトリビュート コンフィギュレーション モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel_group_name general-attributes
hostname(config-tunnel-general)#
 

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したグループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

hostname(config-tunnel-general)# authentication-server-group [(interface_name)] groupname [LOCAL]
hostname(config-tunnel-general)#
 

認証サーバ グループ名は、最大 16 文字にできます。

グループ名の後ろにインターフェイス名を指定することにより、インターフェイス固有の認証をオプションで設定できます。IPSec トンネルの終端位置を指定するインターフェイス名は丸カッコで囲む必要があります。次のコマンドは、test という名前のインターフェイスで servergroup1 という名前のサーバを認証に使用するように、インターフェイス固有の認証を設定しています。

hostname(config-tunnel-general)# authentication-server-group (test) servergroup1
hostname(config-tunnel-general)#
 

ステップ 3 認可サーバ グループがある場合、使用するグループの名前を指定します。この値を設定する場合、接続する認可データベースにユーザが存在する必要があります。

hostname(config-tunnel-general)# authorization-server-group groupname
hostname(config-tunnel-general)#
 

認可サーバ グループ名は、最大 16 文字にできます。たとえば、次のコマンドは、認可サーバ グループ FinGroup を使用することを指定しています。

hostname(config-tunnel-general)# authorization-server-group FinGroup
hostname(config-tunnel-general)#
 

ステップ 4 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

アカウンティングサーバ グループ名は、最大 16 文字にできます。たとえば、次のコマンドは、comptroller という名前のアカウンティング サーバ グループを使用することを指定しています。

hostname(config-tunnel-general)# accounting-server-group comptroller
hostname(config-tunnel-general)#
 

ステップ 5 デフォルト グループポリシーの名前を指定します。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

グループ ポリシー名は、最大 64 文字にできます。次の例では、デフォルト グループ ポリシーの名前として DfltGrpPolicy を設定しています。

hostname(config-tunnel-general)# default-group-policy DfltGrpPolicy
hostname(config-tunnel-general)#
 

ステップ 6 DHCP サーバ(最大 10 台)の名前か IP アドレス、および DHCP アドレス プール(最大 6 個)の名前を指定します。デフォルトでは、DHCP サーバとアドレス プールは使用されません。

hostname(config-tunnel-general)# dhcp-server server1 [...server10]
hostname(config-tunnel-general)# address-pool [(interface name)] address_pool1 [...address_pool6]
hostname(config-tunnel-general)#
 

) インターフェイス名を指定する場合、丸カッコで囲む必要があります。


アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。

ステップ 7 Network Admission Control(NAC; ネットワーク アドミッション コントロール)を使用する場合は、ネットワーク アドミッション コントロールのポスチャ確認に使用する NAC 認証サーバ グループの名前を指定します。必ず、少なくとも 1 台の Access Control Server で NAC をサポートするように設定してください。 aaa-server コマンドを使用して、ACS グループに名前を付けます。次に、 nac-authentication-server-group コマンドを使用して、サーバ グループに同じ名前を指定します。

次の例では、NAC のポスチャ確認に使用する認証サーバ グループを acs-group1 に指定しています。

hostname(config-group-policy)# nac-authentication-server-group acs-group1
hostname(config-group-policy)
 

次の例では、デフォルトのリモート アクセス グループの認証サーバ グループを継承しています。

hostname(config-group-policy)# no nac-authentication-server-group
hostname(config-group-policy)
 

) NAC を使用するには、リモート ホストに Cisco Trust Agent が必要です。


ステップ 8 ユーザ名を AAA サーバに渡す前に、ユーザ名からグループまたは領域を除去するかどうかを指定します。デフォルトでは、グループ名も領域も除去されません。

hostname(config-tunnel-general)# strip-group
hostname(config-tunnel-general)# strip-realm
hostname(config-tunnel-general)#
 

領域は管理ドメインです。領域を除去すると、adaptive security applianceは、ユーザ名とグループ(ある場合)認証を使用します。グループを除去すると、adaptive security applianceは認証にユーザ名と領域(ある場合)を使用します。領域修飾子を削除するには strip-realm コマンドを入力し、認証時にユーザ名からグループ修飾子を削除するには strip-group コマンドを使用します。両方の修飾子を削除すると、認証は username だけに基づいて実行されます。それ以外の場合は、 username@realm または username < delimiter > group 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、 strip-realm を指定する必要があります。

ステップ 9 オプションで、サーバが RADIUS、RADIUS with NT、または LDAP サーバである場合、パスワード管理をイネーブルにできます。


) LDAP ディレクトリ サーバを認証用に使用している場合、パスワード管理は、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにadaptive security applianceに設定した DN はサーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者またはディレクトリ管理者の特権のあるユーザを使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定します。

Microsoft:Microsoft Active Directory でパスワードを管理できるように SSL を介して LDAP を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


この機能は、デフォルトでイネーブルになっていますが、現在のパスワードがまもなく有効期限切れになる場合にユーザに警告します。デフォルトでは、期限切れの 14 日前にユーザへの警告を開始します。

hostname(config-tunnel-general)# password-management
hostname(config-tunnel-general)#
 

サーバが LDAP サーバの場合、期限切れが迫っていることをユーザに警告し始める有効期限までの日数(0 ~ 180)を指定できます。

hostname(config-tunnel-general)# password-management [password-expire in days n]
hostname(config-tunnel-general)#
 

) トンネルグループの一般アトリビュート コンフィギュレーション モードで入力される password-management コマンドは、トンネルグループの ipsec アトリビュート モードで以前入力された非推奨の radius-with-expiry コマンドに置き換えられます。


password-management コマンドを設定すると、adaptive security applianceは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいているか、または期限が切れていることを通知します。次に、adaptive security applianceからパスワード変更の機会がユーザに提供されます。現在のパスワードの期限がまだ切れていない場合は、ユーザはこのパスワードで引き続きログインできます。RADIUS 認証または LDAP 認証が設定されていない場合、adaptive security applianceはこのコマンドを無視します。

これはパスワードの期限切れまでの日数を変更するのではなく、まもなく期限切れになることをadaptive security applianceがユーザに警告し始めるまでの期限前の日数を変更することに注意してください。

password-expire-in-days キーワードを指定する場合、日数も指定する必要があります。

日数を 0 にしてこのコマンドを指定すると、このコマンドはディセーブルになります。adaptive security applianceは、期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた後にパスワードを変更できます。

詳細は「パスワード管理用の Microsoft Active Directory の設定」を参照してください。


) adaptive security appliance リリース 7.1 以降では、LDAP または MS-CHAPv2 をサポートする RADIUS 接続で認証を行う場合、通常、AnyConnect VPN クライアント、Cisco IPSec VPN クライアント、SSL VPN 完全トンネリング クライアント、クライアントレス接続をサポートします。Kerberos/AD(Windows パスワード)または NT 4.0 ドメインの接続タイプに対しては、パスワード管理がサポートされません

MS-CHAP をサポートする一部の RADIUS サーバは現在、MS-CHAPv2 をサポートしていません。password-management コマンドには MS-CHAPv2 が必要なため、ベンダーにお問い合せください。

RADIUS サーバ(たとえば、Cisco ACS)は、別の認証サーバに認証要求をプロキシできます。ただし、adaptive security applianceの観点からは、RADIUS サーバだけを対象としています。

LDAP については、パスワードを変更するための方法は、市場の LDAP サーバごとに異なります。現在、adaptive security applianceが実装している専用のパスワード管理ロジックは、Microsoft Active Directory サーバおよび Sun LDAP サーバのみを対象にしています。ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL を介した LDAP をイネーブルにする必要があります。デフォルトで LDAP はポート 636 を使用します。


ステップ 10 オプションで、 override-account-disable コマンドを入力して、AAA サーバから account-disabled インジケータを上書きする機能を設定します。

hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

) override-account-disable を許可すると、セキュリティ上のリスクが発生する可能性があります。


ステップ 11 証明書から認可クエリー用の名前を得るために使用する 1 つまたは複数のアトリビュートを指定します。このアトリビュートにより、サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかが指定されます。

hostname(config-tunnel-general)# authorization-dn-attributes {primary-attribute [secondary-attribute] | use-entire-name}
 

たとえば、次のコマンドは、CN アトリビュートを認可用のユーザ名として使用することを指定しています。

hostname(config-tunnel-general)# authorization-dn-attributes CN
hostname(config-tunnel-general)#
 

authorization-dn-attributes には、 C (国)、 CN (通常名)、 DNQ (DN 修飾子)、 EA (電子メール アドレス)、 GENQ (世代修飾子)、 GN (名)、 I (イニシャル)、 L (地名)、 N (名前)、 O (組織)、 OU (組織ユニット)、 SER (シリアル番号)、 SN (姓)、 SP (州または都道府県)、 T (役職)、 UID (ユーザ ID)、 UPN (ユーザ プリンシパル名)があります。

ステップ 12 ユーザに接続を許可する前に、そのユーザが正常に認可されている必要があるかどうかを指定します。デフォルトでは認可は要求されません。

hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#
 


 

IPv6 アクセスのイネーブル化

adaptive security applianceでは、パブリック IPv4 接続(Windows XP SP2、Windows Vista、Mac OSX、Linux だけ)を介して IPv6 リソースへのアクセスが可能です。IPv6 アクセスを設定する場合、コマンドライン インターフェイスを使用して IPv6 を設定する必要があります。ASDM では IPv6 がサポートされません。

SSL VPN 接続のイネーブルの一部として、 ipv6 enable コマンドを使用して IPv6 アクセスをイネーブルにします。次の例は、外部インターフェイス上の IPv6 サーバをイネーブルにする IPv6 接続を示しています。

hostname(config)# interface GigabitEthernet0/0
hostname(config-if)# ipv6 enable
 

IPV6 SSL VPN をイネーブルにするには、次の一般的なアクションを実行します。

1. 外部インターフェイスでの IPv6 のイネーブル化

2. 内部インターフェイスで IPv6 および IPv6 アドレスをイネーブルにします。

3. IP アドレスを割り当てられたクライアントに対して IPv6 アドレス ローカル プールを設定します。

4. IPv6 トンネルのデフォルト ゲートウェイを設定します。

これを実装するには、次の手順を実行します。


ステップ 1 インターフェイスを設定します。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.0.1 255.255.255.0
ipv6 enable ; Needed for IPv6.
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.0.1 255.255.0.0
ipv6 address 2001:DB8::1/32 ; Needed for IPv6.
ipv6 enable ; Needed for IPv6.
 

ステップ 2 「ipv6 ローカル プール」(IPv6 アドレス割り当てに使用される)を設定します。

 
ipv6 local pool ipv6pool 2001:DB8:1:1::5/32 100 ; Use your IPv6 prefix here
 

) (ip local pool コマンドを使用して)IPv6 を使用する場合でも、IPv4 アドレス プールを設定する必要があります。


ステップ 3 ipv6 アドレス プールをトンネル グループ ポリシー(またはグループポリシー)に追加します。

tunnel-group YourTunGrp1 general-attributes ipv6-address-pool ipv6pool
 

) 再び、(「address-pool」コマンドを使用して)ここでも IPv4 アドレス プールを設定する必要があります。


ステップ 4 IPv6 トンネルのデフォルト ゲートウェイを設定します。

ipv6 route inside ::/0 X:X:X:X::X tunneled
 


 

IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定

リモート アクセス接続プロファイルに IPSec アトリビュートを設定するには、次の手順を実行します。次の説明では、すでに IPSec リモートアクセス接続プロファイルが作成済みであると仮定しています。IPSec リモートアクセス接続プロファイルには、IPSec LAN-to-LAN 接続プロファイルよりも多くのアトリビュートがあります。


ステップ 1 IPSec リモート アクセス接続プロファイルのアトリビュートを指定するには、次のコマンドを入力して接続プロファイル ipsec アトリビュート モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
hostname(config-tunnel-ipsec)#
 

このコマンドによりトンネルグループ ipsec アトリビュート コンフィギュレーションモードに入ります。リモートアクセス トンネルグループの IPSec アトリビュートは、このモードで設定します。

たとえば、次のコマンドは、TG1という名前のトンネルグループに関係する接続プロファイル ipsec アトリビュート モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ipsec アトリビュート モードに入ったことがわかります。

hostname(config)# tunnel-group TG1 type remote-access
hostname(config)# tunnel-group TG1 ipsec-attributes
hostname(config-tunnel-ipsec)#
 

ステップ 2 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。たとえば、次のコマンドは、IPSec リモートアクセス接続プロファイルの IKE 接続をサポートするために、事前共有キー xyzx を指定しています。

hostname(config-tunnel-ipsec)# pre-shared-key xyzx
hostname(config-tunnel-ipsec)#
 

ステップ 3 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-tunnel-ipsec)# peer-id-validate option
hostname(config-tunnel-ipsec)#
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。

たとえば、次のコマンドは、ピア ID 確認を必須に指定しています。

hostname(config-tunnel-ipsec)# peer-id-validate req
hostname(config-tunnel-ipsec)#
 

ステップ 4

ステップ 5 証明書チェーンを送信できるかどうかを指定します。次のコマンドは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#
 

このアトリビュートは、すべての IPSec トンネルグループ タイプに適用されます。

ステップ 6 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-tunnel-ipsec)# trust-point trust-point-name
hostname(config-tunnel-ipsec)#
 

次のコマンドは、IKE ピアに送信する証明書の名前として mytrustpoint を指定しています。

hostname(config-ipsec)# trust-point mytrustpoint
 

ステップ 7 ISAKMP(IKE)キープアライブのしきい値と許可されるリトライ回数を指定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold <number> retry <number>
hostname(config-tunnel-ipsec)#
 

threshold パラメータは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数で指定します(10 ~ 3600)。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

たとえば、次のコマンドは、IKE キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#
 

threshold パラメータのデフォルト値は、リモートアクセスの場合は 300、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。

中央サイト(「ヘッドエンド」)が ISAKMP モニタリングを開始しないように指定するには、次のコマンドを入力します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold infinite
hostname(config-tunnel-ipsec)#
 

ステップ 8 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

adaptive security applianceの認証のためにデジタル証明書を使用する必要がある場合、および RADIUS、TACACS+、SecurID などのリモート VPN ユーザ認証のために異なるレガシー方式を使用する必要がある場合、 isakmp ikev1-user-authentication コマンドを使用して、ハイブリッド XAUTH 認証を実装します。ハイブリッド XAUTH では、IKE のフェーズ 1 が次の 2 つの手順にわかれています。この 2 つをハイブリッド認証と呼びます。

a. adaptive security applianceでは、リモート VPN ユーザが標準公開キー技術で認証されます。これによって、単方向に認証される IKE セキュリティ アソシエーションが確立されます。

b. 次に、XAUTH 交換でリモート VPN ユーザが認証されます。このような拡張認証では、サポートされているレガシー認証方式の 1 つを使用できます。


) 認証タイプをハイブリッドに設定する前に、認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定します。


isakmp ikev1-user-authentication コマンドにオプションの interface パラメータを使用して、特定のインターフェイスを指定できます。interface パラメータを省略すると、コマンドはすべてのインターフェイスに適用し、インターフェイスごとのコマンドが指定されない場合はバックアップとして機能します。2 つの isakmp ikev1-user-authentication コマンドを接続プロファイルに指定している場合で、1 つは interface パラメータを使用し、もう 1 つは使用していないとき、インターフェイスを指定しているコマンドが優先して、指定されたインターフェイスに適用されます。

たとえば、次のコマンドは、example-group という接続プロファイルに対して、ハイブリッド XAUTH を内部インターフェイス上でイネーブルにします。

hostname(config)# tunnel-group example-group type remote-access
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#
 


 

PPP リモートアクセス接続プロファイルの IPSec アトリビュートの設定

リモート アクセス接続プロファイルに Point-to-Point プロトコル アトリビュートを設定するには、次の手順を実行します。PPP アトリビュートは、IPSec リモートアクセス接続プロファイル だけ で設定します。次の説明では、すでに IPSec リモートアクセス接続プロファイルが作成済みであると仮定しています。


ステップ 1 次のコマンドを入力し、トンネルグループ ppp アトリビュート コンフィギュレーション モードに入ります。リモートアクセス トンネルグループの PPP アトリビュートは、このモードで設定します。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name type remote-access
hostname(config)# tunnel-group tunnel-group-name ppp-attributes
hostname(config-tunnel-ppp)#
 

たとえば、次のコマンドは、TG1という名前のトンネルグループに関係する接続プロファイル ppp アトリビュート モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ppp アトリビュート モードに入ったことがわかります。

hostname(config)# tunnel-group TG1 type remote-access
hostname(config)# tunnel-group TG1 ppp-attributes
hostname(config-tunnel-ppp)#
 

ステップ 2 PPP 接続で特定のプロトコルを使った認証をイネーブルにするかどうかを指定します。プロトコルの値は次のとおりです。

pap:PPP 接続で Password Authentication Protocol(パスワード認証プロトコル)の使用をイネーブルにします。

chap:PPP 接続で Challenge Handshake Authentication Protocol(チャレンジ ハンドシェーク認証プロトコル)の使用をイネーブルにします。

ms-chap-v1 または ms-chap-v2:PPP 接続で Microsoft Challenge Handshake Authentication Protocol(チャレンジ ハンドシェーク認証プロトコル)のバージョン 1 または 2 の使用をイネーブルにします。

eap:PPP 接続で Extensible Authentication Protocol(拡張認証プロトコル)の使用をイネーブルにします。

CHAP と MSCHAPv1 は、デフォルトでイネーブルになっています。

このコマンドのシンタックスは、次のとおりです。

hostname(config-tunnel-ppp)# authentication protocol
hostname(config-tunnel-ppp)#
 

特定のプロトコルの認証をディセーブルにするには、このコマンドの no 形式を使用します。

hostname(config-tunnel-ppp)# no authentication protocol
hostname(config-tunnel-ppp)#
 

たとえば、次のコマンドは、PPP 接続で PAP プロトコルの使用をイネーブルにしています。

hostname(config-tunnel-ppp)# authentication pap
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で MS-CHAP バージョン 2 の使用をイネーブルにしています。

hostname(config-tunnel-ppp)# authentication ms-chap-v2
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で EAP-PROXY プロトコルの使用をイネーブルにしています。

hostname(config-tunnel-ppp)# authentication pap
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で MS-CHAP バージョン 1 の使用をディセーブルにしています。

hostname(config-tunnel-ppp)# no authentication ms-chap-v1
hostname(config-tunnel-ppp)#
 


 

LAN-to-LAN 接続プロファイルの設定

IPSec LAN-to-LAN VPN 接続プロファイルは、LAN-to-LAN IPSec クライアント接続だけに適用されます。設定するパラメータの多くは IPSec リモートアクセス接続プロファイルの場合と同じですが、LAN-to-LAN トンネルのほうがパラメータの数は少なくなっています。LAN-to-LAN 接続プロファイルを設定するには、この項の手順を実行します。

デフォルトの LAN-to-LAN 接続プロファイルのコンフィギュレーション

デフォルトの LAN-to-LAN 接続プロファイルの内容は、次のとおりです。

tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
no accounting-server-group
default-group-policy DfltGrpPolicy
tunnel-group DefaultL2LGroup ipsec-attributes
no pre-shared-key
peer-id-validate req
no chain
no trust-point
isakmp keepalive threshold 10 retry 2
 

LAN-to-LAN 接続プロファイルのパラメータはリモートアクセス接続プロファイルのパラメータより少なく、そのほとんどはどちらのグループでも同じです。実際に接続を設定する場合の利便性を考え、ここではこのグループのパラメータを個別に説明します。明示的に設定しないパラメータは、値をデフォルトの接続プロファイルから継承します。

LAN-to-LAN 接続プロファイルの名前とタイプの指定

接続プロファイルの名前とタイプを指定するには、次のように tunnel-group コマンドを入力します。

hostname(config)# tunnel-group tunnel_group_name type tunnel_type
 

LAN-to-LAN トンネルの場合、タイプは ipsec-l2l になります。たとえば、docs という名前のLAN-to-LAN 接続プロファイルを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group docs type ipsec-l2l
hostname(config)#
 

LAN-to-LAN 接続プロファイルの一般アトリビュートの設定

接続プロファイルの一般アトリビュートを設定するには、次の手順を実行します。


ステップ 1 general-attributes キーワードを指定して、トンネルグループ一般アトリビュート モードに入ります。

hostname(config)# tunnel-group_tunnel-group-name general-attributes
hostname(config-tunnel-general)#
 

プロンプトが変化して、config-general モードに入ったことがわかります。トンネルグループの一般アトリビュートは、このモードで設定します。

たとえば、docs という名前の接続プロファイルの場合、次のコマンドを入力します。

hostname(config)# tunnel-group_docs general-attributes
hostname(config-tunnel-general)#

ステップ 2 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドは、アカウンティング サーバ グループ acctgserv1 の使用を指定しています。

hostname(config-tunnel-general)# accounting-server-group acctgserv1
hostname(config-tunnel-general)#
 

ステップ 3 デフォルト グループポリシーの名前を指定します。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドは、デフォルト グループポリシーの名前に MyPolicy を指定しています。

hostname(config-tunnel-general)# default-group-policy MyPolicy
hostname(config-tunnel-general)#
 


 

LAN-to-LAN IPSec アトリビュートの設定

IPSec アトリビュートを設定するには、次の手順を実行します。


ステップ 1 トンネルグループ IPSec アトリビュートを設定するには、IPSec アトリビュート キーワードとともに tunnel-group コマンドを入力して、トンネルグループ ipsec アトリビュート コンフィギュレーション モードに入ります。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、config-ipsec モードに入り、TG1 という名前の接続プロファイルのパラメータを設定できます。

hostname(config)# tunnel-group TG1 ipsec-attributes
hostname(config-tunnel-ipsec)#
 

プロンプトが変化して、トンネルグループ ipsec アトリビュート コンフィギュレーション モードに入ったことがわかります。

ステップ 2 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。

hostname(config-tunnel-ipsec)# pre-shared-key key
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、IPSec LAN-to-LAN 接続プロファイルの IKE 接続をサポートするために、事前共有キー XYZX を指定しています。

hostname(config-tunnel-ipsec)# pre-shared-key xyzx
hostname(config-tunnel-general)#
 

ステップ 3 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-tunnel-ipsec)# peer-id-validate option
hostname(config-tunnel-ipsec)#
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。たとえば、次のコマンドは、peer-id-validate オプションを nocheck に設定しています。

hostname(config-tunnel-ipsec)# peer-id-validate nocheck
hostname(config-tunnel-ipsec)#
 

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のアクションは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-tunnel-ipsec)# trust-point trust-point-name
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、トラストポイント名を mytrustpoint に設定しています。

hostname(config-tunnel-ipsec)# trust-point mytrustpoint
hostname(config-tunnel-ipsec)#
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 6 ISAKMP(IKE)キープアライブのしきい値と許可されるリトライ回数を指定します。 threshold パラメータは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数で指定します(10 ~ 3600)。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

hostname(config)# isakmp keepalive threshold <number> retry <number>
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、ISAKMP キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#
 

threshold パラメータのデフォルト値は、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。

中央サイト(「ヘッドエンド」)が ISAKMP モニタリングを開始しないように指定するには、次のコマンドを入力します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold infinite
hostname(config-tunnel-ipsec)#
 

ステップ 7 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

adaptive security applianceの認証のためにデジタル証明書を使用する必要がある場合、および RADIUS、TACACS+、SecurID などのリモート VPN ユーザ認証のために異なるレガシー方式を使用する必要がある場合、 isakmp ikev1-user-authentication コマンドを使用して、ハイブリッド XAUTH 認証を実装します。ハイブリッド XAUTH では、IKE のフェーズ 1 が次の 2 つの手順にわかれています。この 2 つをハイブリッド認証と呼びます。

a. adaptive security applianceでは、リモート VPN ユーザが標準公開キー技術で認証されます。これによって、単方向に認証される IKE セキュリティ アソシエーションが確立されます。

b. 次に、XAUTH 交換でリモート VPN ユーザが認証されます。このような拡張認証では、サポートされているレガシー認証方式の 1 つを使用できます。


) 認証タイプをハイブリッドに設定する前に、認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定します。


isakmp ikev1-user-authentication コマンドにオプションの interface パラメータを使用して、特定のインターフェイスを指定できます。interface パラメータを省略すると、コマンドはすべてのインターフェイスに適用し、インターフェイスごとのコマンドが指定されない場合はバックアップとして機能します。2 つの isakmp ikev1-user-authentication コマンドを接続プロファイルに指定している場合で、1 つは interface パラメータを使用し、もう 1 つは使用していないとき、インターフェイスを指定しているコマンドが優先して、指定されたインターフェイスに適用されます。

たとえば、次のコマンドは、example-group という接続プロファイルに対して、ハイブリッド XAUTH を内部インターフェイス上でイネーブルにします。

hostname(config)# tunnel-group example-group type remote-access
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#
 


 

クライアントレス SSL VPN セッション用接続プロファイルの設定

クライアントレス SSL VPN 接続プロファイルのトンネルグループ一般アトリビュートは IPSec リモートアクセス接続プロファイルの場合と同じですが、トンネルグループのタイプが webvpn であり、 strip-group および strip-realm コマンドが適用されない点が異なります。個別のクライアントレス SSL VPN に固有のアトリビュートを定義します。次の各項では、クライアントレス SSL VPN 接続プロファイルの設定方法について説明します。

クライアントレス SSL VPN セッション用接続プロファイルの名前とタイプ

接続プロファイルを作成し、グローバル コンフィギュレーション モードで tunnel-group コマンドを入力してその名前とタイプを指定します。IPSec リモートアクセス トンネルの場合、タイプは webvpn になります。

hostname(config)# tunnel-group tunnel_group_name type webvpn
hostname(config)#
 

たとえば、TunnelGroup3 という名前の クライアントレス SSL VPN トンネルグループを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup3 type webvpn
hostname(config)#
 

クライアントレス SSL VPN セッション用トンネルグループ一般アトリビュート

接続プロファイルの一般アトリビュートを設定または変更するには、次の手順でパラメータを指定します。


ステップ 1 一般アトリビュートを設定するには、 tunnel-group general-attributes コマンドを入力して、トンネルグループ一般アトリビュート コンフィギュレーション モードに入ります。プロンプトが次のように変化します。

hostname(config)# tunnel-group tunnel_group_name general-attributes
hostname(config-tunnel-general)#
 

以前の項で作成した TunnelGroup3 の一般アトリビュートを設定するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup3 general-attributes
hostname(config-tunnel-general)#
 

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したグループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

hostname(config-tunnel-general)# authentication-server-group groupname [LOCAL]
hostname(config-tunnel-general)#
 

たとえば、test という認証サーバ グループを設定し、このグループに障害が発生した場合に LOCAL サーバにフォールバックするように指定するには、次のコマンドを入力します。

hostname(config-tunnel-general)# authentication-server-group test LOCAL
hostname(config-tunnel-general)#
 

認証サーバ グループの名前は、すでに設定済みの認証サーバまたはサーバ グループを特定します。認証サーバを設定するには、 aaa-server コマンドを使用してください。グループ タグの最大長は 16 文字です。

グループ名の前に丸カッコで囲まれたインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。デフォルトのインターフェイスは、次のとおりです。

inside:インターフェイス GigabitEthernet0/1 の名前

outside:インターフェイス GigabitEthernet0/0 の名前

すでに設定している( interface コマンドを使用)他のインターフェイスを指定することもできます。次のコマンドは、outside というインターフェイスでサーバ servergroup1 を認証に使用するように、インターフェイス固有の認証を設定しています。

hostname(config-tunnel-general)# authentication-server-group (outside) servergroup1
hostname(config-tunnel-general)#
 

ステップ 3 オプションで、認可サーバ グループがある場合、使用するグループの名前を指定します。認可を使用しない場合は、ステップ 6 に進みます。この値を設定する場合、接続する認可データベースにユーザが存在する必要があります。

hostname(config-tunnel-general)# authorization-server-group groupname
hostname(config-tunnel-general)#
 

認可サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。

たとえば、次のコマンドは、認可サーバ グループ FinGroup を使用することを指定しています。

hostname(config-tunnel-general)# authorization-server-group FinGroup
hostname(config-tunnel-general)#
 

ステップ 4 ユーザに接続を許可する前に、そのユーザが正常に認可されている必要があるかどうかを指定します。デフォルトでは認可は要求されません。

hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#
 

ステップ 5 証明書から認可クエリー用の名前を得るために使用する 1 つまたは複数のアトリビュートを指定します。このアトリビュートにより、サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかが指定されます。

hostname(config-tunnel-general)# authorization-dn-attributes {primary-attribute [secondary-attribute] | use-entire-name}
 

たとえば、次のコマンドは、CN アトリビュートを認可用のユーザ名として使用することを指定しています。

hostname(config-tunnel-general)# authorization-dn-attributes CN
hostname(config-tunnel-general)#
 

authorization-dn-attributes には、 C (国)、 CN (通常名)、 DNQ (DN 修飾子)、 EA (電子メール アドレス)、 GENQ (世代修飾子)、 GN (名)、 I (イニシャル)、 L (地名)、 N (名前)、 O (組織)、 OU (組織ユニット)、 SER (シリアル番号)、 SN (姓)、 SP (州または都道府県)、 T (役職)、 UID (ユーザ ID)、 UPN (ユーザ プリンシパル名)があります。

ステップ 6 オプションで、アカウンティング サーバ グループがある場合、使用するグループの名前を指定します。アカウンティングを使用しない場合は、ステップ 7 に進みます。アカウンティング サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドは、アカウンティング サーバ グループ comptroller の使用を指定しています。

hostname(config-tunnel-general)# accounting-server-group comptroller
hostname(config-tunnel-general)#
 

ステップ 7 オプションで、デフォルト グループポリシーの名前を指定します。デフォルト値は DfltGrpPolicy です。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

次の例では、デフォルト グループポリシーの名前として MyDfltGrpPolicy を設定しています。

hostname(config-tunnel-general)# default-group-policy MyDfltGrpPolicy
hostname(config-tunnel-general)#
 

ステップ 8 オプションで DHCP サーバ(最大 10 サーバ)の名前または IP アドレス、および DHCP アドレス プール(最大 6 プール)の名前を指定します。リスト項目をスペースで区切ります。デフォルトでは、DHCP サーバとアドレス プールは使用されません。

hostname(config-tunnel-general)# dhcp-server server1 [...server10]
hostname(config-tunnel-general)# address-pool [(interface name)] address_pool1 [...address_pool6]
hostname(config-tunnel-general)#
 

) インターフェイス名は丸カッコで囲む必要があります。


アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。アドレス プールの設定については、 第 29 章「VPN の IP アドレスの設定」 を参照してください。

ステップ 9 オプションで、サーバが RADIUS、RADIUS with NT、または LDAP サーバである場合、パスワード管理をイネーブルにできます。


) LDAP ディレクトリ サーバを認証用に使用している場合、パスワード管理は、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにadaptive security applianceに設定した DN はサーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者またはディレクトリ管理者の特権のあるユーザを使用することをお勧めします。あるいは、デフォルトのパスワード ポリシーに ACI を設定できます。

Microsoft:Microsoft Active Directory でパスワードを管理できるように SSL を介して LDAP を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


 

この機能は、デフォルトでイネーブルになっていますが、現在のパスワードがまもなく有効期限切れになる場合にユーザに警告します。デフォルトでは、期限切れの 14 日前にユーザへの警告を開始します。

hostname(config-tunnel-general)# password-management
hostname(config-tunnel-general)#
 

サーバが LDAP サーバの場合、期限切れが迫っていることをユーザに警告し始める有効期限までの日数(0 ~ 180)を指定できます。

hostname(config-tunnel-general)# password-management [password-expire in days n]
hostname(config-tunnel-general)#
 

) トンネルグループの一般アトリビュート コンフィギュレーション モードで入力される password-management コマンドは、トンネルグループの ipsec アトリビュート モードで以前入力された非推奨の radius-with-expiry コマンドに置き換えられます。


このコマンドを設定すると、adaptive security applianceは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいているか、または期限が切れていることを通知します。次に、adaptive security applianceからパスワード変更の機会がユーザに提供されます。現在のパスワードの期限がまだ切れていない場合は、ユーザはこのパスワードで引き続きログインできます。RADIUS 認証または LDAP 認証が設定されていない場合、adaptive security applianceはこのコマンドを無視します。

これはパスワードの期限切れまでの日数を変更するのではなく、まもなく期限切れになることをadaptive security applianceがユーザに警告し始めるまでの期限前の日数を変更することに注意してください。

password-expire-in-days キーワードを指定する場合、日数も指定する必要があります。

詳細は「パスワード管理用の Microsoft Active Directory の設定」を参照してください。

ステップ 10 日数を 0 にしてこのコマンドを指定すると、このコマンドはディセーブルになります。adaptive security applianceは期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた後にパスワードを変更できます。オプションで、 override-account-disable コマンドを入力して、AAA サーバから account-disabled インジケータを上書きする機能を設定します。

hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

) override-account-disabled を許可すると、セキュリティ上のリスクが発生する可能性があります。



 

クライアントレス SSL VPN セッション用トンネルグループ アトリビュート

クライアントレス SSL VPN 接続プロファイルに固有のパラメータを設定するには、この項の手順を実行します。クライアントレス SSL VPN は以前は WebVPN と呼ばれていました。これらのアトリビュートをトンネルグループの webvpn アトリビュート モードで設定します。


ステップ 1 クライアントレス SSL VPN トンネルグループのアトリビュートを指定するには、次のコマンドを入力してトンネルグループの webvpn アトリビュート モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name webvpn-attributes
hostname(config-tunnel-ipsec)#
 

たとえば、sales という名前のクライアントレス SSL VPN トンネルグループに webvpn アトリビュートを指定するには、次のコマンドを入力します。

hostname(config)# tunnel-group sales webvpn-attributes
hostname(config-tunnel-webvpn)#
 

ステップ 2 使用する認証方式 AAA、デジタル署名、またはその両方を指定するには、 authentication コマンドを入力します。aaa または certificate あるいはその両方を、任意の順序で指定できます。

hostname(config-tunnel-webvpn)# authentication authentication_method
hostname(config-tunnel-webvpn)#
 

たとえば、次のコマンドは、AAA と証明書の両方の認証を許可しています。

hostname(config-tunnel-webvpn)# authentication aaa certificate
hostname(config-tunnel-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションは、ログイン時にユーザに表示されるウィンドウの内容を決定します。カスタマイゼーション パラメータは、クライアントレス SSL VPN 設定の一部として設定します。

以前定義した Web ページ カスタマイゼーションを適用して、ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するには、ユーザ名の webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-username-webvpn)# customization {none | value customization_name}
hostname(config-username-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用する場合、次のコマンドを入力します。

hostname(config-username-webvpn)# customization value blueborder
hostname(config-username-webvpn)#
 

customization コマンドを webvpn モードで入力して、カスタマイゼーション自体を設定します。

次の例は、「123」という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。次に、「test」というクライアントレス SSL VPN トンネルグループを定義し、 customization コマンドを入力して、「123」というカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# tunnel-group test type webvpn
hostname(config)# tunnel-group test webvpn-attributes
hostname(config-tunnel-webvpn)# customization value 123
hostname(config-tunnel-webvpn)#
 

ステップ 3 adaptive security applianceは、NetBIOS 名を IP アドレスにマップするために NetBIOS ネーム サーバにクエリーを行います。クライアントレス SSL VPN は、リモート システム上のファイルをアクセスまたは共有することを NetBIOS に要求します。クライアントレス SSL VPN は、NetBIOS および CIFS プロトコルを使用して、リモート システム上のファイルをアクセスまたは共有します。コンピュータ名を使用して Windows コンピュータへのファイル共有接続を試みる場合、指定するファイル サーバは、ネットワーク上のリソースを識別する特定の NetBIOS 名に対応します。

NBNS 機能を正常に動作させるには、少なくとも 1 つの NetBIOS サーバ(ホスト)を設定する必要があります。冗長性を確保するため、最大 3 つの NBNS サーバを設定できます。adaptive security applianceは、リストにある最初のサーバを NetBIOS/CIFS の名前解決に使用します。クエリーが失敗すると、次のサーバを使用します。

CIFS の名前解決に使用する NBNS(NetBIOS ネーム サービス) サーバの名前を指定するには nbns-server コマンドを使用します。サーバ エントリは最大 3 つまで入力できます。設定する最初のサーバはプライマリ サーバであり、その他のサーバは冗長性を確保するためのバックアップです。これが(単なる WINS サーバではなく)マスター ブラウザであるかどうかと、タイムアウト間隔、およびリトライ回数を指定することもできます。通常、WINS サーバまたはマスター ブラウザは、adaptive security applianceと同じネットワーク上にあるか、またはそのネットワークから到達可能です。リトライ回数より先にタイムアウト間隔を指定する必要があります。

hostname(config-tunnel-webvpn)# nbns-server {host-name | IP_address} [master] [timeout seconds] [retry number]
hostname(config-tunnel-webvpn)#
 

たとえば、nbnsprimary という名前のサーバをプライマリ サーバとし、サーバ 192.168.2.2 をセカンダリ サーバとして設定し、それぞれ 3 回のリトライを許可し、タイムアウトを 5 秒にするには、次のコマンドを入力します。

hostname(config)# name 192.168.2.1 nbnsprimary
hostname(config-tunnel-webvpn)# nbns-server nbnsprimary master timeout 5 retry 3
hostname(config-tunnel-webvpn)# nbns-server 192.168.2.2 timeout 5 retry 3
hostname(config-tunnel-webvpn)#
 

タイムアウト間隔は 1 ~ 30 秒の範囲(デフォルトは 2)に、リトライ回数は 0 ~ 10 の範囲(デフォルトは 2)にできます。

トンネルグループの webvpn アトリビュート コンフィギュレーション モードの nbns-server コマンドは、webvpn コンフィギュレーション モードの非推奨の nbns-server コマンドに置き換えられます。

ステップ 4 グループに代替の名前を指定するには、 group-alias コマンドを使用します。グループ エイリアスを指定すると、ユーザがトンネルグループを参照できる代替名が 1 つ以上作成されます。ここで指定するグループ エイリアスは、ユーザのログイン ページでドロップダウン リストに表示されます。各グループには、それぞれ別個のコマンドで指定された複数のエイリアスを持つようにすることも、エイリアスを持たないようにすることもできます。この機能は、「Devtest」と「QA」のように、複数の通常名によって同じグループが認識される場合に便利です。

グループ エイリアスごとに、 group-alias コマンドを入力します。各エイリアスは、デフォルトではイネーブルになっています。オプションで、各エイリアスを明示的にイネーブルまたはディセーブルにできます。

hostname(config-tunnel-webvpn)# group-alias alias [enable | disable]
hostname(config-tunnel-webvpn)#
 

たとえば、QA という名前のトンネルグループに対して エイリアス QA および Devtest をイネーブルにするには、次のコマンドを入力します。

hostname(config-tunnel-webvpn)# group-alias QA enable
hostname(config-tunnel-webvpn)# group-alias Devtest enable
hostname(config-tunnel-webvpn)#
 

) webvpn トンネルグループ リストは、(ドロップダウン)グループ リストが表示されるようにイネーブルにしておく必要があります。


ステップ 5 グループに着信 URL または IP アドレスを指定するには、 group-url コマンドを使用します。グループ URL または IP アドレスを指定すると、ユーザはログイン時にグループを選択する必要がなくなります。ユーザがログインするとき、adaptive security applianceは、ユーザの着信 URL またはアドレスを tunnel-group-policy テーブルで探します。URL またはアドレスが検出され、group-url が接続プロファイルでイネーブルになっている場合、adaptive security applianceは、関連付けられている接続プロファイルを自動的に選択して、ユーザ名フィールドとパスワード フィールドだけをログイン ウィンドウでユーザに提示します。これにより、ユーザ インターフェイスは簡略化され、さらにグループのリストがユーザに公開されないという利点が加わります。ユーザに表示されるログイン ウィンドウでは、その接続プロファイルに設定されたカスタマイゼーションが使用されます。

URL またはアドレスがディセーブルになっており、グループ エイリアスが設定されている場合、グループのドロップダウン リストも表示されるため、ユーザはグループを選択する必要があります。

グループに複数の URLまたはアドレスを設定(あるいは設定しないことも)できます。各 URL またはアドレスは、個別にイネーブルまたはディセーブルにできます。指定した各 URL またはアドレスごとに別個の group-url コマンドを使用する必要があります。http または https プロトコルのいずれかを含む URL またはアドレス全体を指定する必要があります。

同じ URL またはアドレスを複数のグループに関連付けることはできません。adaptive security applianceは、接続プロファイルの URL またはアドレスを受け入れる前に、URL またはアドレスが一意であることを確認します。

グループ URL またはアドレスごとに、 group-url コマンドを入力します。オプションで、各 URL またはエイリアスを明示的にイネーブル(デフォルト)またはディセーブルにできます。

hostname(config-tunnel-webvpn)# group-url url [enable | disable]
hostname(config-tunnel-webvpn)#

たとえば、RadiusServer という名前のトンネルグループのグループ URL、http://www.cisco.com および http://192.168.10.10 をイネーブルにするには、次のコマンドを入力します。

hostname(config)# tunnel-group RadiusServer type webvpn
hostname(config)# tunnel-group RadiusServer general-attributes
hostname(config-tunnel-general)# authentication server-group RADIUS
hostname(config-tunnel-general)# accounting-server-group RADIUS
hostname(config-tunnel-general)# tunnel-group RadiusServer webvpn-attributes
hostname(config-tunnel-webvpn)# group-alias “Cisco Remote Access” enable
hostname(config-tunnel-webvpn)# group-url http://www.cisco.com enable
hostname(config-tunnel-webvpn)# group-url http://192.168.10.10 enable
hostname(config-tunnel-webvpn)#
 

さらに詳細な例については、「クライアントレス SSL VPN セッションのユーザーに対するログイン ウィンドウのカスタマイズ」を参照してください。

ステップ 6 クライアントレス SSL VPN セッションに使用する DNS サーバを指定するには、 dns-group コマンドを入力します。デフォルト値は DefaultDNS です。

hostname(config-tunnel-webvpn)# dns-group {hostname | ip_address}
hostname(config-tunnel-webvpn)#
 

dns-group コマンドは、ホスト名を接続プロファイルの適切な DNS サーバに解決します。たとえば、server1 という名前の DNS サーバの使用を指定する場合、次のコマンドを入力します。

hostname(config)# name 10.10.10.1 server1
hostname(config-tunnel-webvpn)# dns-group server1
hostname(config-tunnel-webvpn)#
 

ステップ 7 (オプション)認証および認可に使用するクライアント認証からユーザ名の抽出をイネーブルにするには、トンネルグループの webvpn アトリビュート モードで pre-fill-username コマンドを使用します。デフォルト値はありません。

hostname(config)# pre-fill-username {ssl-client | clientless}
 

pre-fill-username コマンドは、ユーザ名とパスワードの認証および認可のためのユーザ名として、(トンネルグループの webvpn アトリビュート モードで) username-from-certificate コマンドで指定された認証フィールドから抽出したユーザ名の使用をイネーブルにします。認証機能からこの pre-fill username を使用するには、両方のコマンドを設定する必要があります。


) リリース 8.0.4 では、ユーザ名が事前に入力されることはなく、ユーザ名フィールドに送信されたデータは無視されます。


次の例では、グローバル コンフィギュレーション モードで入力された、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、認証からのユーザ名の取得をイネーブルにして、SSL VPN クライアント認証または認可のクエリーのための名前がデジタル認証から派生している必要があることを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# username-from-certificate CN OU
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)# pre-fill-username ssl-client
hostname(config-tunnel-webvpn)#
 

ステップ 8 (オプション)AnyConnect または SSL VPN クライアントのダウンロードのためのグループ ポリシーまたはユーザ名のアトリビュートを上書きするかどうかを指定するには、override-svc-download コマンドを使用します。この機能は、デフォルトでディセーブルになっています。

セキュリティ アプライアンスで、 vpn-tunnel-protocol コマンドでクライアントレスまたは SSL VPN、あるいはその両方がグループ ポリシーまたはユーザ名のアトリビュートでイネーブルになっているかどうかに基づいて、リモート ユーザがクライアントレス、AnyConnect、または SSL VPN クライアント接続を使用できるようになります。 svc ask コマンドはさらに、ユーザにクライアントをダウンロードするか、または WebVPN のホーム ページに戻るかを確認して、クライアント ユーザ エクスペリエンスを変更します。

ただし、クライアントレス ユーザが特定のトンネル グループでログインして、クライアントレス SSL VPN のホーム ページに表示される前に、ダウンロード プロンプトの待機が遅延して期限切れにならないようにします。 override-svc-download コマンドを使用して、接続プロファイル レベルでユーザに対する遅延を回避できます。このコマンドによって、 vpn-tunnel-protocol または svc ask コマンドの設定に関係なく、クライアントレス SSL VPN のホーム ページにすぐに表示される接続プロファイルによってユーザがログインします。

次の例では、接続プロファイル engineering の tunnel-group webvpn アトリビュート コンフィギュレーション モードに入り、接続プロファイルをイネーブルにして、クライアント ダウンロード プロンプトのグループ ポリシーおよびユーザ名アトリビュートを上書きします。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# override-svc-download
 

ステップ 9 (オプション)認証が拒否された場合に、ログイン画面での RADIUS 拒否メッセージの表示をイネーブルにするには、 radius-eject-message コマンドを使用します。

次の例では、engineering という名前の接続プロファイルに対する RADIUS 拒否メッセージの表示をイネーブルにします。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# radius-reject-message
 


 

クライアントレス SSL VPN セッションのユーザーに対するログイン ウィンドウのカスタマイズ

カスタマイゼーション プロファイルと接続プロファイルの組み合せを使用して、さまざまなグループに異なるログイン ウィンドウをセットアップできます。たとえば、salesgui と呼ばれるカスタマイゼーション プロファイルを作成したとすれば、次の例で示すように、そのカスタマイゼーション プロファイルを使用する sales という名前のクライアントレス SSL VPN セッションの接続プロファイルを作成できます。


ステップ 1 webvpn モードで、クライアントレス SSL VPN アクセスのカスタマイゼーション(この場合は salesgui という名前)を定義して、デフォルトのロゴを mycompanylogo.gif に変更します。あらかじめ mycompanylogo.gif をadaptive security applianceのフラッシュ メモリにロードしてコンフィギュレーションを保存しておく必要があります。詳細については、 第 34 章「クライアントレス SSL VPN の設定」 を参照してください。

hostname# webvpn
hostname (config-webvpn)# customization value salesgui
hostname(config-webvpn-custom)# logo file disk0:\mycompanylogo.gif
hostname(config-webvpn-custom)#
 

ステップ 2 グローバル コンフィギュレーション モードで、ユーザ名をセットアップして、それを定義したクライアントレス SSL VPN のカスタマイゼーションに関連付けます。

hostname# username seller attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# customization value salesgui
hostname(config-username-webvpn)# exit
hostname(config-username)# exit
hostname#
 

ステップ 3 グローバル コンフィギュレーション モードで、sales という名前のクライアントレス SSL VPN セッションのトンネルグループを作成します。

hostname# tunnel-group sales type webvpn
hostname(config-tunnel-webvpn)#
 

ステップ 4 この接続プロファイルに salesgui カスタマイゼーションを使用することを指定します。

hostname# tunnel-group sales webvpn-attributes
hostname(config-tunnel-webvpn)# customization salesgui
 

ステップ 5 adaptive security applianceへのログイン時にユーザがブラウザに入力するアドレスに、グループ URL を設定します。たとえば、adaptive security applianceの IP アドレスが 192.168.3.3 の場合、グループ URL を https://192.168.3.3 に設定します。

hostname(config-tunnel-webvpn)# group-url https://192.168.3.3.
hostname(config-tunnel-webvpn)#
 

正常にログインするためにポート番号が必要になる場合は、コロンを前に付けてポート番号を含めます。adaptive security applianceは、この URL を sales 接続プロファイルにマップし、salesgui カスタマイゼーション プロファイルを、ユーザが https://192.168.3.3 にログインするときに表示されるログイン画面に適用します。


 

パスワード管理用の Microsoft Active Directory の設定


) LDAP ディレクトリ サーバを認証用に使用している場合、パスワード管理は、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにadaptive security applianceに設定した DN はサーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者またはディレクトリ管理者の特権のあるユーザを使用することをお勧めします。あるいは、デフォルトのパスワード ポリシーに ACI を設定できます。

Microsoft:Microsoft Active Directory でパスワードを管理できるように SSL を介して LDAP を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


 

パスワード管理で Microsoft Active Directory を使用するには、Active Directory の特定のパラメータと、adaptive security applianceのパスワード管理機能を設定する必要があります。この項では、さまざまなパスワード管理作業に関係のある Active Directory の設定について説明します。ここでは、adaptive security applianceでパスワード管理をイネーブルにし、対応するパスワード管理アトリビュートをすでに設定していることを前提にしています。次の項にある手順の説明では、Windows 2000 の Active Directory の用語が使われています。

「Active Directory を使用した次回ログオン時のパスワードの強制変更」

「Active Directory を使用したパスワードの有効期限の指定」

「Active Directory を使用した AAA の account-disabled インジケータの上書き」

「Active Directory を使用したパスワードの複雑さの強化」

次の項の説明では、認証用に LDAP ディレクトリを使用することを前提にしています。

Active Directory を使用した次回ログオン時のパスワードの強制変更

ユーザが次回ログオンしたときに必ずパスワードを変更しなければならないようにするには、adaptive security applianceのトンネルグループの一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] の順に選択します(図 28-1)。

図 28-1 Active Directory:Administrative Tools メニュー

 

ステップ 2 ユーザ名を右クリックし、[Properties] > [Account] を選択します。

ステップ 3 [User must change password at next logon] チェックボックスをオンにします(図 28-2)。

図 28-2 Active Directory:User Must Change Password at Next Logon

 


 

このユーザが次回ログオンすると、adaptive security applianceによって、次のようなメッセージが表示されます。「New password required.Password change required.You must enter a new password with a minimum length n to continue」パスワードに最低限必要な長さを示す n は、Active Directory で設定します。このためには、[Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] の順に選択し、パスワードに最低限必要な長さを指定します。

Active Directory を使用したパスワードの有効期限の指定

一定の日数が経過するとパスワードの期限が切れるように指定することでセキュリティを強化できます。パスワードの有効期限を設定するには、adaptive security applianceのトンネルグループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] の順に選択します。

ステップ 2 [Maximum password age] をダブルクリックします。これを実行すると、[Security Policy Setting] ダイアログボックスが開きます。

ステップ 3 [Define this policy setting] チェックボックスをオンにし、パスワードの有効期限(日数)を指定します。

図 28-3 Active Directory:Maximum Password Age

 


 


) 以前、トンネルグループのリモートアクセス コンフィギュレーションの一部としてパスワードの有効期限の設定に使用していた radius-with-expiry コマンドは推奨しません。トンネルグループ一般アトリビュート モードで入力される password-management コマンドが、これに代わります。


Active Directory を使用した AAA の account-disabled インジケータの上書き

AAA サーバからの account-disabled インジケータを上書きするには、adaptive security applianceのトンネルグループの一般アトリビュート コンフィギュレーション モードで override-account-disable コマンドを指定し、Active Directory で次の手順を実行します。


) override-account-disabled を許可すると、セキュリティ上のリスクが発生する可能性があります。



ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] の順に選択します。

ステップ 2 ユーザ名を右クリックして [Properties] > [Account] を選択し、メニューから [Disable Account] を選択します。

図 28-4 Active Directory:Account Disabled の上書き

 


 

AAA サーバが account-disabled インジケータを更新しても、ユーザは正常にログインできる必要があります。

Active Directory を使用したパスワードの最小長の指定

パスワードの最小長を設定するには、adaptive security applianceのトンネルグループの一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] の順に選択します。

ステップ 2 [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] の順に選択します。

ステップ 3 [Minimum Password Length] をダブルクリックします。これを実行すると、[Security Policy Setting] ダイアログボックスが開きます。

ステップ 4 [Define this policy setting] チェックボックスをオンにし、パスワードに最低限必要な文字数を指定します。

図 28-5 Active Directory:パスワードの最小長

 

Active Directory を使用したパスワードの複雑さの強化

パスワードの複雑さを強化する(パスワードに大文字、小文字、数字、特殊文字を含めるように要求する)には、adaptive security applianceのトンネルグループの一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] の順に選択します。[Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] の順に選択します。

ステップ 2 [Password must meet complexity requirements] をダブルクリックし、[Security Policy Setting] ダイアログボックスを開きます。

ステップ 3 [Define this policy setting] チェックボックスをオンにして、[Enabled] を選択します。

図 28-6 Active Directory:パスワードの複雑さの強化

 


 

パスワードの複雑さを強化しても、ユーザがパスワードを変更するとき(たととえば、次回のログイン時や n 日後にパスワードの有効期限が切れるように変更する場合)にしか有効になりません。ユーザがログインすると、新しいパスワードを入力するようにというメッセージが表示され、複雑なパスワードだけがシステムで受け入れられます。

AnyConnect クライアントの RADIUS/SDI メッセージ サポートのための接続プロファイルの設定

この項では、RSA SecureID ソフトウェア トークンを使用する AnyConnect VPN クライアントが SDI サーバにプロキシ化されている RADIUS サーバを介してクライアントに配信されるユーザ プロンプトに対して適切に応答できるようにする手順について説明します。ここでは、次の内容について説明します。

AnyConnect クライアントと RADIUS/SDI サーバの対話

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

AnyConnect クライアントと RADIUS/SDI サーバの対話

リモート ユーザが AnyConnect VPN クライアントでadaptive security applianceに接続し、RSA SecurID トークンを使用して認証を試行する場合、adaptive security applianceは RADIUS サーバと通信し、認証については SDI サーバと通信します。

認証中に、RADIUS サーバによって、adaptive security applianceへの access-challenge メッセージが表示されます。access-challenge メッセージは、SDI サーバからのテキストが含まれる応答メッセージです。adaptive security applianceが RADIUS プロキシから通信する代わりに、SDI サーバと直接通信する場合、メッセージのテキストは異なります。したがって、AnyConnect クライアントへのネイティブ SDI サーバとして表示するには、adaptive security applianceは RADIUS サーバからのメッセージを解釈する必要があります。

また、SDI メッセージは SDI サーバで 設定可能なため、adaptive security applianceのメッセージのテキストは SDI サーバのメッセージ テキストと(完全に、または一部が)一致している必要があります。それ以外の場合、リモート クライアント ユーザに対して表示されるプロンプトが、認証中に要求されるアクションに対して適切でない場合があります。AnyConnect クライアントが応答に失敗する可能性があり、認証に失敗する可能性があります。

次の項では、クライアントと SDI サーバの間で認証に成功するためのadaptive security applianceの設定方法について説明します。

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

次の項では、SDI に固有の RADIUS の応答メッセージを解釈し、AnyConnect ユーザに適切なアクションを促すためのadaptive security applianceの設定手順について説明します。


ステップ 1 トンネルグループの webvpn コンフィギュレーション モードから proxy-auth sdi コマンドを使用して、SDI サーバとの直接通信をシミュレーションして、RADIUS 応答メッセージを転送するための接続プロファイル(トンネル グループ)を設定します。SDI サーバを認証するユーザは、この接続プロファイルを介して接続する必要があります。

次の例を参考にしてください。

hostname(config)# tunnel-group sales webvpn attributes
hostname(tunnel-group-webvpn)# proxy-auth sdi
 

ステップ 2 adaptive security applianceで、RADIUS サーバによってトンネルグループの webvpn コンフィギュレーション モードで proxy-auth_map sdi コマンドを使用して送信されたメッセージ テキスト(全体または一部)と一致する RADIUS 応答メッセージのテキストを設定します。

adaptive security applianceによって使用されるデフォルトのメッセージ テキストは、Cisco Secure Access Control サーバ(ACS)によって使用されるデフォルトのメッセージ テキストです。Cisco Secure ACS を使用していて、デフォルトのメッセージ テキストを使用している場合、adaptive security applianceでメッセージテキストを設定する必要はありません。それ以外の場合は、 proxy-auth_map sdi コマンドを使用してメッセージ テキストが一致するようにします。

表 28-3 に、メッセージのコード、デフォルトの RADIUS 応答メッセージ テキスト、各メッセージの機能を示します。セキュリティ アプライアンスは表に示す順序で文字列を検索するため、メッセージ テキストに使用する文字列が別の文字列のサブセットではないようにする必要があります。

たとえば、「new PIN」は new-pin-sup と next-ccode-and-reauth の両方のデフォルトのメッセージ テキストのサブセットです。new-pin-sup を「new PIN」と設定する場合、セキュリティ アプライアンスが RADIUS サーバから「new PIN with the next card code」を受信すると、next-ccode-and-reauth コードではなく new-pin-sup コードとテキストが一致します。

 

表 28-3 SDI Op-codes、デフォルト メッセージ テキスト、およびメッセージの機能

メッセージ コード
デフォルトの RADIUS 応答メッセージ テキスト
機能

next-code

Enter Next PASSCODE

ユーザが PIN なしで NEXT トークンコードを入力する必要があることを示します。

new-pin-sup

Please remember your new PIN

新しいシステム PIN が指定され、ユーザに対してその PIN が表示されることを示します。

new-pin-meth

Do you want to enter your own pin

新しい PIN を作成するために使用する新しい PIN 方式をユーザに要求します。

new-pin-req

Enter your new Alpha-Numerical PIN

ユーザが生成した PIN を示し、ユーザに PIN の入力を要求します。

new-pin-reenter

Reenter PIN:

ユーザが入力した PIN の確認のために、adaptive security applianceによって内部的に使用されます。クライアントはユーザに確認を求めることなく、PIN を確認します。

new-pin-sys-ok

New PIN Accepted

ユーザが入力した PIN が承認されたことを示します。

next-ccode-and-reauth

new PIN with the next card code

PIN オペレーションに従い、次のトークンコードを待機し、新しい PIN と認証する次のトークンコードの両方を入力する必要があることを示します。

ready-for-sys-
pin

ACCEPT A SYSTEM GENERATED PIN

ユーザがシステムによって生成される PIN を待機するように示すために、adaptive security applianceによって内部的に使用されます。

次の例では、aaa-server-host モードに入り、RADIUS 応答メッセージ new-pin-sup のテキストを変更します。

hostname(config)# aaa-server radius_sales host 10.10.10.1
hostname(config-aaa-server-host)# proxy-auth_map sdi new-pin-sup “This is your new PIN”

グループポリシー

この項では、グループポリシーとその設定方法について説明します。この章は、次の項で構成されています。

「デフォルトのグループポリシー」

「グループポリシーの設定」

グループポリシーは、IPSec 接続用のユーザ関連のアトリビュートと値のペアがセットになったもので、デバイスに内部的(ローカル)に保存されるか、外部の RADIUS サーバ上に保存されます。接続プロファイルは、トンネルの確立後、ユーザ接続の条件を設定するグループポリシーを使用します。グループポリシーを使用すると、アトリビュートのセット全体をユーザまたはユーザのグループに適用することができ、各ユーザに各アトリビュートを個別に指定する必要がなくなります。

ユーザにグループポリシーを割り当てたり、特定のユーザのグループポリシーを変更したりするには、グローバル コンフィギュレーション モードで group-policy コマンドを入力します。

adaptive security applianceには、デフォルトのグループポリシーが含まれています。変更は可能でも削除できないデフォルト グループポリシーだけではなく、環境に固有のグループポリシーを 1 つ以上作成することもできます。

内部グループポリシーと外部グループポリシーを設定できます。内部グループは、adaptive security applianceの内部データベースに設定されます。外部グループは、RADIUS のような外部認証サーバに設定されます。グループポリシーには、次のアトリビュートがあります。

ID

サーバ定義

クライアント ファイアウォールの設定

トンネリング プロトコル

IPSec の設定

ハードウェア クライアントの設定

フィルタ

クライアント コンフィギュレーションの設定

接続の設定

 

デフォルトのグループポリシー

adaptive security applianceでは、デフォルトのグループポリシーが提供されます。このデフォルト グループポリシーは変更できますが、削除はできません。デフォルト グループポリシーは、DfltGrpPolicy という名前で必ずadaptive security appliance上に存在していますが、このデフォルト グループポリシーは、adaptive security applianceで使用するように設定しないと有効になりません。他のグループポリシーを設定する場合、明示的に指定しない任意のアトリビュートがその値をデフォルト グループポリシーから受け継ぎます。デフォルト グループポリシーを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all group-policy DfltGrpPolicy
hostname(config)#
 

デフォルト グループポリシーを設定するには、次のコマンドを入力します。

hostname(config)# group-policy DfltGrpPolicy internal
hostname(config)#
 

) デフォルトのグループポリシーは、常に内部(internal)です。コマンドのシンタックスは、
hostname(config)# group-policy DfltGrpPolicy {internal | external}ですが、タイプを external に変更できません。


デフォルト グループポリシーの任意のアトリビュートを変更する場合は、次のように group-policy attributes コマンドを使用してアトリビュート モードに入り、その後、目的の任意のアトリビュートを変更するためのコマンドを指定します。

hostname(config)# group-policy DfltGrpPolicy attributes
 

) アトリビュート モードは内部グループポリシーだけに適用されます。


adaptive security applianceが提供するデフォルトのグループポリシー DfltGrpPolicy は、次のとおりです。

group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 2000
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec webvpn
password-storage enable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
intercept-dhcp 255.255.255.255 disable
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
msie-proxy server none
msie-proxy method no-modify
msie-proxy except-list none
msie-proxy local-bypass disable
nac disable
nac-sq-period 300
nac-reval-period 36000
nac-default-acl none
address-pools value vpn_users
client-firewall none
client-access-rule none
webvpn
html-content-filter none
homepage none
keep-alive-ignore 4
http-comp gzip
filter none
url-list value MyURLs
customization value DfltCustomization
port-forward none
port-forward-name value Application Access
sso-server none
deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
svc none
svc keep-installer none
svc keepalive none
svc rekey time none
svc rekey method none
svc dpd-interval client none
svc dpd-interval gateway none
svc compression deflate
no vpn-nac-exempt
hostname(config-group-policy)#
 

デフォルト グループポリシーは変更可能です。また、環境に固有の 1 つ以上のグループポリシーを作成することもできます。

グループポリシーの設定

グループポリシーはあらゆる種類のトンネルに適用できます。どちらの場合も、パラメータが明示的に指定されていなければ、そのグループはデフォルト グループポリシーの値を使用します。グループポリシーを設定するには、次の項の手順を実行します。

外部グループポリシーの設定

外部グループポリシーは、指定した外部サーバからアトリビュート値を取得します。外部グループポリシーの場合は、adaptive security applianceがアトリビュートのクエリーを実行できる AAA サーバ グループを指定し、その外部 AAA サーバ グループからアトリビュートを取得するときに使用するパスワードを指定します。外部の認証サーバを使用し、外部グループポリシーのアトリビュートと、認証するユーザが同じ RADIUS サーバ上にある場合は、これらの名前が重複していないことを確認してください。


) adaptive security applianceで設定する外部グループの名前は、RADIUS サーバではユーザの名前に相当します。つまり、adaptive security applianceで X という外部グループを設定したとすると、RADIUS サーバはクエリーで X というユーザの認証要求を受け取ることになります。したがって、外部グループはadaptive security applianceにとって特別な意味を持ちますが、RADIUS 上では単にユーザ アカウントになります。外部グループのアトリビュートが、認証するユーザと同じ RADIUS サーバ上にある場合は、その名前が重複しないようにする必要があります。


adaptive security applianceは、外部 LDAP または RADIUS サーバでのユーザ認可をサポートします。外部サーバを使用するようにadaptive security applianceを設定する前に、正しいadaptive security appliance認可アトリビュートでサーバを設定し、これらのアトリビュートのサブセットから個々のユーザに固有のアクセス権を割り当てる必要があります。 付録 E「認可および認証用の外部サーバの設定」 の手順に従って、外部サーバを設定します。

外部グループポリシーを設定するには、次の手順に従って、サーバ グループ名とパスワードとともにグループポリシーの名前とタイプを指定します。

hostname(config)# group-policy group_policy_name type server-group server_group_name password server_password
hostname(config)#
 

) 外部グループポリシーの場合、サポートされる AAA サーバ タイプは RADIUS だけです。


たとえば、次のコマンドは、ExtRAD という名前の外部 RADIUS サーバからアトリビュートを取得する ExtGroup という名前の外部グループポリシーを作成し、アトリビュートを取得するときに使用するパスワードが newpassword パスワードであることを指定します。

hostname(config)# group-policy ExtGroup external server-group ExtRAD password newpassword
hostname(config)#
 

付録 E「認可および認証用の外部サーバの設定」で説明しているように、複数のベンダー固有のアトリビュート(VSA)を設定できます。RADIUS サーバが Class アトリビュート(#25)を返すように設定されている場合、adaptive security applianceは、そのアトリビュートを使用してグループ名を認証します。RADIUS サーバで、アトリビュートは OU=groupname の形式をとる必要があります。ここで groupname は、たとえば OU=Finance のように、adaptive security applianceで設定されているグループ名と同じです。


内部グループポリシーの設定

内部グループポリシーを設定するには、グループポリシーの名前とタイプを指定します。

hostname(config)# group-policy group_policy_name type
hostname(config)#
 

たとえば、次のコマンドは、GroupPolicy1 という名前の内部グループポリシーを作成します。

hostname(config)# group-policy GroupPolicy1 internal
hostname(config)#
 

デフォルトのタイプは internal です。

キーワード from を追加して既存のポリシーの名前を指定することにより、内部グループポリシーのアトリビュートをその既存のグループポリシーの値に初期設定できます。

hostname(config)# group-policy group_policy_name internal from group_policy_name
hostname(config-group-policy)#
hostname(config-group-policy)#
 

グループポリシー アトリビュートの設定

内部グループポリシーの場合は、特定のアトリビュート値を指定できます。最初に、グローバル コンフィギュレーション モードで group-policy attributes コマンドを入力して、グループポリシーのアトリビュート モードに入ります。

hostname(config)# group-policy name attributes
hostname(config-group-policy)#
 

プロンプトが変化して、モードが変更されたことがわかります。グループポリシー アトリビュート モードでは、指定したグループポリシーのアトリビュートと値のペアを設定できます。グループポリシー アトリビュート モードで、デフォルト グループから継承しないアトリビュートと値のペアを明示的に設定します。このためのコマンドを、次の各項で説明します。

WINS サーバおよび DNS サーバの設定

プライマリとセカンダリの WINS サーバおよび DNS サーバを指定できます。それぞれの場合のデフォルト値は none です。これらのサーバを設定するには、次の手順を実行します。


ステップ 1 プライマリとセカンダリの WINS サーバを指定します。

hostname(config-group-policy)# wins-server value {ip_address [ip_address] | none}
hostname(config-group-policy)#
 

最初に指定する IP アドレスがプライマリ WINS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ WINS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、WINS サーバにヌル値が設定されます。この設定により、WINS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

wins-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定し、その後 WINS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の WINS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを指定します。

次の例は、FirstGroup という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である WINS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30
hostname(config-group-policy)#
 

ステップ 2 プライマリとセカンダリの DNS サーバを指定します。

hostname(config-group-policy)# dns-server value {ip_address [ip_address] | none}
hostname(config-group-policy)#
 

最初に指定する IP アドレスがプライマリ DNS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ DNS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、DNS サーバにヌル値が設定されます。この設定により、DNS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

dns-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、その後 DNS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の DNS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに DNS サーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを指定します。

次の例は、FirstGroup」という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である DNS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30
hostname(config-group-policy)#
 

ステップ 3 DHCP ネットワーク スコープを設定します。

hostname(config-group-policy)# dhcp-network-scope {ip_address | none}
hostname(config-group-policy)#
 

DHCP スコープによって、adaptive security appliance DHCP サーバがこのグループポリシーのユーザに割り当てる IP アドレスの範囲(サブネットワーク)が決まります。

次の例は、First Group というグループポリシーに、10.10.85.0 の IP サブネットワーク(10.10.85.0 から 10.10.85.255まで)を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dhcp-network-scope 10.10.85.0
 


 

VPN 固有アトリビュートの設定

VPN アトリビュートの値を設定するには、この項の手順を実行します。VPN アトリビュートは、アクセス時間、許可される同時ログイン数、タイムアウト、VPN セッションに適用する出力 VLAN または ACL の名前、およびトンネル プロトコルを制御します。


ステップ 1 VPN アクセス時間を設定します。これには、グループポリシー コンフィギュレーション モードで vpn-access-hours コマンドを使用して、グループポリシーを設定済みの time-range ポリシーに関連付けます。

hostname(config-group-policy)# vpn-access-hours value {time-range | none}
 

グループポリシーは、デフォルトまたは指定されたグループポリシーの time-range の値を継承できます。この継承が発生しないようにするには、このコマンドで time-range の名前ではなく none キーワードを入力します。このキーワードにより、VPN アクセス時間がヌル値に設定され、time-range ポリシーは許可されなくなります。

time-range 変数は、グローバル コンフィギュレーション モードで time-range コマンドを使用して定義されたアクセス時間のセットの名前です。次の例は、FirstGroup という名前のグループポリシーを 824 と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours value 824
 

ステップ 2 グループポリシー コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用して、任意のユーザに許可される同時ログイン数を指定します。

hostname(config-group-policy)# vpn-simultaneous-logins integer
 

デフォルト値は 3 です。指定できる値は 0 ~ 2147483647 秒です。グループポリシーは、別のグループポリシーからこの値を継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。次の例は、FirstGroup という名前のグループポリシーで最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
hostname(config-group-policy)#
 

) 同時ログインの最大数の制限は非常に大きいですが、複数の同時ログインの許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼすおそれがあります。


「新しい」セッションが同じユーザ名で確立された場合でも、失効した AnyConnect、IPSec Client、または Clientless セッション(異常終了したセッション)がセッション データベースに残っている場合があります。

vpn-simultaneous-logins の値が 1 の場合、同じユーザが異常終了後に再びログインすると、失効したセッションがデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションがアクティブな接続であり、同じユーザが再びログインする場合は、別の PC から、最初のセッションがログオフされ、データベースから削除されて、新しいセッションが確立されます。

同時ログイン数が 1 より大きい値の場合、最大数に達していて、再びログインしようとすると、最長のアイドル時間のセッションがログオフされます。すべての同時セッションが同じ時間アイドル状態である場合、最も古いセッションがログオフされます。このアクションによって、セッションが解放され、新しくログインできるようになります。

ステップ 3 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを入力して、ユーザ タイムアウト期間を設定します。

hostname(config-group-policy)# vpn-idle-timeout {minutes | none}
hostname(config-group-policy)#
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルトは 30 分です。この期間中に接続上で通信アクティビティがまったくなかった場合、adaptive security applianceは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを使用して、このコマンドを入力します。また、none キーワードを指定すると、無制限のアイドル タイムアウト期間が許可されます。このキーワードにより、アイドル タイムアウトにヌル値が設定され、アイドル タイムアウトが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 15
hostname(config-group-policy)#
 

ステップ 4 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用して、VPN 接続の最大時間を設定します。

hostname(config-group-policy)# vpn-session-timeout {minutes | none}
hostname(config-group-policy)#
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルト値はありません。この期間が終了すると、adaptive security applianceは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを使用して、このコマンドを入力します。 none キーワードを指定すると、無制限のセッション タイムアウト期間が許可されます。セッション タイムアウトにはヌル値が設定され、セッション タイムアウトが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-session-timeout 180
hostname(config-group-policy)#
 

ステップ 5 次のオプションのいずれかを選択して、リモート アクセスの出力 VLAN(「VLAN」マッピングとも呼ばれる)を指定するか、または ACL を指定してトラフィックをフィルタリングします。

グループポリシー コンフィギュレーション モードで次のコマンドを入力し、このグループ ポリシーまたはこのグループ ポリシーを継承するグループ ポリシーに割り当てられたリモート アクセス VPN セッションの出口 VLAN を指定します。

hostname(config-group-policy)# [ no ] vlan { vlan_id | none }

no vlan は、グループ ポリシーから vlan_id を削除します。グループ ポリシーは、デフォルトのグループポリシーから vlan 値を継承しています。

vlan none は、グループ ポリシーから vlan_id を削除し、このグループ ポリシーの VLAN マッピングをディセーブルにします。グループ ポリシーは、デフォルトのグループポリシーから vlan 値を継承していません。

コマンド vlan vlan_id vlan_id は VLAN の数(10 進数の形式)で、このグループ ポリシーを使用するリモート アクセス VPN セッションに割り当てます。VLAN は、このadaptive security applianceで設定する必要があります。「VLAN サブインターフェイスおよび 802.1Q トランキングの設定」の手順に従ってください。

none は、このグループ ポリシーと一致するリモート アクセス VPN セッションへの VLAN の割り当てをディセーブルにします。


) 出力 VLAN 機能は HTTP 接続で動作しますが、FTP と CIFS では動作しません。


グループポリシー モードで vpn - filter コマンドを使用して、VPN セッションに適用する ACL の名前を指定します (このアトリビュートはユーザ名モードでも設定できます。その場合、グループポリシー値はユーザ名のもとで設定された値に置き換えられます)。

hostname(config-group-policy)# vpn-filter {value ACL name | none}
hostname(config-group-policy)#
 

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを入力して、これらの ACL を適用します。

vpn - filter none コマンドを入力して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、ACL 名を指定する代わりに、 none キーワードを入力します。 none キーワードは、アクセスリストがないことを示します。このキーワードにより、ヌル値が設定され、アクセスリストが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに対して acl_vpn という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter acl_vpn
hostname(config-group-policy)#
 

ステップ 6 このグループポリシーの VPN トンネル タイプを指定します。

hostname(config-group-policy)# vpn-tunnel-protocol {webvpn | IPSec | l2tp-ipsec}
hostname(config-group-policy)#
 

デフォルトは IPSec です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no vpn-tunnel-protocol [webvpn | IPSec | l2tp-ipsec]
hostname(config-group-policy)#
 

このコマンドのパラメータの値は、次のとおりです。

IPSec: 2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn :HTTP 対応 Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは不要です。

l2tp-ipsec :L2TP 接続の IPSec トンネルをネゴシエートします。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、FirstGroup という名前のグループポリシーに IPSec トンネリング モードを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
hostname(config-group-policy)#
 


 

セキュリティ アトリビュートの設定

この項のアトリビュートは、グループの特定のセキュリティ設定を指定します。


ステップ 1 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して password-storage コマンドを使用し、ユーザがログイン パスワードをクライアント システムに保存するかどうかを指定します。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを使用します。

hostname(config-group-policy)# password-storage {enable | disable}
hostname(config-group-policy)#
 

セキュリティ上の理由から、パスワード保存はデフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムだけでイネーブルにします。

password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no password-storage
hostname(config-group-policy)#
 

no 形式を指定すると、password-storage の値を別のグループポリシーから継承できます。

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証には適用されません。

次の例は、FirstGroup という名前のグループポリシーでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# password-storage enable
hostname(config-group-policy)#
 

ステップ 2 デフォルトではディセーブルになっている IP 圧縮をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# ip-comp {enable | disable}
hostname(config-group-policy)#
 

LZS IP 圧縮をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-comp コマンドを入力します。IP 圧縮をディセーブルにするには、 disable キーワードを指定して ip-comp コマンドを入力します。

ip-comp アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、値を別のグループポリシーから継承できます。

hostname(config-group-policy)# no ip-comp
hostname(config-group-policy)#
 

データ圧縮をイネーブルにすることにより、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが高くなる可能性があります。


注意 データ圧縮を使用すると、ユーザ セッションごとのメモリ要求と CPU 使用率が増加し、結果としてadaptive security applianceのスループット全体が低下します。そのため、データ圧縮はモデムで接続するリモート ユーザについてだけイネーブルにすることを推奨します。モデム ユーザ専用のグループポリシーを設計して、そのようなユーザに対してだけ圧縮をイネーブルにしてください。

ステップ 3 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して re-xauth コマンドを使用し、IKE キーの再生成時にユーザが再認証を受ける必要があるかどうかを指定します。IKE キーが再生成される際の再認証をイネーブルにすると、adaptive security applianceは初回のフェーズ 1 PKE ネゴシエーションでユーザにユーザ名とパスワードの入力を求めるプロンプトを表示し、IKE キーの再生成が発生するたびに同様にユーザ認証のプロンプトを表示します。再認証によりセキュリティがより強固になります。

設定されているキーの再生成インターバルが短い場合、ユーザは繰り返し認可要求を受けるため、不便を感じる場合があります。認可要求が何度も繰り返されないようにするには、再認証をディセーブルにします。設定されているキーの再生成インターバルを確認するには、モニタリング モードで show crypto ipsec sa コマンドを入力して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータのキロバイト単位のライフタイムを表示します。IKE キーが再生成される際のユーザの再認証をディセーブルにするには、 disable キーワードを入力します。IKE キーが再生成される際の再認証は、デフォルトでディセーブルになっています。

hostname(config-group-policy)# re-xauth {enable | disable}
hostname(config-group-policy)#
 

IKE キーが再生成される際の再認証の値を他のグループポリシーから継承できるようにするには、このコマンドの no 形式を入力して、re-xauth アトリビュートを実行コンフィギュレーションから削除します。

hostname(config-group-policy)# no re-xauth
hostname(config-group-policy)#
 

) 接続先にユーザが存在しない場合、再認証は失敗します。


ステップ 4 グループポリシー コンフィギュレーション モードで group-lock コマンドを使用することにより、接続プロファイルだけを介してアクセスするようにリモート ユーザを制限するかどうかを指定します。

hostname(config-group-policy)# group-lock {value tunnel-grp-name | none}
hostname(config-group-policy)# no group-lock
hostname(config-group-policy)#
 

tunnel-grp-name 変数は、adaptive security applianceがユーザの接続に関して要求する既存の接続プロファイルの名前を指定します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられている接続プロファイルと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、adaptive security applianceはそのユーザによる接続を禁止します。group-lock を設定しない場合、adaptive security applianceは割り当てられているグループを考慮せずに、ユーザを認証します。グループ ロックはデフォルトでディセーブルになっています。

group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。

group-lock をディセーブルにするには、 none キーワードを指定して group-lock コマンドを入力します。none キーワードにより、group-lock はヌル値に設定され、group-lock の制限が拒否されます。また、デフォルトまたは指定されたグループポリシーから group-lock の値が継承されなくなります。

ステップ 5 完全転送秘密をイネーブルにするかどうかを指定します。IPSec ネゴシエーションでは、完全転送秘密により、新しい各暗号キーは以前のどのキーとも関連性がないことが保証されます。グループポリシーは、別のグループポリシーから完全転送秘密の値を継承できます。完全転送秘密は、デフォルトではディセーブルになっています。完全転送秘密をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して pfs コマンドを使用します。

hostname(config-group-policy)# pfs {enable | disable}
hostname(config-group-policy)#
 

完全転送秘密をディセーブルにするには、 disable キーワードを指定して pfs コマンドを入力します。

完全転送秘密アトリビュートを実行コンフィギュレーションから削除して、値を継承しないようにするには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no pfs
hostname(config-group-policy)#
 


 

バナー メッセージの設定

バナーまたは初期メッセージを表示する場合は、それを指定します。デフォルトではバナーは表示されません。指定したメッセージは、リモート クライアントが接続したときに、そのクライアントに表示されます。バナーを指定するには、グループポリシー コンフィギュレーション モードで banner コマンドを入力します。バナー テキストの長さは 510 文字まで指定できます。復帰を入力するには、「\n」シーケンスを入力します。


) バナー内の復帰改行は、2 文字として数えられます。


バナーを削除するには、このコマンドの no 形式を入力します。このコマンドの no 形式を使用すると、グループポリシーのすべてのバナーが削除されることに注意してください。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、次のように、バナー文字列の値を指定する代わりに none キーワードを入力します。

hostname(config-group-policy)# banner {value banner_string | none}
 

次の例は、FirstGroup という名前のグループポリシーにバナーを作成する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0.
 

IPSec-UDP アトリビュートの設定

IPSec over UDP(IPSec through NAT と呼ばれることもあります)を使用すると、Cisco VPN クライアントまたはハードウェア クライアントは、NAT を実行しているadaptive security applianceに UDP 経由で接続できます。この機能はデフォルトでディセーブルになっています。IPSec over UDP は、リモートアクセス接続にだけ適用される専用の機能で、モード コンフィギュレーションが必要です。adaptive security applianceは、SA のネゴシエート時にクライアントとの間でコンフィギュレーション パラメータをやり取りします。IPSec over UDP を使用すると、システムのパフォーマンスがわずかに低下する場合があります。

IPSec over UDP をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 ipsec-udp コマンドに enable キーワードを指定します。

hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)# no ipsec-udp
 

IPSec over UDP を使用するには、次のように ipsec-udp-port コマンドも設定する必要があります。

IPSec over UDP をディセーブルにするには、 disable キーワードを入力します。IPSec over UDP のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、IPSec over UDP の値を別のグループポリシーから継承できます。

また、IPSec over UDP を使用するように Cisco VPN クライアントを設定しておく必要があります(Cisco VPN クライアントは、デフォルトで IPSec over UDP を使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するためのコンフィギュレーションは必要ありません。

次の例は、FirstGroup という名前のグループポリシーに IPSec over UDP を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable
 

IPSec over UDP をイネーブルにした場合は、グループポリシー コンフィギュレーション モードで ipsec-udp-port コマンドも設定する必要があります。このコマンドにより、IPSec over UDP 用の UDP ポート番号が設定されます。IPSec ネゴシエーションでは、adaptive security applianceは設定されたポートでリスンし、他のフィルタ規則で UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。ポート番号の範囲は 4001 ~ 49151 です。デフォルトのポート値は 10000 です。

UDP ポートをディセーブルにするには、このコマンドの no 形式を入力します。これにより、IPSec over UDP のポート値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ipsec-udp-port port
 

次の例は、FirstGroup という名前のグループポリシーの IPSec UDP ポートをポート 4025 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp-port 4025
 

スプリット トンネリング アトリビュートの設定

スプリット トンネリングを使用すると、リモートアクセス IPSec クライアントは、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリア テキスト形式でネットワーク インターフェイスに誘導したりできます。スプリット トンネリングがイネーブルになっている場合、IPSec トンネルの相手側を宛先としないパケットを暗号化する必要はありません。このようなパケットはトンネル上を復号化された状態で送信され、その後、最終的な宛先にルーティングされます。このコマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

スプリット トンネリング ポリシーの設定

スプリット トンネリング ポリシーを指定して、トラフィックのトンネリング規則を設定します。

hostname(config-group-policy)# split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
hostname(config-group-policy)# no split-tunnel-policy
 

デフォルトでは、すべてのトラフィックがトンネリングされます。スプリット トンネリング ポリシーを設定するには、グループポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを入力します。 split-tunnel-policy アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、スプリット トンネリングの値を別のグループポリシーから継承できます。

トラフィックがクリア テキストで送信されるネットワークのリストは、 excludespecified キーワードで定義します。この機能は、トンネル経由で企業ネットワークに接続しながら、プリンタなどのローカル ネットワーク デバイスにアクセスするリモート ユーザにとって便利です。このオプションは、Cisco VPN クライアントに対してだけ適用されます。

tunnelall キーワードを指定すると、すべてのトラフィックがクリア テキストとして送信されなくなるか、adaptive security appliance以外の宛先に送信されなくなります。この指定では、実質的にスプリット トンネリングはディセーブルになります。リモート ユーザは企業ネットワークを経由してインターネットにアクセスしますが、ローカル ネットワークにはアクセスできません。これがデフォルトのオプションです。

tunnelspecified キーワードでは、指定されたネットワークとの間のすべてのトラフィックがトンネリングされます。このオプションにより、スプリット トンネリングはイネーブルになります。このオプションでは、トンネリングするアドレスのネットワーク リストを作成できます。これ以外のすべてのアドレスに対するデータは、クリア テキストで送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。


) スプリット トンネリングは主としてトラフィック管理機能であり、セキュリティ機能ではありません。最大限のセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。


次の例は、FirstGroup という名前のグループポリシーで、指定されたネットワークのトンネリングに関してだけ、スプリット トンネリング ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified
 

スプリット トンネリング用ネットワーク リストの作成

グループポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用して、スプリット トンネリング用のネットワーク リストを作成します。

hostname(config-group-policy)# split-tunnel-network-list {value access-list_name | none}
hostname(config-group-policy)# no split-tunnel-network-list value [access-list_name]
 

スプリット トンネリングのネットワーク リストは、トラフィックをトンネル経由で送信する必要のあるネットワークと、トンネリングが不要なネットワークを区別します。adaptive security applianceは、ネットワーク リストに基づいてスプリット トンネリングを実行するかどうかを決定します。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成された ACL です。標準タイプの ACL だけが許可されます。

value access-list name パラメータは、トンネリングを実行する、または実行しないネットワークを列挙したアクセスリストを指定します。

none キーワードは、スプリット トンネリング用のネットワーク リストが存在しないことを示し、adaptive security applianceはすべてのトラフィックをトンネリングします。 none キーワードを指定すると、スプリットトンネリングのネットワーク リストにヌル値が設定され、スプリット トンネリングが拒否されます。また、これにより、デフォルトまたは指定されたグループポリシーから、デフォルトのスプリット トンネリング ネットワーク リストが継承されなくなります。

ネットワーク リストを削除するには、このコマンドの no 形式を入力します。すべてのスプリット トンネリング ネットワーク リストを削除するには、引数を指定せずに no split-tunnel-network-list コマンドを入力します。このコマンドにより、 none キーワードを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのネットワーク リストが削除されます。

スプリット トンネリングのネットワーク リストが存在しない場合、ユーザはデフォルトまたは指定されたグループポリシー内に存在するネットワーク リストを継承します。ユーザがこのようなネットワーク リストを継承しないようにするには、 split-tunnel-network-list none コマンドを入力します。

次の例は、FirstGroup という名前のグループポリシーに FirstList という名前のネットワーク リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-network-list FirstList
 

トンネリング用ドメイン アトリビュートの設定

トンネリングされたパケットのデフォルトのドメイン名またはスプリット トンネルを介して解決されるドメインのリストを指定できます。次の各項では、これらのドメインの設定方法について説明します。

トンネリングされたパケットのデフォルト ドメイン名の設定

adaptive security applianceは、ドメイン フィールドが省略される DNS クエリーにドメインを追加するために、IPSec クライアントにデフォルトのドメイン名を渡します。デフォルトのドメイン名が存在しない場合、ユーザはデフォルト グループポリシーのドメイン名を継承します。グループポリシーのユーザにデフォルトのドメイン名を指定するには、グループポリシー コンフィギュレーション モードで default-domain コマンドを入力します。ドメイン名を削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# default-domain {value domain-name | none}
hostname(config-group-policy)# no default-domain [domain-name]
 

value domain-name パラメータは、そのグループのデフォルト ドメイン名を示します。デフォルト ドメイン名が存在しないことを示すには、 none キーワードを入力します。このコマンドにより、デフォルト ドメイン名にヌル値が設定され、デフォルト ドメイン名が拒否されます。また、デフォルトまたは指定されたグループポリシーからデフォルト ドメイン名が継承されなくなります。

すべてのデフォルト ドメイン名を削除するには、引数を指定せずに no default-domain コマンドを入力します。このコマンドにより、 none キーワードとともに default-domain コマンドを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのデフォルト ドメイン名が削除されます。 no 形式を使用すると、ドメイン名の継承が許可されます。

次の例は、FirstGroup という名前のグループポリシーに FirstDomain というデフォルト ドメイン名を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# default-domain value FirstDomain
 

スプリット トンネリング用ドメインのリストの定義

スプリット トンネルを介して解決されるドメインのリストを入力します。グループポリシー コンフィギュレーション モードで split-dns コマンドを入力します。リストを削除するには、このコマンドの no 形式を入力します。


) AnyConnect クライアントは、スプリット DNS をサポートしていません。


スプリット トンネリングのドメイン リストが存在しない場合、ユーザはデフォルト グループポリシー内に存在するリストを継承します。ユーザがこのようなスプリット トンネリング ドメイン リストを継承しないようにするには、 none キーワードを指定して split-dns コマンドを入力します。

すべてのスプリット トンネリング ドメイン リストを削除するには、引数を指定せずに no split-dns コマンドを入力します。これにより、 none キーワードとともに split-dns コマンドを発行して作成したヌル リストを含めて、設定済みのすべてのスプリット トンネリング ドメイン リストが削除されます。

パラメータ value domain-name は、adaptive security applianceがスプリット トンネルを介して解決するドメイン名を指定します。 none キーワードは、スプリット DNS リストが存在しないことを示します。また、このキーワードにより、スプリット DNS リストにヌル値が設定されます。そのため、スプリット DNS リストは拒否され、デフォルトまたは指定されたグループポリシーのスプリット DNS リストが継承されなくなります。このコマンドのシンタックスは次のとおりです。

hostname(config-group-policy)# split-dns {value domain-name1 [domain-name2... domain-nameN] | none}
hostname(config-group-policy)# no split-dns [domain-name domain-name2 domain-nameN]
 

ドメインのリスト内で各エントリを区切るには、スペースを 1 つ入力します。エントリ数に制限はありませんが、文字列全体で 255 文字を超えることはできません。英数字、ハイフン(-)、およびピリオド(.)だけを使用できます。デフォルトのドメイン名がトンネルを介して解決される場合、その名前をこのリストに明示的に含める必要があります。

次の例は、FirstGroup という名前のグループポリシーで、Domain1、Domain2、Domain3、Domain4 の各ドメインがスプリット トンネリングを介して解決されるように設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-dns value Domain1 Domain2 Domain3 Domain4
 

DHCP 代行受信の設定

Microsoft Windows XP では、スプリット トンネル オプションが 255 バイトを超えると、ドメイン名が壊れます。そのため、adaptive security applianceは、送信するルートの数を、そのルートのクラスに応じて 27 ~ 40 個に制限しています。

DHCP の代行受信によって、Microsoft Windows XP クライアントでadaptive security applianceのスプリット トンネリングを使用できるようになります。adaptive security applianceは、DHCP 情報のメッセージを Microsoft Windows XP クライアントに直接返信します。このメッセージには、トンネルの IP アドレスのサブネット マスク、ドメイン名、クラスのないスタティック ルートが含まれます。Windows XP 以前の Windows クライアントの場合は、DHCP 代行受信によって、ドメイン名とサブネット マスクが送られます。これは、DHCP サーバを使用するのに利点が少ない環境で便利です。

DHCP 代行受信をイネーブルまたはディセーブルにするには、 intercept-dhcp コマンドを使います。このコマンドのシンタックスは次のとおりです。

[ no ] intercept-dhcp

hostname(config-group-policy)# intercept-dhcp netmask {enable | disable}
hostname(config-group-policy)#
 

netmask 変数は、トンネルの IP アドレスのサブネット マスクになります。このコマンドの no バージョンを使用すると、DHCP 代行受信の指定がコンフィギュレーションから削除されます。

次の例は、FirstGroup というグループポリシーに DHCP 代行受信を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# intercept-dhcp enable
 

VPN ハードウェア クライアント用アトリビュートの設定

この項にあるコマンドは、セキュア ユニット認証とユーザ認証をイネーブルまたはディセーブルにし、VPN ハードウェア クライアントのユーザ認証のタイムアウト値を設定します。また、これらのコマンドを使用すると、Cisco IP Phone と LEAP パケットが個々のユーザ認証をバイパスでき、ネットワーク拡張モードを使用するハードウェア クライアントが接続できるようになります。

セキュア ユニット認証の設定

セキュア ユニット認証は、VPN ハードウェア クライアントがトンネルを開始するたびにユーザ名とパスワードを使用して認証されるようにすることにより、セキュリティを強化します。この機能がイネーブルの場合、ハードウェア クライアントはユーザ名とパスワードを保存しません。セキュア ユニット認証はデフォルトでディセーブルになっています。


) この機能がイネーブルの場合、VPN トンネルを起動するには、ユーザがユーザ名とパスワードを入力する必要があります。


セキュア ユニット認証では、ハードウェア クライアントが使用する接続プロファイルに対して認証サーバ グループが設定されている必要があります。プライマリ adaptive security applianceでセキュア ユニット認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して secure-unit-authentication コマンドを入力し、セキュア ユニット認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# secure-unit-authentication {enable | disable}
hostname(config-group-policy)# no secure-unit-authentication
 

セキュア ユニット認証をディセーブルにするには、 disable キーワードを入力します。セキュア ユニット認証のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、セキュア ユニット認証の値を別のグループポリシーから継承できます。

次の例は、FirstGroup という名前のグループポリシーでセキュア ユニット認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable
 

ユーザ認証の設定

ユーザ認証はデフォルトでディセーブルになっています。ユーザ認証がイネーブルの場合、ハードウェア クライアントの背後の個々のユーザは、トンネルを介してネットワークにアクセスするために認証を受ける必要があります。個々のユーザは、設定した認証サーバの順序に従って認証されます。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して user-authentication コマンドを入力し、ユーザ認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# user-authentication {enable | disable}
hostname(config-group-policy)# no user-authentication
 

ユーザ認証をディセーブルにするには、 disable キーワードを入力します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、ユーザ認証の値を別のグループポリシーから継承できます。

プライマリ adaptive security applianceでユーザ認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

次の例は、FirstGroup という名前のグループポリシーでユーザ認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable
 

アイドル タイムアウトの設定

グループポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを入力して、ハードウェア クライアントの背後の個々のユーザにアイドル タイムアウトを設定します。アイドル タイムアウト期間中にハードウェア クライアントの背後のユーザによる通信アクティビティがない場合、adaptive security applianceはそのクライアントのアクセスを終了します。

hostname(config-group-policy)# user-authentication-idle-timeout {minutes | none}
hostname(config-group-policy)# no user-authentication-idle-timeout
 

このタイマーで終了されるのは、VPN トンネルを経由したクライアントのアクセスだけであり、VPN トンネル自体は終了されません。

show uauth コマンドへの応答で示されるアイドル タイムアウトは常に Cisco Easy VPN リモート デバイスでトンネルを認証したユーザのアイドル タイムアウト値です。


minutes パラメータで、アイドル タイムアウトの時間(分単位)を指定します。最短時間は 1 分、デフォルトは 30 分、最長時間は 35791394 分です。

アイドル タイムアウト値を削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、アイドル タイムアウト値を別のグループポリシーから継承できます。

アイドル タイムアウト値を継承しないようにするには、 none キーワードを指定して user-authentication-idle-timeout コマンドを入力します。このコマンドにより、アイドル タイムアウトにヌル値が設定されます。この設定によってアイドル タイムアウトが拒否され、デフォルトまたは指定されたグループポリシーからユーザ認証のアイドル タイムアウト値が継承されなくなります。

次の例は、FirstGroup という名前のグループポリシーに 45 分の アイドル タイムアウト値を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45
 

IP Phone Bypass の設定

Cisco IP Phone は、ハードウェア クライアントの背後の個々のユーザ認証をバイパスさせることができます。IP Phone Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-phone-bypass コマンドを入力します。IP Phone Bypass を使用すると、ハードウェア クライアントの背後の IP Phone はユーザ認証プロセスを実行しなくても接続が可能になります。IP Phone Bypass は、デフォルトでディセーブルになっています。イネーブルの場合、セキュア ユニット認証は有効なままになります。

IP Phone Bypass をディセーブルにするには、 disable キーワードを入力します。IP Phone Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、IP Phone Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ip-phone-bypass {enable | disable}
hostname(config-group-policy)# no ip-phone-bypass
 

LEAP Bypass の設定

LEAP Bypass がイネーブルの場合、VPN 3002 ハードウェア クライアントの背後の無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過します。このアクションにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立し、その後、ユーザ単位で再度認証を実行できます。LEAP Bypass は、デフォルトでディセーブルになっています。

シスコの無線アクセス ポイントからの LEAP パケットが個々のユーザ認証をバイパスできるようにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して leap-bypass コマンドを入力します。LEAP Bypass をディセーブルにするには、 disable キーワードを入力します。LEAP Bypass のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、LEAP Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# leap-bypass {enable | disable}
hostname(config-group-policy)# no leap-bypass
 

) IEEE 802.1X は、有線および無線ネットワークにおける認証規格です。この規格では、クライアントと認証サーバの間で強力な相互認証を実現し、ユーザ単位およびセッション単位のダイナミックな無線暗号化秘密(WEP)キーの使用を可能にして、スタティックな WEP キーの場合に介在する面倒な管理作業やセキュリティ上の問題を軽減できます。

シスコシステムズは、Cisco LEAP と呼ばれる 802.1X 無線認証タイプを開発しました。LEAP(Lightweight Extensible Authentication Protocol)は、無線クライアントと RADIUS サーバの間の接続における相互認証を実装します。パスワードなど、認証に使用されるクレデンシャルは、無線メディア上で送信される前に必ず暗号化されます。

Cisco LEAP では、無線クライアントを RADIUS サーバに対して認証します。RADIUS アカウンティング サービスは提供されません。


対話的なハードウェア クライアント認証をイネーブルにしている場合、この機能は意図したように動作しません。


注意 認証されていないトラフィックがトンネルを通過できるようにすると、ネットワークにセキュリティ リスクを招くおそがあります。

次の例は、FirstGroup という名前のグループポリシーに LEAP Bypass を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# leap-bypass enable
 

ネットワーク拡張モードのイネーブル化

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、VPN トンネル経由でリモート プライベート ネットワークに 1 つのルーティング可能なネットワークを提供できます。ハードウェア クライアントの背後のプライベート ネットワークからadaptive security applianceの背後のネットワークへのすべてのトラフィックは、IPSec でカプセル化されます。PAT は適用されません。したがって、adaptive security applianceの背後のデバイスは、トンネル経由でだけハードウェア クライアントの背後にあるプライベート ネットワーク上のデバイスに直接アクセスでき、逆方向の場合も同様にトンネル経由の場合にだけ可能になります。トンネルは、ハードウェア クライアントから開始する必要がありますが、トンネルの確立後はどちらの側からデータ交換を開始してもかまいません。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して nem コマンドを入力し、ハードウェア クライアントの ネットワーク拡張モードをイネーブルにします。

hostname(config-group-policy)# nem {enable | disable}
hostname(config-group-policy)# no nem
 

NEM をディセーブルにするには、 disable キーワードを入力します。この NEM のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、値を別のグループポリシーから継承できます。

次の例は、FirstGroup という名前のグループポリシーに NEM を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable
 

バックアップ サーバ アトリビュートの設定

バックアップ サーバを設定します(使用する予定がある場合)。IPSec バックアップ サーバを使用すると、VPN クライアントはプライマリ adaptive security applianceが使用不可の場合も接続が可能になります。バックアップ サーバを設定すると、adaptive security applianceは、IPSec トンネルを確立するときにクライアントにサーバ リストを渡します。バックアップ サーバは、クライアントまたはプライマリ adaptive security applianceにその設定を行うまでは存在しません。

バックアップ サーバは、クライアントまたはプライマリ adaptive security applianceのいずれかに設定します。adaptive security applianceにバックアップ サーバを設定すると、セキュリティ アプライアンスはバックアップ サーバ ポリシーをグループ内のクライアントに配信し、クライアントにバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。


) ホスト名を使用している場合は、バックアップ用の DNS サーバおよび WINS サーバを、プライマリの DNS サーバおよび WINS サーバと異なるネットワーク上に配置することを推奨します。このようにしないと、ハードウェア クライアントの背後のクライアントが DHCP 経由でそのハードウェア クライアントから DNS および WINS の情報を取得している場合に、プライマリ サーバへの接続が失われると、バックアップ サーバに別の DNS および WINS の情報があっても、クライアントは DHCP リースの期限が満了するまではアップデートされなくなります。また、ホスト名を使用している場合に DNS サーバ が使用不可になると、大幅な遅延が発生するおそがあります。


バックアップ サーバを設定するには、グループポリシー コンフィギュレーション モードで backup-servers コマンドを入力します。

hostname(config-group-policy)# backup-servers {server1 server2... server10 | clear-client-config | keep-client-config}
 

バックアップ サーバを削除するには、バックアップ サーバを指定してこのコマンドの no 形式を入力します。backup-servers アトリビュートを実行コンフィギュレーションから削除し、backup-servers の値を他のグループポリシーから継承できるようにするには、引数を指定せずにこのコマンドの no 形式を入力します。

hostname(config-group-policy)# no backup-servers [server1 server2... server10 | clear-client-config | keep-client-config]
 

clear-client-config キーワードは、クライアントでバックアップ サーバを使用しないことを指定します。adaptive security applianceはヌルのサーバ リストを配信します。

keep-client-config キーワードは、adaptive security applianceがバックアップ サーバ情報をクライアントに送信しないことを指定します。クライアントは、そのクライアントのサーバ リストを使用します(設定されている場合)。これがデフォルトです。

server1 server 2....server10 パラメータ リストは、プライマリ adaptive security applianceが使用不可の場合に VPN クライアントが使用するサーバを、プライオリティ順にスペースで区切ったリストです。このリストには、サーバを IP アドレスまたはホスト名で指定します。このリストの長さは 500 文字までで、格納できるエントリは 10 個までです。

次の例は、FirstGroup という名前のグループポリシーに、IP アドレスが 10.10.10.1 と 192.168.10.14 であるバックアップ サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# backup-servers 10.10.10.1 192.168.10.14
 

Microsoft Internet Explorer クライアントのパラメータの設定

次のコマンドは、Microsoft Internet Explorer クライアントのプロキシ サーバのパラメータを設定します。


ステップ 1 グループポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力し、クライアント PC の Microsoft Internet Explorer ブラウザのプロキシ サーバとポート番号を設定します。

hostname(config-group-policy)# msie-proxy server {value server[:port] | none}
hostname(config-group-policy)#
 

デフォルト値は none です。コンフィギュレーションからアトリビュートを削除するには、コマンドの no 形式を使用します。

hostname(config-group-policy)# no msie-proxy server
hostname(config-group-policy)#
 

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例は、FirstGroup というグループポリシーに、Microsoft Internet Explorer のプロキシ サーバの IP アドレスとして 192.168.21.1、ポート 880 を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy server value 192.168.21.1:880
hostname(config-group-policy)#
 

ステップ 2 グループポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力し、クライアント PC で使用する Microsoft Internet Explorer ブラウザのプロキシの動作(「method」)を指定します。

hostname(config-group-policy)# msie-proxy method [auto-detect | no-modify | no-proxy | use-server]
hostname(config-group-policy)#
 

デフォルト値は、 use-server です。コンフィギュレーションからアトリビュートを削除するには、コマンドの no 形式を使用します。

hostname(config-group-policy)# no msie-proxy method [auto-detect | no-modify | no-proxy | use-server]
hostname(config-group-policy)#
 

指定できる方法は、次のとおりです。

auto-detect :クライアント PC の Internet Explorer でプロキシ サーバの自動検出をイネーブルにします。

no-modify :このクライアント PC で使用している Internet Explorer の HTTP ブラウザ プロキシ サーバの設定をそのままにします。

no-proxy :クライアント PC で使用している Internet Explorer の HTTP プロキシの設定をディセーブルにします。

use-server :Internet Explorer の HTTP プロキシ サーバの設定で、 msie-proxy server コマンドで指定した値を使用します。

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例は、FirstGroup というグループポリシーに、Microsoft Internet Explorer によるプロキシ設定の自動検出を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy method auto-detect
hostname(config-group-policy)#
 

次の例は、FirstGroup というグループポリシーで、クライアント PC の Microsoft Internet Explorer のプロキシ設定として QAserver というサーバにポート 1001 を使用するように設定しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy server QAserver:port 1001
hostname(config-group-policy)# msie-proxy method use-server
hostname(config-group-policy)#
 

ステップ 3 グループポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力し、クライアント PC の Microsoft Internet Explorer ブラウザがローカルでプロキシをバイバスするために使用するプロキシの例外リストを設定します。例外リストにあるアドレスは、プロキシ サーバによってアクセスされません。このリストは、Internet Explorer の Proxy Settings ダイアログボックスにある Exceptions ボックスに相当します。

hostname(config-group-policy)# msie-proxy except-list {value server[:port] | none}
hostname(config-group-policy)#
 

コンフィギュレーションからアトリビュートを削除するには、コマンドの no 形式を使用します。

hostname(config-group-policy)# no msie-proxy except-list
hostname(config-group-policy)#
 

value server:port :このクライアント PC に適用する MSIE サーバの IP アドレスまたは名前、およびポートを指定します。ポート番号は、オプションです。

none :IP アドレスまたはホスト名とポートがないことを示し、例外リストを継承しません。

デフォルトでは、msie-proxy except-list はディセーブルになっています。

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例では、FirstGroup というグループポリシーの Microsoft Internet Explorer のプロキシの例外リストを、IP アドレス 192.168.20.1 のサーバ、ポート 880 に設定しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy except-list value 192.168.20.1:880
hostname(config-group-policy)#
 

ステップ 4 グループポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力し、クライアント PC で使用する Microsoft Internet Explorer ブラウザが、プロキシをローカルでバイパスする設定をイネーブルまたはディセーブルにします。

hostname(config-group-policy)# msie-proxy local-bypass {enable | disable}
hostname(config-group-policy)#
 

コンフィギュレーションからアトリビュートを削除するには、コマンドの no 形式を使用します。

hostname(config-group-policy)# no msie-proxy local-bypass {enable | disable}
hostname(config-group-policy)#
 

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

次の例は、FirstGroup というグループポリシーの Microsoft Internet Explorer のプロキシのローカル バイバス設定をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy local-bypass enable
hostname(config-group-policy)#
 


 

ネットワーク アドミッション コントロールのパラメータの設定

この項で説明するグループポリシーの NAC コマンドには、すべてデフォルトの値があります。どうしても必要な場合を除き、これらのパラメータのデフォルト値は変更しないでください。

セキュリティ アプライアンスは、Extensible Authentication Protocol(EAP)over UDP(EAPoUDP)のメッセージを使用して、リモート ホストのポスチャを確認します。これは、リモート ホストにネットワーク アクセス ポリシーを割り当てる前に、そのホストがセキュリティの必要条件を満たしているかどうかを調べることです。セキュリティ アプライアンスでネットワーク アドミッション コントロールを設定する前に、NAC 用に Access Control Server を設定しておく必要があります。

Access Control Server は、システムの監視やレポート作成、デバッグ、ロギングに役立つ情報を示すポスチャ トークン(ACS で設定可能な文字列)をセキュリティ アプライアンスにダウンロードします。一般的なポスチャ トークンには、Healthy、Checkup、Quarantine、Infected、Unknown があります。ポスチャ確認またはクライアントなしの認証が終わると、ACS はセッション用のアクセス ポリシーをセキュリティ アプライアンスにダウンロードします。

次に、デフォルトまたは代替グループポリシーのネットワーク アドミッション コントロールを設定するパラメータを示します。


ステップ 1 オプション )ステータス クエリーの期間を設定します。セキュリティ アプライアンスは、ポスチャ確認が問題なく終わり、ステータス クエリーの応答を受け取るたびに、ステータス クエリーのタイマーを始動させます。このタイマーの期限が切れると、ホストのポスチャの変更を調べるクエリー(ステータス クエリー)が発行されます。タイマーの期限を 30 ~ 1800 の秒数で指定します。デフォルトは、300 秒です。

ネットワーク アドミッション コントロールのセッションで、ポスチャ確認が問題なく終わり、ポスチャの変更を調べる次のクエリーが発行されるまでの間隔を指定するには、グループポリシー コンフィギュレーション モードで nac-sq-period コマンドを使用します。

hostname(config-group-policy)# nac-sq-period seconds
hostname(config-group-policy)#
 

デフォルトのグループポリシーからステータス クエリーの間隔を継承する場合は、継承元の代替ポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-sq-period [seconds]
hostname(config-group-policy)#
 

次の例では、ステータス クエリー タイマーを 1800 秒に変更しています。

hostname(config-group-policy)# nac-sq-period 1800
hostname(config-group-policy)
 

次の例では、デフォルト グループポリシーからステータス クエリー タイマーの値を継承しています。

hostname(config-group-policy)# no nac-sq-period
hostname(config-group-policy)#
 

ステップ 2 オプション )NAC の再確認の期間を設定します。セキュリティ アプライアンスは、ポスチャ確認が問題なく終わるたびに、再確認タイマーを始動させます。このタイマーの期限が切れると、次の無条件のポスチャ確認を開始します。セキュリティ アプライアンスは、それまでと同じ方法でポスチャを再確認します。ポスチャ確認または再確認中に Access Control Server が使用できなくなると、デフォルトのグループポリシーが有効になります。ポスチャを確認する間隔を秒数で入力します。指定できる値は 300 ~ 86400 秒、デフォルトは、36000 秒です。

ネットワーク アドミッション コントロールのセッションでポスチャを確認する間隔を指定するには、グループ ポリシー コンフィギュレーション モードで nac-reval-period コマンドを使用します。

hostname(config-group-policy)# nac-reval-period seconds
hostname(config-group-policy)#
 

デフォルトのグループポリシーから継承するには、継承元の代替ポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-reval-period [seconds]
hostname(config-group-policy)#
 

次の例では、再確認の間隔を 86400 秒に変更しています。

hostname(config-group-policy)# nac-reval-period 86400
hostname(config-group-policy)
 

次の例では、デフォルトのグループポリシーから再確認タイマーの値を継承しています。

hostname(config-group-policy)# no nac-reval-period
hostname(config-group-policy)#
 

ステップ 3 オプション )NAC のデフォルト ACL を設定します。セキュリティ アプライアンスは、ポスチャを確認できない場合に、選択された ACL に関連付けられているセキュリティ ポリシーを適用します。 none または拡張 ACL を指定します。デフォルトは、 none です。 none に設定すると、セキュリティ アプライアンスは、ポスチャを確認できなかったときにデフォルトのグループポリシーを適用します。

ネットワーク アドミッション セッションでポスチャを確認できなかったときに使用するデフォルトの ACL を指定するには、グループポリシー コンフィギュレーション モードで nac-default-acl コマンドを使用します。

hostname(config-group-policy)# nac-default-acl {acl-name | none}
hostname(config-group-policy)#
 

デフォルトのグループポリシーから ACL を継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-default-acl [acl-name | none]
hostname(config-group-policy)#
 

このコマンドの要素は、次のとおりです。

acl-name :ポスチャを確認するサーバ グループの名前。adaptive security applianceの aaa-server host コマンドで設定されています。名前は、このコマンドで指定された server-tag 変数と一致している必要があります。

none :デフォルト グループポリシーの ACL の継承をディセーブルにし、NAC セッションでポスチャを確認できなかったときに ACL を適用しません。

NAC はデフォルトでディセーブルになっているので、adaptive security applianceを通過する VPN トラフィックは、NAC がイネーブルになるまで、NAC デフォルトの ACL の影響は受けません。

次の例では、ポスチャを確認できなかったときに、acl-1 という ACL を適用するように指定しています。

hostname(config-group-policy)# nac-default-acl acl-1
hostname(config-group-policy)
 

次の例では、デフォルトのグループポリシーから ACL を継承しています。

hostname(config-group-policy)# no nac-default-acl
hostname(config-group-policy)
 

次の例では、デフォルト グループポリシーの ACL の継承をディセーブルにし、NAC セッションでポスチャを確認できなかったときに ACL を適用しません。

hostname(config-group-policy)# nac-default-acl none
hostname(config-group-policy)#
 

ステップ 4 VPN の NAC 免除の設定 デフォルトでは、免除リストは空になっています。フィルタ アトリビュートのデフォルトの値は、 none です。ポスチャ確認を免除するリモート ホストのオペレーティング システム(および ACL)ごとに vpn-nac-exempt を 1 回入力します。

ポスチャ確認を免除するリモート コンピュータのタイプのリストにエントリを追加するには、グループポリシー コンフィギュレーション モードで vpn-nac-exempt コマンドを使用します。

hostname(config-group-policy)# vpn-nac-exempt os "os name" [filter {acl-name | none}] [disable]
hostname(config-group-policy)#
 

継承をディセーブルにし、すべてのホストをポスチャ確認の対象にするには、 vpn-nac-exempt のすぐ後ろに none キーワードを入力します。

hostname(config-group-policy)# vpn-nac-exempt none
hostname(config-group-policy)#
 

免除リストのエントリを削除するには、このコマンドの no 形式を使用し、削除するエントリのオペレーティング システム(および ACL)を指定します。

hostname(config-group-policy)# no vpn-nac-exempt [os "os name"] [filter {acl-name | none}] [disable]
hostname(config-group-policy)#
 

このグループポリシーの免除リストにある全エントリを削除し、デフォルトのグループポリシーの免除リストを継承するには、キーワードを指定せずにこのコマンドの no 形式を使用します。

hostname(config-group-policy)# no vpn-nac-exempt
hostname(config-group-policy)#
 

このコマンドのシンタックスの要素は、次のとおりです。

acl-name :adaptive security applianceのコンフィギュレーションに存在する ACL の名前。

disable:免除リストのエントリを削除せずにディセーブルにします。

filter :( オプション )コンピュータのオペレーティング システムの名前が一致したときにトラフィックをフィルタリングするために ACL に適用するフィルタ。

none :このキーワードを vpn-nac-exempt のすぐ後ろに入力した場合は、継承がディセーブルになり、すべてのホストがポスチャ確認の対象になります。 filter のすぐ後ろに入力した場合は、ACL を指定しないことを示します。

OS :オペレーティング システムをポスチャ確認から免除します。

os name :オペレーティング システムの名前。引用符は、オペレーティング システムの名前にスペースが入っている場合(Windows XP など)だけ必要です。

次の例は、Windows XP を実行しているすべてのホストを、ポスチャ確認から免除するコンピュータのリストに追加しています。

hostname(config-group-policy)# vpn-nac-exempt os "Windows XP"
hostname(config-group-policy)
 

次の例は、Windows 98 を実行しているホストのうち、acl-1 という ACL にある ACE に一致するものをすべて免除しています。

hostname(config-group-policy)# vpn-nac-exempt os "Windows 98" filter acl-1
hostname(config-group-policy)
 

次の例は、上と同じエントリを免除リストに追加していますが、ディセーブルにしています。

hostname(config-group-policy)# vpn-nac-exempt os "Windows 98" filter acl-1 disable
hostname(config-group-policy)
 

次の例は、同じエントリを、ディセーブルかどうかにかかわらず、免除リストから削除しています。

hostname(config-group-policy)# no vpn-nac-exempt os "Windows 98" filter acl-1
hostname(config-group-policy)
 

次の例は、継承をディセーブルにして、すべてのホストをポスチャ確認の対象にしています。

hostname(config-group-policy)# no vpn-nac-exempt none
hostname(config-group-policy)
 

次の例は、免除リストからすべてのエントリを削除しています。

hostname(config-group-policy)# no vpn-nac-exempt
hostname(config-group-policy)
 

ステップ 5 次のコマンドを入力して、ネットワーク アドミッション コントロールをイネーブルまたはディセーブルにします。

hostname(config-group-policy)# nac {enable | disable}
hostname(config-group-policy)#
 

デフォルトのグループポリシーから NAC の設定を継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac [enable | disable]
hostname(config-group-policy)#
 

デフォルトでは、NAC はディセーブルになっています。NAC をイネーブルにすると、リモートアクセスでポスチャ確認が必要になります。リモート コンピュータのポスチャが正しいことが確認されると、ACS サーバがadaptive security applianceで使用するアクセス ポリシーをダウンロードします。NAC はデフォルトでディセーブルになっています。

Access Control Server は、ネットワーク上に存在しなければなりません。

次の例では、グループポリシーに対して NAC をイネーブルにします。

hostname(config-group-policy)# nac enable
hostname(config-group-policy)#
 


 

アドレス プールの設定

リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを設定するには、グループポリシー アトリビュート コンフィギュレーション モードで address-pools コマンドを入力します。

hostname(config-group-policy)# address-pools value address_pool1 [...address_pool6]
hostname(config-group-policy)#
 

このコマンドで設定したアドレス プールによって、グループのローカル プールの設定が上書きされます。ローカル アドレスの割り当てに使用するローカル アドレス プールを 6 個まで指定できます。

プールを指定する順番が重要です。このコマンドにあるプールの順番に従って、adaptive security applianceがアドレスを割り当てます。

グループポリシーからこのアトリビュートを削除して、グループポリシーの別のソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no address-pools value address_pool1 [...address_pool6]
hostname(config-group-policy)#
 

address-pools none コマンドは、ポリシーの別のソース(DefaultGrpPolicy など)からこのアトリビュートを継承することをディセーブルにします。

hostname(config-group-policy)# address-pools none
hostname(config-group-policy)#
 

no address pools none コマンドは、コンフィギュレーションから address-pools none コマンドを削除して、継承を許可するデフォルトの値に戻します。

hostname(config-group-policy)# no address-pools none

hostname(config-group-policy)#

このコマンドのシンタックスの要素は、次のとおりです。

address_pool ip local pool コマンドで設定されているアドレス プールの名前を指定します。ローカル アドレス プールを 6 個まで指定できます。

none :アドレス プールを何も設定していないことを示し、グループポリシーの他のソースからの継承をディセーブルにします。

value :アドレスの割り当てに使用するアドレス プールを 6 個まで指定します。

次の例(config-general コンフィギュレーション モードで入力)は、GroupPolicy1 でリモート クライアントにアドレスを割り当てるのに pool 1 と pool20 を使用するように設定しています。

hostname(config)# ip local pool pool 192.168.10.1-192.168.10.100 mask 255.255.0.0
hostname(config)# ip local pool pool20 192.168.20.1-192.168.20.200 mask 255.255.0.0
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# address-pools value pool1 pool20
hostname(config-group-policy)#
 

ファイアウォール ポリシーの設定

ファイアウォールは、データの個々の着信パケットと発信パケットをそれぞれ検査して、パケットを許可するかドロップするかどうか決定することにより、コンピュータをインターネットから分離して保護します。ファイアウォールは、グループのリモート ユーザがスプリット トンネリングを設定してある場合、セキュリティの向上をもたらします。この場合、ファイアウォールは、インターネットまたはユーザのローカル LAN を経由する侵入からユーザの PC を保護することで、企業ネットワークを保護します。VPN クライアントを使用してadaptive security applianceに接続しているリモート ユーザは、適切なファイアウォール オプションを選択できます。

グループポリシー コンフィギュレーション モードで client-firewall コマンドを使用して、adaptive security applianceが IKE トンネル ネゴシエーション中に VPN クライアントに配信するパーソナル ファイアウォール ポリシーを設定します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を入力します。

すべてのファイアウォール ポリシーを削除するには、引数を指定せずに no client-firewall コマンドを入力します。このコマンドにより、 none キーワードとともに client-firewall コマンドを入力して作成したヌル ポリシーがあればそれも含めて、設定済みのすべてのファイアウォール ポリシーが削除されます。

ファイアウォール ポリシーが存在しない場合、ユーザはデフォルトまたはその他のグループポリシー内に存在するファイアウォール ポリシーを継承します。ユーザがこのようなファイアウォール ポリシーを継承しないようにするには、 none キーワードを指定して client-firewall コマンドを入力します。

Add or Edit Group Policy ウィンドウ、Client Firewall タブでは、追加または変更するグループポリシーに対して VPN クライアントのファイアウォール設定を指定できます。


) これらのファイアウォール機能を使用できるのは、Microsoft Windows を実行する VPN クライアントだけです。現在、ハードウェア クライアントまたは他の(Windows 以外の)ソフトウェア クライアントでは、これらの機能は使用できません。


最初のシナリオでは、リモート ユーザの PC 上にパーソナル ファイアウォールがインストールされています。VPN クライアントは、ローカル ファイアウォールで定義されているファイアウォール ポリシーを適用し、そのファイアウォールが実行されていることを確認するために監視します。ファイアウォールの実行が停止すると、VPN クライアントはadaptive security applianceへの通信をドロップします (このファイアウール適用メカニズムは、Are You There(AYT)と呼ばれます。VPN クライアントが、定期的に「are you there?」メッセージを送信することによってファイアウォールを監視するからです。応答が返されない場合、VPN クライアントは、ファイアウォールがダウンしてadaptive security applianceへの接続が終了したことを認識します)。ネットワーク管理者がこれらの PC ファイアウォールを独自に設定する場合もありますが、この方法を使用すれば、ユーザは各自の設定をカスタマイズできます。

第 2 のシナリオでは、VPN クライアント PC のパーソナル ファイアウォールに中央集中型ファイアウォール ポリシーを適用することが選択されることがあります。一般的な例としては、スプリット トンネリングを使用してグループのリモート PC へのインターネット トラフィックをブロックすることがあげられます。この方法は、トンネルが確立されている間、インターネット経由の侵入から PC を保護するので、中央サイトも保護されます。このファイアウォールのシナリオは、プッシュ ポリシーまたはCentral Protection Policy(CPP)と呼ばれます。adaptive security applianceでは、VPN クライアントに適用するトラフィック管理規則のセットを作成し、これらの規則をフィルタに関連付けて、そのフィルタをファイアウォール ポリシーに指定します。adaptive security applianceは、このポリシーを VPN クライアントまで配信します。その後、VPN クライアントはポリシーをローカル ファイアウォールに渡し、そこでポリシーが適用されます。

次のコマンドを入力して、適切なクライアント ファイアウォールのパラメータを設定します。このコマンドに設定できるインスタンスは 1 つだけです。この一連のコマンドの後に記載された 表 28-4 で、これらのコマンドのシンタックス要素について説明します。

Cisco 統合ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} cisco-integrated acl-in ACL acl-out ACL
 

Cisco Security Agent

hostname(config-group-policy)# client-firewall {opt | req} cisco-security-agent
 

ファイアウォールなし

hostname(config-group-policy)# client-firewall none
 

カスタム ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} custom vendor-id num product-id num policy {AYT | CPP acl-in ACL acl-out ACL} [description string]
 

Zone Labs ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} zonelabs-integrity

) ファイアウォールのタイプが zonelabs-integrity の場合は、引数を何も指定しないでください。Zone Labs Integrity サーバによってポリシーが決められます。


hostname(config-group-policy)# client-firewall {opt | req} zonelabs-zonealarm policy {AYT | CPP acl-in ACL acl-out ACL}
 
hostname(config-group-policy)# client-firewall {opt | req} zonelabs-zonealarmorpro policy {AYT | CPP acl-in ACL acl-out ACL}
 
client-firewall {opt | req} zonelabs-zonealarmpro policy {AYT | CPP acl-in ACL acl-out ACL}
 

Sygate Personal ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} sygate-personal
 
hostname(config-group-policy)# client-firewall {opt | req} sygate-personal-pro
 
hostname(config-group-policy)# client-firewall {opt | req} sygate-security-agent
 

Network ICE、Black ICE ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} networkice-blackice
 

 

表 28-4 client-firewall コマンドのキーワードと変数

パラメータ
説明

acl-in ACL

クライアントが着信トラフィックに使用するポリシーを指定します。

acl-out ACL

クライアントが発信トラフィックに使用するポリシーを指定します。

AYT

クライアント PC のファイアウォール アプリケーションがファイアウォール ポリシーを制御するように指定します。adaptive security applianceはファイアウォールが実行されていることを確認します。adaptive security applianceは、確認のために「Are You There?」という質問を行い、応答がない場合はトンネルを切断します。

cisco-integrated

Cisco 統合ファイアウォール タイプを指定します。

cisco-security-agent

Cisco Intrusion Prevention Security Agent ファイアウォール タイプを指定します。

CPP

VPN クライアントのファイアウォール ポリシーのソースとして Policy Pushed を指定します。

custom

カスタム ファイアウォール タイプを指定します。

description string

ファイアウォールの説明です。

networkice-blackice

Network ICE Black ICE ファイアウォール タイプを指定します。

none

クライアント ファイアウォール ポリシーが存在しないことを示します。ファイアウォール ポリシーにヌル値を設定して、ファイアウォール ポリシーを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからファイアウォール ポリシーを継承しないようにします。

opt

オプションのファイアウォール タイプを示します。

product-id

ファイアウォール製品を指定します。

req

必要なファイアウォール タイプを示します。

sygate-personal

Sygate Personal ファイアウォール タイプを指定します。

sygate-personal-pro

Sygate Personal Pro ファイアウォール タイプを指定します。

sygate-security-agent

Sygate Security Agent ファイアウォール タイプを指定します。

vendor-id

ファイアウォール ベンダーを指定します。

zonelabs-integrity

Zone Labs Integrity サーバ ファイアウォール タイプを指定します。

zonelabs-zonealarm

Zone Labs ZoneAlarm ファイアウォール タイプを指定します。

zonelabs-zonealarmorpro policy

Zone Labs ZoneAlarm または Pro ファイアウォール タイプを指定します。

zonelabs-zonealarmpro policy

Zone Labs ZoneAlarm Pro ファイアウォール タイプを指定します。

次の例は、FirstGroup という名前のグループポリシーで、Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-firewall req cisco-security-agent
hostname(config-group-policy)#
 

クライアント アクセス規則の設定

グループポリシー コンフィギュレーション モードで client-access-rule コマンドを使用して、adaptive security applianceを介して IPSec で接続できるリモートアクセス クライアントのタイプとバージョンを制限する規則を指定します。次のガイドラインに従って規則を作成します。

規則を定義しない場合、adaptive security applianceはすべての接続タイプを許可します。

クライアントがどの規則にも一致しない場合、adaptive security applianceは接続を拒否します。拒否規則を定義する場合は、許可規則も 1 つ以上定義しないと、adaptive security applianceはすべての接続を拒否します。

ソフトウェア クライアントとハードウェア クライアントのどちらでも、タイプとバージョンは show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。

* 文字はワイルドカードです。各規則で複数回入力できます。たとえば、 client-access rule 3 deny type * version 3.* では、バージョン 3.x のソフトウェア リリースを実行しているすべてのクライアント タイプを拒否する、プライオリティ 3 のクライアント アクセス規則が作成されます。

グループポリシーごとに最大 25 の規則を作成できます。

規則のセット全体で 255 文字の制限があります。

クライアントのタイプまたはバージョン(あるいはその両方)を送信しないクライアントには、n/a を入力できます。

規則を削除するには、このコマンドの no 形式を入力します。このコマンドは、次のコマンドと同等です。

hostname(config-group-policy)# client-access-rule 1 deny type "Cisco VPN Client" version 4.0
 

すべての規則を削除するには、引数を指定せずに no client-access-rule コマンドを入力します。これにより、 none キーワードとともに client-access-rule コマンドを発行して作成したヌル規則があればそれも含めて、設定済みのすべての規則が削除されます。

デフォルトでは、アクセス規則はありません。クライアント アクセス規則が存在しない場合、ユーザはデフォルト グループポリシー内に存在する規則を継承します。

ユーザがクライアント アクセス規則を継承しないようにするには、 none キーワードを指定して client-access-rule コマンドを入力します。このコマンドの結果、すべてのタイプとバージョンのクライアントが接続できるようになります。

hostname(config-group-policy)# client-access rule priority {permit | deny} type type version {version | none}
 
hostname(config-group-policy)# no client-access rule [priority {permit | deny} type type version version]
 

表 28-5 に、これらのコマンドのキーワードとパラメータの意味を示します。

 

表 28-5 client-access rule コマンドのキーワードと変数

パラメータ
説明

deny

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を拒否します。

none

クライアント アクセス規則を許可しません。client-access-rule をヌル値に設定して、制限を拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

permit

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を許可します。

priority

規則のプライオリティを決定します。最小の整数値を持つ規則のプライオリティが最も高くなります。したがって、クライアントのタイプまたはバージョン(あるいはその両方)に一致し、最小の整数値を持つ規則が適用されます。それよりもプライオリティの低い規則は、adaptive security applianceでは無視されます。

type type

デバイスのタイプを、「VPN 3002」などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

version version

デバイスのバージョンを、「7.0」などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

次の例は、FirstGroup という名前のグループポリシーにクライアント アクセス規則を作成する方法を示しています。これらの規則は、バージョン 4.x のソフトウェアを実行する Cisco VPN クライアントを許可し、すべての Windows NT クライアントを拒否します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 deny type WinNT version *
hostname(config-group-policy)# client-access-rule 2 permit “Cisco VPN Client” version 4.*
 

) 「type」フィールドは、任意の値が許可される自由形式の文字列ですが、その値は、クライアントが接続時にadaptive security applianceに送信する固定値と一致している必要があります。


クライアントレス SSL VPN セッション用グループポリシー アトリビュート

クライアントレス SSL VPN によってユーザは、ブラウザを使用してadaptive security applianceへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。クライアントレス SSL VPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。adaptive security applianceはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。デフォルトでは、クライアントレス SSL VPN はディセーブルになっています。

特定の内部グループポリシー用のクライアントレス SSL VPN コンフィギュレーションをカスタマイズできます。


) グローバル コンフィギュレーション モードで webvpn モードを入力することによって、クライアントレス SSL VPN セッションのグローバル設定を構成できます。この項で説明する webvpn モード(グループポリシー コンフィギュレーション モードから入る webvpn モード)を使用すると、クライアントレス SSL VPN セッションに固有のグループポリシーのコンフィギュレーションをカスタマイズできます。


グループポリシーの webvpn コンフィギュレーション モードでは、次のパラメータを継承するか、またはカスタマイズするかを指定できます。各パラメータについては、後述のステップで説明します。

customizations

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name

sso server(single-signon server)

auto-signon

deny message

SSL VPN Client(SVC)

keep-alive ignore

HTTP compression

多くの場合、クライアントレス SSL VPN アトリビュートの設定の一部としてwebvpn を定義した後、グループポリシーの webvpn アトリビュートを設定するときにこれらの定義を特定のグループに適用します。グループポリシーの コンフィギュレーション モードで webvpn コマンドを使用して、グループポリシーの webvpn コンフィギュレーション モードに入ります。グループポリシー用の webvpn コマンドは、ファイル、URL、および TCP アプリケーションへのクライアントレス SSL VPN セッション経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。デフォルトでは、クライアントレス SSL VPN はディセーブルになっています。クライアントレス SSL VPN セッションのアトリビュートの設定の詳細については、 第 34 章「クライアントレス SSL VPN の設定」 の説明を参照してください。

グループポリシーの webvpn コンフィギュレーション モードで入力されたすべてのコマンドを削除するには、このコマンドの no 形式を入力します。これらの webvpn コマンドは、設定を行ったユーザ名またはグループポリシーに対して適用されます。

hostname(config-group-policy)# webvpn
hostname(config-group-policy)# no webvpn
 

次の例は、FirstGroup という名前のグループポリシーの webvpn コンフィギュレーション モードに入る方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションは、ログイン時にユーザに表示されるウィンドウの内容を決定します。カスタマイゼーション パラメータは、クライアントレス SSL VPN 設定の一部として設定します。定義済みの Web ページ カスタマイゼーションを適用して、ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するには、グループポリシーの webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-group-webvpn)# customization customization_name
hostname(config-group-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用する場合、次のコマンドを入力します。

hostname(config-group-webvpn)# customization blueborder
hostname(config-group-webvpn)#
 

customization コマンドを webvpn モードで入力して、カスタマイゼーション自体を設定します。

次の例は、「123」という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。次の例は、testpolicy というグループポリシーを定義し、 customization コマンドを入力して、クライアントレス SSL VPN セッションに 123 というカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# group-policy testpolicy nopassword
hostname(config)# group-policy testpolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value 123
hostname(config-group-webvpn)#
 

「拒否」メッセージの指定

クライアントレス SSL VPN セッションに正しくログインしたリモート ユーザに送信されるメッセージを指定できます。リモート ユーザがVPN 特権を持たない場合は、グループポリシーの webvpn コンフィギュレーション モードで deny-message コマンドを入力すると、リモート ユーザに送信されるメッセージを指定できます。

hostname(config-group-webvpn)# deny-message value "message"
hostname(config-group-webvpn)# no deny-message value "message"
hostname(config-group-webvpn)# deny-message none
 

no deny-message value コマンドは、リモート ユーザがメッセージを受信しないように、メッセージ文字列を削除します。

no deny-message none コマンドは、接続プロファイル ポリシーのコンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。

メッセージは、特殊文字、スペース、および句読点を含む英数字で最大 491 文字の長さにできますが、囲みの引用符はカウントされません。テキストは、ログイン時にリモート ユーザのブラウザに表示されます。 deny-message value コマンドに文字列を入力しているときは、コマンドがラップしても入力を続けます。

デフォルトの拒否メッセージは、「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」です。

次の例の最初のコマンドは、Group2 という名前の内部グループポリシーを作成します。後続のコマンドは、そのポリシーに関連付けられている webvpn 拒否メッセージが含まれたアトリビュートを変更します。

hostname(config)# group-policy group2 internal
hostname(config)# group-policy group2 attributes
hostname(config-group)# webvpn
hostname(config-group-webvpn)# deny-message value "Your login credentials are OK. However, you have not been granted rights to use the VPN features. Contact your administrator for more information."
hostname(config-group-webvpn)

クライアントレス SSL VPN セッション用グループポリシー フィルタ アトリビュート

webvpn モードで html-content-filter コマンドを使用して、このグループポリシーのクライアントレス SSL VPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするかどうかを指定します。HTML フィルタリングは、デフォルトでディセーブルです。

コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 none キーワードとともに html-content-filter コマンドを発行して作成したヌル値を含めて、すべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。HTML コンテンツ フィルタを継承しないようにするには、 none キーワードを指定して html-content-filter コマンドを入力します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-group-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-group-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

表 28-6 に、このコマンドで使用するキーワードの意味を示します。

 

表 28-6 filter コマンドのキーワード

キーワード
意味

cookies

イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images

イメージへの参照を削除します(<IMG> タグを削除)。

java

Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none

フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts

スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

次の例は、FirstGroup という名前のグループポリシーに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# html-content-filter java cookies images
hostname(config-group-webvpn)#

ユーザ ホームページの指定

グループポリシーの webvpn コンフィギュレーション モードで homepage コマンドを使用して、このグループのユーザのログイン時に表示される Web ページの URL を指定します。デフォルトのホームページはありません。

homepage none コマンドを発行して作成したヌル値を含めて、設定されているホーム ページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。ホーム ページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、クライアントレス SSL VPN セッションのホームページがないことを示します。これにより、ヌル値が設定されてホーム ページが拒否され、ホーム ページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホームページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

hostname(config-group-webvpn)# homepage {value url-string | none}
hostname(config-group-webvpn)# no homepage
hostname(config-group-webvpn)#

自動サインオンの設定

auto-signon コマンドは、クライアントレス SSL VPN セッションのユーザ用のシングル サインオン方式です。NTLM 認証、基本認証、またはその両方を使用する認証のためにログイン クレデンシャル(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力でき、コマンドは入力順序に従って処理されます(先に入力されたコマンドが優先されます)。

自動サインオン機能は、webvpn コンフィギュレーション、webvpn グループ コンフィギュレーション、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。ユーザ名がグループに優先し、グループがグローバルに優先するという標準的な優先動作が適用されます。選択するモードは、使用する認証の対象範囲によって異なります。

特定のサーバへの特定のユーザの自動サインオンをディセーブルにするには、元の IP ブロックまたは URI を指定してこのコマンドの no 形式を使用します。すべてのサーバへの認証をディセーブルにするには、引数を指定しないで no 形式を使用します。 no オプションを使用すると、値をグループポリシーから継承できます。

次の例では、webvpn コンフィギュレーション モードで入力し、基本認証を使用して、10.1.1.0 から 10.1.1.255 の範囲の IP アドレスを持つサーバへの anyuser という名前のユーザの自動サインオンを設定します。

次の例のコマンドでは、基本認証または NTLM 認証を使用して、クライアントレス SSL VPN セッションのユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに自動サインオンを設定します。

hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
hostname(config-group-webvpn)#
 

次の例のコマンドでは、基本認証または NTLM 認証を使用して、クライアントレス SSL VPN セッションのユーザに対し、サブネット マスク 255.255.255.0 を使用する IP アドレス 10.1.1.0 のサーバへのアクセスに自動サインオンを設定します。

hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type all
hostname(config-group-webvpn)#
 

クライアントレス SSL VPN セッション用アクセス リストの指定

webvpn モードで filter コマンドを使用して、このグループ ポリシーまたはユーザ名でクライアントレス SSL VPN セッションに使用するアクセスリストの名前を指定します。 filter コマンドを入力して指定するまで、クライアントレス SSL VPN セッション アクセス リストは適用されません。

filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、クライアントレス SSL VPN セッション アクセス リストは適用されません。

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL をクライアントレス SSL VPN トラフィックに適用します。

hostname(config-group-webvpn)# filter {value ACLname | none}
hostname(config-group-webvpn)# no filter
 

none キーワードは、 webvpntype アクセス リストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、すでに設定されているアクセス リストの名前を指定します。


) クライアントレス SSL VPN セッションでは、vpn-filter コマンドで定義された ACL を使用しません。


次の例は、FirstGroup という名前のグループポリシーに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# filter acl_in
hostname(config-group-webvpn)#

URL リストの適用

グループポリシーのクライアントレス SSL VPN ホームページに URL のリストを表示するように指定できます。最初に、グローバル コンフィギュレーション モードで url-list コマンドを入力して 1 つ以上の名前付きリストを作成する必要があります。特定のグループポリシーにクライアントレス SSL VPNセッションのサーバと URL のリストを適用して、特定のグループポリシーのリストにある URL にアクセスできるようにするには、グループポリシーの webvpn コンフィギュレーションモードに入って、 url-list コマンドを実行する際に、作成するリストの名前を使用します。デフォルトの URL リストはありません。

url-list none コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを入力します。コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-group-webvpn)# url-list {value name | none} [index]
hostname(config-group-webvpn)# no url-list
 

表 28-7 に、 url-list コマンドのパラメータと意味を示します。

 

表 28-7 url-list コマンドのキーワードと変数

パラメータ
意味

index

ホームページでの表示優先順位を示します。

none

URL リストにヌル値を設定します。デフォルトのグループポリシーまたは指定されているグループポリシーからリストを継承しないようにします。

value name

事前に設定されている URL のリストの名前を指定します。そのようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

次の例では、FirstGroup という名前のグループポリシーに FirstGroupURLs という名前の URL リストを設定し、これがホームページに表示される最初の URL リストになるように指定します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# url-list value FirstGroupURLs 1
hostname(config-group-webvpn)#
 

グループ ポリシーの ActiveX リレーのイネーブル化

ActiveX Relay を使用すると、クライアントレス SSL VPN セッションを確立したユーザはブラウザを使用して Microsoft Office アプリケーションを起動できます。このアプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードやアップロードを行います。ActiveX リレーはクライアントレス SSL VPN セッションを閉じるまで有効です。

クライアントレス SSL VPN セッションに対して ActiveX コントロールをイネーブルまたはディセーブルにするには、グループポリシー webvpn コンフィギュレーション モードで次のコマンドを入力します。

activex-relay { enable | disable }

デフォルト グループポリシーから activex-relay コマンドを継承するには、次のコマンドを入力します。

no activex-relay

次のコマンドでは、特定のグループ ポリシーに関連付けられたクライアントレス SSL VPN セッションに対して ActiveX コントロールをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# activex-relay enable
hostname(config-group-webvpn)
 

グループポリシーのクライアントレス SSL VPN セッションに対するアプリケーション アクセス のイネーブル化

このユーザのアプリケーション アクセスをイネーブルにするには、グループポリシーの webvpn コンフィギュレーション モードで port-forward コマンドを入力します。ポート転送は、デフォルトではディセーブルになっています。

グループポリシーの webvpn コンフィギュレーション モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、クライアントレス SSL VPN セッションでユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

port-forward none コマンドを発行して作成したヌル値を含めて、グループポリシー コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストを別のグループポリシーから継承できます。ポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。 none キーワードは、フィルタリングが実行されないことを示します。これにより、ヌル値が設定されてフィルタリングが拒否され、フィルタリング値が継承されなくなります。

このコマンドのシンタックスは次のとおりです。

hostname(config-group-webvpn)# port-forward {value listname | none}
hostname(config-group-webvpn)# no port-forward
 

キーワード value の後ろの listname 文字列で、クライアントレス SSL VPN セッションのユーザがアクセスできるアプリケーションのリストを指定します。webvpn コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

次の例は、FirstGroup という名前の内部グループポリシーに ports1 というポート転送リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward value ports1
hostname(config-group-webvpn)#

ポート転送表示名の設定

グループポリシーの webvpn コンフィギュレーション モードで port-forward-name コマンドを使用して、特定のユーザまたはグループポリシーでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、コマンドの no 形式を入力します。 no オプションは、デフォルト名の Application Access を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。このコマンドのシンタックスは次のとおりです。

hostname(config-group-webvpn)# port-forward-name {value name | none}
hostname(config-group-webvpn)# no port-forward-name
 

次の例は、 FirstGroup という名前の内部グループポリシーに Remote Access TCP Applications という名前を設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward-name value Remote Access TCP Applications
hostname(config-group-webvpn)#

セッション タイマー更新のために無視する最大オブジェクト サイズの設定

ネットワーク デバイスは、短いキープアライブ メッセージを交換して、デバイス間の仮想回線が引き続きアクティブであることを確認します。これらのメッセージの長さは異なる可能性があります。 keep-alive-ignore コマンドを使用すると、指定したサイズ以下のすべてのメッセージをキープアライブ メッセージと見なし、セッション タイマーの更新時にトラフィックと見なさないようadaptive security applianceに指示できます。範囲は 0 ~ 900 KB です。デフォルトは 4 KB です。

無視する HTTP/HTTPS トラフィックの上限をトランザクションごとに指定するには、グループポリシー アトリビュート webvpn コンフィギュレーション モードで keep-alive-ignore コマンドを使用します。

hostname(config-group-webvpn)# keep-alive-ignore size
hostname(config-group-webvpn)#
 
The no form of the command removes this specification from the configuration:
hostname(config-group-webvpn)# no keep-alive-ignore
hostname(config-group-webvpn)#
 

次の例では、無視するオブジェクトの最大サイズを 5 KB に設定します。

hostname(config-group-webvpn)# keep-alive-ignore 5
hostname(config-group-webvpn)#
 

HTTP 圧縮の指定

グループポリシーの webvpn モードで http-comp コマンドを入力して、特定のグループまたはユーザのクライアントレス SSL VPN セッションで HTTP データの圧縮をイネーブルにします。

hostname(config-group-webvpn)# http-comp {gzip | none}
hostname(config-group-webvpn)#
 

コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。

hostname(config-group-webvpn)# no http-comp {gzip | none}
hostname(config-group-webvpn)#
 

このコマンドのシンタックスは次のとおりです。

gzip: 圧縮がグループまたはユーザに対してイネーブルになることを指定します。これがデフォルト値です。

none: 圧縮がグループまたはユーザに対してディセーブルになることを指定します。

クライアントレス SSL VPN セッションの場合、グローバル コンフィギュレーション モードで設定された compression コマンドは、グループポリシー モードまたはユーザ名 webvpn モードで設定された http-comp コマンドを上書きします。

次の例は、sales というグループポリシーの圧縮をディセーブルにしています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# http-comp none
hostname(config-group-webvpn)#

SSO サーバの指定

クライアントレス SSL VPN セッションだけに使用できるシングル サインオンのサポートを使用すると、ユーザはユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。 sso-server value コマンドをグループポリシーの webvpn モードで入力すると、SSO サーバをグループポリシーに割り当てることができます。

SSO サーバをグループポリシーに割り当てるには、グループポリシーの webvpn コンフィギュレーション モードで sso-server value コマンドを入力します。このコマンドでは、コンフィギュレーションに CA SiteMinder コマンドが含まれている必要があります。

hostname(config-group-webvpn)# sso-server value server_name
hostname(config-group-webvpn)#
 

この割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。デフォルト ポリシーを継承しないようにするには、 sso-server none コマンドを入力します。

hostname(config-group-webvpn)# sso-server {value server_name | none}
hostname(config-group-webvpn)# [no] sso-server value server_name
 

SSO サーバに割り当てられているデフォルト ポリシーは DfltGrpPolicy です。

次の例では、グループポリシー「my-sso-grp-pol」を作成して、「example」という名前の SSO サーバに割り当てます。

hostname(config)# group-policy my-sso-grp-pol internal
hostname(config)# group-policy my-sso-grp-pol attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# sso-server value example
hostname(config-group-webvpn)#
 

SVC の設定

SSL VPN Client(SVC)は、ネットワーク管理者がリモート コンピュータに IPSec VPN をインストールして設定しなくても、リモート ユーザが IPSec VPN クライアントの利点を活用できる VPN トンネリング テクノロジーです。SVC は、リモート コンピュータの既存の SSL 暗号化と、adaptive security applianceのクライアントレス SSL VPN セッション ログインおよび認証を使用します。

SVC セッションを確立するには、リモート ユーザはクライアントレス SSL VPN セッションをサポートするように設定されたセキュリティ アプライアンスのインターフェイスの IP アドレスを入力します。ブラウザはそのインターフェイスに接続してクライアントレス SSL VPN のログイン画面を表示します。ユーザがログインと認証を完了し、ユーザが SVC を 必要 としていることをadaptive security applianceが確認すると、adaptive security applianceは SVC をリモート コンピュータにダウンロードします。adaptive security applianceが、SVC を使用する オプション がユーザにあると確認した場合、adaptive security applianceは、SVC のインストールをスキップするリンクをユーザ画面に表示するとともに、SVC をリモート コンピュータにダウンロードします。

ダウンロードが完了すると、SVC は自動的にインストールと設定を実行します。接続が切断されると(設定に応じて)、SVC はリモート コンピュータに保持されるか、またはリモート コンピュータからアンインストールされます。

adaptive security applianceは、さまざまなリモート コンピュータのオペレーティング システム用に、複数の独自の SVC イメージをキャッシュ メモリ内に備えている場合もあります。ユーザが接続を試みると、adaptive security applianceは、イメージとオペレーティング システムが一致するまで引き続きこれらのイメージの部分をリモート コンピュータにダウンロードできます。一致した時点で、SVC 全体をダウンロードします。接続のセットアップ時間を短縮するため、ダウンロードされる最初のイメージが、最もよく遭遇するリモート コンピュータのオペレーティング システムになるように SVC イメージの順序を指定できます。SVC のインストールと使用の詳細については、 第 35 章「AnyConnect VPN クライアント接続の設定」 を参照してください。

第 35 章「AnyConnect VPN クライアント接続の設定」 に示すように、SVC をイネーブルにした後は、特定のグループの SVC 機能をイネーブルまたは必須にできます。この機能は、デフォルトでディセーブルになっています。SVC をイネーブルまたは必須にすると、この項で説明している一連の svc コマンドをイネーブルにできます。SVC とその関連する svc コマンドをイネーブルにするには、グループポリシーの webvpn コンフィギュレーション モードで次の手順を実行します。


ステップ 1 adaptive security applianceが SVC ファイルをリモート コンピュータにダウンロードできるようにするには、 svc enable コマンドを入力します。このコマンドは、デフォルトではディセーブルになっています。adaptive security applianceは SVC ファイルをダウンロードしません。このコンフィギュレーションから svc enable コマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc {none | enable | required}
hostname(config-group-webvpn)#
 

no svc enable コマンドを入力しても、アクティブな SVC セッションは終了しません。


hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc enable
hostname(config-group-webvpn)#
 

ステップ 2 SVC 接続経由で特定のグループについて HTTP データの圧縮をイネーブルにするには、svc compression コマンドを入力します。SVC 圧縮は、デフォルトで deflate (イネーブル)に設定されています。特定のグループの圧縮をディセーブルにするには、 none キーワードを使用します。svc compression コマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc compression {deflate | none}
hostname(config-group-webvpn)#
 

次の例では、sales という名前のグループポリシーの SVC 圧縮をディセーブルにします。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc compression none
hostname(config-group-webvpn)#
 

ステップ 3 adaptive security applianceで dead-peer-detection(DPD)をイネーブルにして、SVC またはadaptive security applianceが DPD を実行する頻度を設定するには、 svc dpd-interval コマンドを使用します。このコンフィギュレーションから svc dpd-interval コマンドを削除するには、このコマンドの no 形式を使用します。このグループの SVC DPD をディセーブルにするには、 none キーワードを使用します。

hostname(config-group-webvpn)# svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
hostname(config-group-webvpn)#
 

DPD チェックは、デフォルトでディセーブルになっています。

ゲートウェイは、adaptive security applianceのことです。adaptive security applianceが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、adaptive security applianceが実行する DPD テストはディセーブルになります。

クライアントは、SVC のことです。クライアントが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、クライアントが実行する DPD テストはディセーブルになります。

次の例では、sales という名前の既存のグループポリシーについて、adaptive security appliance(ゲートウェイ)によって実行される DPD の頻度を 3000 秒に設定し、クライアントによって実行される DPD の頻度を 1000 秒に設定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc dpd-interval gateway 3000
hostname(config-group-webvpn)# svc dpd-interval client 1000
hostname(config-group-webvpn)#
 

ステップ 4 接続のアイドル状態を維持できる時間をデバイスが制限している場合でも、プロキシ、ファイアウォール、または NAT デバイスを通じて SVC 接続のオープン状態を維持するように、キープアライブ メッセージの頻度を調整できます( seconds で指定)。

頻度を調整することで、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行していない場合でも、SVC が切断して再接続をしないようにできます。

リモート コンピュータ上の SVC がキープアライブ メッセージをセキュリティ アプライアンスに送信する頻度(15 ~ 600 秒)を設定するには、 svc keepalive コマンドを使用します。コンフィギュレーションからこのコマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc keepalive {none | seconds}
hostname(config-group-webvpn)# no svc keepalive {none | seconds}
hostname(config-group-webvpn)#
 

SVC キープアライブは、デフォルトでディセーブルになっています。キーワード none を使用すると SVC キープアライブ メッセージがディセーブルになります。

次の例では、SVC がキープアライブ メッセージを 300 秒(5 分)の頻度で送信できるようにセキュリティ アプライアンスを設定します。

hostname(config-group-webvpn)# svc keepalive 300
hostname(config-group-webvpn)#
 

ステップ 5 SVC がリモート コンピュータに永続的にインストールされた状態を保つには、installed キーワードを指定して svc keep-installer コマンドを使用します。コマンドをこのコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc keep-installer {installed | none}
hostname(config-group-webvpn)# no svc keep-installer {installed | none}
hostname(config-group-webvpn)#
 

デフォルトでは、SVC の永続的インストールがディセーブルになっています。SVC セッションの終わりに、SVC はリモートコンピュータからアンインストールされます。

次の例では、このグループのリモート コンピュータの SVC インストール状態を維持するようにadaptive security applianceを設定します。

hostname(config-group-webvpn)# svc keep-installer installed
hostname(config-group-webvpn)#
 

ステップ 6 SVC が SVC セッションでキーを再生成できるようにするには、svc rekey コマンドを使用します。キーの再生成をディセーブルにして、コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc rekey {method {ssl | new-tunnel} | time minutes | none}}
hostname(config-group-webvpn)# no svc rekey {method {ssl | new-tunnel} | time minutes | none}}
hostname(config-group-webvpn)#
 

SVC キーの再生成は、デフォルトでディセーブルになっています。

method を new-tunnel に指定すると、SVC キーの再生成中に SVC が新しいトンネルを確立することが指定されます。method を none に指定すると、SVC キーの再生成はディセーブルになります。method を ssl に指定すると、SSL の再ネゴシエーションは SVC キーの再生成中に行われます。method を指定する代わりに、セッションの開始からキーの再生成が行われるまでの時間を 1 ~ 10080(1 週間)の分数で指定できます。

次の例で示すように、コマンドが no 形式の場合は、必要なのは最小限だけです。

hostname(config-username-webvpn)# no svc rekey method
hostname(config-username-webvpn)#
 

ただし、method を new-tunnel に指定する場合は、次のようになります。

hostname(config-username-webvpn)# no svc rekey method new-tunnel
hostname(config-username-webvpn)#
 

しかし、現在の方式は ssl であり、値が一致しないためにコマンドは失敗します。

次の例では、ユーザは、キーの再生成中に SVC が SSL と再ネゴシエートするように設定し、キーの再生成がセッション開始の 30 分後に発生するように設定しています。

hostname(config-group-webvpn)# svc rekey method ssl
hostname(config-group-webvpn)# svc rekey time 30
hostname(config-group-webvpn)#
 


 

ユーザ アトリビュートの設定

この項では、ユーザ アトリビュートとその設定方法について説明します。この章は、次の項で構成されています。

「ユーザ名のコンフィギュレーションの表示」

「特定ユーザのアトリビュートの設定」

デフォルトでは、ユーザは、割り当てられているグループポリシーからすべてのユーザ アトリビュートを継承します。また、adaptive security applianceでは、ユーザ レベルで個別にアトリビュートを割り当て、そのユーザに適用されるグループポリシーの値を上書きできます。たとえば、すべてのユーザに営業時間内のアクセスを許可し、特定のユーザに 24 時間のアクセスを許可するグループポリシーを指定できます。

ユーザ名のコンフィギュレーションの表示

すべてのユーザ名のコンフィギュレーションを、グループポリシーから継承したデフォルト値も含めて表示するには、次のように、 all キーワードを指定して show running-config username コマンドを入力します。

hostname# show running-config all username
hostname#
 

このコマンドは、すべてのユーザまたは特定のユーザ(ユーザ名を指定した場合)の暗号化されたパスワードと特権レベルを表示します。 all キーワードを省略すると、明示的に設定された値だけがリストに表示されます。次の例は、このコマンドで testuser というユーザを指定した場合の出力を示します。

hostname# show running-config all username testuser
username testuser password 12RsxXQnphyr/I9Z encrypted privilege 15
 

特定ユーザのアトリビュートの設定

特定のユーザを設定するには、 username コマンドを使用してユーザ名モードに入り、ユーザにパスワード(パスワードなしも可)とアトリビュートを割り当てます。指定しなかったすべてのアトリビュートは、グループポリシーから継承されます。

内部ユーザ認証データベースは、 username コマンドを使用して入力されたユーザで構成されています。 login コマンドは、このデータベースを認証に使用します。adaptive security applianceのデータベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、このコマンドの no 形式を使用して削除するユーザ名を指定します。すべてのユーザ名を削除するには、ユーザ名を指定せずに clear configure username コマンドを使用します。

ユーザのパスワードと特権レベルの設定

ユーザにパスワードと特権レベルを割り当てるには、 username コマンドを入力します。 nopassword キーワードを入力して、そのユーザにパスワードが不要であることを指定することもできます。パスワードを指定する場合は、そのパスワードを暗号化形式で保存するかどうかを指定できます。

オプションの privilege キーワードにより、そのユーザの特権レベルを設定できます。特権レベルの範囲は 0(最低)~ 15 です。一般に、システム管理者は最高の特権レベルを持ちます。デフォルトのレベルは 2 です。

hostname(config)# username name {nopassword | password password [encrypted]} [privilege priv_level]}
 
hostname(config)# no username [name]
 

表 28-8 に、このコマンドで使用するキーワードと変数の意味を示します。

表 28-8 username コマンドのキーワードと変数

 

キーワード/変数
意味

encrypted

パスワードの暗号化を指定します。

name

ユーザの名前を指定します。

nopassword

このユーザにパスワードが不要であることを指定します。

password password

このユーザにパスワードが存在することを示し、パスワードを指定します。

privilege priv_level

このユーザの特権レベルを設定します。範囲は 0 ~ 15 です。この数値が低いほど、コマンドの使用やadaptive security applianceの管理に関する機能が限定されます。デフォルトの特権レベルは 2 です。システム管理者の通常の特権レベルは 15 です。

デフォルトでは、このコマンドで追加する VPN ユーザにはアトリビュートやグループポリシーは関連付けられません。すべての値を明示的に設定する必要があります。

次の例は、暗号化されたパスワードが pw_12345678 で、特権レベルが 12 の anyuser という名前のユーザを設定する方法を示しています。

hostname(config)# username anyuser password pw_12345678 encrypted privilege 12
hostname(config)#

ユーザ アトリビュートの設定

ユーザのパスワード(存在する場合)と特権レベルを設定したら、その他のアトリビュートを設定します。これらは任意の順序で設定できます。任意のアトリビュートと値のペアを削除するには、該当コマンドの no 形式を入力します。

attributes キーワードを指定して username コマンドを入力し、ユーザ名モードに入ります。

hostname(config)# username name attributes
hostname(config-username)#
 

プロンプトが変化し、新しいモードになったことが示されます。これでアトリビュートを設定できます。

VPN ユーザ アトリビュートの設定

VPN ユーザ アトリビュートは、次の項で説明するように、VPN 接続に固有の値を設定します。

継承の設定

ユーザが、それまでにユーザ レベルで設定されていないアトリビュートの値をグループポリシーから継承するようにできます。このユーザがアトリビュートを継承するグループポリシーの名前を指定するには、 vpn-group-policy コマンドを入力します。デフォルトでは、VPN ユーザにはグループポリシーが関連付けられていません。

hostname(config-username)# vpn-group-policy group-policy-name
hostname(config-username)# no vpn-group-policy group-policy-name
 

ユーザ名モードで使用できるアトリビュートの場合、ユーザ名モードでアトリビュートを設定すると、特定のユーザに関してグループポリシーにおけるそのアトリビュートの値を上書きできます。

次の例は、anyuser という名前のユーザが FirstGroup という名前のグループポリシーのアトリビュートを使用するように設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup
hostname(config-username)#
 

アクセス時間の設定

設定済みの time-range ポリシーの名前を指定して、このユーザがシステムへのアクセスを許可される時間を関連付けます。

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、time-range の値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを入力します。デフォルトでは、アクセスは無制限です。

hostname(config-username)# vpn-access-hours value {time-range | none}
hostname(config-username)# vpn-access-hours value none
hostname(config)#
 

次の例は、anyuser という名前のユーザを 824 と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-access-hours 824
hostname(config-username)#
 

最大同時ログイン数の設定

このユーザに許可される同時ログインの最大数を指定します。範囲は 0 ~ 2147483647 です。デフォルトの同時ログイン数は 3 です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

hostname(config-username)# vpn-simultaneous-logins integer
hostname(config-username)# no vpn-simultaneous-logins
hostname(config-username)#
 

) 同時ログインの最大数の制限は非常に大きいですが、複数の同時ログインの許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼすおそれがあります。


次の例は、anyuser という名前のユーザに最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-simultaneous-logins 4
hostname(config-username)#
 

アイドル タイムアウトの設定

アイドル タイムアウト期間を分単位で指定するか、 none を入力してアイドル タイムアウトをディセーブルにします。この期間中に接続上で通信アクティビティがまったくなかった場合、adaptive security applianceは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトは 30 分です。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-idle-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-idle-timeout {minutes | none}
hostname(config-username)# no vpn-idle-timeout
hostname(config-username)#
 

次の例は、anyuser という名前のユーザに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-idle-timeout 30
hostname(config-username)#
 

最大接続時間の設定

ユーザの最大接続時間を分単位で指定するか、 none を入力して無制限の接続時間を許可し、このアトリビュートの値を継承しないようにします。この期間が終了すると、adaptive security applianceは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトのタイムアウトはありません。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-session-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-session-timeout {minutes | none}
hostname(config-username)# no vpn-session-timeout
hostname(config-username)#
 

次の例は、anyuser という名前のユーザに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-session-timeout 180
hostname(config-username)#
 

ACL フィルタの適用

VPN 接続用のフィルタとして使用する、設定済みのユーザ固有の ACL の名前を指定します。アクセスリストを拒否し、グループポリシーからアクセスリストを継承しないようにするには、none キーワードを指定して vpn-filter コマンドを入力します。 vpn - filter none コマンドを発行して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。このコマンドには、デフォルトの動作や値はありません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを使用して、これらの ACL を適用します。

hostname(config-username)# vpn-filter {value ACL_name | none}
hostname(config-username)# no vpn-filter
hostname(config-username)#
 

) クライアントレス SSL VPN では、vpn-filter コマンドで定義された ACL を使用しません。


次の例は、anyuser という名前のユーザに対して acl_vpn という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-filter value acl_vpn
hostname(config-username)#
 

IP アドレスとネットマスクの指定

特定のユーザに割り当てる IP アドレスとネットマスクを指定します。IP アドレスを削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-framed-ip-address {ip_address}
hostname(config-username)# no vpn-framed-ip-address
hostname(config-username)
 

次の例は、anyuser という名前のユーザに IP アドレス 10.92.166.7 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7
hostname(config-username)
 

前の手順で指定した IP アドレスに使用するネットワーク マスクを指定します。 no vpn-framed-ip-address コマンドを使用した場合は、ネットワーク マスクを指定しないでください。サブネット マスクを削除するには、このコマンドの no 形式を入力します。デフォルトの動作や値はありません。

hostname(config-username)# vpn-framed-ip-netmask {netmask}
hostname(config-username)# no vpn-framed-ip-netmask
hostname(config-username)
 

次の例は、anyuser という名前のユーザに、サブネット マスク 255.255.255. 254 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
hostname(config-username)
 

トンネル プロトコルの指定

このユーザが使用できる VPN トンネルのタイプ(IPSec またはクライアントレス SSL VPN)を指定します。デフォルトは、デフォルト グループポリシーから取得される値で、IPSec になります。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-tunnel-protocol {webvpn | IPSec}
hostname(config-username)# no vpn-tunnel-protocol [webvpn | IPSec]
hostname(config-username)
 

このコマンドのパラメータの値は、次のとおりです。

IPSec: 2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn :HTTP 対応 Web ブラウザ経由でリモート ユーザにクライアントレス SSL VPN アクセスを提供します。クライアントは不要です。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、anyuser という名前のユーザにクライアントレス SSL VPN および IPSec トンネリング モードを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-tunnel-protocol webvpn
hostname(config-username)# vpn-tunnel-protocol IPSec
hostname(config-username)
 

リモート ユーザ アクセスの制限

value キーワードを指定して group-lock アトリビュートを設定することにより、指定した既存の接続プロファイルだけを介してアクセスするようにリモート ユーザを制限します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられている接続プロファイルと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、adaptive security applianceはそのユーザによる接続を禁止します。group-lock を設定しない場合、adaptive security applianceは割り当てられているグループを考慮せずに、ユーザを認証します。

group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値をグループポリシーから継承できます。group-lock をディセーブルにし、デフォルトまたは指定されたグループポリシーから group-lock の値を継承しないようにするには、 none キーワードを指定して group-lock コマンドを入力します。

hostname(config-username)# group-lock {value tunnel-grp-name | none}
hostname(config-username)# no group-lock
hostname(config-username)
 

次の例は、anyuser という名前のユーザにグループ ロックを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# group-lock value tunnel-group-name
hostname(config-username)
 

ソフトウェア クライアント ユーザのパスワード保存のイネーブル化

ユーザがログイン パスワードをクライアント システム上に保存するかどうかを指定します。パスワード保存は、デフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムだけでイネーブルにします。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを入力します。password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、password-storage の値をグループポリシーから継承できます。

hostname(config-username)# password-storage {enable | disable}
hostname(config-username)# no password-storage
hostname(config-username)
 

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証では動作しません。

次の例は、anyuser という名前のユーザでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# password-storage enable
hostname(config-username)
 

特定のユーザに対するクライアントレス SSL VPN の設定

次の各項では、クライアントレス SSL VPN の特定のユーザの設定をカスタマイズする方法について説明します。ユーザ名のコンフィギュレーション モードで webvpn コマンドを使用して、ユーザ名の webvpn コンフィギュレーション モードに入ります。クライアントレス SSL VPN によってユーザは、ブラウザを使用してadaptive security applianceへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。クライアントレス SSL VPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。adaptive security applianceはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ユーザ名の webvpn コンフィギュレーション モード コマンドは、ファイル、URL、および TCP アプリケーションへのクライアントレス SSL VPN セッション経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。デフォルトでは、クライアントレス SSL VPN はディセーブルになっています。これらの webvpn コマンドは、設定を行ったユーザ名に適用されます。プロンプトが変化して、ユーザ名の webvpn コンフィギュレーション モードに入ったことがわかります。

hostname(config-username)# webvpn
hostname(config-username-webvpn)#
 

ユーザ名の webvpn コンフィギュレーション モードで入力されたすべてのコマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-username)# no webvpn
hostname(config-username)#
 

電子メール プロキシを使用するためにクライアントレス SSL VPN を設定する必要はありません。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。クライアントレス SSL VPN セッションによってアプリケーション アクセスを実現するポート転送やスマート トンネル機能のいずれも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。


) グローバル コンフィギュレーション モードで webvpn モードを入力することによって、クライアントレス SSL VPN セッションのグローバル設定を構成できます。この項で説明する webvpn モード(ユーザ名モードから入るユーザ名 webvpn コンフィギュレーション モード)を使用すると、クライアントレス SSL VPN セッションに固有の特定のユーザのコンフィギュレーションをカスタマイズできます。


ユーザ名の webvpn コンフィギュレーション モードでは、次のパラメータをカスタマイズできます。各パラメータについては、後述のステップで説明します。

customizations

deny message

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name

sso server(single-signon server)

auto-signon

SSL VPN Client(SVC)

keep-alive ignore

HTTP compression

次の例は、ユーザ名 anyuser のアトリビュートのユーザ名の webvpn コンフィギュレーション モードに入る方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)#
 

HTML からフィルタリングするコンテンツとオブジェクトの指定

このユーザのクライアントレス SSL VPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするには、ユーザ名の webvpn コンフィギュレーション モードで html-content-filter コマンドを入力します。コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 html-content-filter none コマンドを発行して作成したヌル値を含めて、設定済みのすべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。HTML コンテンツ フィルタを継承しないようにするには、 html-content-filter none コマンドを入力します。HTML フィルタリングは、デフォルトでディセーブルです。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-username-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-username-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

このコマンドで使用するキーワードは、次のとおりです。

cookies: イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images: イメージへの参照を削除します(<IMG> タグを削除)。

java: Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none: フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts: スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

 

次の例は、anyuser という名前のユーザに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# html-content-filter java cookies images
hostname(config-username-webvpn)#
 

ユーザ ホームページの指定

クライアントレス SSL VPN セッションへのユーザのログイン時に表示される Web ページの URL を指定するには、ユーザ名の webvpn コンフィギュレーション モードで homepage コマンドを入力します。 homepage none コマンドを発行して作成したヌル値を含めて、設定されているホーム ページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。ホーム ページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、クライアントレス SSL VPN ホームページがないことを示します。これにより、ヌル値が設定されてホーム ページが拒否され、ホーム ページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホームページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

デフォルトのホームページはありません。

hostname(config-username-webvpn)# homepage {value url-string | none}
hostname(config-username-webvpn)# no homepage
hostname(config-username-webvpn)#
 

次の例は、anyuser という名前のユーザのホームページとして www.example.com を指定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# homepage value www.example.com
hostname(config-username-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションは、ログイン時にユーザに表示されるウィンドウの内容を決定します。カスタマイゼーション パラメータは、クライアントレス SSL VPN 設定の一部として設定します。以前定義した Web ページ カスタマイゼーションを適用して、ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するには、ユーザ名の webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-username-webvpn)# customization {none | value customization_name}
hostname(config-username-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用する場合、次のコマンドを入力します。

hostname(config-username-webvpn)# customization value blueborder
hostname(config-username-webvpn)#
 

customization コマンドを webvpn モードで入力して、カスタマイゼーション自体を設定します。

次の例は、「123」という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。次に、test というトンネルグループを定義し、 customization コマンドを入力して、123 というカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# username testuser nopassword
hostname(config)# username testuser attributes
hostname(config-username-webvpn)# webvpn
hostname(config-username-webvpn)# customization value 123
hostname(config-username-webvpn)#
 

「拒否」メッセージの指定

クライアントレス SSL VPN セッションに正しくログインしたリモート ユーザに送信されるメッセージを指定できます。リモート ユーザが VPN 特権を持たない場合は、ユーザ名の webvpn コンフィギュレーション モードで deny-message コマンドを入力すると、リモート ユーザに送信されるメッセージを指定できます。

hostname(config-username-webvpn)# deny-message value "message"
hostname(config-username-webvpn)# no deny-message value "message"
hostname(config-username-webvpn)# deny-message none
 

no deny-message value コマンドは、リモート ユーザがメッセージを受信しないように、メッセージ文字列を削除します。

no deny-message none コマンドは、接続プロファイル ポリシーのコンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。

メッセージは、特殊文字、スペース、および句読点を含む英数字で最大 491 文字の長さにできますが、囲みの引用符はカウントされません。テキストは、ログイン時にリモート ユーザのブラウザに表示されます。 deny-message value コマンドに文字列を入力しているときは、コマンドがラップしても入力を続けます。

デフォルトの拒否メッセージは、「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」です。

次の例の最初のコマンドは、ユーザ名モードに入り、anyuser という名前のユーザにアトリビュートを設定します。後続のコマンドは、ユーザ名の webvpn コンフィギュレーション モードに入り、そのユーザに関連付けられている拒否メッセージを変更します。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# deny-message value "Your login credentials are OK. However, you have not been granted rights to use the VPN features. Contact your administrator for more information."
hostname(config-username-webvpn)
 

クライアントレス SSL VPN セッション用アクセス リストの指定

このユーザのクライアントレス SSL セッションに使用するアクセスリストの名前を指定するには、ユーザ名の webvpn コンフィギュレーション モードで filter コマンドを入力します。 filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、クライアントレス SSL VPN セッション アクセス リストは適用されません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL をクライアントレス SSL VPN トラフィックに適用します。

hostname(config-username-webvpn)# filter {value ACLname | none}
hostname(config-username-webvpn)# no filter
hostname(config-username-webvpn)#
 

none キーワードは、 webvpntype アクセス リストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、すでに設定されているアクセス リストの名前を指定します。


) クライアントレス SSL VPN では、vpn-filter コマンドで定義された ACL を使用しません。


次の例は、anyuser という名前のユーザに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# filter acl_in
hostname(config-username-webvpn)#
 

URL リストの適用

クライアントレス SSL VPN セッションを確立したユーザのホームページに URL のリストを表示するように指定できます。最初に、グローバル コンフィギュレーション モードで url-list コマンドを入力して 1 つ以上の名前付きリストを作成する必要があります。クライアントレス SSL VPN の特定のユーザにサーバと URL のリストを適用するには、ユーザ名の webvpn コンフィギュレーション モードで url-list コマンドを入力します。

url-list none コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを入力します。

hostname(config-username-webvpn)# url-list {listname displayname url | none}
hostname(config-username-webvpn)# no url-list
 

このコマンドで使用するキーワードと変数は、次のとおりです。

displayname :URL の名前を指定します。この名前はクライアントレス SSL VPN セッションのポータル ページに表示されます。

listname :URL をグループ化する名前を指定します。

none :URL のリストが存在しないことを示します。ヌル値を設定して、URL リストを拒否します。URL リストの値を継承しないようにします。

url :クライアントレス SSL VPN のユーザがアクセスできる URL を指定します。

デフォルトの URL リストはありません。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

次の例は、anyuser という名前のユーザに AnyuserURLs という URL リストを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# url-list value AnyuserURLs
hostname(config-username-webvpn)#
 

ユーザの ActiveX リレーのイネーブル化

ActiveX Relay を使用すると、クライアントレス SSL VPN セッションを確立したユーザはブラウザを使用して Microsoft Office アプリケーションを起動できます。このアプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードやアップロードを行います。ActiveX リレーはクライアントレス SSL VPN セッションを閉じるまで有効です。

クライアントレス SSL VPN セッションに対して ActiveX コントロールをイネーブルまたはディセーブルにするには、ユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

activex-relay { enable | disable }

グループポリシーから activex-relay コマンドを継承するには、次のコマンドを入力します。

no activex-relay

次のコマンドでは、特定のユーザ名に関連付けられたクライアントレス SSL VPN セッションに対して ActiveX コントロールをイネーブルにします。

hostname(config-username-policy)# webvpn
hostname(config-username-webvpn)# activex-relay enable
hostname(config-username-webvpn)
 

クライアントレス SSL VPN セッション用アプリケーションアクセスのイネーブル化

このユーザのアプリケーション アクセスをイネーブルにするには、ユーザ名の webvpn コンフィギュレーション モードで port-forward コマンドを入力します。ポート転送は、デフォルトではディセーブルになっています。

port-forward none コマンドを発行して作成したヌル値を含めて、コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストをグループポリシーから継承できます。フィルタリングを拒否してポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。

hostname(config-username-webvpn)# port-forward {value listname | none}
hostname(config-username-webvpn)# no port-forward
hostname(config-username-webvpn)#
 

キーワード value の後ろの listname 文字列で、クライアントレス SSL VPN のユーザがアクセスできるアプリケーションのリストを指定します。コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

ユーザ名の webvpn コンフィギュレーション モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、クライアントレス SSL VPN セッションでユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

次の例は、ports1 というポート転送リストを設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward value ports1
hostname(config-username-webvpn)#
 

ポート転送表示名の設定

ユーザ名の webvpn コンフィギュレーション モードで port-forward-name コマンドを使用して、特定のユーザでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、コマンドの no 形式を入力します。 no オプションは、デフォルト名の Application Access を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。

hostname(config-username-webvpn)# port-forward-name {value name | none}
hostname(config-username-webvpn)# no port-forward-name
 

次の例は、ポート転送名 test を設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward-name value test
hostname(config-username-webvpn)#
 

セッション タイマー更新のために無視する最大オブジェクト サイズの設定

ネットワーク デバイスは、短いキープアライブ メッセージを交換して、デバイス間の仮想回線が引き続きアクティブであることを確認します。これらのメッセージの長さは異なる可能性があります。 keep-alive-ignore コマンドを使用すると、指定したサイズ以下のすべてのメッセージをキープアライブ メッセージと見なし、セッション タイマーの更新時にトラフィックと見なさないようadaptive security applianceに指示できます。範囲は 0 ~ 900 KB です。デフォルトは 4 KB です。

無視する HTTP/HTTPS トラフィックの上限をトランザクションごとに指定するには、グループポリシー アトリビュート webvpn コンフィギュレーション モードで keep-alive-ignore コマンドを使用します。

hostname(config-group-webvpn)# keep-alive-ignore size
hostname(config-group-webvpn)#
 
The no form of the command removes this specification from the configuration:
hostname(config-group-webvpn)# no keep-alive-ignore
hostname(config-group-webvpn)#
 

次の例では、無視するオブジェクトの最大サイズを 5 KB に設定します。

hostname(config-group-webvpn)# keep-alive-ignore 5
hostname(config-group-webvpn)#
 

自動サインオンの設定

NTLM、基本 HTTP 認証、またはその両方を使用する内部サーバに、特定のクライアントレス SSL VPN ユーザのログイン クレデンシャルを自動的に渡すには、ユーザ名の webvpn コンフィギュレーション モードで auto-signon コマンドを入力します。

auto-signon コマンドは、クライアントレス SSL VPN セッションのユーザ用のシングル サインオン方式です。NTLM 認証、基本認証、またはその両方を使用する認証のためにログイン クレデンシャル(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力でき、コマンドは入力順序に従って処理されます(先に入力されたコマンドが優先されます)。

自動サインオン機能は、webvpn コンフィギュレーション、webvpn グループ コンフィギュレーション、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。ユーザ名がグループに優先し、グループがグローバルに優先するという標準的な優先動作が適用されます。選択するモードは、望ましい認証の範囲によって異なります。

特定のサーバへの特定のユーザの自動サインオンをディセーブルにするには、元の IP ブロックまたは URI を指定してこのコマンドの no 形式を使用します。すべてのサーバへの認証をディセーブルにするには、引数を指定しないで no 形式を使用します。 no オプションを使用すると、値をグループポリシーから継承できます。

次の例のコマンドでは、基本認証または NTLM 認証を使用して、anyuser という名前のクライアントレス SSL VPN セッションのユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに自動サインオンを設定します。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 
The following example commands configure auto-signon for a user of clientless SSL VPN named anyuser, using either basic or NTLM authentication, to the server with the IP address 10.1.1.0, using subnet mask 255.255.255.0:
 
hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type all
hostname(config-username-webvpn)#
 

HTTP 圧縮の指定

ユーザ名の webvpn コンフィギュレーション モードで http-comp コマンドを入力し、特定のユーザのクライアントレス SSL VPN セッションで HTTP データの圧縮をイネーブルにします。

hostname(config-username-webvpn)# http-comp {gzip | none}
hostname(config-username-webvpn)#
 

コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。

hostname(config-username-webvpn)# no http-comp {gzip | none}
hostname(config-username-webvpn)#
 

このコマンドのシンタックスは次のとおりです。

gzip: 圧縮がグループまたはユーザに対してイネーブルになることを指定します。これがデフォルト値です。

none: 圧縮がグループまたはユーザに対してディセーブルになることを指定します。

クライアントレス SSL VPN セッションの場合、グローバル コンフィギュレーション モードで設定された compression コマンドは、グループポリシー モードまたはユーザ名 webvpn モードで設定された http-comp コマンドを上書きします。

次の例は、testuser というユーザ名の接続で圧縮をディセーブルにしています。

hostname(config)# username testuser internal
hostname(config)# username testuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# http-comp none
hostname(config-username-webvpn)#

SSO サーバの指定

クライアントレス SSL VPN セッションだけに使用できるシングル サインオンのサポートを使用すると、ユーザはユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。 sso-server value コマンドをユーザ名の webvpn モードで入力すると、SSO サーバをユーザに割り当てることができます。

SSO サーバをユーザに割り当てるには、ユーザ名の webvpn コンフィギュレーション モードで sso-server value コマンドを入力します。このコマンドでは、コンフィギュレーションに CA SiteMinder コマンドが含まれている必要があります。

hostname(config-username-webvpn)# sso-server value server_name
hostname(config-username-webvpn)#
 

この割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。デフォルト ポリシーを継承しないようにするには、 sso-server none コマンドを入力します。

hostname(config-username-webvpn)# sso-server {value server_name | none}
hostname(config-username-webvpn)# [no] sso-server value server_name
 

SSO サーバに割り当てられているデフォルト ポリシーは DfltGrpPolicy です。

次の例では、example という名前の SSO サーバを anyuser という名前のユーザに割り当てます。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value example
hostname(config-username-webvpn)#
 

SVC の設定

SSL VPN Client(SVC)は、ネットワーク管理者がリモート コンピュータに IPSec VPN をインストールして設定しなくても、リモート ユーザが IPSec VPN クライアントの利点を活用できる VPN トンネリング テクノロジーです。SVC は、リモート コンピュータの既存の SSL 暗号化と、adaptive security applianceへのアクセスに必要なログインおよび認証を使用します。

SVC セッションを確立するには、リモート ユーザはクライアントレス SSL VPN セッションをサポートするように設定されたadaptive security applianceのインターフェイスの IP アドレスを入力します。ブラウザはそのインターフェイスに接続してログイン画面を表示します。ユーザがログインと認証を完了し、ユーザが SVC を 必要 としていることをadaptive security applianceが確認すると、adaptive security applianceは SVC をリモート コンピュータにダウンロードします。adaptive security applianceが、SVC を使用する オプション がユーザにあると確認した場合、adaptive security applianceは、SVC のインストールをスキップするリンクをユーザ画面に表示するとともに、SVC をリモート コンピュータにダウンロードします。

ダウンロードが完了すると、SVC は自動的にインストールと設定を実行します。接続が切断されると(設定に応じて)、SVC はリモート コンピュータに保持されるか、またはリモート コンピュータからアンインストールされます。

adaptive security applianceは、さまざまなリモート コンピュータのオペレーティング システム用に、複数の独自の SVC イメージをキャッシュ メモリ内に備えている場合もあります。ユーザが接続を試みると、adaptive security applianceは、イメージとオペレーティング システムが一致するまで引き続きこれらのイメージの部分をリモート コンピュータにダウンロードできます。一致した時点で、SVC 全体をダウンロードします。接続のセットアップ時間を短縮するため、ダウンロードされる最初のイメージが、最もよく遭遇するリモート コンピュータのオペレーティング システムになるように SVC イメージの順序を指定できます。SVC のインストールと使用の詳細については、 第 35 章「AnyConnect VPN クライアント接続の設定」 を参照してください。

第 35 章「AnyConnect VPN クライアント接続の設定」 に示すように、SVC をイネーブルにした後は、特定のユーザの SVC 機能をイネーブルまたは必須にできます。この機能は、デフォルトでディセーブルになっています。SVC をイネーブルまたは必須にすると、この項で説明している一連の svc コマンドをイネーブルにできます。SVC とその関連する svc コマンドをイネーブルにするには、ユーザ名の webvpn コンフィギュレーション モードで次の手順を実行します。


ステップ 1 adaptive security applianceが SVC ファイルをリモート コンピュータにダウンロードできるようにするには、 svc enable コマンドを入力します。このコマンドは、デフォルトではディセーブルになっています。adaptive security applianceは SVC ファイルをダウンロードしません。このコンフィギュレーションから svc enable コマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc {none | enable | required}
hostname(config-username-webvpn)#
 

no svc enable コマンドを入力しても、アクティブな SVC セッションは終了しません。


hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc enable
hostname(config-username-webvpn)#
 

ステップ 2 SVC 接続経由で特定のユーザについて HTTP データの圧縮をイネーブルにするには、svc compression コマンドを入力します。SVC 圧縮は、デフォルトで deflate (イネーブル)に設定されています。特定のユーザの圧縮をディセーブルにするには、 none キーワードを使用します。svc compression コマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc compression {deflate | none}
hostname(config-username-webvpn)#
 

次の例では、sales という名前のユーザ SVC 圧縮をディセーブルにします。

hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc compression none
hostname(config-username-webvpn)#
 

ステップ 3 adaptive security applianceで dead-peer-detection(DPD)をイネーブルにして、SVC またはadaptive security applianceが DPD を実行する頻度を設定するには、 svc dpd-interval コマンドを使用します。このコンフィギュレーションから svc dpd-interval コマンドを削除するには、このコマンドの no 形式を使用します。このユーザの SVC DPD をディセーブルにするには、 none キーワードを使用します。

hostname(config-username-webvpn)# svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
hostname(config-username-webvpn)#
 

DPD チェックは、デフォルトでディセーブルになっています。

ゲートウェイは、adaptive security applianceのことです。adaptive security applianceが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、adaptive security applianceが実行する DPD テストはディセーブルになります。

クライアントは、SVC のことです。クライアントが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、クライアントが実行する DPD テストはディセーブルになります。

次の例では、sales という名前の既存のユーザについて、adaptive security appliance(ゲートウェイ)によって実行される DPD の頻度を 3000 秒に設定し、クライアントによって実行される DPD の頻度を 1000 秒に設定しています。

hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc dpd-interval gateway 3000
hostname(config-username-webvpn)# svc dpd-interval client 1000
hostname(config-username-webvpn)#
 

ステップ 4 接続のアイドル状態を維持できる時間をデバイスが制限している場合でも、プロキシ、ファイアウォール、または NAT デバイスを通じて SVC 接続のオープン状態を維持するように、キープアライブ メッセージの頻度を調整できます( seconds で指定)。

頻度を調整することで、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行していない場合でも、SVC が切断して再接続をしないようにできます。

リモート コンピュータ上の SVC がキープアライブ メッセージをセキュリティ アプライアンスに送信する頻度(15 ~ 600 秒)を設定するには、 svc keepalive コマンドを使用します。コンフィギュレーションからこのコマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc keepalive {none | seconds}
hostname(config-username-webvpn)# no svc keepalive {none | seconds}
hostname(config-username-webvpn)#
 

SVC キープアライブは、デフォルトでディセーブルになっています。キーワード none を使用すると SVC キープアライブ メッセージがディセーブルになります。

次の例では、ユーザは、SVC がキープアライブ メッセージを 300 秒(5 分)の頻度で送信できるようにセキュリティ アプライアンスを設定します。

hostname(config-username-webvpn)# svc keepalive 300
hostname(config-username-webvpn)#
 

ステップ 5 SVC がリモート コンピュータに永続的にインストールされた状態を保つには、installed キーワードを指定して svc keep-installer コマンドを使用します。コマンドをこのコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc keep-installer {installed | none}
hostname(config-username-webvpn)# no svc keep-installer {installed | none}
hostname(config-username-webvpn)#
 

デフォルトでは、SVC の永続的インストールがディセーブルになっています。SVC セッションの終わりに、SVC はリモートコンピュータからアンインストールされます。

次の例では、このユーザのリモート コンピュータの SVC インストール状態を維持するようにadaptive security applianceを設定します。

hostname(config-username-webvpn)# svc keep-installer installed
hostname(config-username-webvpn)#
 

ステップ 6 SVC が SVC セッションでキーを再生成できるようにするには、svc rekey コマンドを使用します。

hostname(config-username-webvpn)# svc rekey {method {ssl | new-tunnel} | time minutes | none}}
 

キーの再生成をディセーブルにして、コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# no svc rekey [method {ssl | new-tunnel} | time minutes | none}]
hostname(config-username-webvpn)#
 

SVC キーの再生成は、デフォルトでディセーブルになっています。

method を new-tunnel に指定すると、SVC キーの再生成中に SVC が新しいトンネルを確立することが指定されます。method を none に指定すると、SVC キーの再生成はディセーブルになります。method を ssl に指定すると、SSL の再ネゴシエーションは SVC キーの再生成中に行われます。method を指定する代わりに、セッションの開始からキーの再生成が行われるまでの時間を 1 ~ 10080(1 週間)の分数で指定できます。

コマンドの no 形式の場合は、必要最小限の指定をします。適正な例は、次のとおりです。

hostname(config-username-webvpn)# no svc rekey method
hostname(config-username-webvpn)#
 

ただし、method を new-tunnel に指定する場合は、次のようになります。

hostname(config-username-webvpn)# no svc rekey method new-tunnel
hostname(config-username-webvpn)#
 

現在の method が ssl である場合、値が一致しないためにコマンドは失敗します。

次の例では、ユーザは、キーの再生成中に SVC が SSL と再ネゴシエートするように設定し、キーの再生成がセッション開始の 30 分後に発生するように設定しています。

hostname(config-username-webvpn)# svc rekey method ssl
hostname(config-username-webvpn)# svc rekey time 30
hostname(config-username-webvpn)#