Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
ネットワーク アドミッション コントロールの 設定
ネットワーク アドミッション コントロールの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ネットワーク アドミッション コントロールの設定

概要

使用方法、要件、および制限

セキュリティ アプライアンスの NAC ポリシーの表示

NAC ポリシーの追加、アクセス、または削除

NAC ポリシーの設定

Access Control Server グループの指定

Query-for-Posture-Changes タイマーの設定

再検証タイマーの設定

NAC 用デフォルト ACL の設定

NAC 免除の設定

グループポリシーへの NAC ポリシーの割り当て

グローバルな NAC Framework 設定の変更

クライアントレス認証設定の変更

クライアントレス認証のイネーブル化とディセーブル化

クライアントレス認証に使用するログイン クレデンシャルの変更

NAC Framework セッション アトリビュートの変更

概要

ネットワーク アドミッション コントロールは、実働状態でのネットワーク アクセスの条件として、エンドポイントにおける準拠性チェックと脆弱性チェックを実行することで、ワーム、ウイルス、および危険なアプリケーションの侵入や感染から企業ネットワークを保護します。これらのチェックは、ポスチャ検証と呼ばれます。ポスチャ検証を設定して、イントラネット上の脆弱なホストへのアクセスを提供する前に、IPSec セッションまたは WebVPN セッションを行っているホスト上のアンチウイルス ファイル、パーソナル ファイアウォール規則、または侵入予防ソフトウェアが最新の状態であることを確認できます。ポスチャ検証では、リモート ホストで実行中のアプリケーションが最新のパッチでアップデートされていることを確認できます。Network Admission Control(NAC; ネットワーク アドミッション コントロール)は、ユーザ認証とトンネルのセットアップ後にだけ発生します。NAC は、家庭用 PC などの自動ネットワーク ポリシー強制の対象ではないホストから企業ネットワークを保護するのに特に役立ちます。

エンドポイントと適応型セキュリティ アプライアンス間でトンネルを確立すると、ポスチャ検証がトリガーされます。

クライアントがポスチャ検証の要求に応答しない場合は、適応型セキュリティ アプライアンスを設定して、そのクライアントの IP アドレスをオプションの監査サーバに渡すことができます。Trend サーバなどの監査サーバは、ホストのヘルスを評価するために、ホスト IP アドレスを使用してホストを直接調べます。たとえば、ホストのウイルス チェック ソフトウェアがアクティブであり、最新であるかどうかを判断するためにホストを調べることがあります。監査サーバは、リモート ホストとの交信を完了すると、リモート ホストのヘルスを示すトークンをポスチャ検証サーバに渡します。

ポスチャ検証が成功する、またはリモート ホストが正常であることを示すトークンを受信すると、ポスチャ検証サーバは、トンネル上のトラフィックに対するアプリケーション用のネットワーク アクセス ポリシーを適応型セキュリティ アプライアンスに送信します。

適応型セキュリティ アプライアンスを含む NAC Framework のコンフィギュレーションには、クライアントで実行されている Cisco Trust Agent だけがポスチャ エージェントの役割を果たすことができ、Cisco Access Control Server(ACS)だけがポスチャ検証サーバの役割を果たすことができます。ACS はダイナミック Access Control List(ACL; アクセス コントロール リスト)を使用して、各クライアントのアクセス ポリシーを決定します。

RADIUS サーバである ACS は、ポスチャ検証サーバとしての役割を果たすことに加え、トンネルの確立に必要なログイン クレデンシャルを認証できます。


) 適応型セキュリティ アプライアンスに設定されている NAC Framework ポリシーだけが、監査サーバの使用をサポートしています。


ACS はそのポスチャ検証サーバとしての役割において、アクセス コントロール リストを使用します。ポスチャ検証が成功し、ACS によって、適応型セキュリティ アプライアンスに送信するアクセス ポリシーの一部としてリダイレクト URL が指定されると、適応型セキュリティ アプライアンスは、リモート ホストからのすべての HTTP 要求と HTTPS 要求をリダイレクト URL にリダイレクトします。ポスチャ検証サーバによってアクセス ポリシーが適応型セキュリティ アプライアンスにアップロードされると、関連するすべてのトラフィックはその宛先に到達するためにセキュリティ アプライアンスと ACS(またはその逆も同じ)の両方を通過する必要があります。

IPSec または WebVPN クライアントと適応型セキュリティ アプライアンス間のトンネルが確立されると、NAC Framework ポリシーがグループポリシーに割り当てられている場合、ポスチャ検証がトリガーされます。ただし、NAC Framework ポリシーでは、ポスチャ検証を免除されているオペレーティング システムを特定し、そのようなトラフィックをフィルタリングするためにオプションの ACL を指定できます。

使用方法、要件、および制限

NAC をサポートするように設定すると、適応型セキュリティ アプライアンスは、Cisco Secure Access Control Server のクライアントとして機能します。そのため、NAC 認証サービスを提供するために、ネットワーク上に少なくとも 1 台の Access Control Server をインストールする必要があります。

ネットワークに 1 つまたは複数の Access Control Server を設定した後で、 aaa-server コマンドを使用して Access Control Server グループに名前を付ける必要があります。次に、「NAC ポリシーの設定」の説明に従ってください。

NAC Framework に対する ASA サポートは、リモートアクセス IPSec セッションおよび WebVPN クライアント セッションに限定されます。NAC Framework コンフィギュレーションは、シングルモードだけをサポートしています。

ASA 上の NAC は、レイヤ 3(非 VPN)トラフィックと IPv6 トラフィックはサポートしていません。

セキュリティ アプライアンスの NAC ポリシーの表示

グループポリシーに割り当てる NAC ポリシーを設定する前に、適応型セキュリティ アプライアンスにすでに設定されている可能性があるポリシーを確認することをお勧めします。これを行うには、特権 EXEC モードで次のコマンドを入力します。

show running-config nac-policy

デフォルト コンフィギュレーションには NAC ポリシーは含まれていませんが、他のユーザがポリシーを追加しているかどうかを判断するにはこのコマンドを入力するのが便利です。他のポリシーがある場合、すでに設定されているポリシーが適していると判断し、NAC ポリシーを設定するセクションを無視することができます。

次の例は、nacframework1 という名前の NAC ポリシーのコンフィギュレーションを示しています。

hostname# show running-config nac-policy
nac-policy nacframework1 nac-framework
default-acl acl-1
reval-period 36000
sq-period 300
exempt-list os "Windows XP" filter acl-2
hostname#
 

各 NAC ポリシーの最初の行は、ポリシーの名前とタイプ(nac-framework)を示しています。 表 67-1 で、 show running-config nac-policy コマンドに対する応答として表示された nac-framework アトリビュートについて説明します。

 

表 67-1 show running-config nac-policy コマンドのフィールド

フィールド
説明

default-acl

NAC デフォルト ACL が、ポスチャ検証の前に適用されています。ポスチャ検証に続き、セキュリティ アプライアンスは、デフォルト ACL をリモート ホストの Access Control Server から取得した ACL に置換します。ポスチャ検証が失敗した場合、適応型セキュリティ アプライアンスにはデフォルト ACL が残ります。

reval-period

NAC Framework セッションで成功した各ポスチャ検証間の秒数です。

sq-period

NAC Framework セッションで成功した各ポスチャ検証とホスト ポスチャ内の変更に対する次のクエリー間の秒数です。

exempt-list

ポスチャ検証を免除されているオペレーティング システムの名前です。リモート コンピュータのオペレーティング システムが名前と一致する場合に、トラフィックをフィルタリングするためのオプションの ACL も表示されます。

authentication-server-group

NAC ポスチャ検証に使用される認証サーバ グループの名前です。

グループポリシーへの NAC ポリシーの割り当てを表示するには、特権 EXEC モードで次のコマンドを入力します。

show nac-policy

グループポリシーへの NAC ポリシーの割り当てのリストに加えて、CLI により、割り当てられていない NAC ポリシー、および各 NAC ポリシーの使用回数が次のように表示されます。

asa2(config)# show nac-policy
nac-policy framework1 nac-framework
applied session count = 0
applied group-policy count = 2
group-policy list: GroupPolicy2 GroupPolicy1
nac-policy framework2 nac-framework is not in use.
asa2(config)#
 

ポリシーがどのグループポリシーにも割り当てられていない場合、CLI により、ポリシー タイプの隣に テキスト「is not in use」 が表示されます。割り当てられている場合は、CLI により、最初の行にポリシー名とタイプ、後続の行にグループポリシーの使用データが表示されます。 表 67-2 で、 show nac-policy コマンド内のフィールドについて説明します。

 

表 67-2 show nac-policy コマンドのフィールド

フィールド
説明

applied session count

この適応型セキュリティ アプライアンスが NAC ポリシーを適用した VPN セッションの累積数です。

applied group-policy count

この適応型セキュリティ アプライアンスが NAC ポリシーを適用したグループポリシーの累積数です。

group-policy list

この NAC ポリシーが割り当てられているグループポリシーのリストです。この場合、グループポリシーが使用されているかどうかによって、このリストに表示されるかどうかが決まるわけではありません。NAC ポリシーが実行コンフィギュレーション内のグループポリシーに割り当てられている場合、そのグループポリシーがこのリストに表示されます。

NAC ポリシーを作成する、またはすでに存在するポリシーを変更するには、次の項を参照してください。

NAC ポリシーの追加、アクセス、または削除

NAC ポリシーを追加または変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

[ no ] nac-policy nac-policy-name nac-framework

コンフィギュレーションから NAC ポリシーを削除するには、このコマンドの no バージョンを使用します。または、 clear configure nac-policy コマンドを入力して、グループポリシーに割り当てられているポリシーを除くすべての NAC ポリシーをコンフィギュレーションから削除することができます。NAC ポリシーを削除する、または変更する準備をするためにこのコマンドを入力する場合、そのポリシーの名前とタイプの両方を指定する必要があります。

nac-policy-name は、新しい NAC ポリシーまたはすでに存在するポリシーの名前です。名前は最大 64 文字の文字列です。 show running-config nac-policy コマンドを使用すると、セキュリティ アプライアンスにすでに存在する各 NAC ポリシーの名前とコンフィギュレーションが表示されます。

nac-framework は、NAC Framework コンフィギュレーションで、リモート ホスト用のネットワーク アクセス ポリシーを提供することを指定します。適応型セキュリティ アプライアンスに NAC Framework サービスを提供するには、ネットワーク上に Cisco Access Control Server が存在する必要があります。このタイプを指定すると、プロンプトは nac-policy-nac-framework コンフィギュレーション モードにいることを示します。このモードでは、NAC Framework ポリシーを設定できます。

NAC Framework ポリシーは複数作成できますが、1 つのグループポリシーに 1 つしか割り当てることはできません。

たとえば、次のコマンドは nac-framework1 という名前の NAC Framework ポリシーを作成し、そのポリシーにアクセスします。

hostname(config)# nac-policy nac-framework1 nac-framework
hostname(config-nac-policy-nac-framework)
 

NAC ポリシーの設定

nac-policy コマンドを使用して NAC Framework ポリシーに名前を付けたら、そのポリシーをグループポリシーに割り当てる前に、次の項の手順に従ってポリシーのアトリビュートに値を割り当てます。

Access Control Server グループの指定

NAC をサポートするためには、少なくとも 1 つの Cisco Access Control Server を設定する必要があります。グループにサーバが 1 台だけ含まれている場合でも、 aaa-server host コマンドを使用して Access Control Server グループに名前を付けます。

AAA サーバ コンフィギュレーションを表示するには、次のコマンドを入力します。

show running-config aaa-server

次に例を示します。

hostname(config)# show running-config aaa-server
aaa-server acs-group1 protocol radius
aaa-server acs-group1 (outside) host 192.168.22.44
key secret
radius-common-pw secret
hostname(config)#
 

nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力して、NAC ポスチャ検証で使用されるグループを指定します。

[ no ] authentication-server-group server-group

NAC ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。

server-group は、 aaa-server host コマンドで指定した server-tag 変数と一致する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

たとえば、acs-group1 を NAS ポスチャ検証に使用される認証サーバ グループとして指定するには、次のコマンドを入力します。

hostname(config-nac-policy-nac-framework)# authentication-server-group acs-group1
hostname(config-nac-policy-nac-framework)
 

Query-for-Posture-Changes タイマーの設定

ポスチャ検証が成功するたびに、適応型セキュリティ アプライアンスはステータス クエリー タイマーを起動します。このタイマーの期限が切れると、直前のポスチャ検証以降のポスチャ変更を確認するクエリーがリモート ホストにトリガーされます。変更がないことを応答が示している場合、ステータス クエリー タイマーがリセットされます。ポスチャに変更があったことを応答が示している場合、無条件のポスチャ再検証がトリガーされます。適応型セキュリティ アプライアンスは、再検証中、現在のアクセス ポリシーを保持します。

デフォルトでは、成功した各ポスチャ検証、ステータス クエリー、および以降の各ステータス クエリーの間隔は 300 秒(5 分)です。ステータス クエリーの間隔を変更するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] sq-period seconds

ステータス クエリー タイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイマーをオフにして、 show running-config nac-policy を入力すると、CLI により、 0 sq-period アトリビュートの隣に表示されます。これはタイマーがオフであることを意味します。

seconds は、30 ~ 1800 秒(5 ~ 30 分)の範囲で指定する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

次の例では、ステータス クエリー タイマーが 1800 秒に変更されます。

hostname(config-group-policy)# sq-period 1800
hostname(config-group-policy)
 

再検証タイマーの設定

ポスチャ検証が成功するたびに、適応型セキュリティ アプライアンスは再検証タイマーを起動します。このタイマーの期限が切れると、次の無条件のポスチャ検証を開始します。適応型セキュリティ アプライアンスは、再検証中、現在のアクセス ポリシーを保持します。

デフォルトでは、成功した各ポスチャ検証間の間隔は 36000 秒(10 時間)です。この間隔を変更するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] reval-period seconds

ステータス クエリー タイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイマーをオフにして、 show running-config nac-policy を入力すると、CLI により、 0 sq-period アトリビュートの隣に表示されます。これはタイマーがオフであることを意味します。

seconds は、300 ~ 86400 秒(5 分~ 24 時間)の範囲で指定する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

たとえば、再検証タイマーを 86400 秒に変更するには次のコマンドを入力します。

hostname(config-nac-policy-nac-framework)# reval-period 86400
hostname(config-nac-policy-nac-framework)
 

NAC 用デフォルト ACL の設定

各グループポリシーは、ポリシーに一致し NAC の対象となるホストに適用されるデフォルト ACL をポイントします。適応型セキュリティ アプライアンスは、NAC デフォルト ACL を適用してからポスチャ検証を実行します。ポスチャ検証に続き、適応型セキュリティ アプライアンスは、デフォルト ACL をリモート ホストの Access Control Server から取得した ACL に置換します。ポスチャ検証が失敗した場合、適応型セキュリティ アプライアンスにはデフォルト ACL が残ります。

適応型セキュリティ アプライアンスは、デフォルトの設定であるクライアントレス認証がイネーブルになっている場合、NAC デフォルト ACL も適用します。

NAC セッションのデフォルト ACL として使用される ACL を指定するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] default-acl acl-name

NAC Framework ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。この場合、 acl-name の指定はオプションです。

acl-name は、セッションに適用されるアクセス コントロール リストの名前です。

次の例では、ポスチャ検証が成功する前に適用される ACL として acl-2 を指定しています。

hostname(config-nac-policy-nac-framework)# default-acl acl-2
hostname(config-nac-policy-nac-framework)
 

NAC 免除の設定

適応型セキュリティ アプライアンスのコンフィギュレーションには、NAC ポスチャ検証免除のリストが保存されます。免除されるオペレーティング システムを指定できます。ACL を指定すると、指定したオペレーティング システムを実行しているクライアントは、ポスチャ検証が免除され、クライアントのトラフィックは ACL の対象になります。

NAC ポスチャ検証を免除されるリモート コンピュータ タイプのリストにエントリを追加するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

no exempt-list コマンドを使用すると、NAC Framework ポリシーからすべての免除が削除されます。このコマンドの no 形式を発行するときにエントリを指定すると、免除リストからそのエントリが削除されます。


) コマンドがオペレーティング システムを指定している場合、免除リストにすでに追加されているエントリを上書きしません。免除する各オペレーティング システムと ACL に対して、コマンドを 1 回だけ入力します。


os を指定すると、オペレーティング システムがポスチャ検証から免除されます。

os-name は、オペレーティング システムの名前です。名前にスペース(「Windows XP」など)が含まれている場合は引用符を使用します。

filter を指定すると、コンピュータのオペレーティング システムが os name と一致する場合、トラフィックをフィルタリングするために ACL が適用されます。filter/ acl-name のペアはオプションです。

disable を指定すると、次の 2 つの機能のいずれかが実行されます。

このキーワードを "os-name" の後に入力すると、適応型セキュリティ アプライアンスは免除を無視して、そのオペレーティング システムを実行しているリモート ホストに NAC ポスチャ検証を適用します。

このキーワードを acl-name の後に入力すると、適応型セキュリティ アプライアンスはそのオペレーティング システムを免除しますが、関連のトラフィックには ACL を適用しません。

acl-name は、適応型セキュリティ アプライアンス コンフィギュレーションにある ACL の名前です。指定する場合は、 filter キーワードの次に続ける必要があります。

たとえば、ポスチャ検証から免除されるコンピュータのリストに Windows XP を実行しているすべてのホストを追加するには、次のコマンドを入力します。

hostname(config-group-policy)# exempt-list os "Windows XP"
hostname(config-group-policy)
 

次の例では、Windows XP を実行しているすべてのホストが免除され、ACL acl-2 がそれらのホストからのトラフィックに適用されます。

hostname(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次の例では、免除リストから同じエントリが削除されます。

hostname(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次の例では、免除リストからすべてのエントリが削除されます。

hostname(config-nac-policy-nac-framework)# no exempt-list
hostname(config-nac-policy-nac-framework)
 

グループポリシーへの NAC ポリシーの割り当て

各トンネルのセットアップを完了すると、グループポリシーに割り当てられている場合、適応型セキュリティ アプライアンスは NAC ポリシーをセッションに適用します。

NAC ポリシーをグループポリシーに割り当てるには、グループポリシー コンフィギュレーション モードで nac-settings コマンドを次のように使用します。

[ no ] nac-settings { value nac-policy-name | none }

no nac-settings は、グループポリシーから nac-policy-name を削除します。グループポリシーは、デフォルト グループポリシーから nac-settings 値を継承します。

nac-settings none は、グループポリシーから nac-policy-name を削除し、このグループポリシーに対する NAC ポリシーの使用をディセーブルにします。グループポリシーは、デフォルト グループポリシーから nac-settings 値を継承しません。

nac-settings value は、指定した NAC ポリシーをグループポリシーに割り当てます。各 NAC ポリシーの名前とコンフィギュレーションを表示するには、 show running-config nac-policy コマンドを入力します。

デフォルトでは、 nac-settings コマンドは、各グループポリシーのコンフィギュレーションには存在しません。適応型セキュリティ アプライアンスは、NAC ポリシーが割り当てられると、グループポリシーの NAC を自動的にイネーブルにします。

次のコマンド例では、framework1 という名前の NAC ポリシーをグループポリシーに割り当てています。

hostname(config-group-policy)# nac-settings value framework1
hostname(config-group-policy)
 

グローバルな NAC Framework 設定の変更

適応型セキュリティ アプライアンスでは、NAC Framework コンフィギュレーションがデフォルトで設定されています。この項の手順に従って、ネットワークの強制ポリシーを順守するようにこれらの設定を調整します。

クライアントレス認証設定の変更

クライアントレス認証に対する NAC Framework のサポートは設定可能です。これは、ポスチャ エージェントの役割を果たす Cisco Trust Agent を持たないホストに適用されます。適応型セキュリティ アプライアンスは、デフォルト アクセス ポリシーを適用し、ポスチャ検証用に Extensible Authentication Protocol(EAP)over User Datagram Protocol(UDP) 要求を送信して、その要求がタイムアウトします。適応型セキュリティ アプライアンスが、Access Control Server からのクライアントレス ホストに対するポリシーを要求するように設定されていない場合、クライアントレス ホストにすでに使用されているデフォルト アクセス ポリシーを保持します。適応型セキュリティ アプライアンスが、Access Control Server からのクライアントレス ホストに対するポリシーを要求するように設定されている場合、そのように要求して、Access Control Server は適応型セキュリティ アプライアンスが実施するアクセス ポリシーをダウンロードします。

クライアントレス認証のイネーブル化とディセーブル化

NAC Framework コンフィギュレーションに対するクライアントレス認証をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

[ no ] eou allow { audit | clientless | none }

audit を指定すると、クライアントレス認証の実行に監査サーバを使用します。

clientless を指定すると、クライアントレス認証の実行に Cisco Access Control Server を使用します。

no は、コンフィギュレーションからコマンドを削除します。

none は、クライアントレス認証をディセーブルにします。

デフォルト コンフィギュレーションには、 eou allow clientless コンフィギュレーションが含まれています。


eou コマンドは、NAC Framework セッションにだけ適用されます。


クライアントレス認証は、デフォルトでイネーブルになっています。

次の例は、クライアントレス認証の実行に監査サーバを使用するように適応型セキュリティ アプライアンスを設定する方法を示しています。

hostname(config)# eou allow audit
hostname(config)#
 

次の例は、監査サーバの使用をディセーブルにする方法を示しています。

hostname(config)# no eou allow audit
hostname(config)#
 

クライアントレス認証に使用するログイン クレデンシャルの変更

クライアントレス認証がイネーブルで、適応型セキュリティ アプライアンスがリモート ホストからの検証要求に対する応答の受信できなかった場合、リモート ホストの代わりに、セキュリティ アプライアンスはクライアントレス認証要求を Access Control Server に送信します。この要求には、Access Control Server でのクライアントレス認証用に設定されたクレデンシャルに一致するログイン クレデンシャルが含まれます。適応型セキュリティ アプライアンスのクライアントレス認証用のデフォルト ユーザ名とパスワードは、Access Control Server のデフォルト ユーザ名とパスワードと一致します。デフォルト ユーザ名とパスワードはいずれも「clientless」です。Access Control Server でこれらの値を変更する場合は、適応型セキュリティ アプライアンスでも変更する必要があります。

クライアントレス認証に使用するユーザ名を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou clientless username username

username は、クライアントレス ホストをサポートする Access Control Server に設定されているユーザ名に一致する必要があります。先頭のスペースと末尾のスペース、ポンド記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、および山カッコ(< と >)を除く、1 ~ 64 文字の ASCII 文字を入力します。

クライアントレス認証に使用するパスワードを変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou clientless password password

password は、クライアントレス ホストをサポートする Access Control Server に設定されているパスワードに一致する必要があります。4 ~ 32 文字の ASCII 文字を入力します。

ユーザ名だけ、パスワードだけ、または両方を指定できます。たとえば、sherlock と 221B-baker それぞれに対するクライアントレス認証のユーザ名とパスワードを変更するには、次のコマンドを入力します。

hostname(config)# eou clientless username sherlock
hostname(config)# eou clientless password 221B-baker
hostname(config)#
 

ユーザ名をそのデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless username

次に例を示します。

hostname(config)# no eou clientless username
hostname(config)#
 

パスワードをそのデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless password

次に例を示します。

hostname(config)# no eou clientless password
hostname(config)#
 

NAC Framework セッション アトリビュートの変更

ASA には、適応型セキュリティ アプライアンスとリモート ホスト間の通信を指定するアトリビュートのデフォルト設定があります。これらのアトリビュートで、リモート ホストのポスチャ エージェントと通信するポート番号、およびポスチャ エージェントとの通信を制限する有効制限カウンタを指定します。これらのアトリビュート、デフォルト設定、およびそれらを変更するために入力できるコマンドは次のとおりです。

ポスチャ エージェントの EAP over UDP の通信に使用するクライアント エンドポイントのポート番号。

デフォルトのポート番号は 21862 です。変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou port port_number

port_number は、CTA で設定されているポート番号に一致する必要があります。値は 1024 ~ 65535 の範囲で入力します。

たとえば、EAP over UDP 通信のポート番号を 62445 に変更するには次のコマンドを入力します。

hostname(config)# eou port 62445
hostname(config)#
 

ポート番号をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou port

次に例を示します。

hostname(config)# no eou port
hostname(config)#
 

再送信リトライ タイマー

適応型セキュリティ アプライアンスは EAP over UDP メッセージをリモート ホストに送信する場合、応答を待ちます。 n 秒以内に応答を受信できない場合、EAP over UDP メッセージを再送信します。デフォルトでは、再送信タイマーは 3 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout retransmit seconds

seconds は、1 ~ 60 の範囲の値です。

次の例では、再送信タイマーを 6 秒に変更します。

hostname(config)# eou timeout retransmit 6
hostname(config)#
 

再送信リトライ タイマーをそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou timeout retransmit

次に例を示します。

hostname(config)# no eou timeout retransmit
hostname(config)#
 

再送信リトライ

適応型セキュリティ アプライアンスは EAP over UDP メッセージをリモート ホストに送信する場合、応答を待ちます。応答を受信できない場合、EAP over UDP メッセージを再送信します。デフォルトでは、3 回まで再送信されます。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou max-retry retries

retries は、1 ~ 3 の範囲の値です。

次の例では、EAP over UDP 再送信の数を 1 に制限します。

hostname(config)# eou max-retry 1
hostname(config)#
 

再送信リトライの最大回数をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou max-retry

次に例を示します。

hostname(config)# no eou max-retry
hostname(config)#
 

セッション再初期化タイマー

再送信リトライ カウンタと max-retry 値が一致すると、適応型セキュリティ アプライアンスはリモート ホストとの EAP over UDP セッションを終了し、保持タイマーを起動します。保持タイマーが n 秒になると、適応型セキュリティ アプライアンスは、リモート ホストとの新しい EAP over UDP セッションを確立します。デフォルトでは、新規セッションを確立するまでの最大待機秒数は 180 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout hold-period seconds

seconds は、60 ~ 86400 の範囲の値です。

たとえば、新しい EAP over UDP アソシエーションを開始するまでの待機期間を 120 秒に変更するには次のコマンドを入力します。

hostname(config)# eou timeout hold-period 120
hostname(config)#
 

セッションの再初期化をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou timeout hold-period

次に例を示します。

hostname(config)# no eou timeout hold-period
hostname(config)#