Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
AAA サーバとローカル データベースの設定
AAA サーバとローカル データベースの設定
発行日;2012/02/07 | 英語版ドキュメント(2011/09/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

AAA サーバとローカル データベースの設定

AAA の概要

認証の概要

認可の概要

アカウンティングの概要

AAA サーバおよびローカル データベースのサポート

サポートの要約

RADIUS サーバのサポート

認証方法

アトリビュートのサポート

RADIUS 認可機能

TACACS+ サーバのサポート

RSA/SDI サーバのサポート

RSA/SDI バージョンのサポート

2 ステップ認証プロセス

RSA/SDI プライマリ サーバおよびレプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

クライアントレス SSL VPN に対する HTTP Forms 認証

ローカル データベースのサポート

ユーザ プロファイル

フォールバック サポート

ローカル データベースの設定

AAA サーバ グループおよびサーバの識別

グループ内の複数のサーバを使用したフォールバックの仕組み

LDAP サーバの設定

LDAP による認証

SASL を使用した LDAP 認証の保護

LDAP サーバ タイプの設定

VPN のための LDAP での認可

認可のための LDAP アトリビュート マッピング

証明書とユーザ ログイン クレデンシャルの使用

ユーザ ログイン クレデンシャルの使用

証明書の使用

Zone Labs Integrity サーバのサポート

Integrity サーバと適応型セキュリティ アプライアンスの相互関係の概要

Integrity サーバのサポートの設定

AAA サーバ モニタリング コマンド

その他の参考資料

関連資料

RFC

AAA サーバの機能履歴

AAA サーバとローカル データベースの設定

この章では、AAA(「トリプル エー」と発音)のサポート、および AAA サーバとローカル データベースの設定方法について説明します。

この章は、次の項目を取り上げます。

「AAA の概要」

「AAA サーバおよびローカル データベースのサポート」

「ローカル データベースの設定」

「AAA サーバ グループおよびサーバの識別」

「LDAP サーバの設定」

「証明書とユーザ ログイン クレデンシャルの使用」

「Zone Labs Integrity サーバのサポート」

「AAA サーバ モニタリング コマンド」

「その他の参考資料」

「AAA サーバの機能履歴」

AAA の概要

AAA によって、適応型セキュリティ アプライアンスが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。

AAA には、ユーザ アクセスに対して、アクセスリストだけを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセスリストを作成できます。一部のユーザだけがサーバにアクセスできるようにする際に、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済みのユーザだけに適応型セキュリティ アプライアンスを介した接続を許可することができます(Telnet サーバもまた、認証を実行します。適応型セキュリティ アプライアンスは、認可されないユーザがサーバにアクセスできないようにします)。

認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。

この項は、次の内容で構成されています。

「認証の概要」

「認可の概要」

「アカウンティングの概要」

認証の概要

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。このクレデンシャルは通常、ユーザ名とパスワードです。次の項目を認証するように、適応型セキュリティ アプライアンスを設定できます。

適応型セキュリティ アプライアンスへのすべての管理接続(この接続には、次のセッションが含まれます)

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

VPN 管理アクセス

enable コマンド

ネットワーク アクセス

VPN アクセス

認可の概要

ユーザの認証後、認可によって ユーザごと にアクセスが制御されます。次の項目を認可するように、適応型セキュリティ アプライアンスを設定できます。

管理コマンド

ネットワーク アクセス

VPN アクセス

認可によって、各認証済みユーザが使用できるサービスおよびコマンドが制御されます。認可をイネーブルにしていない場合は、認証だけで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御が必要な場合、広範な認証規則を設定して、詳細な認可が設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限できます。

適応型セキュリティ アプライアンスはユーザあたり最初の 16 件の認可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、適応型セキュリティ アプライアンスは認可サーバに要求を再送信しません。

アカウンティングの概要

アカウンティングは、適応型セキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。適応型セキュリティ アプライアンスアカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでを経由したバイト数、使用されたサービス、各セッションの継続時間が含まれます。

AAA サーバおよびローカル データベースのサポート

適応型セキュリティ アプライアンスは、さまざまな AAA サーバ タイプおよび適応型セキュリティ アプライアンスに保存されているローカル データベースをサポートします。ここでは、各 AAA サーバ タイプとローカル データベースに関するサポートについて説明します。次の項目を取り上げます。

「サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「RSA/SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「クライアントレス SSL VPN に対する HTTP Forms 認証」

「ローカル データベースのサポート」

サポートの要約

表 32-1 に、各 AAA サービスのサポート状況の要約を AAA サーバ タイプ(ローカル データベースを含む)別に示します。特定の AAA サーバ タイプのサポートの詳細については、表に続く項目を参照してください。

 

表 32-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI(RSA)
NT
Kerberos
LDAP
HTTP Form
認証

VPN ユーザ1

あり

あり

あり

あり

あり

あり

あり

あり2

ファイアウォール セッション

あり

あり

あり

あり

あり

あり

あり

なし

管理者

あり

あり

あり

あり3

あり

あり

あり

なし

認可

VPN ユーザ

あり

あり

なし

なし

なし

なし

あり

なし

ファイアウォール セッション

なし

あり4

あり

なし

なし

なし

なし

なし

管理者

あり5

なし

あり

なし

なし

なし

なし

なし

アカウンティング

VPN 接続

なし

あり

あり

なし

なし

なし

なし

なし

ファイアウォール セッション

なし

あり

あり

なし

なし

なし

なし

なし

管理者

なし

あり6

あり

なし

なし

なし

なし

なし

1.SSL VPN 接続では、PAP または MS-CHAPv2 のいずれかを使用できます。

2.HTTP Form プロトコルでは、クライアントレス SSL VPN ユーザ セッションの場合に限り、認証とシングル サインオン操作の両方がサポートされます。

3.Rivest、Shamir、Adelman(RSA)/Security Dynamics International(SDI)は、ASA5500 ソフトウェア バージョン 8.2(1) 以降を使用した ASDM HTTP 管理アクセス用にサポートされています。

4.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセスリストでだけサポートされます。このアクセスリストは RADIUS 認証応答で受信または指定されます。

5.ローカル コマンド認可は、特権レベルに限りサポートされます。

6.コマンド アカウンティングは、TACACS+ でのみ使用できます。


) 表 1-1 に記載されているネイティブ プロトコル認証のほか、適応型セキュリティ アプライアンスではプロキシ認証がサポートされています。たとえば、適応型セキュリティ アプライアンスは RADIUS サーバ経由で RSA/SDI または Lightweight Directory Access Protocol(LDAP)サーバ、あるいはその両方へのプロキシとして動作することができます。デジタル証明書、またはデジタル証明書と表内の AAA の組み合せ、あるいはその両方による認証もサポートされます。


RADIUS サーバのサポート

適応型セキュリティ アプライアンスでは、適応型セキュリティ アプライアンス自体で利用可能な RADIUS サーバに加えて、次の AAA 用の RADIUS サーバがサポートされています。

Cisco Secure ACS 3.2、4.0、4.1

RSA 認証マネージャ 5.2 および 6.1 の RSA Radius

認証方法

適応型セキュリティ アプライアンスは、RADIUS で次の認証方法をサポートします。

PAP:すべての接続タイプの場合。

CHAP および MS-CHAPv1:L2TP-over-IPsec 接続の場合。

MS-CHAPv2:L2TP-over-IPsec 接続の場合。また、パスワード管理機能がイネーブルで、通常の IPsec リモート アクセス接続の場合。MS-CHAPv2 は、クライアントレス接続でも使用できます。

認証プロキシ モード:RADIUS から Active Directory、RADIUS から RSA/SDI、RADIUS からトークンサーバ、および RSA/SI から RADIUS 接続。


) MS-CHAPv2 を、適応型セキュリティ アプライアンスと RADIUS サーバの間の VPN 接続で使用されるプロトコルとしてイネーブルにするには、トンネル グループ一般アトリビュートでパスワード管理をイネーブルにする必要があります。パスワード管理をイネーブルにすると、適応型セキュリティ アプライアンスから RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、password-management コマンドの説明を参照してください。

二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求アトリビュートが含まれます。RADIUS サーバが MS-CHAPv2 をサポートしない場合は、no mschapv2-capable コマンドを使用して、そのサーバが MS-CHAPv2 以外の認証要求を送信するように設定できます。


アトリビュートのサポート

適応型セキュリティ アプライアンスは、次の RADIUS アトリビュートのセットをサポートします。

RFC 2138 に定義されている認証アトリビュート

RFC 2139 に定義されているアカウンティング アトリビュート

RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS アトリビュート

RADIUS ベンダー ID 9 によって識別される Cisco IOS VSA

RADIUS ベンダー ID 3076 によって識別される Cisco VPN 関連 VSA

RFC 2548 に定義されている Microsoft VSA

RADIUS 認可機能

適応型セキュリティ アプライアンスでは RADIUS サーバを使用して、ダイナミック アクセスリストまたはユーザごとのアクセスリスト名を使用するネットワーク アクセスに対して、ユーザ認可を実行できます。ダイナミック アクセスリストを実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能なアクセスリスト、またはアクセスリスト名が適応型セキュリティ アプライアンスに送信されます。所定のサービスへのアクセスがアクセスリストによって許可または拒否されます。認証セッションの有効期限が切れると、適応型セキュリティ アプライアンスによってアクセスリストが削除されます。

TACACS+ サーバのサポート

適応型セキュリティ アプライアンスは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認証をサポートします。

RSA/SDI サーバのサポート

RSA SecureID サーバは、SDI サーバとも呼ばれます。

この項は、次の内容で構成されています。

「RSA/SDI バージョンのサポート」

「2 ステップ認証プロセス」

「RSA/SDI プライマリ サーバおよびレプリカ サーバ」

RSA/SDI バージョンのサポート

適応型セキュリティ アプライアンスでは、SDI バージョン 5.0 および 6.0 がサポートされています。SDI は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。各プライマリおよびそのレプリカは、シングルノード秘密ファイルを共有します。そのノード秘密ファイルの名前は、.sdi が付加された ACE/サーバ IP アドレスの 16 進数値に基づきます。

適応型セキュリティ アプライアンスに設定するバージョン 5.0 または 6.0 SDI サーバは、プライマリでも、レプリカのいずれか 1 つでもかまいません。ユーザ認証のための SDI エージェントによるサーバの選択方法の詳細については、「RSA/SDI プライマリ サーバおよびレプリカ サーバ」を参照してください。

2 ステップ認証プロセス

SDI バージョン 5.0 および 6.0 は 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求から情報を取り込み、それを使用して別のサーバに認証を証明しないように防止します。エージェントはまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ名をロックして、別の(レプリカ)サーバがユーザ名を受信できないようにします。このアクションは、同じユーザが、同じ認証サーバを同時に使用して、2 つの適応型セキュリティ アプライアンスに認証を証明することができないことを意味します。ユーザ名のロックに成功すると、適応型セキュリティ アプライアンスはパスコードを送信します。

RSA/SDI プライマリ サーバおよびレプリカ サーバ

適応型セキュリティ アプライアンスは、最初のユーザが設定済みサーバ(プライマリでもレプリカでもかまいません)に認証を証明するときに、サーバ リストを取得します。次に、適応型セキュリティ アプライアンスはリスト上の各サーバにプライオリティを割り当て、その後のサーバ選択では、この割り当てられたプライオリティのサーバから無作為に抽出します。最もプライオリティの高いサーバが選択される可能性が高くなります。

NT サーバのサポート

適応型セキュリティ アプライアンスでは、NTLM バージョン 1 をサポートしている Microsoft Windows Server オペレーティング システム(ひとまとめにして「NT サーバ」と呼びます)がサポートされています。


) NT サーバでは、ユーザ パスワードの最大長は 14 文字です。それより長いパスワードは、NTLM バージョン 1 の制限により切り捨てられます。


Kerberos サーバのサポート

適応型セキュリティ アプライアンスは、3DES、DES、および RC4 暗号タイプをサポートしています。


) 適応型セキュリティ アプライアンスは、トンネル ネゴシエーション中のユーザ パスワードの変更はサポートしていません。この状況が意図せずに発生することを回避するために、適応型セキュリティ アプライアンスに接続するユーザの Kerberos/Active Directory サーバでのパスワード期限切れをディセーブルにします。


単純な Kerberos サーバ コンフィギュレーションの例については、 例 32-2(P.32-15) を参照してください。

LDAP サーバのサポート

適応型セキュリティ アプライアンスでは LDAP をサポートしています。詳細については、「LDAP サーバの設定」を参照してください。

クライアントレス SSL VPN に対する HTTP Forms 認証

適応型セキュリティ アプライアンスでは、クライアントレス SSL VPN ユーザ セッションの認証と Single Sign-On(SSO; シングル サインオン)操作だけに HTTP Form プロトコルを使用できます。設定については、「クライアントレス SSL VPN でのシングル サインオンの使用」を参照してください。

ローカル データベースのサポート

適応型セキュリティ アプライアンスは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

この項は、次の内容で構成されています。

「ユーザ プロファイル」

「フォールバック サポート」

ユーザ プロファイル

ユーザ プロファイルには、少なくともユーザ名が含まれています。通常、パスワードはオプションですが、各ユーザ名にパスワードが割り当てられます。

特定のユーザ プロファイルに他の情報を追加するには、次のコマンドを入力します。

 

コマンド
目的
username {name} attributes
 

hostname(config)# username anyuser attributes

hostname(config-username)#

ユーザ名アトリビュートを入力し、特定のユーザに対するアトリビュートの設定を可能にします。追加できる情報には、VPN セッション タイムアウト値など VPN 関連アトリビュートが含まれます。

フォールバック サポート

ローカル データベースは、複数の機能のフォールバック方式として動作できます。この動作は、適応型セキュリティ アプライアンスから誤ってロックアウトされないようにすることを意図しています。

フォールバック サポートを必要とするユーザでは、ローカル データベース内のユーザ名とパスワードと AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。これにより、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカル データベースでサポートされているフォールバック機能は次のとおりです。

コンソールおよびイネーブル パスワード認証: aaa authentication console コマンドを使用する場合、AAA サーバ グループ タグの後に LOCAL キーワードを追加できます。グループ内のサーバがすべて使用可能である場合、適応型セキュリティ アプライアンスではローカル データベースを使用して管理アクセスを認証します。これには、イネーブル パスワード認証が含まれる場合があります。

コマンド認可: aaa authorization コマンドを使用する場合、AAA サーバ グループ タグの後に LOCAL キーワードを追加できます。グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカル データベースが使用されます。

VPN 認証および認可:VPN 認証および認可は、通常この VPN サービスをサポートしている AAA サーバが使用できない場合、適応型セキュリティ アプライアンスへのリモート アクセスをイネーブルにするためにサポートされます。 authentication-server-group コマンド(トンネルグループ一般アトリビュート モードで使用可能)を使用すると、トンネル グループのアトリビュートを設定するときに、 LOCAL キーワードが指定できます。管理者である VPN クライアントが、ローカル データベースへのフォールバックを設定されたトンネル グループを指定する場合、AAA サーバ グループが使用できない場合でも、ローカル データベースが必要なアトリビュートで設定されていれば、VPN トンネルが確立できます。

ローカル データベースの設定

ここでは、ローカル データベース内のユーザの管理方法について説明します。ローカル データベースは、CLI アクセス認証、特権モード認証、コマンド認可、ネットワーク アクセス認証、および VPN 認証および認可に使用できます。ネットワーク アクセス認証には、ローカル データベースは使用できません。ローカル データベースはアカウンティングをサポートしません。

マルチコンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して個々のログインを指定できます。しかし、システム実行スペースでは aaa コマンドは設定できません。

ローカル データベースにユーザ アカウントを定義するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

username user name { nopassword | password password [ mschap ]} [ privilege priv_level ]
 

hostname(config)# username exampleuser1 privilege 1

ユーザ アカウントを作成します。 user name キーワードは、4 ~ 64 文字の文字列です。 password password 引数は、3 ~ 16 文字の文字列です。

mschap キーワードは、パスワードを入力した後に、そのパスワードが Unicode に変換され、MD4 を使用してハッシュされることを示します。ユーザが MSCHAPv1 または MSCHAPv2 を使用して認証されている場合は、このキーワードを使用します。

privilege level 引数では、0 ~ 15 の特権レベルを設定します。デフォルトは 2 です。この特権レベルは、コマンド認可で使用されます。


注意 コマンド認可(aaa authorization console LOCAL コマンド)を使用していない場合、デフォルトのレベル 2 を使用して特権 EXEC モードにアクセスできます。特権 EXEC モードへのアクセスを制限する場合、特権レベルを 0 または 1 に設定するか、または service-type コマンドを使用します(ステップ 4 を参照)。

nopassword キーワードは、パスワードを指定しないユーザ アカウントを作成します。

の出力には次のように表示されます。

username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
 

実際に CLI で encrypted または nt-encrypted キーワードを入力するのは、あるコンフィギュレーション ファイルを他の適応型セキュリティ アプライアンスにカット アンド ペーストして、同じパスワードを使用している場合だけです。

ステップ 2

aaa authorization exec authentication-server
 

hostname(config)# aaa authorization exec authentication-server

(オプション)管理アクセスを認証するユーザに、ユーザ固有のアクセス レベルを強制します( aaa authentication console LOCAL コマンドを参照)。このコマンドにより、ローカル ユーザと、RADIUS、LADA、および TACACS+ で認証されたすべてのユーザの管理認可がイネーブルになります。AAA サーバのユーザを管理認可が有効になるように設定する方法については、「管理認可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

ローカル ユーザの場合、 service-type コマンドを使用してアクセスのレベルを設定します。

ステップ 3

username username attributes
 
hostname(config)# username exampleuser1 attributes

(オプション)ユーザ名アトリビュートを設定します。 username 引数はステップ 1 で作成したユーザ名です。

ステップ 4

service-type { admin | nas-prompt | remote-access }
 

hostname(config-username)# service-type admin

(オプション)ステップ 2 で管理認可を設定した場合は、ユーザ レベルを設定します。 admin キーワードは、 aaa authentication console LOCAL コマンドによって指定されたサービスへのフル アクセスを許可します。デフォルトは admin キーワードです。

nas-prompt キーワードは、 aaa authentication { telnet | ssh | serial} console LOCAL コマンドを設定しているときに CLI へのアクセスを許可しますが、 aaa authentication http console LOCAL コマンドを設定しているときは ASDM へのコンフィギュレーション アクセスを拒否します。ASDM のモニタリング アクセスは許可されます。 aaa authentication enable console LOCAL コマンドを使用して認証をイネーブルにしている場合、ユーザは、 enable コマンド(または login コマンド)を使用して特権 EXEC モードにアクセスできません。

remote-access キーワードは管理アクセスを拒否します。ユーザは、 aaa authentication console LOCAL コマンドで指定されているいずれのサービスも使用できません( serial キーワードは除きます。この場合、シリアル アクセスは許可されます)。

(オプション)VPN 認証にこのユーザ名を使用している場合、そのユーザに多くの VPN アトリビュートを設定できます。詳細については、「特定ユーザのアトリビュートの設定」を参照してください。

次のコマンドは、admin ユーザ アカウントに対して特権レベル 15 を割り当てます。

hostname(config)# username admin password passw0rd privilege 15
 

次のコマンドは、パスワードを指定しないユーザ アカウントを作成します。

hostname(config)# username bcham34 nopassword
 

次のコマンドは、管理認可をイネーブルにし、パスワードを指定するユーザ アカウントを作成し、ユーザ名アトリビュート コンフィギュレーション モードに移行して、service-type アトリビュートを指定します。

hostname(config)# aaa authorization exec authentication-server
hostname(config)# username rwilliams password gOgeOus
hostname(config)# username rwilliams attributes
hostname(config-username)# service-type nas-prompt
 

AAA サーバ グループおよびサーバの識別

認証、認可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバ グループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別されます。各サーバ グループは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。

シングルモードで最大 100 個のサーバ グループ、またはマルチモードでコンテキストごとに 4 つのサーバ グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインすると、サーバの応答があるまで、設定で最初に指定されているサーバから 1 台ずつアクセスが試みられます。グループ内のすべてのサーバが使用できない場合、適応型セキュリティ アプライアンスは、ローカル データベースがフォールバック方式として設定されていると、ローカル データベースに接続しようとします(管理認証および認可限定)。フォールバック方式として設定されていない場合、適応型セキュリティ アプライアンスは引き続き AAA サーバにアクセスしようとします。

グループ内の複数のサーバを使用したフォールバックの仕組み

サーバ グループ内に複数のサーバを設定し、サーバ グループのローカル データベースへのフォールバックをイネーブルにしている場合、適応型セキュリティ アプライアンスからの認証要求に対してグループ内のどのサーバからも応答がないと、フォールバックが発生します。次のシナリオで例証します。

サーバ 1、サーバ 2 の順で、LDAP サーバ グループに 2 台の Active Directory サーバを設定します。リモート ユーザがログインすると、適応型セキュリティ アプライアンスによってサーバ 1 に対する認証が試みられます。

サーバ 1 から認証エラー(「user not found」など)が返されると、適応型セキュリティ アプライアンスによるサーバ 2 に対する認証は試みられません。

タイムアウト期間内にサーバ 1 から応答がないと(または認証回数が、設定されている最大数を超えている場合)、適応型セキュリティ アプライアンスによってサーバ 2 に対する認証が試みられます。

グループ内のどちらのサーバからも応答がなく、適応型セキュリティ アプライアンスにローカル データベースへのフォールバックが設定されている場合、適応型セキュリティ アプライアンスによってローカル データベースに対する認証が試みられます。

サーバ グループを作成して、AAA サーバを追加するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

aaa-server server_group protocol { kerberos | ldap | nt | radius | sdi | tacacs+ }
 

hostname(config)# aaa-server servergroup1 protocol ldap

hostname(config-aaa-server-group)#

サーバ グループ名とプロトコルを識別します。たとえば、RADIUS を使用してネットワーク アクセスを認証し、TACACS+ を使用して CLI アクセスを認証するには、RADIUS サーバ用に 1 つ、TACACS+ サーバ用に 1 つというように、最低 2 つのサーバ グループを作成する必要があります。

最大 15 のシングルモード サーバ グループまたは 4 つのマルチモード サーバ グループを指定できます。各サーバ グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。

aaa-server protocol コマンドを入力する場合は、aaa-server グループ モードに移行します。

ステップ 2

max-failed-attempts number
 

hostname(config-aaa-server-group)# max-failed-attempts 2

次のサーバを試す前にグループ内の AAA サーバに送信する要求の最大数を指定します。 number 引数の範囲は 1 ~ 5 です。デフォルトは 3 です。

ローカル データベースを使用してフォールバック方式を設定し(管理アクセスだけの場合は、「ローカル コマンド認可の設定」および「TACACS+ コマンド認可の設定」を参照してフォールバック メカニズムを設定)、グループ内のすべてのサーバが応答できなかった場合、グループは非応答と見なされ、フォールバック方式が試行されます。サーバ グループで、追加の AAA 要求によるアクセスがない、非応答と見なされる時間が 10 分間(デフォルト)続いたら、ただちにフォールバック方式が使用されます。非応答時間をデフォルトから変更するには、次のステップの reactivation-mode コマンドを参照してください。

フォールバック方式として設定されていない場合、適応型セキュリティ アプライアンスは引き続きグループ内のサーバにアクセスしようとします。

ステップ 3

reactivation-mode { depletion [ deadtime minutes ] | timed }
 

hostname(config-aaa-server-group)# reactivation-mode deadtime 20

グループ内で障害の発生したサーバを再度アクティブ化する方法(再アクティブ化ポリシー)を指定します。

depletion キーワードを指定すると、グループ内のすべてのサーバが非アクティブになった後に、障害の発生したサーバが再度アクティブ化されます。

deadtime minutes 引数には、グループ内の最後のサーバをディセーブルにしてから、次にすべてのサーバを再度イネーブルにするまでの経過時間を分単位で 0 ~ 1440 から指定します。デフォルトは 10 分です。

timed キーワードは、30 秒間のダウンタイムの後に障害が発生したサーバを再度アクティブ化します。

ステップ 4

accounting-mode simultaneous
 
hostname(config-aaa-server-group)# accounting-mode simultaneous

グループ内のすべてのサーバにアカウンティング メッセージを送信します(RADIUS または TACACS+ のみ)。

アクティブ サーバだけ送信メッセージをデフォルトに戻すには、 accounting-mode single コマンドを入力します。

ステップ 5

aaa-server server_group ( interface_name ) host server_ip
 
hostname(config)# aaa-server servergroup1 outside host 10.10.1.1
hostname(config-aaa-server-host)

サーバと、そのサーバが属する AAA サーバ グループを識別します。

aaa-server host コマンドを入力する場合、aaa-server ホスト モードに移行します。必要に応じて、ホスト モード コマンドを使用して、さらに AAA サーバを設定します。

ホスト モードでのコマンドは、すべての AAA サーバ タイプに適用されるわけではありません。 表 32-2 に、使用可能なコマンド、適用先のサーバ タイプ、および新規 AAA サーバ定義にそのコマンドのデフォルト値が指定されているかどうかを示します。コマンドが、指定したサーバ タイプに適用可能で、デフォルト値が用意されていない場合は(「--」で示す)、コマンドを使用して値を指定します。

 

表 32-2 ホスト モード コマンド、サーバ タイプ、およびデフォルト

コマンド
適用可能な AAA サーバ タイプ
デフォルト値

accounting-port

RADIUS

1646

acl-netmask-convert

RADIUS

標準

authentication-port

RADIUS

1645

kerberos-realm

Kerberos

--

key

RADIUS

--

TACACS+

--

ldap-attribute-map

LDAP

--

ldap-base-dn

LDAP

--

ldap-login-dn

LDAP

--

ldap-login-password

LDAP

--

ldap-naming-attribute

LDAP

--

ldap-over-ssl

LDAP

--

ldap-scope

LDAP

--

maschapv2-capable

RADIUS

イネーブル

nt-auth-domain-controller

NT

--

radius-common-pw

RADIUS

--

retry-interval

Kerberos

10 秒

RADIUS

10 秒

SDI

10 秒

sasl-mechanism

LDAP

--

server-port

Kerberos

88

LDAP

389

NT

139

SDI

5500

TACACS+

49

server-type

LDAP

auto-discovery

timeout

すべて

10 秒

例 32-1 に、1 つのプライマリ サーバと 1 つのバックアップ サーバを持つ 1 つの TACACS+ グループ、単一のサーバを持つ 1 つの RADIUS グループ、および 1 つの NT ドメイン サーバを追加するコマンドを示します。

例 32-1 複数の AAA サーバ グループおよびサーバ

hostname(config)# aaa-server AuthInbound protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 2
hostname(config-aaa-server-group)# reactivation-mode depletion deadtime 20
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.1
hostname(config-aaa-server-host)# key TACPlusUauthKey
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.2
hostname(config-aaa-server-host)# key TACPlusUauthKey2
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthOutbound protocol radius
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthOutbound (inside) host 10.1.1.3
hostname(config-aaa-server-host)# key RadUauthKey
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server NTAuth protocol nt
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server NTAuth (inside) host 10.1.1.4
hostname(config-aaa-server-host)# nt-auth-domain-controller primary1
hostname(config-aaa-server-host)# exit
 

例 32-2 に、watchdogs という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加して、そのサーバの Kerberos 領域を定義するコマンドを示します。例 32-2 では、リトライ インターバルと Kerberos サーバがリスンするポートを定義していないため、適応型セキュリティ アプライアンスは、これら 2 つのサーバ固有のパラメータにデフォルト値を使用します。 表 32-2 に、すべての AAA サーバ ホスト モード コマンドのデフォルト値を示します。


) Kerberos 領域名では数字と大文字だけを使用します。適応型セキュリティ アプライアンスは領域名に小文字を受け入れますが、小文字を大文字に変換しません。大文字だけを使用してください。


例 32-2 Kerberos サーバ グループおよびサーバ

hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#

LDAP サーバの設定

ここでは、適応型セキュリティ アプライアンスでユーザ認証および VPN 認可用に LDAP ディレクトリを設定する方法について説明します。次の項目を取り上げます。

「LDAP による認証」

「VPN のための LDAP での認可」

「認可のための LDAP アトリビュート マッピング」

LDAP による認証

認証中、適応型セキュリティ アプライアンスは、ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使って LDAP サーバに対する認証を行います。デフォルトで、適応型セキュリティ アプライアンスは、通常はユーザ名とパスワードである認証パラメータを LDAP サーバにプレーン テキストで渡します。SASL とプレーン テキストのいずれを使用する場合でも、 ldap-over-ssl コマンドを使用して、SSL で適応型セキュリティ アプライアンスと LDAP サーバの間の通信を保護できます。


) SASL を設定しない場合、ldap-over-ssl コマンドを使用して SSL で LDAP 通信を保護することを強くお勧めします。


ユーザ LDAP 認証が成功すると、LDAP サーバは認証されたユーザのアトリビュートを返します。VPN 認証の場合、通常これらのアトリビュートには、VPN セッションに適用される認可データが含まれます。したがって、LDAP を使用すると、認証と認可が 1 つのステップで行われます。

SASL を使用した LDAP 認証の保護

適応型セキュリティ アプライアンスでは、次の SASL メカニズムをサポートしています。次に、強度の低い順番に示します。

Digest-MD5:適応型セキュリティ アプライアンスは、ユーザ名とパスワードから計算した MD5 値を使用して LDAP サーバに応答します。

Kerberos:適応型セキュリティ アプライアンスは、GSSAPI Kerberos メカニズムを使用して、ユーザ名と領域を送信することで LDAP サーバに応答します。

これらの SASL メカニズムの任意の組み合せをサポートするように、適応型セキュリティ アプライアンスと LDAP サーバを設定できます。複数のメカニズムを設定した場合、適応型セキュリティ アプライアンスではサーバに設定されている SASL メカニズムのリストが取得され、認証メカニズムは適応型セキュリティ アプライアンスとサーバの両方に設定されているメカニズムのなかで最も強力なものに設定されます。たとえば、LDAP サーバと適応型セキュリティ アプライアンスの両方がこれら両方のメカニズムをサポートしている場合、適応型セキュリティ アプライアンスは、より強力な方の Kerberos メカニズムを選択します。

次の例では、ldap_dir_1 という名前の LDAP ディレクトリ サーバに対する認証に digest-MD5 SASL メカニズムを使用し、SSL で保護された接続で通信するように適応型セキュリティ アプライアンスを設定します。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# sasl-mechanism digest-md5
hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#
 

LDAP サーバ タイプの設定

適応型セキュリティ アプライアンスでは LDAP バージョン 3 がサポートされており、Sun Microsystems JAVA System Directory Server(従来の Sun ONE Directory Server)、Microsoft Active Directory、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバとの互換性があります。

デフォルトでは、適応型セキュリティ アプライアンスによって Microsoft Active Directory、Sun LDAP、Novell、OpenLDAP、または汎用 LDAPv3 ディレクトリ サーバに接続しているかどうかが自動検出されます。ただし、自動検出で LDAP サーバ タイプを特定できず、そのサーバが Microsoft、Sun、または汎用 LDAP サーバのいずれであるかを把握している場合は、キーワード sun microsoft 、novell、openldap、または generic を使用して、サーバ タイプを手動で設定できます。

次の例では、LDAP ディレクトリ サーバ ldap_dir_1 を Sun Microsystems タイプに設定します。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# server-type sun
hostname(config-aaa-server-host)#

) • Sun ディレクトリ サーバにアクセスするように適応型セキュリティ アプライアンスで設定されている Distinguished Name(DN; 認定者名)は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft Active Directory および Sun サーバでのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

適応型セキュリティ アプライアンスでは、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバを使用したパスワード管理はサポートされません。

適応型セキュリティ アプライアンスは、Login Distinguished Name(DN)とログイン パスワードを使用して、LDAP サーバとの信頼(バインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。バインディング時、適応型セキュリティ アプライアンスでは、Login DN とログイン パスワードを使用してサーバに対する認証が行われます。たとえば、Microsoft Active Directory の読み取り専用操作(認証、認可、グループ検索など)を行うとき、適応型セキュリティ アプライアンスでは特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの一部を指定する必要があります。次に、Login DN の例を示します。cn=Binduser1、ou=Admins、ou=Users、dc=company_A、dc=com

適応型セキュリティ アプライアンスでは、次の認証方式がサポートされています。

暗号化されていないパスワードを使用したポート 389 での簡易 LDAP 認証

ポート 636 でのセキュアな LDAP(LDAP-S)

Simple Authentication and Security Layer(SASL)MD5

SASL Kerberos


) 適応型セキュリティ アプライアンスでは匿名認証はサポートされていません。



 

VPN のための LDAP での認可

VPN アクセスのためのユーザ LDAP 認証が成功すると、適応型セキュリティ アプライアンスは、LDAP アトリビュートを返す LDAP サーバのクエリーを実行します。通常これらのアトリビュートには、VPN セッションに適用される認可データが含まれます。したがって、LDAP を使用すると、認証と認可が 1 つのステップで行われます。

ただし、場合によっては、認可メカニズムとは別の異なる認可を LDAP ディレクトリ サーバから取得する必要があります。たとえば、認証に SDI または証明書サーバを使用している場合、認可情報は返されません。この場合、ユーザ認可では、認証の成功後に LDAP ディレクトリのクエリーを実行するため、認証と認可は 2 つのステップで行われます。

LDAP を使用した VPN ユーザ認証を設定するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

aaa-server server_group protocol { kerberos | ldap | nt | radius | sdi | tacacs+ }

 

hostname(config)# aaa-server servergroup1 protocol ldap

hostname(config-aaa-server-group)

AAA サーバ グループを作成します。

ステップ 2

tunnel-group groupname

 

hostname(config)# tunnel-group remotegrp

「remotegrp」という名前の IPSec リモート アクセス トンネル グループを作成します。

ステップ 3

tunnel-group groupname general-attributes

 

hostname(config)# tunnel-group remotegrp general-attributes

サーバ グループとトンネル グループを関連付けます。

ステップ 4

authorization-server-group group-tag
 
hostname(config-general)# authorization-server-group ldap_dir_1

以前作成した認証のための AAA サーバ グループに新しいトンネル グループを割り当てます。

特定の要件で使用できる認可関連のコマンドとオプションは他にもありますが、次の例では、LDAP でのユーザ認可をイネーブルにする基本のコマンドを示します。この例では、remote-1 という名前の IPsec リモート アクセス トンネル グループを作成し、以前作成した認可のための「ldap_dir_1」AAA サーバ グループに、その新しいトンネル グループを割り当てます。

hostname(config)# tunnel-group remote-1 type ipsec-ra
hostname(config)# tunnel-group remote-1 general-attributes
hostname(config-general)# authorization-server-group ldap_dir_1
hostname(config-general)#

この基本設定が完了したら、次のコマンドを入力して、ディレクトリ パスワード、ディレクトリ検索の開始点、ディレクトリ検索の範囲など、追加の LDAP 認可パラメータを設定できます。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# ldap-login-dn obscurepassword
hostname(config-aaa-server-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)#

認可のための LDAP アトリビュート マッピング

既存の LDAP ディレクトリに適応型セキュリティ アプライアンスを導入する場合、その LDAP アトリビュートの名前および値は、現在のものとは異なる場合があります。既存のユーザ定義のアトリビュートの名前および値を、適応型セキュリティ アプライアンスと互換性のあるシスコのアトリビュートの名前と値にマッピングする LDAP アトリビュート マップを作成する必要があります。それらのアトリビュート マップを LDAP サーバにバインドしたり、必要に応じて削除したりすることができます。また、アトリビュート マップを表示または消去することもできます。


) LDAP アトリビュート マップの詳細については、「Active Directory/LDAP VPN のリモート アクセス認可の使用例」を参照してください。


空の LDAP アトリビュート マップ テーブルを作成するには、次のコマンドを入力します。

 

コマンド
目的
ldap attribute-map map-name
 

hostname(config)# ldap attribute-map att_map_1

hostname(config-ldap-attribute-map)

「att_map_1」という名前の空の LDAP アトリビュート マップ テーブルを作成します。

ユーザ定義のアトリビュート名をシスコのアトリビュート名にマッピングするには、次のコマンドを入力します。

 

コマンド
目的
map-name user-attribute-name Cisco-attribute-name
 

hostname(config-ldap-attribute-map)# map-name department IETF-Radius-Class

「department」という名前のユーザ定義のアトリビュート名を「IETF-Radius-Class」というシスコのアトリビュート名にマッピングします。

ユーザ定義のマップ値をユーザ定義のアトリビュート値およびシスコ定義のアトリビュート値にマッピングするには、次のコマンドを入力します。

 

コマンド
目的
map-value user-attribute-name Cisco-attribute-name
 

hostname(config-ldap-attribute-map)# map-value department Engineering group1

hostname(config-ldap-attribute-map)

ユーザ定義のマップ値「department」をユーザ定義のアトリビュート値「Engineering」とシスコのアトリビュート値「group1」にマッピングします。

アトリビュート マップを LDAP サーバにバインドするには、次のコマンドを入力します。

 

 
コマンド
目的

ステップ 1

aaa-server server_group ( interface_name ) host server_ip
 

hostname(config)# aaa-server ldap_dir_1 host 10.1.1.4

サーバと、そのサーバが属する AAA サーバ グループを識別します。LDAP サーバ グループ「ldap_dir_1」を作成し、そのグループに割り当てるホスト IP アドレス「10.1.1.4」を識別します。

ステップ 2

ldap-attribute-map map-name
 

hostname(config-aaa-server-host)# ldap-attribute-map att_map_1

hostname(config-aaa-server-host)

アトリビュート マップ「att_map_1」を LDAP サーバ「ldap_dir_1」にバインドします。


) アトリビュート マップを作成するためのコマンド(ldap attribute-map)と、それを LDAP サーバにバインドするためのコマンド(ldap-attribute-map)は、ハイフン 1 つとモードが異なります。


頻繁にマッピングされるシスコの LDAP アトリビュートの名前と、一般にマッピングされるユーザ定義のアトリビュートのタイプは次のとおりです。

IETF-Radius-Class:部門またはユーザ グループ

IETF-Radius-Filter-Id:IPsec および SSL VPN クライアントに適用されるアクセス コントロール リスト

IETF-Radius-Framed-IP-Address:固定 IP アドレス

Banner1:VPN ユーザのログイン時に表示されるメッセージ

Tunneling-Protocols:ダイヤルインの許可または拒否

次の例は、accessType という名前の LDAP アトリビュートに基づいて管理セッションを適応型セキュリティ アプライアンスに制限する方法を示しています。accessType アトリビュートの有効な値は次の 3 つです。

VPN

admin

helpdesk

各値は、適応型セキュリティ アプライアンスでサポートされる有効な IETF RADIUS Service-Type のいずれかにマッピングされます。有効なタイプには、remote-access(Service-Type 5)発信、admin(Service-Type 6)管理、および nas-prompt(Service-Type 7)NAS プロンプトがあります。

hostname(config)# ldap attribute-map MGMT
hostname(config-ldap-attribute-map)# map-name accessType IETF-Radius-Service-Type
hostname(config-ldap-attribute-map)# map-value accessType VPN 5
hostname(config-ldap-attribute-map)# map-value accessType admin 6
hostname(config-ldap-attribute-map)# map-value accessType helpdesk 7
 
hostname(config-ldap-attribute-map)# aaa-server LDAP protocol ldap
hostname(config-aaa-server-group)# aaa-server LDAP (inside) host 10.1.254.91
hostname(config-aaa-server-host)# ldap-base-dn CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-login-password test
hostname(config-aaa-server-host)# ldap-login-dn CN=Administrator,CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# server-type auto-detect
hostname(config-aaa-server-host)# ldap-attribute-map MGMT
 

次の例では、シスコの LDAP アトリビュート名の全リストを表示します。

hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name att_map_1?
 
ldap mode commands/options:
cisco-attribute-names:
Access-Hours
Allow-Network-Extension-Mode
Auth-Service-Type
Authenticated-User-Idle-Timeout
Authorization-Required
Authorization-Type
:
:
X509-Cert-Data
hostname(config-ldap-attribute-map)#

証明書とユーザ ログイン クレデンシャルの使用

この項では、認証と認可に証明書およびユーザ ログイン クレデンシャル(ユーザ名とパスワード)を使用する、さまざまな方法について説明します。これらの方式は、IPsec および クライアントレス SSL VPN の両方に適用されます。

すべての場合において、LDAP 認可では、パスワードをクレデンシャルとして使用しません。RADIUS 認可では、すべてのユーザの共通パスワードまたはユーザ名のいずれかを、パスワードとして使用します。

この項は、次の内容で構成されています。

「ユーザ ログイン クレデンシャルの使用」

「証明書の使用」

ユーザ ログイン クレデンシャルの使用

認証および認可のデフォルトの方法では、ユーザ ログイン クレデンシャルを使用します。

認証

認証サーバ グループ設定によってイネーブルにされます。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

認可サーバ グループ設定によってイネーブルにされます。

ユーザ名をクレデンシャルとして使用します。

証明書の使用

ユーザ デジタル証明書が設定されている場合、適応型セキュリティ アプライアンスによって最初に証明書が検証されます。ただし、証明書の DN は認証用のユーザ名として使用されません。

認証と認可の両方がイネーブルになっている場合、適応型セキュリティ アプライアンスによって、ユーザの認証と認可の両方にユーザ ログイン クレデンシャルが使用されます。

認証

認証サーバ グループ設定によってイネーブルにされます。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

認可サーバ グループ設定によってイネーブルにされます。

ユーザ名をクレデンシャルとして使用します。

認証がディセーブルで認可がイネーブルになっている場合、適応型セキュリティ アプライアンスによって認可にプライマリ DN のフィールドが使用されます。

認証

認証サーバ グループ設定によってディセーブル([None] に設定)になります。

クレデンシャルは使用されません。

認可

認可サーバ グループ設定によってイネーブルにされます。

証明書のプライマリ DN フィールドのユーザ名の値をクレデンシャルとして使用します。


) 証明書にプライマリ DN のフィールドが存在しない場合、適応型セキュリティ アプライアンスでは、セカンダリ DN のフィールド値が認可要求のユーザ名として使用されます。


次のサブジェクト DN フィールドと値が含まれるユーザ証明書を例に挙げます。

Cn=anyuser,OU=sales;O=XYZCorporation;L=boston;S=mass;C=us;ea=anyuser@example.com

プライマリ DN = EA(電子メール アドレス)およびセカンダリ DN = CN(通常名)の場合、認可要求で使われるユーザ名は anyuser@example.com になります。

Zone Labs Integrity サーバのサポート

この項では Zone Labs Integrity サーバ(Check Point Integrity サーバとも呼ばれる)について説明し、Zone Labs Integrity サーバをサポートするように適応型セキュリティ アプライアンスを設定する手順の例を示します。Integrity サーバは、リモート PC 上でセキュリティ ポリシーを設定および実行するための中央管理ステーションです。リモート PC が Integrity サーバによって指定されたセキュリティ ポリシーと適合しない場合、Integrity サーバおよび適応型セキュリティ アプライアンスが保護するプライベート ネットワークへのアクセス権が与えられません。

この項は、次の内容で構成されています。

「Integrity サーバと適応型セキュリティ アプライアンスの相互関係の概要」

「Integrity サーバのサポートの設定」

Integrity サーバと適応型セキュリティ アプライアンスの相互関係の概要

VPN クライアント ソフトウェアと Integrity クライアント ソフトウェアは、リモート PC 上に共に常駐しています。次の手順では、リモート PC と企業のプライベート ネットワーク間にセッションを確立する際のリモート PC、適応型セキュリティ アプライアンス、および Integrity サーバのアクションをまとめます。

1. VPN クライアント ソフトウェア(Integrity クライアント ソフトウェアと同じリモート PCに常駐)は、適応型セキュリティ アプライアンスに接続し、それがどのタイプのファイアウォール クライアントであるかを適応型セキュリティ アプライアンスに知らせます。

2. 適応型セキュリティ アプライアンスでクライアント ファイアウォールのタイプが承認されると、適応型セキュリティ アプライアンスから Integrity クライアントに Integrity サーバのアドレス情報が返されます。

3. 適応型セキュリティ アプライアンスはプロキシとして動作し、Integrity クライアントは Integrity サーバとの制限付き接続を確立します。制限付き接続は、Integrity クライアントと Integrity サーバの間だけで確立されます。

4. Integrity サーバは、Integrity クライアントが指定されたセキュリティ ポリシーに準拠しているかどうかを特定します。Integrity クライアントがセキュリティ ポリシーに準拠している場合、Integrity サーバから適応型セキュリティ アプライアンスに対して、接続を開いて接続の詳細をクライアントに提供するように指示されます。

5. リモート PC では、VPN クライアントから Integrity クライアントに接続の詳細が渡され、ポリシーの実施がただちに開始されること、また、Integrity クライアントがプライベート ネットワークに接続できることが知らされます。

6. VPN 接続が確立すると、Integrity サーバは、クライアント ハートビート メッセージを使用して Integrity クライアントの状態のモニタを続けます。


) ユーザ インターフェイスが最大 5 つの Integrity サーバのコンフィギュレーションをサポートしている場合でも、現在のリリースの適応型セキュリティ アプライアンスが一度にサポートする Integrity サーバは 1 つです。アクティブな Integrity サーバに障害が発生した場合は、適応型セキュリティ アプライアンス上に別の Integrity サーバを設定してから、VPN クライアント セッションを再度確立します。


Integrity サーバのサポートの設定

この項では、Zone Labs Integrity サーバをサポートするように適応型セキュリティ アプライアンスを設定するための手順の例を示します。この手順には、アドレス、ポート、接続障害タイムアウトおよび障害の状態、および SSL 証明書パラメータの設定が含まれます。

Integrity サーバを設定するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

zonelabs-Integrity server -address { hostname1 | ip-address1 }
 

hostname(config)# zonelabs-Integrity server-address 10.0.0.5

IP アドレス 10.0.0.5 を使用して Integrity サーバを設定します。

ステップ 2

zonelabs-integrity port port - number
 

hostname(config)# zonelabs-integrity port 300

ポート 300 を指定します(デフォルト ポートは 5054 です)。

ステップ 3

zonelabs-integrity interface interface

 

hostname(config)# zonelabs-integrity interface inside

Integrity サーバとの通信用に内部インターフェイスを指定します。

ステップ 4

zonelabs-integrity fail-timeout timeout
 

hostname(config)# zonelabs-integrity fail-timeout 12

Integrity サーバに障害があることを宣言して VPN クライアント接続を閉じる前に、適応型セキュリティ アプライアンスがアクティブまたはスタンバイ Integrity サーバからの応答を 12 秒間待つようにします。

(注) 適応型セキュリティ アプライアンスと Integrity サーバの間の接続で障害が発生した場合、エンタープライズ VPN が Integrity サーバの障害によって中断されないように、デフォルトで VPN クライアント接続は開いたままになります。ただし、Zone Labs Integrity サーバに障害が発生した場合、必要に応じて VPN 接続を閉じることができます。

ステップ 5

zonelabs-integrity fail-close
 

hostname(config)# zonelabs-integrity fail-close

適応型セキュリティ アプライアンスと Zone Labs Integrity サーバとの接続に障害が発生した場合に VPN クライアントとの接続が閉じるよう、適応型セキュリティ アプライアンスを設定します。

ステップ 6

zonelabs-integrity fail-open
 

hostname(config)# zonelabs-integrity fail-open

設定された VPN クライアント接続の障害状態をデフォルトに戻して、クライアント接続が開いたままになるようにします。

ステップ 7

zonelabs-integrity ssl-certificate-port cert-port-number
 

hostname(config)# zonelabs-integrity ssl-certificate-port 300

Ipntegrity サーバが適応型セキュリティ アプライアンスのポート 300(デフォルトはポート 80)に接続して、サーバ SSL 証明書を要求するように指定します。

ステップ 8

zonelabs-integrity ssl-client-authentication {enable | disable}
 

hostname(config)# zonelabs-integrity ssl-client-authentication enable

サーバの SSL 証明書は常に認証されますが、Integrity サーバのクライアント SSL 証明書も認証されるように指定します。

ファイアウォール クライアント タイプを Zone Labs Integrity タイプに設定するには、次のコマンドを入力します。

 

コマンド
目的
client-firewall {opt | req} zonelabs-integrity
 

hostname(config)# client-firewall req zonelabs-integrity

詳細については、「ファイアウォール ポリシーの設定」を参照してください。ファイアウォールのタイプが zonelabs-integrity の場合、Integrity サーバによってポリシーが決定されるため、ファイアウォール ポリシーを指定するコマンド引数は使用されません。

AAA サーバ モニタリング コマンド

AAA サーバをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show aaa-server

 

設定済みの AAA サーバの統計情報を表示します。

AAA サーバ コンフィギュレーションをクリアするには、 clear aaa-server statistics コマンドを入力します。

show running-config aaa-server

 

AAA サーバ実行コンフィギュレーションを表示します。

AAA サーバの統計情報をクリアするには、 clear configure aaa-server コマンドを入力します。

show running-config all ldap attribute-map

 

実行コンフィギュレーションのすべての LDAP アトリビュートを表示します。

実行コンフィギュレーションのすべての LDAP アトリビュートをクリアするには、 clear configuration ldap attribute-map コマンドを使用します。

show running-config zonelabs-integrity

 

Zone Labs Integrity サーバ コンフィギュレーションを表示します。

Zone Labs Integrity サーバ コンフィギュレーションをクリアするには、clear configure zonelabs-integrity コマンドを使用します。

show ad-groups name [ filter string ]

 

LDAP を使用する AD サーバだけに適用し、AD サーバに登録されているグループを表示します。

その他の参考資料

LDAP マッピングの実装に関するその他の情報については、次の項を参照してください。

「関連資料」

「RFC」

関連資料

関連項目
参照先

LDAP コマンドおよび AAA サーバ ホスト モード コマンド

『Cisco ASA 5500 Series Command Reference

LDAP 認証または認可をセットアップする設定手順の例

シスコの LDAP アトリビュートの名前と値のリスト

「認可および認証用の外部サーバの設定」(P.C-1)

HTTP Form を使用する場合(認証 Web サーバに直接ログインしているときに、適応型セキュリティ アプライアンスの代わりに使用)の HTTP GET および POST 交換からのデータの抽出

Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)

RFC

RFC
タイトル

2138

「Remote Authentication Dial In User Service (RADIUS)」

2139

RADIUS Accounting

2548

「Microsoft Vendor-specific RADIUS Attributes」

2868

「RADIUS Attributes for Tunnel Protocol Support」

AAA サーバの機能履歴

表 32-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 32-3 AAA サーバの機能履歴

機能名
プラットフォーム リリース
機能情報

AAA サーバ

7.0(1)

AAA サーバでは、AAA のサポート情報と AAA サーバおよびローカル データベースの設定方法が示されます。