Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

認可および認証用の外部サーバの設定

権限およびアトリビュートのポリシー実施の概要

外部 LDAP サーバの設定

LDAP 操作のためのセキュリティ アプライアンスの構成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

Active Directory の Login DN の例

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

LDAP 認可でサポートされている Cisco アトリビュート

Cisco-AV-Pair アトリビュートの構文

Cisco-AV-Pair の ACL 例

Active Directory/LDAP VPN のリモート アクセス認可の使用例

ユーザベースのアトリビュート ポリシーの適用

特定のグループポリシーへの LDAP ユーザの配置

AnyConnect トンネルへのスタティック IP アドレスの割り当て

ダイヤルインの許可または拒否アクセスの適用

ログイン時間と Time-of-Day 規則の適用

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート

外部 TACACS+ サーバの設定

認可および認証用の外部サーバの設定

この付録では、適応型セキュリティ アプライアンスで AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するように適応型セキュリティ アプライアンスを設定する前に、正しい適応型セキュリティ アプライアンス認証アトリビュートでサーバを設定し、それらのアトリビュートのサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。

この付録では、次の項目について説明します。

「権限およびアトリビュートのポリシー実施の概要」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限およびアトリビュートのポリシー実施の概要

適応型セキュリティ アプライアンスは、ユーザ認可アトリビュート(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ アトリビュートを、適応型セキュリティ アプライアンスの Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)から、外部認証サーバや認可 AAA サーバ(RADIUS または LDAP)から、セキュリティ アプライアンスのグループポリシーから、またはこれら 3 つのすべてから取得できるように適応型セキュリティ アプライアンスを設定できます。

セキュリティ アプライアンスがすべてのソースからアトリビュートを受信すると、それらのアトリビュートは評価および集約され、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループポリシーから取得したアトリビュートの間で衝突がある場合、DAP から取得したアトリビュートが常に優先されます。

セキュリティ アプライアンスは、次の順序でアトリビュートを適用します(図 C-1 も参照してください)。

1. 適応型セキュリティ アプライアンスの DAP アトリビュート:バージョン 8.0 に導入され、最も優先されます。DAP にブックマーク/URL リストを設定した場合、そのリストはグループポリシーのブックマーク/URL リスト セットよりも優先されます。

2. AAA サーバのユーザ アトリビュート:ユーザ認証または認可が成功すると、AAA サーバはこれらのアトリビュートを返します。これらのアトリビュートを、適応型セキュリティ アプライアンスのローカル AAA データベースの個々のユーザに設定されているアトリビュート(ASDM のユーザ アカウント)と混同しないでください。

3. 適応型セキュリティ アプライアンスで設定されたグループポリシー:RADIUS サーバがユーザに対して RADIUS CLASS アトリビュート IETF-Class-25(OU=<group-policy>)の値を返す場合、適応型セキュリティ アプライアンスは、ユーザを同じ名前のグループポリシーに配置し、サーバから返されないすべてのアトリビュートをそのグループポリシーで適用します。

LDAP サーバでは、任意のアトリビュート名を使用してセッションのグループポリシーを設定できます。適応型セキュリティ アプライアンスで設定した LDAP アトリビュート マップは、LDAP アトリビュートを Cisco アトリビュート IETF-Radius-Class にマッピングします。

4. 接続プロファイル(CLI のトンネル グループと呼ばれる)で割り当てられたグループポリシー:接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループポリシーが含まれています。適応型セキュリティ アプライアンスに接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、DAP、サーバから返されるユーザ アトリビュート、またはユーザに割り当てられるグループポリシーで不足しているすべてのアトリビュートが提供されます。

5. 適応型セキュリティ アプライアンスで割り当てられたデフォルトのグループポリシー(DfltGrpPolicy):システムのデフォルト アトリビュートは、DAP、ユーザ アトリビュート、グループポリシー、または接続プロファイルで不足している値を提供します。

図 C-1 ポリシー実施フロー

 

外部 LDAP サーバの設定

VPN 3000 コンセントレータと ASA/PIX 7.0 では、認証作業に Cisco LDAP スキーマが必要でした。バージョン 7.1.x 以降では、適応型セキュリティ アプライアンスは、ネイティブ LDAP スキーマを使用して認証 および 認可を行うため、Cisco スキーマは必要とされません。

認可(権限ポリシー)の設定は、LDAP アトリビュート マップを使用して行います。例については、「Active Directory/LDAP VPN のリモート アクセス認可の使用例」を参照してください。

この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目について説明します。

「LDAP 操作のためのセキュリティ アプライアンスの構成」

「セキュリティ アプライアンスの LDAP コンフィギュレーションの定義」

「Active Directory/LDAP VPN のリモート アクセス認可の使用例」

上記のプロセスは、使用する LDAP サーバのタイプによって異なります。


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


LDAP 操作のためのセキュリティ アプライアンスの構成

この項では、LDAP 階層、および適応型セキュリティ アプライアンスの LDAP サーバへの認証済みバインディング内で検索を実行する方法について説明します。次の項目について説明します。

「階層の検索」

「セキュリティ アプライアンスと LDAP サーバのバインディング」

「Active Directory の Login DN の例」

LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 C-2 を参照してください。

マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図 C-2 マルチレベルの LDAP 階層

 

階層の検索

適応型セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。適応型セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合せて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN は、サーバが適応型セキュリティ アプライアンスから認可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。

Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前アトリビュートには、cn(通常名)、sAMAccountName、および userPrincipalName を含めることができます。

図 C-2 では、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 C-1 は、使用可能な 2 種類の検索のコンフィギュレーションを示します。

最初のコンフィギュレーションの例では、Terry が必要な LDAP 認可を得て自身の IPSec トンネル接続を確立すると、適応型セキュリティ アプライアンスは LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検索は短時間でできます。

2 番目のコンフィギュレーションの例では、適応型セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 C-1 検索コンフィギュレーションの例

#
LDAP Base DN
検索範囲
名前アトリビュート
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索が高速

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、適応型セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。適応型セキュリティ アプライアンスは、Login Distinguished Name(DN; 認定者名)とログイン パスワードを使用して、LDAP サーバとの信頼(バインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。

バインディング時、適応型セキュリティ アプライアンスは、サーバに対する認証を Login DN とログイン パスワードを使用して行います。Microsoft Active Directory の読み取り専用操作(認証、認可、グループ検索など)を行うとき、セキュリティ アプライアンスは特権の低い Login DN とバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの一部を指定する必要があります。

Login DN の例を次に示します。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com

セキュリティ アプライアンスは次の項目をサポートしています。

暗号化されていないパスワードを使用したポート 389 での簡易 LDAP 認証

ポート 636 でのセキュアな LDAP(LDAP-S)

Simple Authentication and Security Layer(SASL)MD5

SASL Kerberos

セキュリティ アプライアンスは匿名認証をサポートしていません。


) LDAP クライアントとして、適応型セキュリティ アプライアンスは、匿名のバインドまたは要求の送信をサポートしていません。


Active Directory の Login DN の例

Login DN は、ユーザ検索が行われる前に、適応型セキュリティ アプライアンスがバインドの交換中に LDAP クライアントと LDAP サーバ間の信頼性を確立するために使用する LDAP サーバ上のユーザ名です。

VPN の認証/認可の操作、および、バージョン 8.0.4 以降の AD グループの取得(password-management の変更が不要なときの読み取り専用操作)では、特権の低い Login DN を使用できます。たとえば、Login DN には、Domain Users グループの memberOf で指定されているユーザを指定できます。

VPN の password-management の変更では、Login DN にはアカウント オペレータの特権が必要となります。

これらのいずれの場合でも、Login/Bind DN には、スーパーユーザ レベルの特権は必要ありません。特定の Login DN 要件については、LDAP アドミニストレータ ガイドを参照してください。

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

この項では、LDAP AV-pair アトリビュートの構文の定義方法について説明します。次の項目について説明します。

「LDAP 認可でサポートされている Cisco アトリビュート」

「Cisco-AV-Pair アトリビュートの構文」

「Cisco-AV-Pair の ACL 例」


) 適応型セキュリティ アプライアンスは、数値の ID ではなくアトリビュート名に基づいて LDAP アトリビュートを使用します。一方、RADIUS アトリビュートには、名前ではなく数値の ID が使用されます。

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

ソフトウェア バージョン 7.0 の LDAP アトリビュートには、cVPN3000 プレフィックスが含まれています。バージョン 7.1 以降では、このプレフィックスは削除されています。


LDAP 認可でサポートされている Cisco アトリビュート

この項では、ASA 5500、VPN 3000、および PIX 500 シリーズの適応型セキュリティ アプライアンスで使用されるアトリビュートの詳細なリスト( 表 C-2 )を示します。この表には、これらの適応型セキュリティ アプライアンスを組み合わせたネットワーク構成に役立つ VPN 3000 と PIX 500 シリーズのアトリビュート サポート情報が含まれています。

 

表 C-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート

アトリビュート名/
VPN 3000
ASA
PIX
構文/タイプ
シングルまたはマルチ値
有効な値

Access-Hours

Y
Y
Y
文字列
シングル
time-range の名前
(Business-Hours など)

Allow-Network-Extension- Mode

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

整数

シングル

1 ~ 35791394 分

Authorization-Required

Y

整数

シングル

0 = No
1 = Yes

Authorization-Type

Y

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Banner1

Y

Y

Y

文字列

シングル

クライアントレス SSL VPN、クライアントSSL VPN、および IPSec クライアントのバナー文字列

Banner2

Y

Y

Y

文字列

シングル

クライアントレス SSL VPN、クライアントSSL VPN、および IPSec クライアントのバナー文字列

Cisco-AV-Pair

Y

Y

Y

文字列

マルチ

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、Cisco-AV-Pair アトリビュートの構文を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

文字列

シングル

IPSec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

整数

シングル

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

文字列

シングル

IP アドレス

DN-Field

Y

Y

Y

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

Firewall-ACL-In

Y

Y

文字列

シングル

アクセスリスト ID

Firewall-ACL-Out

Y

Y

文字列

シングル

アクセスリスト ID

Group-Policy

Y

Y

文字列

シングル

リモート アクセス VPN セッションのグループポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこのアトリビュートを使用します。次の 3 つの形式のいずれかを使用できます。

<グループポリシー名>

OU=<グループポリシー名>

OU=<グループポリシー名>;

IE-Proxy-Bypass-Local

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IE-Proxy-Exception-List

文字列

シングル

DNS ドメインのリスト。エントリは改行文字シーケンス(\n)で区切る必要があります。

IE-Proxy-Method

Y

Y

Y

整数

シングル

1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = 適応型セキュリティ アプライアンス設定を使用する

IE-Proxy-Server

Y

Y

Y

整数

シングル

IP アドレス

IETF-Radius-Class

Y

Y

Y

シングル

リモート アクセス VPN セッションのグループポリシーを設定します。バージョン 8.2 以降では、Group-Policy アトリビュートの使用をお勧めします。次の 3 つの形式のいずれかを使用できます。

<グループポリシー名>

OU=<グループポリシー名>

OU=<グループポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

文字列

シングル

適応型セキュリティ アプライアンスで定義されたアクセスリスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

文字列

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

文字列

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

整数

シングル

IETF-Radius-Service-Type

Y

Y

Y

整数

シングル

1 = Login
2 = Framed
6 = Administrative
7 = NAS Prompt

IETF-Radius-Session-Timeout

Y

Y

Y

整数

シングル

IKE-Keep-Alives

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Allow-Passwd-Store

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Authentication

Y

Y
Y
整数
シングル
0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI(RSA)
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

IPSec-Auth-On-Rekey

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Backup-Server-List

Y

Y

Y

文字列

シングル

サーバ アドレス(スペース区切り)

IPSec-Backup-Servers

Y

Y

Y

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPSec-Client-Firewall-Filter- Name

Y

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

整数

シングル

0 = 必須
1 = オプション

IPSec-Default-Domain

Y

Y

Y

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Extended-Auth-On-Rekey

Y

Y

文字列

シングル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPSec-IP-Compression

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Mode-Config

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

整数

シングル

4001 ~ 49151、デフォルトは 10000

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Sec-Association

Y

文字列
シングル
セキュリティ アソシエーションの名前

IPSec-Split-DNS-Names

Y

Y

Y

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Split-Tunneling-Policy

Y

Y

Y

整数

シングル

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Split-Tunnel-List

Y

Y

Y

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセスリストの名前を指定します。

IPSec-Tunnel-Type

Y

Y

Y

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-User-Group-Lock

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

文字列

シングル

IP アドレス

PFS-Required

Y

Y

Y

ブーリアン

シングル

0 = No
1 = Yes

Port-Forwarding-Name

Y

Y

文字列

シングル

名前の文字列(「Corporate-Apps」など)

PPTP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Primary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

Privilege-Level

Required-Client- Firewall-Vendor-Code

Y

Y

Y

整数

シングル

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

文字列

シングル

文字列

Required-Client-Firewall- Product-Code

Y

Y

Y

整数

シングル

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Secondary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

SEP-Card-Assignment

整数
シングル
使用しない

Simultaneous-Logins

Y
Y
Y
整数
シングル
0-2147483647

Strip-Realm

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

シングル

TACACS-Privilege-Level

Y

Y

Y

整数

シングル

Tunnel-Group-Lock

Y

Y

文字列

シングル

トンネル グループの名前または「none」

Tunneling-Protocols

Y

Y

Y

整数
シングル
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN
8 および 4 は相互排他値
(0 ~ 11、16 ~ 27 は有効値)

Use-Client-Address

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

文字列

シングル

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

整数

シングル

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

文字列

シングル

サーバのパスワード

WebVPN-ACL-Filters

Y

文字列

シングル

Webtype のアクセスリスト名

WebVPN-Apply-ACL-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、このアトリビュートは必要とされません。

WebVPN-Citrix-Support-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、このアトリビュートは必要とされません。

WebVPN-Enable-functions

整数

シングル

使用しない(廃止)

WebVPN-Exchange-Server- Address

文字列

シングル

使用しない(廃止)

WebVPN-Exchange-Server- NETBIOS-Name

文字列

シングル

使用しない(廃止)

WebVPN-File-Access-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

文字列

シングル

ポート転送リスト名

WebVPN-Homepage

Y

Y

文字列

シングル

URL(http://example-portal.com など)

WebVPN-Macro-Substitution-Value1

Y

Y

文字列

シングル

例および使用例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Substitution-Value2

Y

Y

文字列

シングル

例および使用例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

文字列

シングル

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

整数

シングル

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~3600 秒)

WebVPN-SVC-Keepalive

Y

Y

整数

シングル

0 = ディセーブル
n = キープアライブ値(15 ~ 600 秒)

WebVPN-SVC-Keep-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

整数

シングル

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

整数

シングル

0 = ディセーブル
n = 分単位の再試行間隔
(4 ~10080 分)

WebVPN-SVC-Required-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

文字列

シングル

URL リスト名

Cisco-AV-Pair アトリビュートの構文

Cisco Attribute Value(AV)ペア(ID# 26/9/1)を使用して、(Cisco ACS のような)Radius サーバから、または ldap-attribute-map 経由で LDAP サーバから、アクセスリストを適用できます。

Cisco-AV-Pair ルールの構文は次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 C-3 で構文のルールについて説明します。

 

表 C-3 AV-Pair アトリビュートの構文ルール

フィールド
説明

Prefix

AV ペアの固有の識別子。例: ip:inacl#1= (標準アクセス リスト用)または webvpn:inacl# (クライアントレス SSL VPN アクセスリスト用)。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Action

deny、permit など、ルールが一致した場合に実行するアクション。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、ip、tcp、udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。適応型セキュリティ アプライアンスがソース/プロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。適応型セキュリティ アプライアンスがソース/プロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Destination

パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

Cisco-AV-Pair の ACL 例

表 C-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。


) inacl# の各 ACL # は固有である必要があります。ただし、これらはシーケンシャル(つまり、1、2、3、4)である必要はありません。たとえば、5、45、135 のように設定できます。


表 C-4 Cisco-AV-Pair の例とアクションの許可または拒否

 

Cisco-AV-Pair の例
アクションの許可または拒否
ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log

フルトンネル IPsec または SSL VPN クライアントを使用した、2 つのホスト間の IP トラフィックを許可します。

ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log

フルトンネル IPsec または SSL VPN クライアントのみを使用した、すべてのホストからポート 80 の特定のホストへの TCP トラフィックを許可します。

webvpn:inacl#1=permit url http://www.website.com
webvpn:inacl#2=deny url smtp://server
webvpn:inacl#3=permit url cifs://server/share

指定 URL へのクライアントレス トラフィックを許可し、特定サーバへの smtp トラフィックを拒否し、指定サーバへのファイル共有アクセス(CIFS)を許可します。

webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log
webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log

非デフォルト ポートの 2323 で telnet を拒否し、非デフォルト ポートの 2222 で SSH を許可します。

webvpn:inacl#1=permit url ssh://10.86.1.2
webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log
webvpn:inacl#48=deny url telnet://10.86.1.2
webvpn:inacl#100=deny tcp 10.86.1.6 eq 23

デフォルト ポートの 22 と 23 で、それぞれ SSH を許可します。この例では、これらの ACL で実施される telnet/ssh java プラグインを使用していることを前提としています。

ACL でサポートされている URL タイプ

サーバのワイルド カード、またはポートが含まれる部分的な URL です。

次の URL タイプがサポートされています。

すべての URL

http://

nfs://

sametime://

telnet://

cifs://

https://

pop3://

smart-tunnel://

tn3270://

citrix://

ica://

post://

smtp://

tn5250://

citrixs://

imap4://

rdp://

ssh://

vnc://

ftp://


) 上記に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうかにより、CLI または ASDM のメニューに表示されます。


Cisco-AV-Pair(ACL)使用のガイドライン

リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルにアクセスリストを適用するには、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。

SSL VPN クライアントレス(ブラウザモード)トンネルにアクセスリストを適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。

Webtype ACL では適応型セキュリティ アプライアンスがソースとなるため、ソースを指定しないでください。

表 C-5 に、Cisco-AV-Pair アトリビュートのトークンの一覧を示します。

 

表 C-5 セキュリティ アプライアンスでサポートされるトークン

トークン
構文のフィールド
説明

ip:inacl# Num =

該当なし(識別子)

Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始します。リモート IPSec トンネルと SSL VPN(SVC)トンネルにアクセスリストを適用します。

webvpn:inacl# Num =

該当なし(識別子)

Num は固有の整数)。クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルにアクセスリストを適用します。

deny

Action

アクションを拒否します(デフォルト)。

permit

Action

アクションを許可します。

icmp

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

1

Protocol

Internet Control Message Protocol(ICMP)

IP

Protocol

Internet Protocol(IP; インターネット プロトコル)

0

Protocol

Internet Protocol(IP)

TCP

Protocol

Transmission Control Protocol(TCP; 伝送制御プロトコル)

6

Protocol

Transmission Control Protocol(TCP)

UDP

Protocol

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)

17

Protocol

User Datagram Protocol(UDP)

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字文字列。

log

Log

イベントが一致すると、フィルタ ログ メッセージが表示されます(permit and log または deny and log の場合と同様)。

lt

Operator

値より小さい

gt

Operator

値より大きい

eq

Operator

値と等しい

neq

Operator

値と等しくない

range

Operator

この範囲に含まれる。range の後に 2 つの値を続けます。

Active Directory/LDAP VPN のリモート アクセス認可の使用例

この項では、Microsoft Active Directory サーバを使用している適応型セキュリティ アプライアンスで認証および認可を設定するための手順の例を示します。次の使用例を取り上げます。

「ユーザベースのアトリビュート ポリシーの適用」

「特定のグループポリシーへの LDAP ユーザの配置」

「AnyConnect トンネルへのスタティック IP アドレスの割り当て」

「ダイヤルインの許可または拒否アクセスの適用」

「ログイン時間と Time-of-Day 規則の適用」

その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。

『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』

(http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml)

『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』

(http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml)

ユーザベースのアトリビュート ポリシーの適用

すべての標準 LDAP アトリビュートは、予約済みの Vendor Specific Attribute(VSA; ベンダー固有アトリビュート)にマッピングできます。同様に、1 つ以上の LDAP アトリビュートを 1 つ以上の Cisco LDAP アトリビュートにマッピングできます。

この使用例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように適応型セキュリティ アプライアンスを設定します。この場合、サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドでは、physicalDeliveryOfficeName という名前のアトリビュートを使用します。適応型セキュリティ アプライアンスで、physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングするアトリビュート マップを作成します。認証の間に、適応型セキュリティ アプライアンスはサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco アトリビュート Banner1 にマッピングしてユーザにバナーを表示します。

この使用例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 は クライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD/LDAP サーバ上のユーザにアトリビュートを設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 C-3)。[General] タブをクリックして、[Office] フィールドにバナー テキストを入力します。[Office] フィールドでは、AD/LDAP アトリビュートである physicalDeliveryOfficeName を使用します。

図 C-3 図 3 LDAP ユーザの設定

 

ステップ 2 適応型セキュリティ アプライアンスに、LDAP アトリビュート マップを作成します。

Banner マップを作成し、AD/LDAP アトリビュートである physicalDeliveryOfficeName を Cisco アトリビュートである Banner1 にマッピングする例を次に示します。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した Banner アトリビュート マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 4 バナーの適用をテストします。

クライアントレス SSL 接続と、ユーザ認証後にアトリビュート マップ経由で適用されたバナーを次の例に示します(図 C-4)。

図 C-4 表示されたバナー

 

特定のグループポリシーへの LDAP ユーザの配置

この使用例では、AD の LDAP サーバの User1 を、適応型セキュリティ アプライアンスの特定のグループポリシーに対して認証します。サーバで、[Organization] タブの [Department] フィールドを使用して、グループポリシーの名前を入力します。次に、アトリビュート マップを作成し、[Department] を Cisco アトリビュートである IETF-Radius-Class にマッピングします。認証の間に、適応型セキュリティ アプライアンスはサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループポリシーに配置します。

この使用例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 は クライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD の LDAP サーバのユーザにアトリビュートを設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 C-5)。[Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。

図 C-5 AD の LDAP の [Department] アトリビュート

 

ステップ 2 ステップ 1 に示した LDAP コンフィギュレーションのアトリビュート マップを定義します。

この使用例では、AD アトリビュートである Department を Cisco アトリビュートである IETF-Radius-Class にマッピングします。次に例を示します。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した group_policy アトリビュート マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 4 適応型セキュリティ アプライアンスで新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー アトリビュートを設定します。この例では、サーバの [Department] フィールドに入力された Group-policy-1 を作成しました。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 5 ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からのアトリビュート(およびデフォルト group-policy からの適用可能なすべてのアトリビュート)を継承していることを確認します。

特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、適応型セキュリティ アプライアンスとサーバ間の通信をモニタすることができます。このコマンドの出力例を次に示します。この出力はキー メッセージを提供するために編集されています。

[29] Authentication successful for user1 to 3.3.3.4

[29] Retrieving user attributes from server 3.3.3.4

[29] Retrieved Attributes:

[29] department: value = Group-Policy-1

[29] mapped to IETF-Radius-Class: value = Group-Policy-1

AnyConnect トンネルへのスタティック IP アドレスの割り当て

この使用例では、AnyConnect クライアント ユーザ Web1 がスタティック IP アドレスを受信するように設定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドでは、msRADIUSFramedIPAddress アトリビュートを使用します。このアトリビュートを Cisco アトリビュートである IETF-Radius-Framed-IP-Address へマッピングするアトリビュート マップを作成します。

認証の間に、適応型セキュリティ アプライアンスはサーバから msRADIUSFramedIPAddress の値を取得し、その値を Cisco アトリビュートである IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティック アドレスを提供します。

この使用例は、IPSec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x およびレガシー SSL VPN クライアント)などのフルトンネル クライアントに適用されます。


ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。

ユーザ名を右クリックします。プロパティ ウィンドウが表示されます(図 C-6)。[Dialin] タブをクリックして [Assign Static IP Address] をチェックし、IP アドレスを入力します。この例では、3.3.3.233 を使用します。

図 C-6 スタティック IP アドレスの割り当て

 

ステップ 2 ステップ 1 に示した LDAP コンフィギュレーションのアトリビュート マップを作成します。

この例では、[Static Address] フィールドで使用された AD アトリビュートである msRADIUSFrameIPAddress を、Cisco アトリビュートである IETF-Radius-Framed-IP-Address にマッピングします。

次に例を示します。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFrameIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した static_address アトリビュート マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 4 vpn-address-assigment コマンドが aaa を指定するように設定されているかどうかを、 show run all vpn-addr-assign コマンド でコンフィギュレーションのこの部分を表示して確認します。

vpn-addr-assign aaa

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa <<<< ensure this configured.
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#

 

ステップ 5 適応型セキュリティ アプライアンスと AnyConnect クライアントとの接続を確立します。次のことを確認します。

バナーがクライアントレス接続と同じシーケンスで受信されている(図 C-7)。

ユーザが、サーバで設定され、適応型セキュリティ アプライアンスにマッピングされた IP アドレスを受信している(図 C-8)。

図 C-7 AnyConnect セッションのバナーの確認

 

図 C-8 確立された AnyConnect セッション

 

 

show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアドレスを確認できます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 3.3.3.233 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : UseCase3_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 
BXB-ASA5540#

ダイヤルインの許可または拒否アクセスの適用

この使用例では、ユーザが許可するトンネリング プロトコルを指定する LDAP アトリビュート マップを作成します。[Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco アトリビュートである Tunneling-Protocol にマッピングします。Cisco の Tunneling-Protocol は、 表 C-6 に示すように、ビットマップ値をサポートしています。

表 C-6 Cisco Tunneling-Protocol アトリビュートのビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPSec

82

L2TP/IPSEC

16

クライアントレス SSL

32

SSL クライアント:AnyConnect またはレガシー SSL VPN クライアント

1.IPSec と L2TP over IPSec は同時にサポートされません。そのため、値 4 と 8 は相互排他値となります。

2.注 1 を参照してください。

このアトリビュートを使用して、プロトコルの [Allow Access](TRUE)または [Deny Access](FALSE)の条件を作成し、ユーザがアクセスを許可される方法を適用します。

この簡単な例では、tunnel-protocol である IPSec(4)をマッピングすることで、IPSec クライアントの許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48(16+32)としてマッピングし、拒否(false)条件を作成します。これにより、ユーザは IPSec を使用して適応型セキュリティ アプライアンスに接続できますが、クライアントレス SSL または AnyConnect クライアントを使用すると、接続は拒否されます。

ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テクニカル ノートを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml


ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます。[Dial-in] タブをクリックします。[Allow Access] を選択します(図 C-9)。

図 C-9 AD-LDAP user1 の [Allow access]

 


) 3 番目のオプションである [Control access through the Remote Access Policy] を選択した場合、値はサーバから返されず、適用される権限は、適応型セキュリティ アプライアンスの内部グループポリシー設定に基づきます。


ステップ 2 IPSec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否するアトリビュート マップを作成します。

この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD アトリビュート msNPAllowDialin を map-name コマンドを使用して Cisco アトリビュート Tunneling-Protocols にマッピングし、マップ値を map-value コマンドで追加します。

次に例を示します。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した tunneling_protocols アトリビュート マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 4 アトリビュート マップが設定したとおりに動作することを確認します。

リモート ユーザが使用する PC で、クライアントレス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試みます。クライアントレス SSL と AnyConnect の接続に失敗し、ユーザには、接続の失敗原因が許可されていない接続メカニズムにあることが通知されます。IPSec クライアントの接続は成功します。これは、アトリビュート マップに従って IPSec にトンネリング プロトコルが許可されているためです。

図 C-10 クライアントレス ユーザへのログイン拒否メッセージ

 

図 C-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ

 

ログイン時間と Time-of-Day 規則の適用

この使用例では、クライアントレス SSL ユーザがネットワークへアクセスできる時間を設定して適用します。たとえば、ビジネス パートナーがネットワークへアクセスできる時間を、通常の営業時間内に限定する場合があります。

この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィールドでは、physicalDeliveryOfficeName アトリビュートを使用します。次に、適応型セキュリティ アプライアンスでアトリビュート マップを作成し、そのアトリビュートを Cisco アトリビュートである Access-Hours にマッピングします。認証の間に、適応型セキュリティ アプライアンスはサーバから physicalDeliveryOfficeName([Office] フィールド)の値を取得し、それを Access-Hours にマッピングします。


ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。

ユーザを選択します。[Properties] を右クリックします。プロパティ ウィンドウが表示されます(図 C-12)。ここでは、[General] タブの [Office] フィールドを使用します。

図 C-12 Active Directory の Time-range

 

ステップ 2 アトリビュート マップを作成します。

この使用例では、access_hours アトリビュート マップを作成し、[Office] フィールドで使用される AD アトリビュート physicalDeliveryOfficeName を、Cisco アトリビュート Access-Hours にマッピングします。

次に例を示します。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した access_hours アトリビュート マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 4 各値にサーバで許可された時間範囲を設定します。この例では、User1 の [Office] フィールドに Partner と入力しました。そのため、この Partner に対する時間範囲を設定する必要があります。次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00


 

外部 RADIUS サーバの設定

この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS アトリビュートを定義します。次の項目について説明します。

「RADIUS 設定手順の確認」

「セキュリティ アプライアンスの RADIUS 認可アトリビュート」

「セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート」

RADIUS 設定手順の確認

この項では、適応型セキュリティ アプライアンスのユーザ認証および認可をサポートするために必要な RADIUS 設定手順について説明します。次の手順に従って、適応型セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。


ステップ 1 適応型セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリビュートをロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバには、これらのアトリビュートがすでに統合されています。したがって、この手順をスキップできます。

FUNK RADIUS サーバを使用している場合:シスコは、適応型セキュリティ アプライアンスのアトリビュートがすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたは適応型セキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):適応型セキュリティ アプライアンスの各アトリビュートを手動で定義する必要があります。アトリビュートを定義するには、アトリビュート名または番号、タイプ、値、ベンダー コード(3076)を使用します。適応型セキュリティ アプライアンスの RADIUS 認可アトリビュートおよび値のリストについては、を参照してください。

ステップ 2 権限およびアトリビュートを持つユーザまたはグループをセットアップし、IPSec または SSL トンネルの確立時に送信します。


 

セキュリティ アプライアンスの RADIUS 認可アトリビュート

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。

表 C-7 に、ユーザ認可に使用でき、適応型セキュリティ アプライアンスがサポートしている使用可能なすべての RADIUS アトリビュートの一覧を示します。


) RADIUS アトリビュート名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS のアトリビュート名にはまだ cVPN3000 プレフィックスが含まれています。アプライアンスは、アトリビュート名ではなく数値のアトリビュート ID に基づいて、RADIUS アトリビュートを使用します。LDAP アトリビュートは、ID ではなくアトリビュート名で使用します。


 

表 C-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
構文/タイプ
シングルまたはマルチ値
説明または値

Access-Hours

Y

Y

Y

1

文字列

シングル

時間範囲の名前(Business-hours など)

Simultaneous-Logins

Y

Y

Y

2

整数

シングル

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

シングル

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

シングル

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

シングル

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

シングル

IP アドレス

SEP-Card-Assignment

9

整数

シングル

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

シングル

1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN
4 および 8 は相互排他値、0 ~ 11 および 16 ~ 27 は有効値

IPSec-Sec-Association

Y

12

文字列

シングル

セキュリティ アソシエーションの名前

IPSec-Authentication

Y

13

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

文字列

シングル

バナー文字列

IPSec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

PPTP-Encryption

Y

20

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

Group-Policy

Y

Y

25

文字列

シングル

リモート アクセス VPN セッションのグループポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこのアトリビュートを使用します。次の 3 つの形式のいずれかを使用できます。

<グループポリシー名>

OU=<グループポリシー名>

OU=<グループポリシー名>;

IPSec-Split-Tunnel-List

Y

Y

Y

27

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセスリストの名前を指定します。

IPSec-Default-Domain

Y

Y

Y

28

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Split-DNS-Names

Y

Y

Y

29

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Tunnel-Type

Y

Y

Y

30

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-Mode-Config

Y

Y

Y

31

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

34

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

35

整数

シングル

4001 ~ 49151、デフォルトは 10000

Banner2

Y

Y

Y

36

文字列

シングル

Banner1 文字列に連結されているバナー文字列(設定されている場合)。

PPTP-MPPC-Compression

Y

37

整数

シングル

0 = ディセーブル
1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

シングル

0 = ディセーブル
1 = イネーブル

IPSec-IP-Compression

Y

Y

Y

39

整数

シングル

0 = ディセーブル
1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

シングル

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

シングル

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:
1 = BlackIce Defender/Agent

Sygate 製品:
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

シングル

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

シングル

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

シングル

0 = ディセーブル
1 = イネーブル

IPSec-Split-Tunneling-Policy

Y

Y

Y

55

整数

シングル

0 = スプリット トンネリングなし
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPSec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

シングル

0 = 必須
1 = オプション

IPSec-Backup-Servers

Y

Y

Y

59

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y

Y

Y

60

文字列

シングル

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y

Y

Y

61

文字列

シングル

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

シングル

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Authorization-Required

Y

66

整数

シングル

0 = No
1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

シングル

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

シングル

1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

文字列

シングル

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

シングル

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

シングル

アクセスリスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

シングル

URL(http://example-portal.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

シングル

IPSec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

シングル

名前の文字列(「Corporate-Apps」など)

このテキストでクライアントレス ポータル ホームページのデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

文字列

シングル

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

シングル

1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

文字列

シングル

改行(¥n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

シングル

0 = なし
1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

シングル

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

シングル

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

シングル

アクセスリスト ID

Access-List-Outbound

Y

Y

87

文字列

シングル

アクセスリスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

シングル

0 = No
1 = Yes

NAC-Enable

Y

89

整数

シングル

0 = No
1 = Yes

NAC-Status-Query-Timer

Y

90

整数

シングル

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

シングル

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセスリスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

シングル

0 = ディセーブル
1 = イネーブル

SVC-Keepalive

Y

Y

107

整数

シングル

0 = オフ
15 ~ 600 秒

SVC-DPD-Interval-Client

Y

Y

108

整数

シングル

0 = オフ
5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

Y

109

整数

シングル

0 = オフ
5 ~ 3600 秒

SVC-Rekey-Time

Y

110

整数

シングル

0 = ディセーブル
1 ~ 10080 分

WebVPN-Deny-Message

Y

116

文字列

シングル

有効な文字列(500 文字以内)

Extended-Authentication-On-Rekey

Y

Y

122

整数

シングル

0 = ディセーブル
1 = イネーブル

SVC-DTLS

Y

123

整数

シングル

0 = False
1 = True

SVC-MTU

Y

125

整数

シングル

MTU 値
256 ~ 1406 バイト

SVC-Modules

Y

127

文字列

シングル

文字列(モジュールの名前)

SVC-Profiles

Y

128

文字列

シングル

文字列(プロファイルの名前)

SVC-Ask

Y

131

文字列

シングル

0 = ディセーブル
1 = イネーブル
3 = デフォルト サービスをイネーブルにする
5 = デフォルト クライアントレスをイネーブルにする
(2 と 4 は使用しない)

SVC-Ask-Timeout

Y

132

整数

シングル

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

文字列

シングル

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Smart-Tunnel

Y

136

文字列

シングル

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

整数

シングル

0 = ディセーブル
その他 = イネーブル

Smart-Tunnel-Auto

Y

138

整数

シングル

0 = ディセーブル
1 = イネーブル
2 = 自動スタート

Smart-Tunnel-Auto-Signon-Enable

Y

139

文字列

シングル

ドメイン名が付加された Smart Tunnel Auto Signon リストの名前

VLAN

Y

140

整数

シングル

0 - 4094

NAC-Settings

Y

141

文字列

シングル

NAC ポリシーの名前

Member-Of

Y

Y

145

文字列

シングル

カンマ区切りの文字列。例:

エンジニアリング、営業

これは、ダイナミック アクセス ポリシーで使用できる管理アトリビュートです。グループポリシーは設定されません。

Address-Pools

Y

Y

217

文字列

シングル

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

文字列

シングル

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

文字列

シングル

ACL 値

Privilege-Level

Y

Y

220

整数

シングル

0 ~ 15 の整数。

WebVPN-Macro-Value1

Y

223

文字列

シングル

無制限。例および使用例については、次の URL にある
『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Value2

Y

224

文字列

シングル

無制限。例および使用例については、次の URL にある
『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート

表 C-8 に、使用可能なすべての IETF Radius アトリビュートの一覧を示します。

表 C-8 セキュリティ アプライアンスでサポートされる IETF RADIUS アトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
構文/タイプ
シングルまたはマルチ値
説明または値

IETF-Radius-Class

Y

Y

Y

25

シングル

リモート アクセス VPN セッションのグループポリシーを設定します。バージョン 8.2 以降では、Group-Policy アトリビュートの使用をお勧めします。次の 3 つの形式のいずれかを使用できます。

<グループポリシー名>

OU=<グループポリシー名>

OU=<グループポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

11

文字列

シングル

適応型セキュリティ アプライアンスで定義されたアクセスリスト名。これは、フルトンネルの IPsec クライアントと SSL VPN クライアントのみに適用されます。

IETF-Radius-Framed-IP-Address

Y

Y

Y

該当なし

文字列

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

該当なし

文字列

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

28

整数

シングル

IETF-Radius-Service-Type

Y

Y

Y

6

整数

シングル

秒。使用可能なサービス タイプの値:
.Administrative:ユーザは configure プロンプトへのアクセスを許可されています。

.NAS-Prompt:ユーザは exec プロンプトへのアクセスを許可されています。

.remote-access:ユーザはネットワーク アクセスを許可されています。

IETF-Radius-Session-Timeout

Y

Y

Y

27

整数

シングル

外部 TACACS+ サーバの設定

適応型セキュリティ アプライアンス は、TACACS+ アトリビュートをサポートします。TACACS+ は、認証、認可、およびアカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類のアトリビュートをサポートします。サーバとクライアントの両方で必須アトリビュートを解釈できる必要があり、また、必須アトリビュートはユーザに適用する必要があります。オプションのアトリビュートは、解釈または使用できることも、できないこともあります。


) TACACS+ アトリビュートを使用するには、NAS で AAA サービスをイネーブルにしておいてください。


表 C-9 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 認可応答アトリビュートの一覧を示します。 表 C-10 に、サポートされている TACACS+ アカウンティング アトリビュートの一覧を示します。

 

表 C-9 サポートされる TACACS+ 認可応答アトリビュート

アトリビュート
説明

acl

接続に適用する、ローカルで設定済みのアクセスリストを識別します。

idletime

認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。

timeout

認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。

.

表 C-10 サポートされる TACACS+ アカウンティング アトリビュート

アトリビュート
説明

bytes_in

この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。

cmd

実行するコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

切断理由を特定する数字コードを示します(ストップ レコードのみ)。

elapsed_time

接続の経過時間(秒)を定義します(ストップ レコードのみ)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

local_ip

トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求に対するユーザの権限レベル、または 1 に設定されます。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェル」に設定されます。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。