Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
接続プロファイル、グループポリシー、 およびユーザの設定
接続プロファイル、グループポリシー、およびユーザの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

接続プロファイル、グループポリシー、およびユーザの設定

接続プロファイル、グループポリシー、およびユーザの概要

接続プロファイル

接続プロファイルの一般接続パラメータ

IPSec トンネルグループ接続パラメータ

接続プロファイルの SSL VPN セッション接続パラメータ

接続プロファイルの設定

接続プロファイルの最大数

デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション

IPSec トンネルグループの一般アトリビュートの設定

IPSec リモートアクセス接続プロファイルの設定

IPSec リモートアクセス接続プロファイルの名前とタイプの指定

IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定

二重認証の設定

IPv6 VPN アクセスのイネーブル化

IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定

IPSec リモートアクセス接続プロファイルの PPP アトリビュートの設定

LAN-to-LAN 接続プロファイルの設定

デフォルトの LAN-to-LAN 接続プロファイルのコンフィギュレーション

LAN-to-LAN 接続プロファイルの名前とタイプの指定

LAN-to-LAN 接続プロファイルの一般アトリビュートの設定

LAN-to-LAN IPSec アトリビュートの設定

クライアントレス SSL VPN セッションの接続プロファイルの設定

クライアントレス SSL VPN セッションの接続プロファイル名とタイプの指定

クライアントレス SSL VPN セッションの一般トンネルグループ アトリビュートの設定

クライアントレス SSL VPN セッションのトンネルグループ アトリビュートの設定

クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ

パスワード管理用の Microsoft Active Directory の設定

次回ログイン時にパスワードの変更をユーザに強制するための Active Directory の使用

Active Directory を使用したパスワードの最大有効日数の指定

Active Directory を使用した Account Disabled AAA インジケータの上書き

Active Directory を使用した最小パスワード長の強制

Active Directory を使用したパスワードの複雑性の強制

AnyConnect クライアントをサポートする RADIUS/SDI メッセージの接続プロファイルの設定

AnyConnect クライアントと RADIUS/SDI サーバのインタラクション

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

グループポリシー

デフォルトのグループポリシー

グループポリシーの設定

外部グループポリシーの設定

内部グループポリシーの設定

グループポリシー アトリビュートの設定

WINS サーバと DNS サーバの設定

VPN 固有のアトリビュートの設定

セキュリティ アトリビュートの設定

バナー メッセージの設定

IPSec-UDP アトリビュートの設定

スプリット トンネリング アトリビュートの設定

トンネリング用のドメイン アトリビュートの設定

VPN ハードウェア クライアントのアトリビュートの設定

バックアップ サーバ アトリビュートの設定

Microsoft Internet Explorer クライアントのパラメータの設定

ネットワーク アドミッション コントロールのパラメータの設定

アドレス プールの設定

ファイアウォール ポリシーの設定

クライアント アクセス規則の設定

グループポリシーのクライアントレス SSL VPN セッションのアトリビュートの設定

ユーザ アトリビュートの設定

ユーザ名のコンフィギュレーションの表示

特定ユーザのアトリビュートの設定

ユーザのパスワードと特権レベルの設定

ユーザ アトリビュートの設定

VPN ユーザ アトリビュートの設定

特定ユーザのクライアントレス SSL VPN アクセスの設定

接続プロファイル、グループポリシー、およびユーザの設定

この章では、VPN の接続プロファイル(以前は「トンネルグループ」と呼ばれていました)、グループポリシー、およびユーザの設定方法について説明します。次の事項について説明します。

「接続プロファイル、グループポリシー、およびユーザの概要」

「接続プロファイルの設定」

「グループポリシー」

「ユーザ アトリビュートの設定」

要約すると、最初に接続プロファイルを設定して、接続用の値を設定します。次に、グループポリシーを設定します。グループポリシーでは、ユーザの集合に関する値が設定されます。その後、ユーザを設定します。ユーザはグループの値を継承でき、さらに個別のユーザ単位に特定の値を設定することができます。この章では、これらのエンティティを設定する方法と理由について説明します。

接続プロファイル、グループポリシー、およびユーザの概要

グループとユーザは、バーチャル プライベート ネットワーク(VPN)のセキュリティ管理と適応型セキュリティ アプライアンスの設定における中核的な概念です。グループとユーザで指定されるアトリビュートによって、VPN へのユーザ アクセスと VPN の使用方法が決定されます。 グループ は、ユーザの集合を 1 つのエンティティとして扱うものです。 ユーザ のアトリビュートは、 グループポリシー から取得されます。 接続プロファイル では、特定の接続用のグループポリシーを指定します。ユーザに特定のグループポリシーを割り当てない場合は、その接続のデフォルトのグループポリシーが適用されます。


) 接続プロファイルは、tunnel-group コマンドを使用して設定します。この章では、「接続プロファイル」と「トンネルグループ」という用語が同義的によく使用されています。


接続プロファイルとグループポリシーを使用すると、システム管理が簡略化されます。コンフィギュレーション タスクを効率化するために、適応型セキュリティ アプライアンスにはデフォルトの LAN-to-LAN 接続プロファイル、デフォルトのリモート アクセス接続プロファイル、SSL VPN 用のデフォルトの接続プロファイル、およびデフォルトのグループポリシー(DfltGrpPolicy)が用意されています。デフォルトの接続プロファイルとグループポリシーでは、多くのユーザに共通すると考えられる設定が提供されます。ユーザを追加するときに、ユーザがグループポリシーからパラメータを「継承」するように指定できます。この指定により、多数のユーザの VPN アクセスを迅速に設定することができます。

すべての VPN ユーザに同一の権限を許可する場合は、特定の接続プロファイルやグループポリシーを設定する必要はありませんが、VPN がそのように使用されることはほとんどありません。たとえば、経理グループ、カスタマー サポート グループ、および MIS(経営情報システム)グループが、プライベート ネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS の特定のユーザにシステムへのアクセスを許可し、その他の MIS ユーザはアクセスできないようにする場合もあります。接続プロファイルとグループポリシーにより、このような柔軟な設定を安全に実行することができます。


) 適応型セキュリティ アプライアンスには、オブジェクト グループという概念もあります。これは、ネットワーク リストのスーパーセットです。オブジェクト グループを使用すると、ポートやネットワークに対する VPN アクセスを定義することができます。オブジェクト グループは、グループポリシーや接続プロファイルよりも、ACL と関連があります。オブジェクト グループの使用方法の詳細については、「オブジェクトの設定」を参照してください。


セキュリティ アプライアンスでは、さまざまなソースからアトリビュート値を適用できます。アトリビュート値は次の階層に従って適用されます。

1. Dynamic Access Policy(DAP)レコード

2. ユーザ名

3. グループポリシー

4. 接続プロファイル用のグループポリシー

5. デフォルトのグループポリシー

そのため、アトリビュートの DAP 値は、ユーザ、グループポリシー、または接続プロファイル用に設定された値よりもプライオリティが高くなっています。

DAP レコードのアトリビュートをイネーブルまたはディセーブルにすると、適応型セキュリティ アプライアンスはその値を適用して実行します。たとえば、dap webvpn モードで HTTP プロキシをディセーブルにすると、セキュリティ アプライアンスはそれ以上値を検索しません。代わりに、http-proxy コマンドの no 値を使用すると、アトリビュートは DAP レコードに存在しないため、適用する値を検索するために、セキュリティ アプライアンスはユーザ名の AAA アトリビュート、および必要に応じてグループポリシーに移動して適用する値を検出します。ASDM を使用して DAP を設定することをお勧めします。

接続プロファイル

接続プロファイルは、トンネル接続ポリシーを決定するレコードのセットで構成されます。これらのレコードは、トンネル ユーザが認証先サーバ、および接続情報の送信先となるアカウンティング サーバ(存在する場合)を特定します。また、これらのレコードには、接続用のデフォルト グループポリシーも指定され、さらにプロトコル固有の接続パラメータも含まれています。接続プロファイルには、トンネル自体の作成に関連する少数のアトリビュートが含まれます。接続プロファイルには、ユーザ関連のアトリビュートを定義するグループポリシーへのポインタも含まれます。

適応型セキュリティ アプライアンスには、LAN-to-LAN 接続用の DefaultL2Lgroup、リモートアクセス用の DefaultRAgroup、および SSL VPN(ブラウザベース)接続用の DefaultWEBVPNGroup という、デフォルト接続プロファイルがあります。これらのデフォルト接続プロファイルは変更できますが、削除はできません。また、環境に固有の接続プロファイルを 1 つ以上作成することもできます。接続プロファイルは、適応型セキュリティ アプライアンスのローカルな設定であり、外部サーバでは設定できません。

接続プロファイルでは、次のアトリビュートが指定されます。

「接続プロファイルの一般接続パラメータ」

「IPSec トンネルグループ接続パラメータ」

「接続プロファイルの SSL VPN セッション接続パラメータ」

接続プロファイルの一般接続パラメータ

一般パラメータは、すべての VPN 接続に共通です。一般パラメータには、次のものがあります。

接続プロファイル名:接続プロファイル名は、接続プロファイルを追加または編集するときに指定します。次の注意事項があります。

認証に事前共有キーを使用するクライアントの場合、接続プロファイル名はクライアントが適応型セキュリティ アプライアンスに渡すグループ名と同じです。

認証に証明書を使用するクライアントはこの名前を証明書の一部として渡し、適応型セキュリティ アプライアンスが証明書からこの名前を抽出します。

接続タイプ:接続タイプには、IPSec リモート アクセス、IPSec LAN-to-LAN、および SSL VPN が含まれます。接続プロファイルでは、1 つの接続タイプだけ指定できます。

認証、認可、アカウンティング サーバ:これらのパラメータでは、適応型セキュリティ アプライアンスが次の目的で使用するサーバのグループまたはリストを指定します。

ユーザの認証

ユーザがアクセスを認可されたサービスに関する情報の取得

アカウンティング レコードの保存

サーバ グループは、1 つ以上のサーバで構成されます。

接続用のデフォルト グループポリシー:グループポリシーは、ユーザ関連のアトリビュートのセットです。デフォルト グループポリシーは、適応型セキュリティ アプライアンスがトンネル ユーザを認証または認可する際にデフォルトで使用するアトリビュートを含んだグループポリシーです。

クライアント アドレスの割り当て方式:この方式には、適応型セキュリティ アプライアンスがクライアントに割り当てる 1 つ以上の DHCP サーバまたはアドレス プールの値が含まれます。

アカウント無効の上書き:このパラメータを使用すると、AAA サーバから受信した「account-disabled」インジケータを上書きできます。

パスワード管理:このパラメータを使用すると、現在のパスワードが指定日数(デフォルトは 14 日)で期限切れになることをユーザに警告して、パスワードを変更する機会をユーザに提供できます。

グループ除去および領域除去:これらのパラメータにより、適応型セキュリティ アプライアンスが受信するユーザ名を処理する方法が決まります。これらは、user@realm の形式で受信するユーザ名にだけ適用されます。領域は @ デリミタ付きでユーザ名に付加される管理ドメインです(user@abc)。

strip-group コマンドを指定すると、適応型セキュリティ アプライアンスは、VPN クライアントによって提示されたユーザ名からグループ名を取得することによって、ユーザ接続の接続プロファイルを選択します。次に、適応型セキュリティ アプライアンスは、認可および認証のためにユーザ名のユーザ部分だけを送信します。それ以外の場合(ディセーブルになっている場合)、適応型セキュリティ アプライアンスは領域を含むユーザ名全体を送信します。

strip-realm 処理では、認証または認可サーバにユーザ名を送信するときに、ユーザ名から領域が削除されます。このコマンドがイネーブルになっている場合、適応型セキュリティ アプライアンスは、認可および認証のためにユーザ名のユーザ部分だけを送信します。イネーブルになっていない場合、適応型セキュリティ アプライアンスはユーザ名全体を送信します。

認可の要求:このパラメータを使用すると、ユーザ接続の前に認可を要求したり、またはその要求を取り下げたりできます。

認可 DN アトリビュート:このパラメータは、認可を実行するときに使用する認定者名アトリビュートを指定します。

IPSec トンネルグループ接続パラメータ

IPSec パラメータには、次のものがあります。

クライアント認証方式:事前共有キー、証明書、または両方。

事前共有キーに基づいた IKE 接続の場合、接続ポリシーに関連付けられた英数字のキー自体です(最大 128 文字)。

ピア ID 確認の要求:このパラメータは、ピアの証明書を使用してピアの ID を確認することを要求するかどうかを指定します。

認証方式に証明書または両方を指定する場合、エンド ユーザは認証のために有効な証明書を指定する必要があります。

拡張ハイブリッド認証方式:XAUTH およびハイブリッド XAUTH。

isakmp ikev1-user-authentication コマンドは、適応型セキュリティ アプライアンス認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。

ISAKMP(IKE)キープアライブの設定: この機能により、適応型セキュリティ アプライアンス はリモート ピアの継続的な存在をモニタし、自分自身の存在をピアに報告します。ピアが応答しなくなると、適応型セキュリティ アプライアンスは接続を削除します。IKE キープアライブをイネーブルにすると、IKE ピアが接続を失ったときに接続がハングしません。

IKE キープアライブにはさまざまな形式があります。この機能が動作するには、適応型セキュリティ アプライアンスとリモート ピアが共通の形式をサポートしている必要があります。この機能は、次のピアに対して動作します。

Cisco AnyConnet VPN Client

Cisco VPN Client(Release 3.0 以上)

Cisco VPN 3000 Client(Release 2.x)

Cisco VPN 3002 Hardware Client

Cisco VPN 3000 シリーズ Concentrator

Cisco IOS ソフトウェア

Cisco Secure PIX Firewall

シスコ以外の VPN クライアントは IKE キープアライブをサポートしません。

IKE キープアライブをサポートするピアとサポートしないピアが混在するグループを設定する場合は、グループ全体に対して IKE キープアライブをイネーブルにします。この機能をサポートしないピアに影響はありません。

IKE キープアライブをディセーブルにすると、応答しないピアとの接続はタイムアウトになるまでアクティブのままになるため、アイドル タイムアウトを短くすることをお勧めします。アイドル タイムアウトを変更するには、「グループポリシーの設定」を参照してください。


) ISDN 回線経由で接続するクライアントがグループに含まれる場合は、接続コストを削減するために IKE キープアライブをディセーブルにしてください。通常、ISDN 接続はアイドルになると切断されますが、IKE キープアライブのメカニズムによって接続がアイドル状態にならないため、切断されなくなります。

IKE キープアライブをディセーブルにすると、クライアントは IKE キーと IPSec キーのどちらかの期限が満了した場合にだけ切断されます。IKE キープアライブがイネーブルになっている場合とは異なり、障害が発生したトラフィックは Peer Timeout Profile 値を持つトンネルから切断されません。



) IKE メイン モードを使用する LAN-to-LAN コンフィギュレーションの場合は、2 つのピアの IKE キープアライブのコンフィギュレーションが同じであることを確認してください。両方のピアで IKE キープアライブがイネーブルになっているか、または両方のピアで IKE キープアライブがディセーブルになっている必要があります。


デジタル証明書を使用して認証を設定する場合、証明書チェーン全体を送信する(ID 証明書と発行するすべての証明書をピアに送信する)か、証明書だけを発行する(ルート証明書とすべての下位 CA 証明書を含む)かを指定できます。

Windows クライアント ソフトウェアの古いバージョンを使用しているユーザに、クライアントをアップデートする必要があることを通知し、アップデートされたクライアント バージョンをユーザが取得するためのメカニズムを提供できます。VPN 3002 ハードウェア クライアント ユーザの場合は、自動アップデートをトリガーできます。すべての接続プロファイルまたは特定の接続プロファイルに対して、client-update を設定および変更できます。

デジタル証明書を使用して認証を設定する場合は、IKE ピアに送信する証明書を識別するトラストポイントの名前を指定できます。

接続プロファイルの SSL VPN セッション接続パラメータ

表 62-1 は、SSL VPN(AnyConnect クライアントおよびクライアントレス)接続に固有の接続プロファイルのアトリビュートのリストです。これらのアトリビュートに加えて、すべての VPN 接続に共通の一般接続プロファイルのアトリビュートを設定します。接続プロファイルの設定に関する手順ごとの情報については、「クライアントレス SSL VPN セッションの接続プロファイルの設定」を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」として知られていました。接続プロファイルは tunnel-group コマンドで設定します。この章では、この 2 つの用語が同義的によく使用されています。


 

表 62-1 SSL VPN 用 接続プロファイルのアトリビュート

コマンド
機能

authentication

認証方式、AAA または証明書を設定します。

customization

適用するすでに定義済みのカスタマイゼーションの名前を指定します。カスタマイゼーションによって、ログイン時にユーザに表示されるウィンドウの外観が決まります。カスタマイゼーション パラメータは、クライアントレス SSL VPN の設定の一部として設定します。

nbns-server

CIFS 名前解決に使用する NetBIOS ネーム サービス サーバ(nbns-server)の名前を指定します。

group-alias

サーバから接続プロファイルを参照できる 1 つ以上の代替名を指定します。ログイン時に、ユーザはドロップダウン メニューからグループ名を選択します。

group-url

1 つ以上のグループ URL を指定します。このアトリビュートを設定する場合、指定した URL にアクセスするユーザは、ログイン時にグループを選択する必要はありません。

dns-group

DNS サーバ名、ドメイン名、ネーム サーバ、リトライ回数、および接続ファイルで使用される DNS サーバのタイムアウト値を指定する DNS サーバ グループを指定します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用して、グループベース ポリシー アトリビュートを「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合は、VPN 機能ポリシーを指定します。

override-svc-download

AnyConnect VPN クライアントをリモート ユーザにダウンロードするために、設定されているグループポリシー アトリビュートまたはユーザ名アトリビュートのダウンロードが上書きされます。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

接続プロファイルの設定

次の項では、接続プロファイルの内容および設定について説明します。

「接続プロファイルの最大数」

「デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション」

「IPSec リモートアクセス接続プロファイルの名前とタイプの指定」

「IPSec リモートアクセス接続プロファイルの設定」

「LAN-to-LAN 接続プロファイルの設定」

「クライアントレス SSL VPN セッションの接続プロファイルの設定」

「クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ」

「AnyConnect クライアントをサポートする RADIUS/SDI メッセージの接続プロファイルの設定」

デフォルトの接続プロファイルを変更し、3 つのトンネルグループ タイプのいずれかで新しい接続プロファイルを設定できます。接続プロファイル内のアトリビュートを明示的に設定しない場合、アトリビュートはデフォルトの接続プロファイルからその値を取得します。デフォルトの接続プロファイル タイプはリモートアクセスです。その後のパラメータは、選択したトンネル タイプによって異なります。デフォルト 接続プロファイルも含めて、すべての接続プロファイルの現在のコンフィギュレーションとデフォルトのコンフィギュレーションを確認するには、 show running-config all tunnel-group コマンドを入力します。

接続プロファイルの最大数

1 つの適応型セキュリティ アプライアンスがサポートできる接続プロファイル(トンネル グループ)の最大数は、プラットフォームの同時 VPN セッションの最大数 + 5 の関数です。たとえば、ASA5505 は、同時に最大 25 の VPN セッションをサポートし、30 のトンネル グループ(25+5)を許可します。制限値を超えてトンネル グループを追加しようとすると、「ERROR: The limit of 30 configured tunnel groups has been reached」というメッセージが出力されます。

表 62-2 は、各 ASA プラットフォームの VPN セッションと接続プロファイルの最大数を示します。

 

表 62-2 VPN セッションおよび接続プロファイルの最大数(ASA プラットフォームごと)

 
5505 基本/
Security Plus
5510/基本/
Security Plus
5520
 
5540
 
5550
 
5580-20
 
5580-40
 

VPN セッションの最大数

10/25

250

750

5000

5000

10,000

10,000

接続プロファイルの最大数

15/30

255

755

5005

5005

10,005

10,005

デフォルトの IPSec リモートアクセス接続プロファイルのコンフィギュレーション

デフォルトのリモートアクセス接続プロファイルの内容は、次のとおりです。

tunnel-group DefaultRAGroup type remote-access
tunnel-group DefaultRAGroup general-attributes
no address-pool
no ipv6-address-pool
authentication-server-group LOCAL
accounting-server-group RADIUS
default-group-policy DfltGrpPolicy
no dhcp-server
no strip-realm
no password-management
no override-account-disable
no strip-group
no authorization-required
authorization-dn-attributes CN OU
tunnel-group DefaultRAGroup webvpn-attributes
hic-fail-group-policy DfltGrpPolicy
customization DfltCustomization
authentication aaa
no override-svc-download
no radius-reject-message
dns-group DefaultDNS
tunnel-group DefaultRAGroup ipsec-attributes
no pre-shared-key
peer-id-validate req
no chain
no trust-point
isakmp keepalive threshold 1500 retry 2
no radius-sdi-xauth
isakmp ikev1-user-authentication xauth
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
no authentication ms-chap-v2
no authentication eap-proxy
 

IPSec トンネルグループの一般アトリビュートの設定

一般アトリビュートは、複数のトンネルグループ タイプに共通です。IPSec リモートアクセス トンネルとクライアントレス SSL VPN トンネルでは、同じ一般アトリビュートの大部分を共有しています。IPSec LAN-to-LAN トンネルは、サブセットを使用します。すべてのコマンドの詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。次の項では、IPSec リモートアクセス接続プロファイル、IPSec LAN-to-LAN 接続プロファイル、およびクライアントレス SSL VPN 接続プロファイルの設定方法について説明します。

IPSec リモートアクセス接続プロファイルの設定

ハードウェアまたはソフトウェア クライアントを使用して、リモート クライアントと中央サイトの適応型セキュリティ アプライアンス間の接続をセットアップする場合は、IPSec リモートアクセス接続プロファイルを使用します。IPSec リモートアクセス接続プロファイルを設定するには、トンネルグループ一般アトリビュートを設定してから、IPSec リモートアクセス アトリビュートを設定します。IPSec リモートアクセス VPN 接続プロファイルは、リモートアクセス IPSec クライアント接続にだけ適用されます。IPSec リモートアクセス接続プロファイルを設定するには、次の項を参照してください。

「IPSec リモートアクセス接続プロファイルの名前とタイプの指定」

「IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定」

「IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定」

IPSec リモートアクセス接続プロファイルの名前とタイプの指定

tunnel-group コマンドを入力し、名前とタイプを指定して、接続プロファイルを作成します。IPSec リモートアクセス トンネルの場合、タイプは remote-access です。

hostname(config)# tunnel-group tunnel_group_name type remote-access
hostname(config)#
 

たとえば、TunnelGroup1 という名前の IPSec リモートアクセス接続プロファイルを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup1 type remote-access
hostname(config)#
 

IPSec リモートアクセス接続プロファイルの一般アトリビュートの設定

接続プロファイルの一般アトリビュートを設定または変更するには、次の手順でパラメータを指定します。


ステップ 1 一般アトリビュートを設定するには、 tunnel-group general-attributes コマンドを入力します。これで、トンネルグループ一般アトリビュート コンフィギュレーション モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel_group_name general-attributes
hostname(config-tunnel-general)#
 

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したサーバ グループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

hostname(config-tunnel-general)# authentication-server-group [(interface_name)] groupname [LOCAL]
hostname(config-tunnel-general)#
 

認証サーバ グループの名前は、最大 16 文字です。

オプションで、グループ名の後ろにインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。IPSec トンネルの終了場所を指定するインターフェイス名は、丸カッコで囲む必要があります。次のコマンドでは、認証にサーバ servergroup1 を使用する test という名前のインターフェイスのインターフェイス固有の認証が設定されます。

hostname(config-tunnel-general)# authentication-server-group (test) servergroup1
hostname(config-tunnel-general)#
 

ステップ 3 使用する認可サーバ グループの名前を指定します(存在する場合)。この値を設定する場合、ユーザは接続する認可データベースに存在する必要があります。

hostname(config-tunnel-general)# authorization-server-group groupname
hostname(config-tunnel-general)#
 

認可サーバ グループの名前は、最大 16 文字です。たとえば、次のコマンドは、認可サーバ グループ FinGroup を使用することを指定しています。

hostname(config-tunnel-general)# authorization-server-group FinGroup
hostname(config-tunnel-general)#
 

ステップ 4 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

アカウンティング サーバ グループの名前は、最大 16 文字です。たとえば、次のコマンドは、アカウンティングサーバ グループ comptroller を使用することを指定しています。

hostname(config-tunnel-general)# accounting-server-group comptroller
hostname(config-tunnel-general)#
 

ステップ 5 デフォルト グループポリシーの名前を指定します。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

グループポリシーの名前は、最大 64 文字です。次の例では、デフォルト グループポリシーの名前として DfltGrpPolicy を設定しています。

hostname(config-tunnel-general)# default-group-policy DfltGrpPolicy
hostname(config-tunnel-general)#
 

ステップ 6 DHCP サーバ(最大 10 サーバ)の名前または IP アドレス、および DHCP アドレス プール(最大 6 プール)の名前を指定します。デフォルトでは、DHCP サーバとアドレス プールは使用されません。dhcp-server コマンドを使用すると、VPN クライアントの IP アドレスを取得しようとしているときに、指定した DHCP サーバに追加のオプションを送信するようにセキュリティ アプライアンスを設定できます。詳細については、『Cisco Security Appliance Command Reference』の dhcp-server コマンドを参照してください。

hostname(config-tunnel-general)# dhcp-server server1 [...server10]
hostname(config-tunnel-general)# address-pool [(interface name)] address_pool1 [...address_pool6]
hostname(config-tunnel-general)#
 

) インターフェイス名を指定する場合は、丸カッコで囲む必要があります。


アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。

ステップ 7 ネットワーク アドミッション コントロールを使用している場合は、ネットワーク アドミッション コントロール ポスチャ検証で使用される認証サーバのグループを特定するために、NAC 認証サーバ グループの名前を指定します。NAC をサポートするために、少なくとも 1 つの Access Control Server を設定します。 aaa-server コマンドを使用して ACS グループに名前を付けます。次に、 nac-authentication-server-group コマンドを使用します。サーバ グループには同じ名前を使用します。

次の例では、NAC ポスチャ検証に使用される認証サーバ グループとして acs-group1 を指定します。

hostname(config-group-policy)# nac-authentication-server-group acs-group1
hostname(config-group-policy)
 

次の例では、デフォルトのリモートアクセス グループから認証サーバ グループを継承します。

hostname(config-group-policy)# no nac-authentication-server-group
hostname(config-group-policy)
 

) NAC を使用するには、リモート ホスト上に Cisco Trust Agent が存在する必要があります。


ステップ 8 ユーザ名を AAA サーバに渡す前に、ユーザ名からグループまたは領域を除去するかどうかを指定します。デフォルトでは、グループ名も領域も除去されません。

hostname(config-tunnel-general)# strip-group
hostname(config-tunnel-general)# strip-realm
hostname(config-tunnel-general)#
 

領域は管理ドメインです。領域を除去する場合、適応型セキュリティ アプライアンスはユーザ名およびグループ(ある場合)認証を使用します。グループを除去すると、適応型セキュリティ アプライアンスは認証にユーザ名と領域(ある場合)を使用します。領域修飾子を削除するには、 strip-realm コマンドを入力し、認証中にユーザ名からグループ修飾子を削除するには strip-group コマンドを使用します。両方の修飾子を削除すると、認証は username だけに基づいて行われます。それ以外の場合、認証は username@realm 文字列全体または username < delimiter > group 文字列に基づいて行われます。サーバでデリミタを解析できない場合は、 strip-realm を指定する必要があります。

ステップ 9 サーバが RADIUS、RADIUS with NT、または LDAP サーバの場合、オプションで、パスワード管理をイネーブルにできます。


) 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)および Microsoft Active Directory でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするように適応型セキュリティ アプライアンスで設定されている DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft:Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


この機能はデフォルトでイネーブルになっており、現在のパスワードの有効期限が近づくとユーザに警告を表示します。デフォルトでは、期限切れの 14 日前に警告が開始されます。

hostname(config-tunnel-general)# password-management
hostname(config-tunnel-general)#
 

サーバが LDAP サーバの場合、有効期限が近いことに関する警告が開始されるまでの日数(0 ~ 180)を指定できます。

hostname(config-tunnel-general)# password-management [password-expire in days n]
hostname(config-tunnel-general)#
 

) トンネルグループ一般アトリビュート コンフィギュレーション モードで入力した password-management コマンドによって、トンネルグループ ipsec アトリビュート モードで事前に入力された非推奨の radius-with-expiry コマンドが置き換えられます。


password-management コマンドを設定すると、リモート ユーザがログインするときに、適応型セキュリティ アプライアンスは、ユーザの現在のパスワードの有効期限が近づいていること、または期限が切れていることを通知します。このようにして、適応型セキュリティ アプライアンスは、ユーザにパスワードを変更する機会を提供します。現在のパスワードがまだ期限切れになっていない場合、ユーザはそのパスワードを使用して引き続きログインすることができます。RADIUS または LDAP 認証が設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。

これによってパスワードが期限切れになるまでの日数が変更されるわけではなく、適応型セキュリティ アプライアンスがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セキュリティ アプライアンスは、期限切れが近いことをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更できます。

詳細については、「パスワード管理用の Microsoft Active Directory の設定」を参照してください。


) 適応型セキュリティ アプライアンスのリリース 7.1 以降では、LDAP または MS-CHAPv2 をサポートする RADIUS 接続で認証を行うときに、AnyConnect VPN Client 接続、Cisco IPSec VPN Client 接続、SSL VPN フルトンネリング クライアント接続、およびクライアントレス接続に対するパスワード管理が一般的にサポートされています。Kerberos/AD(Windows パスワード)または NT 4.0 ドメインに対するこれらの接続タイプのいずれでも、パスワード管理はサポートされていません。

MS-CHAP をサポートする一部の RADIUS サーバでは、現在 MS-CHAPv2 はサポートされていません。password-management コマンドを使用するには、MS-CHAPv2 が必要なため、ベンダーに確認してください。

RADIUS サーバ(たとえば、Cisco ACS)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、適応型セキュリティ アプライアンス からは、RADIUS サーバと通信しているように見えます。

LDAP の場合、パスワードを変更するための方式は、市販の別の LDAP サーバ専用のものです。現在、適応型セキュリティ アプライアンスは、Microsoft Active Directory サーバと Sun LDAP サーバ用に、専用のパスワード管理ロジックを実装しています。ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を試行する前に、LDAP over SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。


ステップ 10 オプションで、 override-account-disable コマンドを入力して、AAA サーバからの account-disabled インジケータを上書きする機能を設定できます。

hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

) override-account-disable を許可することは、潜在的なセキュリティ リスクとなります。


ステップ 11 証明書から認可クエリー用の名前を得るために使用する 1 つまたは複数のアトリビュートを指定します。このアトリビュートにより、サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかが指定されます。

hostname(config-tunnel-general)# authorization-dn-attributes {primary-attribute [secondary-attribute] | use-entire-name}
 

たとえば、次のコマンドは、CN アトリビュートを認可用のユーザ名として使用することを指定しています。

hostname(config-tunnel-general)# authorization-dn-attributes CN
hostname(config-tunnel-general)#
 

authorization-dn-attributes は、 C (国)、 CN (通常名)、 DNQ (DN 修飾子)、 EA (電子メール アドレス)、 GENQ (世代修飾子)、 GN (名)、 I (イニシャル)、 L (地名)、 N (名前)、 O (組織)、 OU (組織ユニット)、 SER (シリアル番号)、 SN (姓)、 SP (州または都道府県)、 T (役職)、 UID (ユーザ ID)、および UPN (ユーザ プリンシパル ネーム)があります。

ステップ 12 ユーザに接続を許可する前に、そのユーザが正常に認可されている必要があるかどうかを指定します。デフォルトでは認可は要求されません。

hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#
 


 

二重認証の設定

二重認証は、ユーザがログイン画面に追加の認証クレデンシャル(2 つ目のユーザ名とパスワードなど)を入力するよう要求するオプションの機能です。二重認証を設定するには、次のコマンドを指定します。


ステップ 1 セカンダリ認証サーバ グループを指定します。このコマンドはセカンダリ AAA サーバとして使用する AAA サーバ グループを指定します。


) このコマンドは SSL VPN(クライアントレスおよび AnyConnect クライアント)接続にだけ適用されます。


セカンダリのサーバ グループでは SDI サーバ グループを指定できません。デフォルトでは、セカンダリ認証は必要ありません。

hostname(config-tunnel-general)# secondary-authentication-server-group [interface_name] {none | LOCAL | groupname [LOCAL]} [use-primary-name]
 

none キーワードを指定すると、セカンダリ認証は要求されません。 groupname 値は AAA サーバ グループ名を示します。ローカルは内部サーバ データベースを使用することを示し、groupname 値と併用すると、LOCAL はフォールバックを示します。たとえば、プライマリ認証サーバ グループを sdi_group に、セカンダリ認証サーバ グループを ldap_server に設定するには、次のコマンドを入力します。

hostname(config-tunnel-general)# authentication-server-group
hostname(config-tunnel-general)# secondary-authentication-server-group
 

use-primary-name キーワードを指定する場合、ログイン ダイアログは 1つのユーザ名だけ要求します。また、ユーザ名をデジタル証明書から抽出する場合、プライマリ ユーザ名だけが認証に使用されます。


ステップ 2 セカンダリ ユーザ名を証明書から取得する場合、secondary-username-from-certificate コマンドを指定します。

hostname(config-tunnel-general)# secondary-username-from-certificate C | CN | ... | use-script
 

セカンダリ ユーザ名として使用するために証明書から抽出する DN フィールドの値は、プライマリの username-from-certificate コマンドと同じです。または、use-script キーワードを指定して、ASDM によって生成されたスクリプト ファイルを使用するよう適応型セキュリティ アプライアンスに指示します。

たとえば、プライマリ ユーザ名フィールドとして通常名を、セカンダリ ユーザ名フィールドとして組織ユニットを指定するには、次のコマンドを入力します。

hostname(config-tunnel-general)# tunnel-group test1 general-attributes
hostname(config-tunnel-general)# username-from-certificate cn
hostname(config-tunnel-general)# secondary-username-from-certificate ou
 

ステップ 3 認証で使用するためにクライアント証明書からセカンダリ ユーザ名を抽出できるようにするには、トンネルグループ webvpn アトリビュート モードで secondary-pre-fill-username コマンドを指定します。このコマンドをクライアントレス接続または SSL VPN(AnyConnect)クライアント接続に適用するかどうか、抽出されたユーザ名をエンド ユーザに非表示にするかどうかを指定するキーワードを使用します。この機能は、デフォルトでディセーブルになっています。クライアントレス オプションと SSL クライアント オプションは同時に使用できますが、それぞれ別個のコマンドで設定する必要があります。

hostname(config-tunnel-general)# secondary-pre-fill-username-from-certificate {clientless | ssl-client} [hide]
 

たとえば、接続のプライマリとセカンダリの両方の認証に pre-fill-username を使用するには、次のコマンドを入力します。

hostname(config-tunnel-general)# tunnel-group test1 general-attributes
hostname(config-tunnel-general)# pre-fill-username ssl-client
hostname(config-tunnel-general)# secondary-pre-fill-username ssl-client
 

ステップ 4 接続に適用する認可アトリビュートを取得するために使用する認証サーバを指定します。デフォルトの選択は、プライマリ認証サーバです。このコマンドは二重認証でのみ意味を持ちます。

hostname(config-tunnel-general)# authentication-attr-from-server {primary | secondary}
 

たとえば、セカンダリ認証サーバを指定するには、次のコマンドを入力します。

hostname(config-tunnel-general)# tunnel-group test1 general-attributes
hostname(config-tunnel-general)# authentication-attr-from-server secondary
 

ステップ 5 セッションと関連付ける認証ユーザ名(プライマリまたはセカンダリ)を指定します。デフォルト値はプライマリです。二重認証をイネーブルにすると、2 つの別のユーザ名でセッションを認証できます。管理者はセッションのユーザ名として認証されたユーザ名のいずれかを指定する必要があります。セッションのユーザ名は、アカウンティング、セッション データベース、syslog、デバッグ出力に提供されるユーザ名です。

hostname(config-tunnel-general)# authenticated-session-username {primary | secondary}
 

たとえば、セッションと関連付ける認証ユーザ名をセカンダリ認証サーバから取得するよう指定するには、次のコマンドを入力します。

hostname(config-tunnel-general)# tunnel-group test1 general-attributes
hostname(config-tunnel-general)# authenticated-session-username secondary
 


 

IPv6 VPN アクセスのイネーブル化

適応型セキュリティ アプライアンスでは、パブリック IPv4 接続からの IPv6 リソースへのアクセスが許可されます(Windows XP SP2、Windows Vista、Mac OSX、および Linux のみ)。IPv6 アクセスを設定する場合は、コマンドライン インターフェイスを使用して IPv6 を設定する必要があります。ASDM は IPv6 をサポートしていません。

IPv6 アクセスをイネーブルにするには、SSL VPN 接続のイネーブル化の一部として ipv6 enable コマンドを使用します。次は、外部インターフェイスで IPv6 をイネーブルにする IPv6 接続の例です。

hostname(config)# interface GigabitEthernet0/0
hostname(config-if)# ipv6 enable
 

IPV6 SSL VPN をイネーブルにするには、次の一般的なアクションを実行します。

1. 外部インターフェイスで IPv6 をイネーブルにする。

2. 内部インターフェイスで IPv6 および IPv6 アドレスをイネーブルにする。

3. クライアント割り当て IP アドレス用に IPv6 アドレス ローカル プールを設定する。

4. IPv6 トンネルのデフォルト ゲートウェイを設定する。

この手順を実装するには、次の手順を実行します。


ステップ 1 インターフェイスを設定します。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.0.1 255.255.255.0
ipv6 enable ; Needed for IPv6.
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.0.1 255.255.0.0
ipv6 address 2001:DB8::1/32 ; Needed for IPv6.
ipv6 enable ; Needed for IPv6.
 

ステップ 2 「ipv6 local pool」(IPv6 アドレスの割り当てに使用)を設定します。

 
ipv6 local pool ipv6pool 2001:DB8:1:1::5/32 100 ; Use your IPv6 prefix here
 

) IPv6 を使用する場合でも、IPv4 アドレス プールを設定する必要があります(ip local pool コマンドを使用)。


ステップ 3 ipv6 アドレス プールをトンネルグループポリシー(またはグループポリシー)に追加します。

tunnel-group YourTunGrp1 general-attributes ipv6-address-pool ipv6pool
 

) ここでも、「address-pool」コマンドを使用して IPv4 アドレス プールを設定する必要があります。


ステップ 4 IPv6 トンネルのデフォルト ゲートウェイを設定します。

ipv6 route inside ::/0 X:X:X:X::X tunneled
 


 

IPSec リモートアクセス接続プロファイルの IPSec アトリビュートの設定

リモートアクセス接続プロファイルの IPSec アトリビュートを設定するには、次の手順を実行します。次の説明は、IPSec リモートアクセス接続プロファイルをすでに作成していることを前提としています。IPSec リモートアクセス接続プロファイルには、IPSec LAN-to-LAN 接続プロファイルよりも多くのアトリビュートがあります。


ステップ 1 IPSec リモートアクセス トンネルグループのアトリビュートを指定するには、次のコマンドを入力してトンネルグループ ipsec アトリビュート モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
hostname(config-tunnel-ipsec)#
 

このコマンドにより、トンネルグループ ipsec アトリビュート コンフィギュレーション モードに入ります。このモードで、リモートアクセス トンネルグループの IPSec アトリビュートを設定します。

たとえば、次のコマンドは、TG1 という名前の接続プロファイルに関係するトンネルグループ ipsec アトリビュート モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ipsec アトリビュート モードに入ったことがわかります。

hostname(config)# tunnel-group TG1 type remote-access
hostname(config)# tunnel-group TG1 ipsec-attributes
hostname(config-tunnel-ipsec)#
 

ステップ 2 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。たとえば、次のコマンドは、IPSec リモートアクセス接続プロファイルの IKE 接続をサポートするために、事前共有キー xyzx を指定しています。

hostname(config-tunnel-ipsec)# pre-shared-key xyzx
hostname(config-tunnel-ipsec)#
 

ステップ 3 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-tunnel-ipsec)# peer-id-validate option
hostname(config-tunnel-ipsec)#
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。

たとえば、次のコマンドは peer-id 検証が必要なことを指定しています。

hostname(config-tunnel-ipsec)# peer-id-validate req
hostname(config-tunnel-ipsec)#
 

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のコマンドは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#
 

このアトリビュートは、すべての IPSec トンネルグループ タイプに適用されます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-tunnel-ipsec)# trust-point trust-point-name
hostname(config-tunnel-ipsec)#
 

次のコマンドは、IKE ピアに送信する証明書の名前として mytrustpoint を指定しています。

hostname(config-ipsec)# trust-point mytrustpoint
 

ステップ 6 ISAKMP(IKE)キープアライブのしきい値と許可されるリトライ回数を指定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold <number> retry <number>
hostname(config-tunnel-ipsec)#
 

threshold パラメータでは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数(10 ~ 3600)で指定します。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間の間隔です(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

たとえば、次のコマンドは、IKE キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#
 

threshold パラメータのデフォルト値は、リモートアクセスの場合は 300、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。

中央サイト(「ヘッド エンド」)で、ISAKMP モニタリングを決して開始しないように指定するには、次のコマンドを入力します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold infinite
hostname(config-tunnel-ipsec)#
 

ステップ 7 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

isakmp ikev1-user-authentication コマンドは、適応型セキュリティ アプライアンス認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。ハイブリッド XAUTH によって、IKE のフェーズ 1 が次の 2 つの手順に分割されます。2 つ合せてハイブリッド認証と呼ばれます。

a. 適応型セキュリティ アプライアンスは、標準の公開キー技術を使用してリモート VPN ユーザに対して認証を行います。これにより、単方向認証である IKE セキュリティ アソシエーションを確立します。

b. 次に、XAUTH 交換によってリモート VPN ユーザが認証されます。この拡張認証では、サポートされているレガシーな認証方式のいずれかを使用できます。


) 認証タイプをハイブリッドに設定するには、認証サーバを設定して、事前共有キーを作成し、トラストポイントを設定する必要があります。


isakmp ikev1-user-authentication コマンドとオプションの interface パラメータを使用して、特定のインターフェイスを指定できます。interface パラメータを省略すると、このコマンドはすべてのインターフェイスに適用され、インターフェイスごとにコマンドが指定されていない場合のバックアップとして機能します。接続プロファイルに 2 つの isakmp ikev1-user-authentication コマンドを指定していて、1 つで interface パラメータを使用し、もう 1 つで使用しない場合、インターフェイスを指定するコマンドはその特定のインターフェイスを優先します。

たとえば、次のコマンドは、example-group と呼ばれる接続プロファイルの内部インターフェイスでハイブリッド XAUTH をイネーブルにします。

hostname(config)# tunnel-group example-group type remote-access
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#
 


 

IPSec リモートアクセス接続プロファイルの PPP アトリビュートの設定

リモートアクセス接続プロファイルのポイントツーポイント プロトコル アトリビュートを設定するには、次の手順を実行します。PPP アトリビュートは、IPSec リモートアクセスの接続プロファイルに だけ 適用されます。次の説明は、IPSec リモートアクセス接続プロファイルをすでに作成していることを前提としています。


ステップ 1 トンネルグループ ppp アトリビュート コンフィギュレーション モードに入ります。このモードで、次のコマンドを入力して、リモートアクセス トンネルグループ PPP アトリビュートを設定します。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name type remote-access
hostname(config)# tunnel-group tunnel-group-name ppp-attributes
hostname(config-tunnel-ppp)#
 

たとえば、次のコマンドは、TG1 という名前の接続プロファイルに関係するトンネルグループ ppp アトリビュート モードのコマンドが続くことを指定しています。プロンプトが変化して、トンネルグループ ppp アトリビュート モードに入ったことがわかります。

hostname(config)# tunnel-group TG1 type remote-access
hostname(config)# tunnel-group TG1 ppp-attributes
hostname(config-tunnel-ppp)#
 

ステップ 2 PPP 接続に対する固有のプロトコルを使用する認証をイネーブルにするかどうかを指定します。プロトコルの値は次のとおりです。

pap:PPP 接続で Password Authentication Protocol(パスワード認証プロトコル)の使用をイネーブルにします。

chap:PPP 接続で Challenge Handshake Authentication(チャレンジ ハンドシェイク認証プロトコル)の使用をイネーブルにします。

ms-chap-v1 または ms-chap-v2:PPP 接続で Microsoft Challenge Handshake Authentication Protocol(Microsoft チャレンジ ハンドシェイク認証プロトコル)のバージョン 1 またはバージョン 2 の使用をイネーブルにします。

eap:PPP 接続で Extensible Authentication Protocol(拡張認証プロトコル)の使用をイネーブルにします。

CHAP と MSCHAPv1 は、デフォルトでイネーブルになっています。

このコマンドの構文は次のとおりです。

hostname(config-tunnel-ppp)# authentication protocol
hostname(config-tunnel-ppp)#
 

特定のプロトコルの認証をディセーブルにするには、このコマンドの no 形式を使用します。

hostname(config-tunnel-ppp)# no authentication protocol
hostname(config-tunnel-ppp)#
 

たとえば、次のコマンドは PPP 接続で PAP プロトコルの使用をイネーブルにします。

hostname(config-tunnel-ppp)# authentication pap
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で MS-CHAP バージョン 2 プロトコルの使用をイネーブルにします。

hostname(config-tunnel-ppp)# authentication ms-chap-v2
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で EAP-PROXY プロトコルの使用をイネーブルにします。

hostname(config-tunnel-ppp)# authentication pap
hostname(config-tunnel-ppp)#
 

次のコマンドは、PPP 接続で MS-CHAP バージョン 1 プロトコルの使用をディセーブルにします。

hostname(config-tunnel-ppp)# no authentication ms-chap-v1
hostname(config-tunnel-ppp)#
 


 

LAN-to-LAN 接続プロファイルの設定

IPSec LAN-to-LAN VPN 接続プロファイルは、LAN-to-LAN IPSec クライアント接続にだけ適用されます。設定するパラメータの多くは IPSec リモートアクセスの接続プロファイルのものと同じですが、LAN-to-LAN トンネルの方がパラメータの数は少なくなります。LAN-to-LAN 接続プロファイルを設定するには、この項の手順を実行します。

デフォルトの LAN-to-LAN 接続プロファイルのコンフィギュレーション

デフォルトの LAN-to-LAN 接続プロファイルの内容は、次のとおりです。

tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
no accounting-server-group
default-group-policy DfltGrpPolicy
tunnel-group DefaultL2LGroup ipsec-attributes
no pre-shared-key
peer-id-validate req
no chain
no trust-point
isakmp keepalive threshold 10 retry 2
 

LAN-to-LAN 接続プロファイルのパラメータはリモートアクセス接続プロファイルのパラメータより少なく、そのほとんどはどちらのグループでも同じです。実際に接続を設定する場合の利便性を考え、ここではこのグループのパラメータを個別に説明します。明示的に設定しないパラメータはすべて、デフォルトの接続プロファイルからその値を継承します。

LAN-to-LAN 接続プロファイルの名前とタイプの指定

接続プロファイルの名前とタイプを指定するには、次のように tunnel-group コマンドを入力します。

hostname(config)# tunnel-group tunnel_group_name type tunnel_type
 

LAN-to-LAN トンネルの場合、タイプは ipsec-l2l になります。たとえば、docs という名前の LAN-to-LAN 接続プロファイルを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group docs type ipsec-l2l
hostname(config)#
 

LAN-to-LAN 接続プロファイルの一般アトリビュートの設定

接続プロファイルの一般アトリビュートを設定するには、次の手順を実行します。


ステップ 1 general-attributes キーワードを指定して、トンネルグループ一般アトリビュート モードに入ります。

hostname(config)# tunnel-group_tunnel-group-name general-attributes
hostname(config-tunnel-general)#
 

プロンプトが変化して、config-general モードに入ったことがわかります。トンネルグループの一般アトリビュートは、このモードで設定します。

たとえば、docs という名前の接続プロファイルの場合は、次のコマンドを入力します。

hostname(config)# tunnel-group_docs general-attributes
hostname(config-tunnel-general)#

 

ステップ 2 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドはアカウンティングサーバ グループ acctgserv1 の使用を指定しています。

hostname(config-tunnel-general)# accounting-server-group acctgserv1
hostname(config-tunnel-general)#
 

ステップ 3 デフォルト グループポリシーの名前を指定します。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドは、デフォルト グループポリシーの名前に MyPolicy を指定しています。

hostname(config-tunnel-general)# default-group-policy MyPolicy
hostname(config-tunnel-general)#
 


 

LAN-to-LAN IPSec アトリビュートの設定

IPSec アトリビュートを設定するには、次の手順を実行します。


ステップ 1 トンネルグループ IPSec アトリビュートを設定するには、IPSec-attributes キーワードを指定して tunnel-group コマンドを入力し、トンネルグループ ipsec アトリビュート コンフィギュレーション モードに入ります。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドでは、config-ipsec モードに入り、TG1 という名前の接続プロファイルのパラメータを設定できます。

hostname(config)# tunnel-group TG1 ipsec-attributes
hostname(config-tunnel-ipsec)#
 

プロンプトが変化して、トンネルグループ ipsec アトリビュート コンフィギュレーション モードに入ったことがわかります。

ステップ 2 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。

hostname(config-tunnel-ipsec)# pre-shared-key key
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、IPSec LAN-to-LAN 接続プロファイルの IKE 接続をサポートするために、事前共有キー XYZX を指定しています。

hostname(config-tunnel-ipsec)# pre-shared-key xyzx
hostname(config-tunnel-general)#
 

ステップ 3 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-tunnel-ipsec)# peer-id-validate option
hostname(config-tunnel-ipsec)#
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。たとえば、次のコマンドは、peer-id-validate オプションを nocheck に設定しています。

hostname(config-tunnel-ipsec)# peer-id-validate nocheck
hostname(config-tunnel-ipsec)#
 

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のアクションは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-tunnel-ipsec)# trust-point trust-point-name
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、トラストポイント名を mytrustpoint に設定しています。

hostname(config-tunnel-ipsec)# trust-point mytrustpoint
hostname(config-tunnel-ipsec)#
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 6 ISAKMP(IKE)キープアライブのしきい値と許可されるリトライ回数を指定します。 threshold パラメータでは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数(10 ~ 3600)で指定します。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間の間隔です(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

hostname(config)# isakmp keepalive threshold <number> retry <number>
hostname(config-tunnel-ipsec)#
 

たとえば、次のコマンドは、ISAKMP キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#
 

threshold パラメータのデフォルト値は、LAN-to-LAN の場合は 10 です。retry パラメータのデフォルト値は 2 です。

中央サイト(「ヘッド エンド」)で、ISAKMP モニタリングを決して開始しないように指定するには、次のコマンドを入力します。

hostname(config-tunnel-ipsec)# isakmp keepalive threshold infinite
hostname(config-tunnel-ipsec)#
 

ステップ 7 ISAKMP ハイブリッド認証方式、XAUTH またはハイブリッド XAUTH を指定します。

isakmp ikev1-user-authentication コマンドは、適応型セキュリティ アプライアンス認証にデジタル証明書を使用する必要がある場合、およびリモート VPN ユーザ認証に RADIUS、TACACS+、または SecurID などのレガシーな方式を別途使用する必要がある場合に、ハイブリッド XAUTH 認証を実装するために使用します。ハイブリッド XAUTH によって、IKE のフェーズ 1 が次の 2 つの手順に分割されます。2 つ合せてハイブリッド認証と呼ばれます。

a. 適応型セキュリティ アプライアンスは、標準の公開キー技術を使用してリモート VPN ユーザに対して認証を行います。これにより、単方向認証である IKE セキュリティ アソシエーションを確立します。

b. 次に、XAUTH 交換によってリモート VPN ユーザが認証されます。この拡張認証では、サポートされているレガシーな認証方式のいずれかを使用できます。


) 認証タイプをハイブリッドに設定するには、認証サーバを設定して、事前共有キーを作成し、トラストポイントを設定する必要があります。


isakmp ikev1-user-authentication コマンドとオプションの interface パラメータを使用して、特定のインターフェイスを指定できます。interface パラメータを省略すると、このコマンドはすべてのインターフェイスに適用され、インターフェイスごとにコマンドが指定されていない場合のバックアップとして機能します。接続プロファイルに 2 つの isakmp ikev1-user-authentication コマンドを指定していて、1 つで interface パラメータを使用し、もう 1 つで使用しない場合、インターフェイスを指定するコマンドはその特定のインターフェイスを優先します。

たとえば、次のコマンドは、example-group と呼ばれる接続プロファイルの内部インターフェイスでハイブリッド XAUTH をイネーブルにします。

hostname(config)# tunnel-group example-group type remote-access
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#
 


 

クライアントレス SSL VPN セッションの接続プロファイルの設定

クライアントレス SSL VPN 接続プロファイル用のトンネルグループ一般アトリビュートは、トンネルグループのタイプが webvpn で、 strip-group コマンドと strip-realm コマンドが適用されない点を除いて、IPSec リモートアクセスの接続プロファイルのものと同じです。クライアントレス SSL VPN に固有のアトリビュートは別々に定義します。次の項では、クライアントレス SSL VPN 接続プロファイルを設定する方法について説明します。

クライアントレス SSL VPN セッションの接続プロファイル名とタイプの指定

グローバル コンフィギュレーション モードで tunnel-group コマンドを入力し、名前とタイプを指定して接続プロファイルを作成します。IPSec リモートアクセス トンネルの場合、タイプは webvpn です。

hostname(config)# tunnel-group tunnel_group_name type webvpn
hostname(config)#
 

たとえば、TunnelGroup3 という名前のクライアントレス SSL VPN トンネルグループを作成するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup3 type webvpn
hostname(config)#
 

クライアントレス SSL VPN セッションの一般トンネルグループ アトリビュートの設定

接続プロファイルの一般アトリビュートを設定または変更するには、次の手順でパラメータを指定します。


ステップ 1 一般アトリビュートを設定するには、 tunnel-group general-attributes コマンドを入力します。これで、トンネルグループ一般アトリビュート コンフィギュレーション モードに入ります。プロンプトが変化することに注意してください。

hostname(config)# tunnel-group tunnel_group_name general-attributes
hostname(config-tunnel-general)#
 

前の項で作成した TunnelGroup3 の一般アトリビュートを設定するには、次のコマンドを入力します。

hostname(config)# tunnel-group TunnelGroup3 general-attributes
hostname(config-tunnel-general)#
 

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したサーバ グループに障害が発生したときにローカル データベースを認証に使用する場合は、キーワード LOCAL を追加します。

hostname(config-tunnel-general)# authentication-server-group groupname [LOCAL]
hostname(config-tunnel-general)#
 

たとえば、test という名前の認証サーバ グループを設定し、認証サーバ グループで障害が発生したときにローカル サーバにフォールバックするようにするには、次のコマンドを入力します。

hostname(config-tunnel-general)# authentication-server-group test LOCAL
hostname(config-tunnel-general)#
 

authentication-server-group 名で、事前に設定した認証サーバまたはサーバのグループを指定します。 aaa-server コマンドを使用して、認証サーバを設定します。グループ タグの最大長は 16 文字です。

グループ名の前にある丸カッコ内にインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。次のインターフェイスはデフォルトで使用可能になっています。

inside:インターフェイス GigabitEthernet0/1 の名前

outside:インターフェイス GigabitEthernet0/0 の名前

interface コマンドを使用して設定したその他のインターフェイスも使用可能です。次のコマンドは、認証にサーバ servergroup1 を使用する outside という名前のインターフェイスのインターフェイス固有の認証を設定しています。

hostname(config-tunnel-general)# authentication-server-group (outside) servergroup1
hostname(config-tunnel-general)#
 

ステップ 3 オプションで、使用する認可サーバ グループの名前を指定します(存在する場合)。認可を使用していない場合は、ステップ 6 に進んでください。この値を設定する場合、ユーザは接続する認可データベースに存在する必要があります。

hostname(config-tunnel-general)# authorization-server-group groupname
hostname(config-tunnel-general)#
 

aaa-server コマンドを使用して、認可サーバを設定します。グループ タグの最大長は 16 文字です。

たとえば、次のコマンドは、認可サーバ グループ FinGroup を使用することを指定しています。

hostname(config-tunnel-general)# authorization-server-group FinGroup
hostname(config-tunnel-general)#
 

ステップ 4 ユーザに接続を許可する前に、そのユーザが正常に認可されている必要があるかどうかを指定します。デフォルトでは認可は要求されません。

hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#
 

ステップ 5 証明書から認可クエリー用の名前を得るために使用する 1 つまたは複数のアトリビュートを指定します。このアトリビュートにより、サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかが指定されます。

hostname(config-tunnel-general)# authorization-dn-attributes {primary-attribute [secondary-attribute] | use-entire-name}
 

たとえば、次のコマンドは、CN アトリビュートを認可用のユーザ名として使用することを指定しています。

hostname(config-tunnel-general)# authorization-dn-attributes CN
hostname(config-tunnel-general)#
 

authorization-dn-attributes は、 C (国)、 CN (通常名)、 DNQ (DN 修飾子)、 EA (電子メール アドレス)、 GENQ (世代修飾子)、 GN (名)、 I (イニシャル)、 L (地名)、 N (名前)、 O (組織)、 OU (組織ユニット)、 SER (シリアル番号)、 SN (姓)、 SP (州または都道府県)、 T (役職)、 UID (ユーザ ID)、および UPN (ユーザ プリンシパル ネーム)があります。

ステップ 6 オプションで、使用するアカウンティングサーバ グループの名前を指定します(存在する場合)。アカウンティングを使用していない場合は、ステップ 7 に進んでください。 aaa-server コマンドを使用して、アカウンティング サーバを設定します。グループ タグの最大長は 16 文字です。

hostname(config-tunnel-general)# accounting-server-group groupname
hostname(config-tunnel-general)#
 

たとえば、次のコマンドは、アカウンティングサーバ グループ comptroller を使用することを指定しています。

hostname(config-tunnel-general)# accounting-server-group comptroller
hostname(config-tunnel-general)#
 

ステップ 7 オプションで、デフォルト グループポリシーの名前を指定します。デフォルト値は DfltGrpPolicy です。

hostname(config-tunnel-general)# default-group-policy policyname
hostname(config-tunnel-general)#
 

次の例では、デフォルト グループポリシーの名前として MyDfltGrpPolicy を設定しています。

hostname(config-tunnel-general)# default-group-policy MyDfltGrpPolicy
hostname(config-tunnel-general)#
 

ステップ 8 オプションで、DHCP サーバ(最大 10 サーバ)の名前または IP アドレス、および DHCP アドレス プール(最大 6 プール)の名前を指定します。リスト項目はスペースで区切ります。デフォルトでは、DHCP サーバとアドレス プールは使用されません。

hostname(config-tunnel-general)# dhcp-server server1 [...server10]
hostname(config-tunnel-general)# address-pool [(interface name)] address_pool1 [...address_pool6]
hostname(config-tunnel-general)#
 

) インターフェイス名は丸カッコで囲む必要があります。


アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。アドレス プールの設定の詳細については、「VPN の IP アドレスの設定」を参照してください。

ステップ 9 サーバが RADIUS、RADIUS with NT、または LDAP サーバの場合、オプションで、パスワード管理をイネーブルにできます。


) 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)および Microsoft Active Directory でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするように適応型セキュリティ アプライアンスで設定されている DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft:Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


 

この機能はデフォルトでイネーブルになっており、現在のパスワードの有効期限が近づくとユーザに警告を表示します。デフォルトでは、期限切れの 14 日前に警告が開始されます。

hostname(config-tunnel-general)# password-management
hostname(config-tunnel-general)#
 

サーバが LDAP サーバの場合、有効期限が近いことに関する警告が開始されるまでの日数(0 ~ 180)を指定できます。

hostname(config-tunnel-general)# password-management [password-expire in days n]
hostname(config-tunnel-general)#
 

) トンネルグループ一般アトリビュート コンフィギュレーション モードで入力した password-management コマンドによって、トンネルグループ ipsec アトリビュート モードで事前に入力された非推奨の radius-with-expiry コマンドが置き換えられます。


このコマンドを設定すると、リモート ユーザがログインするときに、適応型セキュリティ アプライアンスは、ユーザの現在のパスワードの有効期限が近づいていること、または期限が切れていることを通知します。このようにして、適応型セキュリティ アプライアンスは、ユーザにパスワードを変更する機会を提供します。現在のパスワードがまだ期限切れになっていない場合、ユーザはそのパスワードを使用して引き続きログインすることができます。RADIUS または LDAP 認証が設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。

これによってパスワードが期限切れになるまでの日数が変更されるわけではなく、適応型セキュリティ アプライアンスがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

詳細については、「パスワード管理用の Microsoft Active Directory の設定」を参照してください。

ステップ 10 日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セキュリティ アプライアンスは、期限切れが近いことをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更できます。オプションで、 override-account-disable コマンドを入力して、AAA サーバからの account-disabled インジケータを上書きする機能を設定できます。

hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。



 

クライアントレス SSL VPN セッションのトンネルグループ アトリビュートの設定

クライアントレス SSL VPN 接続プロファイルに固有のパラメータを設定するには、この項の次の手順を実行します。クライアントレス SSL VPN は、以前は WebVPN として知られていました。これらのアトリビュートは、トンネルグループ webvpn アトリビュート モードで設定します。


ステップ 1 クライアントレス SSL VPN トンネルグループのアトリビュートを指定するには、次のコマンドを入力してトンネルグループ webvpn アトリビュート モードに入ります。プロンプトが変化して、モードが変更されたことがわかります。

hostname(config)# tunnel-group tunnel-group-name webvpn-attributes
hostname(config-tunnel-ipsec)#
 

たとえば、sales という名前のクライアントレス SSL VPN トンネルグループの webvpn アトリビュートを指定するには、次のコマンドを入力します。

hostname(config)# tunnel-group sales webvpn-attributes
hostname(config-tunnel-webvpn)#
 

ステップ 2 AAA、デジタル証明書、または両方を使用するための認証方式を指定するには、 authentication コマンドを入力します。AAA、証明書、または両方を任意の順序で指定できます。

hostname(config-tunnel-webvpn)# authentication authentication_method
hostname(config-tunnel-webvpn)#
 

たとえば、次のコマンドは AAA と証明書の両方の認証を許可します。

hostname(config-tunnel-webvpn)# authentication aaa certificate
hostname(config-tunnel-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションによって、ログイン時にユーザに表示されるウィンドウの外観が決まります。カスタマイゼーション パラメータは、クライアントレス SSL VPN の設定の一部として設定します。

ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するために、事前に定義した Web ページ カスタマイゼーションを適用するには、ユーザ名 webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-username-webvpn)# customization {none | value customization_name}
hostname(config-username-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用するには、次のコマンドを入力します。

hostname(config-username-webvpn)# customization value blueborder
hostname(config-username-webvpn)#
 

カスタマイゼーション自体は、webvpn モードで customization コマンドを入力して設定します。

次の例は、「123」という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。この例では、「test」という名前のクライアントレス SSL VPN トンネルグループを定義して、 customization コマンドを使用し、「123」という名前のカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# tunnel-group test type webvpn
hostname(config)# tunnel-group test webvpn-attributes
hostname(config-tunnel-webvpn)# customization value 123
hostname(config-tunnel-webvpn)#
 

ステップ 3 適応型セキュリティ アプライアンスは、NetBIOS 名を IP アドレスにマップするために NetBIOS ネーム サーバにクエリーを送信します。クライアントレス SSL VPN では、リモート システムのファイルをアクセスまたは共有するための NetBIOS が必要です。クライアントレス SSL VPN では、NetBIOS と CIFS プロトコルを使用して、リモート システムのファイルをアクセスまたは共有します。Windows コンピュータにそのコンピュータ名を使用してファイル共有接続をしようとすると、指定されたファイル サーバはネットワーク上のリソースを識別する特定の NetBIOS 名と対応します。

NBNS 機能を動作させるには、少なくとも 1 台の NetBIOS サーバ(ホスト)を設定する必要があります。冗長性を実現するために NBNS サーバを 3 つまで設定できます。適応型セキュリティ アプライアンスは、リストの最初のサーバを NetBIOS/CIFS 名前解決に使用します。クエリーが失敗した場合は、次のサーバが使用されます。

CIFS 名前解決に使用する NBNS(NetBIOS ネーム サービス)サーバの名前を指定するには、 nbns-server コマンドを使用します。サーバ エントリは 3 つまで入力できます。設定する最初のサーバがプライマリ サーバで、他は冗長性のためのバックアップになります。これが(ただの WINS サーバではなく)マスター ブラウザであるかどうか、タイムアウト間隔、およびリトライ回数も指定できます。WINS サーバまたはマスター ブラウザは、通常、適応型セキュリティ アプライアンスと同じネットワーク上か、そのネットワークから到達可能な場所に設定されます。タイムアウト間隔はリトライ回数の前に指定する必要があります。

hostname(config-tunnel-webvpn)# nbns-server {host-name | IP_address} [master] [timeout seconds] [retry number]
hostname(config-tunnel-webvpn)#
 

たとえば、nbnsprimary という名前のサーバをプライマリ サーバとして設定し、サーバ 192.168.2.2 をセカンダリ サーバとして設定し、それぞれに 3 回のリトライを許可し、5 秒のタイムアウトを設定するには、次のコマンドを入力します。

hostname(config)# name 192.168.2.1 nbnsprimary
hostname(config-tunnel-webvpn)# nbns-server nbnsprimary master timeout 5 retry 3
hostname(config-tunnel-webvpn)# nbns-server 192.168.2.2 timeout 5 retry 3
hostname(config-tunnel-webvpn)#
 

タイムアウト間隔の範囲は 1 ~ 30 秒(デフォルトは 2)、リトライ回数は 0 ~ 10(デフォルトは 2 )です。

トンネルグループ webvpn アトリビュート コンフィギュレーション モードで nbns-server コマンドを使用すると、webvpn コンフィギュレーション モードで非推奨の nbns-server コマンドが置き換えられます。

ステップ 4 グループの代替名を指定するには、 group-alias コマンドを使用します。グループ エイリアスを指定すると、ユーザがトンネルグループを参照できる 1 つ以上の代替名が作成されます。ここで指定するグループ エイリアスは、ユーザのログイン ページにあるドロップダウン リストに表示されます。各グループには、それぞれ別のコマンドで指定された複数のエイリアスを設定できます。エイリアスを設定しないこともできます。この機能は、同じグループが「Devtest」や「QA」などの複数の通常名で指定されている場合に便利です。

各グループ エイリアスに対して、 group-alias コマンドを入力します。各エイリアスはデフォルトでイネーブルになっています。各エイリアスは、オプションで明示的にイネーブルまたはディセーブルにできます。

hostname(config-tunnel-webvpn)# group-alias alias [enable | disable]
hostname(config-tunnel-webvpn)#
 

たとえば、QA という名前のトンネルグループのエイリアスの QA と Devtest をイネーブルにするには、次のコマンドを入力します。

hostname(config-tunnel-webvpn)# group-alias QA enable
hostname(config-tunnel-webvpn)# group-alias Devtest enable
hostname(config-tunnel-webvpn)#
 

) webvpn tunnel-group-list は、表示する(ドロップダウン)グループ リストに対してイネーブルにする必要があります。


ステップ 5 グループの着信 URL または IP アドレスを指定するには、 group-url コマンドを使用します。グループ URL または IP アドレスを指定すると、ユーザがログイン時にグループを選択する必要がなくなります。ユーザがログインすると、適応型セキュリティ アプライアンスは、tunnel-group-policy テーブル内のユーザの着信 URL またはアドレスを検索します。URL またはアドレスが見つかり、group-url が接続プロファイル内でイネーブルになっている場合、適応型セキュリティ アプライアンスは、関連の接続プロファイルを自動的に選択して、ログイン ウィンドウにユーザ名フィールドとパスワード フィールドだけを表示します。これにより、ユーザ インターフェイスが簡略化され、グループのリストがユーザに決して公開されないという利点が得られます。ユーザに表示するログイン ウィンドウには、その接続プロファイル用に設定されたカスタマイゼーションが使用されます。

URL またはアドレスがディセーブルになっており、group-alias が設定されている場合、グループのドロップダウン リストも表示され、ユーザは選択を行う必要があります。

1 つのグループに対して複数の URL またはアドレスを設定できます。設定しないこともできます。各 URL またはアドレスは個別にイネーブルまたはディセーブルにできます。指定した各 URL またはアドレスに対しては、別々の group-url コマンドを使用する必要があります。http または https プロトコルを含め、URL またはアドレス全体を指定する必要があります。

同じ URL またはアドレスを複数のグループと関連付けることはできません。適応型セキュリティ アプライアンスは、接続プロファイルの URL またはアドレスを受け入れる前にその URL またはアドレスの固有性を検証します。

各グループ URL またはアドレスに対して、 group-url コマンドを入力します。各 URL またはエイリアスは、オプションで明示的にイネーブル(デフォルト)またはディセーブルにできます。

hostname(config-tunnel-webvpn)# group-url url [enable | disable]
hostname(config-tunnel-webvpn)#

 

たとえば、RadiusServer という名前のトンネルグループに対してグループ URL http://www.cisco.com と http://192.168.10.10 をイネーブルにするには、次のコマンドを入力します。

hostname(config)# tunnel-group RadiusServer type webvpn
hostname(config)# tunnel-group RadiusServer general-attributes
hostname(config-tunnel-general)# authentication server-group RADIUS
hostname(config-tunnel-general)# accounting-server-group RADIUS
hostname(config-tunnel-general)# tunnel-group RadiusServer webvpn-attributes
hostname(config-tunnel-webvpn)# group-alias “Cisco Remote Access” enable
hostname(config-tunnel-webvpn)# group-url http://www.cisco.com enable
hostname(config-tunnel-webvpn)# group-url http://192.168.10.10 enable
hostname(config-tunnel-webvpn)#
 

多数の例については、「クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ」を参照してください。

ステップ 6 グループ URL のいずれかを入力した場合に、接続プロファイルごとに実行中の Cisco Secure Desktop から特定のユーザを免除するには、次のコマンドを入力します。

hostname(config-tunnel-webvpn)# without-csd
hostname(config-tunnel-webvpn)#

) このコマンドを入力すると、これらのセッションについてエンドポイントの状態が検出されなくなるため、ダイナミック アクセス ポリシー(DAP)コンフィギュレーションを調整する必要がある場合があります。


ステップ 7 クライアントレス SSL VPN セッションの接続プロファイルに使用する DNS サーバ グループを指定するには、dns-group コマンドを使用します。指定するグループは、グローバル コンフィギュレーション モードで(dns server-group コマンドおよび name-server コマンドを使用して)設定済みのグループである必要があります。

デフォルトでは、接続プロファイルは DNS サーバ グループ DefaultDNS を使用します。ただし、セキュリティ アプライアンスで DNS 要求を解決する前にこのグループを設定する必要があります。

次の例は、corp_dns という名前の新規 DNS サーバ グループを設定し、接続プロファイル telecommuters のサーバ グループを指定します。

hostname(config)# dns server-group corp_dns
hostname(config-dns-server-group)# domain-name cisco.com
hostname(config-dns-server-group)# name-server 209.165.200.224
 
hostname(config)# tunnel-group telecommuters webvpn-attributes
hostname(config-tunnel-webvpn)# dns-group corp_dns
hostname(config-tunnel-webvpn)#
 

ステップ 8 (オプション)認証および認可で使用するためにクライアント証明書からユーザ名を抽出するには、トンネルグループ webvpn アトリビュート モードで pre-fill-username コマンドを使用します。デフォルト値はありません。

hostname(config)# pre-fill-username {ssl-client | clientless}
 

pre-fill-username コマンドは、ユーザ名/パスワードの認証および認可のユーザ名として、 username-from-certificate コマンド(トンネルグループ一般アトリビュート モード)で指定した証明書フィールドから抽出されるユーザ名の使用をイネーブルにします。証明書から事前に入力されたユーザ名を使用するには、両方のコマンドを設定する必要があります。


) リリース 8.0.4 では、ユーザ名は事前に入力されません。ユーザ名フィールド内の送信されたデータは無視されます。


次の例は、グローバル コンフィギュレーション モードで、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、証明書からのユーザ名の取得をイネーブルにし、SSL VPN クライアントに対する認証または認可のクエリーの名前をデジタル証明書から取得する必要があることを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# username-from-certificate CN OU
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)# pre-fill-username ssl-client
hostname(config-tunnel-webvpn)#
 

ステップ 9 (オプション)AnyConnect または SSL VPN クライアントをダウンロードするためにグループポリシーまたはユーザ名アトリビュート コンフィギュレーションを上書きするかどうかを指定するには、override-svc-download コマンドを使用します。この機能は、デフォルトでディセーブルになっています。

セキュリティ アプライアンスは、 vpn-tunnel-protocol コマンドを使用してグループポリシー アトリビュートまたはユーザ名アトリビュート内でクライアントレスまたは SSP VPN(またはその両方)がイネーブルになっているかどうかに基づき、リモート ユーザに対するクライアントレス接続、AnyConnect 接続、または SSL VPN クライアント接続を許可します。 svc ask コマンドを使用すると、クライアントをダウンロードするか、WebVPN ホームページに戻るようにユーザにプロンプトを表示することで、クライアント ユーザ エクスペリエンスをさらに改善することができます。

ただし、特定のトンネルグループでログインしているクライアントレス ユーザには、ダウンロード プロンプトが終了するまで待たせることなく、クライアントレス SSL VPN ホームページを表示することができます。これらのユーザの遅延は、接続プロファイル レベルで override-svc-download コマンドを使用することで防ぐことができます。このコマンドにより、 vpn-tunnel-protocol コマンドまたは svc ask コマンドの設定にかかわらず、接続プロファイルを介してログインしているユーザにはクライアントレス SSL VPN ホームページがすぐに表示されます。

次の例では、接続プロファイル engineering のトンネルグループ webvpn アトリビュート コンフィギュレーション モードに入り、クライアント ダウンロード プロンプトのグループポリシーとユーザ名アトリビュート設定を上書きする接続プロファイルをイネーブルにします。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# override-svc-download
 

ステップ 10 (オプション)認証が拒否されたときのログイン画面への RADIUS 拒否メッセージの表示をイネーブルにするには、 radius-eject-message コマンドを使用します。

次の例では、engineering という名前の接続プロファイルの RADIUS 拒否メッセージの表示がイネーブルになります。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# radius-reject-message
 


 

クライアントレス SSL VPN セッションのユーザ用ログイン ウィンドウのカスタマイズ

カスタマイゼーション プロファイルと接続プロファイルの組み合せを使用することで、さまざまなグループに対して異なるログイン ウィンドウをセットアップできます。たとえば、salesgui と呼ばれるカスタマイゼーション プロファイルを作成してある場合、そのカスタマイゼーション プロファイルを使用する sales と呼ばれるクライアントレス SSL VPN セッション用の接続プロファイルを、次のように作成できます。


ステップ 1 webvpn モードで、クライアントレス SSL VPN アクセスのカスタマイゼーションを定義します。この場合は、salesgui という名前で、デフォルトのロゴを mycompanylogo.gif に変更します。mycompanylogo.gif を適応型セキュリティ アプライアンスのフラッシュ メモリに事前にロードし、設定を保存している必要があります。詳細については、「クライアントレス SSL VPN の設定」を参照してください。

hostname# webvpn
hostname (config-webvpn)# customization value salesgui
hostname(config-webvpn-custom)# logo file disk0:¥mycompanylogo.gif
hostname(config-webvpn-custom)#
 

ステップ 2 グローバル コンフィギュレーション モードで、ユーザ名をセットアップし、先ほど定義したクライアントレス SSL VPN 用のカスタマイゼーションと関連付けます。

hostname# username seller attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# customization value salesgui
hostname(config-username-webvpn)# exit
hostname(config-username)# exit
hostname#
 

ステップ 3 グローバル コンフィギュレーション モードで、sales という名前のクライアントレス SSL VPN セッションのトンネルグループを作成します。

hostname# tunnel-group sales type webvpn
hostname(config-tunnel-webvpn)#
 

ステップ 4 この接続プロファイルに対して salesgui カスタマイゼーションを使用することを指定します。

hostname# tunnel-group sales webvpn-attributes
hostname(config-tunnel-webvpn)# customization salesgui
 

ステップ 5 適応型セキュリティ アプライアンスにログインするためにユーザがブラウザに入力するアドレスに対するグループ URL を設定します。たとえば、適応型セキュリティ アプライアンスに IP アドレス 192.168.3.3 が設定されている場合は、グループ URL を https://192.168.3.3 に設定します。

hostname(config-tunnel-webvpn)# group-url https://192.168.3.3.
hostname(config-tunnel-webvpn)#
 

ログインを成功させるためにポート番号が必要な場合は、コロンに続けてポート番号を指定します。適応型セキュリティ アプライアンスは、この URL を sales 接続プロファイルにマッピングし、ユーザが https://192.168.3.3 にログインしたときに表示されるログイン画面に salesgui カスタマイゼーション プロファイルを適用します。


 

パスワード管理用の Microsoft Active Directory の設定


) 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)および Microsoft Active Directory でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするように適応型セキュリティ アプライアンスで設定されている DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft:Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

詳細については、「LDAP サーバ タイプの設定」を参照してください。


 

Microsoft Active Directory でパスワード管理を使用するには、一定の Active Directory パラメータを設定し、適応型セキュリティ アプライアンスでパスワード管理を設定する必要があります。この項では、さまざまなパスワード管理アクションに関連する Active Directory の設定について説明します。これらの説明は、適応型セキュリティ アプライアンスでのパスワード管理がイネーブルになっていて、対応するパスワード管理アトリビュートが設定されていることを前提としています。次の項の特定の手順では、Windows 2000 における Active Directory の用語に言及しています。

「次回ログイン時にパスワードの変更をユーザに強制するための Active Directory の使用」.

「Active Directory を使用したパスワードの最大有効日数の指定」.

「Active Directory を使用した Account Disabled AAA インジケータの上書き」

「Active Directory を使用したパスワードの複雑性の強制」.

次の項では、認証に LDAP ディレクトリ サーバを使用していることを前提としています。

次回ログイン時にパスワードの変更をユーザに強制するための Active Directory の使用

次回ログイン時にユーザ パスワードの変更をユーザに強制するには、適応型セキュリティ アプライアンスのトンネルグループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定して、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] を選択します(図 62-1)。

図 62-1 Active Directory:[Administrative Tools] メニュー

 

ステップ 2 [Username] > [Properties] > [Account] を右クリックします。

ステップ 3 [User must change password at next logon] チェックボックスをオンにします(図 62-2)。

図 62-2 Active Directory:ログイン時のパスワード変更要求

 


 

このユーザが次回ログインするときに、適応型セキュリティ アプライアンスが「New password required.Password change required.You must enter a new password with a minimum length n to continue.」というプロンプトを表示します。[Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択し、Active Directory コンフィギュレーションの一部として、パスワードの最小の長さ n を設定できます。パスワードの最小の長さを選択します。

Active Directory を使用したパスワードの最大有効日数の指定

セキュリティを強化するために、一定の日数経過後パスワードが期限切れになるように指定できます。ユーザ パスワードの最大有効日数を指定するには、適応型セキュリティ アプライアンスのトンネルグループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] > [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 2 [Maximum password age] をダブルクリックします。これで、[Security Policy Setting] ダイアログボックスが開きます。

ステップ 3 [Define this policy setting] チェックボックスをオンにして、許可する [Maximum password age] を日単位で指定します。

図 62-3 Active Directory:パスワードの最大有効日数

 


 


) 以前、パスワードの有効日数の設定機能を実行するためにトンネルグループ リモートアクセス コンフィギュレーションの一部として設定されていた radius-with-expiry コマンドは非推奨になっています。このコマンドは、トンネルグループ一般アトリビュート モードで入力される password-management コマンドに置き換えられます。


Active Directory を使用した Account Disabled AAA インジケータの上書き

AAA サーバからの account-disabled 表示を上書きするには、適応型セキュリティ アプライアンスのトンネルグループ一般アトリビュート コンフィギュレーション モードで override-account-disable コマンドを指定し、Active Directory で次の手順を実行します。


) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。



ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] を選択します。

ステップ 2 [Username] > [Properties] > [Account] を右クリックして、メニューから [Disable Account] を選択します。

図 62-4 Active Directory:アカウント無効の上書き

 


 

AAA サーバを介して account-disabled インジケータが表示されていても、ユーザは正常にログインできます。

Active Directory を使用した最小パスワード長の強制

パスワードの最小長を強制するには、適応型セキュリティ アプライアンスのトンネルグループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] を選択します。

ステップ 2 [Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 3 [Minimum Password Length] をダブルクリックします。これで、[Security Policy Setting] ダイアログボックスが開きます。

ステップ 4 [Define this policy setting] チェックボックスをオンにして、パスワードに含める必要がある最小文字数を指定します。

図 62-5 Active Directory:最小パスワード長

 

Active Directory を使用したパスワードの複雑性の強制

複雑なパスワード、たとえば、大文字と小文字、数字、および特殊文字を含むパスワードを要求するには、適応型セキュリティ アプライアンスのトンネルグループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを指定し、Active Directory で次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Domain Security Policy] を選択します。[Windows Settings] > [Security Settings] > [Account Policies] > [Password Policy] を選択します。

ステップ 2 [Password must meet complexity requirements] をダブルクリックして、[Security Policy Setting] ダイアログボックスを開きます。

ステップ 3 [Define this policy setting] チェックボックスをオンにして、[Enable] を選択します。

図 62-6 Active Directory:パスワードの複雑性の強制

 


 

パスワードの複雑性の強制は、ユーザがパスワードを変更するときにだけ有効になります。たとえば、次回ログイン時にパスワード変更を強制する、または n 日後にパスワードが期限切れになるように設定した場合です。ログイン時に、新しいパスワードの入力を求めるプロンプトが表示され、システムは複雑なパスワードだけを受け入れます。

AnyConnect クライアントをサポートする RADIUS/SDI メッセージの接続プロファイルの設定

この項では、RSA SecureID ソフトウェア トークンを使用する AnyConnect VPN クライアントが、SDI サーバにプロキシする RADIUS サーバ経由でクライアントに配信されるユーザ プロンプトに正しく応答できるようにする手順について説明します。ここでは、次の項目について説明します。

AnyConnect クライアントと RADIUS/SDI サーバのインタラクション

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定


) 二重認証機能を設定した場合、SDI 認証はプライマリ認証サーバでだけサポートされます。


AnyConnect クライアントと RADIUS/SDI サーバのインタラクション

リモート ユーザが AnyConnect VPN クライアントで適応型セキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、適応型セキュリティ アプライアンスは RADIUS サーバと通信を行い、次に、RADIUS サーバは認証について SDI サーバと通信を行います。

認証の間に、RADIUS サーバは適応型セキュリティ アプライアンスにアクセス チャレンジ メッセージを提示します。これらのチャレンジ メッセージ内に、SDI サーバからのテキストを含む応答メッセージがあります。メッセージ テキストは、適応型セキュリティ アプライアンスが SDI サーバと直接通信している場合と、RADIUS プロキシ経由で通信している場合とでは異なります。そのため、AnyConnect クライアントにネイティブ SDI サーバとして認識させるために、適応型セキュリティ アプライアンスは RADIUS サーバからのメッセージを解釈する必要があります。

また、SDI メッセージは SDI サーバで設定可能であるため、適応型セキュリティ アプライアンスのメッセージ テキストの全体または一部が、SDI サーバのメッセージ テキストと一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトは、認証中に必要とされるアクションに対して適切でない場合があります。そのため、AnyConnect クライアントが応答できずに、認証が失敗する可能性があります。

次の項では、クライアントと SDI サーバ間の認証を確実に成功させるように適応型セキュリティ アプライアンスを設定する方法について説明します。

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

次の項では、SDI 固有の RADIUS 応答メッセージを解釈し、AnyConnect ユーザに適切なアクションを求めるプロンプトを表示するように適応型セキュリティ アプライアンスを設定する手順について説明します。


ステップ 1 トンネルグループ webvpn コンフィギュレーション モードで proxy-auth sdi コマンドを使用して、SDI サーバとの直接通信をシミュレートする方法で、RADIUS 応答メッセージを転送するための接続プロファイル(トンネルグループ)を設定します。SDI サーバに認証されるユーザは、この接続プロファイルを介して接続する必要があります。

次に例を示します。

hostname(config)# tunnel-group sales webvpn attributes
hostname(tunnel-group-webvpn)# proxy-auth sdi
 

ステップ 2 トンネルグループ webvpn コンフィギュレーション モードで proxy-auth_map sdi コマンドを使用して、RADIUS サーバによって送信されるメッセージ テキストと全体または一部が一致する RADIUS 応答メッセージ テキストを適応型セキュリティ アプライアンスで設定します。

適応型セキュリティ アプライアンスが使用するデフォルトのメッセージ テキストは、Cisco Secure Access Control Server(ACS)で使用されるデフォルトのメッセージ テキストです。Cisco Secure ACS を使用していて、デフォルトのメッセージ テキストを使用している場合、適応型セキュリティ アプライアンスでメッセージ テキストを設定する必要はありません。それ以外の場合は、 proxy-auth_map sdi コマンドを使用して、メッセージ テキストが一致するようにします。

表 62-3 は、メッセージ コード、デフォルトの RADIUS 応答メッセージ テキスト、および各メッセージの機能を示しています。セキュリティ アプライアンスは、テーブルに表示される順番に文字列を検索するため、メッセージ テキストに使用する文字列は別の文字列のサブセットではないようにする必要があります。

たとえば、「new PIN」が new-pin-sup と next-ccode-and-reauth の両方に対するデフォルトのメッセージ テキストのサブセットだとします。new-pin-sup を「new PIN」として設定した場合、セキュリティ アプライアンスは RADIUS サーバから「new PIN with the next card code」を受信すると、next-ccode-and-reauth コードではなく new-pin-sup コードとテキストを一致させます。

表 62-3 SDI 操作コード、デフォルトのメッセージ テキスト、およびメッセージの機能

メッセージ コード
デフォルトの RADIUS 応答メッセージ テキスト
機能

next-code

Enter Next PASSCODE

ユーザは PIN を入力せずに次のトークンコードを入力する必要があることを示します。

new-pin-sup

Please remember your new PIN

新しいシステムの PIN が提供されており、ユーザにその PIN を表示することを示します。

new-pin-meth

Do you want to enter your own pin

新しい PIN の作成にどの新しい PIN 方式を使用するかをユーザに尋ねます。

new-pin-req

Enter your new Alpha-Numerical PIN

ユーザ生成の PIN を入力することを要求することを示します。

new-pin-reenter

Reenter PIN:

ユーザが提供した PIN の確認のために適応型セキュリティ アプライアンスが内部的に使用します。ユーザにプロンプトを表示せずに、クライアントが PIN を確認します。

new-pin-sys-ok

New PIN Accepted

ユーザが提供した PIN が受け入れられたことを示します。

next-ccode-and-reauth

new PIN with the next card code

PIN 操作後、次のトークンコードを待ってから、認証のために新しい PIN と次のトークンコードの両方を入力する必要があることをユーザに示します。

ready-for-sys-
pin

ACCEPT A SYSTEM GENERATED PIN

ユーザがシステム生成の PIN に対する準備ができていることを示すために適応型セキュリティ アプライアンスが内部的に使用します。

次の例では、aaa-server-host モードに入り、RADIUS 応答メッセージ new-pin-sup のテキストが変更します

hostname(config)# aaa-server radius_sales host 10.10.10.1
hostname(config-aaa-server-host)# proxy-auth_map sdi new-pin-sup “This is your new PIN”

グループポリシー

この項では、グループポリシーとその設定方法について説明します。説明する内容は次のとおりです。

「デフォルトのグループポリシー」

「グループポリシーの設定」

グループポリシーは、IPSec 接続用のユーザ関連のアトリビュートと値のペアがセットになったもので、デバイスに内部的(ローカル)に保存されるか、外部の RADIUS サーバに保存されます。接続プロファイルでは、トンネル確立後、ユーザ接続の条件を設定するグループポリシーが使用されます。グループポリシーを使用すると、アトリビュートのセット全体をユーザまたはユーザのグループに適用することができ、各ユーザに各アトリビュートを個別に指定する必要がなくなります。

ユーザにグループポリシーを割り当てたり、特定のユーザのグループポリシーを変更したりするには、グローバル コンフィギュレーション モードで group-policy コマンドを入力します。

適応型セキュリティ アプライアンスには、デフォルトのグループポリシーが含まれています。変更はできても削除はできないデフォルトのグループポリシーに加え、自分の環境に固有の 1 つ以上のグループポリシーを作成することもできます。

内部グループポリシーと外部グループポリシーを設定できます。内部グループは適応型セキュリティ アプライアンスの内部データベースに設定されます。外部グループは RADIUS などの外部認証サーバに設定されます。グループポリシーには、次のアトリビュートがあります。

ID

サーバの定義

クライアント ファイアウォールの設定

トンネリング プロトコル

IPSec の設定

ハードウェア クライアントの設定

フィルタ

クライアント コンフィギュレーションの設定

接続の設定

 

デフォルトのグループポリシー

適応型セキュリティ アプライアンスでは、デフォルトのグループポリシーが提供されます。このデフォルト グループポリシーは変更できますが、削除はできません。デフォルトのグループポリシーは、DfltGrpPolicy という名前で適応型セキュリティ アプライアンスに常に存在していますが、このデフォルトのグループポリシーは、適応型セキュリティ アプライアンスでそれを使用するように設定しない限り有効にはなりません。その他のグループポリシーを設定する場合、明示的に指定しないアトリビュートの値はデフォルトのグループポリシーから取得されます。デフォルトのグループポリシーを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all group-policy DfltGrpPolicy
hostname(config)#
 

デフォルトのグループポリシーを設定するには、次のコマンドを入力します。

hostname(config)# group-policy DfltGrpPolicy internal
hostname(config)#
 

) デフォルトのグループポリシーは、常に内部(internal)です。コマンドの構文は
hostname(config)# group-policy DfltGrpPolicy {internal | external} ですが、この中のタイプは外部(external)に変更できません。


デフォルトのグループポリシーの任意のアトリビュートを変更する場合は、 group-policy attributes コマンドを使用してアトリビュート モードに入り、その後、変更対象のアトリビュートを変更するためのコマンドを指定します。

hostname(config)# group-policy DfltGrpPolicy attributes
 

) アトリビュート モードは内部グループポリシーにだけ適用されます。


適応型セキュリティ アプライアンスで提供されるデフォルトのグループポリシー DfltGrpPolicy は、次のとおりです。

group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 2000
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec webvpn
password-storage enable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
intercept-dhcp 255.255.255.255 disable
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
msie-proxy server none
msie-proxy method no-modify
msie-proxy except-list none
msie-proxy local-bypass disable
nac disable
nac-sq-period 300
nac-reval-period 36000
nac-default-acl none
address-pools value vpn_users
client-firewall none
client-access-rule none
webvpn
html-content-filter none
homepage none
keep-alive-ignore 4
http-comp gzip
filter none
url-list value MyURLs
customization value DfltCustomization
port-forward none
port-forward-name value Application Access
sso-server none
deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
svc none
svc keep-installer none
svc keepalive none
svc rekey time none
svc rekey method none
svc dpd-interval client none
svc dpd-interval gateway none
svc compression deflate
no vpn-nac-exempt
hostname(config-group-policy)#
 

デフォルト グループポリシーは変更可能です。また、環境に固有の 1 つ以上のグループポリシーを作成することもできます。

グループポリシーの設定

グループポリシーは、すべての種類のトンネルに適用できます。どちらの場合も、パラメータが明示的に指定されていなければ、そのグループはデフォルト グループポリシーの値を使用します。グループポリシーを設定するには、後続の項の手順を実行します。

外部グループポリシーの設定

外部グループポリシーのアトリビュート値には、指定する外部サーバの値が取得されます。外部グループポリシーの場合は、適応型セキュリティ アプライアンスがアトリビュートのクエリーを実行できる AAA サーバ グループを特定し、その外部 AAA サーバ グループからアトリビュートを取得するときに使用するパスワードを指定する必要があります。外部認証サーバを使用していて、外部グループポリシー アトリビュートが、認証する予定のユーザと同じ RADIUS サーバにある場合、それらの間で名前が重複しないようにする必要があります。


) 適応型セキュリティ アプライアンスの外部グループ名は、RADIUS サーバのユーザ名を参照しています。つまり、適応型セキュリティ アプライアンスに外部グループ X を設定する場合、RADIUS サーバはクエリーをユーザ X に対する認証要求と見なします。外部グループは実際は RADIUS サーバ上の単なるユーザ アカウントで、適応型セキュリティ アプライアンスにとって特別な意味を持ちます。外部グループ アトリビュートが認証する予定のユーザと同じ RADIUS サーバに存在する場合、それらの間で名前を重複させることはできません。


適応型セキュリティ アプライアンスは、外部 LDAP または RADIUS サーバでのユーザ認証をサポートしています。外部サーバを使用するように適応型セキュリティ アプライアンスを設定する前に、正しい適応型セキュリティ アプライアンス認証アトリビュートでサーバを設定し、それらのアトリビュートのサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。外部サーバを設定するには、 付録 C「認可および認証用の外部サーバの設定」 の説明に従ってください。

外部グループ ポリシーを設定するには、次の手順を実行して、server-group 名と password とともにグループポリシーの名前とタイプを指定します。

hostname(config)# group-policy group_policy_name type server-group server_group_name password server_password
hostname(config)#
 

) 外部グループポリシーの場合、サポートされる AAA サーバ タイプは RADIUS だけです。


たとえば、次のコマンドは、ExtGroup という名前の外部グループポリシーが作成します。このグループポリシーのアトリビュートは、ExtRAD という名前の外部 RADIUS サーバから取得され、アトリビュートを取得するときに使用されるパスワードが newpassword に指定されます。

hostname(config)# group-policy ExtGroup external server-group ExtRAD password newpassword
hostname(config)#
 

付録 C「認可および認証用の外部サーバの設定」に説明されているように、いくつかのベンダー固有アトリビュート(VSA)を設定できます。RADIUS サーバが Class アトリビュート(#25)を返すように設定されている場合、適応型セキュリティ アプライアンスは、グループ名の認証にそのアトリビュートを使用します。RADIUS サーバでは、アトリビュートは次の形式で指定する必要があります。OU=groupname。ここで、groupnameは、適応型セキュリティ アプライアンスで設定されたグループ名と同一です。例、OU=Finance。


内部グループポリシーの設定

内部グループポリシーを設定するには、グループポリシーの名前とタイプを指定します。

hostname(config)# group-policy group_policy_name type
hostname(config)#
 

たとえば、次のコマンドは GroupPolicy1 という名前の内部グループポリシーを作成します。

hostname(config)# group-policy GroupPolicy1 internal
hostname(config)#
 

デフォルトのタイプは internal です。

キーワード from を追加して既存のポリシーの名前を指定することにより、内部グループポリシーのアトリビュートをその既存のグループポリシーの値に初期設定することができます。

hostname(config)# group-policy group_policy_name internal from group_policy_name
hostname(config-group-policy)#
hostname(config-group-policy)#
 

グループポリシー アトリビュートの設定

内部グループポリシーの場合、特定のアトリビュート値を指定できます。まず、グローバル コンフィギュレーション モードで group-policy attributes コマンドを入力して、グループポリシー アトリビュート モードに入ります。

hostname(config)# group-policy name attributes
hostname(config-group-policy)#
 

プロンプトが変化して、モードが変更されたことがわかります。グループポリシー アトリビュート モードでは、指定したグループポリシーのアトリビュートと値のペアを設定することができます。グループポリシー アトリビュート モードで、デフォルト グループから継承しないアトリビュートと値のペアを明示的に設定します。これを行うためのコマンドは、次の項で説明します。

WINS サーバと DNS サーバの設定

プライマリおよびセカンダリの WINS サーバと DNS サーバを指定できます。それぞれのデフォルト値は none です。これらのサーバを指定するには、次の手順を実行します。


ステップ 1 プライマリとセカンダリの WINS サーバを指定します。

hostname(config-group-policy)# wins-server value {ip_address [ip_address] | none}
hostname(config-group-policy)#
 

最初に指定する IP アドレスがプライマリ WINS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ WINS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、WINS サーバにヌル値が設定されます。この設定により、WINS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

wins-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定し、その後 WINS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の WINS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを指定します。

次の例は、FirstGroup という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である WINS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30
hostname(config-group-policy)#
 

ステップ 2 プライマリとセカンダリの DNS サーバを指定します。

hostname(config-group-policy)# dns-server value {ip_address [ip_address] | none}
hostname(config-group-policy)#
 

最初に指定する IP アドレスがプライマリ DNS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ DNS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、DNS サーバにヌル値が設定されます。この設定により、DNS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

dns-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、その後 DNS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の DNS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに DNS サーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを指定します。

次の例は、FirstGroup という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である DNS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30
hostname(config-group-policy)#
 

ステップ 3 DHCP ネットワーク スコープを次のように設定します。

hostname(config-group-policy)# dhcp-network-scope {ip_address | none}
hostname(config-group-policy)#
 

DHCP スコープでは、適応型セキュリティ アプライアンス DHCP サーバがこのグループポリシーのユーザにアドレスを割り当てるために使用する IP アドレスの範囲(つまり、サブネットワーク)を指定します。

次の例は、First Group という名前のグループポリシーに IP サブネットワーク 10.10.85.0(アドレス範囲 10.10.85.0 ~ 10.10.85.255 を指定)を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dhcp-network-scope 10.10.85.0
 


 

VPN 固有のアトリビュートの設定

この項の手順に従って、VPN アトリビュート値を設定します。VPN アトリビュートにより、アクセス時間、同時に許可されるログインの数、タイムアウト、VPN セッションに適用される出力 VLAN または ACL、およびトンネル プロトコルが制御されます。


ステップ 1 VPN アクセス時間を設定します。これを行うには、グループポリシー コンフィギュレーション モードで vpn-access-hours コマンドを使用して、グループポリシーを設定済みの time-range ポリシーに関連付けます。

hostname(config-group-policy)# vpn-access-hours value {time-range | none}
 

グループポリシーは、デフォルトまたは指定されたグループポリシーの time-range の値を継承することができます。この継承が発生しないようにするには、このコマンドで time-range の名前ではなく none キーワードを入力します。このキーワードにより、VPN アクセス時間がヌル値に設定され、time-range ポリシーは許可されなくなります。

time-range 変数は、グローバル コンフィギュレーション モードで time-range コマンドを使用して定義されたアクセス時間のセットの名前です。次の例は、FirstGroup という名前のグループポリシーを 824 と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours value 824
 

ステップ 2 グループポリシー コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用して、任意のユーザに許可される同時ログイン数を指定します。

hostname(config-group-policy)# vpn-simultaneous-logins integer
 

デフォルト値は 3 です。値の範囲は 0 ~ 2147483647 の整数です。グループポリシーは、別のグループポリシーからこの値を継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。次の例は、FirstGroup という名前のグループポリシーに最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
hostname(config-group-policy)#
 

) 同時ログインの最大数の制限は非常に大きなものですが、複数の同時ログインを許可すると、セキュリティが低下し、パフォーマンスに影響を及ぼすおそれがあります。


失効した AnyConnect セッション、IPSec クライアント セッション、またはクライアントレス セッション(異常終了したセッション)は、同じユーザ名で「新しい」セッションが確立されているとしてもセッション データベース内に残ることがあります。

vpn-simultaneous-logins の値が 1 で、異常終了後に同じユーザがログインする場合、失効したセッションがデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションが依然としてアクティブな接続であり、同じユーザが別の PC などから再びログインする場合、最初のセッションはログオフされてデータベースから削除され、新しいセッションが確立されます。

同時ログインの数が 1 より大きな値の場合、その最大数に達した後で再びログインを試みると、アイドル時間が最も長いセッションがログオフされます。現在あるセッションがすべてアイドル状態にあり、アイドル時間も等しい場合、一番古いセッションがログオフされます。このアクションによってセッションが解放され、新しいログインが許可されます。

ステップ 3 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを入力して、ユーザ タイムアウト期間を設定します。

hostname(config-group-policy)# vpn-idle-timeout {minutes | none}
hostname(config-group-policy)#
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルトは 30 分です。この期間中に接続上で通信アクティビティがまったくなかった場合、適応型セキュリティ アプライアンスは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを指定して、このコマンドを入力します。また、none キーワードを指定すると、無制限のアイドル タイムアウト期間が許可されます。このキーワードにより、アイドル タイムアウトにヌル値が設定され、アイドル タイムアウトが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 15
hostname(config-group-policy)#
 

ステップ 4 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用して、VPN 接続の最大時間を設定します。

hostname(config-group-policy)# vpn-session-timeout {minutes | none}
hostname(config-group-policy)#
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルト値はありません。この期間が終了すると、適応型セキュリティ アプライアンスは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを指定して、このコマンドを入力します。 none キーワードを指定すると、無制限のセッション タイムアウト期間が許可されます。セッション タイムアウトにはヌル値が設定され、セッション タイムアウトが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-session-timeout 180
hostname(config-group-policy)#
 

ステップ 5 次のオプションのいずれかを選択して、リモート アクセス用の出力 VLAN(「VLAN マッピング」とも呼ばれる)、またはトラフィックをフィルタリングする ACL を指定します。

グループポリシー コンフィギュレーション モードで次のコマンドを入力して、このグループポリシーまたはこのグループポリシーを継承するグループポリシーに割り当てられているリモートアクセス VPN セッション用の出力 VLAN を指定します。

hostname(config-group-policy)# [ no ] vlan { vlan_id | none }

no vlan は、グループポリシーから vlan_id を削除します。グループポリシーは、デフォルトのグループポリシーから vlan 値を継承します。

vlan none は、グループポリシーから vlan_id を削除され、このグループポリシーに対する VLAN マッピングをディセーブルにします。グループポリシーは、デフォルトのグループポリシーから vlan 値を継承しません。

コマンド vlan vlan_id 内の vlan_id は、このグループポリシーを使用するリモートアクセス VPN セッションに割り当てられる VLAN の番号(10 進数形式)です。VLAN は「VLAN サブインターフェイスと 802.1Q トランキングの設定」の説明に従い、この適応型セキュリティ アプライアンスに設定する必要があります。

none は、このグループポリシーと一致するリモートアクセス VPN セッションへの VLAN の割り当てをディセーブルにします。


) 出力 VLAN は、HTTP 接続では機能しますが、FTP と CIFS では機能しません。


グループポリシー モードで vpn - filter コマンドを使用して、VPN セッションに適用する ACL の名前を指定します(このアトリビュートはユーザ名モードで設定することもできます。その場合、ユーザ名の下で設定された値がグループポリシーの値よりも優先されます)。

hostname(config-group-policy)# vpn-filter {value ACL name | none}
hostname(config-group-policy)#
 

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを入力して、これらの ACL を適用します。

vpn - filter none コマンドを入力して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、別のグループポリシーから値を継承できます。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、ACL 名を指定する代わりに、 none キーワードを入力します。 none キーワードは、アクセスリストがないことを示します。このキーワードにより、ヌル値が設定され、アクセスリストが拒否されます。

次の例は、FirstGroup という名前のグループポリシーに対して acl_vpn という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter acl_vpn
hostname(config-group-policy)#

vpn-filter コマンドは、トンネルから出た後の、復号化後のトラフィックとトンネルに入る前の、暗号化前のトラフィックに適用されます。vpn-filter に使用される ACL を interface access-group にも使用することはできません。 vpn-filter コマンドを、リモート アクセス VPN クライアント接続を制御するグループ ポリシーに適用する場合は、ACL の src_ip の位置のクライアント割り当て IP アドレスおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。

vpn-filter コマンドを、LAN-to-LAN VPN 接続を制御するグループ ポリシーに適用する場合は、ACL の src_ip の位置のリモート ネットワークおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。

vpn-filter 機能で使用するために ACL を設定する場合は、注意する必要があります。ACL は、復号化後のトラフィックに対して構築されていることに留意してください。ただし、ACL は反対方向のトラフィックに対しても適用されます。トンネル宛ての、暗号化前のこのトラフィックについては、ACL は src_ip の位置と dest_ip の位置を入れ替えたものに対して構築されています。

次の例では、vpn-filter をリモート アクセス VPN クライアントと共に使用します。
この例では、クライアント割り当て IP アドレスを 10.10.10.1/24、ローカル ネットワークを 192.168.1.0/24 としています。

次の ACE によって、リモート アクセス VPN クライアントがローカル ネットワークに Telnet を使用することが許可されます。

hostname(config-group-policy)# access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

 

次の ACE によって、ローカル ネットワークがリモート アクセス クライアントに Telnet を使用することが許可されます。

hostname(config-group-policy)# access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0

) 注:ACE の access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 によって、ローカル ネットワークは、発信元ポート 23 を使用している場合にリモート アクセス クライアントへの接続開始が許可されます。ACE の access-list vpnfilt-ra permit 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 によって、リモート アクセス クライアントは、発信元ポート 23 を使用している場合にリモート アクセス クライアントへの接続開始が許可されます。


次の例では、vpn-filter を LAN-to-LAN VPN 接続と共に使用します。この例では、リモート ネットワークを 10.0.0.0/24、ローカル ネットワークを 192.168.1.0/24 としています。
次の ACE によって、リモート ネットワークがローカル ネットワークに Telnet を使用することが許可されます。

hostname(config-group-policy)# access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23

 

次の ACE によって、ローカル ネットワークがリモート ネットワークに Telnet を使用することが許可されます。

hostname(config-group-policy)# access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0

) 注:ACE の access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 によって、ローカル ネットワークは、発信元ポート 23 を使用している場合にリモート ネットワークへの接続開始が許可されます。注:ACE の access-list vpnfilt-l2l permit 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 によって、リモート ネットワークは、発信元ポート 23 を使用している場合にローカル ネットワークへの接続開始が許可されます。


 

ステップ 6 このグループポリシーの VPN トンネル タイプを指定します。

hostname(config-group-policy)# vpn-tunnel-protocol {webvpn | IPSec | l2tp-ipsec}
hostname(config-group-policy)#
 

デフォルトは IPSec です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no vpn-tunnel-protocol [webvpn | IPSec | l2tp-ipsec]
hostname(config-group-policy)#
 

このコマンドのパラメータの値は、次のとおりです。

IPSec :2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn :HTTPS 対応 Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは不要です。

l2tp-ipsec :L2TP 接続用の IPSec トンネルをネゴシエートします。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、FirstGroup という名前のグループポリシーに IPSec トンネリング モードを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
hostname(config-group-policy)#
 


 

セキュリティ アトリビュートの設定

この項のアトリビュートで、グループに対する特定のセキュリティ設定を指定します。


ステップ 1 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して password-storage コマンドを使用し、ユーザがログイン パスワードをクライアント システムに保存できるようにするかどうかを指定します。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを使用します。

hostname(config-group-policy)# password-storage {enable | disable}
hostname(config-group-policy)#
 

セキュリティ上の理由から、パスワード保存はデフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムでのみイネーブルにします。

password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no password-storage
hostname(config-group-policy)#
 

no 形式を指定すると、password-storage の値を別のグループポリシーから継承することができます。

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証には適用されません。

次の例は、FirstGroup という名前のグループポリシーでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# password-storage enable
hostname(config-group-policy)#
 

ステップ 2 デフォルトではディセーブルになっている IP 圧縮をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# ip-comp {enable | disable}
hostname(config-group-policy)#
 

LZS IP 圧縮をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-comp コマンドを入力します。IP 圧縮をディセーブルにするには、 disable キーワードを指定して ip-comp コマンドを入力します。

ip-comp アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、値を別のグループポリシーから継承できます。

hostname(config-group-policy)# no ip-comp
hostname(config-group-policy)#
 

データ圧縮をイネーブルにすることにより、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが高くなる可能性があります。


注意 データ圧縮を使用すると、ユーザ セッションごとのメモリ要求と CPU 使用率が増加し、結果として適応型セキュリティ アプライアンスのスループット全体が低下します。そのため、データ圧縮はモデムで接続するリモート ユーザについてだけイネーブルにすることをお勧めします。モデム ユーザ専用のグループポリシーを設計して、そのようなユーザに対してだけ圧縮をイネーブルにしてください。

ステップ 3 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して re-xauth コマンドを使用し、IKE キーが再生成される際にユーザが再認証を受ける必要があるかどうかを指定します。IKE キーが再生成される際の再認証をイネーブルにすると、適応型セキュリティ アプライアンスは初回のフェーズ 1 IKE ネゴシエーションでユーザにユーザ名とパスワードの入力を求めるプロンプトを表示し、IKE キーの再生成が発生するたびにユーザ認証のプロンプトを表示します。再認証によりセキュリティがより強固になります。

設定されているキーの再生成インターバルが短い場合、ユーザは繰り返し認可要求を受けるため、不便を感じる場合があります。認可要求が何度も繰り返されないようにするには、再認証をディセーブルにします。設定されているキーの再生成インターバルを確認するには、モニタリング モードで show crypto ipsec sa コマンドを入力して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータのキロバイト単位のライフタイムを表示します。IKE キーが再生成される際のユーザの再認証をディセーブルにするには、 disable キーワードを入力します。IKE キーが再生成される際の再認証は、デフォルトではディセーブルになっています。

hostname(config-group-policy)# re-xauth {enable | disable}
hostname(config-group-policy)#
 

IKE キーが再生成される際の再認証用の値を別のグループポリシーから継承することをイネーブルにするには、このコマンドの no 形式を入力して、実行コンフィギュレーションから re-xauth アトリビュートを削除します。

hostname(config-group-policy)# no re-xauth
hostname(config-group-policy)#
 

) 接続先にユーザが存在しない場合、再認証は失敗します。


ステップ 4 グループポリシー コンフィギュレーション モードで group-lock コマンドを使用して、接続プロファイルを介してだけアクセスするようにリモート ユーザを制限するかどうかを指定します。

hostname(config-group-policy)# group-lock {value tunnel-grp-name | none}
hostname(config-group-policy)# no group-lock
hostname(config-group-policy)#
 

tunnel-grp-name 変数は、適応型セキュリティ アプライアンスがユーザの接続に関して要求する既存の接続プロファイルの名前を指定します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられている接続プロファイルと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、適応型セキュリティ アプライアンスはそのユーザによる接続を禁止します。group-lock を設定しない場合、適応型セキュリティ アプライアンスは割り当てられているグループを考慮せずに、ユーザを認証します。グループ ロックはデフォルトでディセーブルになっています。

group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。

group-lock をディセーブルにするには、 none キーワードを指定して group-lock コマンドを入力します。none キーワードにより、group-lock はヌル値に設定され、group-lock の制限が拒否されます。また、デフォルトまたは指定されたグループポリシーから group-lock の値が継承されなくなります。

ステップ 5 完全転送秘密をイネーブルにするかどうかを指定します。IPSec ネゴシエーションでは、完全転送秘密により、新しい各暗号キーは以前のどのキーとも関連性がないことが保証されます。グループポリシーは、別のグループポリシーから完全転送秘密の値を継承できます。完全転送秘密は、デフォルトではディセーブルになっています。完全転送秘密をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して pfs コマンドを使用します。

hostname(config-group-policy)# pfs {enable | disable}
hostname(config-group-policy)#
 

完全秘密転送をディセーブルにするには、 disable キーワードを指定して pfs コマンドを入力します。

完全秘密転送アトリビュートを実行コンフィギュレーションから削除して、値を継承しないようにするには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no pfs
hostname(config-group-policy)#
 


 

バナー メッセージの設定

表示するバナーまたは初期メッセージ(ある場合)を指定します。デフォルトではバナーは表示されません。指定したメッセージは、リモート クライアントが接続したときに、そのクライアントに表示されます。バナーを指定するには、グループポリシー コンフィギュレーション モードで banner コマンドを入力します。バナー テキストの長さは 510 文字までです。復帰を入力するには、「\n」シーケンスを入力します。


) バナー内の復帰改行は、2 文字として数えられます。


バナーを削除するには、このコマンドの no 形式を入力します。このコマンドの no 形式を使用すると、グループポリシーのすべてのバナーが削除されることに注意してください。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、次のように、バナー文字列の値を指定する代わりに none キーワードを入力します。

hostname(config-group-policy)# banner {value banner_string | none}
 

次の例は、FirstGroup という名前のグループポリシーにバナーを作成する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0.
 

IPSec-UDP アトリビュートの設定

IPSec over UDP(IPSec through NAT と呼ばれることもあります)を使用すると、Cisco VPN クライアントまたはハードウェア クライアントは、NAT を実行している適応型セキュリティ アプライアンスに UDP 経由で接続できます。この機能はデフォルトではディセーブルになっています。IPSec over UDP は、リモートアクセス接続だけに適用される専用の機能で、モード コンフィギュレーションが必要です。適応型セキュリティ アプライアンスは、SA のネゴシエート時にクライアントとの間でコンフィギュレーション パラメータをやり取りします。IPSec over UDP を使用すると、システムのパフォーマンスがわずかに低下する場合があります。

IPSec over UDP をイネーブルにするには、グループポリシー コンフィギュレーション モードで、次のように enable キーワードを指定して ipsec-udp コマンドを設定します。

hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)# no ipsec-udp
 

IPSec over UDP を使用するには、次のように ipsec-udp-port コマンドも設定する必要があります。

IPSec over UDP をディセーブルにするには、 disable キーワードを入力します。IPSec over UDP アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、IPSec over UDP の値を別のグループポリシーから継承できます。

また、IPSec over UDP を使用するように Cisco VPN クライアントを設定しておく必要があります(Cisco VPN クライアントは、デフォルトで IPSec over UDP を使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するためのコンフィギュレーションは必要ありません。

次の例は、FirstGroup という名前のグループポリシーに IPSec over UDP を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable
 

IPSec over UDP をイネーブルにした場合は、グループポリシー コンフィギュレーション モードで ipsec-udp-port コマンドも設定する必要があります。このコマンドにより、IPSec over UDP 用の UDP ポート番号が設定されます。IPSec ネゴシエーションでは、適応型セキュリティ アプライアンスは設定されたポートでリッスンし、他のフィルタ規則で UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。ポート番号の範囲は 4001 ~ 49151 です。デフォルトのポート値は 10000 です。

UDP ポートをディセーブルにするには、このコマンドの no 形を入力します。これにより、IPSec over UDP のポート値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ipsec-udp-port port
 

次の例は、FirstGroup という名前のグループポリシーの IPSec UDP ポートをポート 4025 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp-port 4025
 

スプリット トンネリング アトリビュートの設定

スプリット トンネリングを使用すると、リモートアクセス IPSec クライアントは、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリア テキスト形式でネットワーク インターフェイスに誘導したりすることができます。スプリット トンネリングがイネーブルになっている場合、IPSec トンネルの相手側を宛先としないパケットを暗号化する必要はありません。このようなパケットはトンネル上を復号化された状態で送信され、その後、最終的な宛先にルーティングされます。このコマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

スプリット トンネリング ポリシーの設定

スプリット トンネリング ポリシーを指定して、トラフィックのトンネリング規則を設定します。

hostname(config-group-policy)# split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
hostname(config-group-policy)# no split-tunnel-policy
 

デフォルトでは、すべてのトラフィックがトンネリングされます。スプリット トンネリング ポリシーを設定するには、グループポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを入力します。 split-tunnel-policy アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、スプリット トンネリングの値を別のグループポリシーから継承できます。

トラフィックがクリア テキストで送信されるネットワークのリストは、 excludespecified キーワードで定義します。この機能は、トンネル経由で企業ネットワークに接続しながら、プリンタなどのローカル ネットワーク デバイスにアクセスするリモート ユーザにとって便利です。このオプションは、Cisco VPN クライアントに対してだけ適用されます。

tunnelall キーワードを指定すると、すべてのトラフィックがクリア テキストとして送信されなくなるか、適応型セキュリティ アプライアンス以外の宛先に送信されなくなります。この指定では、実質的にスプリット トンネリングはディセーブルになります。リモート ユーザは企業ネットワークを経由してインターネットにアクセスしますが、ローカル ネットワークにはアクセスできません。これがデフォルトのオプションです。

tunnelspecified キーワードを指定すると、指定されたネットワークとの間のすべてのトラフィックがトンネリングされます。このオプションにより、スプリット トンネリングはイネーブルになります。このオプションでは、トンネリングするアドレスのネットワーク リストを作成することができます。これ以外のすべてのアドレスに対するデータは、クリア テキストで送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。


) スプリット トンネリングは主としてトラフィック管理機能であり、セキュリティ機能ではありません。最大限のセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことをお勧めします。


次の例は、FirstGroup という名前のグループポリシーに指定されたネットワークにだけ、トンネリングのスプリット トンネリング ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified
 

スプリット トンネリング用のネットワーク リストの作成

グループポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用して、スプリット トンネリング用のネットワーク リストを作成します。

hostname(config-group-policy)# split-tunnel-network-list {value access-list_name | none}
hostname(config-group-policy)# no split-tunnel-network-list value [access-list_name]
 

スプリット トンネリングのネットワーク リストは、トラフィックをトンネル経由で送信する必要のあるネットワークと、トンネリングが不要なネットワークを区別します。適応型セキュリティ アプライアンスは、ネットワーク リストに基づいてスプリット トンネリングを実行するかどうかを決定します。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成された ACL です。標準タイプの ACL だけが許可されます。

value access-list name パラメータでは、トンネリングを実行する、または実行しないネットワークを列挙したアクセスリストを指定します。

none キーワードは、スプリット トンネリング用のネットワーク リストが存在しないことを示し、適応型セキュリティ アプライアンスはすべてのトラフィックをトンネリングします。 none キーワードを指定すると、スプリット トンネリングのネットワーク リストにヌル値が設定され、スプリット トンネリングが拒否されます。また、これにより、デフォルトまたは指定されたグループポリシーから、デフォルトのスプリット トンネリング ネットワーク リストが継承されなくなります。

ネットワーク リストを削除するには、このコマンドの no 形式を入力します。すべてのスプリット トンネリング ネットワーク リストを削除するには、引数を指定せずに no split-tunnel-network-list コマンドを入力します。このコマンドにより、 none キーワードを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのネットワーク リストが削除されます。

スプリット トンネリングのネットワーク リストが存在しない場合、ユーザはデフォルトまたは指定されたグループポリシー内に存在するネットワーク リストを継承します。ユーザがこのようなネットワーク リストを継承しないようにするには、 split-tunnel-network-list none コマンドを入力します。

次の例は、FirstGroup という名前のグループポリシーに FirstList という名前のネットワーク リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-network-list FirstList
 

トンネリング用のドメイン アトリビュートの設定

トンネリングされたパケットのデフォルト ドメイン名、またはスプリット トンネルを経由して解決されるドメインのリストを指定できます。次の項では、これらのドメインの設定方法について説明します。

トンネリングされたパケットのデフォルト ドメイン名の定義

適応型セキュリティ アプライアンスは、ドメイン フィールドが省略される DNS クエリーに追加するために、IPSec クライアントにデフォルト ドメイン名を渡します。デフォルトのドメイン名が存在しない場合、ユーザはデフォルト グループポリシーのドメイン名を継承します。グループポリシーのユーザのデフォルト ドメイン名を指定するには、グループポリシー コンフィギュレーション モードで default-domain コマンドを入力します。ドメイン名を削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# default-domain {value domain-name | none}
hostname(config-group-policy)# no default-domain [domain-name]
 

value domain-name パラメータは、グループのデフォルト ドメイン名を指定します。デフォルト ドメイン名が存在しないことを指定するには、 none キーワードを入力します。このコマンドにより、デフォルト ドメイン名にヌル値が設定され、デフォルト ドメイン名が拒否されます。また、デフォルトまたは指定されたグループポリシーからデフォルト ドメイン名が継承されなくなります。

すべてのデフォルト ドメイン名を削除するには、引数を指定せずに no default-domain コマンドを入力します。このコマンドにより、 none キーワードを指定して default-domain コマンドを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのデフォルト ドメイン名が削除されます。 no 形式を使用すると、ドメイン名の継承が許可されます。

次の例は、FirstGroup という名前のグループポリシーに FirstDomain というデフォルト ドメイン名を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# default-domain value FirstDomain
 

スプリット トンネリング用のドメイン リストの定義

スプリット トンネルを介して解決されるドメインのリストを入力します。グループポリシー コンフィギュレーション モードで split-dns コマンドを入力します。リストを削除するには、このコマンドの no 形式を入力します。


) AnyConnect クライアントはスプリット DNS をサポートしません。


スプリット トンネリングのドメイン リストが存在しない場合、ユーザはデフォルト グループポリシー内に存在するリストを継承します。ユーザがこのようなスプリット トンネリング ドメイン リストを継承しないようにするには、 none キーワードを指定して split-dns コマンドを入力します。

すべてのスプリット トンネリング ドメイン リストを削除するには、引数を指定せずに no split-dns コマンドを入力します。これにより、 none キーワードを指定して split-dns コマンドを発行して作成したヌル リストを含めて、設定済みのすべてのスプリット トンネリング ドメイン リストが削除されます。

パラメータ value domain-name では、適応型セキュリティ アプライアンスがスプリット トンネルを介して解決するドメイン名を指定します。 none キーワードは、スプリット DNS リストが存在しないことを示します。また、このキーワードにより、スプリット DNS リストにヌル値が設定されます。そのため、スプリット DNS リストは拒否され、デフォルトまたは指定されたグループポリシーのスプリット DNS リストが継承されなくなります。このコマンドの構文は次のとおりです。

hostname(config-group-policy)# split-dns {value domain-name1 [domain-name2... domain-nameN] | none}
hostname(config-group-policy)# no split-dns [domain-name domain-name2 domain-nameN]
 

ドメインのリスト内で各エントリを区切るには、スペースを 1 つ入力します。エントリ数に制限はありませんが、文字列全体で 255 文字を超えることはできません。英数字、ハイフン(-)、およびピリオド(.)だけを使用できます。デフォルト ドメイン名がトンネルを介して解決される場合は、そのドメイン名をこのリストに明示的に含める必要があります。

次の例は、FirstGroup という名前のグループポリシーで、Domain1、Domain2、Domain3、Domain4 の各ドメインがスプリット トンネリングを介して解決されるように設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-dns value Domain1 Domain2 Domain3 Domain4
 

DHCP 代行受信の設定

スプリット トンネル オプションが 255 バイトを超えていると、Microsoft XP の異常によりドメイン名が破損します。この問題を回避するために、適応型セキュリティ アプライアンスは送信するルート数を 27 ~ 40 ルートに制限しています。ルート数はルートのクラスによって異なります。

DHCP 代行受信を使用することにより、Microsoft Windows XP クライアントで適応型セキュリティ アプライアンスとともにスプリット トンネリングを使用できます。適応型セキュリティ アプライアンスは、Microsoft Windows XP クライアント DHCP Inform メッセージに直接応答し、クライアントにサブネット マスク、ドメイン名、およびトンネル IP アドレスのクラスレス スタティック ルートを提供します。Windows XP 以前の Windows クライアントの場合、DHCP 代行受信によってドメイン名とサブネット マスクが提供されます。これは、DHCP サーバの使用が効果的ではない環境において有用です。

intercept-dhcp コマンドは、DHCP 代行受信をイネーブルまたはディセーブルにします。このコマンドの構文は次のとおりです。

[ no ] intercept-dhcp

hostname(config-group-policy)# intercept-dhcp netmask {enable | disable}
hostname(config-group-policy)#
 

netmask 変数で、トンネル IP アドレスのサブネット マスクを提供します。このコマンドの no 形式は、コンフィギュレーションから DHCP 代行受信を削除します。

次の例は、FirstGroup という名前のグループポリシーに DHCP 代行受信を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# intercept-dhcp enable
 

VPN ハードウェア クライアントのアトリビュートの設定

この項にあるコマンドは、セキュア ユニット認証およびユーザ認証をイネーブルまたはディセーブルにし、VPN ハードウェア クライアントのユーザ認証タイムアウト値を設定します。これらのコマンドは、Cisco IP Phone および LEAP パケットで個別のユーザ認証をバイパスすることを許可し、ネットワーク拡張モードを使用するハードウェア クライアントの接続を許可することもできます。

セキュア ユニット認証の設定

セキュア ユニット認証では、VPN ハードウェア クライアントがトンネルを開始するたびにユーザ名とパスワードを使用した認証を要求することで、セキュリティが強化されます。この機能がイネーブルの場合、ハードウェア クライアントはユーザ名とパスワードを保存しません。セキュア ユニット認証はデフォルトでディセーブルになっています。


) この機能がイネーブルの場合、VPN トンネルを起動するには、ユーザがユーザ名とパスワードを入力する必要があります。


セキュア ユニット認証では、ハードウェア クライアントが使用する接続プロファイルに対して認証サーバ グループが設定されている必要があります。プライマリ 適応型セキュリティ アプライアンスでセキュア ユニット認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して secure-unit-authentication コマンドを入力し、セキュア ユニット認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# secure-unit-authentication {enable | disable}
hostname(config-group-policy)# no secure-unit-authentication
 

セキュア ユニット認証をディセーブルにするには、 disable キーワードを入力します。セキュア ユニット認証のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、セキュア ユニット認証の値を別のグループポリシーから継承できます。

次の例は、FirstGroup という名前のグループポリシーのセキュア ユニット認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable
 

ユーザ認証の設定

ユーザ認証はデフォルトでディセーブルになっています。ユーザ認証がイネーブルの場合、ハードウェア クライアントの背後の個々のユーザは、トンネルを介してネットワークにアクセスするために認証を受ける必要があります。個々のユーザは、設定した認証サーバの順序に従って認証されます。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して user-authentication コマンドを入力し、ユーザ認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# user-authentication {enable | disable}
hostname(config-group-policy)# no user-authentication
 

ユーザ認証をディセーブルにするには、 disable キーワードを入力します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、ユーザ認証の値を別のグループポリシーから継承できます。

プライマリ適応型セキュリティ アプライアンスでユーザ認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

次の例は、FirstGroup という名前のグループポリシーのユーザ認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable
 

アイドル タイムアウトの設定

グループポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを入力して、ハードウェア クライアントの背後の個々のユーザにアイドル タイムアウトを設定します。アイドル タイムアウト期間中にハードウェア クライアントの背後のユーザによる通信アクティビティがない場合、適応型セキュリティ アプライアンスはそのクライアントのアクセスを終了します。

hostname(config-group-policy)# user-authentication-idle-timeout {minutes | none}
hostname(config-group-policy)# no user-authentication-idle-timeout
 

このタイマーで終了されるのは、VPN トンネルを経由したクライアントのアクセスだけであり、VPN トンネル自体は終了されません。

show uauth コマンドの応答に示されるアイドル タイムアウトは、常に Cisco Easy VPN リモート デバイスでトンネルを認証したユーザのアイドル タイムアウト値です。


minutes パラメータで、アイドル タイムアウト時間(分単位)を指定します。最短時間は 1 分、デフォルトは 30 分、最長時間は 35791394 分です。

アイドル タイムアウト値を削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、アイドル タイムアウト値を別のグループポリシーから継承できます。

アイドル タイムアウト値を継承しないようにするには、 none キーワードを指定して user-authentication-idle-timeout コマンドを入力します。このコマンドにより、アイドル タイムアウトにヌル値が設定されます。この設定によってアイドル タイムアウトが拒否され、デフォルトまたは指定されたグループポリシーからユーザ認証のアイドル タイムアウト値が継承されなくなります。

次の例は、FirstGroup という名前のグループポリシーに 45 分の アイドル タイムアウト値を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45
 

IP Phone Bypass の設定

Cisco IP Phone は、ハードウェア クライアントの背後の個別のユーザ認証をバイパスさせることができます。IP Phone Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-phone-bypass コマンドを入力します。IP Phone Bypass を使用すると、ハードウェア クライアントの背後の IP Phone はユーザ認証プロセスを実行しなくても接続が可能になります。IP Phone Bypass は、デフォルトでディセーブルになっています。イネーブルの場合、セキュア ユニット認証は有効なままになります。

IP Phone Bypass をディセーブルにするには、 disable キーワードを入力します。IP Phone Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、IP Phone Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ip-phone-bypass {enable | disable}
hostname(config-group-policy)# no ip-phone-bypass
 

LEAP Bypass の設定

LEAP Bypass がイネーブルの場合、VPN 3002 ハードウェア クライアントの背後の無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過します。このアクションにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立し、その後、ユーザ単位で再度認証を実行することができます。LEAP Bypass は、デフォルトでディセーブルになっています。

シスコの無線アクセス ポイントからの LEAP パケットが個々のユーザ認証をバイパスできるようにするには、グループポリシー コンフィギュレーション モードで enable キーワードを指定して leap-bypass コマンドを入力します。LEAP Bypass をディセーブルにするには、 disable キーワードを入力します。LEAP Bypass のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、LEAP Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# leap-bypass {enable | disable}
hostname(config-group-policy)# no leap-bypass
 

) IEEE 802.1X は、有線および無線ネットワークにおける認証規格です。この規格では、クライアントと認証サーバの間で強力な相互認証を実現し、ユーザ単位およびセッション単位のダイナミックな無線暗号化秘密(WEP)キーの使用を可能にして、スタティックな WEP キーの場合に介在する面倒な管理作業やセキュリティ上の問題を軽減することができます。

シスコシステムズは、Cisco LEAP と呼ばれる 802.1X 無線認証タイプを開発しました。LEAP(Lightweight Extensible Authentication Protocol)は、無線クライアントと RADIUS サーバの間の接続における相互認証を実装します。パスワードなど、認証に使用されるクレデンシャルは、無線メディア上で送信される前に必ず暗号化されます。

Cisco LEAP では、無線クライアントを RADIUS サーバに対して認証します。RADIUS アカウンティング サービスは提供されません。


対話的なハードウェア クライアント認証をイネーブルにしている場合、この機能は意図したように動作しません。


注意 認証されていないトラフィックがトンネルを通過できるようにすると、ネットワークにセキュリティ リスクを招くおそれがあります。

次の例は、FirstGroup という名前のグループポリシーに LEAP Bypass を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# leap-bypass enable
 

ネットワーク拡張モードのイネーブル化

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、VPN トンネル経由でリモート プライベート ネットワークに 1 つのルーティング可能なネットワークを提供できます。ハードウェア クライアントの背後のプライベート ネットワークから適応型セキュリティ アプライアンスの背後のネットワークへのすべてのトラフィックは、IPSec でカプセル化されます。PAT は適用されません。したがって、適応型セキュリティ アプライアンスの背後のデバイスは、トンネル経由でだけハードウェア クライアントの背後にあるプライベート ネットワーク上のデバイスに直接アクセスでき、逆方向の場合も同様にトンネル経由の場合にだけ可能になります。トンネルは、ハードウェア クライアントから開始する必要がありますが、トンネルの確立後はどちらの側からデータ交換を開始してもかまいません。

グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して nem コマンドを入力し、ハードウェア クライアントの Network Extension Mode(NEM; ネットワーク拡張モード)をイネーブルにします。

hostname(config-group-policy)# nem {enable | disable}
hostname(config-group-policy)# no nem
 

NEM をディセーブルにするには、 disable キーワードを入力します。この NEM のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、値を別のグループポリシーから継承できます。

次の例は、FirstGroup という名前のグループポリシーに NEM を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable
 

バックアップ サーバ アトリビュートの設定

バックアップ サーバを設定します(使用する予定がある場合)。IPSec バックアップ サーバを使用すると、VPN クライアントはプライマリ適応型セキュリティ アプライアンスが使用不可の場合も中央サイトに接続することができます。バックアップ サーバを設定すると、適応型セキュリティ アプライアンスは、IPSec トンネルを確立するときにクライアントにサーバ リストを渡します。バックアップ サーバは、クライアントまたはプライマリ適応型セキュリティ アプライアンスにその設定を行うまでは存在しません。

バックアップ サーバは、クライアントまたはプライマリ適応型セキュリティ アプライアンスのいずれかに設定します。適応型セキュリティ アプライアンスにバックアップ サーバを設定すると、セキュリティ アプライアンスはバックアップ サーバ ポリシーをグループ内のクライアントに配信し、クライアントにバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。


) ホスト名を使用している場合は、バックアップ用の DNS サーバおよび WINS サーバを、プライマリの DNS サーバおよび WINS サーバと異なるネットワーク上に配置することをお勧めします。このようにしないと、ハードウェア クライアントの背後のクライアントが DHCP 経由でそのハードウェア クライアントから DNS および WINS の情報を取得している場合に、プライマリ サーバへの接続が失われると、バックアップ サーバに別の DNS および WINS の情報があっても、クライアントは DHCP リースの期限が満了するまではアップデートされなくなります。また、ホスト名を使用している場合に DNS サーバ が使用不可になると、大幅な遅延が発生するおそれがあります。


バックアップ サーバを設定するには、グループポリシー コンフィギュレーション モードで backup-servers コマンドを入力します。

hostname(config-group-policy)# backup-servers {server1 server2... server10 | clear-client-config | keep-client-config}
 

バックアップ サーバを削除するには、バックアップ サーバを指定してこのコマンドの no 形式を入力します。backup-servers アトリビュートを実行コンフィギュレーションから削除し、backup-servers の値を他のグループポリシーから継承できるようにするには、引数を指定せずにこのコマンドの no 形式を入力します。

hostname(config-group-policy)# no backup-servers [server1 server2... server10 | clear-client-config | keep-client-config]
 

clear-client-config キーワードは、クライアントでバックアップ サーバを使用しないことを指定します。適応型セキュリティ アプライアンスはヌルのサーバ リストを配信します。

keep-client-config キーワードは、適応型セキュリティ アプライアンスがバックアップ サーバ情報をクライアントに送信しないことを指定します。クライアントは、そのクライアントのサーバ リストを使用します(設定されている場合)。これがデフォルトです。

server1 server 2....server10 パラメータ リストは、プライマリの適応型セキュリティ アプライアンスが使用不可の場合に VPN クライアントが使用するサーバをプライオリティ順にスペースで区切ったリストです。このリストには、サーバを IP アドレスまたはホスト名で指定します。このリストの長さは 500 文字までで、格納できるエントリは最大 10 個までです。

次の例は、FirstGroup という名前のグループポリシーに、IP アドレスが 10.10.10.1 と 192.168.10.14 であるバックアップ サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# backup-servers 10.10.10.1 192.168.10.14
 

Microsoft Internet Explorer クライアントのパラメータの設定

次のコマンドは、Microsoft Internet Explorer クライアントのプロキシ サーバのパラメータを設定します。


ステップ 1 グループポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力し、クライアント PC の Microsoft Internet Explorer ブラウザのプロキシ サーバとポート番号を設定します。

hostname(config-group-policy)# msie-proxy server {value server[:port] | none}
hostname(config-group-policy)#
 

デフォルト値は none です。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no msie-proxy server
hostname(config-group-policy)#
 

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例は、FirstGroup という名前のグループポリシーに、Microsoft Internet Explorer のプロキシ サーバの IP アドレスとして 192.168.10.1、ポート 880 を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy server value 192.168.21.1:880
hostname(config-group-policy)#
 

ステップ 2 グループポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力し、クライアント PC で使用する Microsoft Internet Explorer ブラウザのプロキシの動作(「method」)を設定します。

hostname(config-group-policy)# msie-proxy method [auto-detect | no-modify | no-proxy | use-server]
hostname(config-group-policy)#
 

デフォルト値は use-server です。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no msie-proxy method [auto-detect | no-modify | no-proxy | use-server]
hostname(config-group-policy)#
 

使用できる方法は、次のとおりです。

auto-detect :クライアント PC の Internet Explorer でプロキシ サーバの自動検出の使用をイネーブルにします。

no-modify :このクライアント PC で使用している Internet Explorer の HTTP ブラウザ プロキシ サーバの設定をそのままにします。

no-proxy :クライアント PC で使用している Internet Explorer の HTTP プロキシの設定をディセーブルにします。

use-server :Internet Explorer の HTTP プロキシ サーバの設定で、 msie-proxy server コマンドで設定した値を使用します。

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例は、FirstGroup という名前のグループポリシーに、Microsoft Internet Explorer によるプロキシ設定の自動検出を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy method auto-detect
hostname(config-group-policy)#
 

次の例は、FirstGroup という名前のグループポリシーで、クライアント PC の Microsoft Internet Explorer のプロキシ設定として、QAserver という名前のサーバにポート 1001 を使用するように設定しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy server QAserver:port 1001
hostname(config-group-policy)# msie-proxy method use-server
hostname(config-group-policy)#
 

ステップ 3 グループポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力して、クライアント PC の Microsoft Internet Explorer ブラウザがローカルでプロキシをバイパスするために使用するプロキシの例外リストを設定します。これらのアドレスは、プロキシ サーバによってアクセスされません。このリストは、Internet Explorer の [Proxy Stteings] ダイアログボックスにある [Exceptions] ボックスに相当します。

hostname(config-group-policy)# msie-proxy except-list {value server[:port] | none}
hostname(config-group-policy)#
 

アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no msie-proxy except-list
hostname(config-group-policy)#
 

value server:port :このクライアント PC に適用する MSIE サーバの IP アドレスまたは名前、およびポートを指定します。ポート番号はオプションです。

none :IP アドレスまたはホスト名とポートがないことを示し、例外リストを継承しません。

デフォルトでは、msie-proxy except-list はディセーブルになっています。

プロキシ サーバの IP アドレスまたはホスト名とポート番号を含む行は、100 文字より少なくする必要があります。

次の例は、FirstGroup という名前のグループポリシーの Microsoft Internet Explorer のプロキシ例外リストを、IP アドレス 192.168.20.1 のサーバ、ポート 880 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy except-list value 192.168.20.1:880
hostname(config-group-policy)#
 

ステップ 4 グループポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力し、クライアント PC で使用する Microsoft Internet Explorer ブラウザが、プロキシをローカルでバイパスする設定をイネーブルまたはディセーブルにします。

hostname(config-group-policy)# msie-proxy local-bypass {enable | disable}
hostname(config-group-policy)#
 

アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no msie-proxy local-bypass {enable | disable}
hostname(config-group-policy)#
 

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

次の例は、FirstGroup という名前のグループポリシーの Microsoft Internet Explorer のプロキシのローカル バイパス設定をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy local-bypass enable
hostname(config-group-policy)#
 


 

ネットワーク アドミッション コントロールのパラメータの設定

この項で説明するグループポリシー NAC コマンドには、すべてデフォルトの値があります。どうしても必要な場合を除き、これらのパラメータのデフォルト値は変更しないでください。

セキュリティ アプライアンスは、Extensible Authentication Protocol(EAP)over UDP(EAPoUDP)のメッセージを使用して、リモート ホストのポスチャを検証します。ポスチャ検証では、リモート ホストにネットワーク アクセス ポリシーを割り当てる前に、そのホストがセキュリティの必要条件を満たしているかどうかが調べられます。セキュリティ アプライアンスでネットワーク アドミッション コントロールを設定する前に、NAC 用に Access Control Server を設定しておく必要があります。

Access Control Server は、システムのモニタリング、レポートの作成、デバッグ、およびロギングに役立つ情報を示すポスチャ トークン(ACS で設定可能な文字列)をセキュリティ アプライアンスにダウンロードします。一般的なポスチャ トークンには、Healthy、Checkup、Quarantine、Infected、Unknown があります。ポスチャ検証またはクライアントなしの認証が終わると、ACS はセッション用のアクセス ポリシーをセキュリティ アプライアンスにダウンロードします。

次のパラメータでは、デフォルト グループポリシーまたは代替グループポリシーのネットワーク アドミッション コントロール設定を構成できます。


ステップ 1 オプション )ステータス クエリー タイマーの期間を設定します。セキュリティ アプライアンスは、ポスチャ検証が問題なく終わり、ステータス クエリーの応答を受け取るたびに、ステータス クエリーのタイマーを始動させます。このタイマーの期限が切れると、ホストのポスチャの変更を調べるクエリー(ステータス クエリー)が発行されます。タイマーの期限を 30 ~ 1800 の秒数で入力します。デフォルトの設定は 300 秒です。

ネットワーク アドミッション コントロールのセッションで、ポスチャ検証が問題なく終わり、ポスチャの変更を調べる次のクエリーが発行されるまでの間隔を指定するには、グループポリシー コンフィギュレーション モードで nac-sq-period コマンドを使用します。

hostname(config-group-policy)# nac-sq-period seconds
hostname(config-group-policy)#
 

デフォルトのグループポリシーからステータス クエリー タイマーの値を継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-sq-period [seconds]
hostname(config-group-policy)#
 

次の例では、ステータス クエリー タイマーの値を 1800 秒に変更しています。

hostname(config-group-policy)# nac-sq-period 1800
hostname(config-group-policy)
 

次の例では、デフォルト グループポリシーからステータス クエリー タイマーの値を継承しています。

hostname(config-group-policy)# no nac-sq-period
hostname(config-group-policy)#
 

ステップ 2 オプション )NAC の再検証の期間を設定します。セキュリティ アプライアンスは、ポスチャ検証が問題なく終わるたびに、再検証タイマーを始動させます。このタイマーの期限が切れると、次の無条件のポスチャ検証を開始します。セキュリティ アプライアンスは、それまでと同じ方法でポスチャを再検証します。ポスチャ検証または再検証中に Access Control Server が使用できなくなると、デフォルトのグループポリシーが有効になります。ポスチャを検証する間隔を秒数で入力します。範囲は 300 ~ 86400 秒です。デフォルトの設定は 36000 秒です。

ネットワーク アドミッション コントロールのセッションでポスチャを検証する間隔を指定するには、グループポリシー コンフィギュレーション モードで nac-reval-period コマンドを使用します。

hostname(config-group-policy)# nac-reval-period seconds
hostname(config-group-policy)#
 

再検証タイマーの値をデフォルト グループポリシーから継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-reval-period [seconds]
hostname(config-group-policy)#
 

次の例では、再検証タイマーを 86400 秒に変更しています。

hostname(config-group-policy)# nac-reval-period 86400
hostname(config-group-policy)
 

次の例では、デフォルトのグループポリシーから再検証タイマーの値を継承しています。

hostname(config-group-policy)# no nac-reval-period
hostname(config-group-policy)#
 

ステップ 3 オプション )NAC のデフォルト ACL を設定します。セキュリティ アプライアンスは、ポスチャを検証できない場合に、選択された ACL に関連付けられているセキュリティ ポリシーを適用します。 none または拡張 ACL を指定します。デフォルト設定は none です。 none に設定すると、セキュリティ アプライアンスは、ポスチャを検証できなかったときにデフォルトのグループポリシーを適用します。

ポスチャを検証できなかったネットワーク アドミッション コントロール セッションのデフォルト ACL として使用される ACL を指定するには、グループポリシー コンフィギュレーション モードで nac-default-acl コマンドを使用します。

hostname(config-group-policy)# nac-default-acl {acl-name | none}
hostname(config-group-policy)#
 

デフォルトのグループポリシーから ACL を継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac-default-acl [acl-name | none]
hostname(config-group-policy)#
 

このコマンドの要素は次のとおりです。

acl-name aaa-server host コマンドを使用して適応型セキュリティ アプライアンスに設定されている、ポスチャを検証するサーバ グループの名前を指定します。名前は、コマンドで指定した server-tag 変数と一致している必要があります。

none :デフォルト グループポリシーからの ACL の継承をディセーブルにし、NAC セッションでポスチャを検証できなかったときに ACL を適用しません。

NAC はデフォルトでディセーブルになっているため、適応型セキュリティ アプライアンスを通過する VPN トラフィックは、NAC がイネーブルになるまで、NAC デフォルトの ACL の影響は受けません。

次の例では、ポスチャを検証できなかったときに、acl-1 という ACL を適用するように指定しています。

hostname(config-group-policy)# nac-default-acl acl-1
hostname(config-group-policy)
 

次の例では、デフォルト グループポリシーから ACL を継承しています。

hostname(config-group-policy)# no nac-default-acl
hostname(config-group-policy)
 

次の例では、デフォルト グループポリシーからの ACL の継承をディセーブルにし、NAC セッションでポスチャを検証できなかったときに ACL を適用しません。

hostname(config-group-policy)# nac-default-acl none
hostname(config-group-policy)#
 

ステップ 4 VPN の NAC 免除を設定します。デフォルトでは、免除リストは空になっています。フィルタ アトリビュートのデフォルト値は none です。ポスチャ検証を免除するリモート ホストのオペレーティング システム(および ACL)ごとに vpn-nac-exempt を 1 回入力します。

ポスチャ検証を免除するリモート コンピュータのタイプのリストにエントリを追加するには、グループポリシー コンフィギュレーション モードで vpn-nac-exempt コマンドを使用します。

hostname(config-group-policy)# vpn-nac-exempt os "os name" [filter {acl-name | none}] [disable]
hostname(config-group-policy)#
 

継承をディセーブルにし、すべてのホストをポスチャ検証の対象にするには、 vpn-nac-exempt のすぐ後ろに none キーワードを入力します。

hostname(config-group-policy)# vpn-nac-exempt none
hostname(config-group-policy)#
 

免除リストのエントリを削除するには、このコマンドの no 形式を使用し、削除するオペレーティング システム(および ACL)を指定します。

hostname(config-group-policy)# no vpn-nac-exempt [os "os name"] [filter {acl-name | none}] [disable]
hostname(config-group-policy)#
 

このグループポリシーに関連付けられている免除リストにある全エントリを削除し、デフォルト グループポリシーの免除リストを継承するには、キーワードを指定せずにこのコマンドの no 形式を使用します。

hostname(config-group-policy)# no vpn-nac-exempt
hostname(config-group-policy)#
 

このコマンドの構文要素は次のとおりです。

acl-name :適応型セキュリティ アプライアンスのコンフィギュレーションに存在する ACL の名前。

disable:免除リストのエントリを削除せずにディセーブルにします。

filter :( オプション )コンピュータのオペレーティング システムの名前が一致したときにトラフィックをフィルタリングするために ACL に適用するフィルタ。

none :このキーワードを vpn-nac-exempt のすぐ後ろに入力した場合は、継承がディセーブルになり、すべてのホストがポスチャ検証の対象になります。このキーワードを filter のすぐ後ろに入力した場合は、エントリで ACL を指定しないことを示します。

OS :オペレーティング システムをポスチャ検証から免除します。

os name :オペレーティング システムの名前です。引用符は、オペレーティング システムの名前にスペースが入っている場合(「Windows XP」など)だけ必要です。

次の例では、Windows XP を実行しているすべてのホストが、ポスチャ検証から免除するコンピュータのリストに追加されます。

hostname(config-group-policy)# vpn-nac-exempt os "Windows XP"
hostname(config-group-policy)
 

次の例では、Windows 98 を実行しているホストのうち、acl-1 という名前の ACL にある ACE に一致するものがすべて免除されます。

hostname(config-group-policy)# vpn-nac-exempt os "Windows 98" filter acl-1
hostname(config-group-policy)
 

次の例では、上と同じエントリが免除リストに追加されますが、ディセーブルにされます。

hostname(config-group-policy)# vpn-nac-exempt os "Windows 98" filter acl-1 disable
hostname(config-group-policy)
 

次の例では、同じエントリが、ディセーブルかどうかにかかわらず、免除リストから削除されます。

hostname(config-group-policy)# no vpn-nac-exempt os "Windows 98" filter acl-1
hostname(config-group-policy)
 

次の例では、継承がディセーブルにされ、すべてのホストがポスチャ検証の対象にされます。

hostname(config-group-policy)# no vpn-nac-exempt none
hostname(config-group-policy)
 

次の例では、免除リストからすべてのエントリが削除されます。

hostname(config-group-policy)# no vpn-nac-exempt
hostname(config-group-policy)
 

ステップ 5 次のコマンドを入力して、ネットワーク アドミッション コントロールをイネーブルまたはディセーブルにします。

hostname(config-group-policy)# nac {enable | disable}
hostname(config-group-policy)#
 

デフォルト グループポリシーから NAC の設定を継承するには、継承元の代替グループポリシーにアクセスして、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no nac [enable | disable]
hostname(config-group-policy)#
 

デフォルトでは、NAC はディセーブルになっています。NAC をイネーブルにすると、リモートアクセスでポスチャ検証が必要になります。リモート コンピュータのポスチャが正しいことが確認されると、ACS サーバが適応型セキュリティ アプライアンスで使用するアクセス ポリシーをダウンロードします。NAC は、デフォルトではディセーブルになっています。

Access Control Server はネットワーク上に存在する必要があります。

次の例では、グループポリシーに対して NAC をイネーブルにします。

hostname(config-group-policy)# nac enable
hostname(config-group-policy)#
 


 

アドレス プールの設定

リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを設定するには、グループポリシー アトリビュート コンフィギュレーション モードで address-pools コマンドを入力します。

hostname(config-group-policy)# address-pools value address_pool1 [...address_pool6]
hostname(config-group-policy)#
 

このコマンドで設定したアドレス プールによって、グループのローカル プールの設定が上書きされます。ローカル アドレスの割り当てに使用するローカル アドレス プールのリストは 6 個まで指定できます。

プールを指定する順番が重要です。このコマンドにあるプールの順番に従って、適応型セキュリティ アプライアンスがアドレスを割り当てます。

グループポリシーからこのアトリビュートを削除して、グループポリシーの別のソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

hostname(config-group-policy)# no address-pools value address_pool1 [...address_pool6]
hostname(config-group-policy)#
 

address-pools none コマンドは、ポリシーの別のソース(DefaultGrpPolicy など)からこのアトリビュートを継承することをディセーブルにします。

hostname(config-group-policy)# address-pools none
hostname(config-group-policy)#
 

no address pools none コマンドは、コンフィギュレーションから address-pools none コマンドを削除して、継承を許可するデフォルトの値に戻します。

hostname(config-group-policy)# no address-pools none

hostname(config-group-policy)#

 

このコマンドの構文要素は次のとおりです。

address_pool ip local pool コマンドで設定されているアドレス プールの名前を指定します。ローカル アドレス プールを 6 個まで指定できます。

none :アドレス プールを何も設定していないことを示し、グループポリシーの他のソースからの継承をディセーブルにします。

value :アドレスの割り当てに使用するアドレス プールのリストを 6 個まで指定します。

次の例(config-general コンフィギュレーション モードで入力)は、GroupPolicy1 でリモート クライアントにアドレスを割り当てるのに使用するアドレス プールのリストとして pool1 と pool20 を設定しています。

hostname(config)# ip local pool pool 192.168.10.1-192.168.10.100 mask 255.255.0.0
hostname(config)# ip local pool pool20 192.168.20.1-192.168.20.200 mask 255.255.0.0
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# address-pools value pool1 pool20
hostname(config-group-policy)#
 

ファイアウォール ポリシーの設定

ファイアウォールは、データの個々の着信パケットと発信パケットをそれぞれ検査して、パケットを許可するかドロップするかどうかを決定することにより、コンピュータをインターネットから分離して保護します。ファイアウォールは、グループのリモート ユーザがスプリット トンネリングを設定している場合、セキュリティの向上をもたらします。この場合、ファイアウォールは、インターネットまたはユーザのローカル LAN を経由する侵入からユーザの PC を保護することで、企業ネットワークを保護します。VPN クライアントを使用して適応型セキュリティ アプライアンスに接続しているリモート ユーザは、適切なファイアウォール オプションを選択できます。

グループポリシー コンフィギュレーション モードで client-firewall コマンドを使用して、適応型セキュリティ アプライアンスが IKE トンネル ネゴシエーション中に VPN クライアントに配信するパーソナル ファイアウォール ポリシーを設定します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を入力します。

すべてのファイアウォール ポリシーを削除するには、引数を指定せずに no client-firewall コマンドを入力します。このコマンドにより、 none キーワードを指定して client-firewall コマンドを入力して作成したヌル ポリシーがあればそれも含めて、設定済みのすべてのファイアウォール ポリシーが削除されます。

ファイアウォール ポリシーが存在しない場合、ユーザはデフォルトまたはその他のグループポリシー内に存在するファイアウォール ポリシーを継承します。ユーザがこのようなファイアウォール ポリシーを継承しないようにするには、 none キーワードを指定して client-firewall コマンドを入力します。

[Add or Edit Group Policy] ウィンドウ、[Client Firewall] タブでは、追加または変更するグループポリシーに対して VPN クライアントのファイアウォール設定を指定できます。


) これらのファイアウォール機能を使用できるのは、Microsoft Windows を実行する VPN クライアントだけです。現在、ハードウェア クライアントまたは他(Windows 以外)のソフトウェア クライアントでは、これらの機能は使用できません。


最初のシナリオでは、リモート ユーザの PC 上にパーソナル ファイアウォールがインストールされています。VPN クライアントは、ローカル ファイアウォールで定義されているファイアウォール ポリシーを適用し、そのファイアウォールが実行されていることを確認するためにモニタします。ファイアウォールの実行が停止すると、VPN クライアントは適応型セキュリティ アプライアンスへの通信をドロップします。(このファイアウォール適用メカニズムは Are You There(AYT)と呼ばれます。VPN クライアントが定期的に「are you there?」メッセージを送信することによってファイアウォールをモニタするからです。応答が返されない場合、VPN クライアントは、ファイアウォールがダウンして適応型セキュリティ アプライアンスへの接続が終了したことを認識します)。ネットワーク管理者がこれらの PC ファイアウォールを独自に設定する場合もありますが、この方法を使用すれば、ユーザは各自の設定をカスタマイズできます。

第 2 のシナリオでは、VPN クライアント PC のパーソナル ファイアウォールに中央集中型ファイアウォール ポリシーを適用することが選択されることがあります。一般的な例としては、スプリット トンネリングを使用してグループのリモート PC へのインターネット トラフィックをブロックすることが挙げられます。この方法は、トンネルが確立されている間、インターネット経由の侵入から PC を保護するので、中央サイトも保護されます。このファイアウォールのシナリオは、プッシュ ポリシーまたは Central Protection Policy(CPP)と呼ばれます。適応型セキュリティ アプライアンスでは、VPN クライアントに適用するトラフィック管理規則のセットを作成し、これらの規則をフィルタに関連付けて、そのフィルタをファイアウォール ポリシーに指定します。適応型セキュリティ アプライアンスは、このポリシーを VPN クライアントまで配信します。その後、VPN クライアントはポリシーをローカル ファイアウォールに渡し、そこでポリシーが適用されます。

次のコマンドを入力して、適切なクライアント ファイアウォールのパラメータを設定します。このコマンドに設定できるインスタンスは 1 つだけです。この一連のコマンドの後に記載された 表 62-4 で、これらのコマンドの構文要素について説明します。

Cisco 統合ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} cisco-integrated acl-in ACL acl-out ACL
 

Cisco Security Agent

hostname(config-group-policy)# client-firewall {opt | req} cisco-security-agent
 

ファイアウォールなし

hostname(config-group-policy)# client-firewall none
 

カスタム ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} custom vendor-id num product-id num policy {AYT | CPP acl-in ACL acl-out ACL} [description string]
 

Zone Labs ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} zonelabs-integrity

) ファイアウォールのタイプが zonelabs-integrity の場合は、引数を何も指定しないでください。Zone Labs Integrity サーバによってポリシーが決められます。


hostname(config-group-policy)# client-firewall {opt | req} zonelabs-zonealarm policy {AYT | CPP acl-in ACL acl-out ACL}
 
hostname(config-group-policy)# client-firewall {opt | req} zonelabs-zonealarmorpro policy {AYT | CPP acl-in ACL acl-out ACL}
 
client-firewall {opt | req} zonelabs-zonealarmpro policy {AYT | CPP acl-in ACL acl-out ACL}
 

Sygate Personal ファイアウォール

hostname(config-group-policy)# client-firewall {opt | req} sygate-personal
 
hostname(config-group-policy)# client-firewall {opt | req} sygate-personal-pro
 
hostname(config-group-policy)# client-firewall {opt | req} sygate-security-agent
 

Network Ice、Black Ice ファイアウォール:

hostname(config-group-policy)# client-firewall {opt | req} networkice-blackice
 

 

表 62-4 client-firewall コマンドのキーワードと変数

パラメータ
説明

acl-in ACL

クライアントが着信トラフィックに使用するポリシーを指定します。

acl-out ACL

クライアントが発信トラフィックに使用するポリシーを指定します。

AYT

クライアント PC のファイアウォール アプリケーションがファイアウォール ポリシーを制御するように指定します。適応型セキュリティ アプライアンスはファイアウォールが実行されていることを確認します。適応型セキュリティ アプライアンスは、確認のために「Are You There?」という質問を行い、応答がない場合はトンネルを切断します。

cisco-integrated

Cisco 統合ファイアウォール タイプを指定します。

cisco-security-agent

Cisco Intrusion Prevention Security Agent ファイアウォール タイプを指定します。

CPP

VPN クライアントのファイアウォール ポリシーのソースとして Policy Pushed を指定します。

custom

カスタム ファイアウォール タイプを指定します。

description string

ファイアウォールの説明です。

networkice-blackice

Network ICE Black ICE ファイアウォール タイプを指定します。

none

クライアント ファイアウォール ポリシーが存在しないことを示します。ファイアウォール ポリシーにヌル値を設定して、ファイアウォール ポリシーを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからファイアウォール ポリシーを継承しないようにします。

opt

オプションのファイアウォール タイプを示します。

product-id

ファイアウォール製品を指定します。

req

必要なファイアウォール タイプを示します。

sygate-personal

Sygate Personal ファイアウォール タイプを指定します。

sygate-personal-pro

Sygate Personal Pro ファイアウォール タイプを指定します。

sygate-security-agent

Sygate Security Agent ファイアウォール タイプを指定します。

vendor-id

ファイアウォール ベンダーを指定します。

zonelabs-integrity

Zone Labs Integrity Server ファイアウォール タイプを指定します。

zonelabs-zonealarm

Zone Labs ZoneAlarm ファイアウォール タイプを指定します。

zonelabs-zonealarmorpro policy

Zone Labs ZoneAlarm または Pro ファイアウォール タイプを指定します。

zonelabs-zonealarmpro policy

Zone Labs ZoneAlarm Pro ファイアウォール タイプを指定します。

次の例は、FirstGroup という名前のグループポリシーで、Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-firewall req cisco-security-agent
hostname(config-group-policy)#
 

クライアント アクセス規則の設定

グループポリシー コンフィギュレーション モードで client-access-rule コマンドを使用して、適応型セキュリティ アプライアンスを介して IPSec で接続できるリモートアクセス クライアントのタイプとバージョンを制限する規則を設定します。次のガイドラインに従って規則を作成します。

規則を定義しない場合、適応型セキュリティ アプライアンスはすべての接続タイプを許可します。

クライアントがどの規則にも一致しない場合、適応型セキュリティ アプライアンスは接続を拒否します。拒否規則を定義する場合は、許可規則も 1 つ以上定義する必要があります。定義しない場合、適応型セキュリティ アプライアンスはすべての接続を拒否します。

ソフトウェア クライアントとハードウェア クライアントのどちらでも、タイプとバージョンは show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。

* 文字はワイルドカードです。ワイルドカードは各規則で複数回入力することができます。たとえば、 client-access rule 3 deny type * version 3.* では、バージョン 3.x のソフトウェア リリースを実行しているすべてのクライアント タイプを拒否する、プライオリティ 3 のクライアント アクセス規則が作成されます。

グループポリシーごとに最大 25 の規則を作成できます。

規則のセット全体で 255 文字の制限があります。

クライアントのタイプまたはバージョン(あるいはその両方)を送信しないクライアントには、n/a を入力できます。

規則を削除するには、このコマンドの no 形式を入力します。このコマンドは、次のコマンドと同等です。

hostname(config-group-policy)# client-access-rule 1 deny type "Cisco VPN Client" version 4.0
 

すべての規則を削除するには、引数を指定せずに no client-access-rule コマンドを入力します。これにより、 none キーワードを指定して client-access-rule コマンドを発行して作成したヌル規則があればそれも含めて、設定済みのすべての規則が削除されます。

デフォルトでは、アクセス規則はありません。クライアント アクセス規則が存在しない場合、ユーザはデフォルト グループポリシー内に存在する規則を継承します。

ユーザがクライアント アクセス規則を継承しないようにするには、 none キーワードを指定して client-access-rule コマンドを入力します。このコマンドの結果、すべてのタイプとバージョンのクライアントが接続できるようになります。

hostname(config-group-policy)# client-access rule priority {permit | deny} type type version {version | none}
 
hostname(config-group-policy)# no client-access rule [priority {permit | deny} type type version version]
 

表 62-5 に、これらのコマンドのキーワードとパラメータの意味を示します。

 

表 62-5 client-access rule コマンドのキーワードと変数

パラメータ
説明

deny

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を拒否します。

none

クライアント アクセス規則を許可しません。client-access-rule をヌル値に設定して、制限を拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

permit

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を許可します。

priority

規則のプライオリティを決定します。最小の整数値を持つ規則のプライオリティが最も高くなります。したがって、クライアントのタイプまたはバージョン(あるいはその両方)に一致し、最小の整数値を持つ規則が適用されます。それよりもプライオリティの低い規則は、適応型セキュリティ アプライアンスでは無視されます。

type type

デバイス タイプを、VPN 3002 などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

version version

デバイスのバージョンを、7.0 などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

次の例は、FirstGroup という名前のグループポリシーにクライアント アクセス規則を作成する方法を示しています。これらの規則は、バージョン 4.x のソフトウェアを実行する Cisco VPN クライアントを許可し、すべての Windows NT クライアントを拒否します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 deny type WinNT version *
hostname(config-group-policy)# client-access-rule 2 permit “Cisco VPN Client” version 4.*
 

) 「type」フィールドは、任意の値が許可される自由形式の文字列ですが、その値は、クライアントが接続時に適応型セキュリティ アプライアンスに送信する固定値と一致している必要があります。


グループポリシーのクライアントレス SSL VPN セッションのアトリビュートの設定

クライアントレス SSL VPN によってユーザは、Web ブラウザを使用して適応型セキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。クライアントレス SSL VPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間のセキュアな接続を提供します。適応型セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。デフォルトでは、クライアントレス SSL VPN はディセーブルになっています。

特定の内部グループポリシー用のクライアントレス SSL VPN のコンフィギュレーションをカスタマイズできます。


) グローバル コンフィギュレーション モードから入る webvpn モードでは、クライアントレス SSL VPN セッションのグローバル設定を構成できます。この項で説明する webvpn モード(グループポリシー コンフィギュレーション モードから入ります)を使用すると、クライアントレス SSL VPN セッションに固有のグループポリシーのコンフィギュレーションをカスタマイズできます。


グループポリシー webvpn コンフィギュレーション モードでは、すべての機能の設定を継承するか、または次のパラメータをカスタマイズするかどうかを指定できます。各パラメータについては、後述の項で説明します。

customizations

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name

sso server(single-signon server)

auto-signon

deny message

SSL VPN Client(SVC)

keep-alive ignore

HTTP compression

多くの場合、クライアントレス SSL VPN の設定の一部として webvpn アトリビュートを定義した後、グループポリシーの webvpn アトリビュートを設定するときにこれらの定義を特定のグループに適用します。グループポリシー コンフィギュレーション モードで webvpn コマンドを使用して、グループポリシー webvpn コンフィギュレーション モードに入ります。グループポリシー用の webvpn コマンドは、ファイル、URL、および TCP アプリケーションへのクライアントレス SSL VPN セッション経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。クライアントレス SSL VPN は、デフォルトではディセーブルになっています。クライアントレス SSL VPN セッションのアトリビュートの設定の詳細については、「クライアントレス SSL VPN の設定」 の説明を参照してください。

グループポリシー webvpn コンフィギュレーション モードで入力されたすべてのコマンドを削除するには、このコマンドの no 形式を入力します。これらの webvpn コマンドは、設定を行ったユーザ名またはグループポリシーに対して適用されます。

hostname(config-group-policy)# webvpn
hostname(config-group-policy)# no webvpn
 

次の例は、FirstGroup という名前のグループポリシーのグループポリシー webvpn コンフィギュレーション モードに入る方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションによって、ログイン時にユーザに表示されるウィンドウの外観が決まります。カスタマイゼーション パラメータは、クライアントレス SSL VPN の設定の一部として設定します。定義済みの Web ページ カスタマイゼーションを適用して、ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するには、グループポリシー webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-group-webvpn)# customization customization_name
hostname(config-group-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用するには、次のコマンドを入力します。

hostname(config-group-webvpn)# customization blueborder
hostname(config-group-webvpn)#
 

カスタマイゼーション自体は、webvpn モードで customization コマンドを入力して設定します。

次の例は、123 という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。次の例は、testpolicy という名前のグループポリシーを定義し、 customization コマンドを使用して、クライアントレス SSL VPN セッションに 123 という名前のカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# group-policy testpolicy nopassword
hostname(config)# group-policy testpolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value 123
hostname(config-group-webvpn)#
 

「拒否」メッセージの指定

グループポリシー webvpn コンフィギュレーション モードで、 deny-message コマンドを入力すると、クライアントレス SSL VPN セッションに正常にログインできるが VPN 特権を持たないリモート ユーザに送信されるメッセージを指定できます。

hostname(config-group-webvpn)# deny-message value "message"
hostname(config-group-webvpn)# no deny-message value "message"
hostname(config-group-webvpn)# deny-message none
 

no deny-message value コマンドは、リモート ユーザがメッセージを受信しないように、メッセージ文字列を削除します。

no deny-message none コマンドは、接続プロファイル ポリシーのコンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。

メッセージは、特殊文字、スペース、および句読点を含む英数字で最大 491 文字まで指定できますが、囲みの引用符はカウントされません。テキストは、ログイン時にリモート ユーザのブラウザに表示されます。 deny-message value コマンドに文字列を入力しているときは、コマンドがラップしても入力を続けます。

デフォルトの拒否メッセージは、「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」です。

次の例の最初のコマンドは、group2 という名前の内部グループポリシーを作成します。後続のコマンドは、そのポリシーに関連付けられている webvpn 拒否メッセージが含まれたアトリビュートを変更します。

hostname(config)# group-policy group2 internal
hostname(config)# group-policy group2 attributes
hostname(config-group)# webvpn
hostname(config-group-webvpn)# deny-message value "Your login credentials are OK. However, you have not been granted rights to use the VPN features. Contact your administrator for more information."
hostname(config-group-webvpn)

グループポリシーのクライアントレス SSL VPN セッションのフィルタ アトリビュートの設定

webvpn モードで html-content-filter コマンドを使用して、このグループポリシーのクライアントレス SSL VPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするかどうかを指定します。HTML フィルタリングは、デフォルトでディセーブルです。

コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 none キーワードを指定して html-content-filter コマンドを発行して作成したヌル値を含めて、すべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、別のグループポリシーから値を継承できます。HTML コンテンツ フィルタを継承しないようにするには、 none キーワードを指定して html-content-filter コマンドを入力します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-group-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-group-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

表 62-6 に、このコマンドで使用するキーワードの意味を示します。

 

表 62-6 filter コマンドのキーワード

キーワード
意味

cookies

イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images

イメージへの参照を削除します(<IMG> タグを削除)。

java

Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none

フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts

スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

次の例は、FirstGroup という名前のグループポリシーに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# html-content-filter java cookies images
hostname(config-group-webvpn)#

ユーザ ホームページの指定

グループポリシー webvpn コンフィギュレーション モードで homepage コマンドを使用して、このグループのユーザのログイン時に表示される Web ページの URL を指定します。デフォルトのホームページはありません。

homepage none コマンドを発行して作成したヌル値を含めて、設定されているホームページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、別のグループポリシーから値を継承できます。ホームページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、クライアントレス SSL VPN セッションのホームページがないことを示します。これにより、ヌル値が設定されてホームページが拒否され、ホームページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホームページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

hostname(config-group-webvpn)# homepage {value url-string | none}
hostname(config-group-webvpn)# no homepage
hostname(config-group-webvpn)#

自動サインオンの設定

auto-signon コマンドは、クライアントレス SSL VPN セッションのユーザ用のシングル サインオン方式です。NTLM 認証、基本認証、またはその両方を使用する認証のためにログイン クレデンシャル(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力でき、コマンドは入力順序に従って処理されます(先に入力されたコマンドが優先されます)。

自動サインオン機能は、webvpn コンフィギュレーション、webvpn グループ コンフィギュレーション、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。ユーザ名がグループに優先し、グループがグローバルに優先するという標準的な優先動作が適用されます。選択するモードは、使用する認証の対象範囲によって異なります。

特定のサーバへの特定のユーザの自動サインオンをディセーブルにするには、元の IP ブロックまたは URL を指定してこのコマンドの no 形式を使用します。すべてのサーバへの認証をディセーブルにするには、引数を指定しないで no 形式を使用します。 no オプションを使用すると、値をグループポリシーから継承できます。

次の例では、グループポリシー webvpn コンフィギュレーション モードで入力し、基本認証を使用して、10.1.1.0 から 10.1.1.255 の範囲の IP アドレスを持つサーバへの anyuser という名前のユーザの自動サインオンを設定します。

次のコマンド例では、基本認証または NTLM 認証を使用して、クライアントレス SSL VPN セッションのユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに自動サインオンを設定します。

hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
hostname(config-group-webvpn)#
 

次のコマンド例では、基本認証または NTLM 認証を使用して、クライアントレス SSL VPN セッションのユーザに対し、サブネット マスク 255.255.255.0 を使用する IP アドレス 10.1.1.0 のサーバへのアクセスに自動サインオンを設定します。

hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type all
hostname(config-group-webvpn)#
 

クライアントレス SSL VPN セッションに使用するアクセスリストの指定

webvpn モードで filter コマンドを使用して、このグループポリシーまたはユーザ名でクライアントレス SSL VPN セッションに使用するアクセスリストの名前を指定します。 filter コマンドを入力して指定するまで、クライアントレス SSL VPN アクセスリストは適用されません。

filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、別のグループポリシーから値を継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、クライアントレス SSL VPN セッションのアクセスリストは適用されません。

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL をクライアントレス SSL VPN トラフィックに適用します。

hostname(config-group-webvpn)# filter {value ACLname | none}
hostname(config-group-webvpn)# no filter
 

none キーワードは、 webvpntype アクセスリストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、事前に設定されているアクセスリストの名前を指定します。


) クライアントレス SSL VPN セッションは、vpn-filter コマンドで定義されている ACL を使用しません。


次の例は、FirstGroup という名前のグループポリシーに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# filter acl_in
hostname(config-group-webvpn)#

URL リストの適用

グループポリシーのクライアントレス SSL VPN ホームページに URL のリストを表示するように指定できます。最初に、グローバル コンフィギュレーション モードで url-list コマンドを入力して、1 つ以上の名前付きリストを作成する必要があります。特定のグループポリシーにクライアントレス SSL VPN セッションのサーバと URL のリストを適用して、特定のグループポリシーのリストにある URL にアクセスできるようにするには、グループポリシー webvpn コンフィギュレーション モードで url-list コマンドを実行する際に、作成するリスト(複数可)の名前を使用します。デフォルトの URL リストはありません。

url-list none コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、別のグループポリシーから値を継承できます。URL リストを継承しないようにするには、 url-list none コマンドを入力します。コマンドを 2 回使用すると、先行する設定が上書きされます。

hostname(config-group-webvpn)# url-list {value name | none} [index]
hostname(config-group-webvpn)# no url-list
 

表 62-7 に、 url-list コマンドのパラメータとその意味を示します。

 

表 62-7 url-list コマンドのキーワードと変数

パラメータ
意味

index

ホームページでの表示プライオリティを示します。

none

URL リストにヌル値を設定します。デフォルトのグループポリシーまたは指定されているグループポリシーからリストを継承しないようにします。

value name

事前に設定されている URL のリストの名前を指定します。そのようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

次の例では、FirstGroup という名前のグループポリシーに FirstGroupURLs という名前の URL リストを設定し、これがホームページに表示される最初の URL リストになるように指定します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# url-list value FirstGroupURLs 1
hostname(config-group-webvpn)#
 

グループポリシーの ActiveX Relay のイネーブル化

ActiveX Relay を使用すると、クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できるようになります。アプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。

クライアントレス SSL VPN セッションで ActiveX コントロールをイネーブルまたはディセーブルにするには、グループポリシー webvpn コンフィギュレーション モードで次のコマンドを入力します。

activex-relay { enable | disable }

デフォルト グループポリシーから activex-relay コマンドを継承するには、次のコマンドを入力します。

no activex-relay

次のコマンドは、特定のグループポリシーに関連付けられているクライアントレス SSL VPN セッションの ActiveX コントロールをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# activex-relay enable
hostname(config-group-webvpn)
 

グループポリシーのクライアントレス SSL VPN セッションのアプリケーション アクセスのイネーブル化

このグループポリシーのアプリケーション アクセスをイネーブルにするには、グループポリシー webvpn コンフィギュレーション モードで port-forward コマンドを入力します。ポート転送は、デフォルトではディセーブルになっています。

グループポリシー webvpn コンフィギュレーション モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、クライアントレス SSL VPN セッションでユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力して、このリストを定義します。

port-forward none コマンドを発行して作成したヌル値を含めて、グループポリシー コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストを別のグループポリシーから継承できます。ポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。 none キーワードは、フィルタリングが実行されないことを示します。これにより、ヌル値が設定されてフィルタリングが拒否され、フィルタリング値が継承されなくなります。

このコマンドの構文は次のとおりです。

hostname(config-group-webvpn)# port-forward {value listname | none}
hostname(config-group-webvpn)# no port-forward
 

キーワード value の後ろの listname 文字列で、クライアントレス SSL VPN セッションのユーザがアクセスできるアプリケーションのリストを指定します。webvpn コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

次の例は、FirstGroup という名前の内部グループポリシーに ports1 というポート転送リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward value ports1
hostname(config-group-webvpn)#

ポート転送表示名の設定

グループポリシー webvpn コンフィギュレーション モードで port-forward-name コマンドを使用して、特定のユーザまたはグループポリシーでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、このコマンドの no 形式を入力します。 no オプションは、デフォルト名の、Application Access を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。このコマンドの構文は次のとおりです。

hostname(config-group-webvpn)# port-forward-name {value name | none}
hostname(config-group-webvpn)# no port-forward-name
 

次の例は、 FirstGroup という名前の内部グループポリシーに Remote Access TCP Applications という名前を設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward-name value Remote Access TCP Applications
hostname(config-group-webvpn)#

セッション タイマーを更新のために無視する最大オブジェクト サイズの設定

ネットワーク デバイスは、短いキープアライブ メッセージを交換して、デバイス間の仮想回路が引き続きアクティブであることを確認します。これらのメッセージの長さは異なる可能性があります。 keep-alive-ignore コマンドを使用すると、指定したサイズ以下のすべてのメッセージをキープアライブ メッセージと見なし、セッション タイマーの更新時にトラフィックと見なさないよう適応型セキュリティ アプライアンスに指示できます。範囲は 0 ~ 900 KB です。デフォルトは 4 KB です。

トランザクションごとに無視する HTTP/HTTPS トラフィックの上限を指定するには、グループポリシー アトリビュート webvpn コンフィギュレーション モードで keep-alive-ignore コマンドを使用します。

hostname(config-group-webvpn)# keep-alive-ignore size
hostname(config-group-webvpn)#
 
The no form of the command removes this specification from the configuration:
hostname(config-group-webvpn)# no keep-alive-ignore
hostname(config-group-webvpn)#
 

次の例では、無視するオブジェクトの最大サイズを 5 KB に設定します。

hostname(config-group-webvpn)# keep-alive-ignore 5
hostname(config-group-webvpn)#
 

HTTP 圧縮の指定

グループポリシー webvpn モードで、http-comp コマンドを入力して、特定のグループまたはユーザのクライアントレス SSL VPN セッションで HTTP データの圧縮をイネーブルにします。

hostname(config-group-webvpn)# http-comp {gzip | none}
hostname(config-group-webvpn)#
 

コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。

hostname(config-group-webvpn)# no http-comp {gzip | none}
hostname(config-group-webvpn)#
 

このコマンドの構文は次のとおりです。

gzip :圧縮がグループまたはユーザに対してイネーブルになることを指定します。これがデフォルト値です。

none :圧縮がグループまたはユーザに対してディセーブルになることを指定します。

クライアントレス SSL VPN セッションの場合、グローバル コンフィギュレーション モードで設定された compression コマンドは、グループポリシー モードおよびユーザ名 webvpn モードで設定された http-comp コマンドを上書きします。

次の例では、グループポリシー sales に対する圧縮はディセーブルになっています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# http-comp none
hostname(config-group-webvpn)#

SSO サーバの指定

クライアントレス SSL VPN セッションだけに使用できるシングル サインオンのサポートを使用すると、ユーザはユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。 sso-server value コマンドをグループポリシー webvpn モードで入力すると、SSO サーバをグループポリシーに割り当てることができます。

SSO サーバをグループポリシーに割り当てるには、グループポリシー webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。このコマンドでは、コンフィギュレーションに CA SiteMinder コマンドが含まれている必要があります。

hostname(config-group-webvpn)# sso-server value server_name
hostname(config-group-webvpn)#
 

この割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。デフォルト ポリシーを継承しないようにするには、 sso-server none コマンドを使用します。

hostname(config-group-webvpn)# sso-server {value server_name | none}
hostname(config-group-webvpn)# [no] sso-server value server_name
 

SSO サーバに割り当てられているデフォルト ポリシーは DfltGrpPolicy です。

次の例では、グループポリシー「my-sso-grp-pol」を作成して、「example」という名前の SSO サーバに割り当てます。

hostname(config)# group-policy my-sso-grp-pol internal
hostname(config)# group-policy my-sso-grp-pol attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# sso-server value example
hostname(config-group-webvpn)#
 

SVC の設定

SSL VPN Client(SVC)は、ネットワーク管理者がリモート コンピュータに IPSec VPN クライアントをインストールして設定しなくても、リモート ユーザが IPSec VPN クライアントの利点を活用できる VPN トンネリング テクノロジーです。SVC は、リモート コンピュータの既存の SSL 暗号化と、適応型セキュリティ アプライアンスのクライアントレス SSL VPN セッションのログインおよび認証を使用します。

SVC セッションを確立するには、リモート ユーザは、クライアントレス SSL VPN セッションをサポートするために設定したセキュリティ アプライアンスのインターフェイスの IP アドレスを入力します。ブラウザはそのインターフェイスに接続してクライアントレス SSL VPN のログイン画面を表示します。ユーザがログインと認証を完了し、ユーザが SVC を 必要としている ことを適応型セキュリティ アプライアンスが確認すると、適応型セキュリティ アプライアンスは SVC をリモート コンピュータにダウンロードします。適応型セキュリティ アプライアンスが、SVC を使用する オプション がユーザにあると確認した場合、適応型セキュリティ アプライアンスは、SVC のインストールをスキップするリンクをユーザ画面に表示するとともに、SVC をリモート コンピュータにダウンロードします。

ダウンロードが完了すると、SVC はインストールと設定を実行します。接続が終了すると(設定に応じて)、SVC はリモート コンピュータに保持されるか、またはリモート コンピュータからアンインストールされます。

適応型セキュリティ アプライアンスは、さまざまなリモート コンピュータのオペレーティング システム用に、複数の独自の SVC イメージをキャッシュ メモリ内に備えている場合もあります。ユーザが接続を試みると、適応型セキュリティ アプライアンスは、イメージとオペレーティング システムが一致するまで引き続きこれらのイメージの一部をリモート コンピュータにダウンロードできます。一致した時点で、SVC 全体をダウンロードします。接続のセットアップ時間を最小限にするため、ダウンロードされる最初のイメージが、最もよく遭遇するリモート コンピュータのオペレーティング システムになるように SVC イメージの順序を指定できます。SVC のインストールと使用の詳細については、「AnyConnect VPN Client 接続の設定」を参照してください。

「AnyConnect VPN Client 接続の設定」に示すように、SVC をイネーブルにした後は、特定のグループの SVC 機能をイネーブルまたは必須にできます。この機能は、デフォルトでディセーブルになっています。SVC をイネーブルまたは必須にすると、この項で説明している一連の svc コマンドをイネーブルにできます。SVC とその関連 svc コマンドをイネーブルにするには、グループポリシー webvpn コンフィギュレーション モードで次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスが SVC ファイルをリモート コンピュータにダウンロードできるようにするには、 svc enable コマンドを入力します。デフォルトでは、このコマンドはディセーブルになっています。適応型セキュリティ アプライアンスは SVC ファイルをダウンロードしません。このコンフィギュレーションから svc enable コマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc {none | enable | required}
hostname(config-group-webvpn)#
 

no svc enable コマンドを入力しても、アクティブな SVC セッションは終了しません。


hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc enable
hostname(config-group-webvpn)#
 

ステップ 2 SVC 接続経由で特定のグループについて HTTP データの圧縮をイネーブルにするには、svc compression コマンドを入力します。デフォルトでは、SVC 圧縮は deflate (イネーブル)に設定されています。特定のグループの圧縮をディセーブルにするには、 none キーワードを使用します。svc compression コマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc compression {deflate | none}
hostname(config-group-webvpn)#
 

次の例では、sales という名前のグループポリシーの SVC 圧縮をディセーブルにします。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc compression none
hostname(config-group-webvpn)#
 

ステップ 3 適応型セキュリティ アプライアンスで dead-peer-detection(DPD)をイネーブルにして、SVC または適応型セキュリティ アプライアンスが DPD を実行する頻度を設定するには、 svc dpd-interval コマンドを使用します。このコンフィギュレーションから svc dpd-interval コマンドを削除するには、このコマンドの no 形式を使用します。このグループの SVC DPD をディセーブルにするには、 none キーワードを使用します。

hostname(config-group-webvpn)# svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
hostname(config-group-webvpn)#
 

DPD チェックは、デフォルトでディセーブルになっています。

ゲートウェイは、適応型セキュリティ アプライアンスのことです。適応型セキュリティ アプライアンスが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、適応型セキュリティ アプライアンスが実行する DPD テストはディセーブルになります。

クライアントは SVC のことです。クライアントが DPD テストを実行する頻度は、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、クライアントが実行する DPD テストはディセーブルになります。

次の例では、sales という名前の既存のグループポリシーについて、適応型セキュリティ アプライアンス(ゲートウェイ)によって実行される DPD の頻度を 3000 秒に設定し、クライアントによって実行される DPD の頻度を 1000 秒に設定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc dpd-interval gateway 3000
hostname(config-group-webvpn)# svc dpd-interval client 1000
hostname(config-group-webvpn)#
 

ステップ 4 接続のアイドル状態を維持できる時間をデバイスが制限している場合でも、プロキシ、ファイアウォール、または NAT デバイスを通じて SVC 接続のオープン状態を維持するように、キープアライブ メッセージの頻度を調整できます( seconds で指定)。

頻度を調整することで、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行していない場合でも、SVC が切断して再接続をしないようにできます。

リモート コンピュータ上の SVC がキープアライブ メッセージをセキュリティ アプライアンスに送信する頻度(15 ~ 600 秒)を設定するには、 svc keepalive コマンドを使用します。コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc keepalive {none | seconds}
hostname(config-group-webvpn)# no svc keepalive {none | seconds}
hostname(config-group-webvpn)#
 

SVC キープアライブは、デフォルトでディセーブルになっています。キーワード none を使用すると、SVC キープアライブ メッセージがディセーブルになります。

次の例では、SVC がキープアライブ メッセージを 300 秒(5 分)の頻度で送信できるようにセキュリティ アプライアンスを設定します。

hostname(config-group-webvpn)# svc keepalive 300
hostname(config-group-webvpn)#
 

ステップ 5 SVC がリモート コンピュータに永続的にインストールされた状態を保つには、installed キーワードを指定して svc keep-installer コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc keep-installer {installed | none}
hostname(config-group-webvpn)# no svc keep-installer {installed | none}
hostname(config-group-webvpn)#
 

デフォルトでは、SVC の永続的インストールはディセーブルになっています。SVC セッションの終わりに、SVC はリモート コンピュータからアンインストールされます。

次の例では、このグループのリモート コンピュータの SVC インストール状態を維持するように適応型セキュリティ アプライアンスを設定します。

hostname(config-group-webvpn)# svc keep-installer installed
hostname(config-group-webvpn)#
 

ステップ 6 SVC が SVC セッションでキーを再生成できるようにするには、svc rekey コマンドを使用します。キーの再生成をディセーブルにして、コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-group-webvpn)# svc rekey {method {ssl | new-tunnel} | time minutes | none}}
hostname(config-group-webvpn)# no svc rekey {method {ssl | new-tunnel} | time minutes | none}}
hostname(config-group-webvpn)#
 

デフォルトでは、SVC キーの再生成はディセーブルになっています。

method を new-tunnel に指定すると、SVC キーの再生成中に SVC が新しいトンネルを確立することが指定されます。method を none に指定すると、SVC キーの再生成はディセーブルになります。method を ssl に指定すると、SSL の再ネゴシエーションは SVC キーの再生成中に行われます。method を指定する代わりに、セッションの開始からキーの再生成が行われるまでの時間を 1 ~ 10080(1 週間)の分数で指定できます。

次の例で示すように、コマンドが no 形式の場合は、必要なのは最小限だけです。

hostname(config-username-webvpn)# no svc rekey method
hostname(config-username-webvpn)#
 

ただし、method を new-tunnel に指定する場合は、次のようになります。

hostname(config-username-webvpn)# no svc rekey method new-tunnel
hostname(config-username-webvpn)#
 

しかし、現在の method は ssl であり、値が一致しないためコマンドは失敗します。

次の例では、ユーザは、キーの再生成中に SVC が SSL と再ネゴシエートするように設定し、キーの再生成がセッション開始の 30 分後に発生するように設定しています。

hostname(config-group-webvpn)# svc rekey method ssl
hostname(config-group-webvpn)# svc rekey time 30
hostname(config-group-webvpn)#
 


 

ユーザ アトリビュートの設定

この項では、ユーザ アトリビュートとその設定方法について説明します。説明する内容は次のとおりです。

「ユーザ名のコンフィギュレーションの表示」

「特定ユーザのアトリビュートの設定」

デフォルトでは、ユーザは、割り当てられているグループポリシーからすべてのユーザ アトリビュートを継承します。また、適応型セキュリティ アプライアンスでは、ユーザ レベルで個別にアトリビュートを割り当て、そのユーザに適用されるグループポリシーの値を上書きすることができます。たとえば、すべてのユーザに営業時間内のアクセスを許可し、特定のユーザに 24 時間のアクセスを許可するグループポリシーを指定することができます。

ユーザ名のコンフィギュレーションの表示

グループポリシーから継承したデフォルト値も含めて、すべてのユーザ名のコンフィギュレーションを表示するには、次のように、 all キーワードを指定して show running-config username コマンドを入力します。

hostname# show running-config all username
hostname#
 

このコマンドは、すべてのユーザまたは特定のユーザ(ユーザ名を指定した場合)の 暗号化されたパスワードと特権レベルを表示します。 all キーワードを省略すると、明示的に設定された値だけがこのリストに表示されます。次の例は、このコマンドで testuser というユーザを指定した場合の出力を示します。

hostname# show running-config all username testuser
username testuser password 12RsxXQnphyr/I9Z encrypted privilege 15
 

特定ユーザのアトリビュートの設定

特定のユーザを設定するには、 username コマンドを使用してユーザ名モードに入り、ユーザにパスワード(パスワードなしも可)とアトリビュートを割り当てます。指定しなかったすべてのアトリビュートは、グループポリシーから継承されます。

内部ユーザ認証データベースは、 username コマンドを使用して入力されたユーザで構成されています。 login コマンドは、このデータベースを認証に使用します。適応型セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、削除するユーザ名を指定してこのコマンドの no 形式を使用します。すべてのユーザ名を削除するには、ユーザ名を指定せずに clear configure username コマンドを使用します。

ユーザのパスワードと特権レベルの設定

ユーザにパスワードと特権レベルを割り当てるには、 username コマンドを入力します。 nopassword キーワードを入力すると、このユーザにパスワードが不要であることを指定できます。パスワードを指定する場合は、そのパスワードを暗号化形式で保存するかどうかを指定できます。

オプションの privilege キーワードにより、このユーザの特権レベルを設定できます。特権レベルの範囲は 0(最低)~ 15 です。一般に、システム管理者は最高の特権レベルを持ちます。デフォルトのレベルは 2 です。

hostname(config)# username name {nopassword | password password [encrypted]} [privilege priv_level]}
 
hostname(config)# no username [name]
 

表 62-8 に、このコマンドで使用するキーワードと変数の意味を示します。

表 62-8 username コマンドのキーワードと変数

 

キーワード/変数
意味

encrypted

パスワードの暗号化を指定します。

name

ユーザの名前を指定します。

nopassword

このユーザにパスワードが不要であることを指定します。

password password

このユーザにパスワードが存在することを示し、パスワードを指定します。

privilege priv_level

このユーザの特権レベルを設定します。範囲は 0 ~ 15 です。この数値が低いほど、コマンドの使用や適応型セキュリティ アプライアンスの管理に関する機能が限定されます。デフォルトの特権レベルは 2 です。システム管理者の通常の特権レベルは 15 です。

デフォルトでは、このコマンドで追加する VPN ユーザにはアトリビュートやグループポリシーは関連付けられません。すべての値を明示的に設定する必要があります。

次の例は、暗号化されたパスワードが pw_12345678 で、特権レベルが 12 の anyuser という名前のユーザを設定する方法を示しています。

hostname(config)# username anyuser password pw_12345678 encrypted privilege 12
hostname(config)#

ユーザ アトリビュートの設定

ユーザのパスワード(存在する場合)と特権レベルの設定後は、その他のアトリビュートを設定します。これらは任意の順序で設定できます。任意のアトリビュートと値のペアを削除するには、このコマンドの no 形式を入力します。

attributes キーワードを指定して username コマンドを入力して、ユーザ名モードに入ります。

hostname(config)# username name attributes
hostname(config-username)#
 

プロンプトが変化し、新しいモードになったことが示されます。これでアトリビュートを設定できます。

VPN ユーザ アトリビュートの設定

VPN ユーザ アトリビュートは、次の項で説明するように、VPN 接続に固有の値を設定します。

継承の設定

ユーザが、それまでにユーザ名レベルで設定されていないアトリビュートの値をグループポリシーから継承するようにできます。このユーザがアトリビュートを継承するグループポリシーの名前を指定するには、 vpn-group-policy コマンドを入力します。デフォルトでは、VPN ユーザにはグループポリシーが関連付けられていません。

hostname(config-username)# vpn-group-policy group-policy-name
hostname(config-username)# no vpn-group-policy group-policy-name
 

ユーザ名モードで使用できるアトリビュートの場合、ユーザ名モードで設定すると、特定のユーザに関してグループポリシーにおけるアトリビュートの値を上書きできます。

次の例は、anyuser という名前のユーザが FirstGroup という名前のグループポリシーのアトリビュートを使用するように設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup
hostname(config-username)#
 

アクセス時間の設定

設定済みの time-range ポリシーの名前を指定して、このユーザがシステムへのアクセスを許可される時間を関連付けます。

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、time-range の値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを入力します。デフォルトでは、アクセスは無制限です。

hostname(config-username)# vpn-access-hours value {time-range | none}
hostname(config-username)# vpn-access-hours value none
hostname(config)#
 

次の例は、anyuser という名前のユーザを 824 と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-access-hours 824
hostname(config-username)#
 

最大同時ログイン数の設定

このユーザに許可される同時ログインの最大数を指定します。範囲は 0 ~ 2147483647 です。デフォルトの同時ログイン数は 3 です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

hostname(config-username)# vpn-simultaneous-logins integer
hostname(config-username)# no vpn-simultaneous-logins
hostname(config-username)#
 

) 同時ログインの最大数の制限は非常に大きなものですが、複数の同時ログインを許可すると、セキュリティが低下し、パフォーマンスに影響を及ぼすことがあります。


次の例は、anyuser という名前のユーザに最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-simultaneous-logins 4
hostname(config-username)#
 

アイドル タイムアウトの設定

アイドル タイムアウト期間を分単位で指定するか、 none を入力してアイドル タイムアウトをディセーブルにします。この期間中に接続上で通信アクティビティがまったくなかった場合、適応型セキュリティ アプライアンスは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトは 30 分です。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-idle-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-idle-timeout {minutes | none}
hostname(config-username)# no vpn-idle-timeout
hostname(config-username)#
 

次の例は、anyuser という名前のユーザに 30 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-idle-timeout 30
hostname(config-username)#
 

最大接続時間の設定

ユーザの最大接続時間を分単位で指定するか、 none を入力して無制限の接続時間を許可し、このアトリビュートの値を継承しないようにします。この期間が終了すると、適応型セキュリティ アプライアンスは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトのタイムアウトはありません。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-session-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-session-timeout {minutes | none}
hostname(config-username)# no vpn-session-timeout
hostname(config-username)#
 

次の例は、anyuser という名前のユーザに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-session-timeout 180
hostname(config-username)#
 

ACL フィルタの適用

VPN 接続用のフィルタとして使用する、事前に設定されたユーザ固有の ACL の名前を指定します。アクセスリストを拒否し、グループポリシーからアクセスリストを継承しないようにするには、none キーワードを指定して vpn-filter コマンドを入力します。 vpn - filter none コマンドを発行して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。このコマンドには、デフォルトの動作や値はありません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを使用して、これらの ACL を適用します。

hostname(config-username)# vpn-filter {value ACL_name | none}
hostname(config-username)# no vpn-filter
hostname(config-username)#
 

) クライアントレス SSL VPN は、vpn-filter コマンドで定義されている ACL を使用しません。


次の例は、anyuser という名前のユーザに対して acl_vpn という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-filter value acl_vpn
hostname(config-username)#
 

IP アドレスとネットマスクの指定

特定のユーザに割り当てる IP アドレスとネットマスクを指定します。IP アドレスを削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-framed-ip-address {ip_address}
hostname(config-username)# no vpn-framed-ip-address
hostname(config-username)
 

次の例は、anyuser という名前のユーザに IP アドレス 10.92.166.7 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7
hostname(config-username)
 

前の手順で指定した IP アドレスに使用するネットワーク マスクを指定します。 no vpn-framed-ip-address コマンドを使用した場合は、ネットワーク マスクを指定しないでください。サブネット マスクを削除するには、このコマンドの no 形式を入力します。デフォルトの動作や値はありません。

hostname(config-username)# vpn-framed-ip-netmask {netmask}
hostname(config-username)# no vpn-framed-ip-netmask
hostname(config-username)
 

次の例は、anyuser という名前のユーザに、サブネット マスク 255.255.255.254 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
hostname(config-username)
 

トンネル プロトコルの指定

このユーザが使用できる VPN トンネルのタイプ(IPSec またはクライアントレス SSL VPN)を指定します。デフォルトは、デフォルト グループポリシーから取得される値で、IPSec になります。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-tunnel-protocol {webvpn | IPSec}
hostname(config-username)# no vpn-tunnel-protocol [webvpn | IPSec]
hostname(config-username)
 

このコマンドのパラメータの値は、次のとおりです。

IPSec :2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn :HTTPS 対応 Web ブラウザ経由でリモート ユーザにクライアントレス SSL VPN アクセスを提供します。クライアントは不要です。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、anyuser という名前のユーザにクライアントレス SSL VPN および IPSec トンネリング モードを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-tunnel-protocol webvpn
hostname(config-username)# vpn-tunnel-protocol IPSec
hostname(config-username)
 

リモート ユーザ アクセスの制限

value キーワードを指定して group-lock アトリビュートを設定することにより、指定した既存の接続プロファイルだけを介してアクセスするようにリモート ユーザを制限します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられている接続プロファイルと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、適応型セキュリティ アプライアンスはそのユーザによる接続を禁止します。group-lock を設定しない場合、適応型セキュリティ アプライアンスは割り当てられているグループを考慮せずに、ユーザを認証します。

group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値をグループポリシーから継承できます。group-lock をディセーブルにし、デフォルトまたは指定されたグループポリシーから group-lock の値を継承しないようにするには、 none キーワードを指定して group-lock コマンドを入力します。

hostname(config-username)# group-lock {value tunnel-grp-name | none}
hostname(config-username)# no group-lock
hostname(config-username)
 

次の例は、anyuser という名前のユーザにグループ ロックを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# group-lock value tunnel-group-name
hostname(config-username)
 

ソフトウェア クライアント ユーザのパスワード保存のイネーブル化

ユーザがログイン パスワードをクライアント システム上に保存するかどうかを指定します。パスワード保存は、デフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムでのみイネーブルにします。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを入力します。password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、password-storage の値をグループポリシーから継承できます。

hostname(config-username)# password-storage {enable | disable}
hostname(config-username)# no password-storage
hostname(config-username)
 

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証では動作しません。

次の例は、anyuser という名前のユーザでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# password-storage enable
hostname(config-username)
 

特定ユーザのクライアントレス SSL VPN アクセスの設定

次の各項では、特定のユーザのクライアントレス SSL VPN セッションの設定をカスタマイズする方法について説明します。ユーザ名コンフィギュレーション モードで webvpn コマンドを使用して、ユーザ名 webvpn コンフィギュレーション モードに入ります。クライアントレス SSL VPN によってユーザは、Web ブラウザを使用して適応型セキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。クライアントレス SSL VPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間のセキュアな接続を提供します。適応型セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ユーザ名 webvpn コンフィギュレーション モードのコマンドは、ファイル、URL、および TCP アプリケーションへのクライアントレス SSL VPN セッション経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。クライアントレス SSL VPN は、デフォルトではディセーブルになっています。これらの webvpn コマンドは、設定を行ったユーザ名にだけ適用されます。プロンプトが変化して、ユーザ名 webvpn コンフィギュレーション モードに入ったことがわかります。

hostname(config-username)# webvpn
hostname(config-username-webvpn)#
 

ユーザ名 webvpn コンフィギュレーション モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-username)# no webvpn
hostname(config-username)#
 

電子メール プロキシを使用するためにクライアントレス SSL VPN を設定する必要はありません。

セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。クライアントレス SSL VPN セッションを経由するアプリケーション アクセスを提供するポート転送機能でも、スマート トンネル機能でも MAPI はサポートされていません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。


) グローバル コンフィギュレーション モードから入る webvpn モードでは、クライアントレス SSL VPN セッションのグローバル設定を構成できます。この項で説明した、ユーザ名モードから入ったユーザ名 webvpn コンフィギュレーション モードを使用すると、特定のユーザのクライアントレス SSL VPN セッションのコンフィギュレーションをカスタマイズできます。


ユーザ名 webvpn コンフィギュレーション モードでは、次のパラメータをカスタマイズできます。各パラメータについては、後続の手順で説明します。

customizations

deny message

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name

sso server(single-signon server)

auto-signon

SSL VPN Client(SVC)

keep-alive ignore

HTTP compression

次の例は、ユーザ名 anyuser のアトリビュートのユーザ名 webvpn コンフィギュレーション モードに入る方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)#
 

HTML からフィルタリングするコンテンツとオブジェクトの指定

このユーザのクライアントレス SSL VPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするには、ユーザ名 webvpn コンフィギュレーション モードで html-content-filter コマンドを入力します。コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 html-content-filter none コマンドを発行して作成したヌル値を含めて、すべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。HTML コンテンツ フィルタを継承しないようにするには、 html-content-filter none コマンドを入力します。HTML フィルタリングは、デフォルトでディセーブルです。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-username-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-username-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

このコマンドで使用するキーワードは、次のとおりです。

cookies :イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images :イメージへの参照を削除します(<IMG> タグを削除)。

java :Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none :フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts :スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

 

次の例は、anyuser という名前のユーザに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# html-content-filter java cookies images
hostname(config-username-webvpn)#
 

ユーザ ホームページの指定

このユーザがクライアントレス SSL VPN セッションにログインするときに表示される Web ページの URL を指定するには、ユーザ名 webvpn コンフィギュレーション モードで homepage コマンドを入力します。 homepage none コマンドを発行して作成したヌル値を含めて、設定されているホームページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。ホームページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、クライアントレス SSL VPN ホームページがないことを示します。これにより、ヌル値が設定されてホームページが拒否され、ホームページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホームページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

デフォルトのホームページはありません。

hostname(config-username-webvpn)# homepage {value url-string | none}
hostname(config-username-webvpn)# no homepage
hostname(config-username-webvpn)#
 

次の例は、anyuser という名前のユーザのホームページとして www.example.com を指定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# homepage value www.example.com
hostname(config-username-webvpn)#
 

カスタマイゼーションの適用

カスタマイゼーションによって、ログイン時にユーザに表示されるウィンドウの外観が決まります。カスタマイゼーション パラメータは、クライアントレス SSL VPN の設定の一部として設定します。ログイン時にユーザに表示される Web ページのルックアンドフィールを変更するために、事前に定義した Web ページ カスタマイゼーションを適用するには、ユーザ名 webvpn コンフィギュレーション モードで customization コマンドを入力します。

hostname(config-username-webvpn)# customization {none | value customization_name}
hostname(config-username-webvpn)#
 

たとえば、blueborder という名前のカスタマイゼーションを使用するには、次のコマンドを入力します。

hostname(config-username-webvpn)# customization value blueborder
hostname(config-username-webvpn)#
 

カスタマイゼーション自体は、webvpn モードで customization コマンドを入力して設定します。

次の例は、123 という名前のカスタマイゼーションを最初に確立するコマンド シーケンスを示しています。このコマンド シーケンスによって、パスワード プロンプトが定義されます。次に test という名前のトンネルグループを定義し、 customization コマンドを使用して、123 という名前のカスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# username testuser nopassword
hostname(config)# username testuser attributes
hostname(config-username-webvpn)# webvpn
hostname(config-username-webvpn)# customization value 123
hostname(config-username-webvpn)#
 

「拒否」メッセージの指定

ユーザ名 webvpn コンフィギュレーション モードで、 deny-message コマンドを入力すると、クライアントレス SSL VPN セッションに正常にログインできるが VPN 特権を持たないリモート ユーザに送信されるメッセージを指定できます。

hostname(config-username-webvpn)# deny-message value "message"
hostname(config-username-webvpn)# no deny-message value "message"
hostname(config-username-webvpn)# deny-message none
 

no deny-message value コマンドは、リモート ユーザがメッセージを受信しないように、メッセージ文字列を削除します。

no deny-message none コマンドは、接続プロファイル ポリシーのコンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。

メッセージは、特殊文字、スペース、および句読点を含む英数字で最大 491 文字まで指定できますが、囲みの引用符はカウントされません。テキストは、ログイン時にリモート ユーザのブラウザに表示されます。 deny-message value コマンドに文字列を入力しているときは、コマンドがラップしても入力を続けます。

デフォルトの拒否メッセージは、「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」です。

次の例の最初のコマンドは、ユーザ名モードに入り、anyuser という名前のユーザにアトリビュートを設定します。後続のコマンドは、ユーザ名 webvpn コンフィギュレーション モードに入り、そのユーザに関連付けられている拒否メッセージを変更します。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# deny-message value "Your login credentials are OK. However, you have not been granted rights to use the VPN features. Contact your administrator for more information."
hostname(config-username-webvpn)
 

クライアントレス SSL VPN セッションに使用するアクセスリストの指定

このユーザのクライアントレス SSL VPN セッションに使用するアクセスリストの名前を指定するには、ユーザ名 webvpn コンフィギュレーション モードで filter コマンドを入力します。 filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、クライアントレス SSL VPN アクセスリストは適用されません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL をクライアントレス SSL VPN トラフィックに適用します。

hostname(config-username-webvpn)# filter {value ACLname | none}
hostname(config-username-webvpn)# no filter
hostname(config-username-webvpn)#
 

none キーワードは、 webvpntype アクセスリストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、事前に設定されているアクセスリストの名前を指定します。


) クライアントレス SSL VPN は、vpn-filter コマンドで定義されている ACL を使用しません。


次の例は、anyuser という名前のユーザに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# filter acl_in
hostname(config-username-webvpn)#
 

URL リストの適用

クライアントレス SSL VPN セッションを確立したユーザのホームページに URL のリストを表示するように指定できます。最初に、グローバル コンフィギュレーション モードで url-list コマンドを入力して、1 つ以上の名前付きリストを作成する必要があります。クライアントレス SSL VPN の特定のユーザにサーバと URL のリストを適用するには、ユーザ名 webvpn コンフィギュレーション モードで url-list コマンドを入力します。

url-list none コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを入力します。

hostname(config-username-webvpn)# url-list {listname displayname url | none}
hostname(config-username-webvpn)# no url-list
 

このコマンドで使用するキーワードと変数は、次のとおりです。

displayname :URL の名前を指定します。この名前は、クライアントレス SSL VPN セッションのポータル ページに表示されます。

listname :URL をグループ化する名前を指定します。

none :URL のリストが存在しないことを示します。ヌル値を設定して、URL リストを拒否します。URL リストの値を継承しないようにします。

url :クライアントレス SSL VPN のユーザがアクセスできる URL を指定します。

デフォルトの URL リストはありません。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

次の例は、anyuser という名前のユーザに AnyuserURLs という URL リストを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# url-list value AnyuserURLs
hostname(config-username-webvpn)#
 

ユーザの ActiveX Relay のイネーブル化

ActiveX Relay を使用すると、クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できるようになります。アプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。

クライアントレス SSL VPN セッションの ActiveX コントロールをイネーブルまたはディセーブルにするには、ユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

activex-relay { enable | disable }

グループポリシーから activex-relay コマンドを継承するには、次のコマンドを入力します。

no activex-relay

次のコマンドは、特定のユーザ名に関連付けられているクライアントレス SSL VPN セッションの ActiveX コントロールをイネーブルにします。

hostname(config-username-policy)# webvpn
hostname(config-username-webvpn)# activex-relay enable
hostname(config-username-webvpn)
 

クライアントレス SSL VPN セッションのアプリケーション アクセスのイネーブル化

このユーザのアプリケーション アクセスをイネーブルにするには、ユーザ名 webvpn コンフィギュレーション モードで port-forward コマンドを入力します。ポート転送は、デフォルトではディセーブルになっています。

port-forward none コマンドを発行して作成したヌル値を含めて、コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストをグループポリシーから継承できます。フィルタリングを拒否してポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。

hostname(config-username-webvpn)# port-forward {value listname | none}
hostname(config-username-webvpn)# no port-forward
hostname(config-username-webvpn)#
 

キーワード value の後ろの listname 文字列で、クライアントレス SSL VPN のユーザがアクセスできるアプリケーションのリストを指定します。コンフィギュレーション モードで port-forward コマンドを入力して、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

ユーザ名 webvpn コンフィギュレーション モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、クライアントレス SSL VPN セッションでユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力して、このリストを定義します。

次の例は、ports1 というポート転送リストを設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward value ports1
hostname(config-username-webvpn)#
 

ポート転送表示名の設定

ユーザ名 webvpn コンフィギュレーション モードで port-forward-name コマンドを使用して、特定のユーザでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、このコマンドの no 形式を入力します。 no オプションは、デフォルト名の、Application Access を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。

hostname(config-username-webvpn)# port-forward-name {value name | none}
hostname(config-username-webvpn)# no port-forward-name
 

次の例は、ポート転送名 test を設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward-name value test
hostname(config-username-webvpn)#
 

セッション タイマーを更新のために無視する最大オブジェクト サイズの設定

ネットワーク デバイスは、短いキープアライブ メッセージを交換して、デバイス間の仮想回路が引き続きアクティブであることを確認します。これらのメッセージの長さは異なる可能性があります。 keep-alive-ignore コマンドを使用すると、指定したサイズ以下のすべてのメッセージをキープアライブ メッセージと見なし、セッション タイマーの更新時にトラフィックと見なさないよう適応型セキュリティ アプライアンスに指示できます。範囲は 0 ~ 900 KB です。デフォルトは 4 KB です。

トランザクションごとに無視する HTTP/HTTPS トラフィックの上限を指定するには、グループポリシー アトリビュート webvpn コンフィギュレーション モードで keep-alive-ignore コマンドを使用します。

hostname(config-group-webvpn)# keep-alive-ignore size
hostname(config-group-webvpn)#
 
このコマンドの no 形式を使用すると、コンフィギュレーションからこの設定が削除されます。
hostname(config-group-webvpn)# no keep-alive-ignore
hostname(config-group-webvpn)#
 

次の例では、無視するオブジェクトの最大サイズを 5 KB に設定します。

hostname(config-group-webvpn)# keep-alive-ignore 5
hostname(config-group-webvpn)#
 

自動サインオンの設定

NTLM、基本 HTTP 認証、またはその両方を使用する内部サーバに、特定のクライアントレス SSL VPN のユーザのログイン クレデンシャルを自動的に渡すには、ユーザ名 webvpn コンフィギュレーション モードで auto-signon コマンドを使用します。

auto-signon コマンドは、クライアントレス SSL VPN セッションのユーザ用のシングル サインオン方式です。NTLM 認証、基本認証、またはその両方を使用する認証のためにログイン クレデンシャル(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力でき、コマンドは入力順序に従って処理されます(先に入力されたコマンドが優先されます)。

自動サインオン機能は、webvpn コンフィギュレーション、webvpn グループ コンフィギュレーション、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。ユーザ名がグループに優先し、グループがグローバルに優先するという標準的な優先動作が適用されます。選択するモードは、使用する認証の対象範囲によって異なります。

特定のサーバへの特定のユーザの自動サインオンをディセーブルにするには、元の IP ブロックまたは URL を指定してこのコマンドの no 形式を使用します。すべてのサーバへの認証をディセーブルにするには、引数を指定しないで no 形式を使用します。 no オプションを使用すると、値をグループポリシーから継承できます。

次のコマンド例では、基本認証または NTLM 認証を使用して、anyuser という名前のクライアントレス SSL VPN のユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに自動サインオンを設定します。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 
次のコマンド例では、基本認証または NTLM 認証を使用して、anyuser という名前のクライアントレス SSL VPN のユーザに対し、サブネット マスク 255.255.255.0 を使用する IP アドレス 10.1.1.0 のサーバへのアクセスに自動サインオンを設定します。
 
hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type all
hostname(config-username-webvpn)#
 

HTTP 圧縮の指定

ユーザ名 webvpn コンフィギュレーション モードで、http-comp コマンドを入力し、特定のユーザのクライアントレス SSL VPN セッションで HTTP データの圧縮をイネーブルにします。

hostname(config-username-webvpn)# http-comp {gzip | none}
hostname(config-username-webvpn)#
 

コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。

hostname(config-username-webvpn)# no http-comp {gzip | none}
hostname(config-username-webvpn)#
 

このコマンドの構文は次のとおりです。

gzip :圧縮がグループまたはユーザに対してイネーブルになることを指定します。これがデフォルト値です。

none :圧縮がグループまたはユーザに対してディセーブルになることを指定します。

クライアントレス SSL VPN セッションの場合、グローバル コンフィギュレーション モードで設定された compression コマンドは、グループポリシー モードおよびユーザ名 webvpn モードで設定された http-comp コマンドを上書きします。

次の例は、testuser というユーザ名で圧縮をディセーブルにしています。

hostname(config)# username testuser internal
hostname(config)# username testuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# http-comp none
hostname(config-username-webvpn)#

SSO サーバの指定

クライアントレス SSL VPN セッションだけに使用できるシングル サインオンのサポートを使用すると、ユーザはユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。 sso-server value コマンドをユーザ名 webvpn モードで入力すると、SSO サーバをユーザに割り当てることができます。

SSO サーバをユーザに割り当てるには、ユーザ名 webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。このコマンドでは、コンフィギュレーションに CA SiteMinder コマンドが含まれている必要があります。

hostname(config-username-webvpn)# sso-server value server_name
hostname(config-username-webvpn)#
 

この割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。デフォルト ポリシーを継承しないようにするには、 sso-server none コマンドを使用します。

hostname(config-username-webvpn)# sso-server {value server_name | none}
hostname(config-username-webvpn)# [no] sso-server value server_name
 

SSO サーバに割り当てられているデフォルト ポリシーは DfltGrpPolicy です。

次の例は、example という名前の SSO サーバを anyuser という名前のユーザに割り当てます。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value example
hostname(config-username-webvpn)#
 

SVC の設定

SSL VPN Client(SVC)は、ネットワーク管理者がリモート コンピュータに IPSec VPN クライアントをインストールして設定しなくても、リモート ユーザが IPSec VPN クライアントの利点を活用できる VPN トンネリング テクノロジーです。SVC は、リモート コンピュータの既存の SSL 暗号化と、適応型セキュリティ アプライアンスへのアクセスに必要なログインおよび認証を使用します。

SVC セッションを確立するには、リモート ユーザは、クライアントレス SSL VPN セッションをサポートするために設定した適応型セキュリティ アプライアンスのインターフェイスの IP アドレスを入力します。ブラウザはそのインターフェイスに接続して、ログイン画面を表示します。ユーザがログインと認証を完了し、ユーザが SVC を 必要としている ことを適応型セキュリティ アプライアンスが確認すると、適応型セキュリティ アプライアンスは SVC をリモート コンピュータにダウンロードします。適応型セキュリティ アプライアンスが、SVC を使用する オプション がユーザにあると確認した場合、適応型セキュリティ アプライアンスは、SVC のインストールをスキップするリンクをユーザ画面に表示するとともに、SVC をリモート コンピュータにダウンロードします。

ダウンロードが完了すると、SVC はインストールと設定を実行します。接続が終了すると(設定に応じて)、SVC はリモート コンピュータに保持されるか、またはリモート コンピュータからアンインストールされます。

適応型セキュリティ アプライアンスは、さまざまなリモート コンピュータのオペレーティング システム用に、複数の独自の SVC イメージをキャッシュ メモリ内に備えている場合もあります。ユーザが接続を試みると、適応型セキュリティ アプライアンスは、イメージとオペレーティング システムが一致するまで引き続きこれらのイメージの一部をリモート コンピュータにダウンロードできます。一致した時点で、SVC 全体をダウンロードします。接続のセットアップ時間を最小限にするため、ダウンロードされる最初のイメージが、最もよく遭遇するリモート コンピュータのオペレーティング システムになるように SVC イメージの順序を指定できます。SVC のインストールと使用の詳細については、「AnyConnect VPN Client 接続の設定」を参照してください。

「AnyConnect VPN Client 接続の設定」に示すように、SVC をイネーブルにした後は、特定のユーザの SVC 機能をイネーブルまたは必須にできます。この機能は、デフォルトでディセーブルになっています。SVC をイネーブルまたは必須にすると、この項で説明している一連の svc コマンドをイネーブルにできます。SVC とその関連 svc コマンドをイネーブルにするには、ユーザ名 webvpn コンフィギュレーション モードで次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスが SVC ファイルをリモート コンピュータにダウンロードできるようにするには、 svc enable コマンドを入力します。デフォルトでは、このコマンドはディセーブルになっています。適応型セキュリティ アプライアンスは SVC ファイルをダウンロードしません。このコンフィギュレーションから svc enable コマンドを削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc {none | enable | required}
hostname(config-username-webvpn)#
 

no svc enable コマンドを入力しても、アクティブな SVC セッションは終了しません。


hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc enable
hostname(config-username-webvpn)#
 

ステップ 2 SVC 接続経由で特定のユーザについて HTTP データの圧縮をイネーブルにするには、svc compression コマンドを入力します。デフォルトでは、SVC 圧縮は deflate (イネーブル)に設定されています。特定のユーザの圧縮をディセーブルにするには、 none キーワードを使用します。svc compression コマンドを削除して値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc compression {deflate | none}
hostname(config-username-webvpn)#
 

次の例は、sales という名前のユーザの SVC 圧縮をディセーブルにします。

hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc compression none
hostname(config-username-webvpn)#
 

ステップ 3 適応型セキュリティ アプライアンスで dead-peer-detection(DPD)をイネーブルにして、SVC または適応型セキュリティ アプライアンスが DPD を実行する頻度を設定するには、 svc dpd-interval コマンドを使用します。このコンフィギュレーションから svc dpd-interval コマンドを削除するには、このコマンドの no 形式を使用します。このユーザの SVC DPD をディセーブルにするには、 none キーワードを使用します。

hostname(config-username-webvpn)# svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
hostname(config-username-webvpn)#
 

DPD チェックは、デフォルトでディセーブルになっています。

ゲートウェイは、適応型セキュリティ アプライアンスのことです。適応型セキュリティ アプライアンスが DPD テストを実行する頻度を、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、適応型セキュリティ アプライアンスが実行する DPD テストはディセーブルになります。

クライアントは SVC のことです。クライアントが DPD テストを実行する頻度は、30 ~ 3600 秒(1 時間)の範囲で指定できます。 none を指定すると、クライアントが実行する DPD テストはディセーブルになります。

次の例では、sales という名前の既存のユーザについて、適応型セキュリティ アプライアンス(ゲートウェイ)によって実行される DPD の頻度を 3000 秒、クライアントによって実行される DPD の頻度を 1000 秒に設定しています。

hostname(config)# username sales attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# svc dpd-interval gateway 3000
hostname(config-username-webvpn)# svc dpd-interval client 1000
hostname(config-username-webvpn)#
 

ステップ 4 接続のアイドル状態を維持できる時間をデバイスが制限している場合でも、プロキシ、ファイアウォール、または NAT デバイスを通じて SVC 接続のオープン状態を維持するように、キープアライブ メッセージの頻度を調整できます( seconds で指定)。

頻度を調整することで、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行していない場合でも、SVC が切断して再接続をしないようにできます。

リモート コンピュータ上の SVC がキープアライブ メッセージをセキュリティ アプライアンスに送信する頻度(15 ~ 600 秒)を設定するには、 svc keepalive コマンドを使用します。コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc keepalive {none | seconds}
hostname(config-username-webvpn)# no svc keepalive {none | seconds}
hostname(config-username-webvpn)#
 

SVC キープアライブは、デフォルトでディセーブルになっています。キーワード none を使用すると、SVC キープアライブ メッセージがディセーブルになります。

次の例では、ユーザは、SVC がキープアライブ メッセージを 300 秒(5 分)の頻度で送信できるようにセキュリティ アプライアンスを設定します。

hostname(config-username-webvpn)# svc keepalive 300
hostname(config-username-webvpn)#
 

ステップ 5 SVC がリモート コンピュータに永続的にインストールされた状態を保つには、 installed キーワードを指定して svc keep-installer コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# svc keep-installer {installed | none}
hostname(config-username-webvpn)# no svc keep-installer {installed | none}
hostname(config-username-webvpn)#
 

デフォルトでは、SVC の永続的インストールはディセーブルになっています。SVC セッションの終わりに、SVC はリモート コンピュータからアンインストールされます。

次の例では、このユーザのリモート コンピュータの SVC インストール状態を維持するように適応型セキュリティ アプライアンスを設定します。

hostname(config-username-webvpn)# svc keep-installer installed
hostname(config-username-webvpn)#
 

ステップ 6 SVC が SVC セッションでキーを再生成できるようにするには、svc rekey コマンドを使用します。

hostname(config-username-webvpn)# svc rekey {method {ssl | new-tunnel} | time minutes | none}}
 

キーの再生成をディセーブルにして、コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-username-webvpn)# no svc rekey [method {ssl | new-tunnel} | time minutes | none}]
hostname(config-username-webvpn)#
 

デフォルトでは、SVC キーの再生成はディセーブルになっています。

method を new-tunnel に指定すると、SVC キーの再生成中に SVC が新しいトンネルを確立することが指定されます。method を none に指定すると、SVC キーの再生成はディセーブルになります。method を ssl に指定すると、SSL の再ネゴシエーションは SVC キーの再生成中に行われます。method を指定する代わりに、セッションの開始からキーの再生成が行われるまでの時間を 1 ~ 10080(1 週間)の分数で指定できます。

コマンドが no 形式の場合は、必要なのは最小限だけです。適正な例は、次のとおりです。

hostname(config-username-webvpn)# no svc rekey method
hostname(config-username-webvpn)#
 

ただし、method を new-tunnel に指定する場合は、次のようになります。

hostname(config-username-webvpn)# no svc rekey method new-tunnel
hostname(config-username-webvpn)#
 

現在の method が ssl である場合、値が一致しないためコマンドは失敗します。

次の例では、ユーザは、キーの再生成中に SVC が SSL と再ネゴシエートするように設定し、キーの再生成がセッション開始の 30 分後に発生するように設定しています。

hostname(config-username-webvpn)# svc rekey method ssl
hostname(config-username-webvpn)# svc rekey time 30
hostname(config-username-webvpn)#