Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
AAA サーバとローカル データベース の設定
AAA サーバとローカル データベースの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AAA サーバとローカル データベースの設定

AAA の概要

認証の概要

認可の概要

アカウンティングの概要

AAA サーバおよびローカル データベースのサポート

サポートの要約

RADIUS サーバのサポート

認証方法

アトリビュートのサポート

RADIUS 機能

TACACS+ サーバのサポート

SDI サーバのサポート

SDI バージョンのサポート

2 ステップ認証プロセス

SDI プライマリ サーバおよびレプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

LDAP による認証

LDAP での認可

LDAP アトリビュート マッピング

HTTP Form での WebVPN に対する SSO サポート

ローカル データベースのサポート

ユーザ プロファイル

ローカル データベースの機能

フォールバック サポート

ローカル データベースの設定

AAA サーバ グループおよびサーバの識別

証明書とユーザ ログイン クレデンシャルの使用方法

ユーザ ログイン クレデンシャルの使用方法

証明書の使用方法

AAA サーバとローカル データベースの設定

この章では、AAA(「トリプル エー」と発音)のサポート、および AAA サーバとローカル データベースの設定方法について説明します。

ここでは、次の項目を取り上げます。

「AAA の概要」

「AAA サーバおよびローカル データベースのサポート」

「ローカル データベースの設定」

「AAA サーバ グループおよびサーバの識別」

AAA の概要

AAA によって、セキュリティ アプライアンスが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。

AAA には、ユーザ アクセスに対して、ACL のみを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにする ACL を作成できます。一部のユーザのみがサーバにアクセスできるようにするが、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済みのユーザのみがセキュリティ アプライアンスを介してアクセスすることが許可されるようにできます(Telnet サーバもまた、認証を実行します。セキュリティ アプライアンスは、認可されないユーザがサーバにアクセスできないようにします)。

認証のみで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングのみで使用することも、認証および認可とともに使用することもできます。

ここでは、次の項目について説明します。

「認証の概要」

「認可の概要」

「アカウンティングの概要」

認証の概要

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。このクレデンシャルは通常、ユーザ名とパスワードです。次の項目を認証するように、セキュリティ アプライアンスを設定できます。

セキュリティ アプライアンスへのすべての管理接続(この接続には、次のセッションが含まれます)

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

VPN 管理アクセス

enable コマンド

ネットワーク アクセス

VPN アクセス

認可の概要

認可では、ユーザ認証後、 ユーザごと にアクセスを制御します。次の項目を認可するように、セキュリティ アプライアンスを設定できます。

管理コマンド

ネットワーク アクセス

VPN アクセス

認可では、各認証済みユーザが使用可能なサービスおよびコマンドを制御します。認可をイネーブルにしていない場合は、認証のみで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御が必要な場合、広範な認証規則を設定して、詳細な認可が設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限します。

セキュリティ アプライアンスはユーザあたり最初の 16 個の認証要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、セキュリティ アプライアンスは認可サーバに要求を再送信しません。

アカウンティングの概要

アカウンティングは、セキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでセキュリティ アプライアンスを経由したバイト数、使用されたサービス、セッションの継続時間が含まれます。

AAA サーバおよびローカル データベースのサポート

セキュリティ アプライアンスは、さまざまな AAA サーバ タイプおよびセキュリティ アプライアンスに保存されているローカル データベースをサポートします。ここでは、各 AAA サーバ タイプとローカル データベースに関するサポートについて説明します。

ここでは、次の項目について説明します。

「サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「ローカル データベースのサポート」

サポートの要約

表10-1 に、各 AAA サービスのサポート状況の要約を AAA サーバ タイプ(ローカル データベースを含む)別に示します。特定の AAA サーバ タイプのサポートの詳細については、表に続く項目を参照してください。

 

表10-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form
認証

VPN ユーザ

あり

あり

あり

あり

あり

あり

あり

あり1

ファイアウォール セッション

あり

あり

あり

なし

なし

なし

なし

なし

管理者

あり

あり

あり

なし

なし

なし

なし

なし

認可

VPN ユーザ

あり

あり

なし

なし

なし

なし

あり

なし

ファイアウォール セッション

なし

あり2

あり

なし

なし

なし

なし

なし

管理者

あり3

なし

あり

なし

なし

なし

なし

なし

アカウンティング

VPN 接続

なし

あり

あり

なし

なし

なし

なし

なし

ファイアウォール セッション

なし

あり

あり

なし

なし

なし

なし

なし

管理者

なし

なし

あり

なし

なし

なし

なし

なし

1.HTTP Form プロトコルは、WebVPN ユーザに対してのみシングルサインオン認証をサポートします。

2.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有の ACL でのみサポートされます。この ACL は RADIUS 認証応答で受信または指定されます。

3.ローカル コマンド認可は、特権レベルに限りサポートされます。

RADIUS サーバのサポート

セキュリティ アプライアンスは RADIUS サーバをサポートします。

ここでは、次の項目について説明します。

「認証方法」

「アトリビュートのサポート」

「RADIUS 機能」

認証方法

セキュリティ アプライアンスは、RADIUS で次の認証方法をサポートします。

PAP

CHAP

MS-CHAPv1

MS-CHAPv2(パスワード エージングを含む)(IPSec ユーザ専用)

アトリビュートのサポート

セキュリティ アプライアンスは、次の RADIUS アトリビュートのセットをサポートします。

RFC 2138 に定義されている認証アトリビュート

RFC 2139 に定義されているアカウンティング アトリビュート

RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS アトリビュート

RADIUS ベンダー ID 9 によって識別される Cisco IOS VSA

RADIUS ベンダー ID 3076 によって識別される Cisco VPN 関連 VSA

RFC 2548 に定義されている Microsoft VSA

RADIUS 機能

セキュリティ アプライアンスは、 表10-2 に説明されている機能に関して、RADIUS サーバを使用できます。

 

表10-2 RADIUS 機能

機能
説明

CLI アクセスのユーザ認証

ユーザが Telnet、SSH、HTTP、またはシリアル コンソール接続でセキュリティ アプライアンスにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスはユーザのユーザ名とパスワードを要求し、これらのクレデンシャルを RADIUS サーバに送信して、サーバからの応答に基づいてユーザの CLI アクセスを許可または拒否します。

enable コマンドのユーザ認証

ユーザが enable コマンドにアクセスしようとすると、セキュリティ アプライアンスはユーザのパスワードを要求し、RADIUS サーバにユーザ名とイネーブル パスワードを送信して、サーバからの応答に基づいてイネーブル モードへのユーザのアクセスを許可または拒否します。

ネットワーク アクセスのユーザ認証

ユーザがセキュリティ アプライアンスを使用してネットワークにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスは RADIUS サーバにユーザ クレデンシャル(通常は、ユーザ名とパスワード)を送信し、サーバからの応答に基づいてユーザのネットワーク アクセスを許可または拒否します。

ネットワーク アクセスのユーザ認可(ユーザごとにダイナミック ACL を使用)

ダイナミック ACL を実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能な ACL がセキュリティ アプライアンスに送信されます。所定のサービスへのアクセスが ACL によって許可または拒否されます。認証セッションの有効期限が切れると、セキュリティ アプライアンスによって ACL が削除されます。

ネットワーク アクセスのユーザ認可(ユーザごとにダウンロードされた ACL 名を使用)

ダウンロードされた ACL 名を実装するには、その ACL 名をサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによって ACL の名前が送信されます。指定された名前の ACL がセキュリティ アプライアンスに存在する場合、所定のサービスへのアクセスが ACL によって許可または拒否されます。複数のユーザに同じ名前の ACL を指定できます。

VPN 認証

ユーザが VPN アクセスを確立しようとしたとき、適用可能なトンネルグループ レコードに RADIUS 認証サーバ グループが指定されている場合、セキュリティ アプライアンスは RADIUS サーバにユーザ名とパスワードを送信し、その後サーバからの応答に基づいてユーザのアクセスを許可または拒否します。

VPN 認可

VPN アクセスのユーザ認証が成功し、適用可能なトンネルグループ レコードによって RADIUS 認可サーバ グループが指定されている場合、セキュリティ アプライアンスは RADIUS 認可サーバに要求を送信して、受信した認可を VPN セッションに適用します。

VPN アカウンティング

VPN アクセスのユーザ認証が成功し、適用可能なトンネルグループ レコードによって RADIUS アカウンティング サーバ グループが指定されている場合、セキュリティ アプライアンスは RADIUS サーバに、VPN セッションについてのグループ アカウンティング データを送信します。

ユーザまたは IP アドレスごとのネットワーク アクセスのアカウンティング

セキュリティ アプライアンスを通過するトラフィックすべてについて、アカウンティング情報を RADIUS サーバに送信するように、セキュリティ アプライアンスを設定できます。

TACACS+ サーバのサポート

セキュリティ アプライアンスは、 表10-3 に説明されている機能に関して、TACACS+ サーバを使用できます。セキュリティ アプライアンスは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認証をサポートします。

 

表10-3 TACACS+ 機能

機能
説明

CLI アクセスのユーザ認証

ユーザが Telnet、SSH、HTTP、またはシリアル コンソール接続でセキュリティ アプライアンスにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスはユーザのユーザ名とパスワードを要求し、これらのクレデンシャルを TACACS+ サーバに送信して、サーバからの応答に基づいてユーザの CLI アクセスを許可または拒否します。

enable コマンドのユーザ認証

ユーザが enable コマンドにアクセスしようとすると、セキュリティ アプライアンスはユーザのパスワードを要求し、TACACS+ サーバにユーザ名とイネーブル パスワードを送信して、サーバからの応答に基づいてイネーブル モードへのユーザのアクセスを許可または拒否します。

CLI アクセスのアカウンティング

管理セッションに関するアカウンティング情報を TACACS+ サーバに送信するように、セキュリティ アプライアンスを設定できます。

ネットワーク アクセスのユーザ認証

ユーザがセキュリティ アプライアンスを使用してネットワークにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスは TACACS+ サーバにユーザ クレデンシャル(通常は、ユーザ名とパスワード)を送信し、サーバからの応答に基づいてユーザのネットワーク アクセスを許可または拒否します。

ネットワーク アクセスのユーザ認可

認証後に、ユーザがセキュリティ アプライアンス上の認可文と一致すると、セキュリティ アプライアンスは、TACACS+ サーバにユーザのアクセス特権について問い合せます。

VPN 認証

ユーザが VPN アクセスを確立しようとしたとき、適用可能なトンネルグループ レコードによって TACACS+ 認証サーバ グループが指定されている場合、セキュリティ アプライアンスは TACACS+ サーバにユーザ名とパスワードを送信し、その後サーバからの応答に基づいてユーザのアクセスを許可または拒否します。

VPN アカウンティング

VPN アクセスのユーザ認証が成功し、適用可能なトンネルグループ レコードに TACACS+ アカウンティング サーバ グループが指定されている場合、セキュリティ アプライアンスは TACACS+ サーバに、VPN セッションについてのグループ アカウンティング データを送信します。

管理コマンドのユーザ認可

TACACS+ サーバで、CLI アクセスの認証後にユーザが使用できるコマンドを設定します。ユーザが CLI で入力するコマンドはそれぞれ、TACACS+ サーバによってチェックされます。

ユーザまたは IP アドレスごとのネットワーク アクセスのアカウンティング

セキュリティ アプライアンスを通過するトラフィックすべてについて、アカウンティング情報を TACACS+ サーバに送信するように、セキュリティ アプライアンスを設定できます。

SDI サーバのサポート

セキュリティ アプライアンスは、VPN 認証に RSA SecureID サーバを使用できます。これらのサーバは、SDI サーバとも呼ばれます。ユーザが VPN アクセスを確立しようとしたとき、適用可能なトンネルグループ レコードによって SDI 認証サーバ グループが指定されている場合、セキュリティ アプライアンスは SDI サーバにユーザ名とワンタイム パスワードを送信し、その後サーバからの応答に基づいてユーザのアクセスを許可または拒否します。

ここでは、次の項目について説明します。

「SDI バージョンのサポート」

「2 ステップ認証プロセス」

「SDI プライマリ サーバおよびレプリカ サーバ」

SDI バージョンのサポート

セキュリティ アプライアンスでは、次の SDI バージョンがサポートされています。

バージョン 5.0 より前のバージョン :5.0 より前の SDI バージョンは、シングルノード秘密ファイル(SECURID)を共有する SDI マスター サーバおよび SDI スレーブ サーバの概念を使用します。

バージョン 5.0 :SDI バージョン 5.0 は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。各プライマリおよびそのレプリカは、シングルノード秘密ファイルを共有します。そのノード秘密ファイルの名前は、.sdi が付加された ACE/サーバ IP アドレスの 16 進数値に基づきます。

セキュリティ アプライアンスに設定するバージョン 5.0 SDI サーバは、プライマリでも、レプリカのいずれか 1 つでもかまいません。ユーザ認証のための SDI エージェントによるサーバの選択方法の詳細については、「SDI プライマリ サーバおよびレプリカ サーバ」を参照してください。

2 ステップ認証プロセス

SDI バージョン 5.0 は 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求から情報を取り込み、それを使用して別のサーバに認証を証明しないように防止します。エージェントはまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ名をロックして、別の(レプリカ)サーバがユーザ名を受信できないようにします。これは、同じユーザが、同じ認証サーバを同時に使用して、2 つのセキュリティ アプライアンスに認証を証明することができないことを意味します。ユーザ名のロックに成功すると、セキュリティ アプライアンスはパスコードを送信します。

SDI プライマリ サーバおよびレプリカ サーバ

セキュリティ アプライアンスは、最初のユーザが設定済みサーバ(プライマリでもレプリカでもかまいません)に認証を証明するときに、サーバ リストを取得します。次に、セキュリティ アプライアンスはリスト上の各サーバに優先度を割り当て、その後のサーバ選択では、この割り当てられた優先度のサーバから無作為に抽出します。最も優先度の高いサーバが選択される可能性が高くなります。

NT サーバのサポート

セキュリティ アプライアンスは、NTLM バージョン 1(集合的に NT サーバと呼びます)をサポートしている Microsoft Windows サーバ オペレーティング システムでの VPN 認証をサポートします。ユーザが VPN アクセスを確立しようとしたとき、適用可能なトンネルグループ レコードによって NT 認証サーバ グループが指定されている場合、セキュリティ アプライアンスは、Microsoft Windows ドメイン サーバでのユーザ認証に NTLM バージョン 1 を使用します。セキュリティ アプライアンスは、ドメイン サーバからの応答に基づいてユーザのアクセスを許可または拒否します。


) NT サーバでは、ユーザ パスワードの最大長は 14 文字です。それより長いパスワードは切り捨てられます。これは、NTLM バージョン 1 の制限です。


Kerberos サーバのサポート

セキュリティ アプライアンスは、VPN 認証に Kerberos サーバを使用できます。ユーザがセキュリティ アプライアンスを使用して VPN アクセスを確立しようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスは Kerberos サーバにユーザ認証について問い合せ、サーバからの応答に基づいてユーザのアクセスを許可または拒否します。

セキュリティ アプライアンスは、3DES、DES、および RC4 暗号タイプをサポートしています。


) セキュリティ アプライアンスは、トンネル ネゴシエーション中のユーザ パスワードの変更はサポートしていません。この状況が意図せずに発生することを回避するために、セキュリティ アプライアンスに接続するユーザの Kerberos/Active Directory サーバでのパスワード期限切れをディセーブルにします。


単純な Kerberos サーバ コンフィギュレーションの例については、例10-2 を参照してください。

LDAP サーバのサポート

LDAP ディレクトリ サーバに対して IPSec VPN ユーザ、SSL VPN クライアント、および WebVPN ユーザを認証し、認可するようにセキュリティ アプライアンスを設定できます。この項では、VPN ユーザの認証と認可にセキュリティ アプライアンスを利用する LDAP ディレクトリの使用について説明します。ここでは、次の項目について説明します。

「LDAP による認証」

「LDAP での認可」

「LDAP アトリビュート マッピング」

LDAP による認証または認可を設定するために使用する設定手順の例については、 付録 E「認可および認証用の外部サーバの設定」 を参照してください。

LDAP による認証

認証中、セキュリティ アプライアンスは VPN ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーンテキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使用して LDAP サーバに対する認証を行います。デフォルトでは、セキュリティ アプライアンスは、認証パラメータ(通常、ユーザ名とパスワード)を LDAP サーバにプレーンテキストで渡します。SASL とプレーンテキストのどちらを使用する場合でも、 ldap-over-ssl コマンドを使用して、セキュリティ アプライアンスと LDAP サーバの間の通信を SSL で保護できます。


) SASL を設定しない場合は、SSL で LDAP 通信を保護することを強くお勧めします。『Cisco Security Appliance Command Reference』の ldap-over-ssl コマンドを参照してください。


VPN アクセスのユーザ LDAP 認証が成功すると、LDAP サーバは認証された VPN ユーザのアトリビュートを返します。これらのアトリビュートには、通常、VPN セッションに適用される認可データが含まれています。したがって、LDAP を使用している場合は、1 つのステップで認証と認可が実行されます。

SASL での LDAP 認証の保護

セキュリティ アプライアンスは、次の SASL メカニズムをサポートします。強度の低い順にそのメカニズムを示します。

Digest-MD5:セキュリティ アプライアンスは、ユーザ名とパスワードから計算した MD5 値で LDAP サーバに応答します。

Kerberos:セキュリティ アプライアンスは、Generic Security Services Application Programming Interface(GSSAPI; 汎用セキュリティ サービス API)Kerberos メカニズムを使用してユーザ名と領域を送信することで LDAP サーバに応答します。

これらの SASL メカニズムの任意の組み合せをサポートするように、セキュリティ アプライアンスと LDAP サーバを設定できます。複数のメカニズムを設定した場合、セキュリティ アプライアンスは、サーバに設定された SASL メカニズムのリストを取得し、セキュリティ アプライアンスとサーバの両方に設定されているメカニズムで最も強力なものを認証メカニズムとして設定します。たとえば、LDAP サーバとセキュリティ アプライアンスの両方がこれらのメカニズムを 2 つともサポートしている場合、セキュリティ アプライアンスは、より強力なメカニズムである Kerberos を選択します。

次の例では、ldap_dir_1 という名前の LDAP ディレクトリ サーバに対する認証に digest-MD5 SASL メカニズムを使用し、SSL で保護された接続で通信するように、セキュリティ アプライアンスを設定しています。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# sasl-mechanism digest-md5
hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#
 

LDAP サーバ タイプの設定

セキュリティ アプライアンスは LDAP Version 3 をサポートします。そのため、任意の LDAP V3 サーバまたは V2 サーバと互換性があります。ただし、認証機能とパスワード管理機能については、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上のみでサポートします。たとえば、有効期限が切れたパスワードをシステム管理者の介入なしで自動的にリセットする機能をセキュリティ アプライアンスがサポートするのは、Sun サーバまたは Microsoft LDAP サーバのいずれかを使用した場合です。Novell サーバや OpenLDAP サーバなど、他のタイプの LDAP サーバを使用した場合は、LDAP 認可機能と Certificate Revocation List(CRL; 証明書失効リスト)取得のみをサポートします。

デフォルトでは、セキュリティ アプライアンスは、Microsoft ディレクトリ サーバと Sun LDAP ディレクトリ サーバのどちらに接続されているかを自動的に検出します。ただし、自動検出による LDAP サーバ タイプの判別に失敗しても、そのサーバが Microsoft サーバであるか、Sun サーバであるかがわかっていれば、サーバ タイプを手動で設定できます。次の例では、LDAP ディレクトリ サーバ ldap_dir_1 を Sun Microsystems タイプに設定しています。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# server-type sun
hostname(config-aaa-server-host)#
 

LDAP での認可

VPN アクセスのためのユーザ LDAP 認証が成功すると、セキュリティ アプライアンスは LDAP サーバに対してクエリーを実行し、その LDAP サーバは LDAP アトリビュートを返します。通常、これらのアトリビュートには、VPN セッションに適用される認可データが含まれています。したがって、LDAP を使用している場合は、1 つのステップで認証と認可が実行されます。

ただし、認証メカニズムとは別に、それとは異なる認可を LDAP ディレクトリ サーバから取得しなければならない場合もあります。たとえば、認証に SDI サーバや証明書サーバを使用している場合、認可情報は返されません。この場合のユーザ認可では、認証成功後に LDAP ディレクトリに対してクエリーを実行します。つまり、認証と認可は 2 つのステップで実行されます。

LDAP を使用する VPN ユーザ認可を設定するには、最初に AAA サーバ グループとトンネルグループを作成する必要があります。次に、 tunnel-group general-attributes コマンドを使用して、サーバとトンネルグループを関連付けます。特定の要件で使用できる認可関連のコマンドおよびオプションは他にもありますが、次の例では、LDAP でのユーザ認可をイネーブルにするための基本のコマンドを示しています。この例では、remote-1 という名前の IPSec リモートアクセス トンネルグループを作成し、すでに作成してある認可用の ldap_dir_1 AAA サーバにその新しいトンネルグループを割り当てています。

hostname(config)# tunnel-group remote-1 type ipsec-ra
hostname(config)# tunnel-group remote-1 general-attributes
hostname(config-general)# authorization-server-group ldap_dir_1
hostname(config-general)#

この基本の設定を完了したら、ディレクトリ パスワード、ディレクトリ検索の開始点、ディレクトリ検索の範囲など、追加の LDAP 認可パラメータを次のように設定できます。

hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# ldap-login-dn obscurepassword
hostname(config-aaa-server-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)#
 

詳細については、『 Cisco Security Appliance Command Reference 』の LDAP コマンドを参照してください。

LDAP アトリビュート マッピング

既存の LDAP ディレクトリにセキュリティ アプライアンスを導入する場合、既存の LDAP アトリビュートの名前と値は、シスコのアトリビュートの名前および値と異なっているかもしれません。既存のユーザ定義のアトリビュートの名前と値を、セキュリティ アプライアンスと互換性のあるシスコのアトリビュートの名前と値に対応付ける LDAP アトリビュート マップを作成する必要があります。作成後は、それらのアトリビュート マップを LDAP サーバにバインドしたり、必要に応じて削除したりできます。また、アトリビュート マップの表示や消去も可能です。


) アトリビュート マッピング機能を適切に使用するには、シスコの LDAP アトリビュートの名前と値およびユーザ定義のアトリビュートの名前と値を理解する必要があります。


グローバル コンフィギュレーション モードで入力された次のコマンドでは、att_map_1 という名前の空の LDAP アトリビュート マップ テーブルを作成しています。

hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)#
 

次のコマンドでは、ユーザ定義のアトリビュート名 department をシスコのアトリビュート名 cVPN3000-IETF-Radius-Class に対応付けています。2 番目のコマンドでは、ユーザ定義のアトリビュート値 Engineering をユーザ定義のアトリビュート department とシスコで定義されているアトリビュート値 group1 に対応付けています。

hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name department cVPN3000-IETF-Radius-Class
hostname(config-ldap-attribute-map)# map-value department Engineering group1
hostname(config-ldap-attribute-map)#
 

次のコマンドでは、アトリビュート マップ att_map_1 を LDAP サーバ ldap_dir_1 にバインドしています。

hostname(config)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# ldap-attribute-map att_map_1
hostname(config-aaa-server-host)#

) アトリビュート マップを作成するコマンド(ldap attribute-map)と LDAP サーバにそれをバインドするコマンド(ldap-attribute-map)の違いは、ハイフンの有無とモードだけです。


次のコマンドでは、実行コンフィギュレーション内のすべての LDAP アトリビュート マップを表示または消去しています。

hostname# show running-config all ldap attribute-map
hostname(config)# clear configuration ldap attribute-map
hostname(config)#
 

頻繁に対応付けられるシスコの LDAP アトリビュートの名前と、一般に対応付けられることの多いユーザ定義のアトリビュートのタイプには、次のものがあります。

cVPN3000-IETF-Radius-Class -- Department or user group
cVPN3000-IETF-Radius-Filter-Id -- Access control list
cVPN3000-IETF-Radius-Framed-IP-Address -- A static IP address
cVPN3000-IPSec-Banner1 -- A organization title
cVPN3000-Tunneling-Protocols -- Allow or deny dial-in
 

シスコの LDAP アトリビュートの名前と値のリストについては、 付録 E「認可および認証用の外部サーバの設定」 を参照してください。または、次の例のように、ldap-attribute-map モードで「?」を入力して、シスコの LDAP アトリビュート名の一覧をすべて表示することもできます。

hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name att_map_1 ?
 
ldap mode commands/options:
cisco-attribute-names:
cVPN3000-Access-Hours
cVPN3000-Allow-Network-Extension-Mode
cVPN3000-Auth-Service-Type
cVPN3000-Authenticated-User-Idle-Timeout
cVPN3000-Authorization-Required
cVPN3000-Authorization-Type
:
:
cVPN3000-X509-Cert-Data
hostname(config-ldap-attribute-map)#
 

HTTP Form での WebVPN に対する SSO サポート

セキュリティ アプライアンスは、WebVPN ユーザの Single Sign-On(SSO; シングル サインオン)認証だけに HTTP Form プロトコルを使用できます。SSO がサポートされていると、WebVPN ユーザはユーザ名とパスワードを一度入力するだけで、複数の保護されたサービスや Web サーバにアクセスできます。セキュリティ アプライアンス上で実行されている WebVPN サーバは、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、WebVPN サーバは HTTPS を使用して認証サーバに SSO 認証要求を送信します。要求にはユーザ名とパスワードが含まれます。サーバは認証要求を承認した場合、SSO 認証クッキーを WebVPN サーバに返します。セキュリティ アプライアンスは、ユーザの代理としてこのクッキーを保持し、SSO サーバによって保護されているドメイン内のセキュア Web サイトに対してユーザを認証するために使用します。

HTTP Form で SSO を実装するほかに、WebVPN 管理者は Computer Associates eTrust SiteMinder SSO サーバ(旧称 Netegrity SiteMinder)を使用して SSO 認証を設定することも選択できます。HTTP Form または SiteMinder での SSO の設定の詳細については、「 WebVPN の設定」の章を参照してください。

ローカル データベースのサポート

セキュリティ アプライアンスは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

ここでは、次の項目について説明します。

「ユーザ プロファイル」

「ローカル データベースの機能」

「フォールバック サポート」

ユーザ プロファイル

ユーザ プロファイルには、少なくともユーザ名が含まれています。通常、パスワードはオプションですが、各ユーザ名にパスワードが割り当てられます。

username attributes コマンドによって、ユーザ名モードに移行することができます。このモードでは、特定のユーザ プロファイルにその他の情報を追加できます。追加できる情報には、VPN セッション タイムアウト値など VPN 関連アトリビュートが含まれます。

ローカル データベースの機能

セキュリティ アプライアンスは、 表10-4 に説明されている機能に関して、ローカル データベースを使用できます。

 

表10-4 ローカル データベースの機能

機能
説明

CLI アクセスのユーザ認証

ユーザが Telnet、SSH、HTTP、またはシリアル コンソール接続でセキュリティ アプライアンスにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスはユーザのユーザ名とパスワードを要求し、クレデンシャルをローカル データベースと照合してチェックし、その結果に基づいてユーザの CLI アクセスを許可または拒否します。

enable コマンドまたは login コマンドのユーザ認証

ユーザが enable コマンドにアクセスしようとすると、セキュリティ アプライアンスはユーザのパスワードを要求し、ユーザ名とパスワードをローカル データベースと照合してチェックし、その結果に基づいてイネーブル モードへのユーザのアクセスを許可または拒否します。

管理コマンドのユーザ認可

ユーザが enable コマンドで認証(または login コマンドでログイン)する場合、セキュリティ アプライアンスはそのユーザを、ローカル データベースによって定義された特権レベルに配置します。各コマンドは、コマンドが 0 ~ 15 の特権レベルに属するように、セキュリティ アプライアンスに設定できます。

ネットワーク アクセスのユーザ認証

ユーザがセキュリティ アプライアンスを使用してネットワークにアクセスしようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスはユーザのユーザ名とパスワードを要求し、クレデンシャルをローカル データベースと照合してチェックし、その結果に基づいてユーザのネットワーク アクセスを許可または拒否します。

VPN 認証

ユーザが VPN アクセスを確立しようとしたとき、トラフィックが認証文と一致する場合、セキュリティ アプライアンスは、受信したユーザ名とパスワードをローカル ユーザ データベースと照合してチェックし、その結果に基づいて VPN アクセスを許可または拒否します。

VPN 認可

VPN アクセスのユーザ認証が成功した場合、セキュリティ アプライアンスは、ユーザ名と適用可能なグループポリシーに関連するローカル データベースからのアトリビュートを VPN セッションに適用します。

フォールバック サポート

ネットワーク アクセス認証のフォールバックを除き、ローカル データベースは、 表10-4 の機能のフォールバック方式として動作します。この動作は、セキュリティ アプライアンスから誤ってロックアウトされないようにすることを意図しています。

フォールバック サポートを必要とするユーザでは、ローカル データベース内のユーザ名とパスワードと AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。これにより、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカル データベースでサポートされているフォールバック機能は次のとおりです。

コンソールおよびイネーブル パスワード認証 aaa authentication console コマンドを使用する場合、AAA サーバ グループ タグの後に LOCAL キーワードが追加できます。グループ内のサーバがすべて使用できない場合、セキュリティ アプライアンスはローカル データベースを使用して管理アクセスを認証します。これには、イネーブル パスワード認証も含めることができます。

コマンド認可 aaa authorization command コマンドを使用する場合、AAA サーバ グループ タグの後に LOCAL キーワードが追加できます。グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカル データベースが使用されます。

VPN 認証および認可:VPN 認証および認可は、通常この VPN サービスをサポートしている AAA サーバが使用できない場合、セキュリティ アプライアンスへのリモートアクセスをイネーブルにするためにサポートされます。 authentication-server-group コマンド(トンネルグループ一般アトリビュート モードで使用可能)を使用すると、トンネルグループのアトリビュートを設定するときに、 LOCAL キーワードが指定できます。管理者である VPN クライアントが、ローカル データベースへのフォールバックを設定されたトンネルグループを指定する場合、AAA サーバ グループが使用できない場合でも、ローカル データベースが必要なアトリビュートで設定されていれば、VPN トンネルが確立できます。

ローカル データベースの設定

ここでは、ローカル データベース内のユーザの管理方法について説明します。ローカル データベースは、CLI アクセス認証、特権モード認証、コマンド認可、ネットワーク アクセス認証、および VPN 認証および認可に使用できます。ネットワーク アクセス認証には、ローカル データベースは使用できません。ローカル データベースはアカウンティングをサポートしません。

マルチコンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して個々のログインを指定できます。しかし、システム実行スペースでは aaa コマンドは設定できません。


注意 CLI にはアクセスできるが、特権モードに移行することは許可されないユーザをローカル データベースに追加する場合は、コマンド認可をイネーブルにします(「ローカル コマンド認可の設定」を参照してください)。コマンド認可を行わないと、ユーザは、特権レベルが 2 以上(2 がデフォルト)の場合、CLI で自分のパスワードを使用して特権モード(およびすべてのコマンド)にアクセスできます。あるいは、RADIUS または TACACS+ 認証を使用して、ユーザが login コマンドを使用できないようにすることも、すべてのローカル ユーザをレベル 1 に設定して、システム イネーブル パスワードを使用して特権モードにアクセスできるユーザを制御することもできます。

LOCAL データベースにユーザ アカウントを定義するには、次の手順を実行します。


ステップ 1 ユーザ アカウントを作成します。これを行うには、次のコマンドを入力します。

hostname/contexta(config)# username username {nopassword | password password} [encrypted] [privilege level]
 

オプションは次のとおりです。

username :4 ~ 64 文字の文字列。

password password :3 ~ 16 文字の文字列。

encrypted :指定されたパスワードが暗号化されていることを示します。

privilege level :新しいユーザ アカウントに割り当てる特権レベル(0 ~ 15)。デフォルトは 2 です。この特権レベルはコマンド認可で使用されます。

nopassword :パスワードを指定しないユーザ アカウントを作成します。

ステップ 2 VPN アトリビュートを指定してローカル ユーザ アカウントを設定するには、次の手順を実行します。

a. 次のコマンドを入力します。

hostname/contexta(config)# username username attributes
 

username attributes コマンドを入力する場合は、ユーザ名モードに移行します。このモードで使用できるコマンドは、次のとおりです。

group-lock

password-storage

vpn-access-hours

vpn-filter

vpn-framed-ip-address

vpn-group-policy

vpn-idle-timeout

vpn-session-timeout

vpn-simultaneous-logins

vpn-tunnel-protocol

webvpn

必要に応じてこれらのコマンドを使用して、ユーザ プロファイルを設定します。これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

b. ユーザ プロファイルの設定を完了したら、 exit を入力して設定モードに戻ります。


 

たとえば、次のコマンドは、admin ユーザ アカウントに対して特権レベル 15 を割り当てます。

hostname/contexta(config)# username admin password passw0rd privilege 15
 

次のコマンドは、パスワードを指定しないユーザ アカウントを作成します。

hostname/contexta(config)# username bcham34 nopassword
 

次のコマンドは、パスワードを指定するユーザ アカウントを作成し、ユーザ名モードに移行して、いくつかの VPN アトリビュートを指定します。

hostname/contexta(config)# username rwilliams password gOgeOus
hostname/contexta(config)# username rwilliams attributes
hostname/contexta(config-username)# vpn-tunnel-protocol IPSec
hostname/contexta(config-username)# vpn-simultaneous-logins 6
hostname/contexta(config-username)# exit
 

AAA サーバ グループおよびサーバの識別

認証、認可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバ グループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別されます。各サーバ グループは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。

セキュリティ アプライアンスは、グループ内の最初のサーバにアクセスします。そのサーバが使用できない場合、セキュリティ アプライアンスはグループ内の次のサーバにアクセスします(設定されている場合)。グループ内のすべてのサーバが使用できない場合、セキュリティ アプライアンスは、ローカル データベースがフォールバック方式として設定されていると、ローカル データベースに接続しようとします(管理認証および認可のみ)。フォールバック方式として設定されていない場合、セキュリティ アプライアンスは引き続き AAA サーバにアクセスしようとします。

サーバ グループを作成して、AAA サーバを追加するには、次の手順を実行します。


ステップ 1 作成する必要のある AAA サーバについて、次の手順を実行します。

a. サーバ グループ名とプロトコルを指定します。これを行うには、次のコマンドを入力します。

hostname/contexta(config)# aaa-server server_group protocol {kerberos | ldap | nt | radius | sdi | tacacs+}
 

たとえば、RADIUS を使用してネットワーク アクセスを認証し、TACACS+ を使用して CLI アクセスを認証するには、RADIUS サーバ用に 1 つ、TACACS+ サーバ用に 1 つというように、最低 2 つのサーバ グループを作成する必要があります。

最大 15 のシングルモード サーバ グループまたは 4 つのマルチモード サーバ グループを指定できます。各サーバ グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。

aaa-server protocol コマンドを入力する場合は、グループ モードに移行します。

b. 次のサーバを作成する前に、グループ内の AAA サーバに送信される要求の最大数を指定する場合は、次のコマンドを入力します。

hostname/contexta(config-aaa-server-group)# max-failed-attempts number
 

number には、1 ~ 5 が指定できます。デフォルトは 3 です。

ローカル データベースを使用してフォールバック方式を設定し(管理アクセスのみの場合は、「システム管理者の AAA」および 「TACACS+ コマンド認可の設定」を参照してフォールバック メカニズムを設定)、グループ内のすべてのサーバが応答できなかった場合、グループは非応答と見なされ、フォールバック方式が試行されます。サーバ グループで、追加の AAA 要求によるアクセスがない、非応答と見なされる時間が 10 分間(デフォルト)続いたら、ただちにフォールバック方式が使用されます。非応答時間をデフォルトから変更するには、次のステップの reactivation-mode コマンドを参照してください。

フォールバック方式として設定されていない場合、セキュリティ アプライアンスは引き続きグループ内のサーバにアクセスしようとします。

c. グループ内の障害の発生したサーバが再度アクティブ化される方法(再アクティブ化ポリシー)を指定する場合は、 reactivation-mode コマンドを使用します。このコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

d. アカウンティング メッセージが単一のサーバに送信されるか(シングルモード)またはグループ内のすべてのサーバに送信されるか(同時モード)を指示する場合は、 accounting-mode コマンドを使用します。このコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

e. AAA サーバ グループの設定が終了したら、 exit を入力します。

ステップ 2 ネットワーク上の各 AAA サーバについて、次の手順を実行します。

a. サーバを、所属する AAA サーバ グループを含めて、指定します。これを行うには、次のコマンドを入力します。

hostname/contexta(config)# aaa-server server_group (interface_name) host server_ip
 

aaa-server host コマンドを入力する場合、ホスト モードに移行します。

b. 必要に応じて、ホスト モード コマンドを使用して、さらに AAA サーバを設定します。

ホスト モードでのコマンドはすべての AAA サーバ タイプに適用されるわけではありません。 表10-5 に、使用可能なコマンド、適用先のサーバ タイプ、および新規 AAA サーバ定義にそのコマンドのデフォルト値が指定されているかどうかを示します。コマンドが、指定したサーバ タイプに適用可能で、デフォルト値が用意されていない場合は(「--」で示す)、コマンドを使用して値を指定します。これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

 

表10-5 ホスト モード コマンド、サーバ タイプ、およびデフォルト

コマンド
適用可能な AAA サーバ タイプ
デフォルト値

accounting-port

RADIUS

1646

acl-netmask-convert

RADIUS

標準

authentication-port

RADIUS

1645

kerberos-realm

Kerberos

--

key

RADIUS

--

TACACS+

--

ldap-attribute-map

LDAP

--

ldap-base-dn

LDAP

--

ldap-login-dn

LDAP

--

ldap-login-password

LDAP

--

ldap-naming-attribute

LDAP

--

ldap-over-ssl

LDAP

--

ldap-scope

LDAP

--

nt-auth-domain-controller

NT

--

radius-common-pw

RADIUS

--

retry-interval

Kerberos

10 秒

RADIUS

10 秒

SDI

10 秒

sasl-mechanism

LDAP

--

sdi-pre-5-slave

SDI

--

sdi-version

SDI

sdi-5

server-port

Kerberos

88

LDAP

389

NT

139

SDI

5500

TACACS+

49

server-type

LDAP

auto-discovery

timeout

すべて

10 秒

c. AAA サーバ ホストの設定が終了したら、 exit を入力します。


 

例10-1 に、1 つのプライマリ サーバと 1 つのバックアップ サーバを持つ 1 つの TACACS+ グループ、単一のサーバを持つ 1 つの RADIUS グループ、および 1 つの NT ドメイン サーバを追加するコマンドを示します。

例10-1 複数の AAA サーバ グループおよびサーバ

hostname/contexta(config)# aaa-server AuthInbound protocol tacacs+
hostname/contexta(config-aaa-server-group)# max-failed-attempts 2
hostname/contexta(config-aaa-server-group)# reactivation-mode depletion deadtime 20
hostname/contexta(config-aaa-server-group)# exit
hostname/contexta(config)# aaa-server AuthInbound (inside) host 10.1.1.1
hostname/contexta(config-aaa-server-host)# key TACPlusUauthKey
hostname/contexta(config-aaa-server-host)# exit
hostname/contexta(config)# aaa-server AuthInbound (inside) host 10.1.1.2
hostname/contexta(config-aaa-server-host)# key TACPlusUauthKey2
hostname/contexta(config-aaa-server-host)# exit
hostname/contexta(config)# aaa-server AuthOutbound protocol radius
hostname/contexta(config-aaa-server-group)# exit
hostname/contexta(config)# aaa-server AuthOutbound (inside) host 10.1.1.3
hostname/contexta(config-aaa-server-host)# key RadUauthKey
hostname/contexta(config-aaa-server-host)# exit
hostname/contexta(config)# aaa-server NTAuth protocol nt
hostname/contexta(config-aaa-server-group)# exit
hostname/contexta(config)# aaa-server NTAuth (inside) host 10.1.1.4
hostname/contexta(config-aaa-server-host)# nt-auth-domain-controller primary1
hostname/contexta(config-aaa-server-host)# exit
 

例10-2 に、watchdogs という名前の Kerberos AAA サーバ グループを設定し、AAA サーバをそのグループに追加し、そのサーバの Kerberos 領域を定義するコマンドを示します。例10-2 では、リトライ インターバルと Kerberos サーバがリスンするポートを定義していないため、セキュリティ アプライアンスは、これら 2 つのサーバ固有のパラメータにデフォルト値を使用します。 表10-5 に、すべての AAA サーバ ホスト モード コマンドのデフォルト値を示します。


) Kerberos 領域名には、数字と大文字だけを使用できます。セキュリティ アプライアンスは、領域名の小文字を受け入れますが、小文字から大文字への変換は実行しません。大文字だけを使用するようにしてください。


例10-2 Kerberos サーバ グループおよびサーバ

hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#

証明書とユーザ ログイン クレデンシャルの使用方法

この項では、認証と認可で証明書およびユーザ ログイン クレデンシャル(ユーザ名とパスワード)を使用するさまざまな方法について説明します。この内容は、IPSec と WebVPN の両方に適用されます。

すべての場合において、LDAP 認可では、パスワードはクレデンシャルとして使用されません。RADIUS 認可では、すべてのユーザの共通パスワードかユーザ名のいずれかがパスワードとして使用されます。

ユーザ ログイン クレデンシャルの使用方法

認証と認可のデフォルトの方法では、ユーザ ログイン クレデンシャルが使用されます。

認証

認証サーバ グループ設定によってイネーブル化されます。

ユーザ名とパスワードがクレデンシャルとして使用されます。

認可

認可サーバ グループ設定によってイネーブル化されます。

ユーザ名がクレデンシャルとして使用されます。

証明書の使用方法

ユーザ デジタル証明書が設定されている場合、セキュリティ アプライアンスは最初に証明書を検証します。ただし、証明書の DN は認証用のユーザ名として使用されません。

認証と認可の両方がイネーブルの場合、セキュリティ アプライアンスはユーザの認証と認可の両方にユーザ ログイン クレデンシャルを使用します。

認証

認証サーバ グループ設定によってイネーブル化されます。

ユーザ名とパスワードがクレデンシャルとして使用されます。

認可

認可サーバ グループ設定によってイネーブル化されます。

ユーザ名がクレデンシャルとして使用されます。

認証がディセーブルで認可がイネーブルの場合、セキュリティ アプライアンスは認可にプライマリ DN フィールドを使用します。

認証

認証サーバ グループ設定によって DISABLED(None に設定)されます。

クレデンシャルは使用されません。

認可

認可サーバ グループ設定によってイネーブル化されます。

証明書のプライマリ DN フィールドのユーザ名の値がクレデンシャルとして使用されます。


) プライマリ DN フィールドが証明書に存在しない場合、セキュリティ アプライアンスはセカンダリ DN フィールドの値を認可要求でユーザ名として使用します。


たとえば、次の Subject DN フィールドと値が含まれているユーザ証明書があるとします。

Cn=anyuser,OU=sales;O=XYZCorporation;L=boston;S=mass;C=us;ea=anyuser@example.com .

Primary DN = EA(電子メール アドレス)で、Secondary DN = CN(通常名)である場合、認可要求で使用されるユーザ名は anyuser@example.com となります。