Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/02/26 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

認可および認証用の外部サーバの設定

LDAP、RADIUS、またはローカルの認証および認可の選択

権限およびアトリビュートのポリシー実施の概要

外部 LDAP サーバの設定

LDAP ディレクトリ構造の確認と設定の手順

セキュリティ アプライアンスで使用する LDAP スキーマの構成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

セキュリティ アプライアンスの LDAP スキーマの定義

Cisco -AV-Pair アトリビュートのシンタックス

セキュリティ アプライアンスの認可スキーマの例

LDAP サーバへのスキーマのロード

ユーザ権限の定義

ユーザ ファイルの例

Active Directory の設定の確認

例 1: Microsoft Active Directory を使用した LDAP 認可の設定(ASA/PIX)

例 2: Microsoft Active Directory を使用した LDAP 認可の設定

例 3: Microsoft Active Directory を使用した LDAP 認証および LDAP 認可

外部 RADIUS サーバの設定

RADIUS 設定の手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

認可および認証用の外部サーバの設定

この付録では、セキュリティ アプライアンス、VPN3000、および PIX ユーザを認証および認可するための外部 LDAP サーバまたは RADIUS サーバの設定方法について説明します。認証ではユーザの本人確認を行い、認可ではこのユーザが実行できるアクションを決定します。セキュリティ アプライアンスを設定して外部サーバを使用する前に、このサーバに正しいセキュリティ アプライアンスの認可アトリビュートを設定する必要があります。また、このアトリビュートのサブセットから、特定の権限を個々のユーザに割り当てます。

この付録では、次の項目について説明します。

LDAP、RADIUS、またはローカルの認証および認可の選択

権限およびアトリビュートのポリシー実施の概要

外部 LDAP サーバの設定

外部 RADIUS サーバの設定

LDAP、RADIUS、またはローカルの認証および認可の選択

ユーザのプラットフォームに適した認証および認可が何かを判別するための支援として、この項では、セキュリティ アプライアンス(ASA)、PIX、および VPN 3000 の各プラットフォームに提供されている LDAP および RADIUS のサポートについて説明します。

LDAP 認証

PIX 7.1.x およびセキュリティ アプライアンスでのみサポートされています。VPN 3000 ではネイティブ LDAP 認証はサポートしません。LDAP サーバはユーザ名を取得および検索し、定義されている任意のアトリビュートを権限付与機能の一部として使用します。

LDAP 認可

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされています。LDAP サーバは、ユーザ名を取得および検索し、定義されている任意のアトリビュートを使用します。

RADIUS 認証

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされています。RADIUS サーバはユーザ名を取得および検索し、定義されている任意のアトリビュートを権限付与機能として使用します。

RADIUS 認可

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされています。RADIUS サーバは、ユーザ名を取得および検索し、定義されている任意のアトリビュートを使用します。

ローカル認証

PIX、VPN 3000、およびセキュリティ アプライアンスでサポートされています。ローカルの内部サーバは、ユーザ名を取得および検索し、定義されている任意のアトリビュートを権限付与機能として使用します。

ローカル認可

PIX 7.1.x およびセキュリティ アプライアンスでのみサポートされています。ローカルの内部サーバは、ユーザ名を取得および検索し、定義されている任意のアトリビュートを使用します。

権限およびアトリビュートのポリシー実施の概要

セキュリティ アプライアンスを設定することにより、ローカルまたは内部のデータベース、RADIUS および LDAP の各認証サーバ、または RADIUS または LDAP の各認可サーバからユーザ アトリビュートが受信されるようにできます。また、ユーザにさまざまなアトリビュートを持つグループポリシーを適用することもできます。ただし、ユーザのアトリビュートが常に優先されます。デバイスがユーザとグループ(複数可)を認証すると、セキュリティ アプライアンスがユーザとグループ アトリビュート セットを組み合せて 1 つの集約アトリビュート セットにします。セキュリティ アプライアンスは、次の順序でアトリビュートを使用して、認証済みユーザに集約アトリビュート セットを適用します。

1. ユーザ アトリビュート:ユーザの認証または認可が成功すると、サーバはこれらを返します。このアトリビュートは他のすべてに優先します。

2. グループポリシー アトリビュート:ユーザに関連付けられているグループポリシーのアトリビュートです。ユーザのグループポリシー名は、ローカル データベースの ' vpn-group-policy' アトリビュートで識別するか、外部 RADIUS/LDAP サーバから、'OU=GroupName;' 形式の値 RADIUS CLASS attribute (25) で識別します。グループポリシーはユーザ アトリビュートで不足している任意のアトリビュートを提供します。ユーザ アトリビュートとグループポリシー アトリビュートの両方に値がある場合、ユーザ アトリビュートがグループポリシー アトリビュートを上書きします。

3. トンネルグループの default-group-policy アトリビュート:これらは、トンネルグループに関連付けられている default-group-policy(基本グループ)のアトリビュートです。このグループポリシーを検索後、トンネルグループの default-group-policy は、ユーザ アトリビュートまたはグループポリシーで不足している任意のアトリビュートを提供します。ユーザ アトリビュートとグループポリシー アトリビュートの両方に値がある場合、ユーザ アトリビュートがグループポリシー アトリビュートを上書きします。

4. システムのデフォルト アトリビュート:システムのデフォルト アトリビュートは、ユーザ、グループ、またはトンネルグループの各アトリビュートで不足している任意のアトリビュートを提供します。

外部 LDAP サーバの設定


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目について説明します。

LDAP ディレクトリ構造の確認と設定の手順

セキュリティ アプライアンスで使用する LDAP スキーマの構成

セキュリティ アプライアンスの LDAP スキーマの定義

LDAP サーバへのスキーマのロード

ユーザ権限の定義

Active Directory の設定の確認

LDAP ディレクトリ構造の確認と設定の手順

LDAP サーバは、情報をエントリとしてディレクトリに保存します。LDAP スキーマはこのようなエントリが保存する情報の種類を定義します。スキーマは、クラスと各クラスのオブジェクトに含めることができるアトリビュートのセット(必須およびオプション)を示します。

セキュリティ アプライアンスと相互運用するように LDAP サーバを設定するには、セキュリティ アプライアンス認可スキーマを定義します。セキュリティ アプライアンス認可スキーマでは、セキュリティ アプライアンスでサポートするクラスとそのクラスのアトリビュートを定義します。具体的には、セキュリティ アプライアンスユーザにアクセス時間やプライマリ DNS などの権限を付与するために使用できる、オブジェクト クラス(cVPN3000-User-Authorization)およびそのクラスで可能なすべてのアトリビュートです。各アトリビュートは、アトリビュート名、アトリビュートの番号(オブジェクト ID または OID と呼ばれる)、タイプ、および可能な値で構成されます。

セキュリティ アプライアンス認可スキーマを定義し、これを使用するサーバにロードし終わったら、セキュリティ アプライアンスのアトリビュートと権限、およびサーバの使用が認可される各ユーザに相当する値を定義します。

要約すると、LDAP サーバをセットアップするには、次のように実行します。

ユーザの企業の階層型セットアップに従ってセキュリティ アプライアンス LDAP 認可スキーマを設計する

セキュリティ アプライアンス認可スキーマを定義する

LDAP サーバにスキーマをロードする

LDAP サーバを使用する各ユーザの権限を定義する

使用する LDAP サーバのタイプによって、上記のプロセスの手順が異なります。

セキュリティ アプライアンスで使用する LDAP スキーマの構成

スキーマを実際に作成する前に、自分の会社の構造について検討します。LDAP スキーマは、企業の論理階層が反映されたものにする必要があります。

たとえば、Example Corporation という企業の従業員、Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定し、浅い単一レベルの階層をセットアップすると決定することができます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は、エンジニアリング部門のメンバーであると想定され、この部門は、People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。図E-1 に、マルチレベルの階層の例を示します。

マルチレベル階層はさらに細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図E-1 マルチレベルの LDAP 階層

 

階層の検索

セキュリティ アプライアンスでは、LDAP 階層内での検索を調整することができます。セキュリティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義することができます。これらのフィールドを組み合せて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN には、サーバがセキュリティ アプライアンスから認可要求を受信したときにユーザ情報の検索を開始すべき LDAP の階層を定義します。

Search Scope には、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択することができます。単一レベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute には、LDAP サーバのエントリを一意に識別する Relative Distinguished Name(RDN; 相対識別名)を定義します。一般的な名前アトリビュートは、cn(共通名)および ui(ユーザ ID)です。

図E-1 に、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表E-1 に、2 種類の可能な検索の設定を示します。

最初の設定例では、Terry が必要な LDAP 認可を得て自身の IPSec トンネル接続を確立すると、セキュリティ アプライアンスは、LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して エンジニアリング グループの検索を実行する必要があることを指定します。この検索は短時間でできます。

2 番目の設定例では、セキュリティ アプライアンスは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表E-1 検索設定の例

#
LDAP Base DN
Search Scope
Naming Attribute
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索に時間がかからない

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ユーザの認証要求に Login DN フィールドを付加することにより、自身が認証バインディングされていることを示します。Login DN フィールドには、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理者特権を持つユーザの特性に対応している必要があります。たとえば、次のような Login DN フィールドを定義することができます。cn=Administrator, cn=users, ou=people, dc=example, dc=com

セキュリティ アプライアンスの LDAP スキーマの定義

ユーザ情報の LDAP 階層での構成方法を決定したら、この組織をスキーマとして定義します。スキーマを定義するには、最初に、オブジェクトのクラス名を定義します。セキュリティ アプライアンス ディレクトリのクラス名は、cVPN3000-User-Authorization です。このクラスには、オブジェクト ID(OID)の 1.2.840.113556.1.8000.795.1.1 を持ちます。ディレクトリ内のすべてのエントリまたはユーザは、このクラスのオブジェクトになります。

一部の LDAP サーバ(Microsoft Active Directory LDAP サーバなど)では、定義済みのクラス OID の再利用を許可されません。この場合は、次に大きい OID を使用します。たとえば、クラス名 cVPN3000-Usr-Authorization に誤って 1.2.840.113556.1.8000.795.1.1 という OID を定義した場合、クラス名 cVPN3000-User-Authorization には次の OID である 1.2.840.113556.1.8000.795.1.2 を入力することができます。

Microsoft Active Directory LDAP サーバを使用する場合は、LDAP Data Interchange Format(LDIF)を使用したテキスト フォームでスキーマを定義します。このフォーマットのファイルには、 schema.ldif のように拡張子 .ldif が付きます。他の LDAP サーバでは、グラフィカル ユーザ インターフェイスまたはスクリプト ファイルを使用してオブジェクト クラスとそのアトリビュートを定義します。LDIF の詳細については、RFC -2849 を参照してください。


) • 3 種類すべてのアプライアンスでは、すべての LDAP アトリビュートが cVPN3000-Access-Hours のように cVPN3000 で始まります。

アプライアンスは、数字の ID ではなくアトリビュート名に基づいて LDAP アトリビュートを使用します。一方、RADIUS アトリビュートには、名前ではなく数字の ID が使用されます。

認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。


 

表E-2 に、セキュリティ アプライアンス、PIX Firewall および VPN 3000 の全アトリビュートのリストを示します。

すべての文字列では大文字と小文字が区別され、テーブル内ではアトリビュート名を大文字にする必要があります。用語の一般的な記述方式と矛盾する場合でも、この表記法に従ってください。たとえば、cVPN3000-IETF-RADIUS-Class ではなく、cVPN3000-IETF-Radius-Class を使用します。

 

表E-2 セキュリティ アプライアンスでサポートされる LDAP Cisco スキーマのアトリビュート

アトリビュート名/OID(オブジェクト ID)
VPN 3000
ASA
PIX
アトリビュートOID1
シンタックス/
タイプ
単値
または多値
取り得る値
cVPN3000-Access-Hours
Y
Y
Y
1
文字列
単値

time-range の名前(Business-Hours など)

cVPN3000-Simultaneous-Logins
Y
Y
Y
2
整数
単値

0-2147483647

cVPN3000-Primary-DNS
Y
Y
Y
3
文字列
単値

IP アドレス

cVPN3000-Secondary-DNS
Y
Y
Y
4
文字列
単値

IP アドレス

cVPN3000-Primary-WINS
Y
Y
Y
5
文字列
単値

IP アドレス

cVPN3000-Secondary-WINS
Y
Y
Y
6
文字列
単値

IP アドレス

cVPN3000-SEP-Card-Assignment
7
整数
単値

使用しない

cVPN3000-Tunneling-Protocols

Y

Y

Y

8
整数
単値

1 = PPTP

2 = L2TP

4 = IPSec

8 = L2TP/IPSec

16 = WebVPN

8 と 4 は相互排他値

(0 - 11、16 - 27 は有効値)

cVPN3000-IPSec-Sec-Association

Y

9
文字列
単値

セキュリティ関連の名前

cVPN3000-IPSec-Authentication

Y

10
整数
単値

0 = なし

1 = RADIUS

2 = LDAP(認可のみ)

3 = NT ドメイン

4 = SDI

5 = 内部

6 = RADIUS での Expiry 認証

7 = Kerberos/Active Directory

cVPN3000-IPSec-Banner1

Y

Y

Y

11

文字列

単値

バナー文字列

cVPN3000-IPSec-Allow-Passwd-Store

Y

Y

Y

12

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Use-Client-Address

Y

13

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-PPTP-Encryption

Y

14

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

例:15 = 40/128 ビットで暗号化/ステートレスが必要

cVPN3000-L2TP-Encryption

Y

15

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

5 = 40/128 ビットで暗号化/ステートレスが必要

cVPN3000-IPSec-Split-Tunnel-List

Y

Y

Y

16

文字列

単値

スプリット トンネルの包含リストを表すネットワーク名またはアクセスリストを指定します。

cVPN3000-IPSec-Default-Domain

Y

Y

Y

17

文字列

単値

クライアントに送信する単一のデフォルトのドメイン名(1 ~ 255 文字)を指定します。

cVPN3000-IPSec-Split-DNS-Name

Y

Y

Y

18

文字列

単値

クライアントに送信する単一のセカンダリ ドメイン名(1 ~ 255 文字)のリストを指定します。

cVPN3000-IPSec-Tunnel-Type

Y

Y

Y

19

整数

単値

1 = LAN-to-LAN

2 = リモートアクセス

cVPN3000-IPSec-Mode-Config

Y

Y

Y

20

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-User-Group-Lock

Y

21

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Over-UDP

Y

Y

Y

22

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Over-UDP-Port

Y

Y

Y

23

整数

単値

4001 ~ 49151、デフォルトは 10000

cVPN3000-IPSec-Banner2

Y

Y

Y

24

文字列

単値

バナー文字列

cVPN3000-PPTP-MPPC-Compression

Y

25

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-L2TP-MPPC-Compression

Y

26

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-IP-Compression

Y

Y

Y

27

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-IKE-Peer-ID-Check

Y

Y

Y

28

整数

単値

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

cVPN3000-IKE-Keep-Alives

Y

Y

Y

29

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Auth-On-Rekey

Y

Y

Y

30

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Required-Client- Firewall-Vendor-Code

Y

Y

Y

31

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

cVPN3000-Required-Client-Firewall- Product-Code

Y

Y

Y

32

整数

単値

シスコシステムズの製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs の製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE の製品:

1 = BlackIce Defender/Agent

Sygate の製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

cVPN3000-Required-Client-Firewall- Description

Y

Y

Y

33

文字列

単値

文字列

cVPN3000-Require-Individual-User-Auth

Y

Y

Y

34

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Require-HW-Client-Auth

Y

Y

Y

35

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Authenticated-User-Idle- Timeout

Y

Y

Y

36

整数

単値

1 ~ 35791394 分

cVPN3000-Cisco-IP-Phone-Bypass

Y

Y

Y

37

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IPSec-Split-Tunneling-Policy

Y

Y

Y

38

整数

単値

0 = すべてをトンネリング

1 = スプリット トンネリング

2 = ローカル LAN を許可

cVPN3000-IPSec-Required-Client-Firewall-Capability

Y

Y

Y

39

整数

単値

0 = なし

1 = リモート FW Are-You-There (AYT) で定義されているポリシー

2 = Policy Pushed CPP

4 = サーバからのポリシー

cVPN3000-IPSec-Client-Firewall-Filter- Name

Y

40

文字列

単値

ファイアウォール ポリシーとしてクライアントに配信が必要なフィルタの名前を指定します。

cVPN3000-IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

41

整数

単値

0 = 必須

1 = オプション

cVPN3000-IPSec-Backup-Servers

Y

Y

Y

42

文字列

単値

1 = Client-Configured リストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

cVPN3000-IPSec-Backup-Server-List

Y

Y

Y

43

文字列

単値

サーバ アドレス(スペースで区切る)

cVPN3000-Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

44

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-MS-Client-Subnet-Mask

Y

Y

Y

45

文字列

単値

IP アドレス

cVPN3000-Allow-Network-Extension- Mode

Y

Y

Y

46

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Strip-Realm

Y

Y

Y

47

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-Cisco-AV-Pair

Y

Y

Y

48

文字列

多値

次の形式のオクテット文字列

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、「 Cisco -AV-Pair アトリビュートのシンタックス」を参照してください。

cVPN3000-User-Auth-Server-Name

Y

49

文字列

単値

IP アドレスまたはホスト名

cVPN3000-User-Auth-Server-Port

Y

50

整数

単値

サーバ プロトコルのポート番号

cVPN3000-User-Auth-Server-Secret

Y

51

文字列

単値

サーバのパスワード

cVPN3000-Confidence-Interval

Y

Y

Y

52

整数

単値

10 ~ 300 秒

cVPN3000-Cisco-LEAP-Bypass

Y

Y

Y

53

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-DHCP-Network-Scope

Y

Y

Y

54

文字列

単値

IP アドレス

cVPN3000-Client-Type-Version-Limiting

Y

Y

Y

55

文字列

単値

IPsec VPN クライアントのバージョン番号を示す文字列

cVPN3000-WebVPN-Content-Filter- Parameters

Y

Y

56

整数

単値

1 = Java および ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージのクッキー

複数のパラメータをフィルタリングするには、上記の値を加算します。たとえば、Java スクリプトとクッキーの両方をフィルタリングするには、10 と入力します。 (10 = 2 + 8)

cVPN3000-WebVPN-Enable-functions

57

整数

単値

未使用 - 推奨しない

cVPN3000-WebVPN-Exchange-Server- Address

58

文字列

単値

未使用 - 推奨しない

cVPN3000-WebVPN-Exchange-Server- NETBIOS-Name

59

文字列

単値

未使用 - 推奨しない

cVPN3000-Port-Forwarding-Name

Y

Y

60

文字列

単値

名前を示す文字列("Corporate-Apps" など)

cVPN3000-IETF-Radius-Framed-IP- Address

Y

Y

Y

61

文字列

単値

IP アドレス

cVPN3000-IETF-Radius-Framed-IP- Netmask

Y

Y

Y

62

文字列

単値

IP アドレス

cVPN3000-IETF-Radius-Session-Timeout

Y

Y

Y

63

整数

単値

1 ~ 35791394 分

0 = 制限なし

cVPN3000-IETF-Radius-Idle-Timeout

Y

Y

Y

64

整数

単値

1 ~ 35791394 分

0 = 制限なし

cVPN3000-IETF-Radius-Class

Y

Y

Y

65

文字列

単値

グループ名を示す文字列。次の 3 種類のうちいずれかの形式を使用します。

OU=Engineering

OU=Engineering;

Engineering

cVPN3000-IETF-Radius-Filter-Id

Y

Y

Y

66

文字列

単値

アクセスリスト

cVPN3000-Authorization-Required

Y

67

整数

単値

0 = No

1 = Yes

cVPN3000-Authorization-Type

Y

68

整数

単値

0 = なし

1 = RADIUS

2 = LDAP

cVPN3000-DN-Field

Y

Y

Y

69

文字列

単値

取り得る値: UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name。

cVPN3000-WebVPN-URL-List

Y

70

文字列

単値

URL リスト名

cVPN3000-WebVPN-Forwarded-Ports

Y

71

文字列

単値

ポート転送リスト名

cVPN3000-WebVPN-ACL-Filters

Y

72

文字列

単値

アクセスリスト名

cVPN3000-WebVPN-Homepage

Y

Y

73

文字列

単値

http://example-portal.com などの URL

cVPN3000-WebVPN-Single-Sign-On- Server-Name

Y

74

文字列

単値

SSO サーバの名前(1 ~ 31 文字)

cVPN3000-WebVPN-URL-Entry-Enable

Y

Y

75

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Access-Enable

Y

Y

76

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Server-Entry- Enable

Y

Y

77

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-File-Server-Browsing-Enable

Y

Y

78

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Enable

Y

Y

79

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

80

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

81

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

82

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Citrix-Support-
Enable

Y

Y

83

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-Apply-ACL-Enable

Y

Y

84

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Enable

Y

Y

85

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Required-
Enable

Y

Y

86

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-WebVPN-SVC-Keep-Enable

Y

Y

87

整数

単値

0 = ディセーブル

1 = イネーブル

cVPN3000-IE-Proxy-Server

Y

88

文字列

単値

IP アドレス

cVPN3000-IE-Proxy-Method

Y

89

整数

単値

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = その他

cVPN3000-IE-Proxy-Exception-List

Y

90

文字列

単値

改行(\n)で区切られた DNS ドメインのリスト

cVPN3000-IE-Proxy-Bypass-Local

Y

91

整数

単値

0 = なし

1 =ローカル

cVPN3000-Tunnel-Group-Lock

Y

Y

92

文字列

単値

トンネルグループの名前または「none」

cVPN3000-Firewall-ACL-In

Y

Y

93

文字列

単値

アクセスリストの ID

cVPN3000-Firewall-ACL-Out

Y

Y

94

文字列

単値

アクセスリストの ID

cVPN3000-PFS-Required

Y

Y

Y

95

ブーリアン

単値

0 = No

1 = Yes

cVPN3000-WebVPN-SVC-Keepalive

Y

Y

96

整数

単値

0 = ディセーブル

n = キープアライブ値(15 ~ 600 秒)

cVPN3000-WebVPN-SVC-Client-DPD

Y

Y

97

整数

単値

0 = ディセーブル

n = デッド ピア検知値(30 ~ 3600 秒)

cVPN3000-WebVPN-SVC-Gateway-DPD

Y

Y

98

整数

単値

0 = ディセーブル

n = デッド ピア検知値(30 ~ 3600 秒)

cVPN3000-WebVPN-SVC-Rekey-Period

Y

Y

99

整数

単値

0 = ディセーブル

n = リトライ間隔(4 ~ 10080 分)

cVPN3000-WebVPN-SVC-Rekey-Method

Y

Y

100

整数

単値

0 = なし

1 = SSL

2 = 新規トンネル

3 = 任意(SSL に設定)

cVPN3000-WebVPN-SVC-Compression

Y

Y

101

整数

単値

0 = なし

1 = デフレート圧縮

1.各アトリビュートの完全なオブジェクト ID を取得するには、1.2.840.113556.8000.795.2 の最後にこのカラムの数字を追加します。すなわち、テーブルの最初のアトリビュートの cVPN3000-Access-Hours の OID は、1.2.840.113556.8000.795.2.1 です。同様に、テーブルの最後のアトリビュートである cVPN3000-WebVPN-SVC-Compression の OID は、1.2.840.113556.8000.795.2.115 になります。

Cisco -AV-Pair アトリビュートのシンタックス

各 Cisco-AV-Pair ルールのシンタックスは次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] :

 

フィールド
説明

Prefix

AV ペアの固有の識別子。たとえば、 ip:inacl#1= (標準 ACL で使用)または webpn:inacl# (WebVPN ACL で使用)。このフィールドが表示されるのは、フィルタが AV ペアとして送信されている場合です。

Action

ルールが一致した場合に実行するアクション:deny、permit。

Protocol

IP プロトコルを示す番号またはその名前。0 ~ 255 の整数値、またはキーワード:icmp、igmp、ip、tcp、udp。

Source

パケットの送信元のネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合には、下記の Source Wildcard Mask も続けて指定する必要があります。

Source Wildcard Mask

ソース アドレスに適用されるワイルドカード マスク。

Destination

パケットの送信先のネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを指定する場合には、下記の Destination Wildcard Mask も続けて指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP ポート番号または UDP ポート番号(0 ~ 65535)。

次の例を参考にしてください。

ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log
 
webvpn:inacl#1=permit url http://www.cnn.com
webvpn:inacl#2=deny smtp any host 10.1.3.5
webvpn:inacl#3=permit url cifs://mar_server/peopleshare1
 

) • リモートの IPsec および SSL VPN クライアント(SVC)トンネルの場合、Cisco-AV ペア エントリにプレフィックス ip:inacl# を付けて ACL を使用してください。

WebVPN クライアントレス(ブラウザモード)のトンネルの場合、Cisco-AV ペア エントリにプレフィックス webpn:inacl# を付けて ACL を使用してください。


 

表E-3 では、Cisco-AV-Pair アトリビュートのトークンをリストで示します。

 

表E-3 セキュリティ アプライアンスでサポートするトークン

トークン
シンタックスのフィールド
説明

ip:inacl# Num =

なし(識別子)

Num は一意の整数。)AV ペアによるアクセス コントロール リストをすべて開始します。リモート IPSec および SSL VPN (SVC) トンネルに強制的に ACL を適用します。

webvpn:inacl# Num =

なし(識別子)

Num は一意の整数。)WebVPN AV ペアによるアクセス コントロール リストをすべて開始します。WebVPN クライアントレス(ブラウザモード)トンネルに強制的に ACL を適用します。

deny

Action

アクションを拒否します(デフォルト)。

permit

Action

アクションを許可します。

icmp

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

1

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

IP

Protocol

Internet Protocol(IP; インターネット プロトコル)。

0

Protocol

Internet Protocol(IP; インターネット プロトコル)。

TCP

Protocol

Transmission Control Protocol (TCP; 伝送制御プロトコル)。

6

Protocol

Transmission Control Protocol (TCP; 伝送制御プロトコル)。

UDP

Protocol

User Datagram Protocol (UDP; ユーザ データグラム プロトコル)。

17

Protocol

User Datagram Protocol (UDP; ユーザ データグラム プロトコル)。

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字による文字列。

log

Log

イベントが該当すると、フィルタ ログ メッセージが表示されます。(イベント許可または拒否によるログに記録と同様)。

lt

Operator

指定された値より小さい

gt

Operator

指定された値より大きい

eq

Operator

指定された値と等しい

neq

Operator

指定された値と等しくない

range

Operator

含まれる値の範囲。range の後に、2 つの値が続きます。

セキュリティ アプライアンスの認可スキーマの例

この項では、LDAP スキーマの例を示します。このスキーマは、セキュリティ アプライアンスのクラスとアトリビュートをサポートしています。このスキーマは、Microsoft Active Directory LDAP サーバに固有です。ユーザ自身の LDAP サーバのスキーマを定義するために、 表E-2 をモデルとして使用してください。

Schema 3k_schema.ldif

dn: CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Access-Hours
attributeID: 1.2.840.113556.1.8000.795.2.1
attributeSyntax: 2.5.5.3
cn: cVPN3000-Access-Hours
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Access-Hours
distinguishedName:
CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: attributeSchema
oMSyntax: 27
name: cVPN3000-Access-Hours
showInAdvancedViewOnly: TRUE
 
.....
.... (define subsequent security appliance authorization attributes here)
....
 
 
dn: CN=cVPN3000-Primary-DNS,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Primary-DNS
attributeID: 1.2.840.113556.1.8000.795.2.3
attributeSyntax: 2.5.5.3
cn: cVPN3000-Primary-DNS
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Primary-DNS
distinguishedName:
CN=cVPN3000-Primary-DNS,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: attributeSchema
oMSyntax: 27
name: cVPN3000-Primary-DNS
showInAdvancedViewOnly: TRUE
 
.....
.... (define subsequent security appliance authorization attributes here)
....
 
dn: CN=cVPN3000-Confidence-Interval,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-Confidence-Interval
attributeID: 1.2.840.113556.1.8000.795.2.52
attributeSyntax: 2.5.5.9
cn: cVPN3000-Confidence-Interval
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: cVPN3000-Confidence-Interval
distinguishedName:
CN=cVPN3000-Confidence-Interval,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
 
dn: CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
changetype: add
adminDisplayName: cVPN3000-User-Authorization
adminDescription: Cisco Class Schema
cn: cVPN3000-User-Authorization
defaultObjectCategory:
CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
defaultSecurityDescriptor:
D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
governsID: 1.2.840.113556.1.8000.795.1.1
instanceType: 4
lDAPDisplayName: cVPN3000-User-Authorization
 
mustContain: cn
mayContain: cVPN3000-Access-Hours
mayContain: cVPN3000-Simultaneous-Logins
mayContain: cVPN3000-Primary-DNS
...
mayContain: cVPN3000-Confidence-Interval
mayContain: cVPN3000-Cisco-LEAP-Bypass
 
distinguishedName:
CN=cVPN3000-User-Authorization,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectCategory:
CN=Class-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=com
objectClass: classSchema
objectClassCategory: 1
possSuperiors: organizationalUnit
name: cVPN3000-User-Authorization
rDNAttID: cn
showInAdvancedViewOnly: TRUE
subClassOf: top
systemOnly: FALSE
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
systemOnly: FALSE
 
DN:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

LDAP サーバへのスキーマのロード


) この項の手順は、Microsoft Active Directory LDAP サーバに固有のものです。別のタイプのサーバを使用している場合、スキーマをロードするときの詳細についてはサーバのマニュアルを参照してください。


LDAP サーバ上にスキーマをロードするには、スキーマ ファイルが常駐しているディレクトリから ldifde -i -f Schema Name とコマンドを入力します。 例:ldifde -i -f 3k_schema.ldif

ユーザ権限の定義


) この項の手順は、Microsoft Active Directory LDAP サーバに固有のものです。別のタイプのサーバを使用している場合は、サーバのマニュアルを参照してユーザのアトリビュートを定義およびロードしてください。


LDAP サーバへのユーザの認可については、ユーザ ファイルを定義します。ユーザ ファイルは、すべてのセキュリティ アプライアンスのアトリビュートおよび特定のユーザに関連付けられている値を定義します。各ユーザは、クラス cVPN3000-User-Authorization のオブジェクトです。ユーザ ファイルを定義するには、テキスト エディタを使用しますファイルの拡張子は .ldif にします(ユーザ ファイルの例については、 Robin.ldif を参照してください)。

LDAP サーバ上にユーザ ファイルをロードするには、 ldap_user .ldif ファイルが常駐しているディレクトリで、 ldifde -i -f ldap_user.ldif とコマンドを入力します。 例: ldifde -i -f Robin.ldif

スキーマとユーザ ファイルの両方を作成してロードすると、LDAP サーバは、セキュリティ アプライアンスの認可要求を処理することができるようになります。

ユーザ ファイルの例

この項では、ユーザ Robin に対するユーザ ファイルの例について説明します。

Robin.ldif

dn: cn=Robin,OU=People,DC=ExampleCorporation,DC=com
changetype: add
cn: Robin
CVPN3000-Access-Hours: Corporate_time
cVPN3000-Simultaneous-Logins: 2
cVPN3000-IPSec-Over-UDP: TRUE
CVPN3000-IPSec-Over-UDP-Port: 12125
cVPN3000-IPSec-Banner1: Welcome to the Example Corporation!!!
cVPN3000-IPSec-Banner2: Unauthorized access is prohibited!!!!!
cVPN3000-Primary-DNS: 10.10.4.5
CVPN3000-Secondary-DNS: 10.11.12.7
CVPN3000-Primary-WINS: 10.20.1.44
CVPN3000-SEP-Card-Assignment: 1
CVPN3000-IPSec-Tunnel-Type: 2
CVPN3000-Tunneling-Protocols: 7
cVPN3000-Confidence-Interval: 300
cVPN3000-IPSec-Allow-Passwd-Store: TRUE
objectClass: cVPN3000-User-Authorization
 

Active Directory の設定の確認

この項では、Microsoft Active Directory サーバを使用するセキュリティ アプライアンスで認証および認可を設定する手順について説明します。次の項目について説明します。

例 1: Microsoft Active Directory を使用した LDAP 認可の設定(ASA/PIX)

例 2: Microsoft Active Directory を使用した LDAP 認可の設定

例 3: Microsoft Active Directory を使用した LDAP 認証および LDAP 認可

例 1: Microsoft Active Directory を使用した LDAP 認可の設定(ASA/PIX)

この例では、SDI を使用した認証の手順、および LDAP と Microsoft Active Directory(AD)を使用した認可の手順について示します。このサンプル手順を実行するには、次の手順を実行します。


ステップ 1 LDIF ファイルを使用して、Microsoft AD データベースに cVPN3000-User-Authorization レコードを作成します。このレコードには、ユーザの Cisco VPN 認可アトリビュートが含まれています。


) Cisco TAC に問い合せて、Cisco VPN アトリビュート用の Microsoft AD LDAP スキーマを入手します。


ステップ 2 新規レコードを確認するには、 Start > Settings > Control Panel > Administrative Tools > Active Directory Users and Computers の順にクリックします。

図E-2 に示すように、Active Directory Users and Computers ウィンドウが表示されます。

図E-2 Active Directory Users and Computers ウィンドウ

 

ステップ 3 セキュリティ アプライアンスで、LDAP サーバ用の aaa-server レコードを作成します。例では、これらの認可レコードは Franklin-Altiga フォルダに保存されます。ここで必要な手順は、次のコマンドで示すとおりです。

hostname(config)# aaa-server ldap-authorize-grp protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authorize-grp host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn ou=Franklin-Altiga,dc=frdevtestad, dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-attribute-map LdapSvrName
hostname(config-aaa-server-host)#
 

ステップ 4 次のコマンド例のとおりに実行して、SDI 認証および LDAP 認可を指定するトンネルグループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra
hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes
hostname(config)# authentication-server-group sdi-group
hostname(config)# authorization-server-group ldap-authorize-group
hostname(config)#

) この例では、sdi-group の設定は示していません。


例 2: Microsoft Active Directory を使用した LDAP 認可の設定

この例では、Microsoft Active Directory を使用した LDAP 認証の手順について例を示します。伝送中のユーザ クレデンシャルを確保するため、この手順では、SSL 接続を介して LDAP ディレクトリとのメッセージ交換を行うようにセキュリティ アプライアンスを設定します。また、ユーザに割り当てられるグループポリシーとしての Microsoft AD ユーザ レコードの部署アトリビュートを解釈するようにもセキュリティ アプライアンスを設定します。このグループの認可アトリビュートは RADIUS サーバから取得します。

図E-3 の Active Directory Users and Computers ウィンドウに表示されている Users フォルダをクリックすると、ユーザ レコードを確認できます。

図E-3 Users フォルダが表示された Active Directory Users and Computers ウィンドウ

 

特定のユーザ アトリビュートや値を確認するには、ユーザ名を右クリックしてから Properties をクリックします。図E-4 に、ユーザ名のプロパティ ダイアログボックスを示します。

図E-4 ユーザ名の プロパティ ダイアログボックス

 


) 部署アトリビュートは、Active Directory Users and Computers ウィンドウの Organization タブで設定されています。


この例のとおりに設定するには、セキュリティ アプライアンスで次の手順を実行します。


ステップ 1 LDAP 認証サーバ用の aaa-server レコードを作成し、ldap-base-dn を使用して、Active Directory ユーザ レコードの検索場所を次のコマンド例のとおりに指定します。

hostname(config)# aaa-server ldap-authenticate-grp protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authenticate-grp host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn cn=Users,dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#
 

ステップ 2 次のコマンド例のとおりに実行して、AD アトリビュート department をシスコのアトリビュート cVPN3000-IETF-Radius-Class にマッピングするための LDAP マッピング テーブルを作成します。

hostname(config)# ldap attribute-map ActiveDirectoryMapTable
hostname(config-ldap-attribute-map)# map-name department cVPN3000-IETF-Radius-Class
hostname(config-ldap-attribute-map)#

ステップ 3 次のコマンド例のとおりに実行して、LDAP アトリビュート マップの名前を設定します。

hostname(config-aaa-server-host)# ldap-attribute-map ActiveDirectoryMapTable
hostname(config-aaa-server-host)#
 

ステップ 4 セキュアな LDAP 接続を次のように指定します。

hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#
 

ステップ 5 グループ名と RADIUS サーバとを関連付ける外部グループポリシーを作成します。例では、次のコマンドで示すように、ユーザはグループ Engineering に関連付けられます。

hostname(config-aaa-server-host)# group-policy Engineering external server-group radius-group password anypassword
hostname(config-aaa-server-host)#
 

ステップ 6 次のコマンド例のとおりに実行して、LDAP 認証を指定するトンネルグループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra
hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes
hostname(config-tunnel-general)# authentication-server-group ldap-authenticate-grp
hostname(config-tunnel-general)#

) この例では、radius-group の設定は示していません。


例 3: Microsoft Active Directory を使用した LDAP 認証および LDAP 認可

この例では、LDAP と Microsoft Active Directory を使用して、認証と認可の両方を設定する手順を示します。Microsoft ユーザ レコードでは、部署アトリビュートはユーザの group-name として解釈されます。この group-name の認可アトリビュートは Active Directory サーバから取得します。

部署アトリビュートは、図E-5 に示すように、Active Directory Users and Computers ウィンドウの Organization タブで設定されます。

図E-5 Active Directory Users and Computer ダイアログの Organiztion タブ

 

 

この例のとおりに設定するには、セキュリティ アプライアンスで次の手順を実行します。


ステップ 1 次のコマンド例のとおりに実行して、Active Directory アトリビュート department をシスコのアトリビュート cVPN3000-IETF-Radius-Class にマッピングするための LDAP マッピング テーブルを作成します。

hostname(config)# ldap attribute-map ActiveDirectoryMapTable
hostname(config-ldap-attribute-map)# map-name department cVPN3000-IETF-Radius-Class
 

ステップ 2 LDAP 認証サーバ用の aaa-server レコードを作成し、ldap-base-dn を使用して、Active Directory ユーザ レコードの検索場所を次のコマンド例のとおりに指定します。

hostname(config)# aaa-server ldap-authenticate protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap-authenticate host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn cn=Users,dc=frdevtestad,dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#
 

ステップ 3 次のコマンド例のとおりに実行して、LDAP アトリビュート マップの名前を設定します。

hostname(config-aaa-server-host)# ldap-attribute-map ActiveDirectoryMapTable
hostname(config-aaa-server-host)#
 

ステップ 4 セキュアな LDAP 接続を次のように指定します。

hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#
 

ステップ 5 LDAP 認可を設定するための aaa-server レコードを作成し、ldap-base-dn を使用して、シスコのcVPN3000-User-Authorization レコードの検索場所を次のコマンド例のとおりに指定します。

hostname(config-aaa-server-host)# aaa-server ldap-authorize protocol ldap
hostname(config-aaa-server-host)# aaa-server ldap-authorize host 10.1.1.4
hostname(config-aaa-server-host)# ldap-base-dn ou=Franklin-Altiga,dc=frdevtestad, dc=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# ldap-login-password anypassword
hostname(config-aaa-server-host)# ldap-login-dn cn=Administrator,cn=Users, dc=frdevtestad,dc=local
hostname(config-aaa-server-host)#
 

ステップ 6 group-name と LDAP 認可サーバとを関連付ける外部グループポリシーを作成します。次のコマンドで示すように、ユーザはグループ Engineering に関連付けられます。

hostname(config-aaa-server-host)# group-policy engineering external server-group ldap-authorize
hostname(config-aaa-server-host)#
 

ステップ 7 次のコマンド例のとおりに実行して、LDAP 認証を指定するトンネルグループを作成します。

hostname(config)# tunnel-group ipsec-tunnelgroup type ipsec-ra
hostname(config)# tunnel-group ipsec-tunnelgroup general-attributes
hostname(config-tunnel-general)# authentication-server-group ldap-authenticate
hostname(config-tunnel-general)#
 


 

外部 RADIUS サーバの設定

この項では、RADIUS を設定する手順の概要を示し、Cisco RADIUS アトリビュートを定義します。次の項目について説明します。

RADIUS 設定の手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

RADIUS 設定の手順の確認

この項では、セキュリティ アプライアンスのユーザの認証および認可をサポートするために必要な RADIUS 設定の手順を示します。次の手順に従って、セキュリティ アプライアンスと相互作用する RADIUS サーバをセットアップします。


ステップ 1 セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリビュートをロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバにはこれらのアトリビュートがすでに統合されています。この場合は、この手順を省略できます。

FUNK RADIUS サーバを使用している場合:シスコでは、セキュリティ アプライアンスのアトリビュートがすべて含まれているディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):セキュリティ アプライアンスの各アトリビュートを手作業で定義する必要があります。アトリビュートを定義するには、アトリビュート名または番号、タイプ、値、ベンダー コード(3076)が必要です。セキュリティ アプライアンス RADIUS 認可アトリビュートと値のリストについては、 表E-4 を参照してください。

ステップ 2 権限のあるユーザまたはグループをセットアップし、IPSec/WebVPN トンネル確立時に送信します。権限またはアトリビュートには、アクセス時間、プライマリ DNS、バナーなどが含まれていることがあります。


 

セキュリティ アプライアンスの RADIUS 認可アトリビュート


) 認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。


表E-4 は、ユーザ認可に使用可能で、セキュリティ アプライアンス対応の取り得るすべてのアトリビュートをリスト表示したものです。

 

表E-4 セキュリティ アプライアンスがサポートしている RADIUS のアトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート番号 #
シンタックス/
タイプ
単値
または多値
単値または多値

Access-Hours

Y

Y

Y

1

文字列

単値

時間の範囲の名前。
例: Business-hours

Simultaneous-Logins

Y

Y

Y

2

整数

単値

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

単値

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

単値

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

単値

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

単値

IP アドレス

SEP-Card-Assignment

9

整数

単値

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

単値

1 = PPTP

2 = L2TP

4 = IPSec

8 = L2TP/IPSec

16 = WebVPN

4 と 8 は相互排他値(0-11、16-27 は有効値)

IPSec-Sec-Association

Y

12

文字列

単値

セキュリティ関連の名前

IPSec-Authentication

Y

13

整数

単値

0 = なし

1 = RADIUS

2 = LDAP (認可のみ)

3 = NT ドメイン

4 = SDI

5 = 内部

6 = RADIUS での Expiry 認証

7 = Kerberos/Active Directory

IPSec-Banner1

Y

Y

Y

15

文字列

単値

バナー文字列

IPSec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

PPTP-Encryption

Y

20

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

例:15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

単値

ビットマップ:

1 = 暗号化が必要

2 = 40 ビット

4 = 128 ビット

8 = ステートレスが必要

5 = 40/128 ビットで暗号化/ステートレスが必要

IPSec-Split-Tunnel-List

Y

Y

Y

27

文字列

単値

スプリット トンネルの包含リストを表すネットワークおよびアクセスリストを指定します。

IPSec-Default-Domain

Y

Y

Y

28

文字列

単値

クライアントに送信する単一のデフォルトのドメイン名(1 ~ 255 文字)を指定します

IPSec-Split-DNS-Names

Y

Y

Y

29

文字列

単値

クライアントに送信する単一のセカンダリ ドメイン名(1 ~ 255 文字)のリストを指定します

IPSec-Tunnel-Type

Y

Y

Y

30

整数

単値

1 = LAN-to-LAN

2 = リモートアクセス

IPSec-Mode-Config

Y

Y

Y

31

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

34

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

35

整数

単値

4001 ~ 49151、デフォルトは 10000

IPSec-Banner2

Y

Y

Y

36

文字列

単値

バナー文字列

PPTP-MPPC-Compression

Y

37

整数

単値

0 = ディセーブル

1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-IP-Compression

Y

Y

Y

39

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

単値

1 = 必須

2 = ピア証明書でサポートされる場合

3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

IPSec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)

2 = Zone Labs

3 = NetworkICE

4 = Sygate

5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

単値

シスコシステムズの製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs の製品:

1 = Zone Alarm

2 = Zone AlarmPro

3 = Zone Labs Integrity

NetworkICE の製品:

1 = BlackIce Defender/Agent

Sygate の製品:

1 = Personal Firewall

2 = Personal Firewall Pro

3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

単値

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

単値

0 = ディセーブル

1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

単値

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

単値

0 = ディセーブル

1 = イネーブル

IPSec-Split-Tunneling-Policy

Y

Y

Y

55

整数

単値

0 = スプリット トンネリングなし

1 = スプリット トンネリング

2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

単値

0 = なし

1 = リモート FW Are-You-

There (AYT) で定義されているポリシー

2 = Policy Pushed CPP

4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

単値

ファイアウォール ポリシーとしてクライアントに配信が必要なフィルタの名前を指定します

IPSec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

単値

0 = 必須

1 = オプション

IPSec-Backup-Servers

Y

Y

Y

59

文字列

単値

1 = Client-Configured リストを使用する

2 = クライアント リストをディセーブルにして消去する

3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y

Y

Y

60

文字列

単値

サーバ アドレス(スペースで区切る)

DHCP-Network-Scope

Y

Y

Y

61

文字列

単値

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

単値

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

単値

0 = ディセーブル

1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

単値

0 = なし

1 = RADIUS

2 = LDAP

Authorization-Required

Y

66

整数

単値

0 = No

1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

単値

取り得る値: UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

単値

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

単値

1 = Java ActiveX

2 = Java スクリプト

4 = イメージ

8 = イメージのクッキー

WebVPN-URL-List

Y

71

文字列

単値

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

単値

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

単値

アクセスリスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

単値

http://example-portal.com などの URL

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

単値

IPsec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

単値

文字列による名前("Corporate-Apps" など)。

このテキストは WebVPN ホームページ上のデフォルトの文字列「Application Access」を置き換えます。

IE-Proxy-Server

Y

80

文字列

単値

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

単値

1 = 変更なし

2 = プロキシなし

3 = 自動検出

4 = コンセントレータの設定を使用

IE-Proxy-Exception-List

Y

82

文字列

単値

改行(\n)で区切られた DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

単値

0 = なし

1 =ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

単値

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

単値

トンネルグループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

単値

アクセスリストの ID

Access-List-Outbound

Y

Y

87

文字列

単値

アクセスリストの ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

単値

0 = No

1 = Yes

NAC-Enable

Y

89

整数

0 = No

1 = Yes

NAC-Status-Query-Timer

Y

90

整数

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセスリスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

単値

0 = ディセーブル

1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

単値

0 = ディセーブル

1 = イネーブル

Strip-Realm

Y

Y

Y

135

ブーリアン

単値

0 = ディセーブル

1 = イネーブル


) RADIUS アトリビュート名には、VPN 3000、PIX、および ASA の 3 種類すべてのセキュリティ アプライアンスのサポートをよりよく反映するために、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS のアトリビュート名にはまだ VPN3000 プレフィックスが含まれています。アプライアンスは、アトリビュート名ではなく数字のアトリビュート ID に基づいて、RADIUS アトリビュートを使用します。LDAP アトリビュートは、ID ではなくアトリビュート名で使用します。