Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
アイデンティティ ファイアウォールの設定
アイデンティティ ファイアウォールの設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

アイデンティティ ファイアウォールの設定

アイデンティティ ファイアウォールに関する情報

アイデンティティ ファイアウォールの概要

アイデンティティ ファイアウォールの展開アーキテクチャ

アイデンティティ ファイアウォールの特徴

展開シナリオ

カットスルー プロキシ認証と VPN 認証

アイデンティティ ファイアウォールのライセンス

ガイドラインと制限事項

前提条件

アイデンティティ ファイアウォールの設定

アイデンティティ ファイアウォールの設定のタスク フロー

Active Directory ドメインの設定

Active Directory エージェントの設定

アイデンティティ オプションの設定

アイデンティティに基づくアクセス ルールの設定

カットスルー プロキシ認証のサポート

VPN 認証の設定

アイデンティティ ファイアウォールのモニタリング

AD エージェントのモニタリング

グループのモニタリング

アイデンティティ ファイアウォールのメモリ使用率のモニタリング

アイデンティティ ファイアウォールのユーザのモニタリング

アイデンティティ ファイアウォールの機能履歴

アイデンティティ ファイアウォールの設定

この章では、アイデンティティ ファイアウォール向けに ASA を設定する方法について説明します。この章は、次の項目を取り上げます。

「アイデンティティ ファイアウォールに関する情報」

「アイデンティティ ファイアウォールのライセンス」

「ガイドラインと制限事項」

「前提条件」

「アイデンティティ ファイアウォールの設定」

「アイデンティティ ファイアウォールのモニタリング」

「アイデンティティ ファイアウォールの機能履歴」

アイデンティティ ファイアウォールに関する情報

この項は、次の内容で構成されています。

「アイデンティティ ファイアウォールの概要」

「アイデンティティ ファイアウォールの展開アーキテクチャ」

「アイデンティティ ファイアウォールの特徴」

「展開シナリオ」

「カットスルー プロキシ認証と VPN 認証」

アイデンティティ ファイアウォールの概要

企業では、多くの場合、ユーザが 1 つ以上のサーバ リソースにアクセスする必要があります。一般に、ファイアウォールはユーザのアイデンティティを認識していないため、アイデンティティに基づくセキュリティ ポリシーを適用することはできません。ユーザごとのアクセス ポリシーを設定するには、ユーザの操作(ユーザ名とパスワードの入力)を必要とするユーザ認証プロキシを設定する必要があります。

ASA のアイデンティティ ファイアウォールでは、ユーザのアイデンティティに基づく細分性の高いアクセス コントロールが可能です。送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールとセキュリティ ポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントと連携する Microsoft Active Directory と統合されます。ASA は、Windows Active Directory から特定の IP アドレスに対応する現在のユーザ アイデンティティ情報を取得します。これにより、Active Directory ユーザのトランスペアレントな認証が可能となります。

アイデンティティに基づくファイアウォール サービスにより、送信元 IP アドレスの代わりにユーザまたはグループを指定できるため、既存のアクセス コントロールおよびセキュリティ ポリシー メカニズムが強化されます。IP アドレスに基づく従来のアクセス ルールの間にアイデンティティに基づくセキュリティ ポリシーを無制限に挿入できます。

アイデンティティ ファイアウォールの主な利点を次に示します。

セキュリティ ポリシーからネットワーク トポロジを分離

セキュリティ ポリシーの作成が容易

ネットワーク リソースに対するユーザ アクティビティを容易に検出可能

ユーザ アクティビティ モニタリングが容易

アイデンティティ ファイアウォールの展開アーキテクチャ

アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントとの連携により、Microsoft Active Directory と統合されます。

アイデンティティ ファイアウォールは次の 3 つのコンポーネントで構成されます。

ASA

Microsoft Active Directory

Active Directory は ASA 上のアイデンティティ ファイアウォールの一部ですが、Active Directory 管理者によって管理されます。データの信頼性や精度は Active Directory 内のデータに左右されます。

サポートされるバージョンは、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 サーバです。

Active Directory(AD)エージェント

AD エージェントは Windows サーバ上で動作します。サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。


) Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。


図 36-1 アイデンティティ ファイアウォールのコンポーネント

 

1

ASA 上 :ローカル ユーザ グループとアイデンティティ ファイアウォール ポリシーを設定します。

4

クライアント <-> ASA :クライアントは Microsoft Active Directory 経由でネットワークにログオンします。AD サーバがユーザを認証し、ユーザ ログオン セキュリティ ログを作成します。

クライアントは、カットスルー プロキシ経由または VPN を使用してネットワークにログオンすることもできます。

2

ASA <-> AD サーバ :ASA が AD サーバ上の Active Directory グループに対する LDAP クエリーを送信します。

ASA がローカル グループと Active Directory グループを統合し、ユーザ アイデンティティに基づくアクセス ルールおよび MPF セキュリティ ポリシーを適用します。

5

ASA <-> クライアント :ASA に設定されたポリシーに基づき、ASA がクライアントへのアクセスを許可または拒否します。

ASA は、クライアントの NetBIOS をプローブし、非アクティブ ユーザや応答のないユーザにアクセスを許可します(設定されている場合)。

3

ASA <-> AD エージェント :アイデンティティ ファイアウォールの設定に基づき、ASA が IP ユーザ データベースをダウンロードするか、ユーザの IP アドレスを問い合わせる RADIUS 要求を AD エージェントに送信します。

ASA が Web 認証および VPN セッションから学習した新しいマッピングを AD エージェントに転送します。

6

AD エージェント <-> AD サーバ :AD エージェントは、定期的に、または要求に応じて、WMI を介して AD サーバのセキュリティ イベント ログ ファイルをモニタし、クライアントのログインおよびログオフ イベントを調べます。

AD エージェントは、ユーザ ID と IP アドレスのマッピングのキャッシュを保持しており、 マッピングに変更があった場合は ASA に通知します。

AD エージェントが Syslog サーバにログを送信します。

アイデンティティ ファイアウォールの特徴

アイデンティティ ファイアウォールの主要な特徴を次に示します。

柔軟性

ASA は、AD エージェントに新しい IP アドレスを個別に問い合わせるか、ユーザ アイデンティティと IP アドレスのデータベース全体のローカル コピーを保持することにより、AD エージェントからユーザ アイデンティティと IP アドレスのマッピングを取得できます。

ユーザ アイデンティティ ポリシーの送信先として、ホスト グループ、サブネット、または IP アドレスをサポートします。

ユーザ アイデンティティ ポリシーの送信元および送信先として、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)をサポートします。

5 タプル ポリシーと ID に基づくポリシーの組み合わせをサポートします。アイデンティティに基づく機能は既存の 5 タプル ソリューションと共存できます。

IPS およびアプリケーション インスペクションポリシーでの使用をサポートします。

リモート アクセス VPN、AnyConnect VPN、L2TP VPN、およびカットスルー プロキシからユーザ アイデンティティ情報を取得します。取得されたすべてのユーザは、AD エージェントに接続されたすべての ASA デバイスに配置されます。

スケーラビリティ

1 つの AD エージェントで 100 台の ASA デバイスをサポートできます。複数の ASA デバイスが 1 つの AD エージェントと通信できるため、大規模なネットワーク環境に拡張性をもたらします。

IP アドレスがすべてのドメインで一意である場合、30 台の Active Directory サーバをサポートします。

ドメイン内の各ユーザ アイデンティティは最大 8 個の IP アドレスを持つことができます。

ASA 5500 シリーズ モデルのアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 64,000 個です。この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

ASA 5505 のアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 1024 個です。

アクティブな ASA ポリシーでサポートされるユーザ グループは、最大 256 個です。

1 つのルールに 1 つ以上のユーザ グループまたはユーザを含めることができます。

複数のドメインをサポートします。

アベイラビリティ

ASA は、Active Directory からグループ情報を取得し、AD エージェントが送信元 IP アドレスをユーザ アイデンティティにマッピングできない IP アドレスの Web 認証にフォールバックします。

AD エージェントは、いずれかの Active Directory サーバまたは ASA が応答しない場合でも機能し続けます。

ASA でのプライマリ AD エージェントとセカンダリ AD エージェントの設定をサポートします。プライマリ AD エージェントが応答を停止すると、ASA がセカンダリ AD エージェントに切り替えます。

AD エージェントが使用できない場合、ASA はカットスルー プロキシや VPN 認証などの既存のアイデンティティ取得元にフォールバックできます。

AD エージェントは、ダウンしたサービスを自動的に再開するウォッチドッグ プロセスを実行します。

複数の ASA デバイスに分散 IP アドレス/ユーザ マッピング データベースを配置できます。

展開シナリオ

アイデンティティ ファイアウォールのコンポーネントは、個々の環境の要件に応じ、以下の方法で展開できます。

図 36-2 に示すように、冗長性の確保を考慮に入れてアイデンティティ ファイアウォールのコンポーネントを展開できます。シナリオ 1 は、コンポーネントの冗長性がない単純な展開を示しています。

シナリオ 2 も冗長性のない単純な展開を示しています。ただし、この展開シナリオでは、Active Directory サーバと AD エージェントが 1 つの Windows サーバに共存しています。

図 36-2 冗長性のない展開シナリオ

 

アイデンティティ ファイアウォールのコンポーネントを図 36-3 のように展開することにより、冗長性を確保できます。シナリオ 1 では、複数の Active Directory サーバと、AD エージェントをインストールした 1 台の Windows サーバを配置しています。シナリオ 2 では、複数の Active Directory サーバと、AD エージェントをインストールした複数の Windows サーバを配置しています。

図 36-3 冗長コンポーネントを使用した展開シナリオ

 

図 36-4 は、すべてのアイデンティティ ファイアウォール コンポーネント(Active Directory サーバ、AD エージェント、クライアント)を LAN で接続した展開方法を示しています。

図 36-4 LAN ベースの展開

 

図 36-5 は、WAN を使用してリモート サイトと接続した展開方法を示しています。Active Directory サーバと AD エージェントはメイン サイトの LAN 上に配置されています。クライアントはリモート サイトにあり、WAN 経由でアイデンティティ ファイアウォール コンポーネントに接続します。

図 36-5 WAN ベースの展開

 

図 36-6 も WAN を使用したリモート サイトにまたがる展開方法を示しています。Active Directory サーバはメイン サイトの LAN 上に配置されています。一方、AD エージェントはリモート サイトに配置され、同じサイト内のクライアントからアクセスします。リモート クライアントは、WAN 経由でメイン サイトの Active Directory サーバに接続します。

図 36-6 リモート AD エージェントを使用した WAN ベースの展開

 

図 36-7 は、リモート サイトを拡張した WAN ベースの展開を示しています。AD エージェントと Active Directory サーバがリモート サイトに配置されています。クライアントは、これらのコンポーネントへのローカル アクセスによってメイン サイトのネットワーク リソースにログインします。リモート Active Directory サーバは、メイン サイトに配置された Active Directory サーバとの間でデータを同期する必要があります。

図 36-7 AD エージェントと AD サーバをリモート サイトに配置した WAN ベースの展開

 

カットスルー プロキシ認証と VPN 認証

企業では、ユーザによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。たとえば、クライアントとして Machintosh や Linux を使用しているユーザは、Web ポータル(カットスルー プロキシ)にログインしたり、VPN を使用してログインしたりすることがあります。そのため、これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定する必要があります。

図 36-8 は、カットスルー プロキシ認証キャプティブ ポータルをサポートする展開方法を示しています。Active Directory サーバと AD エージェントはメイン サイトの LAN 上に配置されています。ただし、アイデンティティ ファイアウォールは Active Directory ドメインに属していないクライアントも認証の対象となるように設定されています。

図 36-8 カットスルー プロキシ認証をサポートする展開

 

ASA は、Web ポータル(カットスルー プロキシ)経由でログインするユーザを認証が行われる Active Directory ドメインに属するユーザと見なします。

ASA は、VPN 経由でログインするユーザを、VPN が Active Directory で LDAP によって認証される場合を除き、LOCAL ドメインに属するユーザと見なします。これにより、アイデンティティ ファイアウォールはユーザをそれぞれの Active Directory ドメインに関連付けることができます。

ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。具体的には、認証されたユーザのユーザ アイデンティティと IP アドレスのマッピングが、パケットを受信して認証する入力インターフェイスを含むすべての ASA コンテキストに転送されます。

「カットスルー プロキシ認証のサポート」を参照してください。

アイデンティティ ファイアウォールのライセンス

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

アイデンティティ ファイアウォールは、ステートフル フェールオーバーがイネーブルになっている場合、ユーザ アイデンティティと IP アドレスのマッピングおよび AD エージェント ステータスのアクティブからスタンバイへの複製をサポートします。ただし、複製されるのは、ユーザ アイデンティティと IP アドレスのマッピング、AD エージェント ステータス、およびドメイン ステータスだけです。ユーザおよびユーザ グループのレコードはスタンバイ ASA に複製されません。

フェールオーバーを設定するときには、スタンバイ ASA についても、AD エージェントに直接接続してユーザ グループを取得するように設定する必要があります。スタンバイ ASA は、アイデンティティ ファイアウォールに NetBIOS プローブ オプションが設定されていても、クライアントに NetBIOS パケットを送信しません。

クライアントが非アクティブであるとアクティブ ASA が判断した場合、情報はスタンバイ ASA に伝搬されます。ユーザ統計情報はスタンバイ ASA に伝搬されません。

フェールオーバーを設定した場合は、AD エージェントをアクティブとスタンバイの両方の ASA デバイスと通信するように設定する必要があります。AD エージェント サーバで ASA を設定する手順については、『 Installation and Setup Guide for the Active Directory Agent 』を参照してください。

IPv6 のガイドライン

IPv6 をサポートします。

AD エージェントは IPv6 アドレスのエンドポイントをサポートします。AD エージェントは、ログ イベントで IPv6 アドレスを受け取り、それをキャッシュに保存し、RADIUS メッセージによって送信します。

IPv6 上の NetBIOS はサポートされていません。

IPv6 上のカットスルー プロキシはサポートされていません。

その他のガイドラインと制限事項

宛先アドレスとしての完全な URL の使用はサポートされていません。

NetBIOS プローブが機能するためには、ASA、AD エージェント、およびクライアントを接続するネットワークが UDP でカプセル化された NetBIOS トラフィックをサポートしている必要があります。

アイデンティティ ファイアウォールによる MAC アドレスのチェックは、仲介ルータがある場合は機能しません。同じルータの背後にあるクライアントにログオンしたユーザには、同じ MAC アドレスが割り当てられます。この実装では、ASA がルータの背後の実際の MAC アドレスを特定できないため、同じルータからのパケットはすべてチェックに合格します。

次の ASA 機能は、アイデンティティに基づくオブジェクトおよび FQDN をサポートしません。

route-map

クリプト マップ

WCCP

NAT

group-policy(VPN フィルタを除く)

DAP

「アイデンティティに基づくアクセス ルールの設定」を参照してください。

前提条件

ASA でアイデンティティ ファイアウォールを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。

AD エージェント

AD エージェントは、ASA がアクセスできる Windows サーバにインストールする必要があります。さらに、AD エージェントを Active Directory サーバから情報を取得するように設定する必要があります。AD エージェントを ASA と通信するように設定します。

サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。


) Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。


AD エージェントをインストールし設定する手順については、『 Installation and Setup Guide for the Active Directory Agent 』を参照してください。

ASA に AD エージェントを設定する前に、AD エージェントと ASA が通信に使用する秘密キーの値を取得します。この値は AD エージェントと ASA で一致している必要があります。

Microsoft Active Directory

Microsoft Active Directory は、Windows サーバにインストールされ、ASA からアクセス可能である必要があります。サポートされているバージョンは、Windows 2003、2008、および 2008 R2 サーバです。

ASA に Active Directory サーバを設定する前に、Active Directory に ASA のユーザ アカウントを作成します。

さらに、ASA は、LDAP 上でイネーブルになった SSL を使用して、暗号化されたログイン情報を Active Directory サーバに送信します。Active Directory で SSL をイネーブルにする必要があります。Active Directory で SSL をイネーブルにする手順については、Microsoft Active Directory のマニュアルを参照してください。


) AD エージェントのインストーラを実行する前に、AD エージェントがモニタする各 Microsoft Active Directory サーバに次のパッチをインストールする必要があります。これらのパッチは、AD エージェントをドメイン コントローラ サーバに直接インストールする場合でも必要です。『README First for the Cisco Active Directory Agent』を参照してください。


アイデンティティ ファイアウォールの設定のタスク フロー

前提条件

ASA でアイデンティティ ファイアウォールを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。詳細については、「前提条件」を参照してください。

ASA でのタスク フロー

アイデンティティ ファイアウォールを設定するには、次の作業を実行します。


ステップ 1 ASA に Active Directory ドメインを設定します。

「Active Directory ドメインの設定」を参照してください。

個々の環境の要件に合わせて Active Directory サーバを展開する方法については、「展開シナリオ」を参照してください。

ステップ 2 ASA に AD エージェントを設定します。

「Active Directory エージェントの設定」を参照してください。

個々の環境の要件に合わせて AD エージェントを展開する方法については、「展開シナリオ」を参照してください。

ステップ 3 アイデンティティ オプションを設定します。

「アイデンティティ オプションの設定」を参照してください。

ステップ 4 ASA にアイデンティティに基づくアクセス ルールを設定します。

AD ドメインと AD エージェントを設定した後で、アイデンティティに基づくルールを指定し、適用できます。「アイデンティティに基づくアクセス ルールの設定」を参照してください。

ステップ 5 カットスルー プロキシを設定します。

「カットスルー プロキシ認証のサポート」を参照してください。

ステップ 6 VPN 認証を設定します。

「VPN 認証の設定」を参照してください。


 

Active Directory ドメインの設定

ASA が AD エージェントから IP とユーザのマッピングを受信したときに特定のドメインから Active Directory グループをダウンロードし、ユーザ アイデンティティを受け取るためには、ASA 上の Active Directory ドメイン設定が必要となります。

前提条件

Active Directory サーバの IP アドレス

LDAP ベース DN の識別名

アイデンティティ ファイアウォールが Active Directory ドメイン コントローラへの接続に使用する、Active Directory ユーザの識別名とパスワード

Active Directory ドメインを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# aaa-server server-tag protocol ldap
例:
hostname(config)# aaa-server adserver protocol ldap

AAA サーバ グループを作成し、Active Directory サーバの AAA サーバ パラメータを設定します。

ステップ 2

hostname(config-aaa-server-group)# aaa-server server-tag [( interface-name )] host { server-ip | name } [ key ] [ timeout seconds ]
例:

hostname(config-aaa-server-group)# aaa-server adserver (mgmt) host 172.168.224.6

Active Directory サーバに対し、AAA サーバを AAA サーバ グループの一部として設定し、ホスト固有の AAA サーバ パラメータを設定します。

ステップ 3

hostname( config-aaa-server-host )# ldap-base-dn string
例:
hostname(config-aaa-server-host)# ldap-base-dn DC=SAMPLE,DC=com

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定します。

ldap-base-dn コマンドの指定は任意です。このコマンドを指定しなかった場合、ASA は Active Directory から defaultNamingContext を取得し、それをベース DN として使用します。

ステップ 4

hostname(config-aaa-server-host)# ldap-scope subtree

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定します。

ステップ 5

hostname(config-aaa-server-host)# ldap-login-password string
例:
hostname(config-aaa-server-host)# ldap-login-password obscurepassword

LDAP サーバのログイン パスワードを指定します。

ステップ 6

hostname(config-aaa-server-host)# ldap-login-dn string
例:
hostname(config-aaa-server-host)#ldap-login-dn SAMPLE\user1

システムがバインドするディレクトリ オブジェクトの名前を指定します。ASAは、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。ログイン DN フィールドには、ASA の認証特性が記述されます。

string は、LDAP 階層内のディレクトリ オブジェクトの名前を指定する、最大 128 文字の文字列です。大文字と小文字は区別されます。文字列でスペースは使用できませんが、他の特殊文字は使用できます。

従来の形式と簡易形式のどちらでも指定できます。

従来の ldap-login-dn 形式には、CN=username、OU=Employees、OU=Sample Users があります。DC=sample、DC=com も使用できます。

ステップ 7

hostname(config-aaa-server-host)# server-type microsoft

Microsoft Active Directory サーバの LDAP サーバ モデルを設定します。

ステップ 8

hostname(config-aaa-server-host)# ldap-group-base-dn string
例:
hostname(config-aaa-server-host)# ldap-group-base-dn OU=Sample Groups,DC=SAMPLE,DC=com

Active Directory ドメイン コントローラにおける Active Directory グループ設定の場所を指定します。指定しない場合、ldap-base-dn の値が使用されます。

ldap-group-base-dn コマンドの指定は任意です。

ステップ 9

hostname(config-aaa-server-host)# ldap-over-ssl enable

ASA が SSL 上で Active Directory ドメイン コントローラとアクセスできるようにします。LDAP over SSL をサポートするには、Active Directory サーバがこのサポートを確保するように設定する必要があります。

デフォルトでは、Active Directory に SSL は設定されていません。Active Directory に SSL が設定されていない場合は、アイデンティティ ファイアウォールのために ASA に SSL を設定する必要はありません。

ステップ 10

hostname(config-aaa-server-host)# server-port port-number
例:
hostname(config-aaa-server-host)# server-port 389
hostname(config-aaa-server-host)# server-port 636

デフォルトでは、ldap-over-ssl がイネーブルになっていない場合、server-port のデフォルトは 389 となります。ldap-over-ssl がイネーブルになっている場合、server-port のデフォルトは 636 となります。

ステップ 11

hostname(config-aaa-server-host)# group-search-timeout seconds
例:
hostname(config-aaa-server-host)# group-search-timeout 300

LDAP クエリー タイムアウトになるまでの時間を設定します。

次の作業

AD エージェントを設定します。「Active Directory エージェントの設定」を参照してください。

Active Directory エージェントの設定

AD エージェントは、定期的に、または要求に応じて、WMI を介して Active Directory サーバのセキュリティ イベント ログ ファイルをモニタし、ユーザのログインおよびログオフ イベントを調べます。AD エージェントは、ユーザ ID と IP アドレスのマッピングのキャッシュを保持しており、 マッピングに変更があった場合は ASA に通知します。

AD エージェント サーバ グループのプライマリ AD エージェントとセカンダリ AD エージェントを設定します。プライマリ AD エージェントが応答していないことを ASA が検出し、セカンダリ AD エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの Active Directory サーバは、通信プロトコルとして RADIUS を使用します。そのため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。

要件

AD エージェントの IP アドレス

ASA と AD エージェントとの共有秘密

AD エージェントを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# aaa-server server-tag protocol radius
例:
hostname(config)# aaa-server adagent protocol radius

AAA サーバ グループを作成し、AD エージェントの AAA サーバ パラメータを設定します。

ステップ 2

hostname(config)# ad-agent-mode

AD エージェント モードをイネーブルにします。

ステップ 3

hostname(config-aaa-server-group)# aaa-server server-tag [( interface-name )] host { server-ip | name } [ key ] [ timeout seconds ]
例:
hostname(config-aaa-server-group)# aaa-server adagent (inside) host 192.168.1.101

AD エージェントに対し、AAA サーバを AAA サーバ グループの一部として設定し、ホスト固有の AAA サーバ パラメータを設定します。

ステップ 4

hostname(config-aaa-server-host)# key key
例:
hostname(config-aaa-server-host)# key mysecret

AD エージェント サーバに対する ASA の認証に使用されるサーバ秘密値を指定します。

ステップ 5

hostname(config-aaa-server-host)# user-identity ad-agent aaa-server aaa_server_group_tag
例:
hostname(config-aaa-server-hostkey )# user-identity ad-agent aaa-server adagent

AD エージェントのサーバ グループを定義します。

aaa_server_group_tag 変数に定義する最初のサーバがプライマリ AD エージェントとなり、次に定義するサーバがセカンダリ AD エージェントとなります。

アイデンティティ ファイアウォールでは、2 つの AD エージェント ホストのみ定義できます。

プライマリ AD エージェントがダウンしていることを ASA が検出し、セカンダリ AD エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの aaa-server は通信プロトコルとして RADIUS を使用するため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。

ステップ 6

hostname(config-aaa-server-host)# test aaa-server ad-agent

ASA と AD エージェント サーバとの通信をテストします。

次の作業

アイデンティティ ファイアウォールのアクセス ルールを設定します。「アイデンティティに基づくアクセス ルールの設定」を参照してください。

アイデンティティ オプションの設定

アイデンティティ ファイアウォール機能を追加または編集するには、次の手順を実行します。この機能をイネーブルにするには、[Enable] チェックボックスをオンにします。デフォルトでは、アイデンティティ ファイアウォール機能はディセーブルになっています。

前提条件

アイデンティティ ファイアウォールのアイデンティティ オプションを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。AD エージェントおよび Microsoft Active Directory のインストール要件については、「前提条件」を参照してください。

アイデンティティ ファイアウォールのアイデンティティ オプションを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# user-identity enable

アイデンティティ ファイアウォール機能をイネーブルにします。

ステップ 2

hostname(config)# user-identity default-domain domain_NetBIOS_name
例:
hostname(config)# user-identity default-domain SAMPLE

アイデンティティ ファイアウォールのデフォルト ドメインを指定します。

domain_NetBIOS_name には、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_=+[]{};,.] で構成される最大 32 文字の名前を入力します。ただし、先頭に "." と " " を使用することはできません。ドメイン名にスペースを含める場合は、名前全体を引用符で囲みます。ドメイン名では、大文字と小文字が区別されません。

デフォルト ドメインは、ユーザまたはグループにドメインが明示的に設定されていない場合に、すべてのユーザおよびユーザ グループで使用されます。デフォルト ドメインを指定しない場合、ユーザおよびグループのデフォルト ドメインは LOCAL となります。マルチ コンテキスト モードでは、システム実行スペース内だけでなく、各コンテキストについてデフォルト ドメイン名を設定できます。


) 指定するデフォルト ドメイン名は、Active Directory ドメイン コントローラに設定された NetBIOS ドメイン名と一致している必要があります。ドメイン名が一致しない場合、AD エージェントは、ユーザ アイデンティティと IP アドレスのマッピングを ASA の設定時に入力されたドメイン名に誤って関連付けます。NetBIOS ドメイン名を表示するには、任意のテキスト エディタで Active Directory ユーザ イベント セキュリティ ログを開きます。


アイデンティティ ファイアウォールは、ローカルに定義されたすべのユーザ グループまたはユーザに対して LOCAL ドメインを使用します。Web ポータル(カットスルー プロキシ)経由でログインしたユーザは、認証された Active Directory ドメインに属すると見なされます。VPN 経由でログインしたユーザは、VPN が Active Directory で LDAP によって認証される場合を除き、LOCAL ドメインに属するユーザと見なされます。これにより、アイデンティティ ファイアウォールはユーザをそれぞれの Active Directory ドメインに関連付けることができます。

ステップ 3

hostname(config)# user-identity domain domain_nickname aaa-server aaa_server_group_tag
例:
hostname(config)# user-identity domain SAMPLE aaa-server ds

AAA サーバでユーザ グループ クエリーのインポート用に定義された LDAP パラメータをドメイン名に関連付けます。

domain_nickname には、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_=+[]{};,.] で構成される最大 32 文字の名前を入力します。ただし、先頭に "." と " " を使用することはできません。ドメイン名にスペースを含める場合は、スペースを引用符で囲む必要があります。ドメイン名では、大文字と小文字が区別されません。

ステップ 4

hostname(config)# user-identity logout-probe netbios local-system probe-time minutes minutes retry-interval seconds seconds retry-count times [ user-not-needed | match-any | exact-match ]
例:
hostname(config)# user-identity logout-probe netbios local-system probe-time minutes 10 retry-interval seconds 10 retry-count 2 user-not-needed

NetBIOS プローブをイネーブルにします。このオプションをイネーブルにすることにより、ASA がユーザ クライアント IP アドレスのプローブによってクライアントがアクティブであるかどうかを確認する頻度を設定します。デフォルトでは、NetBIOS プローブはディセーブルになっています。

NetBIOS パケットを最小限に抑えるために、ASA は、ユーザが指定された分数を超えてアイドル状態である場合のみ NetBIOS プローブをクライアントに送信します。

NetBIOS プローブ タイマーを 1 ~ 65535 分に設定し、リトライ インターバルを 1 ~ 256 回に設定します。プローブのリトライ回数は、次のように指定してください。

match - any :クライアントからの NetBIOS 応答に IP アドレスに割り当てられたユーザのユーザ名が含まれている場合、ユーザ アイデンティティは有効と見なされます。このオプションを指定するためには、クライアントで Messenger サービスがイネーブルになっており、WINS サーバが設定されている必要があります。

exact - match :NetBIOS 応答に IP アドレスに割り当てられたユーザのユーザ名だけが含まれている必要があります。そうでない場合、その IP アドレスのユーザ アイデンティティは無効と見なされます。このオプションを指定するためには、クライアントで Messenger サービスがイネーブルになっており、WINS サーバが設定されている必要があります。

user - not - needed :ASA がクライアントから NetBIOS 応答を受信した場合、ユーザ アイデンティティは有効と見なされます。

アイデンティティ ファイアウォールは、少なくとも 1 つのセキュリティ ポリシーに存在するアクティブ状態のユーザ アイデンティティに対してのみ NetBIOS プローブを実行します。ASA は、ユーザがカットスルー プロキシ経由または VPN を使用してログインするクライアントについては、NetBIOS プローブを実行しません。

ステップ 5

hostname(config)# user-identity inactive-user-timer minutes minutes
例:
hostname(config)# user-identity inactive-user-timer minutes 120

ユーザがアイドル状態であると見なされるまでの時間を指定します。これは、ASA 指定された時間にわたりユーザの IP アドレスからトラフィックを受信しなかった場合を意味します。

タイマーの期限が切れると、ユーザの IP アドレスが非アクティブとマークされ、ローカル キャッシュ内のユーザ アイデンティティと IP アドレスのマッピング データベースから削除されます。ASA は、この IP アドレスの削除を AD エージェントに通知しません。既存のトラフィックは通過を許可されます。このコマンドを指定すると、ASA は NetBIOS ログアウト プローブが設定されている場合でも非アクティブ タイマーを実行します。

デフォルトでは、アイドル タイムアウトは 60 分に設定されます。


) アイドル タイムアウト オプションは VPN ユーザまたはカットスルー プロキシ ユーザには適用されません。


ステップ 6

hostname(config)# user-identity poll-import-user-group-timer hours hours
例:
hostname(config)# user-identity poll-import-user-group-timer hours 1

ASA が Active Directory サーバにユーザ グループ情報を問い合わせるまでの時間を指定します。

Active Directory グループでユーザが追加または削除されると、ASA はグループ インポート タイマーの実行後に更新されたユーザ グループを受け取ります。

デフォルトでは、 poll - import - user - group - timer の値は 8 時間です。

ユーザ グループ情報をただちに更新する場合は、次のコマンドを入力します。

user-identity update import-user

Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

ステップ 7

hostname(config)# user-identity action netbios-response-fail remove-user-ip

クライアントが NetBIOS プローブに応答しない場合のアクションを指定します。このような状況には、そのクライアントへのネットワーク接続がブロックされている場合やクライアントがアクティブでない場合などがあります。

user - identity action remove - user - ip を設定すると、ASA は、そのクライアントのユーザ アイデンティティと IP アドレスのマッピングを削除します。

デフォルトでは、このコマンドはディセーブルです。

ステップ 8

hostname(config)# user-identity action domain-controller-down domain_nickname disable-user-identity-rule
例:
hostname(config)# user-identity action domain-controller-down SAMPLE disable-user-identity-rule

Active Directory ドメイン コントローラが応答しないためにドメインがダウンしている場合のアクションを指定します。

ドメインがダウンし、 disable - user - identity - rule キーワードが設定されている場合、ASA はそのドメインのユーザ アイデンティティと IP アドレスのマッピングをディセーブルにします。さらに、 show user - identity user コマンドによって表示される出力では、そのドメイン内のすべてのユーザ IP アドレスがディセーブルとマークされます。

デフォルトでは、このコマンドはディセーブルです。

ステップ 9

hostname(config)# user-identity user-not-found enable

user-not-found トラッキングをイネーブルにします。最後の 1024 個の IP アドレスだけがトラッキングされます。

デフォルトでは、このコマンドはディセーブルです。

ステップ 10

hostname(config)# user-identity action ad-agent-down disable-user-identity-rule

AD エージェントが応答していない場合のアクションを指定します。

AD エージェントがダウンし、 user - identity action ad-agent-down が設定されている場合、ASA はそのドメインのユーザに関連付けられたユーザ アイデンティティ ルールをディセーブルにします。さらに、 show user - identity user コマンドによって表示される出力では、そのドメイン内のすべてのユーザ IP アドレスがディセーブルとマークされます。

デフォルトでは、このコマンドはディセーブルです。

ステップ 11

hostname(config)# user-identity action mac-address-mismatch remove-user-ip

ユーザの MAC アドレスが、そのアドレスに現在マッピングされている ASA デバイス IP アドレスと一致しないことが明らかになった場合のアクションを指定します。

user - identity action mac-address-mismatch コマンドが設定されている場合、ASA はそのクライアントのユーザ アイデンティティと IP アドレスのマッピングを削除します。

デフォルトでは、このコマンドが指定されている場合、ASA は remove - user - ip キーワードを使用します。

ステップ 12

hostname(config)# user-identity ad-agent active-user-database { on-demand | full-download }
例:
hostname(config)# user-identity ad-agent active-user-database full-download

ASA が AD エージェントからユーザ アイデンティティと IP アドレスのマッピング情報を取得する方法を定義します。

full-download :ASA が、ASA の起動時に IP/ユーザ マッピング テーブル全体をダウンロードし、ユーザのログインおよびログアウト時に増分 IP/ユーザ マッピングを受信するように指示する要求を AD エージェントに送信することを指定します。

on-demand :ASA が新しい接続を必要とするパケットを受信し、その送信元 IP アドレスのユーザがユーザ アイデンティティ データベースに含まれていない場合に、ASA が AD エージェントから IP アドレスのユーザ マッピング情報を取得することを指定します。

デフォルトでは、ASA 5505 は on-demand オプションを使用します。それ以外の ASA プラットフォームは full-download オプションを使用します。

フル ダウンロードはイベント ドリブンです。つまり、2 回目以降のデータベース ダウンロード要求は、ユーザ アイデンティティと IP アドレス マッピング データベースの更新内容だけを送信します。

ASA が変更要求を AD エージェントに登録すると、AD エージェントは新しいイベントを ASA に送信します。

ステップ 13

hostname(config)# user-identity ad-agent hello-timer seconds seconds retry-times number
例:
hostname(config)# user-identity ad-agent hello-timer seconds 20 retry-times 3

ASA と AD エージェントとの間の Hello タイマーを定義します。

ASA と AD エージェントとの間の Hello タイマーは、ASA が hello パケットを交換する頻度を定義します。ASA は、hello パケットを使用して、ASA 複製ステータス(in-sync または out-of-sync)とドメイン ステータス(up または down)を取得します。ASA は、AD エージェントから応答を受信しなかった場合、指定された間隔が経過した後、hello パケットを再送信します。

デフォルトでは、Hello タイマーは間隔が 30 秒、リトライ回数が 5 回に設定されます。

ステップ 14

hostname(config)# user-identity ad-agent aaa-server aaa_server_group_tag
例:
hostname(config)# user-identity ad-agent aaa-server adagent

AD エージェントのサーバ グループを定義します。

aaa_server_group_tag には、 aaa-server コマンドで定義された値を入力します。

次の作業

Active Directory ドメインとサーバ グループを設定します。「Active Directory ドメインの設定」を参照してください。

AD エージェントを設定します。「Active Directory エージェントの設定」を参照してください。

アイデンティティに基づくアクセス ルールの設定

アクセス ルールは、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および送信元ポートと宛先ポートに基づいて、トラフィックを許可または拒否します。アクセス ルールの詳細については、「アクセス ルールの設定」を参照してください。

アイデンティティ ファイアウォール機能によって、ユーザのアイデンティティまたはユーザ グループに基づいてトラフィックを許可または拒否することが可能になります。送信元 IP アドレスに加え、ユーザ名とユーザ グループ名に基づいて、アクセス ルールとセキュリティ ポリシーを設定します。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

ユーザは、ローカル ユーザ、リモート ユーザ(VPN 経由)、有線ユーザ、無線ユーザのいずれかです。サーバ リソースには、サーバ IP アドレス、サーバ DNS 名、ドメインが含まれます。

アイデンティティに基づくアクセス ルールの形式は、標準の IP アドレスに基づくルールの一般的な形式と同じであり、アクション、プロトコル、送信元、宛先、および任意の送信元サービス(ルールのプロトコルが TCP または UDP である場合)で構成されます。さらに、従来の IP アドレスに基づくオブジェクト(any、ネットワークオブジェクト/ネットワーク グループ、インターフェイス、ホスト、IP アドレス、ネットワーク マスク)の前にユーザ オブジェクトとユーザ グループ オブジェクトも指定します。

アクセス ルールは、アイデンティティに基づくオブジェクト(ユーザとユーザ グループ)だけで構成することもできれば、アイデンティティに基づくオブジェクトと従来の IP アドレスに基づくオブジェクトを組み合わせて作成することもできます。条件を満たす IP アドレスに基づく送信元の送信元ユーザまたは送信元ユーザ グループを含むアクセス ルールを作成できます。たとえば、sample_user1 11.0.0.0 255.0.0.0 のアクセス ルールを作成できます。これは、ユーザがサブネット 11.0.0.0/8 上のどの IP アドレスを持っていてもよいことを意味します。

送信元および宛先に FQDN が含まれるアクセス ルールも作成できます。

アイデンティティに基づくアクセス ルールの宛先の部分については、従来の IP アドレスに基づくアクセス ルールの場合と同じ形式およびガイドラインに従います。

ガイドラインと制限事項

ASA 5500 シリーズ モデルのアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 64,000 個です。

この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

ASA 5505 のアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 1024 個です。

この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

アクティブな ASA セキュリティ ポリシーでサポートされるユーザ グループは、最大 256 個です。

1 つのルールに 1 つ以上のユーザ グループまたはユーザを含めることができます。

前提条件

AD ドメインと AD エージェントを設定した後で、アイデンティティに基づくルールを指定し、適用できます。

アイデンティティに基づくアクセス ルールを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# object-group user user _ group _name
例:
hostname(config)# object-group user users1

アイデンティティ ファイアウォールでアクセスを制御するために使用できるオブジェクト グループを定義します。オブジェクト グループをアクセス グループやサービス ポリシーの一部として使用できます。

ステップ 2

hostname(config-user-object-group)# user domain_NetBIOS_name \ user_name
例:
hostname(config-user-object-group)# user SAMPLE\users1

アクセス ルールに追加するユーザを指定します。

user_name には、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_{}.] など、あらゆる文字を使用できます。 domain_NetBIOS_name \ user _ name にスペースを含める場合は、ドメイン名とユーザ名を引用符で囲む必要があります。

user _ name には、LOCAL ドメインの一部または ASA が Active Directory ドメインからインポートしたユーザを指定できます。

domain_NetBIOS_name が AAA サーバと関連付けられている場合は、 user _ name を一意ではない場合がある Common Name(CN; 通常名)ではなく Active Directory の一意な sAMAccountName とする必要があります。

domain_NetBIOS_name には、LOCAL または user - identity domain domain_NetBIOS_name aaa - server aaa _ serve r_ group _ tag コマンドに指定された実際のドメイン名を指定できます。

ステップ 3

hostname(config-user-object-group)# user - group domain _ _NetBIOS_name \\ user _ group_name
例:
hostname(config-user-object-group)# user-group SAMPLE\\group.marketing

アクセス ルールに追加するユーザ グループを指定します。

group_name には、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_{}.] など、あらゆる文字を使用できます。 domain _ NetBIOS_name \ group _ name にスペースを含める場合は、ドメイン名とユーザ名を引用符で囲む必要があります。

domain_NetBIOS_name user - group に指定する場合は、 user に指定する場合と同じ要件を満たす必要があります。

アクセス グループまたはサービス ポリシーでアクセス ルールを使用すると、ASA は Active Directory からネストされたユーザ グループをインポートします。

ステップ 4

hostname(config-user-object-group)# exit

ユーザ オブジェクト グループ コンフィギュレーション モードからグローバル コンフィギュレーション モードに切り替えます。

ステップ 5

hostname(config)# access-list access _ list _ name { deny | permit } protocol [{ user-group [ domain_name \\ ] user_group_name | user {[ domain_name \\ ] user_name | any | none } | object-group-user object_group_user_name }] { any | host sip | sip smask | interface name | object src_object_name | object-group network_object_group_name > [ eq port | ...] { object-group-user dst_object_group_name | object dst_object_name host dst_host_name | ip_address } [ object-group service_object_name | eq port | ...]
 
例:
hostname(config)# access-list identity-list1 permit ip user SAMPLE\user1 any any
hostname(config)# access-list aclname extended permit ip user-group SAMPLE\\group.marketing any any
hostname(config)# access-list aclname extended permit ip object-group-user asausers any any
 

ユーザ アイデンティティまたはグループ アイデンティティを使用してアクセスを制御するアクセス コントロール エントリを作成します。

[ domain _ nickname >\] user _ name と [ domain _ nickname >\] user _ group _ name を直接指定でき、これらを先に object-group に指定する必要はありません。

コマンド構文の詳細については、『 Cisco ASA 5500 Series Command Reference 』の access - list extended コマンドを参照してください。

キーワード user - group any および user - group none を指定することにより、カットスルー プロキシ認証をサポートできます。「カットスルー プロキシ認証のサポート」を参照してください。

ステップ 6

hostname(config)# access-group access-list global
例:
hostname(config)# access-group aclname global

1 つのコマンドで、1 組のグローバル ルールをすべてのインターフェイスに適用します。

カットスルー プロキシ認証のサポート

企業では、ユーザによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。たとえば、クライアントとして Machintosh や Linux を使用しているユーザは、Web ポータル(カットスルー プロキシ)にログインしたり、VPN を使用してログインしたりすることがあります。そのため、これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定する必要があります。

ASA は、Web ポータル(カットスルー プロキシ)経由でログインするユーザを認証が行われる Active Directory ドメインに属するユーザと見なします。ASA は、VPN 経由でログインするユーザを、VPN が Active Directory で LDAP によって認証される場合を除き、LOCAL ドメインに属するユーザと見なします。これにより、アイデンティティ ファイアウォールはユーザをそれぞれの Active Directory ドメインに関連付けることができます。ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。

ユーザは、HTTP/HTTPS、FTP、Telnet、または SSH を使用してログインできます。ユーザがこれらの認証方式でログインする場合は、次のガイドラインが適用されます。

HTTP/HTTPS トラフィックの場合、認証されていないユーザには認証ウィンドウが表示されます。

Telnet および FTP トラフィックの場合、ユーザはカットスルー プロキシ経由でログインし、さらに Telnet および FTP サーバにログインする必要があります。

ユーザは、ログイン クレデンシャル(形式は domain \ username )を入力するときに、Active Directory ドメインを指定できます。ASA は、指定されたドメインに関連付けられた AAA サーバ グループを自動的に選択します。

ユーザがログイン クレデンシャル(形式は domain \ username )を入力するときに Active Directory ドメインを指定すると、ASA はドメインを解析し、それを使用して、アイデンティティ ファイアウォール用に設定された AAA サーバから認証サーバを選択します。AAA サーバには username だけが渡されます。

ログイン クレデンシャルにバックスラッシュ(\)デリミタが含まれていない場合、ASA はドメインを解析せず、アイデンティティ ファイアウォールに設定されたデフォルト ドメインに対応する AAA サーバで認証が実行されます。

デフォルト ドメインが設定されていない場合、またはそのデフォルト ドメインにサーバ グループが設定されていない場合、ASA は認証を拒否します。

ドメインが指定されない場合、ASA はアイデンティティ ファイアウォールに設定されたデフォルト ドメインの AAA サーバ グループを選択します。

手順の詳細

アイデンティティ ファイアウォールのカットスルー プロキシを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# access - list access _ list _ name extended permit tcp any user_ip_address 255.255.255.255 eq http
hostname(config)# access - list access _ list _ name extended permit tcp any user_ip_address 255.255.255.255 eq https
例:
hostname(config)# access-list listenerAuth extended permit tcp any any
 

HTTP または HTTPS プロトコルを使用するユーザ クライアントからのトラフィックを許可するアクセス リストを作成します。

ステップ 2

hostname(config)# aaa authentication listener http inside port port
例:
hostname(config)# aaa authentication listener http inside port 8888

ユーザを認証する HTTP(S) リスニング ポートをイネーブルにします。

ステップ 3

hostname(config)# access-list access _ list _ name { deny | permit } protocol [{ user-group [ domain_name \\ ] user_group_name | user {[ domain_name \\ ] user_name | any | none } | object-group-user object_group_user_name }] { any | host sip | sip smask | interface name | object src_object_name | object-group network_object_group_name > [ eq port | ...] { object-group-user dst_object_group_name | object dst_object_name host dst_host_name | ip_address } [ object-group service_object_name | eq port | ...]
例:
hostname(config)# access-list 100 ex deny ip user CISCO\abc any any
hostname(config)# access-list 100 ex permit ip user NONE any any

ユーザ アイデンティティまたはグループ アイデンティティを使用してアクセスを制御するアクセス コントロール エントリを作成します。

コマンド構文の詳細については、『 Cisco ASA 5500 Series Command Reference 』の access - list extended コマンドを参照してください。

キーワード user - group any および user - group none を指定することにより、カットスルー プロキシ認証をサポートできます。

any :アクセス リストは、すべてのユーザに関連付けられている任意の IP アドレスと一致します。

none :アクセス リストは、どの IP アドレスにも関連付けられていない任意の IP アドレスと一致します。

ステップ 4

hostname(config)# aaa authenticate match access _ list _ name inside user-identity
例:
aaa authenticate match listenerAuth inside user-identity

ASA 経由の接続に対する認証をイネーブルにし、アイデンティティ ファイアウォール機能と一致させます。

 

例 1

次の例は、ユーザが ASA を介してログインすることを可能にする典型的なカットスルー プロキシ設定を示します。この例は次の条件に基づいています。

ASA の IP アドレスは 172.1.1.118 です。

Active Directory ドメイン コントローラの IP アドレスは 71.1.2.93 です。

エンド ユーザ クライアントは、IP アドレスが 172.1.1.118 であり、HTTPS を使用して Web ポータル経由でログインします。

ユーザは、LDAP を介して Active Directory ドメイン コントローラにより認証されます。

ASA は、Inside インターフェイスを使用して企業ネットワーク上の Active Directory ドメイン コントローラに接続します。

hostname(config)# access-list AUTH extended permit tcp any 172.1.1.118 255.255.255.255 eq http
hostname(config)# access-list AUTH extended permit tcp any 172.1.1.118 255.255.255.255 eq https
hostname(config)# aaa-server LDAP protocol ldap
hostname(config-aaa-server-group)# aaa-server LDAP (inside) host 171.1.2.93
hostname(config-aaa-server-host)# ldap-base-dn DC=cisco,DC=com
hostname(config-aaa-server-host)# ldap-group-base-dn DC=cisco,DC=com
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-login-dn cn=kao,OU=Employees,OU=Cisco Users,DC=cisco,DC=com
hostname(config-aaa-server-host)# ldap-login-password *****
hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)# server-type microsoft
hostname(config-aaa-server-host)# aaa authentication match AUTH inside LDAP
hostname(config)#
hostname(config)# http server enable
hostname(config)# http 0.0.0.0 0.0.0.0 inside
hostname(config)#
hostname(config)# auth-prompt prompt Enter Your Authentication
hostname(config)# auth-prompt accept You are Good
hostname(config)# auth-prompt reject Goodbye

例 2

hostname(config)# access-list listenerAuth extended permit tcp any any
hostname(config)# aaa authentication match listenerAuth inside ldap
hostname(config)# aaa authentication listener http inside port 8888
hostname(config)# access-list 100 ex permit ip user SAMPLE\user1 any any
hostname(config)# access-list 100 ex deny ip user SAMPLE\user2 any any
hostname(config)# access-list 100 ex permit ip user NONE any any
hostname(config)# access-list 100 ex deny any any
hostname(config)# access-group 100 in interface inside
hostname(config)# aaa authenticate match 200 inside user-identity
 

この例には、次のガイドラインが適用されます。

access - list コマンドでは、未認証の着信ユーザが AAA カットスルー プロキシをトリガーできるように、"permit user NONE" ルールを "access-list 100 ex deny any any" の前に指定する必要があります。

auth access-list コマンドでは、"permit user NONE" ルールにより、未認証のユーザだけがカットスルー プロキシをトリガーします。これらを最後の行に指定することが理想的です。

VPN 認証の設定

企業では、一部のトラフィックでアイデンティティ ファイアウォールをバイパスすることが必要となる場合があります。

ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。具体的には、認証されたユーザの IP とユーザのマッピングが、HTTP/HTTPS パケットを受信して認証する入力インターフェイスを含むすべての ASA コンテキストに転送されます。ASA は、VPN 経由でログインするユーザを LOCAL ドメインに属するユーザと見なします。

VPN ユーザに IDFW ルールを適用するには、次の 2 つの方法があります。

アクセス リスト チェックのバイパスをディセーブルにして VPN-Filter を適用する

アクセス リスト チェックのバイパスをイネーブルにして VPN-Filter を適用する

設定例 -- VPN への IDFW ルールの適用 - 1

デフォルトでは、"sysopt connection permit-vpn" がイネーブルになり、VPN トラフィックはアクセス リスト チェックの対象外となります。VPN トラフィックに通常のインターフェイスに基づく ACL ルールを適用するには、VPN トラフィックのアクセス リスト バイパスをディセーブルにする必要があります。

この例では、ユーザが outside インターフェイスからログインすると、IDFW ルールにより、アクセス可能なネットワーク リソースが決定されます。VPN ユーザは、すべてドメイン LOCAL に保存されます。したがって、LOCAL ユーザまたは LOCAL ユーザを含むオブジェクト グループへのルールの適用のみが意味を持ちます。

!Apply VPN-Filter with bypassing access-list check disabled
no sysopt connection permit-vpn
access-list v1 extended deny ip user LOCAL\idfw any 10.0.0.0 255.255.255.0
access-list v1 extended permit ip user LOCAL\idfw any 20.0.0.0 255.255.255.0
access-group v1 in interface outside >> Control VPN user based on regular IDFW ACLs
 

設定例 -- VPN への IDFW ルールの適用 - 2

デフォルトでは、"sysopt connection permit-vpn" がイネーブルになり、VPN トラフィックのアクセス バイパスもイネーブルになります。VPN-filter を使用することにより、VPN トラフィックに IDFW ルールを適用できます。IDFW ルールを指定した VPN-filter は、CLI ユーザ名と group-policy で定義できます。

この例では、ユーザ idfw がログインすると、10.0.00/24 サブネット内のネットワーク リソースにアクセスできます。これに対し、ユーザ user1 がログインした場合は、10.0.00/24 サブネット内のネットワーク リソースへのアクセスは拒否されます。VPN ユーザがすべてドメイン LOCAL に保存されることに注意してください。したがって、LOCAL ユーザまたは LOCAL ユーザを含むオブジェクト グループへのルールの適用のみが意味を持ちます。

注:IDFW ルールは group-policy に基づく vpn-filter にのみ適用でき、他の group-policy 機能では使用できません。

!Apply VPN-Filter with bypassing access-list check enabled
sysopt connection permit-vpn
access-list v1 extended permit ip user LOCAL\idfw any 10.0.0.0 255.255.255.0
access-list v2 extended deny ip user LOCAL\user1 any 10.0.0.0 255.255.255.0
username user1 password QkBIIYVi6IFLEsYv encrypted privilege 0 username user1 attributes
vpn-group-policy group1 vpn-filter value v2 >> Per user VPN-filter control
username idfw password eEm2dmjMaopcGozT encrypted
username idfw attributes
vpn-group-policy testgroup vpn-filter value v1
 
sysopt connection permit-vpn
access-list v1 extended permit ip user LOCAL\idfw any 10.0.0.0 255.255.255.0 access-list v1 extended deny ip user LOCAL\user1 any 10.0.0.0 255.255.255.0 group-policy group1 internal
group-policy group1 attributes >> Per group VPN-filter control
 
vpn-filter value v1
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless
 

アイデンティティ ファイアウォールのモニタリング

ここでは、次の項目について説明します。

「AD エージェントのモニタリング」

「グループのモニタリング」

「アイデンティティ ファイアウォールのメモリ使用率のモニタリング」

「アイデンティティ ファイアウォールのユーザのモニタリング」

AD エージェントのモニタリング

アイデンティティ ファイアウォールの AD エージェント コンポーネントをモニタできます。

次の show user-identity コマンド オプションを使用することにより、AD エージェントのトラブルシューティング情報を取得できます。

show user-identity ad-agent

show user-identity ad-agent statistics

これらのコマンドは、プライマリ AD エージェントおよびセカンダリ AD エージェントに関する次の情報を表示します。

AD エージェントのステータス

ドメインのステータス

AD エージェントの統計情報

グループのモニタリング

アイデンティティ ファイアウォールに設定されたユーザ グループをモニタできます。

show user-identity group コマンドを使用することにより、アイデンティティ ファイアウォールに設定されたユーザ グループのトラブルシューティング情報を取得できます。

このコマンドは、ユーザ グループのリストを次の形式で表示します。

domain \ group_name

アイデンティティ ファイアウォールのメモリ使用率のモニタリング

アイデンティティ ファイアウォールの ASA 上でのメモリ使用率をモニタできます。

show user-identity memory コマンドを使用することにより、アイデンティティ ファイアウォールのトラブルシューティング情報を取得できます。

このコマンドは、アイデンティティ ファイアウォールの各種モジュールのメモリ使用率をバイト単位で表示します。

ユーザ

グループ

ユーザ統計

LDAP

ASA は、Active Directory サーバに設定された Active Directory グループに対する LDAP クエリーを送信します。Active Directory サーバは、ユーザを認証し、ユーザ ログオン セキュリティ ログを生成します。

AD エージェント

Miscellaneous

メモリ使用率合計


) Identity Firewall で設定した AD エージェントからユーザ情報を取得する方法によって、この機能が使用するメモリの量が変わります。ASA で on-demand 取得と full-download 取得のどちらを使用するかを指定します。on-demand には、受信パケットのユーザだけが取得および保存されるためにメモリの使用量が少なくなるというメリットがあります。これらのオプションの説明については、「アイデンティティ オプションの設定」を参照してください。


アイデンティティ ファイアウォールのユーザのモニタリング

アイデンティティ ファイアウォールで使用される IP/ユーザ マッピング データベースに含まれるすべてのユーザに関する情報を表示できます。

次の show user-identity コマンド オプションを使用することにより、AD エージェントのトラブルシューティング情報を取得できます。

show user-identity user all list

show user-identity user active user domain \ user-name list detail

これらのコマンドは、ユーザに関する次の情報を表示します。

 

domain \ user_name

アクティブな接続

アイドル時間(分数)

デフォルトのドメイン名は、実際のドメイン名、特別な予約語、LOCAL のいずれかです。アイデンティティ ファイアウォールは、ローカルに定義されたすべのユーザ グループまたはユーザ(VPN または Web ポータルを使用してログインおよび認証を行うユーザ)に対して LOCAL ドメイン名を使用します。デフォルト ドメインを指定しない場合、LOCAL がデフォルト ドメインとなります。

アイドル時間は、ユーザの IP アドレスごとではなくユーザごとに保存されます。

コマンド user - identity action domain - controller - down domain _ name disable - user - identity - rule が設定されていて、指定されたドメインがダウンした場合、または user - identity action ad - agent - down disable - user - identity - rule が設定されていて、AD エージェントがダウンした場合には、ログオンしたすべてのユーザのステータスがディセーブルとなります。

アイデンティティ ファイアウォールの機能履歴

表 36-1 に、この機能のリリース履歴の一覧を示します。

 

表 36-1 アイデンティティ ファイアウォールの機能履歴

機能名
リリース
機能情報

アイデンティティ ファイアウォール

8.4(2)

アイデンティティ ファイアウォールが導入されました。

この新しい機能の設定をサポートするために、次のコマンドが CLI に追加されました。

user-identity enable

user-identity default-domain

user-identity domain

user-identity logout-probe

user-identity inactive-user-timer

user-identity poll-import-user-group-timer

user-identity action netbios-response-fail

user-identity user-not-found

user-identity action ad-agent-down

user-identity action mac-address-mismatch

user-identity action domain-controller-down

user-identity ad-agent active-user-database

user-identity ad-agent hello-timer

user-identity ad-agent aaa-server

user-identity update import-user

user-identity static user

dns domain-lookup

dns poll-timer

dns expire-entry-timer

object-group user

show user-identity

show dns

clear configure user-identity

clear dns

debug user-identity