Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
認可および認証用の外部サーバの設定
認可および認証用の外部サーバの設定
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

認可および認証用の外部サーバの設定

権限および属性のポリシー実施の概要

外部 LDAP サーバの設定

LDAP 操作のためのセキュリティ アプライアンスの構成

階層の検索

セキュリティ アプライアンスと LDAP サーバのバインディング

Active Directory の Login DN の例

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

LDAP 認可でサポートされている Cisco 属性

Cisco-AV-Pair 属性の構文

Cisco-AV-Pair の ACL 例

Active Directory/LDAP VPN のリモート アクセス認可の使用例

ユーザベースの属性ポリシーの適用

特定のグループ ポリシーへの LDAP ユーザの配置

AnyConnect トンネルへのスタティック IP アドレスの割り当て

ダイヤルインの許可または拒否アクセスの適用

ログイン時間と Time-of-Day ルールの適用

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 認可属性

セキュリティ アプライアンスの IETF RADIUS 認可属性

外部 TACACS+ サーバの設定

認可および認証用の外部サーバの設定

この付録では、ASAで AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するようにASAを設定する前に、正しいASA認証属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる必要があります。

この付録では、次の項目について説明します。

「権限および属性のポリシー実施の概要」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限および属性のポリシー実施の概要

ASAは、ユーザ認可属性(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ属性を、ASAの Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)から、外部認証サーバや認可 AAA サーバ(RADIUS または LDAP)から、セキュリティ アプライアンスのグループ ポリシーから、またはこれら 3 つのすべてから取得できるようにASAを設定できます。

セキュリティ アプライアンスがすべてのソースから属性を受信すると、それらの属性は評価および集約され、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。

セキュリティ アプライアンスは、次の順序で属性を適用します(図 C-1 も参照してください)。

1. ASAの DAP 属性:バージョン 8.0 に導入され、最も優先されます。DAP にブックマーク/URL リストを設定した場合、そのリストはグループ ポリシーのブックマーク/URL リスト セットよりも優先されます。

2. AAA サーバのユーザ属性:ユーザ認証または認可が成功すると、AAA サーバはこれらの属性を返します。これらの属性を、ASAのローカル AAA データベースの個々のユーザに設定されている属性(ASDM のユーザ アカウント)と混同しないでください。

3. ASAで設定されたグループ ポリシー:RADIUS サーバがユーザに対して RADIUS CLASS 属性 IETF-Class-25(OU=<group-policy>)の値を返す場合、ASAは、ユーザを同じ名前のグループ ポリシーに配置し、サーバから返されないすべての属性をそのグループ ポリシーで適用します。

LDAP サーバでは、任意の属性名を使用してセッションのグループ ポリシーを設定できます。ASAで設定した LDAP 属性マップは、LDAP 属性を Cisco 属性 IETF-Radius-Class にマッピングします。

4. 接続プロファイル(CLI のトンネル グループと呼ばれる)で割り当てられたグループ ポリシー:接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。ASAに接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、DAP、サーバから返されるユーザ属性、またはユーザに割り当てられるグループ ポリシーで不足しているすべての属性が提供されます。

5. ASAで割り当てられたデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト属性は、DAP、ユーザ属性、グループ ポリシー、または接続プロファイルで不足している値を提供します。

図 C-1 ポリシー実施フロー

 

外部 LDAP サーバの設定

VPN 3000 コンセントレータと ASA/PIX 7.0 では、認証作業に Cisco LDAP スキーマが必要でした。バージョン 7.1.x 以降では、ASAは、ネイティブ LDAP スキーマを使用して認証 および 認可を行うため、Cisco スキーマは必要とされません。

認可(権限ポリシー)の設定は、LDAP 属性マップを使用して行います。例については、
「Active Directory/LDAP VPN のリモート アクセス認可の使用例」を参照してください。

この項では、LDAP サーバの構造、スキーマ、および属性について説明します。次の項目について説明します。

「LDAP 操作のためのセキュリティ アプライアンスの構成」

「セキュリティ アプライアンスの LDAP コンフィギュレーションの定義」

「Active Directory/LDAP VPN のリモート アクセス認可の使用例」

上記のプロセスは、使用する LDAP サーバのタイプによって異なります。


) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。


LDAP 操作のためのセキュリティ アプライアンスの構成

この項では、LDAP 階層、およびASAの LDAP サーバへの認証済みバインディング内で検索を実行する方法について説明します。次の項目について説明します。

「階層の検索」

「セキュリティ アプライアンスと LDAP サーバのバインディング」

「Active Directory の Login DN の例」

LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメンバーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 C-2 を参照してください。

マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。

図 C-2 マルチレベルの LDAP 階層

 

階層の検索

ASAでは、LDAP 階層内での検索を調整できます。ASAに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合わせて使用することにより、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。

LDAP Base DN は、サーバがASAから認可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。

Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりもかなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツリー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索の方が広範囲に検索できます。

Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な名前属性には、cn(通常名)、sAMAccountName、および userPrincipalName を含めることができます。

図 C-2 では、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 C-1 は、使用可能な 2 種類の検索のコンフィギュレーションを示します。

最初のコンフィギュレーションの例では、Terry が必要な LDAP 認可を得て自身の IPsec トンネル接続を確立すると、ASA は LDAP サーバに検索要求を送信します。この要求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検索は短時間でできます。

2 番目のコンフィギュレーションの例では、ASAは、Terry を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。

 

表 C-1 検索コンフィギュレーションの例

#
LDAP Base DN
検索範囲
名前属性
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索が高速

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

セキュリティ アプライアンスと LDAP サーバのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、ASAに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。ASAは、Login Distinguished Name(DN; 認定者名)とログイン パスワードを使用して、LDAP サーバとの信頼(バインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。

バインディング時、ASAは、サーバに対する認証を Login DN とログイン パスワードを使用して行います。Microsoft Active Directory の読み取り専用操作(認証、認可、グループ検索など)を行うとき、セキュリティ アプライアンスは特権の低い Login DN とバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの一部を指定する必要があります。

Login DN の例を次に示します。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com

セキュリティ アプライアンスは次の項目をサポートしています。

暗号化されていないパスワードを使用したポート 389 での簡易 LDAP 認証

ポート 636 でのセキュアな LDAP(LDAP-S)

Simple Authentication and Security Layer(SASL)MD5

SASL Kerberos

セキュリティ アプライアンスは匿名認証をサポートしていません。


) LDAP クライアントとして、ASAは、匿名のバインドまたは要求の送信をサポートしていません。


Active Directory の Login DN の例

Login DN は、ユーザ検索が行われる前に、ASAがバインドの交換中に LDAP クライアントと LDAP サーバ間の信頼性を確立するために使用する LDAP サーバ上のユーザ名です。

VPN の認証/認可の操作、および、バージョン 8.0.4 以降の AD グループの取得(password-management の変更が不要なときの読み取り専用操作)では、特権の低い Login DN を使用できます。たとえば、Login DN には、Domain Users グループの memberOf で指定されているユーザを指定できます。

VPN の password-management の変更では、Login DN にはアカウント オペレータの特権が必要となります。

これらのいずれの場合でも、Login/Bind DN には、スーパーユーザ レベルの特権は必要ありません。特定の Login DN 要件については、LDAP アドミニストレータ ガイドを参照してください。

セキュリティ アプライアンスの LDAP コンフィギュレーションの定義

この項では、LDAP AV-pair 属性の構文の定義方法について説明します。次の項目について説明します。

「LDAP 認可でサポートされている Cisco 属性」

「Cisco-AV-Pair 属性の構文」

「Cisco-AV-Pair の ACL 例」


) ASAは、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、名前ではなく数値の ID が使用されます。

認可では、権限または属性を使用するプロセスを参照します。認証サーバまたは認可サーバとして定義されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。

ソフトウェア バージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。バージョン 7.1 以降では、このプレフィックスは削除されています。


LDAP 認可でサポートされている Cisco 属性

この項では、ASA 5500、VPN 3000、および PIX 500 シリーズのASAで使用される属性の詳細なリスト( 表 C-2 )を示します。この表には、これらのASAを組み合わせたネットワーク構成に役立つ VPN 3000 と PIX 500 シリーズの属性サポート情報が含まれています。

 

表 C-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco 属性

属性名/
VPN 3000
ASA
PIX
構文/
タイプ
シングルまたはマルチ値
有効な値

Access-Hours

Y
Y
Y
文字列
シングル
time-range の名前
(Business-Hours など)

Allow-Network-Extension- Mode

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

整数

シングル

1 ~ 35791394 分

Authorization-Required

Y

整数

シングル

0 = No
1 = Yes

Authorization-Type

Y

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Banner1

Y

Y

Y

文字列

シングル

クライアントレス SSL VPN、クライアント SSL VPN、および IPsec クライアントのバナー文字列

Banner2

Y

Y

Y

文字列

シングル

クライアントレス SSL VPN、クライアント SSL VPN、および IPsec クライアントのバナー文字列

Cisco-AV-Pair

Y

Y

Y

文字列

マルチ

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、 Cisco-AV-Pair 属性の構文を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

文字列

シングル

IPsec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

整数

シングル

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

文字列

シングル

IP アドレス

DN-Field

Y

Y

Y

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

Firewall-ACL-In

Y

Y

文字列

シングル

アクセス リスト ID

Firewall-ACL-Out

Y

Y

文字列

シングル

アクセス リスト ID

Group-Policy

Y

Y

文字列

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IE-Proxy-Bypass-Local

ブーリアン

シングル

0=ディセーブル
1=イネーブル

IE-Proxy-Exception-List

文字列

シングル

DNS ドメインのリスト。エントリは改行文字シーケンス(\n)で区切る必要があります。

IE-Proxy-Method

Y

Y

Y

整数

シングル

1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = ASA 設定を使用する

IE-Proxy-Server

Y

Y

Y

整数

シングル

IP アドレス

IETF-Radius-Class

Y

Y

Y

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、Group-Policy 属性の使用をお勧めします。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

文字列

シングル

ASAで定義されたアクセス リスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

文字列

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

文字列

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

整数

シングル

IETF-Radius-Service-Type

Y

Y

Y

整数

シングル

1 = Login
2 = Framed
5 = リモート アクセス
6 = Administrative
7 = NAS Prompt

IETF-Radius-Session-Timeout

Y

Y

Y

整数

シングル

IKE-Keep-Alives

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Allow-Passwd-Store

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Authentication

Y

Y
Y
整数
シングル
0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI(RSA)
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

IPsec-Auth-On-Rekey

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Backup-Server-List

Y

Y

Y

文字列

シングル

サーバ アドレス(スペース区切り)

IPsec-Backup-Servers

Y

Y

Y

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPsec-Client-Firewall-Filter- Name

Y

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPsec-Client-Firewall-Filter- Optional

Y

Y

Y

整数

シングル

0 = 必須
1 = オプション

IPsec-Default-Domain

Y

Y

Y

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPsec-Extended-Auth-On-Rekey

Y

Y

文字列

シングル

IPsec-IKE-Peer-ID-Check

Y

Y

Y

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPsec-IP-Compression

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Mode-Config

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP-Port

Y

Y

Y

整数

シングル

4001 ~ 49151、デフォルトは 10000

IPsec-Required-Client-Firewall-
Capability

Y

Y

Y

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPsec-Sec-Association

Y

文字列
シングル
セキュリティ アソシエーションの名前

IPsec-Split-DNS-Names

Y

Y

Y

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPsec-Split-Tunneling-Policy

Y

Y

Y

整数

シングル

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPsec-Split-Tunnel-List

Y

Y

Y

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPsec-Tunnel-Type

Y

Y

Y

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPsec-User-Group-Lock

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

文字列

シングル

IP アドレス

PFS-Required

Y

Y

Y

ブーリアン

シングル

0 = No
1 = Yes

Port-Forwarding-Name

Y

Y

文字列

シングル

名前の文字列(「Corporate-Apps」など)

PPTP-Encryption

Y

整数

シングル

ビットマップ:

1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Primary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

Privilege-Level

Required-Client- Firewall-Vendor-Code

Y

Y

Y

整数

シングル

1 = シスコ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

文字列

シングル

文字列

Required-Client-Firewall- Product-Code

Y

Y

Y

整数

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
文字列
シングル
IP アドレス

Secondary-WINS

Y
Y
Y
文字列
シングル
IP アドレス

SEP-Card-Assignment

整数
シングル
使用しない

Simultaneous-Logins

Y
Y
Y
整数
シングル
0-2147483647

Strip-Realm

Y

Y

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

シングル

TACACS-Privilege-Level

Y

Y

Y

整数

シングル

Tunnel-Group-Lock

Y

Y

文字列

シングル

トンネル グループの名前または「none」

Tunneling-Protocols

Y

Y

Y

整数
シングル

1 = PPTP
2 = L2TP
4 = IPsec(IKEv1)
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec(IKEv2)
8 および 4 は相互排他値
(有効な値は 0 ~ 11、16 ~ 27、32 ~ 43、48 ~ 59 です)。

Use-Client-Address

Y

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

文字列

シングル

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

整数

シングル

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

文字列

シングル

サーバのパスワード

WebVPN-ACL-Filters

Y

文字列

シングル

Webtype のアクセス リスト名

WebVPN-Apply-ACL-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、この属性は必要とされません。

WebVPN-Citrix-Support-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、この属性は必要とされません。

WebVPN-Enable-functions

整数

シングル

使用しない(廃止)

WebVPN-Exchange-Server- Address

文字列

シングル

使用しない(廃止)

WebVPN-Exchange-Server- NETBIOS-Name

文字列

シングル

使用しない(廃止)

WebVPN-File-Access-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-
Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

文字列

シングル

ポート転送リスト名

WebVPN-Homepage

Y

Y

文字列

シングル

URL(http://example-portal.com など)

WebVPN-Macro-Substitution-
Value1

Y

Y

文字列

シングル

例および使用例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Substitution-
Value2

Y

Y

文字列

シングル

例および使用例については、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

文字列

シングル

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

整数

シングル

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

整数

シングル

0 = ディセーブル
n = デッドピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Keepalive

Y

Y

整数

シングル

0 = ディセーブル
n = キープアライブ値(15 ~ 600 秒)

WebVPN-SVC-Keep-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

整数

シングル

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

整数

シングル

0 = ディセーブル
n = 分単位の再試行間隔
(4 ~10080 分)

WebVPN-SVC-Required-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

文字列

シングル

URL リスト名

Cisco-AV-Pair 属性の構文

Cisco Attribute Value(AV)ペア(ID# 26/9/1)を使用して、(Cisco ACS のような)Radius サーバから、または ldap-attribute-map 経由で LDAP サーバから、アクセス リストを適用できます。

Cisco-AV-Pair ルールの構文は次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 C-3 で構文のルールについて説明します。

 

表 C-3 AV-Pair 属性の構文ルール

フィールド
説明

Prefix

AV ペアの固有の識別子。例: ip:inacl#1= (標準アクセス リスト用)または webvpn:inacl# (クライアントレス SSL VPN アクセス リスト用)。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Action

deny、permit など、ルールが一致した場合に実行するアクション。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、ip、tcp、udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。ASAがソース/プロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。ASAがソース/プロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。

Destination

パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するには、このキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

Cisco-AV-Pair の ACL 例

表 C-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。


) inacl# の各 ACL # は固有である必要があります。ただし、これらはシーケンシャル(つまり、1、2、3、4)である必要はありません。たとえば、5、45、135 のように設定できます。


表 C-4 Cisco-AV-Pair の例とアクションの許可または拒否

 

Cisco-AV-Pair の例
アクションの許可または拒否
ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log

フルトンネル IPsec または SSL VPN クライアントを使用した、2 つのホスト間の IP トラフィックを許可します。

ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log

フルトンネル IPsec または SSL VPN クライアントのみを使用した、すべてのホストからポート 80 の特定のホストへの TCP トラフィックを許可します。

webvpn:inacl#1=permit url http://www.website.com
webvpn:inacl#2=deny url smtp://server
webvpn:inacl#3=permit url cifs://server/share

指定 URL へのクライアントレス トラフィックを許可し、特定サーバへの smtp トラフィックを拒否し、指定サーバへのファイル共有アクセス(CIFS)を許可します。

webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log
webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log

非デフォルト ポートの 2323 で telnet を拒否し、非デフォルト ポートの 2222 で SSH を許可します。

webvpn:inacl#1=permit url ssh://10.86.1.2
webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log
webvpn:inacl#48=deny url telnet://10.86.1.2
webvpn:inacl#100=deny tcp 10.86.1.6 eq 23

デフォルト ポートの 22 と 23 で、それぞれ SSH を許可します。この例では、これらの ACL で実施される telnet/ssh java プラグインを使用していることを前提としています。

ACL でサポートされている URL タイプ

サーバのワイルド カード、またはポートが含まれる部分的な URL です。

次の URL タイプがサポートされています。

すべての URL

http://

nfs://

sametime://

telnet://

cifs://

https://

pop3://

smart-tunnel://

tn3270://

citrix://

ica://

post://

smtp://

tn5250://

citrixs://

imap4://

rdp://

ssh://

vnc://

ftp://


) 上記に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうかにより、CLI または ASDM のメニューに表示されます。


Cisco-AV-Pair(ACL)使用のガイドライン

リモート IPsec トンネルおよび SSL VPN Client(SVC)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィクス ip:inacl# を追加して使用してください。

SSL VPN クライアントレス(ブラウザモード)トンネルにアクセス リストを適用するには、Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。

Webtype ACL ではASAがソースとなるため、ソースを指定しないでください。

表 C-5 に、Cisco-AV-Pair 属性のトークンの一覧を示します。

 

表 C-5 セキュリティ アプライアンスでサポートされるトークン

トークン
構文のフィールド
説明

ip:inacl# Num =

該当なし(識別子)

Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始します。リモート IPsec トンネルと SSL VPN(SVC)トンネルにアクセス リストを適用します。

webvpn:inacl# Num =

該当なし(識別子)

Num は固有の整数)。クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルにアクセス リストを適用します。

deny

Action

アクションを拒否します。(デフォルト)

permit

Action

アクションを許可します。

icmp

Protocol

インターネット制御メッセージ プロトコル(ICMP)

1

Protocol

インターネット制御メッセージ プロトコル(ICMP)

IP

Protocol

インターネット プロトコル(IP)

0

Protocol

インターネット プロトコル(IP)

TCP

Protocol

伝送制御プロトコル(TCP)

6

Protocol

伝送制御プロトコル(TCP)

UDP

Protocol

ユーザ データグラム プロトコル(UDP)

17

Protocol

ユーザ データグラム プロトコル(UDP)

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字文字列。

log

Log

イベントが一致すると、フィルタ ログ メッセージが表示されます (permit and log または deny and log の場合と同様)。

lt

Operator

値より小さい

gt

Operator

値より大きい

eq

Operator

値と等しい

neq

Operator

値と等しくない

range

Operator

この範囲に含まれる。range の後に 2 つの値を続けます。

Active Directory/LDAP VPN のリモート アクセス認可の使用例

この項では、Microsoft Active Directory サーバを使用しているASAで認証および認可を設定するための手順の例を示します。次の使用例を取り上げます。

「ユーザベースの属性ポリシーの適用」

「特定のグループ ポリシーへの LDAP ユーザの配置」

「AnyConnect トンネルへのスタティック IP アドレスの割り当て」

「ダイヤルインの許可または拒否アクセスの適用」

「ログイン時間と Time-of-Day ルールの適用」

その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。

『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』

(http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml)

ユーザベースの属性ポリシーの適用

すべての標準 LDAP 属性は、予約済みの Vendor Specific Attribute(VSA; ベンダー固有属性)にマッピングできます。同様に、1 つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマッピングできます。

この使用例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するようにASAを設定します。この場合、サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドでは、physicalDeliveryOfficeName という名前の属性を使用します。ASAで、physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングする属性マップを作成します。認証の間に、ASAはサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco 属性 Banner1 にマッピングしてユーザにバナーを表示します。

この使用例は、IPsec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 はクライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD/LDAP サーバ上のユーザに属性を設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 C-3)。[General] タブをクリックして、[Office] フィールドにバナー テキストを入力します。[Office] フィールドでは、AD/LDAP 属性である physicalDeliveryOfficeName を使用します。

図 C-3 図 3 LDAP ユーザの設定

 

ステップ 2 ASAに、LDAP 属性マップを作成します。

Banner マップを作成し、AD/LDAP 属性である physicalDeliveryOfficeName を Cisco 属性である Banner1 にマッピングする例を次に示します。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 3 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した Banner 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 4 バナーの適用をテストします。

クライアントレス SSL 接続と、ユーザ認証後に属性マップ経由で適用されたバナーを次の例に示します(図 C-4)。

図 C-4 表示されたバナー

 

特定のグループ ポリシーへの LDAP ユーザの配置

この使用例では、AD の LDAP サーバの User1 を、ASAの特定のグループ ポリシーに対して認証します。サーバで、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次に、属性マップを作成し、[Department] を Cisco 属性である IETF-Radius-Class にマッピングします。認証の間に、ASAはサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループ ポリシーに配置します。

この使用例は、IPsec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 はクライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD の LDAP サーバのユーザに属性を設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 C-5)。[Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。

図 C-5 AD の LDAP の [Department] 属性

 

ステップ 2 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを定義します。

この使用例では、AD 属性である Department を Cisco 属性である IETF-Radius-Class にマッピングします。次に例を示します。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 3 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した group_policy 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 4 ASA で新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー属性を設定します。この例では、サーバの [Department] フィールドに入力された Group-policy-1 を作成しました。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 5 ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からの属性(およびデフォルト group-policy からの適用可能なすべての属性)を継承していることを確認します。

特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、ASAとサーバ間の通信をモニタすることができます。このコマンドの出力例を次に示します。この出力はキー メッセージを提供するために編集されています。

[29] Authentication successful for user1 to 3.3.3.4

[29] Retrieving user attributes from server 3.3.3.4

[29] Retrieved Attributes:

[29] department: value = Group-Policy-1

[29] mapped to IETF-Radius-Class: value = Group-Policy-1

AnyConnect トンネルへのスタティック IP アドレスの割り当て

この使用例では、AnyConnect クライアント ユーザ Web1 がスタティック IP アドレスを受信するように設定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドでは、msRADIUSFramedIPAddress 属性を使用します。この属性を Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングする属性マップを作成します。

認証の間に、ASAはサーバから msRADIUSFramedIPAddress の値を取得し、その値を Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティック アドレスを提供します。

この使用例は、IPsec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x およびレガシー SSL VPN クライアント)などのフルトンネル クライアントに適用されます。


ステップ 1 AD の LDAP サーバでユーザ属性を設定します。

ユーザ名を右クリックします。プロパティ ウィンドウが表示されます(図 C-6)。[Dialin] タブをクリックして [Assign Static IP Address] をチェックし、IP アドレスを入力します。この例では、3.3.3.233 を使用します。

図 C-6 スタティック IP アドレスの割り当て

 

ステップ 2 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを作成します。

この例では、[Static Address] フィールドで使用された AD 属性である msRADIUSFramedIPAddress を、Cisco 属性である IETF-Radius-Framed-IP-Address にマッピングします。

次に例を示します。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 3 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した static_address 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 4 vpn-address-assigment コマンドが aaa を指定するように設定されているかどうかを、 show run all vpn-addr-assign コマンドでコンフィギュレーションのこの部分を表示して確認します。

vpn-addr-assign aaa

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa <<<< ensure this configured.
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#

 

ステップ 5 ASAと AnyConnect クライアントとの接続を確立します。次のことを確認します。

バナーがクライアントレス接続と同じシーケンスで受信されている(図 C-7)。

ユーザが、サーバで設定され、ASAにマッピングされた IP アドレスを受信している(図 C-8)。

図 C-7 AnyConnect セッションのバナーの確認

 

図 C-8 確立された AnyConnect セッション

 

 

show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアドレスを確認できます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 3.3.3.233 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : UseCase3_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 
BXB-ASA5540#

ダイヤルインの許可または拒否アクセスの適用

この使用例では、ユーザが許可するトンネリング プロトコルを指定する LDAP 属性マップを作成します。[Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco 属性である Tunneling-Protocol にマッピングします。Cisco の Tunneling-Protocol は、 表 C-6 に示すように、ビットマップ値をサポートしています。

表 C-6 Cisco Tunneling-Protocol 属性のビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPsec(IKEv1)

82

L2TP/IPSEC

16

クライアントレス SSL

32

SSL クライアント:AnyConnect またはレガシー SSL VPN クライアント

64

IPsec(IKEv2)

1.IPsec と L2TP over IPsec は同時にサポートされません。そのため、値 4 と 8 は相互排他値となります。

2.注 1 を参照してください。

この属性を使用して、プロトコルの [Allow Access](TRUE)または [Deny Access](FALSE)の条件を作成し、ユーザがアクセスを許可される方法を適用します。

この簡単な例では、tunnel-protocol である IPsec/IKEv1(4)をマッピングすることで、以前の Cisco VPN クライアントの許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48(16+32)としてマッピングし、拒否(false)条件を作成します。これにより、ユーザは IPsec を使用して ASA に接続できますが、クライアントレス SSL または AnyConnect クライアントを使用すると、接続は拒否されます。

ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テクニカル ノートを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml


ステップ 1 AD の LDAP サーバでユーザ属性を設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます。[Dial-in] タブをクリックします。[Allow Access] を選択します(図 C-9)。

図 C-9 AD-LDAP user1 の [Allow access]

 


) 3 番目のオプションである [Control access through the Remote Access Policy] を選択した場合、値はサーバから返されず、適用される権限は、ASAの内部グループ ポリシー設定に基づきます。


ステップ 2 IPsec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否する属性マップを作成します。

この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD 属性 msNPAllowDialin を map-name コマンドを使用して Cisco 属性 Tunneling-Protocols にマッピングし、マップ値を map-value コマンドで追加します。

次に例を示します。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 3 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した tunneling_protocols 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 4 属性マップが設定したとおりに動作することを確認します。

リモート ユーザが使用する PC で、クライアントレス SSL、AnyConnect クライアント、および IPsec クライアントを使用して接続を試みます。クライアントレス SSL と AnyConnect の接続に失敗し、ユーザには、接続の失敗原因が許可されていない接続メカニズムにあることが通知されます。IPsec クライアントの接続は成功します。これは、属性マップに従って IPsec にトンネリング プロトコルが許可されているためです。

図 C-10 クライアントレス ユーザへのログイン拒否メッセージ

 

図 C-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ

 

ログイン時間と Time-of-Day ルールの適用

この使用例では、クライアントレス SSL ユーザがネットワークへアクセスできる時間を設定して適用します。たとえば、ビジネス パートナーがネットワークへアクセスできる時間を、通常の営業時間内に限定する場合があります。

この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィールドでは、physicalDeliveryOfficeName 属性を使用します。次に、ASAで属性マップを作成し、その属性を Cisco 属性である Access-Hours にマッピングします。認証の間に、ASAはサーバから physicalDeliveryOfficeName([Office] フィールド)の値を取得し、それを Access-Hours にマッピングします。


ステップ 1 AD の LDAP サーバでユーザ属性を設定します。

ユーザを選択します。[Properties] を右クリックします。プロパティ ウィンドウが表示されます(図 C-12)。ここでは、[General] タブの [Office] フィールドを使用します。

図 C-12 Active Directory のプロパティ ウィンドウ

 

ステップ 2 属性マップを作成します。

この使用例では、access_hours 属性マップを作成し、[Office] フィールドで使用される AD 属性 physicalDeliveryOfficeName を、Cisco 属性 Access-Hours にマッピングします。

次に例を示します。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 3 LDAP 属性マップを AAA サーバに関連付けます。

AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを開始し、ステップ 2 で作成した access_hours 属性マップを関連付ける例を次に示します。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 4 各値にサーバで許可された時間範囲を設定します。この例では、User1 の [Office] フィールドに Partner と入力しました。そのため、この Partner に対する時間範囲を設定する必要があります。次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00


 

外部 RADIUS サーバの設定

この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。次の項目について説明します。

「RADIUS 設定手順の確認」

「セキュリティ アプライアンスの RADIUS 認可属性」

「セキュリティ アプライアンスの IETF RADIUS 認可属性」

RADIUS 設定手順の確認

この項では、ASAのユーザ認証および認可をサポートするために必要な RADIUS 設定手順について説明します。次の手順に従って、ASAと相互作用する RADIUS サーバをセットアップします。


ステップ 1 ASAの属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。

Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがって、この手順をスキップできます。

FUNK RADIUS サーバを使用している場合:シスコは、ASAの属性がすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたはASAの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):ASAの各属性を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。ASAの RADIUS 認可属性および値のリストについては、を参照してください。

ステップ 2 権限および属性を持つユーザまたはグループをセットアップし、IPsec または SSL トンネルの確立時に送信します。


 

セキュリティ アプライアンスの RADIUS 認可属性

認可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。

表 C-7 に、ユーザ認可に使用でき、ASAがサポートしている使用可能なすべての RADIUS 属性の一覧を示します。


) RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含まれています。アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を使用します。LDAP 属性は、ID ではなく属性名で使用します。


 

表 C-7 セキュリティ アプライアンスでサポートされる RADIUS 属性と値

属性名
VPN 3000
ASA
PIX
属性 #
構文/タイプ
シングルまたはマルチ値
説明または値

Access-Hours

Y

Y

Y

1

文字列

シングル

時間範囲の名前(Business-hours など)

Simultaneous-Logins

Y

Y

Y

2

整数

シングル

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

シングル

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

シングル

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

シングル

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

シングル

IP アドレス

SEP-Card-Assignment

9

整数

シングル

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

シングル

1 = PPTP
2 = L2TP
4 = IPsec(IKEv1)
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec(IKEv2)
8 および 4 は相互排他値
(有効な値は 0 ~ 11、16 ~ 27、32 ~ 43、48 ~ 59 です)。

IPsec-Sec-Association

Y

12

文字列

シングル

セキュリティ アソシエーションの名前

IPsec-Authentication

Y

13

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

文字列

シングル

バナー文字列

IPsec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

PPTP-Encryption

Y

20

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

Group-Policy

Y

Y

25

文字列

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこの属性を使用します。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IPsec-Split-Tunnel-List

Y

Y

Y

27

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたはアクセス リストの名前を指定します。

IPsec-Default-Domain

Y

Y

Y

28

文字列

シングル

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPsec-Split-DNS-Names

Y

Y

Y

29

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPsec-Tunnel-Type

Y

Y

Y

30

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPsec-Mode-Config

Y

Y

Y

31

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-User-Group-Lock

Y

33

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP

Y

Y

Y

34

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Over-UDP-Port

Y

Y

Y

35

整数

シングル

4001 ~ 49151、デフォルトは 10000

Banner2

Y

Y

Y

36

文字列

シングル

Banner1 文字列に連結されているバナー文字列(設定されている場合)。

PPTP-MPPC-Compression

Y

37

整数

シングル

0 = ディセーブル
1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

シングル

0 = ディセーブル
1 = イネーブル

IPsec-IP-Compression

Y

Y

Y

39

整数

シングル

0 = ディセーブル
1 = イネーブル

IPsec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

シングル

1 = シスコ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:
1 = BlackIce Defender/Agent

Sygate 製品:
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

シングル

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

シングル

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

シングル

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

シングル

0 = ディセーブル
1 = イネーブル

IPsec-Split-Tunneling-Policy

Y

Y

Y

55

整数

シングル

0 = スプリット トンネリングなし
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPsec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPsec-Client-Firewall-Filter-Name

Y

57

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPsec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

シングル

0 = 必須
1 = オプション

IPsec-Backup-Servers

Y

Y

Y

59

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバ リストを使用する

IPsec-Backup-Server-List

Y

Y

Y

60

文字列

シングル

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y

Y

Y

61

文字列

シングル

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

シングル

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Authorization-Required

Y

66

整数

シングル

0 = No
1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

シングル

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

シングル

1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

文字列

シングル

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

シングル

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

シングル

アクセス リスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

シングル

URL(http://example-portal.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

シングル

IPsec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

シングル

名前の文字列(「Corporate-Apps」など)

このテキストでクライアントレス ポータル ホームページのデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

文字列

シングル

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

シングル

1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

文字列

シングル

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

シングル

0 = なし
1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

シングル

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

シングル

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

シングル

アクセス リスト ID

Access-List-Outbound

Y

Y

87

文字列

シングル

アクセス リスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

シングル

0 = No
1 = Yes

NAC-Enable

Y

89

整数

シングル

0 = No
1 = Yes

NAC-Status-Query-Timer

Y

90

整数

シングル

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

シングル

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセス リスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

シングル

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

シングル

0 = ディセーブル
1 = イネーブル

SVC-Keepalive

Y

Y

107

整数

シングル

0 = オフ
15 ~ 600 秒

SVC-DPD-Interval-Client

Y

Y

108

整数

シングル

0 = オフ
5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

Y

109

整数

シングル

0 = オフ
5 ~ 3600 秒

SVC-Rekey-Time

Y

110

整数

シングル

0 = ディセーブル
1 ~ 10080 分

WebVPN-Deny-Message

Y

116

文字列

シングル

有効な文字列(500 文字以内)

Extended-Authentication-On-Rekey

Y

Y

122

整数

シングル

0 = ディセーブル
1 = イネーブル

SVC-DTLS

Y

123

整数

シングル

0 = False
1 = True

SVC-MTU

Y

125

整数

シングル

MTU 値
256 ~ 1406 バイト

SVC-Modules

Y

127

文字列

シングル

文字列(モジュールの名前)

SVC-Profiles

Y

128

文字列

シングル

文字列(プロファイルの名前)

SVC-Ask

Y

131

文字列

シングル

0 = ディセーブル
1 = イネーブル
3 = デフォルト サービスをイネーブルにする
5 = デフォルト クライアントレスをイネーブルにする
(2 と 4 は使用しない)

SVC-Ask-Timeout

Y

132

整数

シングル

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

文字列

シングル

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブーリアン

シングル

0 = ディセーブル
1 = イネーブル

Smart-Tunnel

Y

136

文字列

シングル

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

整数

シングル

0 = ディセーブル
Otherwise = イネーブル

Smart-Tunnel-Auto

Y

138

整数

シングル

0 = ディセーブル
1 = イネーブル
2 =自動スタート

Smart-Tunnel-Auto-Signon-Enable

Y

139

文字列

シングル

ドメイン名が付加された Smart Tunnel Auto Signon リストの名前

VLAN

Y

140

整数

シングル

0 ~4094

NAC-Settings

Y

141

文字列

シングル

NAC ポリシーの名前

Member-Of

Y

Y

145

文字列

シングル

カンマ区切りの文字列。例:

エンジニアリング、営業

これは、ダイナミック アクセス ポリシーで使用できる管理属性です。グループ ポリシーは設定されません。

Address-Pools

Y

Y

217

文字列

シングル

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

文字列

シングル

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

文字列

シングル

ACL 値

Privilege-Level

Y

Y

220

整数

シングル

0 ~ 15 の整数。

WebVPN-Macro-Value1

Y

223

文字列

シングル

無制限。例および使用例については、次の URL にある『
SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Value2

Y

224

文字列

シングル

無制限。例および使用例については、次の URL にある『
SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

セキュリティ アプライアンスの IETF RADIUS 認可属性

表 C-8 に、使用可能なすべての IETF Radius 属性の一覧を示します。

表 C-8 セキュリティ アプライアンスでサポートされる IETF RADIUS 属性と値

属性名
VPN 3000
ASA
PIX
属性 #
構文/タイプ
シングルまたはマルチ
説明または値

IETF-Radius-Class

Y

Y

Y

25

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、Group-Policy 属性の使用をお勧めします。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

11

文字列

シングル

ASAで定義されたアクセス リスト名。これは、フルトンネルの IPsec クライアントと SSL VPN クライアントのみに適用されます。

IETF-Radius-Framed-IP-Address

Y

Y

Y

該当なし

文字列

シングル

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

該当なし

文字列

シングル

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

28

整数

シングル

IETF-Radius-Service-Type

Y

Y

Y

6

整数

シングル

秒。使用可能なサービス タイプの値:
.Administrative:ユーザは configure プロンプトへのアクセスを許可されています。

.NAS-Prompt:ユーザは exec プロンプトへのアクセスを許可されています。

.remote-access:ユーザはネットワーク アクセスを許可されています。

IETF-Radius-Session-Timeout

Y

Y

Y

27

整数

シングル

外部 TACACS+ サーバの設定

ASA は、TACACS+ 属性をサポートします。TACACS+ は、認証、認可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。


) TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。


表 C-9 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 認可応答属性の一覧を示します。 表 C-10 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。

 

表 C-9 サポートされる TACACS+ 認可応答属性

属性
説明

acl

接続に適用する、ローカルで設定済みのアクセス リストを識別します。

idletime

認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。

timeout

認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。

.

表 C-10 サポートされる TACACS+ アカウンティング属性

属性
説明

bytes_in

この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。

cmd

実行するコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

切断理由を特定する数字コードを示します(ストップ レコードのみ)。

elapsed_time

接続の経過時間(秒)を定義します(ストップ レコードのみ)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

local_ip

トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求に対するユーザの権限レベル、または 1 に設定されます。

rem_iddr

クライアントの IP アドレスを示します。

service

使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェル」に設定されます。

task_id

アカウンティング トランザクションに固有のタスク ID を指定します。

username

ユーザの名前を示します。