Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
aaa accounting command コマンド~ accounting-server-group コマンド
aaa accounting command コマンド~ accounting-server-group コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

aaa accounting command コマンド~ accounting-server-group コマンド

aaa accounting command

aaa accounting console

aaa accounting include、exclude

aaa accounting match

aaa authentication console

aaa authentication include、exclude

aaa authentication listener

aaa authentication match

aaa authentication secure-http-client

aaa authorization command

aaa authorization exec authentication-server、LOCAL

aaa authorization include、exclude

aaa authorization match

aaa local authentication attempts max-fail

aaa mac-exempt

aaa proxy-limit

aaa-server

aaa-server active、fail

aaa-server host

absolute

accept-subordinates

access-group

access-list alert-interval

access-list deny-flow-max

access-list ethertype

access-list extended

access-list remark

access-list rename

access-list standard

access-list webtype

accounting-mode

accounting-port

accounting-server-group

aaa accounting command コマンド~ accounting-server-group コマンド

aaa accounting command

show コマンドを除くすべてのコマンドを CLI で入力するときにアカウンティング メッセージを TACACS+ アカウンティング サーバに送信するには、グローバル コンフィギュレーション モードで aaa accounting command コマンドを使用します。コマンド アカウンティングへのサポートをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting command [ privilege level ] tacacs+- server-tag

no aaa accounting command [ privilege level ] tacacs+- server-tag

 
構文の説明

tacacs+- server-tag

aaa-server protocol コマンドで指定される、アカウンティング レコードの送信先となるサーバまたは TACACS+ サーバ グループを指定します。

privilege level

privilege コマンドを使用してコマンドの特権レベルをカスタマイズする場合、最低の特権レベルを指定することによって、適応型セキュリティ アプライアンスで考慮するコマンドを制限できます。適応型セキュリティ アプライアンスでは最低の特権レベルよりも低いコマンドは考慮されません。

キーワードを必ずディセーブルにします。非推奨のコマンドの多くは CLI ではまだ受け入れられ、CLI で現在受け入れられるコマンドに変換されます。これらのコマンドは、CLI ヘルプまたはこのマニュアルには含まれていません。

 
デフォルト

デフォルトの特権レベルは 0 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

aaa accounting command コマンドを設定すると、管理者によって入力される、 show コマンド以外の各コマンドは、記録されてアカウンティング サーバ(複数可)に送信されます。

次に、サポートされる任意のコマンドについてアカウンティング レコードが生成され、これらのレコードが adminserver という名前のグループのサーバに送信される例を示します。

hostname(config)# aaa accounting command adminserver
 

 
関連コマンド

コマンド
説明

aaa accounting

aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。

clear configure aaa

設定済みの AAA アカウンティング値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa accounting console

管理アクセス用の AAA アカウンティングのサポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting console コマンドを使用します。管理アクセス用の AAA アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting { serial | telnet | ssh | enable } console server-tag

no aaa accounting { serial | telnet | ssh | enable } console server-tag

 
構文の説明

enable

特権 EXEC モードの開始または終了を示すアカウンティング レコードの生成をイネーブルにします。

serial

シリアル コンソール インターフェイスを介して確立される管理セッションの確立および終了を示すアカウンティング レコードの生成をイネーブルにします。

server-tag

アカウンティング レコードの送信先となる、 aaa-server protocol コマンドによって定義されるサーバ グループを指定します。有効なサーバ グループ プロトコルは RADIUS および TACACS+ です。

ssh

SSH を介して作成される管理セッションの確立および終了を示すアカウンティング レコードの生成をイネーブルにします。

telnet

Telnet を介して作成される管理セッションの確立および終了を示すアカウンティング レコードの生成をイネーブルにします。

 
デフォルト

デフォルトでは、管理アクセス用の AAA アカウンティングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

サーバ グループの名前( aaa-server コマンドで事前に指定したもの)を指定する必要があります。

次に、イネーブル アクセスについてアカウンティング レコードが生成され、これらのレコードが adminserver という名前のサーバに送信される例を示します。

hostname(config)# aaa accounting enable console adminserver

 
関連コマンド

コマンド
説明

aaa accounting match

aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。

aaa accounting command

管理者(ユーザ)によって入力された、各コマンドまたは指定した特権レベル以上のコマンドを記録し、アカウンティング サーバ(複数可)に送信するように指定します。

clear configure aaa

設定済みの AAA アカウンティング値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa accounting include、exclude

適応型セキュリティ アプライアンスを介した TCP または UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting include コマンドを使用します。アカウンティングからアドレスを除外するには、 aaa accounting exclude コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

no aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

 
構文の説明

exclude

サービスとアドレスが include コマンドですでに指定されている場合、指定されたサービスとアドレスをアカウンティングから除外します。

include

アカウンティングが必要なサービスと IP アドレスを指定します。include ステートメントで指定されないトラフィックは処理されません。

inside_ip

セキュリティの高い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。すべてのホストを指定するには、0 を指定します。

inside_mask

内部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

interface_name

ユーザがアカウンティングを要求するインターフェイスの名前を指定します。

outside_ip

(任意)セキュリティの低い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。すべてのホストを指定するには、0 を指定します。

outside_mask

(任意)外部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

server_tag

aaa-server host コマンドによって定義される AAA サーバ グループを指定します。

service

アカウンティングを必要とするサービスを指定します。次のいずれかの値を指定できます。

any または tcp/0 (すべての TCP トラフィックを指定します)

ftp

http

https

ssh

telnet

tcp/ port

udp/ port

 
デフォルト

デフォルトでは、管理アクセス用の AAA アカウンティングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスを通過するすべての TCP または UDP トラフィックについてのアカウンティング情報を、RADIUS または TACACS+ サーバに送信できます。そのトラフィックが認証済みの場合、AAA サーバはユーザ名によってアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、適応型セキュリティ アプライアンスを通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。

このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。

アクセス リストで指定されるトラフィックのアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

aaa accounting include コマンドおよび exclude コマンドは、セキュリティが同じインターフェイス間では使用できません。この場合は、 aaa accounting match コマンドを使用する必要があります。

次に、すべての TCP 接続のアカウンティングをイネーブルにする例を示します。

hostname(config)# aaa-server mygroup protocol tacacs+
hostname(config)# aaa-server mygroup (inside) host 192.168.10.10 thekey timeout 20
hostname(config)# aaa accounting include any inside 0 0 0 0 mygroup
 

 
関連コマンド

コマンド
説明

aaa accounting match

アクセス リストで指定されるトラフィックのアカウンティングをイネーブルにします。

aaa accounting command

管理アクセスのアカウンティングをイネーブルにします。

aaa-server host

AAA サーバを設定します。

clear configure aaa

AAA コンフィギュレーションをクリアします。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa accounting match

適応型セキュリティ アプライアンスを介した TCP および UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting match コマンドを使用します。トラフィックのアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting match acl_name interface_name server_tag

no aaa accounting match acl_name interface_name server_tag

 
構文の説明

acl_name

access-list 名を照合することによって、アカウンティングが必要なトラフィックを指定します。アクセス リストの許可エントリはアカウンティング対象ですが、拒否エントリはアカウンティングから免除されます。このコマンドは TCP および UDP トラフィックでのみサポートされます。このコマンドを入力したとき、コマンドによって他のプロトコルを許可するアクセス リストが参照される場合、警告メッセージが表示されます。

interface_name

ユーザがアカウンティングを要求するインターフェイスの名前を指定します。

server_tag

aaa-server コマンドによって定義される AAA サーバ グループ タグを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスを通過するすべての TCP または UDP トラフィックについてのアカウンティング情報を、RADIUS または TACACS+ サーバに送信できます。そのトラフィックが認証済みの場合、AAA サーバはユーザ名によってアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、適応型セキュリティ アプライアンスを通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。

このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。

AAA サーバ プロトコル コンフィギュレーション モードで accounting-mode コマンドを使用して同時アカウンティングをイネーブルにしていない限り、アカウンティング情報はサーバ グループ内のアクティブ サーバにのみ送信されます。

aaa accounting match コマンドは、 aaa accounting include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

次に、特定のアクセス リスト acl2 に一致するトラフィックのアカウンティングをイネーブルにする例を示します。

hostname(config)# access-list acl12 extended permit tcp any any

hostname(config)# aaa accounting match acl2 outside radserver1
 

 
関連コマンド

コマンド
説明

aaa accounting include, exclude

コマンド内で IP アドレスを直接指定することによってアカウンティングをイネーブルにします。

access-list extended

アクセス リストを作成します。

clear configure aaa

AAA コンフィギュレーションを削除します。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authentication console

シリアル、SSH、HTTPS(ASDM)、または Telnet 接続を介して適応型セキュリティ アプライアンス CLI にアクセスするユーザを認証するか、 enable コマンドを使用して特権 EXEC モードにアクセスするユーザを認証するには、グローバル コンフィギュレーション モードで aaa authentication console コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication { serial | enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}

no aaa authentication { serial | enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}

 
構文の説明

enable

enable コマンドを使用して特権 EXEC モードにアクセスするユーザを認証します。

http

HTTPS を介して適応型セキュリティ アプライアンスにアクセスする ASDM ユーザを認証します。RADIUS サーバまたは TACACS+ サーバを使用する場合に設定が必要なのは、HTTPS 認証だけです。デフォルトでは、このコマンドを設定しなくても、ASDMでは認証にローカル データベースを使用します。

LOCAL

認証にローカル データベースを使用します。 LOCAL の文字は大文字と小文字が区別されます。ローカル データベースが空の場合、次の警告メッセージが表示されます。

Warning:local database is empty! Use 'username' command to define local users.
 

ローカル データベースが空になっても、 LOCAL がコンフィギュレーションに存在する場合、次の警告メッセージが表示されます。

Warning:Local user database is empty and there are still commands using 'LOCAL' for authentication.

server-tag [ LOCAL ]

aaa-server コマンドによって定義される AAA サーバ グループ タグを指定します。HTTPS 管理認証では AAA サーバ グループ用に SDI プロトコルがサポートされません。

server-tag LOCAL キーワードを追加して使用した場合、AAA サーバが使用できない場合にローカル データベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できます。 LOCAL の文字は大文字と小文字が区別されます。ローカル データベースでは、AAA サーバと同じユーザ名とパスワードを使用することを推奨します。これは、適応型セキュリティ アプライアンスでは、使用されている方式がプロンプトに表示されないためです。

serial

シリアル コンソール ポートを使用して適応型セキュリティ アプライアンスにアクセスするユーザを認証します。

ssh

SSH を使用して適応型セキュリティ アプライアンスにアクセスするユーザを認証します。

telnet

Telnet を使用して適応型セキュリティ アプライアンスにアクセスするユーザを認証します。

 
デフォルト

デフォルトでは、ローカル データベースへのフォールバックはディセーブルです。

aaa authentication telnet console コマンドが定義されていない場合、適応型セキュリティ アプライアンスのログイン パスワード( password コマンドで設定)を使用して適応型セキュリティ アプライアンス CLI にアクセスできます。

aaa authentication http console コマンドが定義されていない場合、ユーザ名と適応型セキュリティ アプライアンスのイネーブル パスワード( enable password コマンドで設定)を使用せずに適応型セキュリティ アプライアンスに(ASDM 経由で)アクセスできます。この aaa コマンドが定義されていても、HTTPS 認証要求がタイムアウトする場合(AAA サーバがダウンしているか利用できない可能性があることを暗示します)、適応型セキュリティ アプライアンスへはデフォルト管理者のユーザ名とイネーブル パスワードを使用してアクセスできます。デフォルトでは、イネーブル パスワードは設定されていません。

aaa authentication ssh console コマンドが定義されていない場合、ユーザ名 pix と適応型セキュリティ アプライアンスのイネーブル パスワード( enable password コマンドで設定)を使用して適応型セキュリティ アプライアンス CLI にアクセスできます。デフォルトでは、イネーブル パスワードはブランクです。この動作は、AAA を設定せずに適応型セキュリティ アプライアンスにログインする場合と異なります。その場合はログイン パスワード( password コマンドで設定)を使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスで Telnet または SSH ユーザを認証できるようにするには、その前に telnet コマンドまたは ssh コマンドを使用して、適応型セキュリティ アプライアンスへのアクセス権を設定しておく必要があります。これらのコマンドは、適応型セキュリティ アプライアンスと通信できる IP アドレスを指定します。

セキュリティ アプライアンスへのログイン

適応型セキュリティ アプライアンスに接続した後、ログインしてユーザ EXEC モードにアクセスします。

Telnet の認証をイネーブルにしていない場合、ユーザ名を入力せず、ログイン パスワード( password コマンドで設定)を入力します。SSH の場合、ユーザ名に「pix」と入力し、ログイン パスワードを入力します。

このコマンドを使用して Telnet または SSH 認証をイネーブルにした場合、AAA サーバまたはローカル ユーザ データベース上で定義されているユーザ名およびパスワードを入力します。

特権 EXEC モードへのアクセス

特権 EXEC モードを開始するには、 enable コマンドまたは login コマンド(ローカル データベースのみを使用する場合)を入力します。

イネーブル認証を設定しない場合、 enable コマンドを入力するときにシステム イネーブル パスワード( enable password コマンドで設定)を入力します。ただし、イネーブル認証を使用しないと、 enable コマンドを入力した後、特定のユーザとしてログインされた状態ではなくなります。ユーザ名を保持するには、イネーブル認証を使用する必要があります。

イネーブル認証を設定すると、適応型セキュリティ アプライアンスでは、ユーザ名およびパスワードの入力が求められます。

ローカル データベースを使用した認証の場合、 login コマンドを使用できます。この場合はユーザ名が保持されますが、認証をオンにするための設定を必要としません。

ASDM へのアクセス

デフォルトでは、ASDM へのログインは、ユーザ名をブランクにし、 enable password コマンドで設定されたイネーブル パスワードを使用して実行できます。ただし、ログイン画面で(ユーザ名をブランクのままにせずに)ユーザ名とパスワードを入力した場合、ASDM では一致するものがないかローカル データベースを調べます。

このコマンドを使用して HTTPS 認証を設定し、ローカル データベースを指定できますが、この機能はデフォルトで常にイネーブルになっています。HTTPS 認証は、AAA サーバを認証用に使用する場合にのみ設定する必要があります。HTTPS 認証では AAA サーバ グループ用の SDI プロトコルがサポートされません。HTTPS 認証のユーザ名プロンプトは最大で 30 文字です。パスワードの長さは最大で 16 文字です。

システム実行スペースでの AAA コマンドの非サポート

マルチ コンテキスト モードでは、システム コンフィギュレーションで AAA コマンドを設定できません。

許可されるログイン試行の回数

次の表に、 aaa authentication console コマンドで選択したオプションによって、適応型セキュリティ アプライアンス CLI へのアクセスを認証するときの処理がどのように異なるかを示します。

 

オプション
許可されるログイン試行の回数

enable

3 回失敗するとアクセスが拒否される。

serial

成功するまで何回も試行できる。

ssh

3 回失敗するとアクセスが拒否される。

telnet

成功するまで何回も試行できる。

http

成功するまで何回も試行できる。

CLI および ASDM へのユーザ アクセスの制限

aaa authorization exec authentication-server コマンドを使用して管理認証を設定し、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)による CLI、ASDM、または enable コマンドへのアクセスを制限できます。


) シリアル アクセスは管理認証に含まれないため、aaa authentication serial console を設定している場合は、認証したユーザはすべてコンソール ポートにアクセスできます。


ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。

RADIUS または LDAP(マッピング対象)ユーザ:次のいずれかの値に Service-Type アトリビュートを設定します(LDAP アトリビュートのマッピングについては、 ldap attribute-map コマンドを参照してください)。

Service-Type 6(管理): aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

Service-Type 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定している場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定している場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

Service-Type 5(アウトバウンド):管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。リモート アクセス(IPSec および SSL)ユーザは、リモート アクセス セッションを引き続き認証および終了できます。

TACACS+ ユーザ:認証は「service=shell」を指定して要求され、サーバは PASS または FAIL で応答します。

PASS、特権レベル 1: aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定している場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定している場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL:管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。

ローカル ユーザ: service-type コマンドを設定します。デフォルトの service-type admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

次に、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で、aaa authentication console コマンドを使用する例を示します。

hostname(config)# aaa authentication telnet console radius
 

次に、サーバ グループ「AuthIn」をイネーブル認証用に指定する例を示します。

hostname(config)# aaa authentication enable console AuthIn
 

次に、aaa authentication console コマンドを使用して、グループ「svrgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックさせる例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs
hostname(config)# aaa authentication ssh console svrgrp1 LOCAL

 
関連コマンド

コマンド
説明

aaa authentication

ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

ユーザ認証用に使用する AAA サーバを指定します。

clear configure aaa

設定済みの AAA アカウンティング値を削除またはリセットします。

ldap map-attributes

LDAP アトリビュートを適応型セキュリティ アプライアンスが認識できる RADIUS アトリビュートにマッピングします。

service-type

ローカル ユーザの CLI アクセスを制限します。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authentication include、exclude

適応型セキュリティ アプライアンスを経由する接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication include コマンドを使用します。認証からアドレスを除外するには、 aaa authentication exclude コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }

no aaa authentication { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }

 
構文の説明

exclude

サービスとアドレスが include コマンドですでに指定されている場合、指定されたサービスとアドレスを認証から除外します。

include

認証が必要なサービスと IP アドレスを指定します。include ステートメントで指定されないトラフィックは処理されません。

inside_ip

セキュリティの高い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。すべてのホストを指定するには、0 を指定します。

inside_mask

内部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

interface_name

ユーザが認証を要求するインターフェイスの名前を指定します。

LOCAL

ローカル ユーザ データベースを指定します。

outside_ip

(任意)セキュリティの低い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。すべてのホストを指定するには、0 を指定します。

outside_mask

(任意)外部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

server_tag

aaa-server コマンドによって定義される AAA サーバ グループを指定します。

service

認証を必要とするサービスを指定します。次のいずれかの値を指定できます。

any または tcp/0 (すべての TCP トラフィックを指定します)

ftp

http

https

ssh

telnet

tcp/ port[ - port ]

udp/ port[ - port ]

icmp/ type

protocol [ / port[ - port ]]

どのプロトコルまたはサービスへのネットワーク アクセスについても認証を課すように適応型セキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、適応型セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。詳細については、「 使用上のガイドライン 」を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

アクセス リストで指定されるトラフィックの認証をイネーブルにするには、 aaa authentication match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

aaa authentication include コマンドおよび exclude コマンドは、セキュリティが同じインターフェイス間では使用できません。この場合は、 aaa authentication match コマンドを使用する必要があります。

TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。

One-Time 認証

所定の IP アドレスを持つユーザは、認証セッションの期限が切れるまで、すべてのルールおよびタイプについて認証を 1 回受けるだけで済みます(タイムアウト値については timeout uauth コマンドを参照してください)。たとえば、適応型セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。

HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。

認証チャレンジの受信に必要なアプリケーション

どのプロトコルまたはサービスへのネットワーク アクセスについても認証を課すように適応型セキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、適応型セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。

適応型セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは固定値です。

FTP の場合はポート 21

Telnet の場合はポート 23

HTTP の場合はポート 80

HTTPS の場合はポート 443

セキュリティ アプライアンスの認証プロンプト

Telnet および FTP では、適応型セキュリティ アプライアンスが認証プロンプトを生成します。

HTTP では、適応型セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用して、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように適応型セキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。

HTTPS では、適応型セキュリティ アプライアンスがカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように適応型セキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。

リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上し、Easy VPN モードとファイアウォール モードの両方で、HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。また、適応型セキュリティ アプライアンスでの直接認証もサポートされています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。適応型セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、適応型セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。

正しく認証されると、適応型セキュリティ アプライアンスによって元の宛先にリダイレクトされます。宛先サーバにも独自の認証手続きがある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。


aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントから適応型セキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。


FTP では、ユーザが適応型セキュリティ アプライアンスのユーザ名に続けてアットマーク(@)を入力し、次に FTP ユーザ名を入力する(name1@name2)オプションがあります。パスワードを入力するとき、ユーザは適応型セキュリティ アプライアンスのパスワードに続けてアットマーク(@)を入力し、次に FTP パスワードを入力します(password1@password2)。たとえば、次のテキストを入力します。

name> asa1@partreq
password> letmein@he110
 

この機能が役立つのは、複数のログインが必要になる、カスケードされたファイアウォールがある場合です。アットマーク(@)を複数使用して、複数の名前とパスワードを区切ることができます。

許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。

 

プロトコル
許可されるログイン試行の回数

FTP

間違ったパスワードを入力すると、接続がただちにドロップされる。

HTTP

HTTPS

ログインが成功するまで、プロンプトが何回も再表示される。

Telnet

4 回失敗すると接続がドロップされる。

スタティック PAT と HTTP

HTTP 認証では、スタティック PAT が設定されている場合、適応型セキュリティ アプライアンスは実際のポートをチェックします。実際のポート 80 宛てのトラフィックを検出した場合、マッピング ポートが何番であるかにかかわらず、適応型セキュリティ アプライアンスはその HTTP 接続を代行受信し、認証を強制します。

たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
 

この場合、ユーザが 10.48.66.155 にポート 889 でアクセスしようとすると、適応型セキュリティ アプライアンスがトラフィックを代行受信して HTTP 認証を強制します。適応型セキュリティ アプライアンスが HTTP 接続を完了する前に、ユーザの Web ブラウザに HTTP 認証ページが表示されます。

次の例のように、ローカル ポートがポート 80 以外になっているとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
 

この場合、ユーザには認証ページが表示されません。代わりに、適応型セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。

適応型セキュリティ アプライアンスでの直接認証

HTTP、HTTPS、Telnet、または FTP が適応型セキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用して適応型セキュリティ アプライアンスで直接認証できます。

インターフェイスに対して AAA をイネーブルにすると、適応型セキュリティ アプライアンスでの直接認証が次の URL で可能になります。

http://interface_ip[:port]/netaccess/connstatus.html
https://interface_ip[:port]/netaccess/connstatus.html
 

または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザは適応型セキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、適応型セキュリティ アプライアンスが Telnet プロンプトを表示します。

次に、外部インターフェイスで内部 IP アドレスが 192.168.0.0、ネットマスクが 255.255.0.0、外部 IP アドレスがすべてのホストの TCP トラフィックを、tacacs+ という名前のサーバ グループを使用して認証する例を示します。2 行めのコマンドでは、外部インターフェイスで内部アドレスが 192.168.38.0、外部 IP アドレスがすべてのホストの Telnet トラフィックを認証から除外します。

hostname(config)# aaa authentication include tcp/0 outside 192.168.0.0 255.255.0.0 0 0 tacacs+
hostname(config)# aaa authentication exclude telnet outside 192.168.38.0 255.255.255.0 0 0 tacacs+
 

次に、interface-name パラメータを使用する例を示します。適応型セキュリティ アプライアンスには、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0(サブネット マスク 255.255.255.224)、および境界ネットワーク 209.165.202.128(サブネット マスク 255.255.255.224)が接続されています。

次の例では、内部ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp/0 inside 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。

hostname(config)#aaa authentication include tcp/0 inside 192.168.1.0 255.255.255.0 209.165.202.128 255.255.255.224 tacacs+
 

次の例では、外部ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp/0 outside 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp/0 outside 209.165.202.128 255.255.255.224 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。

hostname(config)#aaa authentication include tcp/0 perimeter 209.165.202.128 255.255.255.224 209.165.201.0 255.255.255.224 tacacs+
 

 
関連コマンド

コマンド
説明

aaa authentication console

管理アクセスの認証をイネーブルにします。

aaa authentication match

通過トラフィックのユーザ認証をイネーブルにします。

aaa authentication secure-http-client

HTTP 要求が適応型セキュリティ アプライアンスを通過することを許可する前に、適応型セキュリティ アプライアンスに対してセキュアなユーザ認証方式を提供します。

aaa-server

グループ関連のサーバ アトリビュートを設定します。

aaa-server host

ホスト関連のアトリビュートを設定します。

aaa authentication listener

ネットワーク ユーザを認証するために HTTP(S)リスニング ポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication listener コマンドを使用します。リスニング ポートをイネーブルにすると、適応型セキュリティ アプライアンスは直接接続およびオプションで通過トラフィックに対して認証ページを提供します。リスナーをディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]

no aaa authentication listener http [ s ] interface_name [ port portnum ] [ redirect ]

 
構文の説明

http [ s ]

リッスンするプロトコル(HTTP または HTTPS のいずれか)を指定します。このコマンドはプロトコルごとに入力します。

interface_name

リスナーをイネーブルにするインターフェイスを指定します。

port portnum

適応型セキュリティ アプライアンスが、直接トラフィックまたはリダイレクトされたトラフィックをリッスンするポート番号を指定します。デフォルトは 80(HTTP)および 443(HTTPS)です。どのポート番号を使用しても同じ機能が維持されますが、直接認証ユーザはそのポート番号を認識しておく必要があります。リダイレクトされたトラフィックは自動的に正しいポート番号に送信されますが、直接認証の場合はポート番号を手動で指定する必要があるためです。

redirect

適応型セキュリティ アプライアンスによって提供される認証 Web ページに通過トラフィックをリダイレクトします。このキーワードを指定しないと、認証 Web ページにアクセスできるのは適応型セキュリティ アプライアンス インターフェイス宛てのトラフィックだけになります。

 
デフォルト

デフォルトでは、イネーブルになっているリスナー サービスはなく、HTTP 接続は基本 HTTP 認証を使用します。リスナーをイネーブルにした場合、デフォルト ポートは 80(HTTP)および 443(HTTPS)です。

7.2(1) からアップグレードしている場合、リスナーはポート 1080(HTTP)および 1443(HTTPS)でイネーブルになります。 redirect オプションもイネーブルになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

aaa authentication listener コマンドを使用しないと、 aaa authentication match コマンドまたは aaa authentication include コマンドの設定後に HTTP(S)ユーザが適応型セキュリティ アプライアンスで認証を受ける必要があるとき、適応型セキュリティ アプライアンスは基本 HTTP 認証を使用します。HTTPS では、適応型セキュリティ アプライアンスがカスタム ログイン画面を生成します。

aaa authentication listener コマンドを redirect キーワードとともに設定した場合、適応型セキュリティ アプライアンスはすべての HTTP(S)認証要求を、適応型セキュリティ アプライアンスが提供する Web ページにリダイレクトします。

リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上し、Easy VPN モードとファイアウォール モードの両方で、HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。また、適応型セキュリティ アプライアンスでの直接認証もサポートされています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。適応型セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、適応型セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。

redirect オプションを 含めずに aaa authentication listener コマンドを入力した場合は、適応型セキュリティ アプライアンスでの直接認証のみがイネーブルになり、通過トラフィックは基本 HTTP 認証を使用することになります。 redirect オプションを含めると、直接認証と通過トラフィック認証の両方がイネーブルになります。直接認証は、認証チャレンジをサポートしていないトラフィック タイプを認証する場合に役立ちます。他のサービスを使用する前に、各ユーザを適応型セキュリティ アプライアンスで直接認証できます。


redirect オプションをイネーブルにすると、インターフェイス IP アドレスを変換するものと同じインターフェイスや、リスナーに使用するものと同じポートにスタティック PAT を設定できません。NAT は正常に実行されますが、認証が失敗します。たとえば、次の設定はサポートされません。

hostname(config)# static (inside,outside) tcp interface www 192.168.0.50 www netmask 255.255.255.255
hostname(config)# aaa authentication listener http outside redirect
 

次の設定はサポートされます。リスナーは、デフォルトのポート 80 でなく、ポート 1080 を使用します。

hostname(config)# static (inside,outside) tcp interface www 192.168.0.50 www netmask 255.255.255.255
hostname(config)# aaa authentication listener http outside port 1080 redirect
 


 

次に、HTTP 接続および HTTPS 接続をデフォルト ポートにリダイレクトするように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# aaa authentication http redirect
hostname(config)# aaa authentication https redirect
 

次に、適応型セキュリティ アプライアンスに直接向かう認証要求を許可する例を示します。通過トラフィックは基本 HTTP 認証を使用します。

hostname(config)# aaa authentication http
hostname(config)# aaa authentication https
 

次に、HTTP 接続および HTTPS 接続をデフォルトではないポートにリダイレクトするように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# aaa authentication http port 1100 redirect
hostname(config)# aaa authentication https port 1400 redirect
 

 
関連コマンド

コマンド
説明

aaa authentication match

通過トラフィックのユーザ認証を設定します。

aaa authentication secure-http-client

SSL をイネーブルにし、HTTP クライアントと適応型セキュリティ アプライアンスの間でのユーザ名とパスワードの交換を保護します。

clear configure aaa

設定済みの AAA コンフィギュレーションを削除します。

show running-config aaa

AAA コンフィギュレーションを表示します。

virtual http

基本 HTTP 認証を使用した HTTP 認証のカスケードをサポートします。

aaa authentication match

適応型セキュリティ アプライアンスを経由する接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication match コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication match acl_name interface_name { server_tag | LOCAL }

no aaa authentication match acl_name interface_name { server_tag | LOCAL }

 
構文の説明

acl_name

拡張アクセス リストの名前を指定します。

interface_name

ユーザを認証するインターフェイスの名前を指定します。

LOCAL

ローカル ユーザ データベースを指定します。

server_tag

aaa-server コマンドによって定義される AAA サーバ グループ タグを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

aaa authentication match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。

One-Time 認証

所定の IP アドレスを持つユーザは、認証セッションの期限が切れるまで、すべてのルールおよびタイプについて認証を 1 回受けるだけで済みます(タイムアウト値については timeout uauth コマンドを参照してください)。たとえば、適応型セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。

HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。

認証チャレンジの受信に必要なアプリケーション

どのプロトコルまたはサービスへのネットワーク アクセスについても認証を課すように適応型セキュリティ アプライアンスを設定することはできますが、ユーザは、HTTP、HTTPS、Telnet、または FTP のいずれかで認証を直接受けるだけで済みます。ユーザがこれらのサービスのいずれかで認証されると、適応型セキュリティ アプライアンスは認証を必要とする別のトラフィックも許可します。

適応型セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは固定値です。

FTP の場合はポート 21

Telnet の場合はポート 23

HTTP の場合はポート 80

HTTPS の場合はポート 443( aaa authentication listener コマンドが必要)

セキュリティ アプライアンスの認証プロンプト

Telnet および FTP では、適応型セキュリティ アプライアンスが認証プロンプトを生成します。

HTTP では、適応型セキュリティ アプライアンスはデフォルトで基本 HTTP 認証を使用して、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように適応型セキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。

HTTPS では、適応型セキュリティ アプライアンスがカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように適応型セキュリティ アプライアンスを設定することもできます( aaa authentication listener コマンドで設定します)。

リダイレクションは基本方式を改良した機能です。リダイレクションを使用すると、認証時のユーザ エクスペリエンスが向上し、Easy VPN モードとファイアウォール モードの両方で、HTTP および HTTPS に関して同質のユーザ エクスペリエンスが提供されます。また、適応型セキュリティ アプライアンスでの直接認証もサポートされています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。適応型セキュリティ アプライアンスでリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、適応型セキュリティ アプライアンスで提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれているような非ブラウザ アプリケーションでは、基本認証との互換性が高い可能性があります。

正しく認証されると、適応型セキュリティ アプライアンスによって元の宛先にリダイレクトされます。宛先サーバにも独自の認証手続きがある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。


aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントから適応型セキュリティ アプライアンスに送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。


FTP では、ユーザが適応型セキュリティ アプライアンスのユーザ名に続けてアットマーク(@)を入力し、次に FTP ユーザ名を入力する(name1@name2)オプションがあります。パスワードを入力するとき、ユーザは適応型セキュリティ アプライアンスのパスワードに続けてアットマーク(@)を入力し、次に FTP パスワードを入力します(password1@password2)。たとえば、次のテキストを入力します。

name> asa1@partreq
password> letmein@he110
 

この機能が役立つのは、複数のログインが必要になる、カスケードされたファイアウォールがある場合です。アットマーク(@)を複数使用して、複数の名前とパスワードを区切ることができます。

許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。

 

プロトコル
許可されるログイン試行の回数

FTP

間違ったパスワードを入力すると、接続がただちにドロップされる。

HTTP

HTTPS

ログインが成功するまで、プロンプトが何回も再表示される。

Telnet

4 回失敗すると接続がドロップされる。

スタティック PAT と HTTP

HTTP 認証では、スタティック PAT が設定されている場合、適応型セキュリティ アプライアンスは実際のポートをチェックします。実際のポート 80 宛てのトラフィックを検出した場合、マッピング ポートが何番であるかにかかわらず、適応型セキュリティ アプライアンスはその HTTP 接続を代行受信し、認証を強制します。

たとえば、外部 TCP ポート 889 が次のようにポート 80(www)に変換されていて、関係するすべてのアクセス リストでこのトラフィックが許可されているとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
 

この場合、ユーザが 10.48.66.155 にポート 889 でアクセスしようとすると、適応型セキュリティ アプライアンスがトラフィックを代行受信して HTTP 認証を強制します。適応型セキュリティ アプライアンスが HTTP 接続を完了する前に、ユーザの Web ブラウザに HTTP 認証ページが表示されます。

次の例のように、ローカル ポートがポート 80 以外になっているとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
 

この場合、ユーザには認証ページが表示されません。代わりに、適応型セキュリティ アプライアンスは Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。

セキュリティ アプライアンスでの直接認証

HTTP、HTTPS、Telnet、または FTP が適応型セキュリティ アプライアンスを通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用して適応型セキュリティ アプライアンスで直接認証できます。

インターフェイスに対して AAA をイネーブルにすると、適応型セキュリティ アプライアンスでの直接認証が次の URL で可能になります。

http://interface_ip[:port]/netaccess/connstatus.html
https://interface_ip[:port]/netaccess/connstatus.html
 

または、仮想 Telnet を設定する方法もあります( virtual telnet コマンドを使用)。仮想 Telnet を設定した場合、ユーザは適応型セキュリティ アプライアンス上で設定された所定の IP アドレスに Telnet で接続し、適応型セキュリティ アプライアンスが Telnet プロンプトを表示します。

次の一連の例は、 aaa authentication match コマンドの使用方法を示しています。

hostname(config)# show access-list
access-list mylist permit tcp 10.0.0.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0) access-list yourlist permit tcp any any (hitcnt=0)
 
hostname(config)# show running-config aaa
aaa authentication match mylist outbound TACACS+
 

この場合、たとえば次のコマンドがあるとします。

hostname(config)# aaa authentication match yourlist outbound tacacs
 

上のコマンドは、次のコマンドと同じ意味です。

hostname(config)# aaa authentication include TCP/0 outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs
 

aaa コマンド ステートメントのリストは、access-list コマンド ステートメントの順序に依存します。ここで、次のコマンドを入力するとします。

hostname(config)# aaa authentication match mylist outbound TACACS+
 

上のコマンドの後に、次のコマンドを入力します。

hostname(config)# aaa authentication match yourlist outbound tacacs
 

適応型セキュリティ アプライアンスは、まず mylist 内の access-list コマンド ステートメント グループに一致があるか確かめ、次に yourlist 内の access-list コマンド ステートメント グループに一致があるかを確かめます。

 
関連コマンド

コマンド
説明

aaa authorization

ユーザ認可サービスをイネーブルにします。

access-list extended

アクセス リストを作成します。

clear configure aaa

設定済みの AAA コンフィギュレーションを削除します。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authentication secure-http-client

SSL をイネーブルにして、HTTP クライアントと適応型セキュリティ アプライアンスの間でのユーザ名とパスワードの交換を保護するには、グローバル コンフィギュレーション モードで aaa authentication secure-http-client コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 aaa authentication secure-http-client コマンドは、ユーザの HTTP ベース Web 要求が適応型セキュリティ アプライアンスを通過することを許可する前に、適応型セキュリティ アプライアンスに対してセキュアなユーザ認証方式を提供します。

aaa authentication secure-http-client

no aaa authentication secure-http-client

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

aaa authentication secure-http-client コマンドは、(SSL を介して)HTTP クライアント認証を保護します。このコマンドは、HTTP カットスルー プロキシ認証に使用されます。

aaa authentication secure-http-client コマンドには、次の制限事項があります。

実行時、許可される HTTPS 認証プロセスは最大 16 個です。16 個の HTTPS 認証プロセスがすべて実行中である場合、認証を要求する 17 番めの新しい HTTPS 接続は許可されません。

uauth timeout 0 が設定されている( uauth timeout が 0 に設定されている)場合は、HTTPS 認証が機能しません。HTTPS 認証を受けた後、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、認証ページが繰り返し表示されます。この現象を回避するには、 timeout uauth 0:0:1 コマンドを使用して、 uauth timeout を 1 秒に設定します。ただし、この回避策では 1 秒間の時間ウィンドウが生じるため、この時間ウィンドウの間に、同じ送信元 IP アドレスからアクセスしてくる未認証のユーザがファイアウォールを通過する可能性があります。

HTTPS 認証は SSL ポート 443 で発生するため、HTTP クライアントから HTTP サーバに向かうポート 443 上のトラフィックをブロックするように access-list コマンド ステートメントを設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、1 行めで Web トラフィックに対してスタティック PAT を設定しているため、2 行めを追加して HTTPS 認証コンフィギュレーションをサポートする必要があります。

static (inside,outside) tcp 10.132.16.200 www 10.130.16.10 www
static (inside,outside) tcp 10.132.16.200 443 10.130.16.10 443
 

次に、HTTP トラフィックがセキュアに認証されるように設定する例を示します。

hostname(config)# aaa authentication secure-http-client
hostname(config)# aaa authentication include http...
 

「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag に適切な値を指定することを表します。

次に、HTTPS トラフィックがセキュアに認証されるように設定するコマンドを示します。

hostname (config)# aaa authentication include https...
 

「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag に適切な値を指定することを表します。


) HTTPS トラフィックの場合、aaa authentication secure-https-client コマンドは不要です。


 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定したサーバ上の LOCAL、TACACS+、または RADIUS のユーザ認証をイネーブルにします。

virtual telnet

適応型セキュリティ アプライアンス仮想サーバにアクセスします。

aaa authorization command

aaa authorization command コマンドは、CLI でのコマンドの実行が認可の対象となるかどうかを指定します。コマンドの認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization command コマンドを使用します。コマンドの認可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization command { LOCAL | tacacs+ server_tag [ LOCAL ]}

no aaa authorization command { LOCAL | tacacs+ server_tag [ LOCAL ]}

 
構文の説明

LOCAL

privilege コマンドで設定したローカル コマンドの特権レベルをイネーブルにします。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)を CLI アクセスについて認証する場合、適応型セキュリティ アプライアンスはそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、その特権レベル以下のコマンドにアクセスできます。

TACACS+ サーバ グループ タグの後に LOCAL を指定すると、ローカル ユーザ データベースは、TACACS+ サーバ グループが利用できない場合のフォールバックとしてだけコマンド認可に使用されます。

tacacs+ server_tag

TACACS+ 認可サーバの定義済みのサーバ グループ タグを指定します。 aaa-server コマンドによって定義される AAA サーバ グループ タグを指定します。

 
デフォルト

認可のためのローカル データベースへのフォールバックはデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

TACACS+ サーバ グループが一時的に使用できないときに LOCAL 認可にフォールバックするためのサポートが追加されました。

8.0(2)

RADIUS または LDAP サーバ上で定義される特権レベルへのサポートが追加されました。

8.2(2)

LOCAL キーワードのサポートが追加されました。

 
使用上のガイドライン

デフォルトでは、ログインすると、必要最低限のコマンドだけを使用できるユーザ EXEC モードにアクセスできるようになっています。 enable コマンド(ローカル データベースを使用している場合は login コマンド)を入力すると、特権 EXEC モードにアクセスして、コンフィギュレーション コマンドを含む各種コマンドを使用できます。コマンドへのアクセスを制御する場合は、適応型セキュリティ アプライアンスでコマンドの認可を設定して、ユーザが利用できるコマンドを決定できます。

サポートされるコマンド認可方法

次のコマンド認可方法のうちいずれか一方を使用できます。

ローカル特権レベル:コマンドの特権レベルを適応型セキュリティ アプライアンスに設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)を CLI アクセスについて認証する場合、適応型セキュリティ アプライアンスはそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、その特権レベル以下のコマンドにアクセスできます。すべてのユーザは、最初にログインするとユーザ EXEC モードにアクセスします(レベル 0 または 1 のコマンド)。ユーザが特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするには、 enable コマンドを使用して再度認証を受ける必要があります。または、 login コマンドを使用してログインできます(ローカル データベースのみ)。


) ローカルでのコマンド認可は、ローカル データベース内のユーザ、および CLI による認証またはイネーブル認証なしで使用できます。この場合は、enable コマンドを入力するときにシステム イネーブル パスワードを入力します。適応型セキュリティ アプライアンスによって、特権レベルが 15 に設定されます。次に、各レベルのイネーブル パスワードを作成し、enable n(2 ~ 15)と入力したときに、適応型セキュリティ アプライアンスによってレベル n に設定されるようにできます。これらのレベルは、ローカルでのコマンド認可をオンにしない限り使用されません(詳細については、enable コマンドを参照してください)。


TACACS+ サーバ特権レベル:ユーザまたはグループが CLI によるアクセスの認証を受けた後に使用できるコマンドを、TACACS+ サーバで設定します。ユーザが CLI で入力するすべてのコマンドが TACACS+ サーバでチェックされます。

セキュリティ コンテキストとコマンド認可

複数のセキュリティ コンテキストを使用してコマンド認可を実装する場合には、次の重要事項を考慮する必要があります。

AAA 設定はコンテキストごとに固有であり、コンテキスト間で共有されることはありません。

コマンド認可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。この設定により、異なるセキュリティ コンテキストに対して異なるコマンド認可を実行できます。

セキュリティ コンテキストを切り替えるとき、ログイン時に指定されたユーザ名に許可されているコマンドが新しいコンテキスト セッションでは異なっている場合や、コマンド認可が新しいコンテキストではまったく設定されていない場合があるため、管理者は注意する必要があります。セキュリティ コンテキストによってコマンド認可が異なる場合があることを管理者が理解しておかないと、混乱を招くことがあります。この動作は、次の点によってさらに複雑になります。

changeto コマンドで開始した新しいコンテキスト セッションは、前のコンテキスト セッションで使用されていたユーザ名に関係なく、デフォルトのユーザ名「enable_15」を管理者の ID として常に使用します。この動作は、コマンド認可が enable_15 ユーザに対して設定されていない場合や、enable_15 ユーザに対する認可が前のコンテキスト セッションのユーザに対するものと異なる場合に混乱を招く可能性があります。

この動作はコマンド アカウンティングにも影響を及ぼします(コマンド アカウンティングは、発行される各コマンドを特定の管理者に正確に関連付けられる場合にのみ役立ちます)。 changeto コマンドの使用権限を持つすべての管理者は、他のコンテキストでユーザ名 enable_15 を使用できるため、コマンド アカウンティング レコードは、ユーザ名 enable_15 としてログインしたユーザを簡単に識別できない場合があります。コンテキストごとに異なるアカウンティング サーバを使用する場合、ユーザ名 enable_15 を使用したユーザを追跡するには、複数のサーバからのデータを相互に関連付ける必要があります。

コマンド認可の設定時には、次の点を考慮します。

changeto コマンドの使用権限を持つ管理者は、他の各コンテキストで enable_15 ユーザに許可されているすべてのコマンドを使用するための権限を実質的に持っている。

コンテキストごとに異なるコマンドを認可する場合、 changeto コマンドの使用権限を持つ管理者に対して拒否されているコマンドの使用を、enable_15 ユーザに対して各コンテキストで拒否する。

セキュリティ コンテキストを切り替えるとき、管理者は特権 EXEC モードを終了し、 enable コマンドを再度入力して必要なユーザ名を使用できます。


) システム実行スペースは aaa コマンドをサポートしないため、コマンド認可はシステム実行スペースでは使用できません。


ローカル コマンド認可の前提条件

aaa authentication enable console コマンドを使用して、ローカル、RADIUS、または LDAP の認証用にイネーブル認証を設定します。

イネーブル認証は、ユーザが enable コマンドにアクセスした後にユーザ名を維持するために必要です。

または、 login コマンドも使用できます( enable コマンドで認証を受けるのと同じ)。この場合は設定が必要ありません。このオプションはイネーブル認証ほどセキュアでないため、使用は推奨しません。

CLI 認証( aaa authentication { ssh | telnet | serial } console )も使用できますが、これは必須ではありません。

RADIUS が認証に使用されている場合、 aaa authorization exec authentication-server コマンドを使用して RADIUS からの管理ユーザ特権レベルのサポートをイネーブルにできますが、これは必須ではありません。またこのコマンドは、ローカル ユーザ、RADIUS ユーザ、LDAP ユーザ(マッピング)、および TACACS+ ユーザに対する管理認証をイネーブルにします。ローカル データベースから取得するアトリビュートをイネーブルにするには、 aaa authorization exec LOCAL コマンドを使用します。

各ユーザ タイプについては、次の前提条件を参照してください。

ローカル データベース ユーザ: username コマンドを使用して、ローカル データベースの各ユーザに特権レベル 0 ~ 15 を設定します。

RADIUS ユーザ:Cisco VSA CVPN3000-Privilege-Level を持つユーザに 0 ~ 15 の値を設定します。

LDAP ユーザ:ユーザに 0 ~ 15 の特権レベルを設定してから、 ldap map-attributes コマンドを使用して LDAP アトリビュートを Cisco VAS CVPN3000-Privilege-Level にマッピングします。

コマンド特権レベルの設定の詳細については、 privilege コマンドを参照してください。

TACACS+ によるコマンド認可

TACACS+ によるコマンドの認可をイネーブルにした場合に、ユーザが CLI でコマンドを入力すると、適応型セキュリティ アプライアンスは、そのコマンドとユーザ名を TACACS+ サーバに送信し、そのコマンドが認可されているかどうかを確かめます。

TACACS+ サーバによるコマンドの認可を設定するときは、認可が意図したとおりに機能することを確認してからコンフィギュレーションを保存してください。設定の間違いが原因でロックアウトされる場合、通常は適応型セキュリティ アプライアンスを再起動することでアクセス権を回復できます。

TACACS+ システムが完全に安定していて信頼できることを確認してください。必要な信頼性のレベルは、一般的に、TACACS+ サーバ システムが完全冗長であること、および適応型セキュリティ アプライアンスへの接続が完全冗長であることです。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続しているサーバと、インターフェイス 2 に接続している別のサーバを含めます。また、TACACS+ サーバが利用できない場合にローカルのコマンド認可をフォールバック方式として設定します。この場合、ローカル ユーザとコマンドの特権レベルを設定する必要があります。

TACACS+ サーバの設定の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

TACACS+ によるコマンド認可の前提条件

aaa authentication { ssh | telnet | serial } console コマンドを使用して CLI 認証を設定します。

aaa authentication enable console コマンドを使用して イネーブル 認証を設定します。

次に、tplus1 という名前の TACACS+ サーバ グループを使用したコマンド認可をイネーブルにする方法の例を示します。

hostname(config)# aaa authorization command tplus1
 

次に、tplus1 サーバ グループ内のすべてのサーバが利用できない場合に、ローカル ユーザ データベースへのフォールバックをサポートするよう管理認可を設定する方法の例を示します。

hostname(config)# aaa authorization command tplus1 LOCAL

 
関連コマンド

コマンド
説明

aaa authentication console

CLI 認証、ASDM 認証、およびイネーブル認証をイネーブルにします。

aaa authorization exec

RADIUS からの管理ユーザ特権レベルのサポートをイネーブルにします。

aaa-server host

ホスト関連のアトリビュートを設定します。

aaa-server

グループ関連のサーバ アトリビュートを設定します。

enable

特権 EXEC モードを開始します。

ldap map-attributes

LDAP アトリビュートを適応型セキュリティ アプライアンスが使用できる RADIUS アトリビュートにマッピングします。

login

認証用のローカル データベースを使用して特権 EXEC モードを開始します。

service-type

ローカル データベース ユーザの CLI、ASDM、およびイネーブル アクセスを制限します。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authorization exec authentication-server、LOCAL

管理認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization exec authentication-server コマンドまたは aaa authorization exec コマンドを使用します。管理認証をディセーブルにするには、 aaa authorization exec authentication-server コマンドまたは aaa authorization exec コマンドの no 形式を使用します。ローカル認可および LOCAL 認証サーバをディセーブルにするには、 aaa authorization exec LOCAL コマンドの no 形式を使用します。

aaa authorization exec [ authentication-server | LOCAL]

no aaa authorization exec [authentication-server | LOCAL]

 
構文の説明

authentication-server

認可アトリビュートが、ユーザの認証に使用されたサーバから取得されることを示します。

LOCAL

認可アトリビュートが、適応型セキュリティ アプライアンスのローカル ユーザ データベースから取得されることを示します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

aaa authorization exec authentication-server コマンドが導入されました。

8.2(2)

aaa authorization exec LOCAL コマンドが導入されました。

 
使用上のガイドライン

aaa authorization exec authentication-server コマンドと aaa authorization exec LOCAL コマンドを両方使用すると、コンソール アクセスを許可する前にユーザの service-type 資格情報がチェックされます。

no aaa authorization exec authentication-server コマンドと no aaa authorization exec LOCAL コマンドを両方使用するとき、次の点に注意します。

ユーザの service-type 資格情報は、コンソール アクセスを許可する前にチェックされません。

コマンド認可が設定されている場合、特権レベルのアトリビュートは、RADIUS ユーザ、LDAP ユーザ、および TACACS+ ユーザの AAA サーバに検出された場合も適用されます。

aaa authorization exec authentication-server コマンドを使用する場合、特権レベルは RADIUS ユーザ、LDAP ユーザ、および TACACS+ ユーザの認証に使用された AAA サーバから取得されます。 aaa authorization exec LOCAL コマンドを使用する場合、service-type アトリビュートおよび特権レベル アトリビュートは認証方法にかかわらず、ローカル データベースから取得されます。

ユーザが CLI、ASDM、または enable コマンドにアクセスするときにユーザを認証するように aaa authentication console コマンドを設定すると、 aaa authorization exec authentication-server コマンドでユーザ コンフィギュレーションに応じて管理アクセスを制限できます。


) シリアル アクセスは管理認証に含まれないため、aaa authentication serial console を設定している場合は、認証したユーザはすべてコンソール ポートにアクセスできます。


ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。

LDAP マッピング ユーザ:LDAP アトリビュートをマッピングするには、 ldap attribute-map コマンドを参照してください。

RADIUS ユーザ:IETF RADIUS 数値 service-type アトリビュートを使用してください。次のいずれかの値をマッピングします。

Service-Type 5(アウトバウンド):管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。リモート アクセス(IPSec および SSL)ユーザは、リモート アクセス セッションを引き続き認証および終了できます。

Service-Type 6(管理): aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

Service-Type 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定している場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定している場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。


) 認識される service-type は、ログイン(1)、フレーム化(2)、管理(6)、および NAS プロンプト(7)のみです。他の service-type を使用するとアクセスが拒否されます。


TACACS+ ユーザ:認可は「service=shell」エントリを指定して要求され、サーバは次に示すように PASS または FAIL で応答します。

PASS、特権レベル 1: aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定している場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定している場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL は管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。

ローカル ユーザ: username コマンドのユーザ名コンフィギュレーション モードである service-type コマンドを設定します。デフォルトの service-type admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

次に、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で、aaa authentication console コマンドを使用する例を示します。

hostname(config)# aaa authentication telnet console radius
 

次に、サーバ グループ「AuthIn」をイネーブル認証用に指定する例を示します。

hostname(config)# aaa authentication enable console AuthIn
 

次に、aaa authentication console コマンドを使用して、グループ「svrgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックさせる例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs
hostname(config)# aaa authentication ssh console svrgrp1 LOCAL

 
関連コマンド

コマンド
説明

aaa authentication console

コンソール認証をイネーブルにします。

ldap attribute-map

LDAP アトリビュートをマッピングします。

service-type

ローカル ユーザの CLI アクセスを制限します。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authorization include、exclude

適応型セキュリティ アプライアンスを経由する接続の認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization include コマンドを使用します。認可からアドレスを除外するには、 aaa authorization exclude コマンドを使用します。認可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

no aaa authorization { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

 
構文の説明

exclude

サービスとアドレスが include コマンドですでに指定されている場合、指定されたサービスとアドレスを認可から除外します。

include

認可が必要なサービスと IP アドレスを指定します。include ステートメントで指定されないトラフィックは処理されません。

inside_ip

セキュリティの高い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。すべてのホストを指定するには、0 を指定します。

inside_mask

内部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

interface_name

ユーザが認可を要求するインターフェイスの名前を指定します。

outside_ip

(任意)セキュリティの低い側のインターフェイスの IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスによって、送信元アドレスまたは宛先アドレスであることがあります。セキュリティの低い側のインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスです。セキュリティの高い側のインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスです。すべてのホストを指定するには、0 を指定します。

outside_mask

(任意)外部 IP アドレスのネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストには 255.255.255.255 を指定します。

server_tag

aaa-server コマンドによって定義される AAA サーバ グループを指定します。

service

認可を必要とするサービスを指定します。次のいずれかの値を指定できます。

any または tcp/0 (すべての TCP トラフィックを指定します)

ftp

http

https

ssh

telnet

tcp/ port[ - port ]

udp/ port[ - port ]

icmp/ type

protocol [ / port[ - port ]]

(注) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。適応型セキュリティ アプライアンスでは、サーバが文字列を解析して特定のポートに変換することを期待して、ポート範囲を文字列としてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。

 
デフォルト

IP アドレス 0 は「すべてのホスト」を意味します。ローカル IP アドレスを 0 に設定すると、認可サーバが認可対象のホストを判断します。

認可のためのローカル データベースへのフォールバックはデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

exclude パラメータにより、ユーザが、特定のホスト(複数可)宛てのポートを指定して除外できるようになりました。

 
使用上のガイドライン

アクセス リストで指定されるトラフィックの認可をイネーブルにするには、 aaa authorization match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

aaa authorization include コマンドおよび exclude コマンドは、セキュリティが同じインターフェイス間では使用できません。この場合は、 aaa authorization match コマンドを使用する必要があります。

適応型セキュリティ アプライアンスでは、TACACS+ を使用してネットワーク アクセス認可を実行するように設定できます。認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まず適応型セキュリティ アプライアンスに認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。

ユーザが認証されると、適応型セキュリティ アプライアンスは認可ルールをチェックして、一致するトラフィックがあるかどうかを調べます。トラフィックが認可ステートメントに一致した場合、適応型セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバはユーザ プロファイルに基づいて、そのトラフィックを許可するか拒否するかを判定し、適応型セキュリティ アプライアンスに応答します。適応型セキュリティ アプライアンスは、応答に含まれている認可ルールを強制します。

ユーザに対してネットワーク アクセス認可を設定する方法については、TACACS+ サーバのマニュアルを参照してください。

各 IP アドレスに対し、 aaa authorization include コマンドが許可されるのは 1 回だけです。

最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。

Unable to connect to remote host: Connection timed out
 

) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。適応型セキュリティ アプライアンスでは、サーバが文字列を解析して特定のポートに変換することを期待して、ポート範囲を文字列としてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。


次に、TACACS+ プロトコルを使用する例を示します。

hostname(config)# aaa-server tplus1 protocol tacacs+
hostname(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
hostname(config)# aaa authentication include any inside 0 0 0 0 tplus1
hostname(config)# aaa authorization include any inside 0 0 0 0
hostname(config)# aaa accounting include any inside 0 0 0 0 tplus1
hostname(config)# aaa authentication ssh console tplus1
 

この例では、最初のコマンド ステートメントで tplus1 という名前のサーバ グループを作成し、このグループで使用するための TACACS+ プロトコルを指定しています。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイスにあること、および tplus1 サーバ グループに含まれていることを指定しています。その次の 3 つのコマンド ステートメントで指定しているのは、外部インターフェイスを経由する外部ホスト宛て接続を開始するユーザ全員を tplus1 サーバ グループを使用して認証すること、正常に認証されたユーザに対してはどのサービスの使用も認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド ステートメントでは、適応型セキュリティ アプライアンスコンソールに SSH でアクセスするには、tplus1 サーバ グループから認証を受ける必要があることを指定しています。

次に、外部インターフェイスからの DNS ルックアップに対する認可をイネーブルにする例を示します。

hostname(config)# aaa authorization include udp/53 outside 0.0.0.0 0.0.0.0
 

次に、内部ホストから内部インターフェイスに到着する、ICMP エコー応答パケットの認可をイネーブルにする例を示します。

hostname(config)# aaa authorization include 1/0 inside 0.0.0.0 0.0.0.0
 

このように設定すると、ユーザは Telnet、HTTP、または FTP を使用して認証を受けない限り、外部ホストを ping できなくなります。

次に、内部ホストから内部インターフェイスに到着する ICMP エコー(ping)についてのみ認可をイネーブルにする例を示します。

hostname(config)# aaa authorization include 1/8 inside 0.0.0.0 0.0.0.0

 
関連コマンド

コマンド
説明

aaa authorization command

コマンドの実行が認可の対象となるかどうかを指定します。または、指定されたサーバ グループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースへのフォールバックをサポートするよう管理認可を設定します。

aaa authorization match

特定の access-list コマンド名に対して LOCAL または TACACS+ ユーザ認可サービスをイネーブルまたはディセーブルにします。

clear configure aaa

設定済みの AAA アカウンティング値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa authorization match

適応型セキュリティ アプライアンスを経由する接続の認可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization match コマンドを使用します。認可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization match acl_name interface_name server_tag

no aaa authorization match acl_name interface_name server_tag

 
構文の説明

acl_name

拡張アクセス リストの名前を指定します。access-list extended コマンドを参照してください。 permit ACE は、一致したトラフィックを認可することを、 deny のエントリは、一致したトラフィックを認可から除外することを示します。

interface_name

ユーザが認証を要求するインターフェイスの名前を指定します。

server_tag

aaa-server コマンドによって定義される AAA サーバ グループ タグを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

aaa authorization match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

適応型セキュリティ アプライアンスでは、TACACS+ を使用してネットワーク アクセス認可を実行するように設定できます。 aaa authorization match コマンドによる RADIUS 認可では、FWSM への VPN 管理接続の認可だけがサポートされます。

認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まず適応型セキュリティ アプライアンスに認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。

ユーザが認証されると、適応型セキュリティ アプライアンスは認可ルールをチェックして、一致するトラフィックがあるかどうかを調べます。トラフィックが認可ステートメントに一致した場合、適応型セキュリティ アプライアンスはユーザ名を TACACS+ サーバに送信します。TACACS+ サーバはユーザ プロファイルに基づいて、そのトラフィックを許可するか拒否するかを判定し、適応型セキュリティ アプライアンスに応答します。適応型セキュリティ アプライアンスは、応答に含まれている認可ルールを強制します。

ユーザに対してネットワーク アクセス認可を設定する方法については、TACACS+ サーバのマニュアルを参照してください。

最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。

Unable to connect to remote host: Connection timed out
 

) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。適応型セキュリティ アプライアンスでは、サーバが文字列を解析して特定のポートに変換することを期待して、ポート範囲を文字列としてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。


次に、tplus1 サーバ グループを aaa コマンドで使用する例を示します。

hostname(config)# aaa-server tplus1 protocol tacacs+
hostname(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
hostname(config)# aaa authentication include any inside 0 0 0 0 tplus1
hostname(config)# aaa accounting include any inside 0 0 0 0 tplus1
hostname(config)# aaa authorization match myacl inside tplus1
 

この例では、最初のコマンド ステートメントで tplus1 サーバ グループを TACACS+ グループとして定義します。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイスにあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 2 つのコマンド ステートメントでは、内部インターフェイスを通過する、任意の外部ホスト宛てのすべての接続が、tplus1 サーバ グループを使用して認証され、これらのすべての接続がアカウンティング データベースに記録されるように指定しています。最後のコマンド ステートメントでは、myacl 内の ACE に一致するすべての接続が tplus1 サーバ グループ内の AAA サーバによって認可されることを指定しています。

 
関連コマンド

コマンド
説明

aaa authorization

ユーザ認証をイネーブルまたはディセーブルにします。

clear configure aaa

すべての aaa コンフィギュレーション パラメータをデフォルト値にリセットします。

clear uauth

1 人のユーザまたは全ユーザの AAA 認可キャッシュと AAA 認証キャッシュを削除して、ユーザが次回に接続を作成するときに再認証を強制します。

show running-config aaa

AAA コンフィギュレーションを表示します。

show uauth

認証および認可の目的で認可サーバに提供されたユーザ名を表示します。また、ユーザ名がバインドされている IP アドレスや、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかを表示します。

aaa local authentication attempts max-fail

適応型セキュリティ アプライアンスが所定のユーザ アカウントに対して許可するローカル ログイン試行の連続失敗回数を制限するには(特権レベルが 15 のユーザは例外です。この機能はレベル 15 のユーザには影響しません)、グローバル コンフィギュレーション モードで aaa local authentication attempts max-fail コマンドを使用します。このコマンドは、ローカル ユーザ データベースによる認証にのみ影響します。この機能をディセーブルにして、ローカル ログイン試行が連続して何回失敗してもよいようにするには、このコマンドの no 形式を使用します。

aaa local authentication attempts max-fail number

 
構文の説明

number

ユーザがロックアウトされるまでに、誤ったパスワードを入力できる最大回数。1 ~ 16 の範囲の数値を指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを省略すると、ユーザが間違ったパスワードを何回でも入力できるようになります。

間違ったパスワードによるユーザのログイン試行が設定回数に達すると、ユーザはロックアウトされ、管理者によってユーザ名がアンロックされるまで、ログインに成功しません。ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。

特権レベルが 15 のユーザはこのコマンドによって影響されず、ユーザをロックアウトできません。

ユーザが正常に認証された場合、または適応型セキュリティ アプライアンスがリブートした場合は、失敗試行回数がゼロにリセットされ、ロックアウト ステータスが No にリセットされます。

次に、aaa local authentication attempts max-limits コマンドを使用して、許可される失敗試行の最大回数を 2 に設定する例を示します。

hostname(config)# aaa local authentication attempts max-limits 2
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear aaa local user lockout

指定したユーザのロックアウト ステータスを消去し、失敗試行カウンタを 0 に設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更せずに、失敗したユーザ認証試行の回数をゼロにリセットします。

show aaa local user

現在ロックされているユーザ名のリストを表示します。

aaa mac-exempt

認証および認可の対象から免除する定義済みの MAC アドレス リストの使用を指定するには、グローバル コンフィギュレーション モードで aaa mac-exempt コマンドを使用します。 aaa mac-exempt コマンドは、1 つだけ追加できます。MAC アドレスのリストの使用をディセーブルにするには、このコマンドの no 形式を使用します。

aaa mac-exempt match id

no aaa mac-exempt match id

 
構文の説明

id

mac-list コマンドで設定した MAC リストの番号を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

aaa mac-exempt コマンドを使用するには、事前に mac-list コマンドを使用して MAC リストの番号を設定しておく必要があります。MAC リスト内の許可エントリは、MAC アドレスを認証と認可から免除することを示し、拒否エントリは、MAC アドレスの認証と認可が(イネーブルになっている場合に)必要であることを示します。追加できる aaa mac-exempt コマンドは 1 つだけであるため、MAC リストに、免除するすべての MAC アドレスが含まれていることを確認してください。

次に、1 つの MAC アドレスについての認証をバイパスする例を示します。

hostname(config)# mac-list abc permit 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# aaa mac-exempt match abc
 

次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。

hostname(config)# mac-list acd permit 0003.E300.0000 FFFF.FF00.0000
hostname(config)# aaa mac-exempt match acd
 

次に、00a0.c95d.02b2 以外の MAC アドレスのグループの認証をバイパスする例を示します。

hostname(config)# mac-list 1 deny 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# mac-list 1 permit 00a0.c95d.0000 ffff.ffff.0000
hostname(config)# aaa mac-exempt match 1
 

 
関連コマンド

コマンド
説明

aaa authentication

ユーザ認証をイネーブルにします。

aaa authorization

ユーザ認可サービスをイネーブルにします。

aaa mac-exempt

MAC アドレスのリストを認証と認可の対象から免除します。

show running-config mac-list

mac-list コマンドで以前指定された MAC アドレスのリストを表示します。

mac-list

MAC アドレスの認証や認可を免除するために使用する MAC アドレスのリストを指定します。

aaa proxy-limit

ユーザ 1 人あたりに許可する同時プロキシ接続の最大数を設定することで uauth セッションの制限値を手動で設定するには、グローバル コンフィギュレーション モードで aaa proxy-limit コマンドを使用します。プロキシをディセーブルにするには、 disable パラメータを使用します。デフォルトのプロキシ制限値(16)に戻すには、このコマンドの no 形式を使用します。

aaa proxy-limit proxy_limit

aaa proxy-limit disable

no aaa proxy-limit

 
構文の説明

disable

プロキシは許可されません。

proxy_limit

ユーザ 1 人あたりに許可する同時プロキシ接続の数(1 ~ 128)を指定します。

 
デフォルト

デフォルトのプロキシ制限値は 16 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

送信元アドレスがプロキシ サーバである場合は、その IP アドレスを認証の対象から除外するか、許容可能な未処理 AAA 要求の数を増やすことを検討してください。

次に、ユーザ 1 人あたりで許容可能な未処理認証要求の最大数を設定する例を示します。

hostname(config)# aaa proxy-limit 6

 
関連コマンド

コマンド
説明

aaa authentication

LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブルまたはディセーブルにするか表示します(aaa-server コマンドによって指定されたサーバが対象)。

aaa authorization

LOCAL または TACACS+ ユーザ認可サービスをイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバを指定します。

clear configure aaa

設定済みの AAA アカウンティング値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

aaa-server

AAA サーバ グループを作成し、グループ固有で全グループ ホスト共通の AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server コマンドを使用します。指定したグループを削除するには、このコマンドの no 形式を使用します。

aaa-server server-tag protocol server-protocol

no aaa-server server-tag protocol server-protocol

 
構文の説明

server-tag

サーバ グループ名を指定します。この名前は、 aaa-server host コマンドによって指定される名前と照合されます。他の AAA コマンドでは、この AAA サーバ グループ名を参照します。

protocol server-protocol

グループ内のサーバがサポートする AAA プロトコルを指定します。

http-form

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

http-form プロトコルが追加されました。

8.2(2)

AAA サーバ グループの最大数が単一モードで 15 から 100 に増えました。

 
使用上のガイドライン

AAA サーバ コンフィギュレーションを制御するには、 aaa-server コマンドで AAA サーバ グループ プロトコルを定義してから、 aaa-server host コマンドを使用してサーバをグループに追加します。

シングル モードでは最大 100 個のサーバ グループ、マルチ モードではコンテキストごとに 4 個のサーバ グループを持つことができます。各グループには、シングル モードで最大 16 台のサーバ、マルチ モードでは 4 台のサーバを含めることができます。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。

次に、 aaa-server コマンドを使用して TACACS+ サーバ グループ コンフィギュレーションの詳細を変更する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
hostname(config-aaa-server-group)# reactivation mode timed
hostname(config-aaa-server-group)# max-failed attempts 2
 

 
関連コマンド

コマンド
説明

accounting-mode

アカウンティング メッセージが 1 つのサーバに送信されるか(シングル モード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定します。

reactivation-mode

障害の発生したサーバを再度有効にする方法を指定します。

max-failed-attempts

サーバ グループ内の所定のサーバが非アクティブ化されるまでに、そのサーバで許容される接続試行の失敗数を指定します。

clear configure aaa-server

AAA サーバ コンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

aaa-server active、fail

障害が発生したというマークが付いている AAA サーバを再度アクティブにするには、特権 EXEC モードで aaa-server active コマンドを使用します。アクティブなサーバを障害が発生した状態にするには、特権 EXEC モードで aaa-server fail コマンドを使用します。

aaa-server server_tag [ active | fail ] host { server_ip | name }

 
構文の説明

active

サーバをアクティブ状態に設定します。

fail

サーバを障害が発生した状態に設定します。

host

ホスト IP アドレス名または IP アドレスを指定します。

name

name コマンドを使用してローカルで割り当てた名前か、DNS 名を使用してサーバ名を指定します。DNS 名の最大文字数は 128 文字で、 name コマンドを使用して割り当てた名前は 63 文字です。

server_ip

AAA サーバの IP アドレスを指定します。

server_tag

サーバ グループのシンボリック名を指定します。この名前は、 aaa-server コマンドによって指定された名前と照合されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用しないと、グループ内で障害が発生したサーバは、グループ内のすべてのサーバに障害が発生して、その後すべてのサーバが再度アクティブにされるまで、障害発生状態のままになります。

次に、サーバ 192.168.125.60 の状態を示し、手動でサーバを再度アクティブにする例を示します。

hostname# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: FAILED. Server disabled at 11:10:08 UTC Fri Aug 22
...
hostname# aaa-server active host 192.168.125.60
hostname# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: ACTIVE (admin initiated). Last Transaction at 11:40:09 UTC Fri Aug 22
...
 

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成および変更します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

aaa-server host

AAA サーバ グループの一部として AAA サーバを設定したり、ホスト固有の AAA サーバ パラメータを設定したりするには、グローバル コンフィギュレーション モードで aaa-server host コマンドを使用します。 aaa-server host コマンドを使用すると、AAA サーバ ホスト コンフィギュレーション モードが開始され、このモードでホスト固有の AAA サーバ接続データを指定および管理できます。ホストのコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]

no aaa-server server-tag [ ( interface-name ) ] host { server-ip | name } [ key ] [ timeout seconds ]

 
構文の説明

( interface-name )

(任意)認証サーバが常駐するネットワーク インターフェイスを指定します。このパラメータには、カッコが必要です。インターフェイスを指定しない場合、デフォルトで inside になります(使用できる場合)。

key

(任意)大文字と小文字が区別される最大 127 文字の英数字のキーワードを指定します。RADIUS または TACACS+ サーバのキーと同じ値です。127 文字を超えて入力された文字があれば無視されます。このキーは、適応型セキュリティ アプライアンスとサーバとの間でデータを暗号化するために使用されます。このキーは、適応型セキュリティ アプライアンスとサーバ システムの両方で同じにする必要があります。キーにスペースは使用できませんが、他の特殊文字は使用できます。ホスト モードで key コマンドを使用して、キーを追加または変更できます。

name

name コマンドを使用してローカルで割り当てた名前か、DNS 名を使用してサーバ名を指定します。DNS 名の最大文字数は 128 文字で、 name コマンドを使用して割り当てた名前は 63 文字です。

server-ip

AAA サーバの IP アドレスを指定します。

server-tag

サーバ グループのシンボリック名を指定します。この名前は、 aaa-server コマンドによって指定された名前と照合されます。

timeout seconds

(任意)要求のタイムアウト間隔。この時間を超えると、適応型セキュリティ アプライアンスはプライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、適応型セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。ホスト モードで timeout コマンドを使用して、タイムアウト間隔を変更できます。

 
デフォルト

デフォルトのタイムアウト値は 10 秒です。

デフォルトのインターフェイスは inside です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

DNS 名のサポートが追加されました。

 
使用上のガイドライン

AAA サーバ コンフィギュレーションを制御するには、 aaa-server コマンドで AAA サーバ グループを定義してから、 aaa-server host コマンドを使用してサーバをグループに追加します。

シングル モードでは最大 15 個のサーバ グループ、マルチ モードではコンテキストごとに 4 個のサーバ グループを持つことができます。各グループには、シングル モードで最大 16 台のサーバ、マルチ モードでは 4 台のサーバを含めることができます。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。

aaa-server host コマンドを入力した後、ホスト固有のパラメータを設定できます。

次に、「watchdogs」という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、そのサーバの Kerberos レルムを定義する例を示します。


) Kerberos レルム名に使用できるのは、数字と大文字のみです。適応型セキュリティ アプライアンスでは、レルム名に小文字を使用できますが、小文字は大文字に変換されません。必ず大文字だけを使用します。


hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
 

次に、「svrgrp1」という名前の SDI AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、タイムアウト間隔を 6 秒、リトライ間隔を 7 秒、SDI バージョンをバージョン 5 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# sdi-version sdi-5
 

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成および変更します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

absolute

時間範囲が有効になる絶対時間を定義するには、時間範囲コンフィギュレーション モードで absolute コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

absolute [ end time date ] [ start time date ]

no absolute

 
構文の説明

date

(任意)日付を day month year 形式で指定します(たとえば、1 January 2006)。年の有効範囲は 1993 ~ 2035 です。

end

(任意)時間範囲の終了日時を指定します。

start

(任意)時間範囲の開始日時を指定します。

time

(任意)時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。

 
デフォルト

開始日時を指定しない場合、permit または deny ステートメントがただちに有効になり、常にオンになります。同様に、最遅終了時刻は 23:59 31 December 2035 です。終了日時を指定しない場合、関連付けられている permit または deny ステートメントは無制限に有効です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

時間範囲コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。

次に、2006 年 1 月 1 日午前 8 時に ACL が有効になる例を示します。

hostname(config-time-range)# absolute start 8:00 1 January 2006
 
終了日時を指定していないため、関連する ACL は無期限で有効になります。

 
関連コマンド

コマンド
説明

access-list extended

適応型セキュリティ アプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します。

default

time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。

periodic

時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定します。

time-range

時間に基づいて適応型セキュリティ アプライアンスのアクセス コントロールを定義します。

accept-subordinates

デバイスに事前にインストールされていない下位 CA 証明書がフェーズ 1 の IKE 交換で提供されたときに、その証明書を受け入れるように適応型セキュリティ アプライアンスを設定するには、暗号 CA トラストポイント コンフィギュレーション モードで accept-subordinates コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

accept-subordinates

no accept-subordinates

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定はオンです(下位証明書は受け入れられます)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェーズ 1 の処理中、IKE ピアは下位証明書と ID 証明書の両方を渡すことがあります。下位証明書は適応型セキュリティ アプライアンスにインストールされていないことがあります。このコマンドを使用すると、管理者はデバイス上にトラストポイントとして設定されていない下位 CA 証明書をサポートできます。確立されたすべてのトラストポイントのすべての下位 CA 証明書が受け入れ可能である必要はありません。つまり、このコマンドを使用すると、デバイスは、証明書チェーン全体をローカルにインストールすることなく、その証明書チェーンを認証できます。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central での下位証明書の受け入れを適応型セキュリティ アプライアンスに許可する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# accept-subordinates
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

access-group

アクセス リストを 1 つのインターフェイスにバインドするには、グローバル コンフィギュレーション モードで access-group コマンドを使用します。アクセス リストをインターフェイスからアンバインドするには、このコマンドの no 形式を使用します。

access-group access-list { in | out } interface interface_name [ per-user-override | control-plane ]

no access-group access-list { in | out } interface interface_name

1 組のグローバル ルールを 1 つのコマンドですべてのインターフェイスに適用するには、グローバル コンフィギュレーション モードで access-group global コマンドを使用します。設定済みのすべてのインターフェイスからグローバル ルールを削除するには、このコマンドの no 形式を使用します。

access-group access-list [ global ]

no access-group access-list [global ]

 
構文の説明

access-list

アクセス リスト ID。

control-plane

(任意)ルールが to-the-box トラフィック用かどうかを指定します。

global

(任意)設定済みのすべてのインターフェイスにアクセス リストを適用します。

in

指定したインターフェイスで着信パケットをフィルタリングします。

interface interface-name

ネットワーク インターフェイスの名前。

out

指定したインターフェイスで発信パケットをフィルタリングします。

per-user-override

(任意)ダウンロード可能なユーザ アクセス リストが、インターフェイスに適用されているアクセス リストを上書きできるようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.3(1)

このコマンドは、グローバル ポリシーをサポートするように変更されました。

 
使用上のガイドライン

インターフェイス固有のアクセス グループ ルールがグローバル ルールに優先されるため、パケットの分類時はインターフェイス固有のルールがグローバル ルールの前に処理されます。

インターフェイス固有ルールの使用上のガイドライン

access-group コマンドは、アクセス リストをインターフェイスにバインドします。アクセス リストは、インターフェイス宛ての着信トラフィックに適用されます。 access-list コマンド ステートメントに permit オプションを入力した場合は、適応型セキュリティ アプライアンスはパケットの処理を続行します。 access-list コマンド ステートメントに deny オプションを入力した場合は、適応型セキュリティ アプライアンスはパケットを廃棄して、次の syslog メッセージを生成します。

%hostname-4-106019: IP packet from source_addr to destination_addr , protocol protocol received from interface interface_name deny by access-group id

 

per-user-override オプションを指定すると、ダウンロードしたアクセス リストで、インターフェイスに適用されているアクセス リストを上書きできます。 per-user-override オプションを指定しないと、適応型セキュリティ アプライアンスは既存のフィルタリング動作を維持します。 per-user-override を指定すると、適応型セキュリティ アプライアンスは、ユーザに関連付けられているユーザごとのアクセス リスト(ダウンロードされた場合)の permit ステータスまたは deny ステータスで、 access-group コマンドに関連付けられているアクセス リストの permit ステータスまたは deny ステータスを上書きできるようにします。さらに、次のルールが監視されます。

パケットが到達した時点で、そのパケットに関連付けられているユーザごとのアクセス リストがない場合、インターフェイス アクセス リストが適用されます。

ユーザごとのアクセス リストは、 timeout コマンドの uauth オプションで指定されたタイムアウト値によって管理されますが、このタイムアウト値は、ユーザごとの AAA セッション タイムアウト値によって上書きできます。

既存のアクセス リストのログ動作は同じです。たとえば、ユーザごとのアクセス リストによってユーザ トラフィックが拒否された場合、syslog メッセージ 109025 が記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセス リストのログ オプションは、影響を及ぼしません。

access-list コマンドは、必ず access-group コマンドと一緒に使用してください。

access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードは、アクセス リストを、指定したインターフェイス上のトラフィックに適用します。 out キーワードは、アクセス リストを発信トラフィックに適用します。


) 1 つ以上の access-group コマンドによって参照されるアクセス リストから、すべての機能エントリ(permit ステートメントおよび deny ステートメント)を削除すると、access-group コマンドがコンフィギュレーションから自動的に削除されます。access-group コマンドは、空のアクセス リストも、コメントだけを含むアクセス リストも参照できません。



) to-the-box 管理トラフィック用のアクセス コントロール ルール(http、ssh、または telnet などのコマンドで定義される)は、control-plane オプションで適用されるアクセス リストより優先されます。したがって、許可を受けたこのような管理トラフィックは、to-the-box アクセス リストによって明示的に拒否された場合でも、着信が許可されます。


グローバル ルールの使用上のガイドライン

access-group global コマンドは、適応型セキュリティ アプライアンスでトラフィックが到着するインターフェイスにかかわらず、すべてのトラフィックに対して 1 組のグローバル ルールを適用します。

access-group global コマンドのグローバル ルールは、拡張アクセス リストのみサポートします。

すべてのグローバル ルールは、入力(input)方向のトラフィックにのみ適用されます。グローバル ルールは出力(output)トラフィックをサポートしません。

access-group global のグローバル ルールは、インターフェイス固有のアクセス ルールでサポートされる control-plane オプションも per-user-override オプションもサポートしません。

グローバル ルールにグローバル暗黙拒否ルールが追加されました。すべてのグローバル ルールが削除されると、グローバル暗黙拒否ルールも削除されます。

グローバル ルールがインターフェイス アクセス ルールと組み合わせて設定された場合、インターフェイス アクセス ルール(特定のルール)がグローバル アクセス ルール(一般のルール)よりも前に処理されます。

次に、 access-group global コマンドを使用して、設定済みのすべてのインターフェイスにアクセス リストを適用する方法の例を示します。

hostname(config)# access-list acl-1 extended permit ip host 10.1.2.2 host 10.2.2.2
hostname(config)# access-list acl-2 extended deny ip any any
 
hostname(config)# access-group acl-2
hostname(config)# access-group acl-1 in interface outside
 
hostname(config)# show run access-group acl-2
hostname(config)# access-group acl-1 in interface outside
 
hostname(config)# access-group acl-2 global
 

上記の access-group コンフィギュレーションによって、分類テーブルに次のルールが追加されます( show asp table classify コマンドからの出力)。

in id=0xb1f90068, priority=13, domain=permit, deny=false
hits=0, user_data=0xaece1ac0, cs_id=0x0, flags=0x0, protocol=0
src ip=10.1.2.2, mask=255.255.255.255, port=0
dst ip=10.2.2.2, mask=255.255.255.255, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
in id=0xb1f2a250, priority=12, domain=permit, deny=true
hits=0, user_data=0xaece1b40, cs_id=0x0, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=any, output_ifc=any
in id=0xb1f90100, priority=11, domain=permit, deny=true
hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
in id=0xb1f2a3f8, priority=11, domain=permit, deny=true
hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=any, output_ifc=any
 

上記のルールでは、出力インターフェイスで 10.1.2.2 から 10.2.2.2 にトラフィックを通過させ、10.1.1.10 から 10.2.2.20 へのトラフィックはグローバル拒否ルールによりドロップします。

次に、任意のアドレスから DMZ 内の HTTP サーバ(IP アドレス 10.2.2.2)へのグローバル アクセスを許可する例を示します。

hostname(config)# access-list global_acl permit tcp any host 10.2.2.2 eq 80
hostname(config)# access-group global_acl global
 

上記のルールは、外部ホスト 10.1.2.2 からホスト 10.2.2.2 への HTTP 接続を許可し、内部ホスト 192.168.0.0 からホスト 10.2.2.2 への HTTP 接続を許可します。


) グローバル ポリシーをサポートしない場合、上記のアクセス リストは適用可能なすべてのインターフェイスに適用する必要があります。


次に、グローバル ポリシーとインターフェイス ポリシーを一緒に使用する方法の例を示します。この例では、任意の内部ホストからサーバ(IP アドレス 10.2.2.2)へのアクセスは許可しますが、他のホストからサーバへのアクセスを拒否します。インターフェイス ポリシーが優先されます。

hostname(config)# access-list inside_acl permit tcp any host 10.2.2.2 eq 23
hostname(config)# access-list global_acl deny ip any host 10.2.2.2
hostname(config)# access-group inside_acl in interface inside
hostname(config)# access-group global_acl global
 

上記のルールは、外部ホスト 10.1.2.2 からホスト 10.2.2.2 への SSH 接続を拒否し、内部ホスト 192.168.0.0 からホスト 10.2.2.2 への SSH 接続を許可します。

次に、NAT とグローバル アクセス コントロール ポリシーを一緒に機能させる方法の例を示します。この例では、外部ホスト 10.1.2.2 からホスト 10.2.2.2 への 1 つの HTTP 接続を許可し、内部ホスト 192.168.0.0 からホスト 10.2.2.2 への別の HTTP 接続を許可し、外部ホスト 10.255.255.255 からホスト 172.31.255.255 への 1 つの HTTP 接続を(暗黙ルールによって)拒否します。

hostname(config)# object network dmz-server host 10.1.1.2
hostname(config)# nat (any, any) static 10.2.2.2
hostname(config)# access-list global_acl permit tcp any host 10.2.2.2 eq 80
hostname(config)# access-group global_acl global
 

次に、NAT とグローバル アクセス コントロール ポリシーを一緒に機能させる方法の例を示します。この例では、ホスト 10.1.1.1 からホスト 192.168.0.0, への 1 つの HTTP 接続を許可し、ホスト 209.165.200.225 からホスト 172.16.0.0 への別の HTTP 接続を許可し、ホスト 10.1.1.1 からホスト 172.16.0.0 への 1 つの HTTP 接続を拒否します。

hostname(config)# object network 10.1.1.1 host 10.1.1.1
hostname(config)# object network 172.16.0.0 host 172.16.0.0
hostname(config)# object network 192.168.0.0 host 192.168.0.0
hostname(config)# nat (inside, any) source static 10.1.1.1 10.1.1.1 destination static
192.168.0.0 172.16.0.0
hostname(config)# access-list global_acl permit ip object 10.1.1.1 object 172.16.0.0
hostname(config)# access-list global_acl permit ip host 209.165.200.225 object 172.16.0.0
hostname(config)# access-list global_acl deny ip any 172.16.0.0

hostname(config)# access-group global_acl global

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

clear configure access-group

すべてのインターフェイスからアクセス グループを削除します。

show running-config access-group

インターフェイスにバインドされた現在のアクセス リストを表示します。

access-list alert-interval

拒否フロー最大数メッセージ間の時間間隔を指定するには、グローバル コンフィギュレーション モードで access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-list alert-interval secs

no access-list alert-interval

 
構文の説明

secs

拒否フロー最大数メッセージが生成される時間間隔。有効な値は 1 ~ 3600 秒です。デフォルト値は 300 秒です。

 
デフォルト

デフォルトは 300 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

access-list alert-interval コマンドは、システム ログ メッセージ 106001 を生成する時間間隔を設定します。システム ログ メッセージ 106001 は、適応型セキュリティ アプライアンスが拒否フローの最大数に達したことを警告します。拒否フローの最大数に達したとき、前回のシステム ログ メッセージ 106001 が生成されてから secs 秒以上経過していた場合は、別の 106001 メッセージが生成されます。

拒否フロー最大数メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。

次に、拒否フロー最大数メッセージ間の時間間隔を指定する方法の例を示します。

hostname(config)# access-list alert-interval 30
 

 
関連コマンド

コマンド
説明

access-list deny-flow-max

作成できる同時拒否フローの最大数を指定します。

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィックのポリシーを設定するために使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

access-list deny-flow-max

作成できる同時拒否フローの最大数を指定するには、グローバル コンフィギュレーション モードで access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-list deny-flow-max

no access-list deny-flow-max

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの同時拒否フローは 4096 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスが ACL 拒否フローの最大数 n に達すると、システム ログ メッセージ 106101 が生成されます。

次に、作成できる同時拒否フローの最大数を指定する方法の例を示します。

hostname(config)# access-list deny-flow-max 256
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィックのポリシーを設定するために使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定するには、グローバル コンフィギュレーション モードで access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

no access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

 
構文の説明

any

すべての対象へのアクセスを指定します。

bpdu

ブリッジ プロトコル データ ユニットへのアクセスを指定します。デフォルトでは、BPDU は拒否されます。

deny

条件に一致する場合、アクセスを拒否します。

hex_number

EtherType を示す 0x600 以上の 16 ビット 16 進数値を示します。

id

アクセス リストの名前または番号をリストします。

ipx

IPX へのアクセスを指定します。

mpls-multicast

MPLS マルチキャストへのアクセスを指定します。

mpls-unicast

MPLS ユニキャストへのアクセスを指定します。

permit

条件が一致した場合にアクセスを許可します。

 
デフォルト

デフォルトは次のとおりです。

特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって発信元インターフェイス上のすべてのパケットが拒否されます。

ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。

log オプション キーワードを指定したとき、システム ログ メッセージ 106100 のデフォルトの重大度は 6(情報)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、16 ビット 16 進数値で示された任意の EtherType を制御できます。EtherType ACL は、イーサネット V2 フレームをサポートしています。802.3 形式のフレームはタイプ フィールドではなく長さフィールドを使用するため、ACL によって処理されません。ブリッジ プロトコル データ ユニットだけは例外で、ACL によって処理されます。ブリッジ プロトコル データ ユニットは SNAP 方式でカプセル化されており、適応型セキュリティ アプライアンスは BPDU を処理するように特別に設計されています。

EtherTypes はコネクションレス型であるため、両方向のトラフィックを通過させる場合は、両方のインターフェイスに ACL を適用する必要があります。

MPLS を許可する場合は、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータが、LDP セッションまたは TDP セッション用のルータ ID として適応型セキュリティ アプライアンス インターフェイス上の IP アドレスを使用するように設定することにより、LDP TCP 接続と TDP TCP 接続が適応型セキュリティ アプライアンス経由で確立されるようにします(LDP および TDP では、MPLS ルータが、パケット転送用のラベル(アドレス)をネゴシエートできます)。

インターフェイスの方向ごとに、各タイプ(拡張または EtherType)の ACL を 1 つだけ適用できます。同じ ACL を複数のインターフェイスに適用することもできます。


) EtherType アクセス リストが deny all コマンドで設定されている場合、すべてのイーサネット フレームが廃棄されます。物理プロトコル トラフィック(オートネゴシエーションなど)だけが許可されます。


次に、EtherType アクセス リストを追加する方法の例を示します。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

 

 
関連コマンド

コマンド
説明

access-group

アクセス リストをインターフェイスにバインドします。

clear access-group

アクセス リストのカウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list extended

アクセス コントロール エントリを追加するには、グローバル コンフィギュレーション モードで access-list extended コマンドを使用します。アクセス リストには、同じアクセス リスト ID を持つ 1 つ以上の ACE が入っています。アクセス リストを使用して、ネットワーク アクセスを制御したり、各種機能で処理するトラフィックを指定したりします。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リスト全体を削除するには、 clear configure access-list コマンドを使用します。

access-list id [ line line-number ] [ extended ] { deny | permit }
{
protocol | object-group { service_obj_grp_id | protocol_obj_grp_id }} { host sip | sip smask |
interface ifc | any | object-group network_obj_grp_id | object network_object_id } [ operator port [ port ] | object-group service_obj_grp_id ] { host dip | dip dmask | interface ifc | any | object-group network_obj_grp_id | object network_object_id } [ operator port [ port ] | object-group service_obj_grp_id ] [ log [ disable ] | [ level ] | [ default ] [[ interval secs ]]

no access-list id [ line line-number ] [ extended ] { deny | permit }
{
protocol | object-group { service_obj_grp_id | protocol_obj_grp_id }} { host sip | sip smask |
interface ifc | any | object-group network_obj_grp_id | object network_obj_id } [ operator port [ port ] | object-group service_obj_grp_id ] { host dip | dip dmask | interface ifc | any | object-group network_obj_grp_id | object network_object_id } [ operator port [ port ] | object-group service_obj_grp_id ] [ log [ disable ] | [ level ] | [ default ] [[ interval secs ]]

 
構文の説明

default

(任意)ロギング方法をデフォルト(拒否パケットごとにシステム ログ メッセージ 106023 を生成)に設定します。

deny

条件を満たした場合にパケットを拒否します。ネットワーク アクセスの場合( access-group コマンド)、このキーワードによって、パケットが適応型セキュリティ アプライアンスを通過しないようにします。クラス マップにアプリケーション インスペクションを適用する場合( class-map inspect コマンドを使用)、このキーワードによって、トラフィックをインスペクション対象から免除します。機能の中には、ACE の使用を拒否できないもの(NAT など)もあります。詳細については、アクセス リストを使用する各機能のコマンドの説明を参照してください。

dest_ip

パケットの送信先となるネットワークまたはホストの IP アドレスを指定します。単一のアドレスを指定するには、IP アドレスの前に host キーワードを入力します。この場合、マスクを入力しないでください。すべてのアドレスを指定するには、アドレスおよびマスクの代わりに any キーワードを入力します。

disable

(任意)この ACE のロギングをディセーブルにします。

extended

(任意)ACE を追加します。

icmp_type

(任意)プロトコルが ICMP の場合、ICMP のタイプを指定します。

id

アクセス リストの ID を 241 文字までの文字列または整数で指定します。ID は、大文字と小文字が区別されます。

ヒント すべて大文字を使用すると、コンフィギュレーション内でアクセス リスト ID を区別しやすくなります。

inactive

(任意)ACE をディセーブルにします。イネーブルに戻すには、 inactive キーワードなしで ACE 全体を入力します。この機能を使用すると、非アクティブな ACE をコンフィギュレーションに残しておけるため、イネーブルに戻しやすくなります。

interface ifc_name

送信元または宛先アドレスとしてのインターフェイス アドレスを指定します。

(注) トラフィックの宛先がデバイス インターフェイスの場合、アクセス リストに実際の IP アドレスを指定する代わりに、interface キーワードを指定する必要があります。

interval secs

(任意)システム ログ メッセージ 106100 を生成するログ間隔を指定します。有効値は、1 ~ 600 秒です。デフォルトは 300 です。

level

(任意)システム ログ メッセージ 106100 の重大度(0 ~ 7)を設定します。デフォルトのレベルは 6(情報)です。

line line-num

(任意)ACE の挿入先となる行の番号を指定します。行番号を指定しない場合、ACE はアクセス リストの末尾に追加されます。行番号はコンフィギュレーションに保存されません。ACE を挿入する場所を指定するだけです。

log

(任意)ネットワーク アクセス制御目的で ACE がパケットと照合されるときのロギング オプションを設定します(アクセス リストは access-group コマンドで適用されます)。引数を指定せずに log キーワードを入力すると、デフォルト レベル(6)とデフォルト間隔(300 秒)でシステム ログ メッセージ 106100 がイネーブルになります。 log キーワードを入力しないと、デフォルトのシステム ログ メッセージ 106023 が生成されます。

mask

IP アドレスのサブネット マスク。ネットワーク マスクを指定する場合に使用する方式は、Cisco IOS ソフトウェア access-list コマンドの方式と異なります。適応型適応型セキュリティ アプライアンスでは、ネットワーク マスク(たとえば、クラス C マスクは 255.255.255.0)を使用します。Cisco IOS マスクではワイルドカード ビット(0.0.0.255 など)を使用します。

network_obj_grp_id

ネットワーク オブジェクト グループの名前を指定します。

network_object_id

ネットワーク オブジェクトの名前を指定します。

object-group icmp_type_obj_grp_id

(任意)プロトコルが ICMP の場合、ICMP タイプのオブジェクト グループの ID を指定します。オブジェクト グループの追加については、 object-group icmp-type コマンドを参照してください。

object-group network_obj_grp_id

ネットワーク オブジェクト グループの ID を指定します。オブジェクト グループの追加については、 object-group network コマンドを参照してください。

object-group protocol_obj_grp_id

プロトコル オブジェクト グループの ID を指定します。オブジェクト グループの追加については、 object-group protocol コマンドを参照してください。

object-group service_obj_grp_id

(任意)プロトコルを TCP または UDP に設定する場合に、サービス オブジェクト グループの ID を指定します。オブジェクト グループの追加については、 object-group service コマンドを参照してください。

operator

(任意)送信元または宛先で使用されるポート番号を照合します。使用できる演算子は次のとおりです。

lt :より小さい

gt :より大きい

eq :等しい

neq :等しくない

range :値の範囲(両端を含む)。この演算子を使用する場合、次の例のようにポート番号を 2 つ指定します。

range 100 200
 

permit

条件を満たした場合にパケットを許可します。ネットワーク アクセスの場合( access-group コマンド)、このキーワードによって、パケットが適応型セキュリティ アプライアンスを通過するようにします。クラス マップにアプリケーション インスペクションを適用する場合( class-map inspect コマンドを使用)、このキーワードによって、パケットにインスペクションを適用します。

port

(任意)プロトコルを TCP または UDP に設定する場合、TCP または UDP ポートの番号(整数)または名前を指定します。DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC、および Talk では、それぞれ TCP を 1 つと UDP を 1 つ定義する必要があります。TACACS+ では、TCP のポート 49 の定義が 1 つ必要です。

protocol

IP プロトコルの名前または番号を指定します。たとえば、UDP は 17、TCP は 6、EGP は 47 になります。

src_ip

パケットの送信元となるネットワークまたはホストの IP アドレスを指定します。単一のアドレスを指定するには、IP アドレスの前に host キーワードを入力します。この場合、マスクを入力しないでください。すべてのアドレスを指定するには、アドレスおよびマスクの代わりに any キーワードを入力します。

time-range time_range_name

(任意)時間範囲を ACE に適用することによって、各 ACE が特定の時間および週にアクティブになるようにスケジューリングします。時間範囲の定義については、 time-range コマンドを参照してください。

 
デフォルト

デフォルトは次のとおりです。

ACE ロギングによって、拒否されたパケットに対してシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、 deny ACE を指定する必要があります。

log キーワードが指定された場合、システム ログ メッセージ 106100 のデフォルト レベルは 6(情報)、デフォルトの間隔は 300 秒になります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

指定したアクセス リスト名に対して入力した各 ACE は、ACE の行番号を指定しない限り、そのアクセス リストの末尾に追加されます。

ACE の順番は重要です。適応型セキュリティ アプライアンスがパケットを転送するかドロップするかを決定する際、適応型セキュリティ アプライアンスは、エントリがリストされている順番で各 ACE を使用してパケットをテストします。一致が見つかった後は、残りの ACE はチェックされません。たとえば、アクセス リストの先頭に、すべてのトラフィックを明示的に許可する ACE を作成した場合、残りのステートメントはまったくチェックされなくなります。

アクセス リストは、リストの末尾に暗黙的な拒否が設定されているため、明示的に許可されない限り、トラフィックは通過できません。たとえば、特定のアドレスを除いて、すべてのユーザが適応型セキュリティ アプライアンス経由でネットワークにアクセスすることを許可するには、特定のアドレスを拒否し、次にすべてのアドレスを許可する必要があります。

NAT を使用する場合、アクセス リストで指定する IP アドレスは、アクセス リストを関連付けているインターフェイスによって異なります。インターフェイスに接続されているネットワークで有効なアドレスを使用する必要があります。このガイドラインは、着信と発信の両方のアクセス グループにあてはまります。使用するアドレスは、方向でなくインターフェイスによって決まります。

TCP 接続と UDP 接続では、リターン トラフィックを許可するアクセス リストは必要ありません。これは、FWSM では、確立された双方向接続についてのすべてのリターン トラフィックを許可するためです。ただし、ICMP などのコネクションレス型プロトコルでは、適応型セキュリティ アプライアンスは単方向のセッションを確立します。そのため、アクセス リストで双方向の ICMP を許可するか(アクセス リストを送信元と宛先のインターフェイスに適用する)、ICMP のインスペクション エンジンをイネーブルにする必要があります。ICMP のインスペクション エンジンは、ICMP セッションを双方向接続と見なします。

ICMP はコネクションレス型プロトコルのため、アクセス リストで双方向の ICMP を許可するか(アクセス リストを送信元と宛先のインターフェイスに適用する)、ICMP のインスペクション エンジンをイネーブルにする必要があります。ICMP のインスペクション エンジンは、ICMP セッションをステートフル接続と見なします。ping を制御するには、 echo-reply ( 0 )(適応型セキュリティ アプライアンスからホストへ)または echo ( 8 )(ホストから適応型セキュリティ アプライアンスへ)を指定します。ICMP タイプのリストについては、 表 1-1 を参照してください。

インターフェイスの方向ごとに、各タイプ(拡張または EtherType)のアクセス リストを 1 つだけ適用できます。同じアクセス リストを複数のインターフェイスに適用することもできます。インターフェイスにアクセス リストを適用することの詳細については、 access-group コマンドを参照してください。


) アクセス リストのコンフィギュレーションを変更する場合、既存の接続がタイムアウトするのを待たずに新しいアクセス リスト情報を使用するときは、clear local-host コマンドを使用して接続を消去できます。


表 1-1 に、使用できる ICMP タイプの値を示します。

 

表 1-1 ICMP タイプのリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

30

traceroute

31

conversion-error

32

mobile-redirect

次のアクセス リストは、このアクセス リストを適用するインターフェイスのすべてのホストが適応型セキュリティ アプライアンスを通過することを許可しています。

hostname(config)# access-list ACL_IN extended permit ip any any
 

次のアクセス リストでは、192.168.1.0/24 のホストから 209.165.201.0/27 ネットワークにアクセスできないようにしています。他のアドレスはすべて許可しています。

hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any
 

一部のホストだけにアクセスを制限する場合は、アクセスを限定する permit ACE を入力します。デフォルトでは、明示的に許可しない限り他のすべてのトラフィックは拒否されます。

hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224
 

次のアクセス リストは、アクセス リストを適用するインターフェイスのすべてのホストが、アドレス 209.165.201.29 の Web サイトにアクセスできないように制限します。他のすべてのトラフィックは許可されます。

hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
 

次のアクセス リストは、オブジェクト グループを使用して、内部ネットワークのいくつかのホストから、いくつかの Web サーバにアクセスできないように制限します。他のすべてのトラフィックは許可されます。

hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グループ(B)へのトラフィックを許可するアクセス リストを一時的にディセーブルにするには、次のように入力します。

hostname(config)# access-list 104 permit ip host object-group A object-group B inactive
 

時間ベース アクセス リストを実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲をアクセス リストにバインドします。次に、「Sales」という名前のアクセス リストを、「New_York_Minute」という名前の時間範囲にバインドする例を示します。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute
hostname(config)#
 

時間範囲を定義する方法の詳細については、 time-range コマンドを参照してください。

 
関連コマンド

コマンド
説明

access-group

アクセス リストをインターフェイスにバインドします。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

ACE を番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list remark

access-list extended コマンドの前または後に追加するコメントのテキストを指定するには、グローバル コンフィギュレーション モードで access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。

access-list id [ line line-num ] remark text

no access-list id [ line line-num ] remark [ text ]

 
構文の説明

id

アクセス リストの名前。

line line-num

(任意)コメントまたは Access Control Element(ACE)を挿入する行番号。

remark text

access-list extended コマンドの前または後に追加するコメントのテキスト。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

コメント テキストにはスペース以外の文字が最低 1 つ含まれている必要があります。空のコメントは許可されません。コメント テキストは、スペースおよび句読点を含めて最大 100 文字まで指定できます。

access-group コマンドは、コメントしか含まない ACL に対して使用できません。

次に、 access-list コマンドの前または後に追加するコメントのテキストを指定する方法の例を示します。

hostname(config)# access-list 77 remark checklist
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィックのポリシーを設定するために使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list rename

アクセス リストの名前を変更するには、グローバル コンフィギュレーション モードで access-list rename コマンドを使用します。

access-list id rename new_acl_id

 
構文の説明

id

既存のアクセス リストの名前。

rename new_acl_id

新しいアクセス リストの ID を 241 文字までの文字列または整数で指定します。ID は、大文字と小文字が区別されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

アクセス リストが同じ名前に変更されると、適応型セキュリティ アプライアンスは、通知なしでこのコマンドを無視します。

次に、アクセス リストの名前を TEST から OUTSIDE に変更する例を示します。

hostname(config)# access-list TEST rename OUTSIDE
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィックのポリシーを設定するために使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list standard

OSPF 再配布のルート マップに使用できる、OSPF ルートの宛先 IP アドレスを識別するためのアクセス リストを追加するには、グローバル コンフィギュレーション モードで access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }

no access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }

 
構文の説明

any

すべての対象へのアクセスを指定します。

deny

条件に一致する場合、アクセスを拒否します。

host ip_address

ホスト IP アドレスへのアクセスを指定します(任意)。

id

アクセス リストの名前または番号。

ip_address ip_mask

特定の IP アドレス(任意)およびサブネット マスクへのアクセスを指定します。

line line-num

(任意)ACE の挿入先となる行番号。

permit

条件が一致した場合にアクセスを許可します。

 
デフォルト

デフォルトは次のとおりです。

特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって発信元インターフェイス上のすべてのパケットが拒否されます。

ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

access-group コマンドとともに deny キーワードを使用すると、パケットが適応型セキュリティ アプライアンスを通過できなくなります。デフォルトでは、特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって発信元インターフェイス上のすべてのパケットが拒否されます。

送信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合、次のガイドラインを使用します。

4 つの部分で構成されるドット付き 10 進表記の 32 ビット数量を使用する。

アドレスとマスクを 0.0.0.0 0.0.0.0 にする場合、短縮形の any キーワードを使用する。

マスクを 255.255.255.255 にする場合、短縮形の host ip_ address オプションを使用する。

次に、適応型セキュリティ アプライアンス経由の IP トラフィックを拒否する方法の例を示します。

hostname(config)# access-list 77 standard deny
 

次に、条件に一致した場合に適応型セキュリティ アプライアンス経由の IP トラフィックを許可する方法の例を示します。

hostname(config)# access-list 77 standard permit
 

次に、宛先アドレスを指定する方法の例を示します。

hostname(config)# access-list 77 standard permit host 10.1.10.123
 

 
関連コマンド

コマンド
説明

access-group

コンフィギュレーションの最適化に使用できるオブジェクト グループを定義します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

access-list webtype

クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションにアクセス リストを追加するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

access-list id webtype { deny | permit } url { url_string | any } [ log { disable | default | level } [ interval secs ]] [ time_range name ]] [inactive]

no access-list id webtype { deny | permit } url { url_string | any } [ log { disable | default | level } [ interval secs ]] [ time_range name ]] [inactive]

access-list id webtype { deny | permit } tcp [ host host_address | dest_address subnet_mask | any ] [ oper port [ port ]] [ log { disable | default | level } [ interval secs ] [ time_range name ]] [inactive]

no access-list id webtype { deny | permit } tcp [ host host_address | dest_address subnet_mask | any ] [ oper port [ port ]] [ log { disable | default | level } [ interval secs ] [ time_range name ]] [inactive]

 
構文の説明

any

すべての IP アドレスを指定します。

any

(任意)すべての URL を指定します。

deny

条件に一致する場合、アクセスを拒否します。

dest_address

宛先 IP アドレスを指定します。

host_address

ホスト IP アドレスを指定します。

id

アクセス リストの名前または番号を指定します。

inactive

ACE をディセーブルにします。

interval secs

(任意)システム ログ メッセージ 106100 を生成する時間間隔を指定します。有効な値は 1 ~ 600 秒です。

log { disable | default | level }

(任意)ACE 用にシステム ログ メッセージ 106100 が生成されるように指定します。詳細については、 log コマンドを参照してください。

oper

ip_address ポートを比較します。使用できるオペランドは、lt(less than:未満)、gt(greater than:より大きい)、eq(equal:一致)、neq(not equal:不一致)、range(inclusive range:包含範囲)です。

permit

条件が一致した場合にアクセスを許可します。

port

TCP ポートまたは UDP ポートの 10 進数または名前を指定します。

subnet mask

宛先 IP アドレスのサブネット マスクを指定します。

time_range name

(任意)time-range オプションをこのアクセス リスト要素に付加するためのキーワードを指定します。

url

フィルタリングに URL を使用することを指定します。

url_string

(任意)フィルタリングする URL を指定します。

 
デフォルト

デフォルトは次のとおりです。

特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって発信元インターフェイス上のすべてのパケットが拒否されます。

ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。

log オプション キーワードを指定したとき、システム ログ メッセージ 106100 のデフォルト レベルは 6(情報)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

access-list webtype コマンドは、クライアントレス SSL VPN フィルタリングを設定するために使用します。指定する URL は、全体でも一部(ファイル指定なし)でもよく、サーバを指定するワイルドカードを含めることも、ポートを指定することもできます。

有効なプロトコル ID は、http、https、cifs、imap4、pop3、および smtp です。URL に any キーワードを含めて、すべての URL を指すこともできます。アスタリスクを使用して、DNS 名のサブコンポーネントを指すこともできます。

inactive キーワードを使用して ACE をディセーブルにした場合、 inactive キーワードなしで ACE 全体を入力することによって ACE を再びイネーブルにできます。この機能を使用すると、非アクティブな ACE をコンフィギュレーションに残しておけるため、イネーブルに戻しやすくなります。

次に、特定企業の URL へのアクセスを拒否する方法の例を示します。

hostname(config)# access-list acl_company webtype deny url http://*.company.com
 

次に、特定のファイルへのアクセスを拒否する方法の例を示します。

hostname(config)# access-list acl_file webtype deny url https://www.company.com/dir/file.html
 

次に、すべての URL へのポート 8080 経由の HTTP アクセスを拒否する例を示します。

hostname(config)# access-list acl_company webtype deny url http://my-server:8080/*
 

 
関連コマンド

コマンド
説明

access-group

コンフィギュレーションの最適化に使用できるオブジェクト グループを定義します。

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定します。

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。

clear access-group

アクセス リスト カウンタをクリアします。

show running-config access-list

適応型セキュリティ アプライアンスで実行されているアクセス リスト コンフィギュレーションを表示します。

accounting-mode

アカウンティング メッセージが 1 台のサーバに送信されるか(シングル モード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定するには、AAA サーバ コンフィギュレーション モードで、 accounting-mode コマンドを使用します。アカウンティング モードの指定を削除するには、このコマンドの no 形式を使用します。

accounting-mode { simultaneous | single }

 
構文の説明

simultaneous

グループ内のすべてのサーバにアカウンティング メッセージを送信します。

single

1 台のサーバにアカウンティング メッセージを送信します。

 
デフォルト

デフォルト値はシングル モードです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 台のサーバにアカウンティング メッセージを送信するには、 single キーワードを使用します。サーバ グループ内のすべてのサーバにアカウンティング メッセージを送信するには、 simultaneous キーワードを使用します。

このコマンドは、アカウンティング(RADIUS または TACACS+)にサーバ グループを使用する場合にのみ有効です。

次に、 accounting-mode コマンドを使用して、グループ内のすべてのサーバにアカウンティング メッセージを送信する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
hostname(config-aaa-server-group)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa accounting

アカウンティング サービスをイネーブルまたはディセーブルにします。

aaa-server protocol

AAA サーバ グループ コンフィギュレーション モードを開始して、グループ固有でグループ内のすべてのホストに共通する AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

AAA サーバ コンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

accounting-port

ホストの RADIUS アカウンティングに使用するポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで accounting-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、アカウンティング レコードの送信先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。

accounting-port port

no accounting-port

 
構文の説明

port

RADIUS アカウンティング用のポート番号。値の範囲は 1 ~ 65535 です。

 
デフォルト

デフォルトでは、デバイスはポート 1646 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートを指定しない場合、RADIUS アカウンティングのデフォルト ポート番号(1646)が使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

RADIUS アカウンティング サーバが 1646 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、適応型セキュリティ アプライアンスで適切なポートを設定する必要があります。

このコマンドは、RADIUS 用に設定されているサーバ グループに限り有効です。

次に、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、アカウンティング ポートを 2222 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# accountinq-port 2222
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa accounting

ユーザがアクセスしたネットワーク サービスのレコードを保持します。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

accounting-server-group

アカウンティング レコードの送信用の AAA サーバ グループを指定するには、各モードで accounting-server-group コマンドを使用します。コンフィギュレーションからアカウンティング サーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスはアカウンティングを使用して、ユーザがアクセスするネットワーク リソースを追跡します。

accounting-server-group group_tag

no accounting-server-group [ group_tag ]

 
構文の説明

group_tag

以前に設定されたアカウンティング サーバまたはサーバのグループを指定します。アカウンティング サーバを設定するには aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、アカウンティング サーバは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドが、webvpn コンフィギュレーション モードではなく、トンネル グループ一般アトリビュート コンフィギュレーション モードで使用できるようになりました。

 
使用上のガイドライン

このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート コンフィギュレーション モードの同等のコマンドに変換されます。

次に、トンネル グループ一般アトリビュート コンフィギュレーション モードを開始し、IPSec LAN-to-LAN トンネル グループ「xyz」に「aaa-server123」という名前のアカウンティング サーバ グループを設定する例を示します。

hostname(config)# tunnel-group xyz type IPSec_L2L
hostname(config)# tunnel-group xyz general-attributes
hostname(config-tunnel-general)# accounting-server-group aaa-server123
hostname(config-tunnel-general)#
 

次に、POP3SSVRS という名前のアカウンティング サーバのセットを使用するように POP3S 電子メール プロキシを設定する方法の例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# accounting-server-group POP3SSVRS

 
関連コマンド

コマンド
説明

aaa-server

認証、許可、およびアカウンティング サーバを設定します。