ASDM ユーザ ガイド Version 5.2(2)
AAA サーバの設定
AAA サーバの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AAA サーバの設定

AAA について

AAA の概要

AAA の準備

LOCAL データベース

での AAA の実装

デバイス管理のための AAA

ネットワーク アクセス用の AAA

VPN アクセス用の AAA

AAA のセットアップ

AAA Server Groups

Add/Edit AAA Server Group

Edit AAA Local Server Group

Add/Edit AAA Server

Test AAA Server

Auth. Prompt

LDAP Attribute Map

Add/Edit LDAP Attribute Map

AAA サーバの設定

ここでは、次の項目について説明します。

AAA について

ASDM での AAA の実装

AAA のセットアップ

AAA について

ここでは、次の項目について説明します。

AAA の概要

AAA の準備

LOCAL データベース

AAA の概要

AAA によって、セキュリティ アプライアンスが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。認証のみで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングのみで使用することも、認証および認可とともに使用することもできます。

AAA には、ユーザ アクセスに対して、アクセスリストのみを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセスリストを作成できます。一部のユーザのみがサーバにアクセスできるようにするが、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済み(あるいはその両方)のユーザのみがセキュリティ アプライアンスを介してアクセスすることが許可されるようにできます(Telnet サーバもまた、認証を実行します。セキュリティ アプライアンスは、認可されないユーザがサーバにアクセスできないようにします)。

認証の概要:認証では、ユーザ ID に基づいてアクセス権が許可されます。認証では、有効なユーザ クレデンシャルを要求してユーザ ID を確立します。このクレデンシャルは通常、ユーザ名とパスワードです。

認可の概要:認可では、ユーザ認証後、ユーザごとにアクセスを制御します。認可では、各認証済みユーザが使用可能なサービスおよびコマンドを制御します。認可をイネーブルにしていない場合は、認証のみで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御が必要な場合、広範な認証ルールを設定して、詳細な認可が設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限します。

セキュリティ アプライアンスはユーザあたり最初の 16 個の認可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、セキュリティ アプライアンスは認可サーバに要求を再送信しません。

アカウンティングの概要:アカウンティングは、セキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでセキュリティ アプライアンスを経由したバイト数、使用されたサービス、セッションの継続時間が含まれます。

AAA の準備

AAA サービスは、LOCAL データベース、または少なくとも 1 つの AAA サーバの使用に依存します。 また、AAA サーバが提供するほとんどのサービスに対するフォールバックとして LOCAL データベースを使用することもできます。 AAA を実装する前に LOCAL データベースを設定するとともに、AAA サーバ グループとサーバ群を設定する必要があります。

LOCAL データベースおよび AAA サーバの設定方法は、セキュリティ アプライアンスがサポートする AAA サービスによって異なります。 AAA サーバを使用するかどうかに関係なく、管理アクセスをサポートするユーザ アカウントを使用して LOCAL データベースを設定する必要があります。これは、誤ってロックアウトされないためであると同時に、AAA サーバにアクセスできないときに、希望によりフォールバック方式を提供するためでもあります。 詳細については、「LOCAL データベース」を参照してください。

表10-1 では、AAA サーバ タイプごと、および LOCAL データベースごとの AAA サービスのサポートの要約を示しています。 LOCAL データベースの管理は、Configuration > Properties > Device Administration > User Accounts ペインでユーザ プロファイルを設定して行います。 AAA サーバ グループの確立およびサーバ グループへの個々の AAA サーバの追加は、Configuration > Properties > AAA Setup > AAA Server Groups ペインで行います。

 

表10-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form
認証

VPN ユーザ

あり

あり

あり

あり

あり

あり

あり

あり 1

ファイアウォール セッション

あり

あり

あり

あり

あり

あり

あり

なし

管理者

あり

あり

あり

あり 2

あり

あり

あり

なし

認可

VPN ユーザ

あり

あり

なし

なし

なし

なし

あり

なし

ファイアウォール セッション

なし

あり 3

あり

なし

なし

なし

なし

なし

管理者

あり 4

なし

あり

なし

なし

なし

なし

なし

アカウンティング

VPN 接続

なし

あり

あり

なし

なし

なし

なし

なし

ファイアウォール セッション

なし

あり

あり

なし

なし

なし

なし

なし

管理者

なし

あり 5

あり

なし

なし

なし

なし

なし

1.HTTP Form プロトコルは、WebVPN ユーザに対してのみシングル サインオン認証をサポートします。

2.SDI は HTTP 管理アクセスに対してサポートされていません。

3.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセスリストでのみサポートされます。このアクセスリストは RADIUS 認証応答で受信または指定されます。

4.ローカル コマンド認可は、特権レベルに限りサポートされます。

5.コマンド アカウンティングは TACACS+ にのみ有効です。

LOCAL データベース

セキュリティ アプライアンスは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

User Profiles:ユーザ プロファイルには、少なくともユーザ名が含まれています。 通常は、パスワードがオプションであっても各ユーザ名にパスワードを割り当てます。 また、ユーザ プロファイルでは、ユーザごとの VPN アクセス ポリシーも指定されます。 ユーザ プロファイルは、Configuration > Properties > Device Administration > User Accounts ペインを使用して管理できます。

Fallback Support:ローカル データベースは、コンソールに対するフォールバック方式として機能し、コマンド認可、VPN 認証および認可に対するパスワード認証をイネーブルにします。この動作は、セキュリティ アプライアンスから誤ってロックアウトされないようにすることを意図しています。フォールバック サポートを必要とするユーザでは、ローカル データベース内のユーザ名とパスワードと AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。この対処により、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ASDM での AAA の実装

次のそれぞれに対して AAA を使用できます。

デバイス管理のための AAA

ネットワーク アクセス用の AAA

VPN アクセス用の AAA

デバイス管理のための AAA

次のような、セキュリティ アプライアンスへのすべての管理接続を認証できます。

Telnet

SSH

シリアル コンソール

ASDM

VPN 管理アクセス

また、イネーブル モードを入力しようとしている管理者も認証できます。 さらに、管理コマンドを認可できます。 管理セッションのアカウンティング データ、およびアカウンティング サーバに送信された、セッション中に発行済みのコマンドのアカウンティング データを保持できます。

Configuration > Properties > Device Access > AAA Access ペインを使用して、AAA をデバイス管理用に設定できます。

ネットワーク アクセス用の AAA

Configuration > Security Policy > AAA Rules タブを使用して、ファイアウォールを通過するトラフィックの認証、認可、アカウンティングのルールの設定ができます。 作成するルールはアクセス ルールに類似していますが、定義したトラフィックの認証、認可、アカウンティングを実行するかどうかを指定する点、また、AAA サービス要求の処理にセキュリティ アプライアンスが使用する AAA サーバ グループを指定する点が異なります。

VPN アクセス用の AAA

VPN アクセス用の AAA サービスには、次が含まれます。

Configuration > Properties > Device Administration > User Accounts ペインで設定した、ユーザを VPN グループに割り当てるユーザ アカウント設定。

Configuration > VPN > General > Group Policy ペインで設定した、多くのユーザ アカウントまたはトンネル グループが参照可能な VPN グループ ポリシー。

Configuration > VPN > General > Tunnel Group ペインで設定したトンネル グループ ポリシー。

AAA のセットアップ

AAA Setup ペインでは、AAA サーバ グループ、AAA サーバ、および認証プロンプトを設定できます。ここでは、次の項目について説明します。

AAA Server Groups

Auth. Prompt

LDAP Attribute Map

AAA Server Groups

Configuration > Properties > AAA Setup > AAA Server Groups

AAA Server Groups ペインでは次の設定ができます。

セキュリティ アプライアンスが各グループにリストされたサーバとの通信に使用する AAA サーバ グループとプロトコルの設定。

個々のサーバの設定と AAA サーバ グループへの追加。

シングルモードでは最大 15 のグループを、マルチモードでは最大 4 つのグループを指定できます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。 ユーザがログインするとき、アクセスされるサーバは一度に 1 つだけです。指定したサーバから、応答があるまで順に 1 つずつアクセスしていきます。

AAA アカウンティングが有効になっている場合、同時アカウンティングを設定していない限り、アカウンティング情報が送られるのはアクティブ サーバに対してだけです。

AAA サービスの概要については、「AAA について」を参照してください。

フィールド

AAA Server Groups ペインのフィールドは、AAA Server Groups 領域と Servers In The Selected Group 領域という、2 つの主要領域にグループ化されます。AAA Server Groups 領域では、セキュリティ アプライアンスが各グループに表示されたサーバとの通信に使用する AAA サーバ グループとプロトコルを設定できます。


) AAA Server Groups テーブルで任意の行をダブルクリックすると、Edit AAA Server Group ダイアログボックスが開きます。このダイアログボックスでは、AAA Server Group パラメータを変更できます。 ここで行った変更はただちにテーブルに反映されますが、コンフィギュレーションに保存するには Apply をクリックする必要があります。

カラムの先頭をクリックすると、そのカラムの内容に従って、テーブルの行が英数字順に並び替わります。


Server Group:表示のみ。 選択したサーバ グループのシンボリック名が表示されます。

Protocol:表示のみ。 グループのサーバがサポートする AAA プロトコルが一覧表示されます。

Accounting Mode:表示のみ。 同時モード アカウンティングまたはシングル モード アカウンティングのいずれかが表示されます。単一モードでは、セキュリティ アプライアンスはアカウンティング データを 1 つのサーバにのみ送信します。同時モードでは、セキュリティ アプライアンスはアカウンティング データをグループ内のすべてのサーバに送信します。

Reactivation Mode:表示のみ。障害が発生したサーバを再アクティブ化する方法(Depletion または Timed 再アクティブ化モード)が表示されます。Depletion モードでは、障害が発生したサーバは、グループ内のサーバのすべてが非アクティブになった場合にのみ再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。

Dead Time:表示のみ。グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度アクティブにするまでの経過時間が分数で表示されます。 このパラメータは、Depletion モードでのみ適用されます。

Max Failed Attempts:表示のみ。 応答のないサーバを非アクティブと宣言する前に許可される接続試行失敗の回数が表示されます。

Add:Add AAA Server Group ダイアログボックスが表示されます。

Edit:Edit AAA Server Group ダイアログボックスを表示します。ただし、サーバ グループとして LOCAL を選択した場合は、Edit AAA Local Server Group ダイアログボックスを表示します。

Delete:現在選択しているサーバ グループ エントリをサーバ グループ テーブルから削除します。確認されず、やり直しもできません。

AAA Server Groups ペインの 2 番目の領域である Servers In Selected Group 領域では、既存の AAA サーバ グループに対して AAA サーバを追加および設定できます。 このサーバには、RADIUS、TACACS+、NT、SDI、Kerberos、LDAP、HTTP フォームの各サーバを指定できます。

Server Name or IP Address:表示のみ。 AAA サーバの名前または IP アドレスが表示されます。

Interface:表示のみ。 認証サーバが常駐するネットワーク インターフェイスが表示されます。

Timeout:表示のみ。タイムアウト間隔が秒数で表示されます。この時間に達すると、セキュリティ アプライアンスはプライマリ AAA サーバに対する要求の送信を放棄します。 スタンバイ AAA サーバがある場合、セキュリティ アプライアンスはバックアップ サーバに要求を送信します。

Add/Edit:Add/Edit AAA Server ダイアログボックスを表示します。

Delete:選択した AAA サーバをリストから削除します。

Move up:選択した AAA サーバを AAA シーケンス内で上に移動します。

Move down:選択した AAA サーバを AAA シーケンス内で後ろに移動します。

Test:Test AAA Server ダイアログボックスを表示します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

6

--

6.HTTP Form および WebVPN は、シングル ルーテッド モードでのみサポートされます。

Add/Edit AAA Server Group

Configuration > Properties > AAA Setup > AAA Server Groups > Add/Edit AAA Server Group

Add/Edit AAA Server Group ダイアログボックスでは、AAA サーバ グループを追加または編集できます。 結果は AAA Server テーブルに表示されます。

フィールド

Server Group:表示のみ。 選択したサーバ グループの名前が表示されます。

Protocol ドロップダウン リスト:グループのサーバでサポートされるプロトコルを指定します。 プロトコルには、RADIUS、TACACS+、NT Domain、SDI、Kerberos、LDAP、シングル サインオン用 HTTP Form(WebVPN ユーザ専用)があります。


) 次のフィールドは、HTTP Form プロトコルを選択すると使用できなくなります。


Accounting Mode:サーバ グループに使用するアカウンティング モードを指定します。

Simultaneous:アカウンティング データをグループ内のすべてのサーバに送信するようにセキュリティ アプライアンスを設定します。

Single:アカウンティング データをグループ内のサーバ 1 つだけに送信するようにセキュリティ アプライアンスを設定します。

Reactivation Mode:障害が発生したサーバを再アクティブ化する方法を指定します。

Depletion:グループ内のすべてのサーバが非アクティブになった場合にだけ、障害が発生したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。

Timed:30 秒のダウン タイムの後、障害が発生したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。

Dead Time:グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度アクティブにするまでの経過時間を分数で指定します。このフィールドは、Timed モードでは使用できません。

Max Failed Attempts:応答がないサーバを非アクティブと宣言するまでに許可される接続試行失敗の回数(1 ~ 5)を指定します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

7

--

7.HTTP Form および WebVPN は、シングル ルーテッド モードでのみサポートされます。

Edit AAA Local Server Group

Configuration > Properties > AAA Setup > AAA Server Groups > Edit AAA Local Server Group

Edit AAA Local Server Group ダイアログボックスでは、ローカル ユーザ ロックアウトをイネーブルにするかどうか、また、ユーザをロックアウトする前に許可するログイン試行の最大失敗回数を指定します。 ユーザがロックアウトされた場合、正常にログインするには、管理者がロックアウト状態をクリアしておく必要があります。

フィールド

Enable Local User Lockout :設定された認証試行の最大失敗回数を超えたユーザのロックアウトと、そのユーザのアクセス拒否をイネーブルにします。

Maximum Attempts:ユーザをロックアウトし、そのユーザのアクセスを拒否する前に許可するログイン試行の最大失敗回数を指定します。 この制限は、認証に LOCAL データベースが使用されているときのみ適用されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

8

--

8.HTTP Form および WebVPN は、シングル ルーテッド モードでのみサポートされます。

Add/Edit AAA Server

Configuration > Properties > AAA Setup > AAA Servers > Add/Edit AAA Server

Add/Edit AAA Server ダイアログボックスでは、既存の AAA サーバのパラメータを変更したり、AAA サーバ グループ テーブルで選択した既存のグループに新しい AAA サーバを追加したりできます。

フィールド


) 最初の 4 つのフィールドは、すべてのサーバ タイプに共通です。 コンテンツ領域は、各サーバ タイプに固有です。


Server Group:表示のみ。サーバ グループの名前が表示されます。

Interface Name:サーバが常駐するネットワーク インターフェイスを指定します。

Server Name or IP Address:AAA サーバの名前または IP アドレスを指定します。

Timeout:タイムアウト間隔を秒数で指定します。この時間に達すると、セキュリティ アプライアンスはプライマリ AAA サーバに対する要求の送信を放棄します。 スタンバイ AAA サーバがある場合、セキュリティ アプライアンスはバックアップ サーバに要求を送信します。

RADIUS Parameters 領域:RADIUS サーバの使用に必要なパラメータを指定します。 選択したサーバ グループが RADIUS を使用するときにのみ、この領域が表示されます。

Retry Interval:サーバにクエリーを送信しても応答がないときに、接続を再試行する前に待機する秒数を指定します。 最短時間は 1 秒です。デフォルトは 10 秒です。 最長時間は 10 秒です。

Server Authentication Port:ユーザ認証に使用するサーバ ポートを指定します。デフォルト ポートは 1645 です。


) 最新の RFC では、RADIUS を UDP ポート番号 1812 に設定すべきだとしているので、このデフォルトは 1812 への変更が必要になる場合があります。


Server Accounting Port:ユーザ アカウンティングに使用するサーバ ポートを指定します。デフォルト ポートは 1646 です。

Server Secret Key:暗号化に使用する、たとえば C8z077f のようなサーバ秘密鍵(「共有秘密情報」とも呼ばれます)を指定します。この秘密鍵では、大文字と小文字が区別されます。 フィールドには、アスタリスクだけが表示されます。セキュリティ アプライアンスはサーバ秘密鍵を使用して、RADIUS サーバに対する認証を行います。ここで設定したサーバ秘密鍵は、RADIUS サーバで設定されたサーバ秘密鍵と一致する必要があります。 RADIUS サーバのサーバ秘密鍵がわからない場合は、RADIUS サーバの管理者に問い合せてください。最大フィールド長は、64 文字です。

Confirm Server Secret Key:正確であることを確認するため、サーバの秘密鍵を再度入力する必要があります。この秘密鍵では、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。

Common Password:グループの共通パスワードを指定します。パスワードは、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。RADIUS サーバを認可ではなく認証に使用するよう定義する場合は、共通パスワードを設定しないでください。

RADIUS 認可サーバでは、接続しようとする各ユーザのパスワードとユーザ名が必要です。パスワードはここに入力します。RADIUS 認可サーバの管理者は、このパスワードをセキュリティ アプライアンス経由でサーバに接続する各ユーザ認可に関連付けて RADIUS サーバを設定する必要があります。この情報は、必ず RADIUS サーバの管理者に提供してください。このセキュリティ アプライアンス経由で RADIUS 認可サーバにアクセスするすべてのユーザの共通パスワードを入力します。

このフィールドを空白のままにすると、各ユーザのユーザ名がパスワードになります。 たとえば、ユーザ名「jsmith」であるユーザの場合、「jsmith」と入力されます。セキュリティ上の予防措置として、RADIUS 認可サーバを絶対に認証に使用しないでください。 共通パスワードを使用したり、パスワードとしてユーザ名を使用したりすることは、ユーザごとに強力なパスワードを使用するのに比べてはるかにセキュリティが低くなります。


) RADIUS プロトコルではパスワード フィールドが必須であり、RADIUS サーバによっても要求されますが、ユーザはパスワードを知る必要がありません。


Confirm Common Password:正確であることを確認するため、共通パスワードを再度入力する必要があります。パスワードは、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。

ACL Netmask Convert:ダウンロード可能なアクセスリストから受け取ったネットマスクをセキュリティ アプライアンスが処理する方法を指定します。 セキュリティ アプライアンスは、ダウンロード可能なアクセスリストに標準ネットマスク表現が含まれていることを想定しますが、Cisco Secure VPN 3000 シリーズ コンセントレータは、ダウンロード可能なアクセスリストに、標準ネットマスク表現とは反対のワイルドカード ネットマスク表現が含まれていることを想定します。ワイルドカード マスクには、無視するビット位置に 1 が、一致するビット位置に 0 が入っています。ACL Netmask Convert リストは、ダウンロード可能なアクセスリストの RADIUS サーバ上での設定方法の違いによる影響を最小限に抑えます。

Detect Automatically を選択すると、使用されているネットマスク表現のタイプをセキュリティ アプライアンスが判定します。ワイルドカード ネットマスク表現が検出された場合は、標準のネットマスク表現に変換されます。しかし、一部のワイルドカードは明確な検出が困難であるため、この設定を使用すると、ワイルドカード ネットマスク表現が、標準のネットマスク表現と誤解される場合があります。

Standard を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストに、標準ネットマスク表現だけが入っていると想定します。 ワイルドカード ネットマスク表現からの変換は行われません。

Wildcard を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストに、ワイルドカード ネットマスク表現だけが含まれていると想定し、アクセスリストがダウンロードされたときにすべてを標準ネットマスク表現に変換します。

TACACS+ Parameters:TACACS+ サーバの使用に必要なパラメータを指定します。 選択したサーバ グループが TACACS+ を使用するときにのみ、この領域が表示されます。

Server Port:使用するサーバ ポートを指定します。

Server Secret Key:暗号化に使用するサーバ秘密鍵を指定します。この秘密鍵では、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。

Confirm Server Secret Key:正確であることを確認するため、サーバの秘密鍵を再度入力する必要があります。この秘密鍵では、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。

SDI Parameters:SDI サーバの使用に必要なパラメータを指定します。 選択したサーバ グループが SDI を使用するときにのみ、この領域が表示されます。

Server Port:使用するサーバ ポートを指定します。

Retry Interval:接続を再試行する前に待機する秒数を指定します。

Kerberos Parameters:Kerberos サーバの使用に必要なパラメータを指定します。 選択したサーバ グループが Kerberos を使用するときにのみ、この領域が表示されます。

Server Port:Kerberos サーバがリスンするサーバ ポートを指定します。

Retry Interval:接続を再試行する前に待機する秒数を指定します。 タイムアウト時間の経過後、サーバへのクエリー送信の再試行回数を入力します。 再試行回数の入力を行った後でも応答がない場合、セキュリティ アプライアンスはこのサーバを操作不能であると宣言し、リスト内にある次の Kerberos および Active Directory サーバを使用します。 再試行の最小回数は 0 回です。デフォルトの再試行回数は 2 回です。再試行の最大回数は 10 回です。

Kerberos Realm:使用する Kerberos 領域の名前(USDOMAIN.ACME.COM など)を指定します。最大長は 64 文字です。 サーバ タイプが Windows 2000、Windows XP、Windows.NET の場合、領域名はすべて大文字で入力する必要があります。この名前は入力するとき、IP アドレスを Server IP Address フィールドに入力したサーバの領域名に一致している必要があります。

LDAP Parameters:LDAP サーバの使用に必要なパラメータを指定します。 選択したサーバ グループが LDAP を使用するときにのみ、この領域が表示されます。

Enable LDAP Over SSL:セキュリティ アプライアンスと LDAP サーバ間の通信を SSL でセキュリティ保護するように指定します。 セキュア LDAP とも呼ばれます。

Server Port:使用するサーバ ポートを指定します。サーバにアクセスするための TCP ポート番号を入力します。

Server Type:LDAP サーバ タイプを Sun Microsystems JAVA System Directory Server(以前は Sun ONE Directory Server)または Microsoft Active Directory に手動で設定するか、サーバ タイプの判別に自動検出を指定します。

Base DN:ベース DN を指定します。認可要求を受信したときに、サーバが検索を開始する LDAP 階層の位置を入力します。たとえば、OU=people, dc=cisco, dc=com となります。

Scope:サーバが認可要求を受け取ったときに行う、LDAP 階層での検索範囲を指定します。オプションは One Level(ベース DN の下にある 1 レベルのみを検索します。このオプションは、時間がかかりません)および All Levels(ベース DN の下にあるすべてのレベルを検索します。つまり、サブツリー階層全体を検索します。このオプションは、多少時間がかかります)です。

Naming Attribute(s):LDAP サーバのエントリを一意に識別する Relative Distinguished Name アトリビュートを指定します。共通の名前付きアトリビュートは、Common Name(cn)と User ID(uid)です。

Login DN:ログイン DN を指定します。一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ユーザの認証要求に Login DN フィールドを付加することにより、自身が認証バインディングされていることを示します。Login DN フィールドは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理者の権限が与えられているユーザの特性に対応します。 セキュリティ アプライアンスの認証済みバインディングのディレクトリ オブジェクト名を入力します。たとえば、
cn=Administrator, cn=users, ou=people, dc=Example Corporation, dc=com となります。 匿名アクセスの場合は、このフィールドをブランクのままにしておきます。

Login Password:ログイン パスワードを指定します。 入力した文字はアスタリスクに置き換えられます。

LDAP Attribute Map:LDAP サーバに適用可能な LDAP アトリビュート マップを一覧表示します。 LDAP アトリビュート マップでは、Cisco アトリビュート名がユーザ定義のアトリビュート名および値に変換されます。

SASL MD5 authentication:Simple Authentication and Security Layer(SASL)の MD5 メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。

SASL Kerberos authentication:Simple Authentication and Security Layer(SASL)の Kerberos メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。

Kerberos Server Group:認証に使用する Kerberos サーバまたはサーバ グループを指定します。

NT Domain Parameters:NT サーバの使用に必要なパラメータを指定します。次のフィールドがあります。

Server Port:サーバにアクセスするための TCP ポート番号を指定します。デフォルト ポート番号は 139 です。

NT Domain Controller:このサーバの NT プライマリ ドメイン コントローラのホスト名(PDC01 など)を指定します。 ホスト名の最大長は 15 文字です。 この名前を入力するとき、Authentication Server Address に入力したサーバのホスト名に一致している必要があります。名前が正しくないと、認証が失敗します。

HTTP Form Parameters:シングル サインオン認証用に HTTP Form プロトコルのパラメータを指定します。WebVPN ユーザのみ使用できます。 この領域は、選択したサーバ グループが HTTP Form を使用しているときにのみ表示され、サーバ グループ名とプロトコルのみが表示されます。 HTTP Form を使用している場合、他のフィールドは使用できません。


) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。


次のパラメータがわからない場合は、セキュリティ アプライアンスを介してではなく直接認証 Web サーバにログインしているときに、HTTP GET および POST 交換からデータを抽出します。 HTTP 交換からのこれらのパラメータの抽出についての詳細は、『 Cisco Security Appliance Command Line Configuration Guide 』の「WebVPN」の章を参照してください。

Start URL:認証 Web サーバの事前ログイン クッキーを取得できる場所の完全 URL を指定します。 このパラメータは、認証 Web サーバがログイン ページとともに事前ログイン クッキーをロードするときにのみ設定する必要があります。 ドロップダウン リストには HTTP と HTTPS の両方が提供されます。入力できる最大文字数は 1024 文字で、最低文字数は制限されていません。

Action URI:認可 Web サーバ上の認証プログラムの完全 Uniform Resource Identifier(URI; ユニフォーム リソース識別子)を指定します。 完全 URI の最大文字数は 2048 文字です。

Username:SSO 認証に使用される HTTP フォームの一部として発行される必要のあるユーザ名パラメータの名前(特定のユーザ名ではありません)を指定します。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

Password:SSO 認証に使用される HTTP フォームの一部として発行される必要のあるパスワード パラメータの名前(特定のパスワード値ではありません)を指定します。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

Hidden Values:SSO 認証用に認証 Web サーバに発行される、HTTP POST 要求の非表示パラメータを指定します。 HTTP POST 要求内に存在することで示されているように、このパラメータは認証 Web サーバで想定されている場合にのみ必要です。 入力できる最大文字数は 2048 文字です。

Authentication Cookie Name:(オプション)正常なログイン時にサーバによって設定され、認証情報を含んでいるクッキーの名前を指定します。 認証クッキーに意味のある名前を割り当てるときに使用され、Web サーバから返される他のクッキーと区別するのに役立ちます。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

9

1.1.1.

--

9.HTTP Form および WebVPN は、シングル ルーテッド モードでのみサポートされます。

Test AAA Server

Configuration > Properties > AAA Setup > AAA Server Groups > Test


) HTTP Form 認証サーバでは、Test AAA Server は使用できません。


セキュリティ アプライアンスが選択した AAA サーバと通信できるかどうかを判別するには、Test ボタンを使用します。 AAA サーバに到達できない場合は、ASDM でのコンフィギュレーションが正しくないか、ネットワーク コンフィギュレーションによる制限やサーバのダウンタイムなど他に AAA サーバに到達できない原因があることが考えられます。

このダイアログボックスのフィールドに入力して OK をクリックすると、セキュリティ アプライアンスは適切なテスト メッセージを選択したサーバに送信します。 テストが失敗した場合、ASDM は、発生したエラー タイプに関するエラー メッセージを表示します。 ASDM のエラー メッセージでコンフィギュレーション エラーが示されている場合、コンフィギュレーションを修正してから再度テストします。


ヒント トラブルシューティングを行うとき、まず AAA サーバへの基本的なネットワーク接続を確認することをお勧めします。 基本的な接続をテストするには、Tools > Ping をクリックします。


フィールド

AAA Server Group:表示のみ。 選択した AAA サーバが属する AAA サーバ グループが表示されます。

Host:表示のみ。 選択した AAA サーバのホスト名が表示されます。

Authorization:ASDM が選択した AAA サーバを使用したユーザの認可をテストするように指定します。 選択したサーバ タイプが認可をサポートしていない場合、このオプション ボタンは使用できません。 たとえば、セキュリティ アプライアンスは Kerberos サーバを使用した認可をサポートできません。

Authentication:ASDM が選択した AAA サーバを使用したユーザの認証をテストするように指定します。 選択したサーバ タイプが認証をサポートしていない場合、このオプション ボタンは使用できません。 たとえば、セキュリティ アプライアンスは LDAP サーバを使用した認証をサポートしていません。

Username:AAA サーバのテストに使用するユーザ名を指定します。 AAA サーバにそのユーザ名が存在することを確認します。存在しない場合、テストは失敗します。

Password:Username フィールドに入力したユーザ名のパスワードを指定します。 Password
フィールドは、認証テストのときにのみ使用できます。 入力したユーザ名に対してパスワードが正しいことを確認します。正しくない場合、テストは失敗します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

10

--

10.HTTP Form および WebVPN は、シングル ルーテッド モードでのみサポートされます。

Auth. Prompt

Configuration > Properties > AAA Setup > Auth. Prompt

Auth. Prompt ペインでは、AAA 認証チャレンジ プロセス中にユーザに対して表示されるテキストを指定します。TACACS+ または RADIUS サーバからユーザ認証が要求されたとき、セキュリティ アプライアンスを経由した HTTP、FTP、Telnet アクセスの AAA チャレンジ テキストを指定できます。 このテキストは、主に表面的なものを整えることを目的としていて、ログイン時にユーザに対して表示される、ユーザ名とパスワード プロンプトの上に表示されます。

Telnet からのユーザ認証を実行する場合、User accepted message オプションおよび User rejected message オプションを使用すれば、認証試行が AAA サーバにより受け入れられた、または拒否されたことを示すさまざまな状態のプロンプトを表示できます。

AAA サーバがユーザを認証する場合、指定されていれば、セキュリティ アプライアンスはユーザ承認メッセージ テキストをユーザに対して表示します。それ以外の場合、指定されていればユーザ拒否メッセージ テキストを表示します。 HTTP および FTP セッションの認証では、プロンプトにチャレンジ テキストのみ表示されます。 ユーザ承認メッセージ テキストおよびユーザ拒否メッセージ テキストは表示されません。


) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字まで表示されます。 Netscape Navigator では、認証プロンプトに最大 120 文字まで、Telnet および FTP では最大 235 文字まで表示されます。


フィールド

Prompt:(オプション)セキュリティ アプライアンスを経由したユーザ セッションに対して、チェックボックスの下のフィールドに指定した AAA チャレンジ テキストの表示をイネーブルにします。

Text:(オプション)235 文字までの英数字または 31 ワードまでの文字列を指定します。いずれかの最大値に達したときに制限されます。 特殊文字は使用できませんが、スペースと句読点は使用できます。 文字列を終了するには、疑問符を入力するか Enter キーを押します (Enter キーを押すと文字列に疑問符が表示されます)。

User accepted message:(オプション)チェックボックスの下のフィールドで指定した、ユーザが認証されたことを確認するテキストの表示をイネーブルにします。

User rejected message:(オプション)チェックボックスの下のフィールドで指定した、認証が失敗したことを示すテキストの表示をイネーブルにします。


) このペインのフィールドはすべてオプションです。 認証プロンプトを指定していない場合、FTP ユーザには FTP authentication が、HTTP ユーザには HTTP Authentication が表示され、Telnet ユーザにはチャレンジ テキストが表示されません。


モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

LDAP Attribute Map

Configuration > Properties > AAA Setup > LDAP Attribute Map

LDAP Attribute Map ペインでは、カスタム(ユーザ定義)アトリビュート名をシスコの LDAP アトリビュート名にマッピングするためのアトリビュート マップを作成し、名前を付けます。既存の LDAP ディレクトリにセキュリティ アプライアンスを導入する場合、既存のカスタム LDAP アトリビュートの名前および値は、シスコのアトリビュートの名前および値とは異なる場合があります。 既存のアトリビュートの名前を変更するのではなく、カスタム アトリビュートの名前と値をシスコのアトリビュートの名前と値にマッピングする LDAP アトリビュート マップを作成できます。 簡単な文字列の置き換えを使用すれば、セキュリティ アプライアンスがユーザ独自のカスタム名および値を提供します。

作成後は、それらのアトリビュート マップを LDAP サーバにバインドしたり、必要に応じて削除したりできます。 また、アトリビュート マップ全体を削除することも、個々の名前と値のエントリを削除することもできます。


) アトリビュート マッピング機能を適切に使用するには、シスコの LDAP アトリビュートの名前と値およびユーザ定義のアトリビュートの名前と値を理解する必要があります。


フィールド

Name:編集可能な LDAP アトリビュート マップの名前を表示します。

Attribute Map Name:各アトリビュート マップ内にある、カスタム アトリビュート名からシスコのアトリビュート名へのマッピングを表示します。

Add:Add LDAP Attribute Map ダイアログボックスを表示します。

Edit:Edit LDAP Attribute Map ダイアログボックスを表示します。

Delete:選択した LDAP アトリビュート マップを削除します。

Add/Edit LDAP Attribute Map

Configuration > Properties > AAA Setup > LDAP Attribute Map > Add/Edit LDAP Attribute Map

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップを変更または削除したり、新しい LDAP アトリビュート マップを追加したり、アトリビュート マップにアトリビュート名と値のマッピングを表示させたりできます。

LDAP Attribute Map ダイアログボックスを使用した新しいアトリビュート マップの標準的な追加手順は次のとおりです。

1. 新しい、何も入力されていないアトリビュート マップを作成します。

2. シスコのアトリビュート名をカスタムのユーザ定義アトリビュート名に変換する名前マッピングを、アトリビュート マップに入力します。

3. カスタムのユーザ定義アトリビュートの値をカスタム アトリビュート名、および一致するシスコのアトリビュート名と値に適用する値マッピングを、アトリビュート マップに入力します。

次に、Add/Edit AAA Server ダイアログボックスを使用して LDAP サーバを追加または編集するときに、そのアトリビュートマップを LDAP サーバにバインドします。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。 新しいマップを追加する場合、このフィールドにマップの名前を入力します。 LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。 マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Name Map:カスタム アトリビュート名をシスコのアトリビュート名にマッピングするのに必要なフィールドを表示します。

Value Map:カスタム アトリビュートの値を、カスタム アトリビュート名、および一致するシスコのアトリビュート名と値にマッピングするのに必要なフィールドを表示します。

Add/Edit LDAP Attribute Map > Map Name タブ

Configuration > Properties > AAA Setup > LDAP Attribute Map > Add/Edit LDAP Attribute Map > Map Name タブ

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップを変更または削除したり、新しい LDAP アトリビュート マップを追加したり、アトリビュート マップにアトリビュート名と値のマッピングを表示させたりできます。「Add/Edit LDAP Attribute Map」も参照してください。

一部のフィールドは Map Name タブを選択するか、Map Value タブを選択するかによって異なります。 Map Name タブをクリックした場合、次のフィールドが表示されます。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。 新しいマップを追加する場合、このフィールドにマップの名前を入力します。 LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。 マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Custom Name:Cisco Name ドロップダウン リストから選択したアトリビュート名にマッピングするカスタムのユーザ定義アトリビュート名を指定します。

Cisco Name:Custom Name フィールドにある、ユーザ定義名にマッピングするシスコのアトリビュート名を指定します。

Add:アトリビュート マップに名前マッピングを挿入します。

Remove:アトリビュート マップから選択した名前マッピングを削除します。

Custom Name:アトリビュート マップにあるマッピングのカスタム アトリビュート名を表示します。

Cisco Name:アトリビュート マップにあるマッピングの、シスコのアトリビュート名を表示します。

Add/Edit LDAP Attribute Map > Map Value タブ

Configuration > Properties > AAA Setup > LDAP Attribute Map > Add/Edit LDAP Attribute Map > Map Value タブ

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップを変更または削除したり、新しい LDAP アトリビュート マップを追加したり、アトリビュート マップにアトリビュート名と値のマッピングを表示させたりできます。「Add/Edit LDAP Attribute Map」も参照してください。

一部のフィールドは Map Name タブを選択するか、Map Value タブを選択するかによって異なります。 Map Value タブをクリックした場合、次のフィールドが表示されます。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。 新しいマップを追加する場合、このフィールドにマップの名前を入力します。 LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。 マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Custom Name:アトリビュート マップにあるマッピングのカスタム アトリビュート名を表示します。

Custom to Cisco Map Value:カスタム値の、カスタム アトリビュートのシスコの値へのマッピングを表示します。

Add:Add LDAP Attributes Map Value ダイアログボックスを表示します。

Edit:Edit LDAP Attributes Map Value ダイアログボックスを表示します。

Delete:LDAP アトリビュート マップから、選択したアトリビュート値マッピングを削除します。

Add/Edit LDAP Attributes Value Map

Configuration > Properties > AAA Setup > LDAP Attribute Map > Add/Edit LDAP Attribute Map > Add/Edit LDAP Attributes Map Value

Add/Edit LDAP Attribute Map Value ダイアログボックスでは、カスタム アトリビュート名のカスタム アトリビュート値を、関連付けられたシスコのアトリビュート名の、シスコの値にマッピングします。

フィールド

Custom Name:新しいアトリビュート値マッピングを追加する場合、まだシスコのアトリビュート値にマッピングするカスタム値を持たないアトリビュート リストから、カスタム アトリビュート名を選択できるドロップダウン リストです。 既存のアトリビュート値マッピングを編集する場合、Add/Edit LDAP Attribute Map ダイアログボックスの Map Value タブで選択したカスタム アトリビュートの名前を表示する読み取り専用フィールドです。

Custom Value:選択したカスタム アトリビュートのカスタム値を指定します。

Cisco Value:選択したカスタム アトリビュートのシスコ値を指定します。

Add:カスタム アトリビュート値マップに値マッピングを追加します。

Remove:カスタム アトリビュート値マップから値マッピングを削除します。

Custom Name:カスタム アトリビュート名のカスタム値を表示します。

Cisco Name:シスコのアトリビュート名のシスコ値を表示します。