Cisco ASDM ユーザ ガイド Version 6.0(3)
AAA サーバとユーザ アカウントの 設定
AAA サーバとユーザ アカウントの設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

AAA サーバとユーザ アカウントの設定

AAA の概要

認証について

認可について

アカウンティングについて

AAA サーバとローカル データベースのサポート

サポートの要約

RADIUS サーバのサポート

認証方式

アトリビュートのサポート

RADIUS 認可機能

TACACS+ サーバのサポート

SDI サーバのサポート

SDI バージョンのサポート

2 段階の認証プロセス

SDI プライマリ サーバおよびレプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

HTTP Forms を使用するクライアントレス SSL VPN の SSO サポート

ローカル データベースのサポート

ユーザ プロファイル

フォールバックのサポート

ローカル データベースの設定

User Accounts

Add/Edit User Account > Identity

Add/Edit User Account > VPN Policy

AAA サーバ グループとサーバの識別

AAA Server Groups

Add/Edit AAA Server Group

Edit AAA Local Server Group

Add/Edit AAA Server

Test AAA Server

Authentication Prompt の設定

LDAP Attribute Map の設定

Add/Edit LDAP Attribute Map

Add/Edit LDAP Attribute Map > Map Name タブ

Add/Edit LDAP Attribute Map > Map Value タブ

Add/Edit LDAP Attributes Value Map

AAA サーバとユーザ アカウントの設定

この章では、AAA(トリプル エー)のサポートと、AAA サーバとローカル データベースの設定方法について説明します。

この章には、次の項があります。

「AAA の概要」

「AAA サーバとローカル データベースのサポート」

「ローカル データベースの設定」

「AAA サーバ グループとサーバの識別」

「Authentication Prompt の設定」

「LDAP Attribute Map の設定」

AAA の概要

AAA によって、セキュリティ アプライアンスが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。

AAA には、ユーザ アクセスに対して、アクセスリストのみを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセスリストを作成できます。一部のユーザのみがサーバにアクセスできるようにするが、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済み(あるいはその両方)のユーザのみがセキュリティ アプライアンスを介してアクセスすることが許可されるようにできます(Telnet サーバもまた、認証を実行します。セキュリティ アプライアンスは、認可されないユーザがサーバにアクセスできないようにします)。

認証のみで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングのみで使用することも、認証および認可とともに使用することもできます。

ここでは、次の項目について説明します。

「認証について」

「認可について」

「アカウンティングについて」

認証について

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。このクレデンシャルは通常、ユーザ名とパスワードです。次の項目を認証するように、セキュリティ アプライアンスを設定できます。

次のセッションを含む、セキュリティ アプライアンスへのすべての管理接続

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

VPN 管理アクセス

enable コマンド

ネットワーク アクセス

VPN アクセス

認可について

認可では、ユーザ認証後、 ユーザごと にアクセスを制御します。次の項目を認可するように、セキュリティ アプライアンスを設定できます。

管理コマンド

ネットワーク アクセス

VPN アクセス

認可では、各認証済みユーザが使用可能なサービスおよびコマンドを制御します。認可をイネーブルにしていない場合は、認証のみで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御が必要な場合、広範な認証ルールを設定して、詳細な認可が設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限します。

セキュリティ アプライアンスはユーザあたり最初の 16 個の認可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、セキュリティ アプライアンスは認可サーバに要求を再送信しません。

アカウンティングについて

アカウンティングは、セキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでセキュリティ アプライアンスを経由したバイト数、使用されたサービス、セッションの継続時間が含まれます。

AAA サーバとローカル データベースのサポート

セキュリティ アプライアンスでは、さまざまな AAA サーバ タイプと、セキュリティ アプライアンスに保存されているローカル データベースがサポートされています。 この項では、各 AAA サーバ タイプとローカル データベースのサポートについて説明します。

ここでは、次の項目について説明します。

「サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「HTTP Forms を使用するクライアントレス SSL VPN の SSO サポート」

「ローカル データベースのサポート」

サポートの要約

表12-1 では、各 AAA サービスのサポートを、ローカル データベースを含む AAA サーバ タイプ別に要約しています。 特定の AAA サーバ タイプの詳細については、表の後の項目を参照してください。

 

表12-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form
認証

VPN ユーザ

あり

あり

あり

あり

あり

あり

あり

あり 1

ファイアウォール セッション

あり

あり

あり

あり

あり

あり

あり

なし

管理者

あり

あり

あり

あり 2

あり

あり

あり

なし

認可

VPN ユーザ

あり

あり

なし

なし

なし

なし

あり

なし

ファイアウォール セッション

なし

あり 3

あり

なし

なし

なし

なし

なし

管理者

あり 4

なし

あり

なし

なし

なし

なし

なし

アカウンティング

VPN 接続

なし

あり

あり

なし

なし

なし

なし

なし

ファイアウォール セッション

なし

あり

あり

なし

なし

なし

なし

なし

管理者

なし

あり 5

あり

なし

なし

なし

なし

なし

1.HTTP Form プロトコルは、クライアントレス SSL VPN 接続に対してのみシングル サインオン認証をサポートします。

2.SDI は HTTP 管理アクセスに対してサポートされていません。

3.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセスリストでのみサポートされます。このアクセスリストは RADIUS 認証応答で受信または指定されます。

4.ローカル コマンド認可は、特権レベルに限りサポートされます。

5.コマンド アカウンティングは TACACS+ にのみ有効です。

RADIUS サーバのサポート

セキュリティ アプライアンスは、RADIUS サーバをサポートしています。

ここでは、次の項目について説明します。

「認証方式」

「アトリビュートのサポート」

「RADIUS 認可機能」

認証方式

セキュリティ アプライアンスは、RADIUS で次の認証方式をサポートしています。

PAP:すべての接続タイプ用。

CHAP:L2TP-over-IPSec 用。

MS-CHAPv1:L2TP-over-IPSec 用。

MS-CHAPv2:L2TP-over-IPSec 用、およびパスワード管理機能がイネーブルの場合は通常の IPSec リモート アクセス接続用。

アトリビュートのサポート

セキュリティ アプライアンスは、次の RADIUS アトリビュート セットをサポートしています。

RFC 2138 で定義されている認証アトリビュート

RFC 2139 で定義されているアカウンティング アトリビュート

RFC 2868 で定義されている、トンネル プロトコル サポート用の RADIUS アトリビュート

RADIUS ベンダー ID 9 で識別される Cisco IOS VSA

RADIUS ベンダー ID 3076 で識別される Cisco VPN 関連 VSA

RFC 2548 で定義されている Microsoft VSA

RADIUS 認可機能

セキュリティ アプライアンスは、ダイナミック アクセスリストまたはユーザごとのアクセスリスト名を使用したネットワーク アクセスへのユーザ認証に、RADIUS サーバを使用できます。 ダイナミック アクセスリストを実装するには、ダイナミック アクセスリストをサポートするように RADIUS サーバを設定する必要があります。 ユーザの認証時に、RADIUS サーバはダウンロード可能なアクセスリストまたはアクセスリスト名をセキュリティ アプライアンスに送信します。 サービスへのアクセスは、アクセスリストによって許可または拒否されます。 セキュリティ アプライアンスは、認証セッションの期限が切れるとアクセスリストを削除します。

TACACS+ サーバのサポート

セキュリティ アプライアンスは、ASCII、PAP、CHAP、MS-CHAPv1 で TACACS+ 認証をサポートしています。

SDI サーバのサポート

RSA SecureID サーバは SDI サーバとも呼ばれます。

ここでは、次の項目について説明します。

「SDI バージョンのサポート」

「2 段階の認証プロセス」

「SDI プライマリ サーバおよびレプリカ サーバ」

SDI バージョンのサポート

セキュリティ アプライアンスは、SDI バージョン 5.0 および 6.0 をサポートしています。 SDI は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。 各プライマリとそのレプリカは 1 つのノード シークレット ファイルを共有します。 ノード シークレット ファイルは、ACE/サーバの IP アドレスの後に .sdi を追加した 16 進値に基づいて名前が付けられています。

セキュリティ アプライアンスに設定したバージョン 5.0 または 6.0 の SDI サーバは、プライマリにも、レプリカのいずれかにすることもできます。 SDI エージェントがユーザを認証するためにサーバを選択する方法の詳細については、「SDI プライマリ サーバおよびレプリカ サーバ」を参照してください。

2 段階の認証プロセス

SDI バージョン 5.0 および 6.0 は、2 段階のプロセスを使用して、侵入者が RSA SecurID 認証要求から情報を取得して別のサーバへの認証に使用するのを防止します。 エージェントは、まずロック要求を SecurID サーバに送信してから、ユーザ認証要求を送信します。 サーバはユーザ名をロックし、別のサーバ(レプリカサーバ)がそのユーザ名を受け入れないようにします。 これは、同じユーザが同じ認証サーバを使用して同時に 2 つのセキュリティ アプライアンスから認証を受けられないことを意味します。 ユーザ名が正常にロックされると、セキュリティ アプライアンスがパスコードを送信します。

SDI プライマリ サーバおよびレプリカ サーバ

セキュリティ アプライアンスは、設定されているサーバ(プライマリとレプリカのどちらでも可)で最初のユーザが認証されるとサーバ リストを取得します。 続いて、セキュリティ アプライアンスはリストの各サーバに優先順位を割り当て、それ以降は割り当てた優先順位に基づいてサーバがランダムに選択されます。 優先順位が最も高いサーバは、選択される可能性が最も高くなります。

NT サーバのサポート

セキュリティ アプライアンスは、NTLM バージョン 1 をサポートする Microsoft Windows サーバ オペレーティング システム(NT サーバと総称される)をサポートします。


) NT サーバには、最長 14 文字のユーザ パスワードがあります。 これよりも長いパスワードは切り捨てられます。 これは NTLM バージョン 1 の制限です。


Kerberos サーバのサポート

セキュリティ アプライアンスは、3DES、DES、および RC4 の暗号タイプをサポートします。


) セキュリティ アプライアンスは、トンネル ネゴシエーション中のユーザ パスワードの変更をサポートしていません。 このような事態が不用意に発生するのを避けるために、セキュリティ アプライアンスに接続するユーザについては Kerberos/Active Directory のパスワード期限をディセーブルにします。


LDAP サーバのサポート

この項では、セキュリティ アプライアンスで LDAP ディレクトリを使用してユーザ認証と VPN 認可を行う方法について説明します。

認証時、セキュリティ アプライアンスは、ユーザに対して LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストか、Simple Authentication and Security Layer(SASL)プロトコルを使用して LDAP サーバの認証を受けます。 デフォルトでは、セキュリティ アプライアンスは認証パラメータ(通常はユーザ名とパスワード)をプレーン テキストで LDAP サーバに渡します。 SASL またはプレーン テキストのどちらを使用する場合でも、セキュリティ アプライアンスと LDAP サーバの間の通信のセキュリティは SSL で確保されます。


) SASL を設定しない場合は、SSL を使用して LDAP 通信のセキュリティを確保することを強くお勧めします。


ユーザの LDAP 認証が正常に終了すると、LDAP サーバは認証されたユーザのアトリビュートを返します。 VPN 認証の場合、通常これらのアトリビュートには、VPN セッションに適用される認可データが含まれます。 このため、LDAP を使用すると、認証と認可が 1 つの手順で完了します。

たとえば、LDAP 認証または認可のセットアップに使用する設定手順については、 付録 B「認可と認証のための外部サーバの設定」 を参照してください。

HTTP Forms を使用するクライアントレス SSL VPN の SSO サポート

セキュリティ アプライアンスは、クライアントレス SSL VPN のシングル サインオン(SSO)認証に対してのみ HTTP Form プロトコルを使用できます。 シングル サインオンのサポートによって、ユーザはユーザ名とパスワードを 1 回だけ入力すれば、複数の保護されたサービスと Web サーバにアクセスできます。セキュリティ アプライアンス上で実行されているクライアントレス SSL VPN サーバは、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを返信します。セキュリティ アプライアンスはこのクッキーをユーザの代理として保持し、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。

HTTP Form プロトコルに加え、管理者は SSO の設定に対して、基本 HTTP 認証または NTLM 認証プロトコル( auto-signon コマンド)、あるいは Computer Associates eTrust SiteMinder SSL サーバ(旧 Netegrity SiteMinder)も選択できます。 HTTP Forms、 auto-signon 、または SiteMinder のいずれかを使用した SSO の設定に関する詳細な説明は、「クライアントレス SSL VPN」を参照してください。

ローカル データベースのサポート

セキュリティ アプライアンスは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

ここでは、次の項目について説明します。

「ユーザ プロファイル」

「フォールバックのサポート」

ユーザ プロファイル

ユーザ プロファイルには、少なくともユーザ名が含まれています。 通常は、パスワードがオプションであっても各ユーザ名にパスワードを割り当てます。 他の情報を特定のユーザ プロファイルに追加できます。 追加できる情報には、VPN セッション タイムアウト値など VPN 関連のアトリビュートがあります。

フォールバックのサポート

ローカル データベースは、複数の機能のフォールバック方式として機能できます。この動作は、セキュリティ アプライアンスから誤ってロックアウトされないようにすることを意図しています。

フォールバック サポートを必要とするユーザでは、ローカル データベース内のユーザ名とパスワードと AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。この対処により、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカル データベースは次のフォールバック機能をサポートします。

コンソールおよびイネーブル パスワード認証:グループに含まれるサーバがすべて使用不可の場合、セキュリティ アプライアンスはローカル データベースを使用して管理アクセスを認証します。 これには、イネーブル パスワード認証も含めることができます。

コマンド認可:グループに含まれる TACACS+ サーバがすべて使用不可の場合、ローカル データベースを使用して、特権レベルに基づいたコマンドの認可を行います。

VPN 認証および認可:VPN 認証と認可は、通常これらの VPN サービスをサポートする AAA サーバが使用不可の場合にセキュリティ アプライアンスへリモート アクセスできるようにサポートされています。 管理者の VPN クライアントが、ローカル データベースへのフォールバックが設定されたトンネル グループを指定している場合、ローカル データベースに必要なアトリビュートが設定されていれば、VPN トンネルは AAA サーバ グループが使用不可の場合でも確立できます。

ローカル データベースの設定

この項では、ローカル データベース内のユーザを管理する方法について説明します。 ローカル データベースは、CLI アクセス認証、特権モード認証、コマンド認可、ネットワーク アクセス認証、VPN 認証および認可に使用できます。ネットワーク アクセス認可には、ローカル データベースは使用できません。 ローカル データベースは、アカウンティングをサポートしていません。

マルチコンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して個々にログインできます。ただし、システム実行スペースでは aaa コマンドは設定できません。

ここでは、次の項目について説明します。

「User Accounts」

「Add/Edit User Account > Identity」

「Add/Edit User Account > VPN Policy」

「AAA サーバ グループとサーバの識別」

User Accounts

User Accounts ペインで、ローカル ユーザ データベースを管理できます。ローカル ユーザ データベースは、次の機能で使用されます。

ASDM ユーザごとのアクセス

デフォルトでは、空白のユーザ名とイネーブル パスワードを指定して ASDM にログインできます( 「Device Name/Password」 を参照)。ただし、(空白ユーザ名を使用しないで)ログイン画面でユーザ名とパスワードを入力すると、ASDM はローカル データベースをチェックして照合します。


) ローカル データベースを参照する HTTP 認証を設定できますが、この機能はデフォルトで常にイネーブルです。RADIUS または TACACS+ サーバを認証に使用する場合は、HTTP 認証だけを設定します。


コンソール認証

Telnet および SSH 認証

enable コマンド認証

CLI アクセスのみの設定です。ASDM ログインには影響しません。

コマンド認可

ローカル データベースを使用するコマンド認可を有効にすると、セキュリティ アプライアンスはユーザ特権レベルを参照して、どのコマンドが使用できるか確認します。コマンド認可がディセーブルの場合、通常特権レベルは参照されません。デフォルトでは、コマンドの特権レベルは 0 または 15 のどちらかになっています。ASDM にはイネーブルにできる特権レベルがあらかじめ定義されています。指定できるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。事前定義済みのレベルを使用するには、3 種類の特権レベルのいずれかにユーザを設定します。

ネットワーク アクセス認証

VPN クライアント認証

ネットワーク アクセス認可には、ローカル データベースは使用できません。

マルチコンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカル データベースを参照する aaa コマンドは設定できません。


) VPN 機能はマルチコンテキスト モードではサポートされません。


このペインで( 「Device Name/Password」 ではなく)イネーブル パスワードを設定するには、ユーザ名 enable_15 のパスワードを変更します。ユーザ名 enable_15 は常時このペインに表示されます。これがデフォルトのユーザ名です。ASDM のシステム コンフィギュレーションでは、この方法だけがイネーブル パスワードを設定する方法です。CLI で他のイネーブル レベル パスワードを設定すると( enable password 10 など)、そのユーザ名は enable_10 のようになります。

フィールド

User Name:ここに示すパラメータを適用するユーザ名を指定します。

Privilege (Level):ユーザに設定する特権レベルを指定します。特権レベルは、ローカル コマンド認可で使用されます。

VPN Group Policy:ユーザに適用する VPN グループ ポリシー名を指定します。マルチモードでは使用できません。

VPN Group Lock:ユーザに適用するグループ ロック ポリシーがあれば、それを指定します。マルチモードでは使用できません。

Add:Add User Account ダイアログボックスを表示します。

Edit:Edit User Account ダイアログボックスを表示します。

Delete:選択した行をテーブルから削除します。確認されず、やり直しもできません。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit User Account > Identity

このペインで指定したパラメータでユーザ アカウントを識別し、追加または変更ができます。変更は、OK をクリックすると User Accounts テーブルにただちに表示されます。

フィールド

Username:アカウントのユーザ名を指定します。

Change user password:既存のユーザを編集する場合、このボックスをオンにしてパスワードを変更します。

Password:ユーザの一意のパスワードを指定します。パスワードは 4 文字以上にする必要があります。また、最大 32 文字です。パスワードは、大文字と小文字を区別します。フィールドには、アスタリスクだけが表示されます。

セキュリティ保護のため、パスワードは 8 文字以上にすることをお勧めします。

Confirm Password:確認のためユーザ パスワードを再入力します。フィールドには、アスタリスクだけが表示されます。

User authenticated using MSCHAP:パスワードが unicode に変換され、入力後に MD4 を使用してハッシュされることを指定します。 MSCHAPv1 または MSCHAPv2 を使用してユーザを認証する場合は、このオプションを使用します。

Member-of:ユーザが属する VPN グループを指定します。

Member-of:VPN グループの名前を入力します。

Add:VPN グループをリストに追加します。

Delete:VPN グループをリストから削除します。

Access Restriction:このセクションでは、ユーザの管理アクセス レベルを設定します。 まず、Configuration > Device Management > Users/AAA > AAA Access > Authorization タブの Perform authorization for exec shell access オプションを使用して、管理認可をイネーブルにする必要があります。

Full Access (ASDM, Telnet, SSH and console):ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM の認証の設定とコマンド アクセスのイネーブル化」を参照)、このオプションを指定するとユーザが ASDM、SSH、Telnet、およびコンソール ポートを使用できます。 さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできます。

Privilege Level:ローカル コマンド認可でユーザに適用する特権レベルを選択します。0(最低)~ 15(最高)の範囲の値を指定します。詳細については、 「ローカル コマンド認可の設定」 を参照してください。

CLI login prompt for SSH, Telnet and console(no ASDM access):ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM の認証の設定とコマンド アクセスのイネーブル化」を参照)、このオプションを指定するとユーザが SSH、Telnet、およびコンソール ポートを使用できます。 ユーザは設定に ASDM を使用できません(HTTP 認証を設定している場合)。 ASDM 監視は可能です。 さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできません。

No ASDM, SSH, Telnet, or console access:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM の認証の設定とコマンド アクセスのイネーブル化」を参照)、このオプションを指定すると、ユーザは認証用に設定した管理アクセス方式を利用できなくなります(ただし、Serial オプションは除きます。したがって、シリアル アクセスは許可されます)。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit User Account > VPN Policy

このペインで指定した VPN ポリシーをユーザに適用します。Inherit チェックボックスを選択すると、対応する設定の値をグループ ポリシーから取得できます。

フィールド

Group Policy:利用できるグループ ポリシーを一覧表示します。

Tunneling Protocols:ユーザが使用できるトンネル プロトコルを指定します。また、グループ ポリシーから値を継承するかどうかも指定します。必要な Tunneling Protocols のチェックボックスをオンにし、ユーザが使用できる VPN トンネル プロトコルを選択します。ユーザは、選択されているプロトコルのみを使用できます。選択肢は次のとおりです。

IPSec:IP セキュリティ プロトコル。最もセキュアなプロトコルであるとされている IPSec は、VPN トンネルの最も完全なアーキテクチャを提供します。IPSec は、LAN 間(ピアツーピア)接続と、クライアントと LAN の接続の両方で使用できます。

クライアントレス SSL VPN:SSL/TLS を利用する VPN。Web ブラウザを使用して、VPN コンセントレータへのセキュアなリモートアクセス トンネルを確立し、ソフトウェアまたはハードウェアのクライアントを必要としません。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。

SSL VPN Client:Cisco AnyConnect Client アプリケーションのダウンロード後にユーザが接続できるようにします。 ユーザは、最初にクライアントレス SSL VPN 接続を使用してこのアプリケーションをダウンロードします。 ユーザが接続すると常に、必要に応じてクライアント アップデートが自動的に行われます。

L2TP over IPSec:いくつかの一般的な PC およびモバイル PC のオペレーティング システムで提供される VPN クライアントを使用しているリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。


) プロトコルを選択しなかった場合、エラー メッセージが表示されます。


Filter:使用するフィルタを指定するか、グループ ポリシーから値を継承するかどうかを指定します。フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定するには、Configuration > VPN > VPN General > Group Policy ペインを参照してください。

Manage:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる ACL Manager ペインを表示します。

Tunnel Group Lock:トンネル グループ ロックがある場合、それを継承するかどうか、または選択したトンネル グループ ロックを使用するかどうかを指定します。特定のロックを選択すると、ユーザのリモート アクセスはこのグループだけに制限されます。トンネル グループ ロックは、VPN クライアントで設定されたグループが、そのユーザが割り当てられているグループと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスは、ユーザが接続できないようにします。Inherit チェックボックスがオフの場合、デフォルト値は --None-- です。

Store Password on Client System:この設定をグループから継承するかどうかを指定します。Inherit チェックボックスをオフにすると、Yes/ No のオプション ボタンが有効になります。Yes を選択すると、ログイン パスワードがクライアント システムに保存されます(セキュリティが低下する恐れのあるオプションです)。No(デフォルト)を選択すると、ユーザ接続時ごとにパスワード入力が求められます。最大限のセキュリティを確保するには、パスワードの保存は許可しないことをお勧めします。VPN 3002 の場合、このパラメータは対話型ハードウェア クライアント認証や個別ユーザ認証では動作しません。

Connection Settings:接続設定パラメータを指定します。

Access Hours:Inherit チェックボックスがオフである場合、このユーザに適用される既存のアクセス時間ポリシーが存在する場合にはその名前を選択でき、存在しない場合には、新しいアクセス時間ポリシーを作成できます。デフォルトは Inherit です。また、Inherit チェックボックスがオフの場合のデフォルトは --Unrestricted-- です。

New:Add Time Range ダイアログボックスが開き、アクセス時間の新規セットを指定できます。

Simultaneous Logins:Inherit チェックボックスがオフである場合、このパラメータは、このユーザに許可される同時ログインの最大数を指定します。デフォルト値は 3 です。最小値は 0 で、この場合ログインがディセーブルになり、ユーザ アクセスを禁止します。


) 最大値を設定して制限しない場合、多くの同時接続が許可され、セキュリティとパフォーマンスの低下を招く恐れがあります。


Maximum Connect Time:Inherit チェックボックスがオフである場合、このパラメータは、ユーザの最大接続時間を分単位で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分で、最長時間は 2147483647 分(4000 年超)です。接続時間を無制限にするには、Unlimited チェックボックスを選択します(デフォルト)。

Idle Timeout:Inherit チェックボックスがオフである場合、このパラメータは、ユーザのアイドル タイムアウト時間を分単位で指定します。この期間、ユーザ接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。 この値は、クライアントレス SSL VPN 接続のユーザには適用されません。

Dedicated IP Address(オプション):

IP Address ボックス:専用 IP アドレスを指定します(オプション)。

Subnet Mask リスト:専用 IP アドレスのサブネット マスクを指定します。

Group Lock チェックボックスをオンにすると、ユーザのリモート アクセスはこのグループだけに制限されます。グループ ロックは、VPN クライアントで設定されたグループが、そのユーザが割り当てられているグループと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、VPN Concentrator は、ユーザが接続できないようにします。

このチェックボックスがオフの場合(デフォルト)、ユーザが割り当てられているグループと関係なく、ユーザを認証します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

AAA サーバ グループとサーバの識別

認証、認可、またはアカウンティングに外部 AAA サーバを使用する場合、まず AAA プロトコルごとに少なくとも 1 つの AAA サーバ グループを作成し、各グループに 1 つ以上のサーバを追加する必要があります。 AAA サーバ グループは名前で識別します。 各サーバ グループには、1 つのサーバ タイプ(Kerberos、LDAP、NT、RADIUS、SDI、TACACS+ のいずれか)だけが含まれます。

セキュリティ アプライアンスは、グループの最初のサーバに接続します。 そのサーバが使用できない場合、グループに次のサーバが設定されていればセキュリティ アプライアンスはそのサーバに接続します。 グループのすべてのサーバが使用できない場合、ローカル データベースがフォールバック方式として設定されていれば、セキュリティ アプライアンスはローカル データベースを試みます(管理認証および認可のみ)。 フォールバック方式がない場合、セキュリティ アプライアンスは引き続き AAA サーバを試みます。

ここでは、次の項目について説明します。

「AAA Server Groups」

「Add/Edit AAA Server Group」

「Edit AAA Local Server Group」

「Add/Edit AAA Server」

「Test AAA Server」

AAA Server Groups

AAA Server Groups ペインでは次の設定ができます。

セキュリティ アプライアンスが各グループにリストされたサーバとの通信に使用する AAA サーバ グループとプロトコルの設定。

個々のサーバの設定と AAA サーバ グループへの追加。

シングルモードでは最大 15 のグループを、マルチモードでは最大 4 つのグループを指定できます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインするとき、アクセスされるサーバは一度に 1 つだけです。指定したサーバから、応答があるまで順に 1 つずつアクセスしていきます。

AAA アカウンティングが有効になっている場合、同時アカウンティングを設定していない限り、アカウンティング情報が送られるのはアクティブ サーバに対してだけです。

AAA サービスの概要については、「AAA の概要」を参照してください。

フィールド

AAA Server Groups ペインのフィールドは、AAA Server Groups 領域と Servers In The Selected Group 領域という、2 つの主要領域にグループ化されます。 AAA Server Groups 領域では、セキュリティ アプライアンスが各グループに表示されたサーバとの通信に使用する AAA サーバ グループとプロトコルを設定できます。


) AAA Server Groups テーブルで任意の行をダブルクリックすると、Edit AAA Server Group ダイアログボックスが開きます。このダイアログボックスでは、AAA Server Group パラメータを変更できます。ここで行った変更はただちにテーブルに反映されますが、コンフィギュレーションに保存するには Apply をクリックする必要があります。

カラムの先頭をクリックすると、そのカラムの内容に従って、テーブルの行が英数字順に並び替わります。


Server Group: 表示のみ。 選択したサーバ グループのシンボリック名が表示されます。

Protocol: 表示のみ。 グループのサーバがサポートする AAA プロトコルが一覧表示されます。

Accounting Mode: 表示のみ。 同時モード アカウンティングまたはシングル モード アカウンティングのいずれかが表示されます。シングルモードでは、セキュリティ アプライアンスはアカウンティング データを 1 つのサーバにのみ送信します。同時モードでは、セキュリティ アプライアンスはアカウンティング データをグループ内のすべてのサーバに送信します。

Reactivation Mode: 表示のみ。 障害が発生したサーバを再アクティブ化する方法(Depletion または Timed 再アクティブ化モード)が表示されます。Depletion モードでは、障害が発生したサーバは、グループ内のサーバのすべてが非アクティブになった場合にのみ再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。

Dead Time: 表示のみ。 グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度アクティブにするまでの経過時間が分単位で表示されます。このパラメータは、Depletion モードでのみ適用されます。

Max Failed Attempts: 表示のみ。 応答のないサーバを非アクティブと宣言する前に許可される接続試行失敗の回数が表示されます。

Add:Add AAA Server Group ダイアログボックスが表示されます。

Edit:Edit AAA Server Group ダイアログボックスを表示します。ただし、サーバ グループとして LOCAL を選択した場合は、Edit AAA Local Server Group ダイアログボックスを表示します。

Delete:現在選択しているサーバ グループ エントリをサーバ グループ テーブルから削除します。確認されず、やり直しもできません。

AAA Server Groups ペインの 2 番目の領域である Servers In Selected Group 領域では、既存の AAA サーバ グループに対して AAA サーバを追加および設定できます。このサーバには、RADIUS、TACACS+、NT、SDI、Kerberos、LDAP、HTTP フォームの各サーバを指定できます。

Server Name or IP Address: 表示のみ。 AAA サーバの名前または IP アドレスが表示されます。

Interface: 表示のみ。 認証サーバが常駐するネットワーク インターフェイスが表示されます。

Timeout: 表示のみ。 タイムアウト間隔が秒数で表示されます。この時間に達すると、セキュリティ アプライアンスはプライマリ AAA サーバに対する要求の送信を放棄します。スタンバイ AAA サーバがある場合、セキュリティ アプライアンスはバックアップ サーバに要求を送信します。

Add/Edit:Add/Edit AAA Server ダイアログボックスを表示します。

Delete:選択した AAA サーバをリストから削除します。

Move up:選択した AAA サーバを AAA シーケンス内で上に移動します。

Move down:選択した AAA サーバを AAA シーケンス内で後ろに移動します。

Test:Test AAA Server ダイアログボックスを表示します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

6

--

6.HTTP Form およびクライアントレス SSL VPN は、シングル ルーテッド モードでのみサポートされます。

Add/Edit AAA Server Group

Add/Edit AAA Server Group ダイアログボックスでは、AAA サーバ グループを追加または編集できます。結果は AAA Server テーブルに表示されます。

フィールド

Server Group: 表示のみ。 選択したサーバ グループの名前が表示されます。

Protocol ドロップダウン リスト:グループのサーバでサポートされるプロトコルを指定します。プロトコルには、RADIUS、TACACS+、NT Domain、SDI、Kerberos、LDAP、シングル サインオン用 HTTP Form(クライアントレス SSL VPN のユーザ専用)があります。


) 次のフィールドは、HTTP Form プロトコルを選択すると使用できなくなります。


Accounting Mode:サーバ グループに使用するアカウンティング モードを指定します。

Simultaneous:アカウンティング データをグループ内のすべてのサーバに送信するようにセキュリティ アプライアンスを設定します。

Single:アカウンティング データをグループ内のサーバ 1 つだけに送信するようにセキュリティ アプライアンスを設定します。

Reactivation Mode:障害が発生したサーバを再アクティブ化する方法を指定します。

Depletion:グループ内のすべてのサーバが非アクティブになった場合にだけ、障害が発生したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。

Timed:30 秒のダウン タイムの後、障害が発生したサーバを再度アクティブにするようにセキュリティ アプライアンスを設定します。

Dead Time:グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度アクティブにするまでの経過時間を分単位で指定します。このフィールドは、Timed モードでは使用できません。

Max Failed Attempts:応答がないサーバを非アクティブと宣言するまでに許可される接続試行失敗の回数(1 ~ 5)を指定します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

7

--

7.HTTP Form およびクライアントレス SSL VPN は、シングル ルーテッド モードでのみサポートされます。

Edit AAA Local Server Group

Edit AAA Local Server Group ダイアログボックスでは、ローカル ユーザ ロックアウトをイネーブルにするかどうか、また、ユーザをロックアウトする前に許可するログイン試行の最大失敗回数を指定できます。ユーザがロックアウトされた場合、正常にログインするには、管理者がロックアウト状態をクリアしておく必要があります。

フィールド

Enable Local User Lockout :設定された認証試行の最大失敗回数を超えたユーザのロックアウトと、そのユーザのアクセス拒否をイネーブルにします。

Maximum Attempts:ユーザをロックアウトし、そのユーザのアクセスを拒否する前に許可するログイン試行の最大失敗回数を指定します。この制限は、認証に LOCAL データベースが使用されているときのみ適用されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

8

--

8.HTTP Form およびクライアントレス SSL VPN は、シングル ルーテッド モードでのみサポートされます。

Add/Edit AAA Server

Add/Edit AAA Server ダイアログボックスでは、既存の AAA サーバのパラメータを変更したり、AAA サーバ グループ テーブルで選択した既存のグループに新しい AAA サーバを追加したりできます。

フィールド


) 最初の 4 つのフィールドは、すべてのサーバ タイプに共通です。コンテンツ領域は、各サーバ タイプに固有です。


Server Group: 表示のみ。 サーバ グループの名前が表示されます。

Interface Name:サーバが常駐するネットワーク インターフェイスを指定します。

Server Name or IP Address:AAA サーバの名前または IP アドレスを指定します。

Timeout:タイムアウト間隔を秒数で指定します。この時間に達すると、セキュリティ アプライアンスはプライマリ AAA サーバに対する要求の送信を放棄します。スタンバイ AAA サーバがある場合、セキュリティ アプライアンスはバックアップ サーバに要求を送信します。

RADIUS Parameters 領域:RADIUS サーバの使用に必要なパラメータを指定します。選択したサーバ グループが RADIUS を使用するときにのみ、この領域が表示されます。

Retry Interval:サーバにクエリーを送信しても応答がないときに、接続を再試行する前に待機する秒数を指定します。最短時間は 1 秒です。デフォルトは 10 秒です。最長時間は 10 秒です。

Server Authentication Port:ユーザ認証に使用するサーバ ポートを指定します。デフォルト ポートは 1645 です。


) 最新の RFC では、RADIUS を UDP ポート番号 1812 に設定すべきだとしているので、このデフォルトは 1812 への変更が必要になる場合があります。


Server Accounting Port:ユーザ アカウンティングに使用するサーバ ポートを指定します。デフォルト ポートは 1646 です。

Server Secret Key:暗号化に使用する、たとえば C8z077f のようなサーバ秘密鍵(「共有秘密情報」とも呼ばれます)を指定します。この秘密鍵では、大文字と小文字が区別されます。 セキュリティ アプライアンスはサーバ秘密鍵を使用して、RADIUS サーバに対する認証を行います。ここで設定したサーバ秘密鍵は、RADIUS サーバで設定されたサーバ秘密鍵と一致する必要があります。RADIUS サーバのサーバ秘密鍵がわからない場合は、RADIUS サーバの管理者に問い合せてください。最大フィールド長は、64 文字です。

Common Password:グループの共通パスワードを指定します。パスワードは、大文字と小文字が区別されます。RADIUS サーバを認可ではなく認証に使用するよう定義する場合は、共通パスワードを設定しないでください。

RADIUS 認可サーバでは、接続しようとする各ユーザのパスワードとユーザ名が必要です。パスワードはここに入力します。RADIUS 認可サーバの管理者は、このパスワードをセキュリティ アプライアンス経由でサーバに接続する各ユーザ認可に関連付けて RADIUS サーバを設定する必要があります。この情報は、必ず RADIUS サーバの管理者に提供してください。このセキュリティ アプライアンス経由で RADIUS 認可サーバにアクセスするすべてのユーザの共通パスワードを入力します。

このフィールドを空白のままにすると、各ユーザのユーザ名がパスワードになります。たとえば、ユーザ名「jsmith」であるユーザの場合、「jsmith」と入力されます。セキュリティ上の予防措置として、RADIUS 認可サーバを絶対に認証に使用しないでください。共通パスワードを使用したり、パスワードとしてユーザ名を使用したりすることは、ユーザごとに強力なパスワードを使用するのに比べてはるかにセキュリティが低くなります。


) RADIUS プロトコルではパスワード フィールドが必須であり、RADIUS サーバによっても要求されますが、ユーザはパスワードを知る必要がありません。


ACL Netmask Convert:ダウンロード可能なアクセスリストから受け取ったネットマスクをセキュリティ アプライアンスが処理する方法を指定します。セキュリティ アプライアンスは、ダウンロード可能なアクセスリストに標準ネットマスク表現が含まれていることを想定しますが、Cisco Secure VPN 3000 シリーズ コンセントレータは、ダウンロード可能なアクセスリストに、標準ネットマスク表現とは反対のワイルドカード ネットマスク表現が含まれていることを想定します。ワイルドカード マスクには、無視するビット位置に 1 が、一致するビット位置に 0 が入っています。ACL Netmask Convert リストは、ダウンロード可能なアクセスリストの RADIUS サーバ上での設定方法の違いによる影響を最小限に抑えます。

Detect Automatically を選択すると、使用されているネットマスク表現のタイプをセキュリティ アプライアンスが判定します。ワイルドカード ネットマスク表現が検出された場合は、標準のネットマスク表現に変換されます。しかし、一部のワイルドカードは明確な検出が困難であるため、この設定を使用すると、ワイルドカード ネットマスク表現が、標準のネットマスク表現と誤解される場合があります。

Standard を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストに、標準ネットマスク表現だけが入っていると想定します。ワイルドカード ネットマスク表現からの変換は行われません。

Wildcard を選択すると、セキュリティ アプライアンスは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストに、ワイルドカード ネットマスク表現だけが含まれていると想定し、アクセスリストがダウンロードされたときにすべてを標準ネットマスク表現に変換します。

SDI Messages Table:SDI サーバへのプロキシとして設定されている RADIUS サーバによってセキュリティ アプライアンスに転送される SDI メッセージを指定します。

リモート ユーザが、AnyConnect VPN クライアントを使用してセキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスが RADIUS サーバと通信し、続いて RADIUS サーバが認証について SDI サーバと通信します。 SDI メッセージ テーブルには、セキュリティ アプライアンスが認識し、リモート クライアントに渡す SDI メッセージが示されます。

表12-2 に、SDI メッセージ(op-code)、デフォルトのメッセージ テキスト、および各メッセージの機能を示します。

 

表12-2 SDI Op-code、デフォルトのメッセージ テキスト、およびメッセージ機能

SDI op-code
デフォルトの SDI メッセージ テキスト
メッセージ機能

next-code

Enter Next PASSCODE

ユーザが PIN なしで NEXT トークンコードを入力する必要があることを示します。

new-pin-sup

Please remember your new PIN

新しいシステム PIN が提供され、その PIN がユーザに表示されることを示します。

new-pin-meth

Do you want to enter your own pin

ユーザが、新しい PIN の作成に使用する新しい PIN 方式を指定するように要求します。

new-pin-req

Enter your new Alpha-Numerical PIN

ユーザ生成の PIN であることを示し、ユーザに PIN を入力するように要求します。

new-pin-reenter

Reenter PIN:

ユーザが指定した PIN を確認するためにセキュリティ アプライアンスが内部的に使用します。 ユーザにプロンプトを表示せずに、クライアントが PIN を確認します。

new-pin-sys-ok

New PIN Accepted

ユーザが指定した PIN が受け入れられたことを示します。

next-ccode-and-reauth

new PIN with the next card code

PIN 操作の後に表示され、ユーザが次のトークンコードを待ち、新しい PIN と次のトークンコードの両方を入力して認証を受ける必要があることを示します。

ready-for-sys-pin

ACCEPT A SYSTEM GENERATED PIN

システムが生成した PIN をユーザが使用できる状態であることを示すためにセキュリティ アプライアンスが内部的に使用します。

SDI メッセージは SDI サーバに設定できるため、セキュリティ アプライアンス上の SDI メッセージのメッセージ テキストは、SDI サーバのメッセージと同じでなければなりません。 これらが異なると、リモート クライアント ユーザに対して表示されるプロンプトが、認証時に要求される操作に対して適切でない場合があります。 AnyConnect クライアントが応答できず、認証が失敗する可能性があります。

セキュリティ アプライアンスは 表12-1 の順序どおりに文字列を検索するため、ある op-code に使用する文字列が他の文字列に含まれないようにする必要があります。 たとえば、new-pin-req を「New PIN」、new-pin-sys-ok を「New PIN Accepted」と設定した場合、new-pin-req がメッセージ テキストは「New PIN Accepted」に含まれているため、常に new-pin-req が一致します。 このため、メッセージが誤って一致しないように、メッセージ テキストを一意にしてください。

メッセージ テキストを編集するには、Message Text フィールドをダブルクリックします。

Restore default message texts:メッセージをデフォルトのメッセージ(Cisco ACS のデフォルト メッセージ)に復元します。

TACACS+ Parameters:TACACS+ サーバの使用に必要なパラメータを指定します。選択したサーバ グループが TACACS+ を使用するときにのみ、この領域が表示されます。

Server Port:使用するサーバ ポートを指定します。

Server Secret Key:暗号化に使用するサーバ秘密鍵を指定します。この秘密鍵では、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。

SDI Parameters:SDI サーバの使用に必要なパラメータを指定します。選択したサーバ グループが SDI を使用するときにのみ、この領域が表示されます。

Server Port:使用するサーバ ポートを指定します。

Retry Interval:接続を再試行する前に待機する秒数を指定します。

Kerberos Parameters:Kerberos サーバの使用に必要なパラメータを指定します。選択したサーバ グループが Kerberos を使用するときにのみ、この領域が表示されます。

Server Port:Kerberos サーバがリスンするサーバ ポートを指定します。

Retry Interval:再試行間隔値とは、再試行から次の再試行までの時間で、1 ~ 10 秒の範囲で指定します。

Kerberos Realm:使用する Kerberos 領域の名前(USDOMAIN.ACME.COM など)を指定します。最大長は 64 文字です。サーバ タイプが Windows 2000、Windows XP、Windows.NET の場合、領域名はすべて大文字で入力する必要があります。この名前は入力するとき、IP アドレスを Server IP Address フィールドに入力したサーバの領域名に一致している必要があります。

LDAP Parameters:LDAP サーバの使用に必要なパラメータを指定します。選択したサーバ グループが LDAP を使用するときにのみ、この領域が表示されます。

Enable LDAP Over SSL:セキュリティ アプライアンスと LDAP サーバ間の通信を SSL でセキュリティ保護するように指定します。セキュア LDAP とも呼ばれます。

Server Port:使用するサーバ ポートを指定します。サーバにアクセスするための TCP ポート番号を入力します。

Server Type:手動で LDAP サーバ タイプを設定できます。または、サーバ タイプの判別に自動検出を指定します。

Base DN:ベース DN を指定します。認可要求を受信したときに、サーバが検索を開始する LDAP 階層の位置を入力します。たとえば、OU=people, dc=cisco, dc=com となります。

Scope:サーバが認可要求を受け取ったときに行う、LDAP 階層での検索範囲を指定します。オプションは One Level(ベース DN の下にある 1 レベルのみを検索します。このオプションは、時間がかかりません)および All Levels(ベース DN の下にあるすべてのレベルを検索します。つまり、サブツリー階層全体を検索します。このオプションは、多少時間がかかります)です。

Naming Attribute(s):LDAP サーバのエントリを一意に識別する Relative Distinguished Name アトリビュートを指定します。共通の名前付きアトリビュートは、Common Name(cn)と User ID(uid)です。

Login DN:ログイン DN を指定します。一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、ユーザの認証要求に Login DN フィールドを付加することにより、自身が認証バインディングされていることを示します。Login DN フィールドは、セキュリティ アプライアンスの認証特性を定義します。これらの特性は、管理者の権限が与えられているユーザの特性に対応します。セキュリティ アプライアンスの認証済みバインディングのディレクトリ オブジェクト名を入力します。たとえば、cn=Administrator, cn=users, ou=people, dc=Example Corporation, dc=com となります。匿名アクセスの場合は、このフィールドをブランクのままにしておきます。

Login Password:ログイン パスワードを指定します。入力した文字はアスタリスクに置き換えられます。

LDAP Attribute Map:LDAP サーバに適用可能な LDAP アトリビュート マップを一覧表示します。LDAP アトリビュート マップでは、Cisco アトリビュート名がユーザ定義のアトリビュート名および値に変換されます。

SASL MD5 authentication:Simple Authentication and Security Layer(SASL)の MD5 メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。

SASL Kerberos authentication:Simple Authentication and Security Layer(SASL)の Kerberos メカニズムが、セキュリティ アプライアンスと LDAP サーバ間の認証通信をセキュリティ保護するように指定します。

Kerberos Server Group:認証に使用する Kerberos サーバまたはサーバ グループを指定します。 Kerberos Server group オプションはデフォルトでディセーブルになっており、SASL Kerberos 認証が選択された場合だけイネーブルになります。

NT Domain Parameters:NT サーバの使用に必要なパラメータを指定します。次のフィールドがあります。

Server Port:サーバにアクセスするための TCP ポート番号を指定します。デフォルト ポート番号は 139 です。

NT Domain Controller:このサーバの NT プライマリ ドメイン コントローラのホスト名(PDC01 など)を指定します。ホスト名の最大長は 15 文字です。この名前を入力するとき、Authentication Server Address に入力したサーバのホスト名に一致している必要があります。名前が正しくないと、認証が失敗します。

HTTP Form Parameters:シングル サインオン認証用に HTTP Form プロトコルのパラメータを指定します。クライアントレス SSL VPN のユーザのみが使用できます。この領域は、選択したサーバ グループが HTTP Form を使用しているときにのみ表示され、サーバ グループ名とプロトコルのみが表示されます。HTTP Form を使用している場合、他のフィールドは使用できません。


) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。


次のパラメータがわからない場合は、セキュリティ アプライアンスを介してではなく直接認証 Web サーバにログインしているときに、HTTP GET および POST 交換からデータを抽出します。HTTP 交換からのこれらのパラメータの抽出についての詳細は、『 Cisco Security Appliance Command Line Configuration Guide 』のクライアントレス SSL VPN に関する章を参照してください。

Start URL:認証 Web サーバの事前ログイン クッキーを取得できる場所の完全 URL を指定します。このパラメータは、認証 Web サーバがログイン ページとともに事前ログイン クッキーをロードするときにのみ設定する必要があります。ドロップダウン リストには HTTP と HTTPS の両方が提供されます。入力できる最大文字数は 1024 文字で、最低文字数は制限されていません。

Action URI:認可 Web サーバ上の認証プログラムの完全 Uniform Resource Identifier(URI; ユニフォーム リソース識別子)を指定します。完全 URI の最大文字数は 2048 文字です。

Username:SSO 認証に使用される HTTP フォームの一部として発行される必要のあるユーザ名パラメータの名前(特定のユーザ名ではありません)を指定します。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

Password:SSO 認証に使用される HTTP フォームの一部として発行される必要のあるパスワード パラメータの名前(特定のパスワード値ではありません)を指定します。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

Hidden Values:SSO 認証用に認証 Web サーバに発行される、HTTP POST 要求の非表示パラメータを指定します。HTTP POST 要求内に存在することで示されているように、このパラメータは認証 Web サーバで想定されている場合にのみ必要です。入力できる最大文字数は 2048 文字です。

Authentication Cookie Name:(オプション)正常なログイン時にサーバによって設定され、認証情報を含んでいるクッキーの名前を指定します。認証クッキーに意味のある名前を割り当てるときに使用され、Web サーバから返される他のクッキーと区別するのに役立ちます。入力できる最大文字数は 128 文字で、最低文字数は制限されていません。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

9

1.1. 1.

--

9.HTTP Form およびクライアントレス SSL VPN は、シングル ルーテッド モードでのみサポートされます。

Test AAA Server


HTTP Form 認証サーバでは、Test AAA Server は使用できません。


セキュリティ アプライアンスが選択した AAA サーバと通信できるかどうかを判別するには、 Test ボタンを使用します。AAA サーバに到達できない場合は、ASDM でのコンフィギュレーションが正しくないか、ネットワーク コンフィギュレーションによる制限やサーバのダウンタイムなど他に AAA サーバに到達できない原因があることが考えられます。

このダイアログボックスのフィールドに入力して OK をクリックすると、セキュリティ アプライアンスは適切なテスト メッセージを選択したサーバに送信します。テストが失敗した場合、ASDM は、発生したエラー タイプに関するエラー メッセージを表示します。ASDM のエラー メッセージでコンフィギュレーション エラーが示されている場合、コンフィギュレーションを修正してから再度テストします。


ヒント トラブルシューティングを行うとき、まず AAA サーバへの基本的なネットワーク接続を確認することをお勧めします。基本的な接続をテストするには、Tools > Ping をクリックします。


フィールド

AAA Server Group: 表示のみ。 選択した AAA サーバが属する AAA サーバ グループが表示されます。

Host: 表示のみ。 選択した AAA サーバのホスト名が表示されます。

Authorization:ASDM が選択した AAA サーバを使用したユーザの認可をテストするように指定します。選択したサーバ タイプが認可をサポートしていない場合、このオプション ボタンは使用できません。たとえば、セキュリティ アプライアンスは Kerberos サーバを使用した認可をサポートできません。

Authentication:ASDM が選択した AAA サーバを使用したユーザの認証をテストするように指定します。選択したサーバ タイプが認証をサポートしていない場合、このオプション ボタンは使用できません。たとえば、セキュリティ アプライアンスは LDAP サーバを使用した認証をサポートしていません。

Username:AAA サーバのテストに使用するユーザ名を指定します。AAA サーバにそのユーザ名が存在することを確認します。存在しない場合、テストは失敗します。

Password: Username フィールドに入力したユーザ名のパスワードを指定します。 Password
フィールドは、認証テストのときにのみ使用できます。入力したユーザ名に対してパスワードが正しいことを確認します。正しくない場合、テストは失敗します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

10

--

10.HTTP Form およびクライアントレス SSL VPN は、シングル ルーテッド モードでのみサポートされます。

Authentication Prompt の設定

Authentication Prompt ペイン(Configuration > Device Management > Users/AAA)では、AAA 認証チャレンジ プロセス中にユーザに対して表示されるテキストを指定できます。TACACS+ または RADIUS サーバからのユーザ認証を要求するとき、セキュリティ アプライアンスを経由した HTTP、FTP、Telnet アクセスに AAA チャレンジ テキストを指定できます。このテキストは、主に表面的なものを整えることを目的としていて、ログイン時にユーザに対して表示される、ユーザ名とパスワード プロンプトの上に表示されます。

Telnet からのユーザ認証を実行する場合、User accepted message オプションおよび User rejected message オプションを使用すれば、認証試行が AAA サーバにより受け入れられた、または拒否されたことを示すさまざまな状態のプロンプトを表示できます。

AAA サーバがユーザを認証する場合、指定されていれば、セキュリティ アプライアンスはユーザ承認メッセージ テキストをユーザに対して表示します。それ以外の場合、指定されていればユーザ拒否メッセージ テキストを表示します。HTTP および FTP セッションの認証では、プロンプトにチャレンジ テキストのみ表示されます。ユーザ承認メッセージ テキストおよびユーザ拒否メッセージ テキストは表示されません。


) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字まで表示されます。Netscape Navigator では、認証プロンプトに最大 120 文字まで、Telnet および FTP では最大 235 文字まで表示されます。


フィールド

Prompt:(オプション)セキュリティ アプライアンスを経由したユーザ セッションに対して、チェックボックスの下のフィールドに指定した AAA チャレンジ テキストの表示をイネーブルにします。

Text:(オプション)235 文字までの英数字または 31 ワードまでの文字列を指定します。いずれかの最大値に達したときに制限されます。特殊文字は使用できませんが、スペースと句読点は使用できます。文字列を終了するには、疑問符を入力するか Enter キーを押します(Enter キーを押すと文字列に疑問符が表示されます)。

User accepted message:(オプション)チェックボックスの下のフィールドで指定した、ユーザが認証されたことを確認するテキストの表示をイネーブルにします。

User rejected message:(オプション)チェックボックスの下のフィールドで指定した、認証が失敗したことを示すテキストの表示をイネーブルにします。


) このペインのフィールドはすべてオプションです。認証プロンプトを指定していない場合、FTP ユーザには FTP authentication が、HTTP ユーザには HTTP Authentication が表示され、Telnet ユーザにはチャレンジ テキストが表示されません。


モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

LDAP Attribute Map の設定

LDAP Attribute Map ペイン(Configuration > Remote Access VPN > AAA Setup)では、カスタマー(ユーザ定義)アトリビュート名をシスコの LDAP アトリビュート名にマッピングするためのアトリビュート マップを作成し、名前を付けることができます。既存の LDAP ディレクトリにセキュリティ アプライアンスを導入する場合、既存のカスタマー LDAP アトリビュートの名前および値は、シスコのアトリビュートの名前および値とは異なる場合があります。既存のアトリビュートの名前を変更するのではなく、カスタマー アトリビュートの名前と値をシスコのアトリビュートの名前と値にマッピングする LDAP アトリビュート マップを作成できます。簡単な文字列の置き換えを使用すれば、セキュリティ アプライアンスがユーザ独自のカスタマー名および値を提供します。

作成後は、それらのアトリビュート マップを LDAP サーバにバインドしたり、必要に応じて削除したりできます。また、アトリビュート マップ全体を削除することも、個々の名前と値のエントリを削除することもできます。


) アトリビュート マッピング機能を適切に使用するには、シスコの LDAP アトリビュートの名前と値およびユーザ定義のアトリビュートの名前と値を理解する必要があります。


フィールド

Name:編集可能な LDAP アトリビュート マップの名前を表示します。

Attribute Map Name:各アトリビュート マップ内にある、カスタマー アトリビュート名からシスコのアトリビュート名へのマッピングを表示します。

Add:Add LDAP Attribute Map ダイアログボックスを表示します。

Edit:Edit LDAP Attribute Map ダイアログボックスを表示します。

Delete:選択した LDAP アトリビュート マップを削除します。

Add/Edit LDAP Attribute Map

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップの変更または削除、新しい LDAP アトリビュート マップの追加、アトリビュート マップへのアトリビュート名と値のマッピングの入力を行うことができます。

LDAP Attribute Map ダイアログボックスを使用した新しいアトリビュート マップの標準的な追加手順は次のとおりです。

1. 新しい、何も入力されていないアトリビュート マップを作成します。

2. シスコのアトリビュート名をカスタマーのユーザ定義アトリビュート名に変換する名前マッピングを、アトリビュート マップに入力します。

3. カスタマーのユーザ定義アトリビュートの値をカスタマー アトリビュート名、および一致するシスコのアトリビュート名と値に適用する値マッピングを、アトリビュート マップに入力します。

次に、 Add/Edit AAA Server ダイアログボックスを使用して LDAP サーバを追加または編集するときに、そのアトリビュートマップを LDAP サーバにバインドします。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Name Map:カスタマー アトリビュート名をシスコのアトリビュート名にマッピングするのに必要なフィールドを表示します。

Value Map:カスタマー アトリビュートの値を、カスタマー アトリビュート名、および一致するシスコのアトリビュート名と値にマッピングするのに必要なフィールドを表示します。

Add/Edit LDAP Attribute Map > Map Name タブ

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップの変更または削除、新しい LDAP アトリビュート マップの追加、アトリビュート マップへのアトリビュート名と値のマッピングの入力を行うことができます。「Add/Edit LDAP Attribute Map」も参照してください。

一部のフィールドは Map Name タブを選択するか、Map Value タブを選択するかによって異なります。Map Name タブをクリックした場合、次のフィールドが表示されます。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Customer Name:Cisco Name ドロップダウン リストから選択したアトリビュート名にマッピングするカスタマーのユーザ定義アトリビュート名を指定します。

Cisco Name:Customer Name フィールドにある、ユーザ定義名にマッピングするシスコのアトリビュート名を指定します。

Add:アトリビュート マップに名前マッピングを挿入します。

Remove:アトリビュート マップから選択した名前マッピングを削除します。

Customer Name:アトリビュート マップにあるマッピングのカスタマー アトリビュート名を表示します。

Cisco Name:アトリビュート マップにあるマッピングの、シスコのアトリビュート名を表示します。

Add/Edit LDAP Attribute Map > Map Value タブ

Add/Edit LDAP Attribute Map ダイアログボックスでは、既存の LDAP アトリビュート マップの変更または削除、新しい LDAP アトリビュート マップの追加、アトリビュート マップへのアトリビュート名と値のマッピングの入力を行うことができます。「Add/Edit LDAP Attribute Map」も参照してください。

一部のフィールドは Map Name タブを選択するか、Map Value タブを選択するかによって異なります。Map Value タブをクリックした場合、次のフィールドが表示されます。

フィールド

Name:追加または編集する LDAP アトリビュート マップの名前を指定します。新しいマップを追加する場合、このフィールドにマップの名前を入力します。LDAP Attribute Map ペインで選択したマップを編集する場合は、選択したマップの名前がこのフィールドに読み取り専用テキストとして表示されます。マップを変更するには、LDAP Attribute Map ペインに戻り、希望するマップを選択する必要があります。

Customer Name:アトリビュート マップにあるマッピングのカスタマー アトリビュート名を表示します。

Customer to Cisco Map Value:カスタマー値の、カスタマー アトリビュートのシスコの値へのマッピングを表示します。

Add:Add LDAP Attributes Map Value ダイアログボックスを表示します。

Edit:Edit LDAP Attributes Map Value ダイアログボックスを表示します。

Delete:LDAP アトリビュート マップから、選択したアトリビュート値マッピングを削除します。

Add/Edit LDAP Attributes Value Map

Add/Edit LDAP Attribute Value Map ダイアログボックスでは、カスタマー アトリビュート名のカスタマー アトリビュート値を、関連付けられたシスコのアトリビュート名の、シスコの値にマッピングできます。

フィールド

Customer Name:新しいアトリビュート値マッピングを追加する場合、まだシスコのアトリビュート値にマッピングするカスタマー値を持たないアトリビュート リストから、カスタマー アトリビュート名を選択できるドロップダウン リストです。既存のアトリビュート値マッピングを編集する場合、Add/Edit LDAP Attribute Map ダイアログボックスの Map Value タブで選択したカスタマー アトリビュートの名前を表示する読み取り専用フィールドです。

Customer Value:選択したカスタマー アトリビュートのカスタマー値を指定します。

Cisco Value:選択したカスタマー アトリビュートのシスコ値を指定します。

Add:カスタマー アトリビュート値マップに値マッピングを追加します。

Remove:カスタマー アトリビュート値マップから値マッピングを削除します。

Custom Name:カスタマー アトリビュート名のカスタマー値を表示します。

Cisco Name:シスコのアトリビュート名のシスコ値を表示します。