ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
AAA サーバおよびローカル データベースの 設定
AAA サーバおよびローカル データベースの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

AAA サーバおよびローカル データベースの設定

AAA の概要

認証について

認可について

アカウンティングについて

AAA サーバとローカル データベースのサポート

サポートの要約

RADIUS サーバのサポート

認証方式

アトリビュートのサポート

RADIUS 認可機能

TACACS+ サーバのサポート

SDI サーバのサポート

SDI バージョンのサポート

2 段階の認証プロセス

SDI プライマリ サーバと SDI レプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

LDAP による認証

SASL による LDAP 認証のセキュリティ確保

LDAP サーバのタイプ

VPN に対する LDAP 認可

HTTP Forms による Web VPN の SSO サポート

ローカル データベースのサポート

ユーザ プロファイル

フォールバックのサポート

AAA サーバ グループの設定

サーバ グループの追加

グループへのサーバの追加

AAA サーバのパラメータ

RADIUS サーバのフィールド

TACACS+ サーバのフィールド

SDI サーバのフィールド

Windows NT ドメイン サーバのフィールド

Kerberos サーバのフィールド

LDAP サーバのフィールド

HTTP Form サーバのフィールド

サーバによる認証および認可のテスト

ユーザ アカウントの追加

ユーザに対する VPN ポリシー アトリビュートの設定

LDAP アトリビュート マップの設定

認証プロンプトの追加

AAA サーバおよびローカル データベースの設定

この章では、AAA(トリプル エー)のサポートと、AAA サーバおよびローカル データベースの設定方法について説明します。

この章には、次の項があります。

「AAA の概要」

「AAA サーバとローカル データベースのサポート」

「AAA サーバ グループの設定」

「サーバによる認証および認可のテスト」

「ユーザ アカウントの追加」

「LDAP アトリビュート マップの設定」

「認証プロンプトの追加」

AAA の概要

AAA により、セキュリティ アプライアンスでは、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を特定することが可能となります。

AAA を使用すると、アクセスリストだけを使用する場合に比べ、より高度な機能を通じてユーザ アクセスの保護や制御を行うことができます。たとえば、DMZ ネットワーク上に存在するサーバ上の Telnet に、すべての外部ユーザがアクセスできるようにするアクセスリストを作成できます。また、サーバへのアクセスを一部のユーザに限定する必要があるものの、それらのユーザの IP アドレスを常に把握しているとは限らない場合には、AAA を使用すれば、認証済みまたは認可済み(あるいはその両方)のユーザに限り、セキュリティ アプライアンスを介してサーバへアクセスすることを許可されるようにできます (Telnet サーバでも、認証は実行されます。そのためセキュリティ アプライアンスでは、認可されないユーザがサーバにアクセスできないようにします)。

認証機能は、単独で使用することも、認可やアカウンティングの機能と連携して使用することもできます。認可を行う場合は必ず、それに先立ってユーザの認証が行われている必要があります。アカウンティング機能についても、単独で使用できるほか、認証や認可の機能と連携して使用することもできます。

この項は、次の内容で構成されています。

「認証について」

「認可について」

「アカウンティングについて」

認証について

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。ユーザ クレデンシャルには通常、ユーザ名とパスワードが使用されます。セキュリティ アプライアンスでは、次の項目について認証が行われるように設定できます。

次のセッションを含む、セキュリティ アプライアンスへのすべての管理接続

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

VPN 管理アクセス

enable コマンド

ネットワーク アクセス

VPN アクセス

認可について

認可では、ユーザ認証後、 ユーザごと にアクセスを制御します。セキュリティ アプライアンスでは、次の項目について認可が行われるように設定できます。

管理コマンド

ネットワーク アクセス

VPN アクセス

認可では、各認証済みユーザが使用可能なサービスおよびコマンドを制御します。認可をイネーブルにしていない場合は、認証だけが実行され、認証されたユーザに付与されるサービスへのアクセス権限は、すべて同じ内容となります。

認可による制御が必要な場合は、認証ルールを大まかに設定し、認可の設定を詳細に行います。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザに対しては認証を行い、特定のユーザがアクセスできる外部サーバは認可によって制限します。

セキュリティ アプライアンスでは、ユーザごとに最初の 16 個の認可要求がキャッシュされるため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合でも、セキュリティ アプライアンスから認可サーバに要求が再送信されることはありません。

アカウンティングについて

アカウンティングでは、ユーザ アクティビティを記録できるように、セキュリティ アプライアンスを通過するトラフィックが追跡されます。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでセキュリティ アプライアンスを経由したバイト数、使用されたサービス、およびセッションの継続時間が含まれます。

AAA サーバとローカル データベースのサポート

セキュリティ アプライアンスでは、さまざまな AAA サーバ タイプと、セキュリティ アプライアンスに保存されているローカル データベースがサポートされています。この項では、各 AAA サーバ タイプとローカル データベースのサポートについて説明します。

この項は、次の内容で構成されています。

「サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「HTTP Forms による Web VPN の SSO サポート」

「ローカル データベースのサポート」

サポートの要約

表 16-1 は、各 AAA サービスのサポート状況を、ローカル データベースを含む AAA サーバ タイプ別にまとめたものです。特定の AAA サーバ タイプのサポートに関する詳細については、表に続く各項目を参照してください。

 

表 16-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form
認証の対象

VPN ユーザ

あり

あり

あり

あり

あり

あり

あり

あり1

ファイアウォール セッション

あり

あり

あり

あり

あり

あり

あり

なし

管理者

あり

あり

あり

あり2

あり

あり

あり

なし

認可の対象

VPN ユーザ

あり

あり

なし

なし

なし

なし

あり

なし

ファイアウォール セッション

なし

あり3

あり

なし

なし

なし

なし

なし

管理者

あり4

なし

あり

なし

なし

なし

なし

なし

アカウンティングの対象

VPN 接続

なし

あり

あり

なし

なし

なし

なし

なし

ファイアウォール セッション

なし

あり

あり

なし

なし

なし

なし

なし

管理者

なし

あり5

あり

なし

なし

なし

なし

なし

1.HTTP Form プロトコルでは、WebVPN ユーザに限って、シングル サインオン認証がサポートされます。

2.HTTP 管理アクセスに関しては、SDI はサポートされていません。

3.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセスリストを使用する場合に限ってサポートされます。このアクセスリストは RADIUS 認証応答で受信または指定されます。

4.ローカル コマンド認可は、特権レベルに限りサポートされます。

5.コマンド アカウンティングは TACACS+ に限り有効です。

RADIUS サーバのサポート

セキュリティ アプライアンスは、RADIUS サーバをサポートしています。

この項は、次の内容で構成されています。

「認証方式」

「アトリビュートのサポート」

「RADIUS 認可機能」

認証方式

セキュリティ アプライアンスは、RADIUS による次の認証方式をサポートしています。

PAP:全接続タイプ共用。

CHAP:L2TP-over-IPSec 用。

MS-CHAPv1:L2TP-over-IPSec 用。

MS-CHAPv2:L2TP-over-IPSec 用、およびパスワード管理機能がイネーブルの場合は通常の IPSec リモート アクセス接続用。

アトリビュートのサポート

セキュリティ アプライアンスは、次の RADIUS アトリビュート セットをサポートしています。

RFC 2138 で定義されている認証アトリビュート

RFC 2139 で定義されているアカウンティング アトリビュート

RFC 2868 で定義されている、トンネル プロトコル サポート用の RADIUS アトリビュート

RADIUS ベンダー ID 9 で識別される Cisco IOS VSA

RADIUS ベンダー ID 3076 で識別される Cisco VPN 関連 VSA

RFC 2548 で定義されている Microsoft VSA

RADIUS 認可機能

セキュリティ アプライアンスでは、RADIUS サーバを使用して、ダイナミック アクセスリストまたはユーザごとのアクセスリスト名に基づくネットワーク アクセスのユーザ認可を行うことができます。ダイナミック アクセスリストを実装するには、ダイナミック アクセスリストをサポートするように RADIUS サーバを設定する必要があります。ユーザの認証時には、ダウンロード可能なアクセスリストまたはアクセスリスト名が RADIUS サーバからセキュリティ アプライアンスに送信されます。サービスへのアクセスは、アクセスリストによって許可または拒否されます。アクセスリストは、認証セッションの期限が切れた時点で、セキュリティ アプライアンスにより削除されます。

TACACS+ サーバのサポート

セキュリティ アプライアンスは、ASCII、PAP、CHAP、および MS-CHAPv1 による TACACS+ 認証をサポートしています。

SDI サーバのサポート

RSA SecurID サーバは SDI サーバとも呼ばれます。

この項は、次の内容で構成されています。

「SDI バージョンのサポート」

「2 段階の認証プロセス」

「SDI プライマリ サーバと SDI レプリカ サーバ」

SDI バージョンのサポート

セキュリティ アプライアンスは、SDI バージョン 5.0 および 6.0 をサポートしています。SDI には、SDI プライマリ サーバおよび SDI レプリカ サーバという概念があります。各プライマリとそのレプリカは 1 つのノード シークレット ファイルを共有します。ノード シークレット ファイルの名前は、ACE/サーバの IP アドレスを表す 16 進値の後に「.sdi」が付加された形式で付けられています。

セキュリティ アプライアンスに設定するバージョン 5.0 または 6.0 の SDI サーバは、プライマリでもレプリカでも構いません。SDI エージェントにおいてユーザを認証するためのサーバを選択する方法の詳細については、「SDI プライマリ サーバと SDI レプリカ サーバ」を参照してください。

2 段階の認証プロセス

SDI バージョン 5.0 および 6.0 では、2 段階のプロセスにより、侵入者が RSA SecurID 認証要求から情報を取得して別のサーバでの認証に使用するのを防止します。エージェントでは、ユーザ認証要求が送信される前に、SecurID サーバへロック要求が送信されます。サーバではユーザ名がロックされます。これにより、そのユーザ名は別のサーバ(レプリカ サーバ)に受け入れられなくなります。これは、同じユーザが同じ認証サーバを使用して同時に 2 つのセキュリティ アプライアンスから認証を受けられないことを意味します。ユーザ名が正常にロックされると、セキュリティ アプライアンスからパスコードから送信されます。

SDI プライマリ サーバと SDI レプリカ サーバ

セキュリティ アプライアンスでは、設定されているサーバ(プライマリとレプリカのどちらでも可)で最初のユーザが認証された時点で、サーバ リストが取得されます。さらにセキュリティ アプライアンスでは、リストの各サーバに優先順位が割り当てられ、それ以降は割り当てられた優先順位に基づいてサーバがランダムに選択されます。優先順位が最も高いサーバは、選択される可能性が最も高くなります。

NT サーバのサポート

セキュリティ アプライアンスは、NTLM バージョン 1 をサポートする Microsoft Windows サーバ オペレーティング システム(NT サーバと総称される)をサポートしています。


) NT サーバで使用できるユーザ パスワードの長さは最長 14 文字です。それより長いパスワードについては、14 文字を超える部分が切り捨てられます。これは NTLM バージョン 1 の制限です。


Kerberos サーバのサポート

セキュリティ アプライアンスは、3DES、DES、および RC4 の暗号タイプをサポートしています。


) セキュリティ アプライアンスでは、トンネル ネゴシエーション中のユーザ パスワードの変更はサポートされていません。このような事態が不用意に発生するのを避けるため、セキュリティ アプライアンスに接続するユーザに対しては Kerberos/Active Directory サーバのパスワード期限をディセーブルにします。


LDAP サーバのサポート

この項では、LDAP サーバのサポートについて説明します。説明する内容は次のとおりです。

「LDAP による認証」

「SASL による LDAP 認証のセキュリティ確保」

「LDAP サーバのタイプ」

「VPN に対する LDAP 認可」

LDAP による認証

認証時、セキュリティ アプライアンスは、ユーザに対して LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストか、Simple Authentication and Security Layer(SASL)プロトコルを使用して LDAP サーバの認証を受けます。セキュリティ アプライアンスから LDAP サーバへ認証パラメータ(通常はユーザ名とパスワード)が渡される際、デフォルトでは、プレーン テキストが使用されます。SASL とプレーン テキストのどちらを使用する場合でも、セキュリティ アプライアンスと LDAP サーバの間での通信のセキュリティは SSL で確保されます。


) SASL を設定しない場合は、SSL を使用して LDAP 通信のセキュリティを確保することを強くお勧めします。


ユーザの LDAP 認証が正常に終了すると、LDAP サーバからは、認証されたユーザのアトリビュートが返されます。VPN 認証の場合、これらのアトリビュートには通常、VPN セッションに適用される認可データが含まれます。このため、LDAP を使用すると、認証と認可が 1 つの手順で完了します。

SASL による LDAP 認証のセキュリティ確保

セキュリティ アプライアンスでは、次の SASL メカニズムがサポートされています。セキュリティ機能は下に記載されているものほど強力です。

Digest-MD5:セキュリティ アプライアンスから LDAP サーバへの応答には、ユーザ名およびパスワードから計算された MD5 値が使用されます。

Kerberos:セキュリティ アプライアンスから LDAP サーバへの応答の際には、Kerberos の GSSAPI(Generic Security Services Application Programming Interface)メカニズムを使用して、ユーザ名および領域が送信されます。

セキュリティ アプライアンスおよび LDAP サーバでは、これらの SASL メカニズムを組み合せて使用できるように設定することも可能です。その場合、セキュリティ アプライアンスでは、サーバ上に設定されている SASL メカニズムのリストが取得され、セキュリティ アプライアンスとサーバの双方に設定されている最も強力なメカニズムが、認証メカニズムとして設定されます。たとえば、LDAP サーバとセキュリティ アプライアンスが両メカニズムをサポートしている場合、セキュリティ アプライアンスでは、より強力なセキュリティ機能を持つ Kerberos が選択されます。

LDAP サーバのタイプ

セキュリティ アプライアンスは、LDAP バージョン 3 をサポートしており、Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)や Microsoft Active Directory など、さまざまな LDAPv3 ディレクトリ サーバとの互換性を持ちます。

セキュリティ アプライアンスでは、デフォルトで、Microsoft Active Directory、Sun LDAP ディレクトリ サーバ、またはその他の LDAPv3 ディレクトリ サーバに接続しているかどうかが自動的に検出されます。ただし、自動検出により LDAP サーバのタイプが特定できなくても、そのサーバが、Microsoft Active Directory、Sun LDAP ディレクトリ サーバ、それ以外の LDAP サーバのいずれであるかがわかっている場合は、そのサーバ タイプを手動で設定できます。


) • Sun:Sun ディレクトリ サーバにアクセスする DN をセキュリティ アプライアンス上で設定する場合、その DN はサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN には、ディレクトリ管理者、またはディレクトリ管理権限を持ったユーザを指定することをお勧めします。ただし、デフォルト パスワード ポリシーに ACI を配置することもできます。

Microsoft:Microsoft Active Directory によるパスワード管理がイネーブルになるように、LDAP over SSL を設定する必要があります。

その他:セキュリティ アプライアンスでは、Sun および Microsoft 以外の LDAPv3 ディレクトリ サーバによるパスワード管理はサポートされていません。


 

VPN に対する LDAP 認可

VPN アクセスに対するユーザの LDAP 認可が正常に実行されると、セキュリティ アプライアンスでは、LDAP アトリビュートを返す LDAP サーバに対してクエリーが行われます。これらのアトリビュートには通常、VPN セッションに適用される認可データが含まれています。このため、LDAP を使用すると、認証と認可が 1 つの手順で完了します。

ただし、認証とは別に、LDAP ディレクトリ サーバによる認可が必要となる場合もあります。たとえば、SDI または証明書サーバを使用して認証を行う場合、認可情報は一切返されません。したがって、この場合にユーザ認可を実行するには、認証が正常に実行された後に、LDAP ディレクトリに対してクエリーを行う必要があるため、結果として認証と認可は 2 段階の手順で実行されることになります。

HTTP Forms による Web VPN の SSO サポート

セキュリティ アプライアンスでは、WebVPN ユーザのシングル サインオン(SSO)認証に限って HTTP Form プロトコルを使用できます。シングル サインオンのサポートにより、WebVPN ユーザはユーザ名とパスワードを 1 回だけ入力すれば、保護された複数のサービスと Web サーバにアクセスできます。セキュリティ アプライアンス上で実行されている WebVPN サーバは、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、WebVPN サーバでは、HTTPS を使用して、ユーザ名とパスワードを含む SSO 認証要求が認証サーバへ送信されます。認証要求がサーバに受け入れられると、SSO 認証クッキーが WebVPN サーバへ返信されます。セキュリティ アプライアンスでは、このクッキーがユーザの代理として保持されます。このクッキーを使用してユーザ認証が行われることで、SSO サーバで保護されているドメイン内部の Web サイトのセキュリティが確保されます。

WebVPN 管理者は、SSO の設定に対して、HTTP Form プロトコルのほかにも、基本 HTTP 認証プロトコルや NTLM 認証プロトコル( auto-signon コマンド)、あるいは Computer Associates eTrust SiteMinder SSL サーバ(旧 Netegrity SiteMinder)を選択できます。HTTP Forms、 auto-signon 、SiteMinder のいずれかを使用した SSO の設定に関する詳細については、「 クライアントレス SSL VPN」を参照してください。

ローカル データベースのサポート

セキュリティ アプライアンスでは、ユーザ プロファイルを取り込むことができるローカル データベースが管理されます。

この項は、次の内容で構成されています。

「ユーザ プロファイル」

「フォールバックのサポート」

ユーザ プロファイル

ユーザ プロファイルには、少なくともユーザ名が含まれています。通常は、パスワードがオプションであっても各ユーザ名にパスワードが割り当てられます。

username attributes コマンドを実行すると、ユーザ名モードになります。このモードでは、特定のユーザ プロファイルにユーザ名以外の情報を追加できます。追加できる情報には、VPN セッション タイムアウト値など VPN 関連のアトリビュートなどがあります。

フォールバックのサポート

ローカル データベースは、複数の機能のフォールバック方式として機能できます。この動作は、セキュリティ アプライアンスから誤ってロックアウトされないようにするためのものです。

フォールバック サポートを必要とするユーザに対しては、ローカル データベースと AAA サーバのそれぞれで使用するユーザ名およびパスワードを一致させることをお勧めします。これにより、トランスペアレント フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかを判別できないため、ローカル データベースと AAA サーバとで使用するユーザ名およびパスワードが異なると、どちらのユーザ名とパスワードを使用すべきかを判断できなくなります。

ローカル データベースは次のフォールバック機能をサポートしています。

コンソールおよびイネーブル パスワード認証 aaa authentication console コマンドを使用する場合は、AAA サーバ グループ タグの後に LOCAL キーワードを追加できます。グループに含まれるサーバがすべて使用不可の場合、セキュリティ アプライアンスではローカル データベースを使用して管理アクセスの認証が行われます。またこの場合には、イネーブル パスワード認証が行われることもあります。

コマンド認可 aaa authorization command コマンドを使用する場合は、AAA サーバ グループ タグの後に LOCAL キーワードを追加できます。グループに含まれる TACACS+ サーバがすべて使用不可の場合は、ローカル データベースを使用して、特権レベルに基づいたコマンドの認可が行われます。

VPN 認証および VPN 認可:VPN 認証および VPN 認可がサポートされているのは、通常これらの VPN サービスをサポートしている AAA サーバが使用不可の場合でも、セキュリティ アプライアンスへリモート アクセスできるようにするためです。トンネルグループ一般アトリビュートで使用できる authentication-server-group コマンドを実行すると、トンネル グループのアトリビュートを設定する際に LOCAL キーワードを指定できます。管理者の VPN クライアントが、ローカル データベースへのフォールバックが設定されたトンネル グループを指定している場合、ローカル データベースに必要なアトリビュートが設定されていれば、AAA サーバ グループが使用不可の場合でも、VPN トンネルを確立できます。

AAA サーバ グループの設定

認証、認可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルごとに少なくとも 1 つの AAA サーバ グループを作成し、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別します。各サーバ グループには、1 つのサーバ タイプ(Kerberos、LDAP、NT、RADIUS、SDI、TACACS+ のいずれか)だけが含まれます。

セキュリティ アプライアンスからの接続先となるのは、グループ内の最初のサーバです。そのサーバが使用できない場合、グループ内に次のサーバが設定されていれば、そのサーバがセキュリティ アプライアンスの接続先となります。グループ内のすべてのサーバが使用できない場合、ローカル データベースがフォールバック方式として設定されていれば、セキュリティ アプライアンスではローカル データベースに対して接続が試行されます(管理認証および管理認可に限る)。フォールバック方式がない場合、セキュリティ アプライアンスでは引き続き AAA サーバへの接続が試行されます。

この項は、次の内容で構成されています。

「サーバ グループの追加」

「グループへのサーバの追加」

「AAA サーバのパラメータ」

サーバ グループの追加

セキュリティ コンテキストを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] を選択します。

ステップ 2 [AAA Server Groups] 領域で、 [Add] をクリックします。

[Add AAA Server Group] ダイアログボックスが表示されます。

ステップ 3 [Server Group] フィールドで、グループの名前を追加します。

ステップ 4 [Protocol] ドロップダウン リストから、次のいずれかのサーバ タイプを選択します。

RADIUS

TACACS+

SDI

NT Domain

Kerberos

LDAP

HTTP Form

ステップ 5 [Accounting Mode] フィールドで、目的のモードに対応するオプション ボタン( [Simultaneous] または [Single] )をクリックします。

[Single] モードの場合、セキュリティ アプライアンスではアカウンティング データが 1 つのサーバにだけ送信されます。

[Simultaneous] モードの場合、セキュリティ アプライアンスではアカウンティング データがグループ内のすべてのサーバに送信されます。


) このオプションは、HTTP Form、sdi、NT、Kerberos、および LDAP の各プロトコルに対しては使用できません。


ステップ 6 [Reactivation Mode] フィールドで、目的のモードに対応するオプション ボタン( [Depletion] または [Timed] )をクリックします。

[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。

[Timed] モードの場合、障害が発生したサーバは 30 秒間停止した後で再アクティブ化されます。

ステップ 7 [Depletion] 再アクティブ化モードを選択した場合は、[Dead Time] フィールドに時間間隔を指定します。

[Dead Time] には、グループ内の最後のサーバがディセーブルになってから、すべてのサーバが再びイネーブルになるまでの時間間隔を分単位で指定します。

ステップ 8 [Max Failed Attempts] フィールドに、許容される試行の失敗回数を指定します。

このオプションで設定するのは、応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数です。

ステップ 9 (オプション)RADIUS サーバのタイプを追加する場合には、オプションとして次のような設定が可能です。

a. SSL クライアントレス セッションおよび AnyConnect セッションに対して、マルチセッション アカウンティングをイネーブルにする場合は、 [Enable interim accounting update] チェックボックスをオンにします。

b. [VPN3K Compatibility Option] をクリックしてリストを展開し、さらに次のいずれかのオプション ボタンをクリックして、RADIUS から受け取ったダウンロード可能な ACL を、Cisco AV-Pair ACL とマージするかどうかを指定します。

[Do not merge]

[Place the downloadable ACL after Cisco AV-pair ACL]

[Place the downloadable ACL after Cisco AV-pair ACL]

ステップ 10 [OK] をクリックします。

ダイアログボックスが閉じ、サーバ グループが [AAA server groups] テーブルに追加されます。

ステップ 11 変更内容を保存する場合は、[AAA Server Groups] ダイアログボックスで、 [Apply] をクリックします。

これにより、変更内容が保存されます。


 

グループへのサーバの追加

AAA サーバをグループに追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] を選択し、[AAA Server Groups] 領域で、サーバを追加するサーバ グループをクリックします。

テーブル内の該当する行が選択されます。

ステップ 2 [Selected Group] 領域の [Servers](下部ペイン)で、 [Add] をクリックします。

サーバ グループに対応する [Add AAA Server Group] ダイアログボックスが表示されます。

ステップ 3 [Interface Name] ドロップダウン メニューから、認証サーバが常駐するインターフェイスの名前を選択します。

ステップ 4 [Server Name] フィールドまたは [IP Address] フィールドに、グループに追加するサーバの名前または IP アドレスを入力します。

ステップ 5 [Timeout] フィールドで、タイムアウト値を入力します。デフォルト値をそのまま使用することもできます。[Timeout] フィールドには、バックアップ サーバへ要求を送信したセキュリティ アプライアンスが、プライマリ サーバからの応答を待機する時間を秒単位で指定します。

ステップ 6 使用できるその他のパラメータは、サーバのタイプにより異なります。各サーバ タイプに特化したパラメータについては、次の各項目を参照してください。

「RADIUS サーバのフィールド」

「TACACS+ サーバのフィールド」

「SDI サーバのフィールド」

「Windows NT ドメイン サーバのフィールド」

「Kerberos サーバのフィールド」

「LDAP サーバのフィールド」

「HTTP Form サーバのフィールド」

ステップ 7 [OK] をクリックします。

ダイアログボックスが閉じ、AAA サーバ グループに AAA サーバが追加されます。

ステップ 8 変更内容を保存する場合は、[AAA Server Groups] ペインで、 [Apply] をクリックします。

これにより、変更内容が保存されます。


 

AAA サーバのパラメータ

次の各項では、サーバ グループにサーバを追加する際(「グループへのサーバの追加」を参照)に使用できるフィールドのうち、各サーバ タイプに特化したフィールドを表形式でまとめてあります。

「RADIUS サーバのフィールド」

「TACACS+ サーバのフィールド」

「SDI サーバのフィールド」

「Windows NT ドメイン サーバのフィールド」

「Kerberos サーバのフィールド」

「LDAP サーバのフィールド」

「HTTP Form サーバのフィールド」

RADIUS サーバのフィールド

次の表は、RADIUS サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Server Authentication Port]

ユーザの認証に使用するサーバ ポートを指定します。
デフォルト ポートは 1645 です。

[Server Accounting Port]

ユーザのアカウンティングに使用するサーバ ポートを指定します。
デフォルト ポートは 1646 です。

[Retry Interval]

セキュリティ アプライアンスからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

[Server Secret Key]

セキュリティ アプライアンスで RADIUS サーバを認証する際に使用される共有秘密鍵を指定します。ここで設定したサーバ秘密鍵は、RADIUS サーバで設定されたサーバ秘密鍵と一致する必要があります。サーバ秘密鍵が不明の場合は、RADIUS サーバの管理者に問い合せてください。最大フィールド長は、64 文字です。

[Common Password]

セキュリティ アプライアンスを介して RADIUS 認可 サーバにアクセスするユーザに共通のパスワードを指定します。このパスワードは大文字と小文字が区別されます。この情報は、必ず RADIUS サーバの管理者に伝えてください。

(注) RADIUS 認証サーバ(認可サーバではない)に対しては、共通のパスワードは設定しないでください。

このフィールドをブランクのままにした場合は、RADIUS 認可 サーバにアクセスする際のパスワードには、各ユーザのユーザ名が使用されます。

RADIUS 認可サーバを認証に使用することは避けてください。共通パスワードやユーザ名を転用したパスワードは、ユーザごとに一意のパスワードに比べ、安全性が低くなります。

(注) このパスワードは、RADIUS プロトコルや RADIUS サーバによって要求されますが、ユーザが知っている必要はありません。

[ACL Netmask Convert]

ダウンロード可能なアクセスリストから受け取ったネットマスクをセキュリティ アプライアンスでどのように処理するかを指定します。

[Detect automatically]:セキュリティ アプライアンスでは、使用されているネットマスク表現のタイプが判定されます。ワイルドカード ネットマスク表現が検出された場合、そのネットマスク表現は標準ネットマスク表現に変換されます。


) 一部のワイルドカード表現は明確な検出が困難なため、この設定を選択した場合には、ワイルドカード ネットマスク表現が誤って標準ネットマスク表現として検出されることもあります。


[Standard]:セキュリティ アプライアンスでは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストには標準ネットマスク表現だけが含まれていると見なされます。ワイルドカード ネットマスク表現から標準ネットマスク表現への変換は行われません。

[Wildcard]:セキュリティ アプライアンスでは、RADIUS サーバから受け取ったダウンロード可能なアクセスリストには、ワイルドカード ネットマスク表現だけが含まれていると見なされ、アクセスリストがダウンロードされた時点で、それらはすべて標準ネットマスク表現に変換されます。

[Microsoft CHAPv2 Capable]

二重認証を使用し、トンネル グループでのパスワード管理をイネーブルにすると、プライマリ認証要求およびセカンダリ認証要求には、MS-CHAPv2 要求アトリビュートが含まれます。RADIUS サーバが MS-CHAPv2 をサポートしていない場合、このチェックボックスをオンにすれば、そのサーバから非 MS-CHAPv2 認証要求が送信されるようにできます。

TACACS+ サーバのフィールド

次の表は、TACACS+ サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Server Port]

このサーバで使用するポートを指定します。

[Server Secret Key]

セキュリティ アプライアンスで TACACS+ サーバを認証する際に使用される共有秘密鍵を指定します。ここで設定したサーバ秘密鍵は、TACACS+ サーバで設定されたサーバ秘密鍵と一致する必要があります。サーバ秘密鍵が不明の場合は、RADIUS サーバの管理者に問い合せてください。最大フィールド長は、64 文字です。

SDI サーバのフィールド

次の表は、SDI サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Server Port]

このサーバへのアクセスに使用される TCP ポート番号を指定します。

[Retry Interval]

セキュリティ アプライアンスからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

Windows NT ドメイン サーバのフィールド

次の表は、Windows NT ドメイン サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Server Port]

ポート番号 139、またはセキュリティ アプライアンスにおいて Windows NT サーバとの通信に使用される TCP ポート番号を指定します。

[Domain Controller]

このサーバの NT プライマリ ドメイン コントローラのホスト名(15 文字以下)を指定します (PDC01 など)。ここに入力する名前は、[Authentication Server Address] フィールドに IP アドレスを入力したサーバのホスト名に一致している必要があります。一致していないと、認証は失敗します。

Kerberos サーバのフィールド

次の表は、Kerberos サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Server Port]

サーバ ポート番号 88、またはセキュリティ アプライアンスにおいて Kerberos サーバとの通信に使用される UDP ポート番号を指定します。

[Retry Interval]

セキュリティ アプライアンスからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

[Realm]

Kerberos 領域の名前を指定します。次の例を参考にしてください。

EXAMPLE.COM

EXAMPLE.NET

EXAMPLE.ORG


) Kerberos サーバではほとんどの場合、認証を正常に実行するための必要条件として、領域名はすべて大文字で指定する必要があります。


最大長は 64 文字です。次のタイプのサーバでは、領域名をすべて大文字で入力する必要があります。

Windows 2000

Windows XP

Windows.NET

ここに入力する名前は、[Server IP Address] フィールドに IP アドレスを入力したサーバの領域名に一致している必要があります。

LDAP サーバのフィールド

次の表は、LDAP サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Enable LDAP over SSL] チェックボックス

このチェックボックスをオンにすると、セキュリティ アプライアンスと LDAP サーバとの間で行われる通信のセキュリティが SSL によって確保されます。セキュア LDAP(LDAP-S)とも呼ばれます。

(注) SASL プロトコルを設定しない場合は、SSL を使用して LDAP 通信のセキュリティを確保することを強くお勧めします。

[Server Port]

セキュリティ アプライアンスから LDAP サーバへアクセスする際、単純認証(セキュアでない認証)に使用される TCP ポート番号 389 またはセキュアな認証(LDAP-S)に使用される TCP ポート番号 636 を指定します。

LDAP サーバはすべて、認証および認可をサポートしています。Microsoft AD サーバおよび Sun LDAP サーバに限っては、さらに、LDAP-S を必要とする VPN リモート アクセス パスワード管理機能もサポートしています。

[Server type]

このドロップダウン リストでは、次の LDAP サーバ タイプの中からいずれか 1 つを選択します。

[Detect Automatically/Use Generic Type]

[Microsoft]

[Novell]

[OpenLDAP]

[Sun]

[Base DN]

ベース認定者名(DN)、または LDAP 要求を受け取ったサーバで検索が開始される LDAP 階層内の位置を指定します (例:OU=people, dc=cisco, dc=com)。

[Scope]

認可要求を受け取ったサーバで行われる検索の範囲を指定します。次のオプションを選択できます。

[One Level]:ベース DN の 1 つ下のレベルだけが検索対象となります。このオプションを選択すると、検索の実行時間が短縮されます。

[All Levels]:ベース DN の下にあるすべてのレベル(つまりサブツリー階層全体)が検索対象となります。このオプションを選択すると、検索の実行に時間がかかります。

[Naming Attribute(s)]

LDAP サーバのエントリを一意に識別する Relative Distinguished Name アトリビュートを指定します(複数可)。共通の名前付きアトリビュートは、Common Name(CN)、sAMAccountName、userPrincipalName、および User ID(uid)です。

[Login DN]

セキュリティ アプライアンスでは、ログイン認定者名(DN)およびログイン パスワードを使用して、LDAP サーバとのトラスト(バインド)が確立されます。ログイン DN は、管理者がバインディングに使用する LDAP サーバ内のユーザ レコードを表します。

バインディングの際、サーバでは、ログイン DN およびログイン パスワードに基づいてセキュリティ アプライアンスの認証が行われます。(認証、認可、グループ検索の際などに)Microsoft Active Directory の読み取り専用処理を実行する場合、セキュリティ アプライアンスでは、権限の少ないログイン DN を使用してバインドできます。たとえば、AD グループ(memberOf アトリビュート)が「Domain Users」に指定されているユーザをログイン DN として使用できます。VPN パスワード管理操作を行う場合、ログイン DN は、権限が昇格されるととにも、アカウント オペレータ AD グループに属する必要があります。

次に、ログイン DN の例を示します。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com
 

セキュリティ アプライアンスでは、次の認証メカニズムがサポートされています。

暗号化されていないパスワードを使用したポート 389 上での単純 LDAP 認証

ポート 636 上でのセキュア LDAP(LDAP-S)

単純認証およびセキュリティ レイヤ(SASL)MD5

SASL Kerberos

セキュリティ アプライアンスでは、匿名認証はサポートされていません。

[Login Password]

ログイン DN ユーザ アカウントのパスワードを指定します。入力した文字はアスタリスクに置き換えられます。

[LDAP Attribute Map]

LDAP サーバに適用できる LDAP アトリビュート マップを指定します。このアトリビュート マップは、シスコのアトリビュートの名前を、ユーザ定義アトリビュートの名前および値にマップする際に使用します。「LDAP アトリビュート マップの設定」を参照してください。

[SASL MD5 authentication] チェックボックス

このチェックボックスをオンにすると、セキュリティ アプライアンスと LDAP サーバとの間の通信に対して、単純認証およびセキュリティ レイヤ(SASL)の MD5 メカニズムによる認証が行われます。

[SASL Kerberos authentication]

このチェックボックスをオンにすると、SASL の Kerberos メカニズムによって、セキュリティ アプライアンスと LDAP サーバとの間で行われる認証通信のセキュリティが確保されます。

[Kerberos Server Group]

認証に使用する Kerberos サーバまたは Kerberos サーバ グループを指定します。[Kerberos Server Group] オプションはデフォルトでディセーブルになっており、SASL Kerberos 認証が選択された場合だけイネーブルになります。

[Group Base DN]

LDAP プロトコルが使用される Active Directory サーバに対してだけ使用します。この DN により、LDAP 階層内で AD グループの検索を開始する位置が指定されます。つまり、memberOf のリストの検索を開始する位置が指定されます。このフィールドの設定を行わない場合、セキュリティ アプライアンスでは、AD グループの取得にベース DN が使用されます。

ASDM では、取得した AD グループのリストに基づいて、ダイナミック アクセス ポリシーの AAA 選択基準が定義されます。詳細については、『CLI Command Reference Guide』の 「 show ad-groups コマンド」の項を参照してください。

[Group Search Timeout]

使用できるグループについてのクエリーに対して Active Directory サーバから応答があるまでの最長待機時間を指定します。

HTTP Form サーバのフィールド

この領域は、選択したサーバ グループで HTTP Form が使用されているときに限って表示されます。この領域に表示されるのは、サーバ グループ名およびプロトコルだけです。HTTP Form を使用している場合、他のフィールドは使用できません。

次のパラメータが不明の場合は、セキュリティ アプライアンスを介さず認証 Web サーバへ直接ログインしているときに、HTTP ヘッダー アナライザを使用して GET および POST による HTTP 交換からデータを抽出します。これらのパラメータを HTTP 交換から抽出する方法については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次の表は、HTTP Form サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Start URL]

事前ログイン クッキーが取得できる認証 Web サーバの場所を表す完全 URL を指定します。このパラメータは、ログイン ページとともに事前ログイン クッキーが認証 Web サーバへロードされる場合以外は、設定する必要はありません。ドロップダウン リストには、HTTP と HTTPS の両方が表示されます。入力できる最大文字数は 1024 文字で、最小文字数の制限はありません。

[Action URI]

認可 Web サーバ上の認証プログラムの完全 URI を指定します。完全 URI の最大文字数は 2048 文字です。

[Username]

SSO 認証に使用される HTTP フォームの一部として送信する必要があるユーザ名パラメータの名前(特定のユーザ名ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

[Password]

SSO 認証に使用される HTTP フォームの一部として送信する必要があるユーザ パスワード パラメータの名前(特定のパスワード値ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

[Hidden Values]

SSO 認証用として認証 Web サーバに送信される HTTP POST 要求の非表示パラメータを指定します。HTTP POST 要求内に含まれることからもわかるように、このパラメータは認証 Web サーバから要求があった場合に限り必要となります。入力できる最大文字数は 2048 文字です。

[Authentication Cookie Name]

(オプション)正常にログインが行われた際、サーバによって認証情報を保存するために設定されるクッキーの名前を指定します。Web サーバから返される他のクッキーと区別しやすいよう、認証クッキーに対して意味のある名前を割り当てる場合に使用されます。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

サーバによる認証および認可のテスト

セキュリティ アプライアンスにおいて AAA サーバへのアクセスやユーザの認証および認可が実行できるかどうかを判定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [AAA Server Groups] テーブルで、サーバが含まれるサーバ グループをクリックします。

テーブル内の該当する行が選択されます。

ステップ 2 [Selected Group] テーブルの [Servers] から、テストするサーバをクリックします。

テーブル内の該当する行が選択されます。

ステップ 3 [Test] をクリックします。

そのサーバに対応する [Test AAA Server] ダイアログボックスが表示されます。

ステップ 4 実行するテストのタイプ( [Authentication] または [Authorization] )をクリックします。

ステップ 5 [Username] フィールドにユーザ名を入力します。

ステップ 6 認証をテストする場合は、そのユーザ名に対応するパスワードを [Password] フィールドに入力します。

ステップ 7 [OK] をクリックします。

認証または認可のテスト メッセージがセキュリティ アプライアンスからサーバへ送信されます。テストが失敗した場合は、ASDMによりエラー メッセージが表示されます。


 

ユーザ アカウントの追加

次の各機能は、ローカル データベースを使用して実行されます。

ASDM ユーザごとのアクセス

デフォルトでは、ユーザ名のフィールドはブランクにしたまま、パスワードのフィールドにイネーブル パスワードを指定すれば ASDM にログインできます( 「デバイス名とデバイス パスワードの設定」 を参照)。ただし、ログイン画面で(ユーザ名のフィールドをブランクにせず)ユーザ名とパスワードを入力すると、ASDM ではそれらを照合するためにローカル データベースのチェックが行われます。


) ローカル データベースを使用する HTTP 認証を設定することもできますが、デフォルトではこの機能は常にイネーブルです。RADIUS サーバまたは TACACS+ サーバを認証に使用する場合は、HTTP 認証だけを設定します。


コンソール認証

Telnet 認証および SSH 認証

enable コマンド認証

この設定は、CLI アクセスにだけ使用され、ASDM ログインには影響しません。

コマンド認可

ローカル データベースを使用するコマンド認可を有効にすると、セキュリティ アプライアンスでは、ユーザ特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド認可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。ASDM には、コマンドへの割り当てをイネーブルにできる特権レベルが事前に定義されています。割り当てることができるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。事前定義済みのレベルを使用する場合は、ユーザを 3 種類の特権レベルのいずれかに割り当てます。

ネットワーク アクセス認証

VPN クライアント認証

ネットワーク アクセス認可には、ローカル データベースは使用できません。

マルチ コンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカル データベースを参照する AAA ルールは設定できません。

ユーザ アカウントをセキュリティ アプライアンスのローカル データベースに追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] ペインで、 [Add] をクリックします。

[Add User Account--Identity] ダイアログボックスが表示されます。

ステップ 2 [Username] フィールドに、4 ~ 64 文字の間でユーザ名を入力します。

ステップ 3 [Password] フィールドに、3 ~ 32 文字の間でパスワードを入力します。パスワードは、大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。セキュリティ保護のため、パスワードは 8 文字以上にすることをお勧めします。

ステップ 4 [Confirm Password] フィールドで、パスワードを再入力します。

セキュリティ上の理由から、パスワードを入力するこの 2 つのフィールドには、アスタリスクだけが表示されます。

ステップ 5 MSCHAP 認証をイネーブルにする場合は、 [User authenticated using MSCHAP] チェックボックスをオンにします。

このオプションを指定すると、入力したパスワードが unicode に変換され、MD4 でハッシュ化されます。MSCHAPv1 または MSCHAPv2 を使用してユーザを認証する場合は、この機能を使用します。

ステップ 6 ユーザが属する VPN グループを指定する場合は、[Member of] フィールドにグループ名を入力し、 [Add] をクリックします。

VPN グループを削除する場合は、ウィンドウ内からグループを選択し、 [Delete] をクリックします。

ステップ 7 [Access Restriction] 領域で、ユーザの管理アクセス レベルを設定します。まず、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] タブの [Perform authorization for exec shell access] オプションを使用して、管理認可をイネーブルにする必要があります。

次のいずれかのオプションを選択します。

[Full Access (ASDM, Telnet, SSH and console)] :ローカル データベースを使用した管理アクセスの認証を設定する場合、このオプションを指定するとユーザは ASDM、SSH、Telnet、およびコンソール ポートを使用できます。さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできます。

[Privilege Level] :ローカル コマンド認可でユーザに適用する特権レベルを選択します。0(最低)~ 15(最高)の範囲の値を指定します。

[CLI login prompt for SSH, Telnet and console (no ASDM access)] :ローカル データベースを使用した管理アクセスの認証を設定する場合、このオプションを指定するとユーザは SSH、Telnet、およびコンソール ポートを使用できます。ユーザは設定に ASDM を使用できません(HTTP 認証を設定している場合)。ASDM 監視は可能です。さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできません。

[No ASDM, SSH, Telnet, or console access] :ローカル データベースを使用した管理アクセスの認証を設定する場合、このオプションを指定すると、ユーザは認証用に設定した管理アクセス方式を利用できなくなります(ただし、[Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。

ステップ 8 このユーザに対して VPN ポリシー アトリビュートを設定する場合は、「ユーザに対する VPN ポリシー アトリビュートの設定」を参照してください。

ステップ 9 [Apply] をクリックします。

ユーザがセキュリティ アプライアンスのローカル データベースに追加され、変更内容が実行コンフィギュレーションに保存されます。


 


) [User Accounts] ペイン(「デバイス名とデバイス パスワードの設定」を参照)でイネーブル パスワードを設定する場合は、ユーザ名 enable_15 に対するパスワードを変更します。ユーザ名 enable_15 は常時このペインに表示されます。これがデフォルトのユーザ名です。この方法は、ASDM のシステム コンフィギュレーションでイネーブル パスワードを設定する唯一の方法です。CLI で他のイネーブル レベル パスワード(enable password 10 など)を設定すると、そのユーザ名は enable_10 という形式で表示されます。


ユーザに対する VPN ポリシー アトリビュートの設定

デフォルトでは、各ユーザは、VPN ポリシーの設定内容を継承します。この設定内容は、次の手順に従って VPN アトリビュートをカスタマイズすることにより、上書きできます。


ステップ 1 「ユーザ アカウントの追加」の手順に従ってユーザを追加していない場合は、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] ペインで、 [Add] をクリックします。

[Add User Account--Identity] ダイアログボックスが表示されます。

ステップ 2 左側のペインで、 [VPN Policy] をクリックします。

デフォルトでは、オプションごとに [Inherit] チェックボックスがオンになっています。これは、ユーザが VPN ポリシーから設定内容を継承していることを表しています。各設定内容を上書きする場合は、[Inherit] チェックボックスをオフにし、次の各項目に対して新しい値を設定します。

[Group Policy]:このリストからはグループ ポリシーを選択します。

[Tunneling Protocols]:ユーザが使用できるトンネリング プロトコルを指定するか、またはグループ ポリシーから値を継承するかどうかを指定します。目的の [Tunneling Protocols] チェックボックスをオンにし、ユーザが使用できる VPN トンネリング プロトコルを選択します。ユーザが使用できるのは、選択されているプロトコルだけです。選択肢は次のとおりです。

[IPSec]:IP セキュリティ プロトコル。IPSec は、VPN トンネルのアーキテクチャをほぼ完全に実現しており、最もセキュアなプロトコルとされています。IPSec は、LAN 間(ピアツーピア)接続に使用することも、クライアントと LAN との接続に使用することもできます。

[Clientless SSL VPN]:SSL/TLS を利用する VPN。Web ブラウザを使用して VPN コンセントレータへのセキュアなリモートアクセス トンネルを確立し、ソフトウェア クライアントもハードウェア クライアントも必要としません。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。

[SSL VPN Client]:Cisco AnyConnect Client アプリケーションのダウンロード後にユーザが接続できるようにします。ユーザは、最初にクライアントレス SSL VPN 接続を使用してこのアプリケーションをダウンロードします。ユーザが接続するたびに、必要に応じてクライアント アップデートが自動的に行われます。

[L2TP over IPSec]:多くの PC やモバイル PC に採用されている一般的なオペレーティング システムに付属の VPN クライアントを使用するリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。


) プロトコルを選択しなかった場合は、エラー メッセージが表示されます。


[IPv4 Filter/IPv6 Filter]:使用するフィルタを指定するか、またはグループ ポリシーの値を継承するかどうかを指定します。フィルタは、いくつかのルールで構成されています。これらのルールは、セキュリティ アプライアンスを介して受信されるトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどさまざまな基準に基づいて、許可するか拒否するかを決定するためのものです。フィルタおよびルールを設定する場合は、[Configuration] > [VPN] > [VPN General] > [Group Policy] ペインを参照してください。

[Manage]:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる [ACL Manager] ペインを表示します。

[Tunnel Group Lock]:トンネル グループ ロックがある場合、それを継承するかどうか、または選択したトンネル グループ ロックを使用するかどうかを指定します。特定のロックを選択すると、ユーザのリモート アクセスはこのグループだけに制限されます。[Tunnel Group Lock] では、VPN クライアントで設定されたグループと、そのユーザが割り当てられているグループが同じかどうかをチェックすることによって、ユーザが制限されます。同じでない場合、セキュリティ アプライアンスによりユーザの接続が遮断されます。[Inherit] チェックボックスがオフの場合、デフォルト値は [--None--] です。

[Store Password on Client System]:この設定をグループから継承するかどうかを指定します。[Inherit] チェックボックスをオフにすると、[Yes] および [No] のオプション ボタンが有効になります。[Yes] を選択すると、ログイン パスワードがクライアント システムに保存されます(セキュリティが低下する恐れのあるオプションです)。[No](デフォルト)を選択すると、ユーザは接続するたびにパスワードの入力を求められます。セキュリティを最大限に確保するためにも、パスワードの保存は許可しないことをお勧めします。VPN 3002 の場合、このパラメータは、対話型ハードウェア クライアント認証や個別ユーザ認証には適用されません。

ステップ 3 接続の設定を変更する場合は、 [Inherit] チェックボックスをオフにし、次の各項目に対して新しい値を設定します。

[Access Hours]:[Inherit] チェックボックスがオフになっている場合、このユーザに適用されるアクセス時間ポリシーがすでに存在する場合にはその名前を選択でき、存在しない場合には、新しいアクセス時間ポリシーを作成できます。デフォルト値は [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルト値は [--Unrestricted--] です。

[New]:[Add Time Range] ダイアログボックスが開きます。このダイアログボックスでアクセス時間の新規セットを指定できます。

[Simultaneous Logins]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、このユーザに許可される同時ログインの最大数を指定します。デフォルト値は 3 です。最小値は 0 です。0 を指定すると、ログインがディセーブルとなり、ユーザはアクセスできません。


) 最大値を設定て制限しておかない同時に多数の接続が許可されるため、セキュリティとパフォーマンスの低下を招く恐れがあります。


[Maximum Connect Time]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザの最大接続時間を分単位で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。接続時間を無制限にする場合は、[Unlimited] チェックボックスをオンにします(デフォルト)。

[Idle Timeout]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザのアイドル タイムアウト時間を分単位で指定します。この期間、ユーザ接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分、最長時間は 10080 分です。この値は、クライアントレス SSL VPN 接続のユーザには適用されません。

ステップ 4 このユーザに対して専用の IP アドレスを設定する場合は、[Dedicated IP Address] 領域(オプション)で、IP アドレスおよびサブネット マスクを入力します。

ステップ 5 クライアントレス SSL の設定を行う場合は、左側のペインで、 [Clientless SSL VPN] をクリックします。

各設定内容を上書きする場合は、 [Inherit] チェックボックスをオフにし、新しい値を設定します。「[Group Policies]」を参照してください。

ステップ 6 SSL VPN の設定を行う場合は、左側のペインで、 [SSL VPN Client] をクリックします。

各設定内容を上書きする場合は、 [Inherit] チェックボックスをオフにし、新しい値を設定します。「AnyConnect (SSL) VPN クライアント接続の設定」を参照してください。

ステップ 7 [Apply] をクリックします。


 

LDAP アトリビュート マップの設定

既存の LDAP ディレクトリにセキュリティ アプライアンスを導入する場合、既存の LDAP アトリビュートの名前および値と、既存のアトリビュートの名前および値とは異なることがあります。既存のユーザ定義アトリビュートの名前および値を、セキュリティ アプライアンスと互換性のあるシスコのアトリビュートの名前および値にマップする LDAP アトリビュート マップを作成する必要があります。作成したアトリビュート マップは LDAP サーバにバインドできるほか、必要に応じて削除することもできます。また、アトリビュート マップは、表示したりクリアしたりすることも可能です。


) アトリビュート マッピング機能を適切に使用するには、ユーザ定義のアトリビュートの名前と値についてだけでなく、シスコの LDAP アトリビュートの名前と値についても理解する必要があります。


マップの対象となることが多いシスコの LDAP アトリビュートの名前と、通常それらのマップ先となるユーザ定義アトリビュートのタイプは次のとおりです。

IETF-Radius-Class -- Department or user group
IETF-Radius-Filter-Id -- Access control list
IETF-Radius-Framed-IP-Address -- A static IP address
IPSec-Banner1 -- A organization title
Tunneling-Protocols -- Allow or deny dial-in
 

シスコの LDAP アトリビュートの名前および値をまとめたリストについては、 付録 C「外部 LDAP サーバの設定」 を参照してください。

各自の組織で使用する LDAP アトリビュート名を、セキュリティ アプライアンスにおけるシスコのアトリビュート名にマップするには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [AAA Local Users] > [LDAP Attribute Map] ペインで、 [Add] をクリックします。

[Map Name] タブが表示された状態で [Add LDAP Attribute Map] ダイアログボックスが開きます。

ステップ 2 [Name] フィールドに、マップの名前を入力します。

ステップ 3 [Customer Name] フィールドに、各自の組織に対応するアトリビュートの名前を入力します。

ステップ 4 [Cisco Name] ドロップダウン リストから、アトリビュートを選択します。

ステップ 5 [Add] をクリックします。

ステップ 6 さらに名前を追加する場合は、手順 1 5 を繰り返します。

ステップ 7 カスタマーの名前をマップする場合は、 [Map Value] タブをクリックします。

ステップ 8 [Add] をクリックします。

[Add LDAP Attributes Map Value] ダイアログボックスが表示されます。

ステップ 9 [Customer Name] ドロップダウン リストからアトリビュートを選択します。

ステップ 10 [Customer Value] フィールドに、このアトリビュートの値を入力します。

ステップ 11 [Cisco Value] フィールドに、手順 10 で指定した値のマップ先となるシスコ値を入力します。

ステップ 12 [Add] をクリックします。

値がマップされます。

ステップ 13 さらに名前をマップする場合は、手順 8 12 を繰り返します。

ステップ 14 [OK] をクリックして [Map Value] タブに戻り、再度 [OK] をクリックして ダイアログボックスを閉じます。

ステップ 15 [LDAP Attribute Map] ペインで、 [Apply] をクリックします。

値のマッピングが実行コンフィギュレーションに保存されます。


 

認証プロンプトの追加

AAA 認証チャレンジ プロセス中にユーザに対して表示するテキストを指定できます。指定した AAA チャレンジ テキストは、セキュリティ アプライアンスを介した HTTP アクセス、FTP アクセス、および Telnet アクセスによって TACACS+ サーバまたは RADIUS サーバに対してユーザ認証を要求する際に表示されます。このテキストは、主に表示の体裁を整える目的で表示されるものです。表示場所は、ログイン時にユーザに対して表示されるユーザ名およびパスワードのプロンプトの上部です。

認証プロンプトを指定しない場合、RADIUS サーバまたは TACACS+ サーバでの認証時にユーザに対して表示される内容は次のようになります。

 

接続タイプ
デフォルトのプロンプト

FTP

FTP authentication

HTTP

HTTP Authentication

Telnet

なし

認証プロンプトを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [Authentication Prompt] ペインの [Prompt] フィールドにテキストを入力します。このテキストが、ログイン時にユーザに対して表示されるユーザ名およびパスワードのプロンプトの上部にメッセージとして表示されます。

認証プロンプトに表示できる最大文字数は次のとおりです。

 

アプリケーション
認証プロンプトの文字数制限

Microsoft Internet Explorer

37

Telnet

235

FTP

235

ステップ 2 [Messages] 領域の [User accepted message] フィールドおよび [User rejected message] フィールドにそれぞれメッセージを入力します。

Telnet からのユーザ認証を実行する場合、[User accepted message] オプションおよび [User rejected message] オプションを使用すれば、認証試行が AAA サーバにより受け入れられた、または拒否されたことを示すさまざまな状態のプロンプトを表示できます。

これらのメッセージ テキストをそれぞれ指定した場合、セキュリティ アプライアンスでは、AAA サーバにより認証されたユーザに対してはユーザ承認メッセージ テキストが表示され、認証されなかったユーザに対してはユーザ拒否メッセージ テキストが表示されます。HTTP セッションおよび FTP セッションの認証の場合、プロンプトに表示されるのはチャレンジ テキストだけです。ユーザ承認メッセージ テキストおよびユーザ拒否メッセージ テキストは表示されません。

ステップ 3 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。