ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
認可と認証のための外部サーバの設定
認可と認証のための外部サーバの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

認可と認証のための外部サーバの設定

権限とアトリビュートのポリシー適用について

外部 LDAP サーバの設定

LDAP 動作のためのセキュリティ アプライアンスの構造

階層の検索

LDAP サーバへのセキュリティ アプライアンスのバインディング

Active Directory のログイン DN 例

セキュリティ アプライアンスの LDAP 設定の定義

LDAP 認証でサポートされる Cisco アトリビュート

Cisco-AV-Pair アトリビュート構文

Cisco AV Pair ACL の例

Active Directory/LDAP VPN リモート アクセス認可のユース ケース

ユーザ ベースのアトリビュート ポリシーの適用

LDAP ユーザの特定のグループ ポリシーへの配置

AnyConnect トンネルでのスタティック IP アドレス割り当ての適用

Dial-in Allow または Deny アクセスの適用

ログオンの時間および日時ルールの適用

外部 RADIUS サーバの設定

RADIUS 設定手順の確認

セキュリティ アプライアンスの RADIUS 認可アトリビュート

セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート

外部 TACACS+ サーバの設定

認可と認証のための外部サーバの設定

この付録では、セキュリティ アプライアンスで AAA をサポートできるように、外部の LDAP サーバ、RADIUS サーバ、TACACS+ サーバを設定する方法を説明します。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、サーバにセキュリティ アプライアンスの認可アトリビュートを正しく設定し、そのアトリビュートのサブセットから特定の権限を個々のユーザに割り当てる必要があります。

この付録には、次の項があります。

「権限とアトリビュートのポリシー適用について」

「外部 LDAP サーバの設定」

「外部 RADIUS サーバの設定」

「外部 TACACS+ サーバの設定」

権限とアトリビュートのポリシー適用について

セキュリティ アプライアンスは、ユーザ認可アトリビュート(着信ユーザ資格または権限とも呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。セキュリティ アプライアンスを設定して、ユーザ アトリビュートをセキュリティ アプライアンスの Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)から、外部の認証サーバと認可 AAA サーバ(RADIUS または LDAP)またはその両方から、セキュリティ アプライアンスのグループ ポリシーから、あるいはこれらの 3 つすべてから取得できます。

セキュリティ アプライアンスがすべての送信元からアトリビュートを受け取った場合、これらのアトリビュートは、評価され、マージされてから、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグループ ポリシーからのアトリビュートが競合する場合、これらのアトリビュートのうち、DAP から取得されたものが常に優先されます。

セキュリティ アプライアンスは、アトリビュートを次の順序で適用します(図 C-1 の図も参照)。

1. セキュリティ アプライアンスの DAP アトリビュート:バージョン 8.0 で導入され、他のすべてに優先します。DAP にブックマークまたは URL リストを設定している場合、これによって、グループ ポリシーのブックマークまたは URL リストセットが上書きされます。

2. AAA サーバのユーザ アトリビュート:サーバは、ユーザの認証または認可が正常に終了するとこのアトリビュートを返します。これらをセキュリティ アプライアンスのローカル AAA データベースで各ユーザに設定されているアトリビュート(ASDM のユーザのアカウント)と混同しないでください。

3. セキュリティ アプライアンスに設定されたグループ ポリシー: RADIUS サーバが、ユーザの RADIUS CLASS attribute IETF-Class-25(OU = <グループ ポリシー>)の値を返す場合、セキュリティ アプライアンスはそのユーザを同じ名前のグループ ポリシーに置き、サーバによって返されないグループ ポリシーの任意のアトリビュートを適用します。

LDAP サーバには、任意のアトリビュート名を使用してセッションのグループ ポリシーを設定できます。セキュリティ アプライアンスで設定した LDAP アトリビュート マップにより、LDAP アトリビュートが Cisco attribute IETF-Radius-Class にマッピングされます。

4. 接続プロファイルによって割り当てられたグループ ポリシー(CLI のトンネルグループと呼ばれる):接続プロファイルには接続用の初期設定値が設定されており、認証前にユーザに適用されるデフォルト グループ ポリシーが含まれています。セキュリティ アプライアンスに初めて接続するすべてのユーザはこのグループに属します。このグループは、DAP、ユーザ アトリビュート、サーバによって返されるユーザ アトリビュート、またはユーザに割り当てられたグループ ポリシーから不足している任意のアトリビュートを提供します。

5. セキュリティ アプライアンスによって割り当てられるデフォルト グループ ポリシー(DfltGrpPolicy):システムのデフォルト アトリビュートは、DAP、ユーザ アトリビュート、グループ ポリシー、または接続プロファイルから欠落している任意の値を提供します。

図 C-1 ポリシーの適用フロー

 

外部 LDAP サーバの設定

VPN 3000 Concentrator および ASA/PIX 7.0 では、認可操作に Cisco LDAP スキーマが必要です。セキュリティ アプライアンスは、バージョン 7.1.x 以降、固有の LDAP スキーマを使用して認証 および 認可を実行するため、Cisco スキーマは不要になりました。

LDAP アトリビュート マップを使用して認可(権限ポリシー)を設定します。例については、
「Active Directory/LDAP VPN リモート アクセス認可のユース ケース」を参照してください。

この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目を取り上げます。

「LDAP 動作のためのセキュリティ アプライアンスの構造」

「セキュリティ アプライアンスの LDAP 設定の定義」

「Active Directory/LDAP VPN リモート アクセス認可のユース ケース」

上記プロセスの具体的な手順は、使用する LDAP サーバのタイプによって異なります。


) LDAP プロトコルの詳細については、RFC1777、RFC2251、および RFC2849 を参照してください。


LDAP 動作のためのセキュリティ アプライアンスの構造

この項では、LDAP 階層内の検索を行う方法と、セキュリティ アプライアンス上で LDAP サーバへの認証バインディングを行う方法について説明します。次の項目を取り上げます。

「階層の検索」

「LDAP サーバへのセキュリティ アプライアンスのバインディング」

「Active Directory のログイン DN 例」

LDAP 設定には組織の論理構造を反映する必要があります。たとえば、Example Corporation という会社に Terry という名前の従業員がいるとします。Terry は、Engineering グループに所属しています。この会社の LDAP 階層のレベルは、1 つの場合と複数の場合があります。Terry を Example Corporation のメンバーと見なして、浅いシングルレベル階層の構造にすることができます。または、マルチレベル階層の構造にすることもできます。この場合、Terry を Engineering 部門のメンバーであると見なし、Engineering 部門は People という組織ユニットのメンバーであり、People は Example Corporation のメンバーとなります。マルチレベル階層の例については、図 C-2 を参照してください。

マルチレベル階層の方が詳細に設定できますが、シングルレベル階層の方が迅速に検索できます。

図 C-2 マルチレベル LDAP 階層

 

階層の検索

セキュリティ アプライアンスでは、LDAP 階層内の検索を調整できます。セキュリティ アプライアンスに次の 3 つのフィールドを設定すると、LDAP 階層内で検索を行うときの開始位置、範囲、および対象となる情報のタイプを定義できます。3 つのフィールドを組み合せることで、階層内の検索を、ツリー内のユーザの権限が含まれる部分だけで行うように制限できます。

LDAP Base DN は、サーバがセキュリティ アプライアンスから認可要求を受信したときに、LDAP 階層のどの部分からユーザ情報の検索を開始するかを定義します。

Search Scope は、LDAP 階層内の検索の範囲を定義します。検索は、LDAP Base DN から階層の下位に向かってここで指定したレベル数だけ行われます。サーバが検索する範囲を、直下のレベルだけに限定することも、サブツリー全体にすることもできます。シングルレベル検索はより高速ですが、サブツリー検索ではより広範囲を検索できます。

Naming Attribute(s) は、LDAP サーバのエントリを一意に識別する RDN(Relative Distinguished Name; 相対識別名)を定義します。共通の名前付きアトリビュートには、cn(共通名)、sAMAccountName、および userPrincipalName を含めることができます。

図 C-2 に、Example Corporation で検索可能な LDAP 階層を示します。この階層が指定されると、複数の方法で検索を定義できます。 表 C-1 に、2 種類の可能な検索の設定を示します。

最初の設定例では、Terry が必要な LDAP 認可を受けて IPSec トンネルを確立すると、セキュリティ アプライアンスは LDAP サーバに検索要求を送信して、Engineering グループの Terry を検索するように指示します。この検索は短時間で行われます。

2 番目の設定例では、セキュリティ アプライアンスは、サーバに Example Corporation 内で Terry を検索するように指示します。この検索には時間がかかります。

 

表 C-1 検索設定の例

#
LDAP Base DN
検索範囲
アトリビュートの名前
結果

1

group= Engineering,ou=People,dc=ExampleCorporation, dc=com

1 レベル

cn=Terry

検索が速い

2

dc=ExampleCorporation,dc=com

サブツリー

cn=Terry

検索に時間がかかる

LDAP サーバへのセキュリティ アプライアンスのバインディング

一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、セキュリティ アプライアンスに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスでは、ログイン認定者名(DN)およびログイン パスワードを使用して、LDAP サーバとのトラスト(バインド)が確立されます。ログイン DN は、管理者がバインディングに使用する LDAP サーバ内のユーザ レコードを表します。

バインディングの際、サーバでは、ログイン DN およびログイン パスワードに基づいてセキュリティ アプライアンスの認証が行われます。(認証、認可、グループ検索の際などに)Microsoft Active Directory の読み取り専用処理を実行する場合、セキュリティ アプライアンスでは、権限の少ないログイン DN を使用してバインドできます。たとえば、AD グループ(memberOf アトリビュート)が「Domain Users」に指定されているユーザをログイン DN として使用できます。VPN パスワード管理操作を行う場合、ログイン DN は、権限が昇格されるととにも、アカウント オペレータ AD グループに属する必要があります。

次に、ログイン DN の例を示します。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com

セキュリティ アプライアンスでは、次の認証メカニズムがサポートされています。

暗号化されていないパスワードを使用したポート 389 上での単純 LDAP 認証

ポート 636 上でのセキュア LDAP(LDAP-S)

単純認証およびセキュリティ レイヤ(SASL)MD5

SASL Kerberos

セキュリティ アプライアンスでは、匿名認証はサポートされていません。


) LDAP クライアントとして、セキュリティ アプライアンスは匿名のバインドまたは要求の送信をサポートしません。


Active Directory のログイン DN 例

ログイン DN は LDAP サーバ上のユーザ名であり、このユーザ名は、セキュリティ アプライアンスがユーザ検索を実行する前のバインド交換時にセキュリティ アプライアンス自身(LDAP クライアント)と LDAP サーバの間に信頼を確立するために使用できます。

VPN 認証操作と認可操作およびバージョン 8.0.4 以降の AD グループの検索(パスワード管理変更が不要なときだけ、読み取り操作)では、特権の少ないログイン DN を使用できます。たとえば、ログイン DN はドメイン ユーザ グループのメンバーであるユーザでもかまいません。

VPN パスワード管理の変更を行うには、ログイン DN にアカウント オペレータ特権が設定されている必要があります。

これらのいずれの場合でも、ログイン DN またはバインド DN には、スーパーユーザ レベル特権は不要です。固有のログイン DN 要件については、LDAP 管理者用のガイドを参照してください。

セキュリティ アプライアンスの LDAP 設定の定義

この項では、LDAP AV ペア アトリビュート構文の定義方法について説明します。次の項目を取り上げます。

「LDAP 認証でサポートされる Cisco アトリビュート」

「Cisco-AV-Pair アトリビュート構文」

「Cisco AV Pair ACL の例」


) セキュリティ アプライアンスでは、LDAP アトリビュートを数値 ID ではなく、アトリビュート名に基づいて適用されます。一方、RADIUS アトリビュートは、名前ではなく、数値 ID で適用されます。

認可とは、権限またはアトリビュートに適用するプロセスのことです。認証または認可サーバとして定義されている LDAP サーバは、権限またはアトリビュートが設定されていれば、それを適用します。

ソフトウェア バージョン 7.0 では、LDAP アトリビュートに cVPN3000 プレフィクスが含まれています。バージョン 7.1 以降では、このプレフィクスは廃止されています。


LDAP 認証でサポートされる Cisco アトリビュート

この項では、ASA 5500、VPN 3000、および PIX 500シリーズ セキュリティ アプライアンスのアトリビュートの完全なリスト( 表 C-2 )を示します。この表には、VPN 3000 と PIX 500 シリーズが混在するネットワークの設定を支援するために、これらのセキュリティ アプライアンスに関するアトリビュート サポート情報を記載しています。

 

表 C-2 LDAP 認証でサポートされるセキュリティ アプライアンスの Cisco アトリビュート

アトリビュート名/
VPN 3000
ASA
PIX
構文/
タイプ
単値または
多値
有効な値

Access-Hours

Y
Y
Y
文字列
単値
time-range の名前
(Business-Hours など)

Allow-Network-Extension- Mode

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle- Timeout

Y

Y

Y

整数

単値

1 ~ 35791394 分

Authorization-Required

Y

整数

単値

0 = No
1 = Yes

Authorization-Type

Y

整数

単値

0 = なし
1 = RADIUS
2 = LDAP

Banner1

Y

Y

Y

文字列

単値

クライアントレス SSL VPN とクライアント SSL VPN、および IPSec クライアントのバナー文字列。

Banner2

Y

Y

Y

文字列

単値

クライアントレス SSL VPN とクライアント SSL VPN、および IPSec クライアントのバナー文字列。

Cisco-AV-Pair

Y

Y

Y

文字列

多値

次の形式のオクテット文字列:

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

詳細については、「Cisco-AV-Pair アトリビュート構文」を参照してください。

Cisco-IP-Phone-Bypass

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Cisco-LEAP-Bypass

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Client-Intercept-DHCP- Configure-Msg

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Client-Type-Version-Limiting

Y

Y

Y

文字列

単値

IPSec VPN クライアントのバージョン番号を示す文字列

Confidence-Interval

Y

Y

Y

整数

単値

10 ~ 300 秒

DHCP-Network-Scope

Y

Y

Y

文字列

単値

IP アドレス

DN-Field

Y

Y

Y

文字列

単値

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

Firewall-ACL-In

Y

Y

文字列

単値

アクセスリスト ID

Firewall-ACL-Out

Y

Y

文字列

単値

アクセスリスト ID

Group-Policy

Y

Y

文字列

単値

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこのアトリビュートを使用してください。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IE-Proxy-Bypass-Local

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IE-Proxy-Exception-List

文字列

単値

DNS ドメインのリスト。エントリを改行文字(\n)で区切る必要があります。

IE-Proxy-Method

Y

Y

Y

整数

単値

1 = プロキシ設定値を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = セキュリティ アプライアンス設定を使用する

IE-Proxy-Server

Y

Y

Y

整数

単値

IP アドレス

IETF-Radius-Class

Y

Y

Y

単値

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降の場合、グループ ポリシー アトリビュートを使用することをお勧めます。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

文字列

単値

セキュリティ アプライアンスに定義されているアクセスリスト名

IETF-Radius-Framed-IP-Address

Y

Y

Y

文字列

単値

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

文字列

単値

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

整数

単値

IETF-Radius-Service-Type

Y

Y

Y

整数

単値

1= ログイン
2 = Framed
6 = 管理
7 = NAS プロンプト

IETF-Radius-Session-Timeout

Y

Y

Y

整数

単値

IKE-Keep-Alives

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Allow-Passwd-Store

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Authentication

Y

Y
Y
整数
単値
0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI (RSA)
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

IPSec-Auth-On-Rekey

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Backup-Server-List

Y

Y

Y

文字列

単値

サーバ アドレス(スペース区切り)

IPSec-Backup-Servers

Y

Y

Y

文字列

単値

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにしてクリアする
3 = バックアップ サーバ リストを使用する

IPSec-Client-Firewall-Filter- Name

Y

文字列

単値

クライアントにファイアウォール ポリシーとしてプッシュするフィルタの名前を指定します。

IPSec-Client-Firewall-Filter- Optional

Y

Y

Y

整数

単値

0 = 必須
1 = オプション

IPSec-Default-Domain

Y

Y

Y

文字列

単値

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Extended-Auth-On-Rekey

Y

Y

文字列

単値

IPSec-IKE-Peer-ID-Check

Y

Y

Y

整数

単値

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPSec-IP-Compression

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

IPSec-Mode-Config

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

整数

単値

4001 ~ 49151、デフォルトは 10000

IPSec-Required-Client-Firewall-
Capability

Y

Y

Y

整数

単値

0 = なし
1 = リモート FW Are-You-There (AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Sec-Association

Y

文字列
単値
セキュリティ アソシエーションの名前

IPSec-Split-DNS-Names

Y

Y

Y

文字列

単値

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Split-Tunneling-Policy

Y

Y

Y

整数

単値

0 = すべてをトンネリング
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Split-Tunnel-List

Y

Y

Y

文字列

単値

スプリット トンネルの包含リストを記述したネットワークまたはアクセスリストの名前を指定します。

IPSec-Tunnel-Type

Y

Y

Y

整数

単値

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-User-Group-Lock

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

L2TP-Encryption

Y

整数

単値

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

Y

整数

単値

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

文字列

単値

IP アドレス

PFS-Required

Y

Y

Y

ブーリアン

単値

0 = No
1 = Yes

Port-Forwarding-Name

Y

Y

文字列

単値

名前の文字列(「Corporate-Apps」など)

PPTP-Encryption

Y

整数

単値

ビットマップ:

1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要

例:
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Primary-DNS

Y
Y
Y
文字列
単値
IP アドレス

Primary-WINS

Y
Y
Y
文字列
単値
IP アドレス

Privilege-Level

Required-Client- Firewall-Vendor-Code

Y

Y

Y

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall- Description

Y

Y

Y

文字列

単値

文字列

Required-Client-Firewall- Product-Code

Y

Y

Y

整数

単値

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:

1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:

1 = BlackIce Defender/Agent

Sygate 製品:

1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Require-HW-Client-Auth

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Require-Individual-User-Auth

Y

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

Secondary-DNS

Y
Y
Y
文字列
単値
IP アドレス

Secondary-WINS

Y
Y
Y
文字列
単値
IP アドレス

SEP-Card-Assignment

整数
単値
使用しない

Simultaneous-Logins

Y
Y
Y
整数
単値
0-2147483647

Strip-Realm

Y

Y

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

TACACS-Authtype

Y

Y

Y

整数

単値

TACACS-Privilege-Level

Y

Y

Y

整数

単値

Tunnel-Group-Lock

Y

Y

文字列

単値

トンネル グループの名前または「none」

Tunneling-Protocols

Y

Y

Y

整数
単値
1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN
8 と 4 は相互排他値
(0 ~ 11、16 ~ 27 は有効値)

Use-Client-Address

Y

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

User-Auth-Server-Name

Y

文字列

単値

IP アドレスまたはホスト名

User-Auth-Server-Port

Y

整数

単値

サーバ プロトコルのポート番号

User-Auth-Server-Secret

Y

文字列

単値

サーバのパスワード

WebVPN-ACL-Filters

Y

文字列

単値

Web-type アクセスリスト名

WebVPN-Apply-ACL-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、このアトリビュートは不要です。

WebVPN-Citrix-Support-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

バージョン 8.0 以降では、このアトリビュートは不要です。

WebVPN-Enable-functions

整数

単値

使用しない(廃止)

WebVPN-Exchange-Server- Address

文字列

単値

使用しない(廃止)

WebVPN-Exchange-Server- NETBIOS-Name

文字列

単値

使用しない(廃止)

WebVPN-File-Access-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-
Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry- Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Forwarded-Ports

Y

文字列

単値

ポート転送リスト名

WebVPN-Homepage

Y

Y

文字列

単値

URL(http://example-portal.com など)

WebVPN-Macro-Substitution-
Value1

Y

Y

文字列

単値

例およびユース ケースについては、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Substitution-
Value2

Y

Y

文字列

単値

例およびユース ケースについては、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Port-Forwarding- Auto-Download-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- Exchange-Proxy-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding- HTTP-Proxy-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Single-Sign-On- Server-Name

Y

文字列

単値

SSO サーバの名前(1 ~ 31 文字)

WebVPN-SVC-Client-DPD

Y

Y

整数

単値

0 = ディセーブル
n = デッド ピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Compression

Y

Y

整数

単値

0 = なし
1 = デフレート圧縮

WebVPN-SVC-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Gateway-DPD

Y

Y

整数

単値

0 = ディセーブル
n = デッド ピア検出値(30 ~ 3600 秒)

WebVPN-SVC-Keepalive

Y

Y

整数

単値

0 = ディセーブル
n = キープアライブ値(15 ~ 600秒)

WebVPN-SVC-Keep-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SVC-Rekey-Method

Y

Y

整数

単値

0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意(SSL に設定)

WebVPN-SVC-Rekey-Period

Y

Y

整数

単値

0 = ディセーブル
n = 分単位の再試行間隔
(4 ~ 10080 分)

WebVPN-SVC-Required-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-URL-Entry-Enable

Y

Y

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-URL-List

Y

文字列

単値

URL リスト名

Cisco-AV-Pair アトリビュート構文

シスコのアトリビュート値(AV)ペア(ID #26/9/1)を使用すると、Radius サーバ(Cisco ACS など)のアクセスリストまたは LDAP サーバのアクセスリストを ldap-attribute-map から適用できます。

Cisco-AV-Pair ルールの構文は次のとおりです。

[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port]

表 C-3 で構文ルールについて説明します。

 

表 C-3 AV ペア アトリビュート構文ルール

フィールド
説明

Prefix

AV ペアの一意の識別子。たとえば、 ip:inacl#1= (標準アクセスリストで使用)または webvpn:inacl# (クライアントレス SSL VPN アクセスリストで使用)。このフィールドは、フィルタが AV ペアとして送信された場合にだけ表示されます。

Action

ルールが一致した場合に実行するアクション:deny または permit。

Protocol

IP プロトコルの番号または名前。0 ~ 255 の整数値か、icmp、igmp、ip、tcp、udp のいずれかのキーワード。

Source

パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを使用する場合は、Source Wildcard Mask も続けて指定する必要があります。セキュリティ アプライアンスが送信元またはプロキシの役割を果たすため、このフィールドは、クライアントレス SSL VPN には適用されません。

Source Wildcard Mask

送信元アドレスに適用されるワイルドカード マスク。セキュリティ アプライアンスが送信元またはプロキシの役割を果たすため、このフィールドは、クライアントレス SSL VPN には適用されません。

Destination

パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、またはキーワード「any」を指定します。IP アドレスを使用する場合は、Source Wildcard Mask マスクも続けて指定する必要があります。

Destination Wildcard Mask

宛先アドレスに適用されるワイルドカード マスク。

Log

FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成するにはこのキーワードを使用する必要があります。

Operator

論理演算子:greater than、less than、equal to、not equal to。

Port

TCP または UDP ポートの番号(0 ~ 65535)。

Cisco AV Pair ACL の例

表 C-4 では、Cisco AV pairs の例を示し、結果として生じる許可または拒否アクションについて説明します。


) inacl# の各 ACL # は一意でなくてはなりません。ただし、連続している(例:1、2、3、4)必要はありません。たとえば、5、45、135 でもかまいません。


表 C-4 Cisco AV Pairs の例とその許可または拒否アクション

 

Cisco AV Pair の例
許可または拒否アクション
ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log

フル トンネル IPsec またはSSL VPN クライアントを使用して、2 つのホスト間の IP トラフィックを許可します。

ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log

フル トンネル IPsec または SSL VPN クライアントを使用して、すべてホストからポート 80 上の特定のホストへの TCP トラフィックだけを許可します。

webvpn:inacl#1=permit url http://www.website.com
webvpn:inacl#2=deny url smtp://server
webvpn:inacl#3=permit url cifs://server/share

指定された URL へのクライアントレス トラフィックを許可し、特定のサーバへの smtp トラフィックを拒否します。また、指定されたサーバへのファイル共有アクセス(CIFS)を許可します。

webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log
webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log

非デフォルト ポート 2323 と 2222 でそれぞれ Telnet を拒否し、SSH を許可します。

webvpn:inacl#1=permit url ssh://10.86.1.2
webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log
webvpn:inacl#48=deny url telnet://10.86.1.2
webvpn:inacl#100=deny tcp 10.86.1.6 eq 23

デフォルト ポート 22 と 23 への SSH をそれぞれ許可します。この例では、これらの ACL によって適用された telnet/ssh java プラグインを使用していると想定します。

ACL でサポートされる URL のタイプ

この URL は部分的な URL であり、これにはサーバのワイルドカードまたはポートを含むものがあります。

次の URL タイプがサポートされます。

すべての URL

http://

nfs://

sametime://

telnet://

cifs://

https://

pop3://

smart-tunnel://

tn3270://

citrix://

ica://

post://

smtp://

tn5250://

citrixs://

imap4://

rdp://

ssh://

vnc://

ftp://


) 上記の URL は、関連付けられているプラグインがイネーブルになっているかどうかによって、CLI または ASDM メニューに表示されます。


Cisco AV Pairs(ACL)の使用に関するガイドライン

リモート IPSec トンネルおよび SSL VPN クライアント(SVC)トンネルにアクセスリストを適用するには、Cisco AV Pair エントリにプレフィクス ip:inacl# を追加して使用してください。

SSL VPN クライアントレス(ブラウザモード)トンネルにアクセスリストを適用するには、Cisco AV Pair エントリにプレフィクス webvpn:inacl# を追加して使用してください。

Webtype ACL の場合、セキュリティ アプライアンスが送信元であるため、送信元を指定しないでください。

表 C-5 に、Cisco AV Pair アトリビュートのトークン一覧を示します。

 

表 C-5 セキュリティ アプライアンスでサポートされるトークン

トークン
構文フィールド
説明

ip:inacl# Num =

該当なし
(識別子)

Num は一意の整数)AV ペアによるアクセス コントロール リストをすべて開始します。リモート IPSec および SSL VPN(SVC)トンネルに強制的にアクセス リストを適用します。

webvpn:inacl# Num =

該当なし
(識別子)

Num は一意の整数)SSL AV ペアによるクライアントレス アクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルにアクセスリストを強制的に適用します。

deny

Action

アクションを拒否します (デフォルト)。

permit

Action

アクションを許可します。

icmp

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

1

Protocol

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)。

IP

Protocol

Internet Protocol(IP; インターネット プロトコル)。

0

Protocol

Internet Protocol(IP; インターネット プロトコル)。

TCP

Protocol

Transmission Control Protocol(TCP; 伝送制御プロトコル)。

6

Protocol

Transmission Control Protocol(TCP; 伝送制御プロトコル)。

UDP

Protocol

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)。

17

Protocol

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)。

any

Hostname

すべてのホストにルールを適用します。

host

Hostname

ホスト名を示す任意の英数字文字列。

log

Log

イベントが一致すると、フィルタ ログ メッセージが表示されます (permit and log または deny and log の場合と同様)。

lt

Operator

値より小さい。

gt

Operator

値より大きい。

eq

Operator

値と等しい。

neq

Operator

値と等しくない。

range

Operator

この範囲に含まれる。range の後に 2 つの値を続けます。

Active Directory/LDAP VPN リモート アクセス認可のユース ケース

この項では、Microsoft Active Directory サーバを使用するセキュリティ アプライアンスで認証および認可を設定する手順例を示します。この項では、次のユース ケースを取り上げます。

「ユーザ ベースのアトリビュート ポリシーの適用」

「LDAP ユーザの特定のグループ ポリシーへの配置」

「AnyConnect トンネルでのスタティック IP アドレス割り当ての適用」

「Dial-in Allow または Deny アクセスの適用」

「ログオンの時間および日時ルールの適用」

Cisco.com で参照可能なその他の設定例には、次の TechNote が含まれます。

ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example:

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml

PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login :

http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a00808d1a7c.shtml

ユーザ ベースのアトリビュート ポリシーの適用

任意の標準的な LDAP アトリビュートを既知の Vendor Specific Attribute(VSA; ベンダー固有アトリビュート)にマップできます。また、1 つ以上の LDAP アトリビュートを 1 つ以上の Cisco LDAP アトリビュートにマップできます。

このユース ケースでは、セキュリティ アプライアンスを設定して、AD LDAP サーバにユーザ設定のシンプルなバナーを適用します。このケースでは、サーバで、[General] タブの [Office] フィールドを使用して、バナー テキストを入力します。このフィールドは physicalDeliveryOfficeName というアトリビュートを使用します。セキュリティ アプライアンスで、physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマップするアトリビュート マップを作成します。認証時に、セキュリティ アプライアンスはサーバから physicalDeliveryOfficeName の値を検索し、この値を Cisco アトリビュート Banner1 にマップして、ユーザにバナーを表示します。

このケースは、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN を含む、任意の接続タイプに適用されます。このケースの目的のために、User1 はクライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD/LDAP サーバのユーザにアトリビュートを設定します。

ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 C-3)。[General] タブをクリックし、[Office] フィールドにバナー テキストを入力します。[Office] フィールドでは、AD/LDAP アトリビュート physicalDeliveryOfficeName を使用します。

図 C-3 図 3 LDAP ユーザ設定

 

ステップ 2 セキュリティ アプライアンスで LDAP アトリビュート マップを次のように作成します。

次の例では、マップ Banner を作成し、AD/LDAP アトリビュート physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマップします。

hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 の aaa サーバ ホスト コンフィギュレーション モードに入り、手順 2 で作成したアトリビュート マップ Banner を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map Banner
 

ステップ 4 バナーが適用されているかテストします。

この例は、ユーザ認証後、アトリビュート マップによって適用されたクライアントレス SSL 接続およびバナーを示しています(図 C-4)。

図 C-4 表示されたバナー

 

LDAP ユーザの特定のグループ ポリシーへの配置

このケースでは、AD LDAP サーバの User1 をセキュリティ アプライアンスの特定のグループ ポリシーに対して認証します。このサーバ上で、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入力します。次にアトリビュート マップを作成し、Department を Cisco アトリビュート IETF-Radius-Class にマップします。認証時に、セキュリティ アプライアンスはサーバから Department の値を取得し、この値を IETF-Radius-Class にマップし、さらに User1 をグループ ポリシーに置きます。

このケースは、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN を含む、任意の接続タイプに適用されます。このケースの目的のために、User1 はクライアントレス SSL VPN 接続を介して接続します。


ステップ 1 AD LDAP サーバでユーザのアトリビュートを設定します。

ユーザを右クリックします。[Properties] ウィンドウが表示されます(図 C-5)。[Organization] タブをクリックして、[Department] フィールドに「Group-Policy-1」と入力します。

図 C-5 AD LDAP Department アトリビュート

 

ステップ 2 ステップ 1 で表示された LDAP 設定にアトリビュート マップを定義します。

この場合、AD アトリビュート Department を Cisco アトリビュート IETF-Radius-Class にマップします。次の例を参考にしてください。

hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 の aaa サーバ ホスト コンフィギュレーション モードに入り、手順 2 で作成したアトリビュート マップ group_policy を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
 

ステップ 4 セキュリティ アプライアンスで新しいグループ ポリシーを追加し、ユーザに割り当てられている必要なポリシー アトリビュートを設定します。このケースでは、Group-policy-1 を次のように作成しました。これはサーバで [Department] フィールドに入力された名前です。

hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
 

ステップ 5 ユーザが VPN 接続を確立したときに、セッションが Group-Policy1(およびデフォルト グループ ポリシーのその他の該当するアトリビュート)からアトリビュートを継承することを確認します。

特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすると、セキュリティ アプライアンスとサーバ間の通信を監視できます。このコマンドのサンプル出力は、次のとおりです。この出力は、キー メッセージを示すために編集されています。

[29] Authentication successful for user1 to 3.3.3.4

[29] Retrieving user attributes from server 3.3.3.4

[29] Retrieved Attributes:

[29] department: value = Group-Policy-1

[29] mapped to IETF-Radius-Class: value = Group-Policy-1

AnyConnect トンネルでのスタティック IP アドレス割り当ての適用

このケースでは、AnyConnect クライアント ユーザ Web1 を設定して、スタティック IP アドレスを受信するようにします。AD LDAPサーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを入力します。このフィールドは、msRADIUSFramedIPAddress アトリビュートを使用します。アトリビュート マップを作成し、このマップを Cisco アトリビュート IETF-Radius-Framed-IP-Address にマップします。

認証時に、セキュリティ アプライアンスはサーバから msRADIUSFramedIPAddress の値を取得し、この値を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマップし、さらに User1 にスタティック アドレスを提供します。

このケースは、IPSec クライアントおよび SSL VPN クライアント(AnyConnect クライアント 2.x およびレガシー SSL VPN クライアント)などの、フルトンネル クライアントに適用されます。


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザ名を右クリックします。[Properties] ウィンドウが表示されます(図 C-6)。[Dialin] タブをクリックし、[Assign Static IP Address] をオンにして、IP アドレスを入力します。ここでは、3.3.3.233 を使用します。

図 C-6 スタティック IP アドレスの割り当て

 

ステップ 2 ステップ 1 で表示された LDAP 設定のアトリビュート マップを作成します。

ここでは、[Static Address] フィールドで使用される AD アトリビュート msRADIUSFrameIPAddress を Cisco アトリビュート IETF-Radius-Framed-IP-Address にマップします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFrameIPAddress IETF-Radius-Framed-IP-Address
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP に、ホスト 3.3.3.4 の aaa サーバ ホスト コンフィギュレーション モードを入力し、手順 2 で作成したアトリビュート マップ static_address を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map static_address
 

ステップ 4 show run all vpn-addr-assign コマンド を使用して次の部分の設定を表示し、 vpn-address-assigment コマンドが aaa を指定するように設定されていることを確認します。

vpn-addr-assign aaa

hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa <<<< ensure this configured.
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#

 

ステップ 5 AnyConnect クライアントを使用して、セキュリティ アプライアンスとの接続を確立します。次の点を確認してください。

バナーがクライアントレス接続と同じシーケンス(図 C-7)で受信される。

サーバで設定され、セキュリティ アプライアンスにマップされた IP アドレス(図 C-8)をユーザが受信している。

図 C-7 AnyConnect セッションのバナーの確認

 

図 C-8 確定された AnyConnect セッション

 

 

show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示し、割り当てられているアドレスを確認できます。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
Username : web1 Index : 31
Assigned IP : 3.3.3.233 Public IP : 10.86.181.70
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 304140 Bytes Rx : 470506
Group Policy : VPN_User_Group Tunnel Group : UseCase3_TunnelGroup
Login Time : 11:13:05 UTC Tue Aug 28 2007
Duration : 0h:01m:48s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 
BXB-ASA5540#

Dial-in Allow または Deny アクセスの適用

このケースでは、ユーザが許可するトンネリング プロトコルを指定する LDAP アトリビュート マップを作成します。[Dialin] タブで Allow Access および Deny Access 設定を Cisco アトリビュート Tunneling-Protocols にマップします。Cisco トンネリング プロトコルは、 表 C-6 に示すビットマップ値をサポートします。

表 C-6 Cisco トンネリング プロトコル アトリビュートのビットマップ値

トンネリング プロトコル

1

PPTP

2

L2TP

41

IPSec

82

L2TP/IPSEC

16

クライアントレス SSL

32

SSL クライアント:AnyConnect またはレガシー SSL VPN クライアント

1.IPSec と L2TP over IPSec は、同時にサポートされません。したがって、値 4 と 8は相互排他値です。

2.注 1 を参照してください。

このアトリビュートを使用して、そのプロトコルの Allow Access(真)または Deny Access(偽)条件を作成し、ユーザのアクセスを許可する方法を適用します。

この単純化された例では、トンネル プロトコル IPSec(4)をマップすることによって、IPSec クライアントで許可(真)条件を作成できます。また、WebVPN(16)とSVC/AC(32)(これは 48(16+32)の値としてマップされる)をマップし、拒否(偽)条件も作成します。これにより、ユーザは IPSec を使用してセキュリティ アプライアンスに接続できますが、クライアントレス SSL または AnyConnect クライアントを使用した接続の試行は拒否されます。

Dial-in Allow Acess または Deny Access を適用するためのもう 1 つの例については、次の URL に掲載されているテクニカル ノート、『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』を参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.shtml


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザを右クリックします。[Properties] ウィンドウが表示されます。[Dial-in] タブをクリックします。 [Allow Access] を選択します(図 C-9)。

図 C-9 AD-LDAP user1:アクセスを許可

 


) 3 番目のオプション「Control access through the Remote Access Policy」を選択した場合、値はサーバから返されず、適用される権限はセキュリティ アプライアンス内部のグループ ポリシー設定に基づきます。


ステップ 2 アトリビュート マップを作成して、IPSec 接続と AnyConnect 接続の両方を許可しますが、クライアントレス SSL 接続を拒否します。

ここでは、マップ tunneling_protocols を作成し、 map-name コマンドを使用して、Allow Access 設定で使用される AD アトリビュート msNPAllowDialin を Cisco アトリビュート Tunneling-Protocols にマップします。さらに map-value コマンドを使用してマップ値を追加します。

次の例を参考にしてください。

hostname(config)# ldap attribute-map tunneling_protocols
hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48
hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 の aaa サーバ ホスト コンフィギュレーション モードに入り、手順 2 で作成したアトリビュート マップ tunneling_protocols を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
 

ステップ 4 アトリビュート マップが設定どおりに機能するか確認します。

リモート ユーザとして PC を使用し、クライアントレス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試行します。クライアントレス接続および AnyConnect 接続が失敗し、許可されない接続メカニズムが接続失敗の原因であることがユーザに通知されます。IPSec が許可されたトンネリング プロトコルであることから、IPSec クライアントがアトリビュート マップに従って接続されるはずです。

図 C-10 クライアントレス ユーザのログイン拒否メッセージ

 

図 C-11 AnyConnect クライアント ユーザのログイン拒否メッセージ

 

ログオンの時間および日時ルールの適用

このユース ケースでは、クライアントレス SSL ユーザがネットワークへのアクセスを許可される時間を設定して適用します。この好例として、ビジネス パートナーが通常の業務時間にだけネットワークにアクセスできるにようすることが挙げられます。

このケースでは、AD サーバで、[Office] フィールドを使用して、パートナー名を入力します。このフィールドは、physicalDeliveryOfficeName アトリビュートを使用します。次に、セキュリティ アプライアンスでアトリビュート マップを作成して、そのアトリビュートを Cisco アトリビュート Access-Hours にマップします。セキュリティ アプライアンスは、認証時に physicalDeliveryOfficeName の値([Office] フィールド)を取得し、この値を Access-Hours にマップします。


ステップ 1 AD LDAP サーバでユーザ アトリビュートを設定します。

ユーザを選択します。[Properties] を右クリックします。[Properties] ウィンドウが表示されます(図 C-12)。このケースでは、[General] タブの [Office] フィールドを次のように使用します。

図 C-12 Active Directory:時間範囲

 

ステップ 2 アトリビュート マップを作成します。

このケースでは、アトリビュートマップ access_hours を作成し、[Office] フィールドで使用される AD アトリビュート physicalDeliveryOfficeName を Cisco アトリビュート Access-Hours にマップします。

次の例を参考にしてください。

hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
 

ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。

次の例では、AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 の aaa サーバ ホスト コンフィギュレーション モードに入り、手順 2 で作成したアトリビュート マップ access_hours を関連付けます。

hostname(config)# aaa-server MS_LDAP host 3.3.3.4
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
 

ステップ 4 サーバで許可されている各値に対して時間範囲を設定します。このケースでは、User1 の [Office] フィールドにパートナーを入力しました。そこで、パートナーに時間範囲を設定する必要があります。次の例では、パートナーのアクセス時間を月曜日~金曜日までの午前 9 時~午後 5 時までに設定します。

hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00


 

外部 RADIUS サーバの設定

この項では、RADIUS 設定手順の概要を説明し、Cisco RADIUS アトリビュートを定義します。次の項目を取り上げます。

「RADIUS 設定手順の確認」

「セキュリティ アプライアンスの RADIUS 認可アトリビュート」

「セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート」

RADIUS 設定手順の確認

この項では、セキュリティ アプライアンス ユーザの認証と認可をサポートするために必要な RADIUS 設定手順について説明します。RADIUS サーバとセキュリティ アプライアンスの相互運用をセットアップするには、次の手順に従います。


ステップ 1 セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリビュートをロードする方法は、使用する RADIUS サーバのタイプによって異なります。

CiscoACS を使用する場合、サーバにはすでにこれらのアトリビュートが統合されています。この手順は省略できます。

FUNK RADIUS サーバを使用する場合、シスコではセキュリティ アプライアンスのすべてのアトリビュートを含むディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO の Software Center またはセキュリティ アプライアンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。

他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など)の場合、セキュリティ アプライアンスの各アトリビュートを手動で定義する必要があります。アトリビュートを定義するには、アトリビュート名または番号、タイプ、値、およびベンダー コード(3076)を使用します。セキュリティ アプライアンスの RADIUS 認可アトリビュートと値のリストについては、 表 C-7 を参照してください。

ステップ 2 ユーザまたはグループに、IPSec または SSL トンネルの確立時に送信する権限とアトリビュートをセットアップします。


 

セキュリティ アプライアンスの RADIUS 認可アトリビュート

認可とは、権限またはアトリビュートを適用するプロセスのことです。認証サーバとして定義されている RADIUS サーバは、権限またはアトリビュートが設定されていれば、それを適用します。

表 C-7 に、セキュリティ アプライアンスがサポートする、ユーザ認可に使用できる有効な RADIUS アトリビュートを示します。


) RADIUS アトリビュート名には、cVPN3000 プレフィクスは付いていません。Cisco Secure ACS 4.x ではこの新しい命名基準がサポートされていますが、バージョン 4.0 よりも前にリリースされた ACS ではまだプレフィクス cVPN3000 が付いています。アプライアンスは、アトリビュートの名前ではなく数値 ID に基づいて RADIUS アトリビュートを適用します。LDAP アトリビュートは、ID ではなく名前で適用されます。


 

表 C-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
構文/
タイプ
単値
または
多値
説明または値

Access-Hours

Y

Y

Y

1

文字列

単値

時間範囲の名前(Business-hours など)

Simultaneous-Logins

Y

Y

Y

2

整数

単値

0 ~ 2147483647 の整数

Primary-DNS

Y

Y

Y

5

文字列

単値

IP アドレス

Secondary-DNS

Y

Y

Y

6

文字列

単値

IP アドレス

Primary-WINS

Y

Y

Y

7

文字列

単値

IP アドレス

Secondary-WINS

Y

Y

Y

8

文字列

単値

IP アドレス

SEP-Card-Assignment

9

整数

単値

使用しない

Tunneling-Protocols

Y

Y

Y

11

整数

単値

1 = PPTP
2 = L2TP
4 = IPSec
8 = L2TP/IPSec
16 = WebVPN
4 と 8 は相互排他値、0 ~ 11 と 16 ~ 27 は有効値。

IPSec-Sec-Association

Y

12

文字列

単値

セキュリティ アソシエーションの名前

IPSec-Authentication

Y

13

整数

単値

0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

Banner1

Y

Y

Y

15

文字列

単値

バナー文字列

IPSec-Allow-Passwd-Store

Y

Y

Y

16

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Use-Client-Address

Y

17

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

PPTP-Encryption

Y

20

整数

単値

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-Encryption

Y

21

整数

単値

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

Group-Policy

Y

Y

25

文字列

単値

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降では、IETF-Radius-Class の代わりにこのアトリビュートを使用してください。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IPSec-Split-Tunnel-List

Y

Y

Y

27

文字列

単値

スプリット トンネルの包含リストを記述したネットワークまたはアクセスリストの名前を指定します。

IPSec-Default-Domain

Y

Y

Y

28

文字列

単値

クライアントに送信する 1 つのデフォルト ドメイン名を指定します(1 ~ 255 文字)。

IPSec-Split-DNS-Names

Y

Y

Y

29

文字列

単値

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPSec-Tunnel-Type

Y

Y

Y

30

整数

単値

1 = LAN-to-LAN
2 = リモート アクセス

IPSec-Mode-Config

Y

Y

Y

31

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-User-Group-Lock

Y

33

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP

Y

Y

Y

34

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Over-UDP-Port

Y

Y

Y

35

整数

単値

4001 ~ 49151、デフォルトは 10000

Banner2

Y

Y

Y

36

文字列

単値

Banner1 文字列に結合されるバナー文字列(設定されている場合)。

PPTP-MPPC-Compression

Y

37

整数

単値

0 = ディセーブル
1 = イネーブル

L2TP-MPPC-Compression

Y

38

整数

単値

0 = ディセーブル
1 = イネーブル

IPSec-IP-Compression

Y

Y

Y

39

整数

単値

0 = ディセーブル
1 = イネーブル

IPSec-IKE-Peer-ID-Check

Y

Y

Y

40

整数

単値

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IKE-Keep-Alives

Y

Y

Y

41

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

IPSec-Auth-On-Rekey

Y

Y

Y

42

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Required-Client- Firewall-Vendor-Code

Y

Y

Y

45

整数

単値

1 = シスコシステムズ(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Product-Code

Y

Y

Y

46

整数

単値

シスコシステムズ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:
1 = BlackIce Defender/Agent

Sygate 製品:
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Required-Client-Firewall-Description

Y

Y

Y

47

文字列

単値

文字列

Require-HW-Client-Auth

Y

Y

Y

48

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Required-Individual-User-Auth

Y

Y

Y

49

整数

単値

0 = ディセーブル
1 = イネーブル

Authenticated-User-Idle-Timeout

Y

Y

Y

50

整数

単値

1 ~ 35791394 分

Cisco-IP-Phone-Bypass

Y

Y

Y

51

整数

単値

0 = ディセーブル
1 = イネーブル

IPSec-Split-Tunneling-Policy

Y

Y

Y

55

整数

単値

0 = スプリット トンネリングなし
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPSec-Required-Client-Firewall-Capability

Y

Y

Y

56

整数

単値

0 = なし
1 = リモート FW Are-You-There (AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー

IPSec-Client-Firewall-Filter-Name

Y

57

文字列

単値

クライアントにファイアウォール ポリシーとしてプッシュするフィルタの名前を指定します。

IPSec-Client-Firewall-Filter-Optional

Y

Y

Y

58

整数

単値

0 = 必須
1 = オプション

IPSec-Backup-Servers

Y

Y

Y

59

文字列

単値

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにしてクリアする
3 = バックアップ サーバ リストを使用する

IPSec-Backup-Server-List

Y

Y

Y

60

文字列

単値

サーバ アドレス(スペース区切り)

DHCP-Network-Scope

Y

Y

Y

61

文字列

単値

IP アドレス

Intercept-DHCP-Configure-Msg

Y

Y

Y

62

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

MS-Client-Subnet-Mask

Y

Y

Y

63

ブーリアン

単値

IP アドレス

Allow-Network-Extension-Mode

Y

Y

Y

64

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Authorization-Type

Y

Y

Y

65

整数

単値

0 = なし
1 = RADIUS
2 = LDAP

Authorization-Required

Y

66

整数

単値

0 = No
1 = Yes

Authorization-DN-Field

Y

Y

Y

67

文字列

単値

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

IKE-KeepAlive-Confidence-Interval

Y

Y

Y

68

整数

単値

10 ~ 300 秒

WebVPN-Content-Filter-Parameters

Y

Y

69

整数

単値

1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

WebVPN-URL-List

Y

71

文字列

単値

URL リスト名

WebVPN-Port-Forward-List

Y

72

文字列

単値

ポート転送リスト名

WebVPN-Access-List

Y

73

文字列

単値

アクセスリスト名

Cisco-LEAP-Bypass

Y

Y

Y

75

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Homepage

Y

Y

76

文字列

単値

URL(http://example-portal.com など)

Client-Type-Version-Limiting

Y

Y

Y

77

文字列

単値

IPSec VPN のバージョン番号を示す文字列

WebVPN-Port-Forwarding-Name

Y

Y

79

文字列

単値

名前の文字列(「Corporate-Apps」など)。

このテキストでクライアントレス ポータル ホームページ上のデフォルト文字列「Application Access」が置き換えられます。

IE-Proxy-Server

Y

80

文字列

単値

IP アドレス

IE-Proxy-Server-Policy

Y

81

整数

単値

1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使用する

IE-Proxy-Exception-List

Y

82

文字列

単値

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-Bypass-Local

Y

83

整数

単値

0 = なし
1 = ローカル

IKE-Keepalive-Retry-Interval

Y

Y

Y

84

整数

単値

2 ~ 10 秒

Tunnel-Group-Lock

Y

Y

85

文字列

単値

トンネル グループの名前または「none」

Access-List-Inbound

Y

Y

86

文字列

単値

アクセスリスト ID

Access-List-Outbound

Y

Y

87

文字列

単値

アクセスリスト ID

Perfect-Forward-Secrecy-Enable

Y

Y

Y

88

ブーリアン

単値

0 = No
1 = Yes

NAC-Enable

Y

89

整数

単値

0 = No
1 = Yes

NAC-Status-Query-Timer

Y

90

整数

単値

30 ~ 1800 秒

NAC-Revalidation-Timer

Y

91

整数

単値

300 ~ 86400 秒

NAC-Default-ACL

Y

92

文字列

アクセスリスト

WebVPN-URL-Entry-Enable

Y

Y

93

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Access-Enable

Y

Y

94

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Entry-Enable

Y

Y

95

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-File-Server-Browsing-Enable

Y

Y

96

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-Enable

Y

Y

97

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Outlook-Exchange-Proxy-Enable

Y

Y

98

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Port-Forwarding-HTTP-Proxy

Y

Y

99

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Auto-Applet-Download-Enable

Y

Y

100

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Citrix-Metaframe-Enable

Y

Y

101

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-Apply-ACL

Y

Y

102

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Enable

Y

Y

103

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Required

Y

Y

104

整数

単値

0 = ディセーブル
1 = イネーブル

WebVPN-SSL-VPN-Client-Keep- Installation

Y

Y

105

整数

単値

0 = ディセーブル
1 = イネーブル

SVC-Keepalive

Y

Y

107

整数

単値

0 = Off
(15 ~ 600 秒)

SVC-DPD-Interval-Client

Y

Y

108

整数

単値

0 = Off
(5 ~ 3600 秒)

SVC-DPD-Interval-Gateway

Y

Y

109

整数

単値

0 = Off
(5 ~ 3600 秒)

SVC-Rekey-Time

Y

110

整数

単値

0 = ディセーブル
(1 ~ 10080 分)

WebVPN-Deny-Message

Y

116

文字列

単値

有効な文字列(最大 500 文字)

Extended-Authentication-On-Rekey

Y

Y

122

整数

単値

0 = ディセーブル
1 = イネーブル

SVC-DTLS

Y

123

整数

単値

0 = False
1 = True

SVC-MTU

Y

125

整数

単値

MTU 値
(256 ~ 1406 バイト)

SVC-Modules

Y

127

文字列

単値

文字列(モジュール名)

SVC-Profiles

Y

128

文字列

単値

文字列(プロファイル名)

SVC-Ask

Y

131

文字列

単値

0 = ディセーブル
1 = イネーブル
3 = デフォルト サービスをイネーブルにする
5 = デフォルト クライアントレスをイネーブルにする
(2 と 4 は未使用)

SVC-Ask-Timeout

Y

132

整数

単値

5 ~ 120 秒

IE-Proxy-PAC-URL

Y

133

文字列

単値

PAC アドレス文字列

Strip-Realm

Y

Y

Y

135

ブーリアン

単値

0 = ディセーブル
1 = イネーブル

Smart-Tunnel

Y

136

文字列

単値

スマート トンネルの名前

WebVPN-ActiveX-Relay

Y

137

整数

単値

0 = ディセーブル
0 以外 = イネーブル

Smart-Tunnel-Auto

Y

138

整数

単値

0 = ディセーブル
1 = イネーブル
2 = 自動スタート

Smart-Tunnel-Auto-Signon-Enable

Y

139

文字列

単値

ドメイン名によって付加されるスマート トンネルの自動サインオン リストの名前

VLAN

Y

140

整数

単値

0 - 4094

NAC-Settings

Y

141

文字列

単値

NAC ポリシーの名前

Member-Of

Y

Y

145

文字列

単値

コンマ区切りの文字列。例:

Engineering, Sales

これは、ダイナミック アクセス ポリシーで使用可能な管理アトリビュートですが、 グループ ポリシーは設定しません。

Address-Pools

Y

Y

217

文字列

単値

IP ローカル プールの名前

IPv6-Address-Pools

Y

218

文字列

単値

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

文字列

単値

ACL 値

Privilege-Level

Y

Y

220

整数

単値

0 ~ 15 の整数。

WebVPN-Macro-Value1

Y

223

文字列

単値

バインドされない。例およびユース ケースについては、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

WebVPN-Macro-Value2

Y

224

文字列

単値

バインドされない。例およびユース ケースについては、次の URL にある『SSL VPN Deployment Guide』を参照してください。

http://supportwiki.cisco.com/ViewWiki/index.php/Cisco_ASA_5500_SSL_VPN_Deployment_Guide%2C_Version_8.x

セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート

表 C-8 に、使用可能なすべての IETF RADIUS アトリビュートを示します。

表 C-8 セキュリティ アプライアンスでサポートされる IETF RADIUS アトリビュートと値

アトリビュート名
VPN 3000
ASA
PIX
アトリビュート #
構文/タイプ
単値
または多値
説明または値

IETF-Radius-Class

Y

Y

Y

25

単値

リモート アクセス VPN セッションのグループ ポリシーを設定します。バージョン 8.2 以降の場合、グループ ポリシー アトリビュートを使用することをお勧めます。次の 3 つの形式のいずれかを使用できます。

<グループ ポリシー名>

OU=<グループ ポリシー名>

OU=<グループ ポリシー名>;

IETF-Radius-Filter-Id

Y

Y

Y

11

文字列

単値

セキュリティ アプライアンスに定義されているアクセス リスト名。これはフル トンネル IPsec クライアントおよび SSL VPN クライアントだけに適用されます。

IETF-Radius-Framed-IP-Address

Y

Y

Y

該当なし

文字列

単値

IP アドレス

IETF-Radius-Framed-IP-Netmask

Y

Y

Y

該当なし

文字列

単値

IP アドレス マスク

IETF-Radius-Idle-Timeout

Y

Y

Y

28

整数

単値

IETF-Radius-Service-Type

Y

Y

Y

6

整数

単値

秒。有効なサービス タイプ値:
Administrative:ユーザは設定プロンプトへのアクセスを許可されます。

.NAS-Prompt:ユーザは exec プロンプトへのアクセスを許可されます。

.remote-access:ユーザはネットワーク アクセスを許可されます。

IETF-Radius-Session-Timeout

Y

Y

Y

27

整数

単値

外部 TACACS+ サーバの設定

セキュリティ アプライアンス は、TACACS+ アトリビュートをサポートします。TACACS+ では、認証、認可、アカウンティングの機能を分けています。このプロトコルでは、2 つのタイプのアトリビュート(必須とオプション)をサポートします。必須アトリビュートは、サーバとクライアントの両方で認識でき、ユーザに適用する必要があります。オプション アトリビュートの認識や使用は必須ではありません。


) TACACS+ アトリビュートを使用するには、NAS 上で AAA サービスがイネーブルになっていることを確認します。


表 C-9 に、カットスルー プロキシ接続でサポートされる TACACS+ 認可応答アトリビュートを示します。 表 C-10 サポートされる TACACS+ アカウンティング アトリビュート

 

表 C-9 サポートされる TACACS+ 認可応答アトリビュート

アトリビュート
説明

acl

接続に適用する、ローカルに設定されたアクセスリストを指定します。

idletime

許容される非アクティブ時間を分単位で指定します。ここに指定した時間の非アクティブ状態が経過すると、認証されたユーザ セッションは終了します。

timeout

認証クレデンシャルがアクティブである絶対時間を分単位で指定します。ここに指定した時間が経過すると、認証されたユーザ セッションは終了します。

 

表 C-10 サポートされる TACACS+ アカウンティング アトリビュート

アトリビュート
説明

bytes_in

この接続中に転送される入力バイト数を指定します(Stop レコードのみ)。

bytes_out

この接続中に転送される出力バイト数を指定します(Stop レコードのみ)。

cmd

実行されるコマンドを定義します(コマンド アカウンティングのみ)。

disc-cause

切断の理由を示す数値コードを指定します(Stop レコードのみ)。

elapsed_time

接続の経過時間を秒単位で定義します(Stop レコードのみ)。

foreign_ip

トンネル接続のクライアントの IP アドレスを指定します。カットスルー プロキシ接続の場合は、最もセキュリティの低いインターフェイス上のアドレスを定義します。

local_ip

トンネル接続でクライアントが接続する IP アドレスを指定します。カットスルー プロキシ接続の場合は、最もセキュリティの高いインターフェイス上のアドレスを定義します。

NAS port

接続のセッション ID が含まれます。

packs_in

この接続中に転送される入力パケット数を指定します。

packs_out

この接続中に転送される出力パケット数を指定します。

priv-level

コマンド アカウンティング要求の場合はユーザの特権レベルに、それ以外の場合は 1 に設定します。

rem_iddr

クライアントの IP アドレスを指定します。

service

使用するサービスを指定します。コマンド アカウンティングの場合だけ、常に「shell」に設定します。

task_id

アカウンティング トランザクションの一意のタスク ID を指定します。

username

ユーザの名前を示します。