ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
AAA サーバとローカル データベースの設定
AAA サーバとローカル データベースの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

AAA サーバとローカル データベースの設定

AAA について

認証について

認可について

アカウンティングについて

サーバ サポートの要約

RADIUS サーバのサポート

認証方法

属性のサポート

RADIUS 認可機能

TACACS+ サーバのサポート

RSA/SDI サーバのサポート

RSA/SDI バージョンのサポート

2 ステップ認証プロセス

RSA/SDI プライマリ サーバおよびレプリカ サーバ

NT サーバのサポート

Kerberos サーバのサポート

LDAP サーバのサポート

LDAP による認証

LDAP サーバのタイプ

クライアントレス SSL VPN に対する HTTP Forms 認証

ローカル データベース サポート(フォールバック方式としての機能を含む)

グループ内の複数のサーバを使用したフォールバックの仕組み

証明書とユーザ ログイン クレデンシャルの使用

ユーザ ログイン クレデンシャルの使用

証明書の使用

AAA サーバのライセンス要件

ガイドラインと制限事項

AAA の設定

AAA を設定するためのタスク フロー

AAA サーバ グループの設定

グループへのサーバの追加

AAA サーバ パラメータの設定

RADIUS サーバのフィールド

TACACS+ サーバのフィールド

SDI サーバのフィールド

Windows NT ドメイン サーバのフィールド

Kerberos サーバのフィールド

LDAP サーバのフィールド

HTTP Form サーバのフィールド

LDAP 属性マップの設定

ユーザ アカウントのローカル データベースへの追加

ガイドライン

制限事項

ユーザの追加

ユーザに対する VPN ポリシー属性の設定

認証プロンプトの追加

ユーザ パスワードの管理

ユーザ パスワードの変更

SSH 公開キーによるユーザの認証

サーバによる認証および認可のテスト

AAA サーバのモニタリング

その他の参考資料

RFC

AAA サーバの機能履歴

AAA サーバとローカル データベースの設定

この章では、認証、許可、アカウンティング(AAA、「トリプル エー」と発音)のサポート、および AAA サーバとローカル データベースの設定方法について説明します。

この章は、次の項目を取り上げます。

「AAA について」

「AAA サーバのライセンス要件」

「ガイドラインと制限事項」

「AAA の設定」

「サーバによる認証および認可のテスト」

「AAA サーバのモニタリング」

「その他の参考資料」

「AAA サーバの機能履歴」

AAA について

AAA によって、ASAが、ユーザが誰か(認証)、ユーザが何を実行できるか(認可)、およびユーザが何を実行したか(アカウンティング)を判別することが可能になります。

AAA には、ユーザ アクセスに対して、アクセス リストだけを使用する場合よりもレベルの高い保護および制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の Telnet にアクセスできるようにするアクセス リストを作成できます。一部のユーザだけがサーバにアクセスできるようにする際に、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使用すると、認証済みまたは認可済みのユーザだけにASAを介した接続を許可することができます (Telnet サーバもまた、認証を実行します。ASAは、認可されないユーザがサーバにアクセスできないようにします)。

認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。

この項は、次の内容で構成されています。

「認証について」

「認可について」

「アカウンティングについて」

「サーバ サポートの要約」

「RADIUS サーバのサポート」

「TACACS+ サーバのサポート」

「RSA/SDI サーバのサポート」

「NT サーバのサポート」

「Kerberos サーバのサポート」

「LDAP サーバのサポート」

「ローカル データベース サポート(フォールバック方式としての機能を含む)」

「グループ内の複数のサーバを使用したフォールバックの仕組み」

「証明書とユーザ ログイン クレデンシャルの使用」

「AAA を設定するためのタスク フロー」

認証について

認証では、有効なユーザ クレデンシャルを要求してアクセスを制御します。このクレデンシャルは通常、ユーザ名とパスワードです。次の項目を認証するように、ASAを設定できます。

ASA へのすべての管理接続(この接続には、次のセッションが含まれます)

Telnet

SSH

シリアル コンソール

ASDM(HTTPS を使用)

VPN 管理アクセス

enable コマンド

ネットワーク アクセス

VPN アクセス

認可について

ユーザの認証後、認可によって ユーザごと にアクセスが制御されます。次の項目を認可するように、ASAを設定できます。

管理コマンド

ネットワーク アクセス

VPN アクセス

認可によって、各認証済みユーザが使用できるサービスおよびコマンドが制御されます。認可をイネーブルにしていない場合は、認証だけで、すべての認証済みユーザがサービスに同じようにアクセスできます。

認可で提供される制御を必要とする場合は、広範な認証ルールを設定してから、詳細な認可を設定できます。たとえば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスできる外部サーバを認可によって制限できます。

ASAはユーザあたり最初の 16 件の認可要求をキャッシュするため、ユーザが現在の認証セッション中に同じサービスにアクセスした場合、ASAは認可サーバに要求を再送信しません。

アカウンティングについて

アカウンティングは、ASAを通過するトラフィックを追跡して、ユーザ アクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。ASAアカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、そのセッションでを経由したバイト数、使用されたサービス、各セッションの継続時間が含まれます。

サーバ サポートの要約

表 38-1 に、各 AAA サービスのサポート状況の要約を AAA サーバ タイプ(ローカル データベースを含む)別に示します。特定の AAA サーバ タイプのサポートの詳細については、表に続く項目を参照してください。

 

表 38-1 AAA サポートの要約

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI(RSA)
NT
Kerberos
LDAP
HTTP Form
認証

VPN ユーザ1

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes2

ファイアウォール セッション

Yes

Yes

Yes

Yes

Yes

Yes

Yes

No

管理者

Yes

Yes

Yes

Yes3

Yes

Yes

Yes

No

認可

VPN ユーザ

Yes

Yes

No

No

No

No

Yes

No

ファイアウォール セッション

No

Yes4

Yes

No

No

No

No

No

管理者

Yes5

No

Yes

No

No

No

No

No

アカウンティング

VPN 接続

No

Yes

Yes

No

No

No

No

No

ファイアウォール セッション

No

Yes

Yes

No

No

No

No

No

管理者

No

Yes6

Yes

No

No

No

No

No

1.SSL VPN 接続では、PAP または MS-CHAPv2 のいずれかを使用できます。

2.HTTP Form プロトコルでは、クライアントレス SSL VPN ユーザ セッションの場合に限り、認証とシングル サインオン操作の両方がサポートされます。

3.RSA/SDI は、ASA 5500 ソフトウェア バージョン 8.2(1) 以降を使用した ASDM HTTP 管理アクセス用にサポートされています。

4.ファイアウォール セッションの場合、RADIUS 認可はユーザ固有のアクセス リストでだけサポートされます。このアクセス リストは RADIUS 認証応答で受信または指定されます。

5.ローカル コマンド許可は、特権レベルに限りサポートされます。

6.コマンド アカウンティングは、TACACS+ でのみ使用できます。


表 38-1に記載されているネイティブ プロトコル認証のほか、ASAではプロキシ認証がサポートされています。たとえば、ASA は RADIUS サーバ経由で RSA/SDI または LDAP サーバ、あるいはその両方へのプロキシとして動作することができます。デジタル証明書、またはデジタル証明書と表内の AAA の組み合わせ、あるいはその両方による認証もサポートされます。


RADIUS サーバのサポート

ASA は AAA について、次の RFC 準拠 RADIUS サーバをサポートしています。

Cisco Secure ACS 3.2、4.0、4.1、4.2、および 5.x

Cisco Identity Services Engine(ISE)

RSA 認証マネージャ 5.2、6.1 および 7.x の RSA Radius

Microsoft

認証方法

ASAは、RADIUS で次の認証方法をサポートします。

PAP:すべての接続タイプの場合。

CHAP および MS-CHAPv1:L2TP-over-IPsec 接続の場合。

MS-CHAPv2:L2TP-over-IPsec 接続の場合。また、パスワード管理機能がイネーブルで、通常の IPsec リモート アクセス接続の場合。MS-CHAPv2 は、クライアントレス接続でも使用できます。

認証プロキシ モード:RADIUS から Active Directory、RADIUS から RSA/SDI、RADIUS からトークンサーバ、および RSA/SDI から RADIUS 接続。


) MS-CHAPv2 を、ASAと RADIUS サーバの間の VPN 接続で使用されるプロトコルとしてイネーブルにするには、トンネル グループ一般属性でパスワード管理をイネーブルにする必要があります。パスワード管理をイネーブルにすると、ASAから RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、password-management コマンドの説明を参照してください。

二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバが MS-CHAPv2 をサポートしない場合は、no mschapv2-capable コマンドを使用して、そのサーバが MS-CHAPv2 以外の認証要求を送信するように設定できます。


属性のサポート

ASAは、次の RADIUS 属性のセットをサポートします。

RFC 2138 に定義されている認証属性

RFC 2139 に定義されているアカウンティング属性

RFC 2868 に定義されているトンネル プロトコル サポート用の RADIUS 属性

Cisco IOS ベンダー固有属性(VSA)は、RADIUS ベンダー ID 9 で識別されます。

RADIUS ベンダー ID 3076 によって識別される Cisco VPN 関連 VSA

RFC 2548 に定義されている Microsoft VSA

Cisco VSA(Cisco-Priv-Level)。特権の標準ランキングである 0 ~ 15 の数値を指定します。1 が最低レベルを示し、15 が最高レベルを示します。0 レベルは特権がないことを示します。第 1 レベル(login)では、このレベルで使用可能なコマンドに対する特権 EXEC アクセスが許可されます。第 2 レベル(enable)では CLI コンフィギュレーション特権が許可されます。

属性の一覧については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ref_extserver.html#wp1605508

RADIUS 認可機能

ASA では RADIUS サーバを使用して、ダイナミック アクセス リストまたはユーザごとのアクセス リスト名を使用する VPN リモート アクセスおよびファイアウォール カットスルー プロキシ セッションのユーザ認可を実行できます。ダイナミック アクセス リストを実装するには、これをサポートするように RADIUS サーバを設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能なアクセス リスト、またはアクセス リスト名がASAに送信されます。所定のサービスへのアクセスがアクセス リストによって許可または拒否されます。認証セッションの有効期限が切れると、ASAによってアクセス リストが削除されます。

アクセス リストに加え、ASA では、その他多数の認可属性および VPN リモート アクセスおよびファイアウォール カットスルー プロキシ セッションに対する許可の設定をサポートします。認可属性すべての一覧については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ref_extserver.html#wp1605508

TACACS+ サーバのサポート

ASAは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認証をサポートします。

RSA/SDI サーバのサポート

RSA SecureID サーバは、SDI サーバとも呼ばれます。

この項は、次の内容で構成されています。

「RSA/SDI バージョンのサポート」

「2 ステップ認証プロセス」

「RSA/SDI プライマリ サーバおよびレプリカ サーバ」

RSA/SDI バージョンのサポート

ASA は、SDI バージョン 5.x、6.x、および 7.x をサポートします。SDI は、SDI プライマリ サーバおよび SDI レプリカ サーバの概念を使用します。各プライマリおよびそのレプリカは、シングル ノード秘密ファイルを共有します。そのノード シークレット ファイルの名前は、.sdi が付加された ACE またはサーバ IP アドレスの 16 進数値に基づきます。

ASA に設定するバージョン 5.x、6.x、または 7.x SDI サーバは、プライマリでも、レプリカのいずれか 1 つでもかまいません。ユーザ認証のための SDI エージェントによるサーバの選択方法の詳細については、「RSA/SDI プライマリ サーバおよびレプリカ サーバ」を参照してください。

2 ステップ認証プロセス

SDI バージョン 5.x、6.x、または 7.x は 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求から情報を取り込み、それを使用して別のサーバに認証を証明しないように防止します。エージェントはまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ名をロックして、別の(レプリカ)サーバがユーザ名を受信できないようにします。このアクションは、同じユーザが、同じ認証サーバを同時に使用して、2 つのASAに認証を証明することができないことを意味します。ユーザ名のロックに成功すると、ASAはパスコードを送信します。

RSA/SDI プライマリ サーバおよびレプリカ サーバ

ASAは、最初のユーザが設定済みサーバ(プライマリでもレプリカでもかまいません)に認証を証明するときに、サーバ リストを取得します。次に、ASA はリスト上の各サーバにプライオリティを割り当て、その後のサーバ選択では、この割り当てられたプライオリティのサーバから無作為に抽出します。最もプライオリティの高いサーバが選択される可能性が高くなります。

NT サーバのサポート

ASAでは、NTLM バージョン 1 をサポートしている Microsoft Windows Server オペレーティング システム(ひとまとめにして「NT サーバ」と呼びます)がサポートされています。


) NT サーバでは、ユーザ パスワードの最大長は 14 文字です。それより長いパスワードは、NTLM バージョン 1 の制限により切り捨てられます。


Kerberos サーバのサポート

ASAは、3DES、DES、および RC4 暗号タイプをサポートしています。


) ASAは、トンネル ネゴシエーション中のユーザ パスワードの変更はサポートしていません。この状況が意図せずに発生することを回避するために、ASAに接続するユーザの Kerberos/Active Directory サーバでのパスワード期限切れをディセーブルにします。


LDAP サーバのサポート

ASAでは LDAP をサポートしています。この項は、次の内容で構成されています。

「LDAP による認証」

「LDAP サーバのタイプ」

LDAP による認証

認証中、ASAは、ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使って LDAP サーバに対する認証を行います。デフォルトで、ASAは、通常はユーザ名とパスワードである認証パラメータを LDAP サーバにプレーン テキストで渡します。

ASA では、次の SASL メカニズムをサポートしています。次に、強度の低い順番に示します。

Digest-MD5:ASAは、ユーザ名とパスワードから計算した MD5 値を使用して LDAP サーバに応答します。

Kerberos:ASAは、GSSAPI Kerberos メカニズムを使用して、ユーザ名とレルムを送信することで LDAP サーバに応答します。

これらの SASL メカニズムの任意の組み合わせをサポートするように、ASAと LDAP サーバを設定できます。複数のメカニズムを設定した場合、ASAではサーバに設定されている SASL メカニズムのリストが取得され、認証メカニズムはASAとサーバの両方に設定されているメカニズムのなかで最も強力なものに設定されます。たとえば、LDAP サーバとASAの両方がこれら両方のメカニズムをサポートしている場合、ASAは、より強力な方の Kerberos メカニズムを選択します。

ユーザ LDAP 認証が成功すると、LDAP サーバは認証されたユーザの属性を返します。VPN 認証の場合、通常これらの属性には、VPN セッションに適用される認可データが含まれます。したがって、LDAP を使用すると、認証と認可が 1 つのステップで行われます。

LDAP サーバのタイプ

ASAでは LDAP バージョン 3 がサポートされており、Sun Microsystems JAVA System Directory Server(従来の Sun ONE Directory Server)、Microsoft Active Directory、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバとの互換性があります。

デフォルトでは、ASAによって Microsoft Active Directory、Sun LDAP、Novell、OpenLDAP、または汎用 LDAPv3 ディレクトリ サーバに接続しているかどうかが自動検出されます。ただし、自動検出により LDAP サーバのタイプが特定できなくても、そのサーバが、Microsoft Active Directory、Sun LDAP ディレクトリ サーバ、それ以外の LDAP サーバのいずれであるかがわかっている場合は、そのサーバ タイプを手動で設定できます。

サーバ タイプを設定する際には、次のガイドラインに注意してください。

Sun ディレクトリ サーバにアクセスするようにASAで設定されている Distinguished Name(DN; 認定者名)は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACL を設定できます。

Microsoft Active Directory および Sun サーバでのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。

ASAでは、Novell、OpenLDAP、およびその他の LDAPv3 ディレクトリ サーバを使用したパスワード管理はサポートされません。

ASA では、ログイン識別名(DN)とログイン パスワードを使用して、LDAP サーバとの信頼関係(バインド)が確立されます。詳細については、「LDAP への ASA のバインド」を参照してください。

クライアントレス SSL VPN に対する HTTP Forms 認証

ASAでは、クライアントレス SSL VPN ユーザ セッションの認証と Single Sign-On(SSO; シングル サインオン)操作だけに HTTP Form プロトコルを使用できます。

ローカル データベース サポート(フォールバック方式としての機能を含む)

ASAは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。

ローカル データベースは、複数の機能のフォールバック方式として動作できます。この動作は、ASAから誤ってロックアウトされないようにすることを意図しています。

フォールバック サポートを必要とするユーザについては、ローカル データベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカル データベースのどちらがサービスを提供しているかが判別できないので、ローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカル データベースでサポートされているフォールバック機能は次のとおりです。

コンソールおよびイネーブル パスワード認証:グループ内のサーバがすべて使用できない場合、ASA ではローカル データベースを使用して管理アクセスを認証します。これには、イネーブル パスワード認証が含まれる場合があります。

コマンド許可:グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカル データベースが使用されます。

VPN 認証および認可:VPN 認証および認可は、通常この VPN サービスをサポートしている AAA サーバが使用できない場合、ASAへのリモート アクセスをイネーブルにするためにサポートされます。管理者である VPN クライアントが、ローカル データベースへのフォールバックを設定されたトンネル グループを指定する場合、AAA サーバ グループが使用できない場合でも、ローカル データベースが必要な属性で設定されていれば、VPN トンネルが確立できます。

グループ内の複数のサーバを使用したフォールバックの仕組み

サーバ グループ内に複数のサーバを設定し、サーバ グループのローカル データベースへのフォールバックをイネーブルにしている場合、ASAからの認証要求に対してグループ内のどのサーバからも応答がないと、フォールバックが発生します。次のシナリオで例証します。

サーバ 1、サーバ 2 の順で、LDAP サーバ グループに 2 台の Active Directory サーバを設定します。リモート ユーザがログインすると、ASAによってサーバ 1 に対する認証が試みられます。

サーバ 1 から認証エラー(「user not found」など)が返されると、ASAによるサーバ 2 に対する認証は試みられません。

タイムアウト期間内にサーバ 1 から応答がないと(または認証回数が、設定されている最大数を超えている場合)、ASAによってサーバ 2 に対する認証が試みられます。

グループ内のどちらのサーバからも応答がなく、ASA にローカル データベースへのフォールバックが設定されている場合、ASA によってローカル データベースに対する認証が試みられます。

証明書とユーザ ログイン クレデンシャルの使用

この項では、認証と認可に証明書およびユーザ ログイン クレデンシャル(ユーザ名とパスワード)を使用する、さまざまな方法について説明します。これらの方式は、IPSec、AnyConnect、およびクライアントレス SSL VPN に適用されます。

すべての場合において、LDAP 認可では、パスワードをクレデンシャルとして使用しません。RADIUS 認可では、すべてのユーザの共通パスワードまたはユーザ名のいずれかを、パスワードとして使用します。

この項は、次の内容で構成されています。

「ユーザ ログイン クレデンシャルの使用」

「証明書の使用」

ユーザ ログイン クレデンシャルの使用

認証および認可のデフォルトの方法では、ユーザ ログイン クレデンシャルを使用します。

認証

トンネル グループ(ASDM 接続プロファイルとも呼ばれます)の認証サーバ グループ設定によりイネーブルにされます。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

トンネル グループ(ASDM 接続プロファイルとも呼ばれます)の認可サーバ グループ設定によりイネーブルにされます。

ユーザ名をクレデンシャルとして使用します。

証明書の使用

ユーザ デジタル証明書が設定されている場合、ASAによって最初に証明書が検証されます。ただし、証明書の DN は認証用のユーザ名として使用されません。

認証と認可の両方がイネーブルになっている場合、ASAによって、ユーザの認証と認可の両方にユーザ ログイン クレデンシャルが使用されます。

認証

認証サーバ グループ設定によってイネーブルにされます。

ユーザ名とパスワードをクレデンシャルとして使用します。

認可

認可サーバ グループ設定によってイネーブルにされます。

ユーザ名をクレデンシャルとして使用します。

認証がディセーブルで認可がイネーブルになっている場合、ASAによって認可にプライマリ DN のフィールドが使用されます。

認証

認証サーバ グループ設定によってディセーブル([None] に設定)になります。

クレデンシャルは使用されません。

認可

認可サーバ グループ設定によってイネーブルにされます。

証明書のプライマリ DN フィールドのユーザ名の値をクレデンシャルとして使用します。


) 証明書にプライマリ DN のフィールドが存在しない場合、ASAでは、セカンダリ DN のフィールド値が認可要求のユーザ名として使用されます。


次のサブジェクト DN フィールドと値が含まれるユーザ証明書を例に挙げます。

Cn=anyuser,OU=sales;O=XYZCorporation;L=boston;S=mass;C=us;ea=anyuser@example.com
 

プライマリ DN = EA(電子メール アドレス)およびセカンダリ DN = CN(一般名)の場合、認可要求で使われるユーザ名は anyuser@example.com になります。

AAA サーバのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドライン

username コマンドには、8.4(3) 以前用および 8.4(4) 以降用の 2 つのバージョンがあります。詳細については、コマンド リファレンスを参照してください。

AAA の設定

この項は、次の内容で構成されています。

「AAA サーバ グループの設定」

「グループへのサーバの追加」

「AAA サーバ パラメータの設定」

「LDAP 属性マップの設定」

「ユーザ アカウントのローカル データベースへの追加」

「認証プロンプトの追加」

「ユーザ パスワードの管理」

「ユーザ パスワードの変更」

「SSH 公開キーによるユーザの認証」

AAA を設定するためのタスク フロー


ステップ 1 次のいずれかまたは両方を実行します。

AAA サーバ グループを追加します。「AAA サーバ グループの設定」を参照してください。

ローカル データベースにユーザを追加します。「ユーザ アカウントのローカル データベースへの追加」を参照してください。

ステップ 2 サーバ グループの場合は、グループにサーバを追加します。「グループへのサーバの追加」を参照してください。

ステップ 3 サーバ グループの場合は、サーバ パラメータを設定します。「AAA サーバ パラメータの設定」を参照してください。

ステップ 4 LDAP サーバの場合は、LDAP 属性マップを設定します。「LDAP 属性マップの設定」を参照してください。

ステップ 5 (任意)AAA 認証チャレンジ プロセスの実行中にユーザに表示するテキストを指定します。「認証プロンプトの追加」を参照してください。

ステップ 6 管理者は、ユーザのパスワード ポリシー属性を指定します。「ユーザ パスワードの管理」を参照してください。

ステップ 7 (任意)ユーザは自分のパスワードを変更できます。「ユーザ パスワードの変更」を参照してください。

ステップ 8 (任意)ユーザは公開キーを使用して認証できます。「SSH 公開キーによるユーザの認証」を参照してください。


 

AAA サーバ グループの設定

認証、許可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバ グループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバ グループは名前で識別されます。各サーバ グループは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。

ガイドライン

シングル モードで最大 100 個のサーバ グループ、またはマルチ モードでコンテキストごとに 4 つのサーバ グループを持つことができます。

各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。

ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。グループ内のすべてのサーバが使用できない場合、ASAは、ローカル データベースがフォールバック方式として設定されていると、ローカル データベースに接続しようとします(管理認証および認可限定)。フォールバック方式として設定されていない場合、ASAは引き続き AAA サーバにアクセスしようとします。

手順の詳細

セキュリティ コンテキストを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] を選択します。

ステップ 2 [AAA Server Groups] 領域で、[Add] をクリックします。

[Add AAA Server Group] ダイアログボックスが表示されます。

ステップ 3 [Server Group] フィールドで、グループの名前を入力します。

ステップ 4 [Protocol] ドロップダウン リストから、次のいずれかのサーバ タイプを選択します。

RADIUS

TACACS+

SDI

NT Domain

Kerberos

LDAP

HTTP Form

ステップ 5 [Accounting Mode] フィールドで、目的のモードに対応するオプション ボタン([Simultaneous] または [Single])をクリックします。

[Single] モードの場合、ASAではアカウンティング データが 1 つのサーバにだけ送信されます。

[Simultaneous] モードの場合、ASAではアカウンティング データがグループ内のすべてのサーバに送信されます。


) このオプションは、HTTP Form、SDI、NT、Kerberos、および LDAP の各プロトコルに対しては使用できません。


ステップ 6 [Reactivation Mode] フィールドで、目的のモードに対応するオプション ボタン([Depletion] または [Timed])をクリックします。

[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。

Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。

ステップ 7 [Depletion] 再アクティブ化モードを選択した場合は、[Dead Time] フィールドに時間間隔を入力します。

[Dead Time] には、グループ内の最後のサーバがディセーブルになってから、すべてのサーバが再びイネーブルになるまでの時間間隔を分単位で指定します。

ステップ 8 [Max Failed Attempts] フィールドに、許容される試行の失敗回数を指定します。

このオプションで設定するのは、応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数です。

ステップ 9 (任意)RADIUS サーバのタイプを追加する場合には、次の手順を実行します。

a. クライアントレス SSL セッションおよび AnyConnect セッションに対して、マルチセッション アカウンティングをイネーブルにする場合は、[Enable interim accounting update] チェックボックスをオンにします。

b. [Enable Active Directory Agent Mode] チェックボックスをオンにして ASA と AD エージェント間の共有秘密を指定し、RADIUS サーバ グループにフル機能の RADIUS サーバではない AD エージェントを含めるよう指示します。ユーザ アイデンティティに関連付けることができるのは、このオプションを使用して設定された RADIUS サーバ グループのみです。

c. [VPN3K Compatibility Option] 下矢印をクリックしてリストを展開し、さらに次のいずれかのオプション ボタンをクリックして、RADIUS パケットから受け取ったダウンロード可能な ACL を、Cisco AV ペア ACL とマージするかどうかを指定します。

Do not merge

Place the downloadable ACL after Cisco AV-pair ACL

Place the downloadable ACL before Cisco AV-pair ACL

ステップ 10 [OK] をクリックします。

[Add AAA Server Group] ダイアログボックスが閉じ、新しいサーバ グループが [AAA Server Groups] テーブルに追加されます。

ステップ 11 変更内容を保存する場合は、[AAA Server Groups] ダイアログボックスで、[Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。


 

グループへのサーバの追加

AAA サーバをグループに追加するには、次の手順を実行します。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] を選択し、[AAA Server Groups] 領域で、サーバを追加するサーバ グループをクリックします。

テーブル内の該当する行が選択されます。

ステップ 2 [Selected Group] 領域の [Servers](下部ペイン)で、[Add] をクリックします。

サーバ グループに対応する [Add AAA Server Group] ダイアログボックスが表示されます。

ステップ 3 [Interface Name] ドロップダウン リストから、認証サーバが常駐するインターフェイスの名前を選択します。

ステップ 4 [Server Name] フィールドまたは [IP Address] フィールドに、グループに追加するサーバの名前または IP アドレスを入力します。

ステップ 5 [Timeout] フィールドで、タイムアウト値を入力します。デフォルト値をそのまま使用することもできます。[Timeout] フィールドには、バックアップ サーバへ要求を送信したASAが、プライマリ サーバからの応答を待機する時間を秒単位で指定します。

ステップ 6 使用できるその他のパラメータは、サーバのタイプにより異なります。各サーバ タイプに特化したパラメータについては、次の各項目を参照してください。

「RADIUS サーバのフィールド」

「TACACS+ サーバのフィールド」

「SDI サーバのフィールド」

「Windows NT ドメイン サーバのフィールド」

「Kerberos サーバのフィールド」

「LDAP サーバのフィールド」

「HTTP Form サーバのフィールド」

ステップ 7 [OK] をクリックします。

[Add AAA Server Group] ダイアログボックスが閉じ、AAA サーバが AAA サーバ グループに追加されます。

ステップ 8 変更内容を保存する場合は、[AAA Server Groups] ペインで、[Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。


 

AAA サーバ パラメータの設定

この項では、サーバ グループにサーバを追加する際の、各サーバ タイプに特化したフィールドについて示します。次の項目を取り上げます。

「RADIUS サーバのフィールド」

「TACACS+ サーバのフィールド」

「SDI サーバのフィールド」

「Windows NT ドメイン サーバのフィールド」

「Kerberos サーバのフィールド」

「LDAP サーバのフィールド」

「HTTP Form サーバのフィールド」

詳細については、「グループへのサーバの追加」を参照してください。

RADIUS サーバのフィールド

次の表は、RADIUS サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

ACL Netmask Convert

ダウンロード可能なアクセス リストから受け取ったネットマスクを ASA でどのように処理するかを指定します。

[Detect automatically]:ASA で、使用されているネットマスク表現のタイプが判定されます。ASA でワイルドカード ネットマスク表現が検出された場合は、ASA により標準ネットマスク表現に変換されます。


) 一部のワイルドカード表現は明確な検出が困難なため、この設定を選択した場合には、ワイルドカード ネットマスク表現が誤って標準ネットマスク表現として検出されることもあります。


[Standard]:ASA では、RADIUS サーバから受け取ったダウンロード可能なアクセス リストには標準ネットマスク表現だけが含まれていると見なされます。ワイルドカード ネットマスク表現からの変換は実行されません。

[Wildcard]:ASA では、RADIUS サーバから受け取ったダウンロード可能なアクセス リストには、ワイルドカード ネットマスク表現だけが含まれていると見なされ、アクセス リストがダウンロードされた時点で、それらはすべて標準ネットマスク表現に変換されます。

Common Password

ASA を介して RADIUS 認可サーバにアクセスするユーザに共通のパスワードを指定します。このパスワードは大文字と小文字が区別されます。この情報は、RADIUS サーバ管理者に伝えてください。

(注) RADIUS 認証サーバ(認可サーバではない)に対しては、共通のパスワードは設定しないでください。

このフィールドをブランクのままにした場合は、RADIUS 認可サーバにアクセスする際のパスワードには、各ユーザのユーザ名が使用されます。

RADIUS 認可サーバを認証に使用することは避けてください。共通パスワードやユーザ名を転用したパスワードは、ユーザごとに一意のパスワードに比べ、安全性が低くなります。

(注) このパスワードは、RADIUS プロトコルや RADIUS サーバによって要求されますが、ユーザが知っている必要はありません。

Microsoft CHAPv2 Capable

二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバが MS-CHAPv2 をサポートしていない場合、このチェックボックスをオンにすれば、そのサーバから非 MS-CHAPv2 認証要求が送信されるようにできます。

Retry Interval

ASAからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

Server Accounting Port

ユーザのアカウンティングに使用するサーバ ポートを指定します。デフォルトのポートは 1646 です。

Server Authentication Port

ユーザの認証に使用するサーバ ポートを指定します。デフォルトのポートは 1645 です。

Server Secret Key

ASAで RADIUS サーバを認証する際に使用される共有秘密キーを指定します。ここで設定したサーバ秘密キーは、RADIUS サーバで設定されたサーバ秘密キーと一致する必要があります。サーバ秘密キーが不明の場合は、RADIUS サーバの管理者に問い合わせてください。最大フィールド長は、64 文字です。

TACACS+ サーバのフィールド

次の表は、TACACS+ サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

Server Port

このサーバで使用するポートを指定します。

Server Secret Key

ASAで TACACS+ サーバを認証する際に使用される共有秘密キーを指定します。ここで設定したサーバ秘密キーは、TACACS+ サーバで設定されたサーバ秘密キーと一致する必要があります。サーバ秘密キーが不明の場合は、RADIUS サーバの管理者に問い合わせてください。最大フィールド長は、64 文字です。

SDI サーバのフィールド

次の表は、SDI サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

Server Port

このサーバへのアクセスに使用される TCP ポート番号を指定します。

Retry Interval

ASAからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

Windows NT ドメイン サーバのフィールド

次の表は、Windows NT ドメイン サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

Server Port

ポート番号 139、またはASAにおいて Windows NT サーバとの通信に使用される TCP ポート番号を指定します。

Domain Controller

このサーバの NT プライマリ ドメイン コントローラのホスト名(15 文字以下)を指定します(たとえば、PDC01)。ここに入力する名前は、[Authentication Server Address] フィールドに IP アドレスを入力したサーバのホスト名に一致している必要があります。一致していないと、認証は失敗します。

Kerberos サーバのフィールド

次の表は、Kerberos サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

Server Port

サーバ ポート番号 88、またはASAにおいて Kerberos サーバとの通信に使用される UDP ポート番号を指定します。

Retry Interval

ASAからサーバへ接続を試行した後、次に試行するまでの待機時間間隔を、1 ~ 10 秒の間で指定します。

Realm

Kerberos レルムの名前を指定します。次に、例を示します。

EXAMPLE.COM

EXAMPLE.NET

EXAMPLE.ORG


) Kerberos サーバではほとんどの場合、認証を正常に実行するための必要条件として、レルム名はすべて大文字で指定する必要があります。


最大長は、64 文字です。次のタイプのサーバでは、レルム名をすべて大文字で入力する必要があります。

Windows 2000

Windows XP

Windows.NET

[Server IP Address] フィールドに IP アドレスを入力したサーバの正しいレルム名を入力する必要があります。

LDAP サーバのフィールド

次の表は、LDAP サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

 

フィールド
説明

[Enable LDAP over SSL] チェックボックス

このチェックボックスをオンにすると、ASA と LDAP サーバとの間で行われる通信のセキュリティが SSL によって確保されます。セキュア LDAP(LDAP-S)とも呼ばれます。

(注) SASL プロトコルを設定しない場合は、SSL を使用して LDAP 通信のセキュリティを確保することを強く推奨します。

Server Port

ASA から LDAP サーバへアクセスする際、単純認証(セキュアでない認証)に使用される TCP ポート番号 389 またはセキュアな認証(LDAP-S)に使用される TCP ポート番号 636 を指定します。

LDAP サーバはすべて、認証および認可をサポートしています。Microsoft AD サーバおよび Sun LDAP サーバに限っては、さらに、LDAP-S を必要とする VPN リモート アクセス パスワード管理機能もサポートしています。

Server Type

このドロップダウン リストでは、次の LDAP サーバ タイプの中からいずれか 1 つを選択します。

Detect Automatically/Use Generic Type

Microsoft

Novell

OpenLDAP

Sun

Base DN

ベース識別名、または LDAP 要求を受け取ったサーバで検索が開始される LDAP 階層内の位置を指定します(例:OU=people, dc=cisco, dc=com)。

Scope

認可要求を受け取ったサーバで行われる検索の範囲を指定します。次のオプションを使用できます。

[One Level]:ベース DN の 1 レベル下だけを検索します。このオプションを選択すると、検索の実行時間が短縮されます。

[All Levels]:ベース DN の下にあるすべてのレベル(つまりサブツリー階層全体)が検索対象となります。このオプションを選択すると、検索の実行に時間がかかります。

Naming Attribute(s)

LDAP サーバのエントリを一意に識別する Relative Distinguished Name 属性を指定します(複数可)。共通の名前付き属性は、Common Name(CN)、sAMAccountName、userPrincipalName、および User ID(uid)です。

Login DN

ASAは、Login Distinguished Name(DN; 認定者名)とログイン パスワードを使用して、LDAP サーバとの信頼(バインド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レコードを表します。

バインディング時、ASA は、サーバに対する認証を Login DN と Login Password を使用して行います。Microsoft Active Directory の読み取り専用操作(認証、認可、グループ検索など)を行うとき、ASA では特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの一部を指定する必要があります。

次に、Login DN の例を示します。

cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com
 

ASA は、次の機能をサポートします。

暗号化されていないパスワードを使用したポート 389 での簡易 LDAP 認証

ポート 636 でのセキュアな LDAP(LDAP-S)

Simple Authentication and Security Layer(SASL)MD5

SASL Kerberos

ASA は匿名認証をサポートしていません。

Login Password

ログイン DN ユーザ アカウントのパスワードを指定します。入力した文字はアスタリスクに置き換えられます。

LDAP Attribute Map

LDAP サーバに適用できる LDAP 属性マップを指定します。この属性マップは、シスコの属性の名前を、ユーザ定義属性の名前および値にマップする際に使用します。詳細については、「認証プロンプトの追加」を参照してください。

[SASL MD5 authentication] チェックボックス

このチェックボックスをオンにすると、SASL の MD5 メカニズムによって、ASA と LDAP サーバとの間の通信が認証されます。

SASL Kerberos authentication

このチェックボックスをオンにすると、SASL の Kerberos メカニズムによって、ASAと LDAP サーバとの間で行われる認証通信のセキュリティが確保されます。

Kerberos Server Group

認証に使用する Kerberos サーバまたは Kerberos サーバ グループを指定します。[Kerberos Server Group] オプションはデフォルトでディセーブルになっており、SASL Kerberos 認証が選択された場合だけイネーブルになります。

Group Base DN

LDAP プロトコルが使用される Active Directory サーバに対してだけ使用します。この DN により、LDAP 階層内で AD グループ(つまり、memberOf 列挙のリスト)の検索を開始する位置が指定されます。このフィールドの設定を行わない場合、ASA では、AD グループの取得にベース DN が使用されます。

ASDM では、取得した AD グループのリストに基づいて、ダイナミック アクセス ポリシーの AAA 選択基準が定義されます。詳細については、「 show ad-groups コマンド」を参照してください。

Group Search Timeout

使用できるグループについてのクエリーに対して AD サーバから応答があるまでの最長待機時間を指定します。

HTTP Form サーバのフィールド

この領域は、選択したサーバ グループで HTTP Form が使用されているときに限って表示されます。この領域に表示されるのは、サーバ グループ名およびプロトコルだけです。HTTP Form を使用している場合、他のフィールドは使用できません。

次のパラメータが不明の場合は、ASA を介さず認証 Web サーバへ直接ログインしているときに、HTTP ヘッダー アナライザを使用して GET および POST による HTTP 交換からデータを抽出します。

次の表は、HTTP Form サーバに特化したフィールドと、その説明をまとめたものです。これらのフィールドは、「グループへのサーバの追加」で行う設定の中で使用されます。

LDAP 属性マップの設定

フィールド
説明

Start URL

事前ログイン クッキーが取得できる認証 Web サーバの場所を表す完全 URL を指定します。このパラメータは、ログイン ページとともに事前ログイン クッキーが認証 Web サーバへロードされる場合以外は、設定する必要はありません。ドロップダウン リストには、HTTP と HTTPS の両方が表示されます。入力できる最大文字数は 1024 文字で、最小文字数の制限はありません。

Action URI

認可 Web サーバ上の認証プログラムの完全 URI を指定します。URI 全体の最大文字数は、2048 文字です。

Username

SSO 認証に使用される HTTP フォームの一部として送信する必要があるユーザ名パラメータの名前(特定のユーザ名ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

Password

SSO 認証に使用される HTTP フォームの一部として送信する必要があるユーザ パスワード パラメータの名前(特定のパスワード値ではありません)を指定します。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

Hidden Values

SSO 認証用として認証 Web サーバに送信される HTTP POST 要求の非表示パラメータを指定します。HTTP POST 要求内に含まれることからもわかるように、このパラメータは認証 Web サーバから要求があった場合に限り必要となります。入力できる最大文字数は 2048 文字です。

Authentication Cookie Name

(任意)正常にログインが行われた際、サーバによって認証情報を保存するために設定されるクッキーの名前を指定します。Web サーバから返される他のクッキーと区別しやすいよう、認証クッキーに対して意味のある名前を割り当てる場合に使用されます。入力できる最大文字数は 128 文字で、最少文字数の制限はありません。

ASA では、LDAP ディレクトリを使用して、VPN リモート アクセス ユーザまたはファイアウォール ネットワーク アクセス セッションおよびカットスルー プロキシ セッションの認証を行えます。また、ACL、ブックマーク リスト、DNS 設定または WINS 設定、セッション タイマーといったポリシー権限(認可属性とも呼ばれます)の設定も行えます。つまり、外部から LDAP サーバを介して、ローカル グループ ポリシーに含まれる主要な属性を設定できるということです。

認可プロセスは LDAP 属性マップ(ベンダー固有属性を定義する RADIUS ディクショナリに類似しています)によって行われます。このプロセスにより、ネイティブ LDAP ユーザ属性が Cisco ASA 属性名に変換されます。それらの属性マップを LDAP サーバにバインドしたり、必要に応じて削除したりすることができます。また、属性マップを表示または消去することもできます。

ガイドライン

属性マッピング機能を適切に使用するには、Cisco LDAP 属性の名前と値およびユーザ定義の属性の名前と値を理解する必要があります。LDAP 属性マップの詳細については、「Active Directory/LDAP VPN リモート アクセス認可の例」を参照してください。

頻繁にマッピングされるシスコの LDAP 属性の名前と、一般にマッピングされるユーザ定義の属性のタイプは次のとおりです。

IETF-Radius-Class(ASA バージョン 8.2 以降における Group_Policy):ディレクトリの部門またはユーザ グループ(たとえば、Microsoft Active Directory memberOf)属性値に基づいてグループ ポリシーを設定します。ASDM バージョン 6.2/ASA バージョン 8.2 以降では、IETF-Radius-Class 属性の代わりに group-policy 属性が使用されます。

IETF-Radius-Filter-Id:VPN クライアント、IPSec、および SSL に適用されるアクセス コントロール リスト(ACL)。

IETF-Radius-Framed-IP-Address:VPN リモート アクセス クライアント、IPSec、および SSL にスタティック IP アドレスを割り当てます。

Banner1:VPN リモート アクセス ユーザのログイン時にテキスト バナーを表示します。

Tunneling-Protocols:アクセス タイプに基づいて、VPN リモート アクセス セッションを許可または拒否します。


) 1 つの ldap 属性マップに、1 つ以上の属性を含めることができます。特定の LADP サーバには 1 つの ldap 属性のみを割り当てることができます。


LDAP 機能を正しくマップするには、次の手順を実行します。

手順の詳細

 


ステップ 1 [Configuration] > [Remote Access VPN] > [AAA Local Users] > [LDAP Attribute Map] の順に選択し、[Add] をクリックします。

[Map Name] タブが表示された状態で [Add LDAP Attribute Map] ダイアログボックスが開きます。

ステップ 2 [Name] フィールドに、マップの名前を入力します。

ステップ 3 [Customer Name] フィールドに、各自の組織に対応する属性の名前を入力します。

ステップ 4 [Cisco Name] ドロップダウン リストから、属性を選択します。

ステップ 5 [Add] をクリックします。

ステップ 6 さらに名前を追加する場合は、ステップ 1 5 を繰り返します。

ステップ 7 カスタマーの名前をマップする場合は、[Map Value] タブをクリックします。

ステップ 8 [Add] をクリックします。

[Add LDAP Attributes Map Value] ダイアログボックスが表示されます。

ステップ 9 [Customer Name] ドロップダウン リストから属性を選択します。

ステップ 10 [Customer Value] フィールドに、この属性の値を入力します。

ステップ 11 [Cisco Value] フィールドに、前の手順で指定した値のマップ先となるシスコ値を入力します。

ステップ 12 [Add] をクリックします。

値がマップされます。

ステップ 13 さらに名前をマップする場合は、ステップ 8 12 を繰り返します。

ステップ 14 [OK] をクリックして [Map Value] タブに戻り、再度 [OK] をクリックしてダイアログボックスを閉じます。

ステップ 15 [LDAP Attribute Map] ペインで、[Apply] をクリックします。

値のマッピングが実行コンフィギュレーションに保存されます。


 

ユーザ アカウントのローカル データースへの追加

この項では、ローカル データベースでユーザを管理する方法について説明します。次の項目を取り上げます。

「ユーザの追加」

「ユーザに対する VPN ポリシー属性の設定」

ガイドライン

次の各機能は、ローカル データベースを使用して実行されます。

ASDM ユーザごとのアクセス

デフォルトでは、ユーザ名のフィールドはブランクにしたまま、パスワードのフィールドにイネーブル パスワードを指定すれば ASDM にログインできます( 「ホスト名、ドメイン名、およびパスワードの設定」 を参照)。ただし、ログイン画面で(ユーザ名のフィールドをブランクにせず)ユーザ名とパスワードを入力すると、ASDM ではそれらを照合するためにローカル データベースのチェックが行われます。

コンソール認証

Telnet 認証および SSH 認証

enable コマンド認証

この設定は、CLI アクセスにだけ使用され、ASDM ログインには影響しません。

コマンド許可

ローカル データベースを使用するコマンド許可を有効にすると、ASA では、ユーザ特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド許可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。 ASDM には、コマンドへの割り当てをイネーブルにできる特権レベルが事前に定義されています。割り当てることができるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。事前定義済みのレベルを使用する場合は、ユーザを 3 種類の特権レベルのいずれかに割り当てます。

ネットワーク アクセス認証

VPN クライアント認証

マルチ コンテキスト モードの場合、システム実行スペースでユーザ名を設定し、 login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカル データベースを参照する AAA ルールは設定できません。

制限事項

ローカル データベースはネットワーク アクセス認可には使用できません。

ユーザの追加

ユーザをローカル データベースに追加するには、次の手順を実行します。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択し、[Add] をクリックします。

[Add User Account-Identity] ダイアログボックスが表示されます。

ステップ 2 [Username] フィールドに、4 ~ 64 文字のユーザ名を入力します。

ステップ 3 [Password] フィールドに、3 ~ 32 文字の間でパスワードを入力します。パスワードでは大文字と小文字が区別されます。フィールドには、アスタリスクだけが表示されます。セキュリティを確保するために、パスワードの長さは 8 文字以上にすることを推奨します。


) [User Accounts] ペインでイネーブル パスワードを設定する場合は(「ホスト名、ドメイン名、およびパスワードの設定」を参照)、ユーザ名 enable_15 に対するパスワードを変更します。ユーザ名 enable_15 は常に [User Accounts] ペインに表示され、デフォルト ユーザ名を表します。この方法は、ASDM のシステム コンフィギュレーションでイネーブル パスワードを設定する唯一の方法です。CLI で他のイネーブル レベル パスワード(enable password 10 など)を設定すると、そのユーザ名は enable_10 という形式で表示されます。


ステップ 4 [Confirm Password] フィールドにパスワードを再入力します。

セキュリティ上の理由から、パスワードを入力するこの 2 つのフィールドには、アスタリスクだけが表示されます。

ステップ 5 MS-CHAP 認証をイネーブルにする場合は、[User authenticated using MSCHAP] チェックボックスをオンにします。

このオプションを指定すると、入力したパスワードが Unicode に変換され、MD4 でハッシュ化されます。MS-CHAPv1 または MS-CHAPv2 を使用してユーザを認証する場合は、この機能を使用します。

ステップ 6 ユーザが属する VPN グループを指定する場合は、[Member of] フィールドにグループ名を入力し、[Add] をクリックします。

VPN グループを削除する場合は、ウィンドウ内からグループを選択し、[Delete] をクリックします。

ステップ 7 [Access Restriction] 領域で、ユーザの管理アクセス レベルを設定します。まず、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] タブの [Perform authorization for exec shell access] オプションをクリックして、管理認可をイネーブルにする必要があります。

次のいずれかのオプションを選択します。

[Full Access (ASDM, Telnet, SSH and console)]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンド アクセスの認証の設定」を参照)、このオプションを指定するとユーザは ASDM、SSH、Telnet、およびコンソール ポートを使用できます。さらに認証もイネーブルにすると、ユーザはグローバル コンフィギュレーション モードにアクセスできます。

[Privilege Level]:ローカル コマンド許可でユーザに適用する特権レベルを選択します。範囲は、0(最低)~ 15(最高)です。詳細については、 「コマンド許可の設定」 を参照してください。

[CLI login prompt for SSH, Telnet and console (no ASDM access)]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンド アクセスの認証の設定」を参照)、このオプションを指定するとユーザは SSH、Telnet、およびコンソール ポートを使用できます。ユーザは設定に ASDM を使用できません(HTTP 認証を設定している場合)。ASDM 監視は可能です。さらにイネーブル認証も設定すると、ユーザはグローバル コンフィギュレーション モードにアクセスできません。

[No ASDM, SSH, Telnet, or console access]:ローカル データベースを使用した管理アクセスの認証を設定する場合(「CLI、ASDM、および enable コマンド アクセスの認証の設定」を参照)、このオプションを指定すると、ユーザは認証用に設定した管理アクセス方式を利用できなくなります(ただし、[Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。

ステップ 8 このユーザに対して VPN ポリシー属性を設定する場合は、「ユーザに対する VPN ポリシー属性の設定」を参照してください。

ステップ 9 [Apply] をクリックします。

ユーザが ASA のローカル データベースに追加され、変更内容が実行コンフィギュレーションに保存されます。


ヒント [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] ペインの各カラムで特定のテキストを検索できます。[Find] ボックスに検索する特定のテキストを入力し、[Up] または [Down] 矢印をクリックします。また、アスタリスク(*)および疑問符(?)をテキスト検索でワイルドカード文字として使用できます。



 

ユーザに対する VPN ポリシー属性の設定

デフォルトでは、各ユーザは、VPN ポリシーの設定内容を継承します。

この設定内容は、次の手順に従って VPN 属性をカスタマイズすることにより、上書きできます。

手順の詳細


ステップ 1 「ユーザの追加」の手順に従ってユーザを追加していない場合は、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] ペインで、[Add] をクリックします。

[Add User Account-Identity] ダイアログボックスが表示されます。

ステップ 2 左側のペインで、[VPN Policy] をクリックします。

デフォルトでは、オプションごとに [Inherit] チェックボックスがオンになっています。これは、ユーザが VPN ポリシーから設定内容を継承していることを表しています。各設定内容を上書きする場合は、[Inherit] チェックボックスをオフにし、次の各項目に対して新しい値を入力します。

a. リストからグループ ポリシーを選択します。

b. 使用できるトンネリング プロトコルを指定するか、グループ ポリシーから値を継承するかどうかを指定します。目的の [Tunneling Protocols] チェックボックスをオンにし、使用できる VPN トンネリング プロトコルを選択します。選択されたプロトコルのみが使用可能になります。次の選択肢があります。

IPSec は、VPN トンネルのアーキテクチャをほぼ完全に実現しており、最もセキュアなプロトコルとされています。IPSec は、LAN 間(ピアツーピア)接続に使用することも、クライアントと LAN との接続に使用することもできます。

SSL/TLS を利用する VPN(クライアントレス SSL VPN)では、Web ブラウザを使用して VPN コンセントレータへのセキュアなリモート アクセス トンネルを確立し、ソフトウェア クライアントもハードウェア クライアントも必要としません。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。

SSL VPN クライアントは、Cisco AnyConnect Client アプリケーションのダウンロード後にユーザが接続できるようにします。ユーザは、最初にクライアントレス SSL VPN 接続を使用してこのアプリケーションをダウンロードします。ユーザが接続するたびに、必要に応じてクライアント アップデートが自動的に行われます。

L2TP over IPSec では、複数の PC やモバイル PC に採用されている一般的なオペレーティング システムに付属の VPN クライアントを使用するリモート ユーザが、パブリック IP ネットワークを介して ASA およびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。


) プロトコルを選択しなかった場合は、エラー メッセージが表示されます。


c. 使用するフィルタ(IPv4 または IPv6)を指定するか、またはグループ ポリシーの値を継承するかどうかを指定します。フィルタは、ASAを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定するには、[Configuration] > [VPN] > [VPN General] > [Group Policy] の順に選択します。

d. [Manage] をクリックして、ACL と ACE を追加、編集、および削除できる [ACL Manager] ペインを表示します。

e. トンネル グループ ロックがある場合、それを継承するかどうか、または選択したトンネル グループ ロックを使用するかどうかを指定します。特定のロックを選択すると、ユーザのリモート アクセスはこのグループだけに制限されます。[Tunnel Group Lock] では、VPN クライアントで設定されたグループと、そのユーザが割り当てられているグループが同じかどうかをチェックすることによって、ユーザが制限されます。同一ではなかった場合、ASAはユーザによる接続を禁止します。[Inherit] チェックボックスがオフの場合、デフォルト値は [None] です。

f. [Store Password on Client System] 設定をグループから継承するかどうかを指定します。[Inherit] チェックボックスをオフにすると、[Yes] および [No] のオプション ボタンが有効になります。[Yes] をクリックすると、ログイン パスワードがクライアント システムに保存されます(セキュリティが低下するおそれのあるオプションです)。接続ごとにユーザにパスワードの入力を求めるようにするには、[No] をクリックします(デフォルト)。セキュリティを最大限に確保するためにも、パスワードの保存は許可しないことを推奨します。VPN 3002 の場合、このパラメータは、対話型ハードウェア クライアント認証や個別ユーザ認証には適用されません。

ステップ 3 接続設定を変更するには、[Inherit] チェックボックスをオフにし、次の各項目に対して新しい値を入力します。

a. [Inherit] チェックボックスがオフになっている場合、このユーザに適用されるアクセス時間ポリシーがすでに存在する場合にはその名前を選択でき、存在しない場合には、新しいアクセス時間ポリシーを作成できます。デフォルトは [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルトは [Unrestricted] です。

b. [New] をクリックして、[Add Time Range] ダイアログボックスを開きます。このダイアログボックスでアクセス時間の新規セットを指定できます。

c. [Inherit] チェックボックスがオフになっている場合、[Simultaneous Logins] パラメータにより、このユーザに許可される同時ログインの最大数が指定されます。デフォルト値は 3 です。最小値は 0 で、この場合ログインがディセーブルになり、ユーザ アクセスを禁止します。


) 最大値を設定て制限しておかない同時に多数の接続が許可されるため、セキュリティとパフォーマンスの低下を招くおそれがあります。


d. [Inherit] チェックボックスがオフになっている場合、[Maximum Connect Time] パラメータにより、最大ユーザ接続時間が分数で指定されます。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。接続時間を無制限にするには、[Unlimited] チェックボックスをオンにします(デフォルト)。

e. [Inherit] チェックボックスがオフになっている場合、[Idle Timeout] パラメータにより、このユーザのアイドル タイムアウト時間が分数で指定されます。この期間、このユーザの接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。この値は、クライアントレス SSL VPN 接続のユーザには適用されません。

ステップ 4 このユーザに対して専用の IP アドレスを設定する場合は、[Dedicated IP Address] 領域(任意)で、IP アドレスおよびサブネット マスクを入力します。

ステップ 5 クライアントレス SSL の設定を行う場合は、左側のペインで、[Clientless SSL VPN] をクリックします。各設定内容を上書きする場合は、[Inherit] チェックボックスをオフにし、新しい値を入力します。

ステップ 6 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。


 

認証プロンプトの追加

AAA 認証チャレンジ プロセスの実行中にユーザに表示するテキストを指定できます。TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要な場合に、ASA 経由の HTTP、FTP、および Telnet アクセス用の AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。

認証プロンプトを指定しない場合、RADIUS サーバまたは TACACS+ サーバでの認証時にユーザに対して表示される内容は次のようになります。

 

接続タイプ
デフォルトのプロンプト

FTP

FTP authentication

HTTP

HTTP Authentication

Telnet

なし

認証プロンプトを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [Authentication Prompt] ペインの [Prompt] フィールドに、ログイン時にユーザに対して表示されるユーザ名およびパスワードのプロンプトの上部にメッセージとして表示されるテキストを入力します。

次の表に、認証プロンプトの文字数制限を示します。

 

アプリケーション
認証プロンプトの文字数制限

Microsoft Internet Explorer

37

Telnet

235

FTP

235

ステップ 2 [Messages] 領域の [User accepted message] フィールドおよび [User rejected message] フィールドにそれぞれメッセージを入力します。

Telnet からのユーザ認証を実行する場合、[User accepted message] オプションおよび [User rejected message] オプションを使用すれば、認証試行が AAA サーバにより受け入れられた、または拒否されたことを示すさまざまな状態のプロンプトを表示できます。

これらのメッセージ テキストをそれぞれ指定した場合、ASA では、AAA サーバにより認証されたユーザに対してはユーザ承認メッセージ テキストが表示され、認証されなかったユーザに対しては ASA によりユーザ拒否メッセージ テキストが表示されます。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストのみが表示されます。ユーザ承認メッセージ テキストおよびユーザ拒否メッセージ テキストは表示されません。

ステップ 3 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。


 

ユーザ パスワードの管理

必要な特権を持った管理者は、ASA を使用して現在のコンテキストでユーザのパスワード ポリシーを変更できます。

ユーザ パスワードには、次のガイドラインが適用されます。

最大ライフタイムは 0 ~ 65536 日です。

最小長は 3 ~ 64 文字です。

更新のために変更する文字の最小数は 0 ~ 64 文字です。

小文字を含めることができます。

大文字を含めることができます。

数字を含めることができます。

特殊文字を含めることができます。

ユーザのパスワード ポリシーを指定するには、次の手順を実行します。


ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Configuration Device Management] > [Users/AAA] > [Password Policy] の順に選択します。

パスワードの最小長を入力します。有効値の範囲は 3 ~ 64 文字です。推奨されるパスワードの最小長は 8 文字です。この最小長がその他の最小値(小文字、数字、特殊文字、および大文字)のいずれかより小さい場合、エラー メッセージが表示され、最小長は変更されません。

ステップ 2 パスワードの更新のために変更する文字の最小数を入力します。有効値の範囲は 0 ~ 64 文字です。デフォルト値は 0 です。

ステップ 3 パスワードのライフタイムを日数で入力します。有効な値の範囲は、0 ~ 65536 日です。0 の値は、パスワードのライフタイムに最小値の制限がないことを示します。

ステップ 4 パスワードで使用される小文字の最小数を入力します。有効値の範囲は 0 ~ 64 文字です。0 の値は、パスワードで使用される小文字に最小数の制限がないことを示します。

ステップ 5 パスワードで使用される大文字の最小数を入力します。有効値の範囲は 0 ~ 64 文字です。0 の値は、パスワードで使用される大文字に最小数の制限がないことを示します。

ステップ 6 パスワードで使用される特殊文字の最小数を入力します。有効値の範囲は 0 ~ 64 文字です。特殊文字には、!、@、#、$、%、^、&、*、「(」、および「)」などがあります。0 の値は、パスワードで使用される特殊文字に最小数の制限がないことを示します。

ステップ 7 (任意)[Authentication Enable] をオンにして、ユーザが自分のユーザ アカウントを変更できないようにします。認証がイネーブルになっても、ユーザは自分のパスワードを変更できず、 username コマンドまたは clear configure username コマンドを使用して自分のアカウントを削除することもできません。

ステップ 8 パスワード ポリシーを ASA のデフォルト ポリシー値にリセットするには、[Reset to Default] をクリックします。

ステップ 9 [Apply] をクリックして、設定内容を保存します。


 

ユーザ パスワードの変更

必要な特権を持った管理者は、ASA を使用して現在のコンテキストでユーザのパスワードを変更できます。ユーザがパスワードを変更するには、その前に現在のパスワードで認証される必要があります。一方、管理者がユーザ パスワードを変更する際には認証は不要です。

ユーザが自分のアカウント パスワードを変更できるようにするには、次の手順を実行します。


ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Configuration] > [Device Management] > [Users/AAA] > [Change Password] の順に選択します。

ステップ 2 古いパスワードを入力します。

ステップ 3 新しいパスワードを入力します。

ステップ 4 確認のために新しいパスワードを再度入力します。

ステップ 5 [Make Change] をクリックします。

ステップ 6 [Apply] をクリックし、変更内容を実行コンフィギュレーションに保存します。


 

SSH 公開キーによるユーザの認証

SSH 公開キーを使用してユーザを認証できます。公開キーは、ハッシュ化することも、ハッシュ化しないでおくこともできます。

SSH 公開キーで認証するには、次の手順を実行します。


ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択します。

ステップ 2 リストからユーザを選択してから、[Edit] をクリックします。

[Edit User Account] ダイアログボックスが表示されます。

ステップ 3 ナビゲーション ペインで、[Public Key Authentication] をクリックします。

ステップ 4 公開キーをハッシュ化する場合は、[Key is hashed] チェックボックスをオンにします。公開キーをハッシュ化しない場合は、このチェックボックスをオフのままにします。

公開キーをハッシュ化する場合、公開キーの値は SHA-256 で事前にハッシュ化されており、32 バイトの長さである必要があります。また、各バイトはコロンで区切られている必要があります(解析のため)。

公開キーをハッシュ化しない場合、キーの値は、SSH-RSA 未処理キー(つまり、証明書を持たないキー)を生成できる SSH キー生成ソフトウェアにより生成される、Base 64 エンコード公開キーである必要があります。Base 64 エンコード公開キーを送信すると、そのキーは SHA-256 によりハッシュ化され、それ以降のすべての比較では対応する 32 バイト ハッシュが使用されます。

ステップ 5 公開キーを入力します。

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックして、設定の変更を保存します。


 

サーバによる認証および認可のテスト

ASAにおいて AAA サーバへのアクセスやユーザの認証および認可が実行できるかどうかを判定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [AAA Server Groups] テーブルで、サーバが含まれるサーバ グループをクリックします。

テーブル内の該当する行が選択されます。

ステップ 2 [Selected Group] テーブルの [Servers] から、テストするサーバをクリックします。

テーブル内の該当する行が選択されます。

ステップ 3 [Test] をクリックします。

選択したサーバに対応する [Test AAA Server] ダイアログボックスが表示されます。

ステップ 4 実行するテストのタイプ([Authentication] または [Authorization])をクリックします。

ステップ 5 [Username] フィールドにユーザ名を入力します。

ステップ 6 認証をテストする場合は、そのユーザ名に対応するパスワードを [Password] フィールドに入力します。

ステップ 7 [OK] をクリックします。

認証または認可のテスト メッセージがASAからサーバへ送信されます。テストが失敗した場合は、ASDMによりエラー メッセージが表示されます。


 

AAA サーバのモニタリング

AAA サーバをモニタするには、次のペインを参照してください。

 

パス
目的

[Monitoring] > [Properties] > [AAA Servers]

設定済みの AAA サーバの統計情報を表示します。

 

[Monitoring] > [Properties] > [AAA Servers]

AAA サーバ実行コンフィギュレーションを表示します。

 

[Tools] > [Command Line Interface] を選択し、 show running-config all ldap attribute-map コマンドを入力して、[Send] をクリックします。

実行コンフィギュレーションのすべての LDAP 属性を表示します。

 

[Tools] > [Command Line Interface] を選択し、 show running-config zonelabs-integrity コマンドを入力して、[Send] をクリックします。

Zone Labs Integrity サーバ コンフィギュレーションを表示します。

 

[Tools] > [Command Line Interface] を選択し、 show ad-groups name [ filter string ] コマンドを入力して、[Send] をクリックします。

LDAP を使用する AD サーバだけに適用し、AD サーバに登録されているグループを表示します。

[Tools] > [Command Line Interface] を選択し、 show running-config [all] password policy コマンドを入力して、[Send] をクリックします。

現在のコンテキストのパスワード ポリシーを表示します。

その他の参考資料

LDAP マッピングの実装に関するその他の情報については、「RFC」を参照してください。

RFC

RFC
タイトル

2138

『Remote Authentication Dial In User Service (RADIUS)』

2139

『RADIUS Accounting』

2548

『Microsoft Vendor-specific RADIUS Attributes』

2868

『RADIUS Attributes for Tunnel Protocol Support』

AAA サーバの機能履歴

表 38-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 38-2 AAA サーバの機能履歴

機能名
プラットフォーム リリース
機能情報

AAA サーバ

7.0(1)

AAA サーバでは、AAA のサポート情報と AAA サーバおよびローカル データベースの設定方法が示されます。

次の画面が導入されました。

[Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups]
[Configuration] > [Remote Access VPN] > [AAA Local Users] > [LDAP Attribute Map]
[Configuration] > [Device Management] > [Users/AAA] > [User Accounts]
[Configuration] > [Device Management] > [Users/AAA] > [Authentication Prompt]

ASA からの RADIUS アクセス要求パケットおよび RADIUS アカウンティング要求パケットで送信された主なベンダー固有属性(VSA)

8.4(3)

4 つの新しい VSA:Tunnel Group Name(146)および Client Type(150)は、ASA からの RADIUS アクセス要求パケットで送信されます。Session Type(151)および Session Subtype(152)は、ASA からの RADIUS アカウンティング要求パケットで送信されます。4 つのすべての属性が、すべてのアカウンティング要求パケット タイプ(開始、中間アップデート、および終了)に送信されます。RADIUS サーバ(ACS や ISE など)は、認可属性やポリシー属性を強制適用したり、アカウンティングや課金のためにそれらの属性を使用したりできます。

パスワード ポリシー、パスワード変更、および SSH 公開キー認証に対する、共通基準の認証および FIPS サポート

8.4(4)

次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy]
[Configuration] > [Device Management] > [Users/AAA] > [Change Password]
[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Edit User Account] > [Public Key Authentication]。