ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
アイデンティティ ファイアウォールの設定
アイデンティティ ファイアウォールの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

アイデンティティ ファイアウォールの設定

アイデンティティ ファイアウォールに関する情報

アイデンティティ ファイアウォールの概要

アイデンティティ ファイアウォールの展開アーキテクチャ

アイデンティティ ファイアウォールの機能

展開シナリオ

カットスルー プロキシおよび VPN 認証

アイデンティティ ファイアウォールのライセンス

ガイドラインと制限事項

前提条件

アイデンティティ ファイアウォールの設定

アイデンティティ ファイアウォールの設定のタスク フロー

Active Directory ドメインの設定

Active Directory サーバ グループの設定

Active Directory エージェントの設定

Active Directory エージェント グループの設定

アイデンティティ オプションの設定

アイデンティティに基づくアクセス ルールの設定

アクセス ルールへのユーザおよびグループの追加

ローカル ユーザ グループの設定

カットスルー プロキシ認証のサポート

アイデンティティ ファイアウォールのモニタリング

AD エージェントのモニタリング

グループのモニタリング

アイデンティティ ファイアウォールのメモリ使用率のモニタリング

アイデンティティ ファイアウォールのユーザのモニタリング

アイデンティティ ファイアウォールの機能履歴

アイデンティティ ファイアウォールの設定

この章では、アイデンティティ ファイアウォール向けに ASA を設定する方法について説明します。この章は、次の項目を取り上げます。

「アイデンティティ ファイアウォールに関する情報」

「アイデンティティ ファイアウォールのライセンス」

「ガイドラインと制限事項」

「前提条件」

「アイデンティティ ファイアウォールの設定」

「アイデンティティ ファイアウォールのモニタリング」

「アイデンティティ ファイアウォールの機能履歴」

アイデンティティ ファイアウォールに関する情報

この項は、次の内容で構成されています。

「アイデンティティ ファイアウォールの概要」

「アイデンティティ ファイアウォールの展開アーキテクチャ」

「アイデンティティ ファイアウォールの機能」

「展開シナリオ」

「カットスルー プロキシおよび VPN 認証」

アイデンティティ ファイアウォールの概要

企業では、ユーザが 1 つ以上のサーバ リソースにアクセスする必要が生じることがよくあります。通常、ファイアウォールではユーザのアイデンティティは認識されないため、アイデンティティに基づいてセキュリティ ポリシーを適用することはできません。ユーザごとにアクセス ポリシーを設定するには、ユーザ認証プロキシを設定する必要があります。これには、ユーザとの対話(ユーザ名とパスワードのクエリー)が必要です。

ASA のアイデンティティ ファイアウォールでは、ユーザのアイデンティティに基づいたより細かなアクセス コントロールが実現されます。送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールとセキュリティ ポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントと連携する Microsoft Active Directory と統合されます。ASA では、Windows Active Directory を送信元として使用して特定の IP アドレスについて現在のユーザのアイデンティティ情報を取得し、Active Directory ユーザにトランスペアレント認証を許可します。

アイデンティティに基づくファイアウォール サービスは、送信元 IP アドレスの代わりにユーザまたはグループを指定できるようにすることにより、既存のアクセス コントロールおよびセキュリティ ポリシー メカニズムを拡張します。アイデンティティに基づくセキュリティ ポリシーは、従来の IP アドレス ベースのルール間の制約を受けることなくインターリーブできます。

アイデンティティ ファイアウォールの主な利点には、次のようなものがあります。

セキュリティ ポリシーからのネットワーク トポロジの分離

セキュリティ ポリシー作成の簡略化

ネットワーク リソースに対するユーザ アクティビティを容易に検出可能

ユーザ アクティビティ モニタリングの簡略化

アイデンティティ ファイアウォールの展開アーキテクチャ

アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントとの連携により、Microsoft Active Directory と統合されます。

アイデンティティ ファイアウォールは、次の 3 つのコンポーネントにより構成されます。

ASA

Microsoft Active Directory

Active Directory は ASA のアイデンティティ ファイアウォールの一部ですが、管理は Active Directory の管理者によって行われます。データの信頼性と正確さは、Active Directory のデータによって決まります。

サポートされているバージョンは、Windows 2003、Windows Server 2008、および Windows Server 2008 R2 サーバです。

Active Directory(AD)エージェント

AD エージェントは Windows サーバ上で実行されます。サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。


) Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。


図 39-1 アイデンティティ ファイアウォールのコンポーネント

 

1

ASA :ローカル ユーザ グループとアイデンティティ ファイアウォール ポリシーを設定します。

4

クライアント <-> ASA :クライアントは Microsoft Active Directory を介してネットワークにログオンします。AD サーバは、ユーザを認証し、ユーザ ログオン セキュリティ ログを生成します。

または、クライアントはカットスルー プロキシ経由で、または VPN を使用してネットワークにログオンすることもできます。

2

ASA <-> AD サーバ :ASA は、AD サーバに設定された Active Directory グループに対する LDAP クエリーを送信します。

ASA がローカル グループと Active Directory グループを統合し、ユーザ アイデンティティに基づくアクセス ルールおよび MPF セキュリティ ポリシーを適用します。

5

ASA <-> クライアント :ASA は設定されているポリシーに基づいて、クライアントにアクセスを許可または拒否します。

設定されている場合、ASA ではクライアントの NetBIOS をプローブして、非アクティブなユーザおよび応答がないユーザを渡します。

3

ASA <-> AD エージェント :アイデンティティ ファイアウォールの設定に応じて、ASA は IP とユーザのデータベースをダウンロードするか、ユーザの IP アドレスをクエリーする AD エージェントに RADIUS 要求を送信します。

ASA が Web 認証および VPN セッションから学習した新しいマッピングを AD エージェントに転送します。

6

AD エージェント <-> AD サーバ :AD エージェントは定期的にまたはオンデマンドで、WMI 経由で AD サーバ セキュリティ イベント ログ ファイルをモニタし、クライアントのログインおよびログオフ イベントを確認します。

AD エージェントは、ユーザ ID と IP アドレスのマッピングのキャッシュを保持しており、 マッピングに変更があった場合は ASA に通知します。

AD エージェントは syslog サーバにログを送信します。

アイデンティティ ファイアウォールの機能

アイデンティティ ファイアウォールの主な機能は次のとおりです。

柔軟性

ASA は、新しい IP アドレスごとに AD エージェントにクエリーを実行するか、ユーザ アイデンティティおよび IP アドレスのデータベース全体のローカル コピーを保持することにより、AD エージェントからユーザ アイデンティティと IP アドレスのマッピングを取得できます。

ユーザ アイデンティティ ポリシーの送信先として、ホスト グループ、サブネット、または IP アドレスをサポートします。

ユーザ アイデンティティ ポリシーの送信元および送信先として、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)をサポートします。

5 タプル ポリシーと ID ベースのポリシーの組み合わせをサポートします。アイデンティティ ベースの機能は、既存の 5 タプル ソリューションと連携して動作します。

IPS およびアプリケーション インスペクションの使用をサポートします。

リモート アクセス VPN、AnyConnect VPN、L2TP VPN、およびカットスルー プロキシからユーザのアイデンティティ情報を取得します。取得されたすべてのユーザが、AD エージェントに接続しているすべての ASA デバイスに読み込まれます。

拡張性

各 AD エージェントは 100 台の ASA デバイスをサポートします。複数の ASA デバイスが 1 つの AD エージェントと通信できるため、より大規模なネットワーク展開での拡張性が提供されます。

すべてのドメインが固有の IP アドレスを持つ場合に、30 台の Active Directory サーバをサポートします。

ドメイン内の各ユーザ アイデンティティには、最大で 8 個の IP アドレスを含めることができます。

ASA 5500 シリーズ モデルのアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 64,000 個です。この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

ASA 5505 のアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 1024 個です。

アクティブな ASA ポリシーでサポートされるユーザ グループは、最大 256 個です。

1 つのルールに 1 つ以上のユーザ グループまたはユーザを含めることができます。

複数のドメインをサポートします。

アベイラビリティ

ASA は、Active Directory からグループ情報を取得し、AD エージェントが送信元 IP アドレスをユーザ アイデンティティにマッピングできない IP アドレスの Web 認証にフォールバックします。

AD エージェントは、いずれかの Active Directory サーバまたは ASA が応答しない場合でも機能し続けます。

ASA でのプライマリ AD エージェントとセカンダリ AD エージェントの設定をサポートします。プライマリ AD エージェントが応答を停止すると、ASA がセカンダリ AD エージェントに切り替えます。

AD エージェントが使用できない場合、ASA はカットスルー プロキシや VPN 認証などの既存のアイデンティティ取得元にフォールバックできます。

AD エージェントは、ダウンしたサービスを自動的に再開するウォッチドッグ プロセスを実行します。

ASA デバイス間での IP アドレスとユーザのマッピング データベースの分散が可能です。

展開シナリオ

環境要件に応じた次の方法で、アイデンティティ ファイアウォールのコンポーネントを展開できます。

図 39-2 に示すように、冗長性を確保するようにアイデンティティ ファイアウォールのコンポーネントを展開できます。シナリオ 1 は、コンポーネントの冗長性がない単純なインストールを示しています。

シナリオ 2 も、冗長性がない単純なインストールを示しています。ただし、この展開シナリオでは、Active Directory サーバと AD エージェントが 1 つの Windows サーバに共存しています。

図 39-2 冗長性のない展開シナリオ

 

図 39-3 に示すように、冗長性をサポートするようにアイデンティティ ファイアウォールのコンポーネントを展開できます。シナリオ 1 では、複数の Active Directory サーバと、AD エージェントをインストールした 1 台の Windows サーバを配置しています。シナリオ 2 では、複数の Active Directory サーバと、それぞれ AD エージェントがインストールされた複数の Windows サーバを配置しています。

図 39-3 冗長コンポーネントのある展開シナリオ

 

図 39-4 に示すように、すべてのアイデンティティ ファイアウォール コンポーネント(Active Directory サーバ、AD エージェント、およびクライアント)がインストールされ、LAN 上で通信しています。

図 39-4 LAN ベースの展開

 

図 39-5 は、WAN を使用してリモート サイトと接続した展開方法を示しています。Active Directory サーバと AD エージェントはメイン サイトの LAN 上に配置されています。クライアントはリモート サイトに配置されており、WAN 経由でアイデンティティ ファイアウォール コンポーネントに接続しています。

図 39-5 WAN ベースの展開

 

図 39-6 も WAN を使用したリモート サイトにまたがる展開方法を示しています。Active Directory サーバはメイン サイトの LAN にインストールされています。一方、AD エージェントはリモート サイトに配置され、同じサイト内のクライアントからアクセスします。リモート クライアントは、WAN 経由でメイン サイトの Active Directory サーバに接続します。

図 39-6 リモート AD エージェントを使用した WAN ベースの展開

 

図 39-7 は、リモート サイトを拡張した WAN ベースの展開を示しています。AD エージェントと Active Directory サーバがリモート サイトに配置されています。クライアントは、メイン サイトに配置されているネットワーク リソースにログインする際に、これらのコンポーネントにローカルでアクセスします。リモート Active Directory サーバは、メイン サイトに配置された Active Directory サーバとの間でデータを同期する必要があります。

図 39-7 AD エージェントと AD サーバをリモート サイトに配置した WAN ベースの展開

 

カットスルー プロキシおよび VPN 認証

企業では、ユーザによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。たとえば、クライアントとして Machintosh や Linux を使用しているユーザは、Web ポータル(カットスルー プロキシ)にログインしたり、VPN を使用してログインしたりすることがあります。そのため、これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定する必要があります。

図 39-8 は、カットスルー プロキシ認証キャプティブ ポータルをサポートする展開方法を示しています。Active Directory サーバと AD エージェントはメイン サイトの LAN 上に配置されています。ただし、アイデンティティ ファイアウォールは、Active Directory ドメインに含まれないクライアントの認証をサポートするよう設定されています。

図 39-8 カットスルー プロキシ認証をサポートする展開

 

ASA は、Web ポータル(カットスルー プロキシ)経由でログインするユーザを認証が行われる Active Directory ドメインに属するユーザと見なします。

ASA は、VPN 経由でログインするユーザを、VPN が Active Directory で LDAP によって認証される場合を除き、LOCAL ドメインに属するユーザと見なします。これにより、アイデンティティ ファイアウォールはユーザをそれぞれの Active Directory ドメインに関連付けることができます。

ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。具体的には、認証されたユーザのユーザ アイデンティティと IP アドレスのマッピングが、パケットを受信して認証する入力インターフェイスを含むすべての ASA コンテキストに転送されます。

「カットスルー プロキシ認証のサポート」を参照してください。

アイデンティティ ファイアウォールのライセンス

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

アイデンティティ ファイアウォールは、ステートフル フェールオーバーがイネーブルになっている場合、ユーザ アイデンティティと IP アドレスのマッピングおよび AD エージェント ステータスのアクティブからスタンバイへの複製をサポートします。ただし、複製されるのは、ユーザ アイデンティティと IP アドレスのマッピング、AD エージェント ステータス、およびドメイン ステータスだけです。ユーザおよびユーザ グループのレコードはスタンバイ ASA に複製されません。

フェールオーバーを設定するときには、スタンバイ ASA についても、AD エージェントに直接接続してユーザ グループを取得するように設定する必要があります。スタンバイ ASA は、アイデンティティ ファイアウォールに NetBIOS プローブ オプションが設定されていても、クライアントに NetBIOS パケットを送信しません。

クライアントが非アクティブであるとアクティブ ASA が判断した場合、情報はスタンバイ ASA に伝搬されます。ユーザ統計情報はスタンバイ ASA に伝搬されません。

フェールオーバーを設定した場合は、AD エージェントをアクティブとスタンバイの両方の ASA デバイスと通信するように設定する必要があります。AD エージェント サーバで ASA を設定する手順については、『 Installation and Setup Guide for the Active Directory Agent 』を参照してください。

IPv6 のガイドライン

IPv6 をサポートします。

AD エージェントは IPv6 アドレスのエンドポイントをサポートします。AD エージェントは、ログ イベントで IPv6 アドレスを受け取り、それをキャッシュに保存し、RADIUS メッセージによって送信します。

IPv6 上の NetBIOS はサポートされていません。

IPv6 上のカットスルー プロキシはサポートされていません。

その他のガイドラインと制限事項

宛先アドレスとしての完全な URL の使用はサポートされていません。

NetBIOS プローブが機能するためには、ASA、AD エージェント、およびクライアントを接続するネットワークが UDP でカプセル化された NetBIOS トラフィックをサポートしている必要があります。

アイデンティティ ファイアウォールによる MAC アドレスのチェックは、仲介ルータがある場合は機能しません。同じルータの背後にあるクライアントにログオンしたユーザには、同じ MAC アドレスが割り当てられます。この実装では、ASA がルータの背後の実際の MAC アドレスを特定できないため、同じルータからのパケットはすべてチェックに合格します。

次の ASA 機能は、アイデンティティに基づくオブジェクトおよび FQDN をサポートしません。

ルート マップ

クリプト マップ

WCCP

NAT

group-policy(VPN フィルタを除く)

DAP

「アイデンティティに基づくアクセス ルールの設定」を参照してください。

前提条件

ASA でアイデンティティ ファイアウォールを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。

AD エージェント

AD エージェントは、ASA がアクセスできる Windows サーバにインストールする必要があります。さらに、AD エージェントを Active Directory サーバから情報を取得するように設定する必要があります。AD エージェントを ASA と通信するように設定します。

サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。


) Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。


AD エージェントをインストールし設定する手順については、『 Installation and Setup Guide for the Active Directory Agent 』を参照してください。

ASA に AD エージェントを設定する前に、AD エージェントと ASA が通信に使用する秘密キーの値を取得します。この値は AD エージェントと ASA で一致している必要があります。

Microsoft Active Directory

Microsoft Active Directory は、Windows サーバにインストールされ、ASA からアクセス可能である必要があります。サポートされているバージョンは、Windows 2003、2008、および 2008 R2 サーバです。

ASA に Active Directory サーバを設定する前に、Active Directory に ASA のユーザ アカウントを作成します。

さらに、ASA は、LDAP 上でイネーブルになった SSL を使用して、暗号化されたログイン情報を Active Directory サーバに送信します。Active Directory で SSL をイネーブルにする必要があります。Active Directory で SSL をイネーブルにする手順については、Microsoft Active Directory のマニュアルを参照してください。


) AD エージェントのインストーラを実行する前に、AD エージェントがモニタする各 Microsoft Active Directory サーバに次のパッチをインストールする必要があります。これらのパッチは、AD エージェントをドメイン コントローラ サーバに直接インストールする場合でも必要です。『README First for the Cisco Active Directory Agent』を参照してください。


アイデンティティ ファイアウォールの設定のタスク フロー

前提条件

ASA でアイデンティティ ファイアウォールを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。詳細については、「前提条件」を参照してください。

ASA でのタスク フロー

アイデンティティ ファイアウォールを設定するには、次の作業を実行します。


ステップ 1 ASA に Active Directory ドメインを設定します。

「Active Directory ドメインの設定」および「Active Directory サーバ グループの設定」を参照してください。

個々の環境の要件に合わせて Active Directory サーバを展開する方法については、「展開シナリオ」を参照してください。

ステップ 2 ASA に AD エージェントを設定します。

「Active Directory サーバ グループの設定」および「Active Directory エージェント グループの設定」を参照してください。

個々の環境の要件に合わせて AD エージェントを展開する方法については、「展開シナリオ」を参照してください。

ステップ 3 アイデンティティ オプションを設定します。

「アイデンティティ オプションの設定」を参照してください。

ステップ 4 ASA にアイデンティティに基づくアクセス ルールを設定します。

AD ドメインと AD エージェントを設定した後で、アイデンティティに基づくルールを指定し、適用できます。「アイデンティティに基づくアクセス ルールの設定」を参照してください。

ステップ 5 ローカル ユーザ グループを設定します。

「ローカル ユーザ グループの設定」を参照してください。

ステップ 6 カットスルー プロキシを設定します。

「カットスルー プロキシ認証のサポート」を参照してください。


 

Active Directory ドメインの設定

ASA が AD エージェントから IP とユーザのマッピングを受信したときに特定のドメインから Active Directory グループをダウンロードし、ユーザ アイデンティティを受け取るためには、ASA 上の Active Directory ドメイン設定が必要となります。

前提条件

Active Directory サーバの IP アドレス

LDAP ベース DN の識別名

アイデンティティ ファイアウォールが Active Directory ドメイン コントローラへの接続に使用する、Active Directory ユーザの識別名とパスワード

Active Directory ドメインを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Identity Options] の順に選択します。[Identity Options] ペインが表示されます。

 

ステップ 2 必要に応じて、[Enable User Identity] チェックボックスをオンにして、機能をイネーブルにします。

ステップ 3 [Domains] セクションで、[Add] をクリックするか、リストからドメインを選択して [Edit] をクリックします。[Domain] ダイアログボックスが表示されます。

 

ステップ 4 [Domain NETBIOS Name] フィールドに、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_=+[]{};,.] で構成される最大 32 文字の名前を入力します。ただし、先頭に "." と " " を使用することはできません。ドメイン名にスペースを含める場合は、スペースを引用符で囲む必要があります。ドメイン名では、大文字と小文字が区別されません。

既存のドメインの名前を編集する場合、既存のユーザおよびユーザ グループに関連付けられているドメイン名は変更されません。

ステップ 5 [AD Server Group] リストで、このドメインに関連付ける Active Directory サーバを選択するか、[Manage] をクリックして新しいサーバ グループをリストに追加します。「Active Directory サーバ グループの設定」を参照してください。

ステップ 6 [OK] をクリックしてドメインの設定内容を保存します。


 

次の作業

Active Directory サーバ グループを設定します。「Active Directory サーバ グループの設定」を参照してください。

AD エージェントを設定します。「Active Directory サーバ グループの設定」および「Active Directory エージェント グループの設定」を参照してください。

Active Directory サーバ グループの設定

Active Directory サーバ グループを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Identity Options] > [Add] > [Manage] の順に選択します。[Configure Active Directory Server Groups] ダイアログが表示されます。

 

ステップ 2 アイデンティティ ファイアウォールの Active Directory サーバ グループを追加するには、[Active Directory Server Groups] テーブルの [Add] をクリックします。[Add Active Directory Server Group] ダイアログボックスが表示されます。「AAA サーバ グループの設定」を参照してください。

ステップ 3 Active Directory サーバ グループにサーバを追加するには、[Active Directory Server Groups] リストからグループを選択し、[Servers in the Selected Group] テーブルの [Add] をクリックします。[Add Active Directory Server] ダイアログボックスが表示されます。「AAA サーバ グループの設定」を参照してください。

ステップ 4 [OK] をクリックして設定内容を保存します。


 

次の作業

AD エージェントを設定します。「Active Directory エージェントの設定」および「Active Directory エージェント グループの設定」を参照してください。

Active Directory エージェントの設定

AD エージェントは、定期的に、または要求に応じて、WMI を介して Active Directory サーバのセキュリティ イベント ログ ファイルをモニタし、ユーザのログインおよびログオフ イベントを調べます。AD エージェントは、ユーザ ID と IP アドレスのマッピングのキャッシュを保持しており、 マッピングに変更があった場合は ASA に通知します。

要件

AD エージェントの IP アドレス

ASA と AD エージェントとの共有秘密

AD エージェントを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Identity Options] ペインを開きます。

ステップ 2 必要に応じて、[Enable User Identity] チェックボックスをオンにして、機能をイネーブルにします。

ステップ 3 [Active Directory Agent] セクションで、[Manage] をクリックします。

 

[Configure Active Directory Agents] ダイアログボックスが表示されます。

 

ステップ 4 AD エージェントを追加するには、[Add] ボタンをクリックします。

または

リストでエージェント グループを選択し、[Edit] をクリックします。

「Active Directory エージェント グループの設定」を参照してください。

ステップ 5 [OK] をクリックして変更を保存します。


 

次の作業

AD エージェント グループを設定します。「Active Directory エージェント グループの設定」を参照してください。

アイデンティティ ファイアウォールのアクセス ルールを設定します。「アイデンティティに基づくアクセス ルールの設定」を参照してください。

Active Directory エージェント グループの設定

AD エージェント サーバ グループのプライマリ AD エージェントとセカンダリ AD エージェントを設定します。プライマリ AD エージェントが応答していないことを ASA が検出し、セカンダリ AD エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの Active Directory サーバは、通信プロトコルとして RADIUS を使用します。そのため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。

AD エージェント グループを設定するには、次の手順を実行します。


ステップ 1 [Configure Active Directory Agents] ダイアログで、[Add] をクリックします。[Add Active Directory Agent Group] ダイアログボックスが表示されます。

 

ステップ 2 AD エージェント グループの名前を入力します。

ステップ 3 [Primary Active Directory Agent] セクションで、ASA が AD エージェント サーバのトラフィックをリッスンするインターフェイスを指定し、サーバの FQDN または IP アドレスを入力します。

ステップ 4 [Primary Active Directory Agent] セクションに、AD エージェントが応答しない場合に ASA が続けて接続を試行する際のタイムアウト間隔と再試行間隔を入力します。

ステップ 5 プライマリ AD エージェントと ASA の間で使用される共有秘密キーを入力します。

ステップ 6 [Secondary Active Directory Agent] セクションで、ASA が AD エージェント サーバのトラフィックをリッスンするインターフェイスを指定し、サーバの FQDN または IP アドレスを入力します。

ステップ 7 [Secondary Active Directory Agent] セクションに、AD エージェントが応答しない場合に ASA が続けて接続を試行する際のタイムアウト間隔と再試行間隔を入力します。

ステップ 8 セカンダリ AD エージェントと ASA の間で使用される共有秘密キーを入力します。

ステップ 9 [OK] をクリックして変更を保存します。


 

次の作業

アイデンティティ ファイアウォールのアクセス ルールを設定します。「アイデンティティに基づくアクセス ルールの設定」を参照してください。

アイデンティティ オプションの設定

アイデンティティ ファイアウォール機能を追加または編集するには、このペインを使用します。この機能をイネーブルにするには、[Enable] チェックボックスをオンにします。デフォルトでは、アイデンティティ ファイアウォール機能はディセーブルになっています。

前提条件

アイデンティティ ファイアウォールのアイデンティティ オプションを設定する前に、AD エージェントおよび Microsoft Active Directory の前提条件を満たす必要があります。AD エージェントおよび Microsoft Active Directory のインストール要件については、「前提条件」を参照してください。

アイデンティティ ファイアウォールのアイデンティティ オプションを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Identity Options] の順に選択します。[Identity Options] ペインが表示されます。

 

ステップ 2 必要に応じて、[Enable User Identity] チェックボックスをオンにして、機能をイネーブルにします。

ステップ 3 アイデンティティ ファイアウォールのドメインを追加するには、[Domains] テーブルの横にある [Add] をクリックします。[Add Domain] ダイアログボックスが表示されます。「Active Directory ドメインの設定」を参照してください。

ステップ 4 [Domains] リストにすでに追加されているドメインについて、Active Directory ドメイン コントローラが応答していないため、そのドメインがダウンしている場合にルールをディセーブルにするかどうかを指定します。

ドメインがダウンしており、そのドメインに対してこのオプションが指定されている場合、ASA により、そのドメイン内のユーザに関連付けられているユーザ アイデンティティ ルールがディセーブルにされます。さらに、[Monitoring] > [Properties] > [Identity] > [Users] ペインでは、そのドメイン内のすべてのユーザ IP アドレスがディセーブルとマークされます。

ステップ 5 [Default Domain] ドロップダウン リストで、アイデンティティ ファイアウォールのデフォルト ドメインを選択します。

デフォルト ドメインは、ユーザまたはグループにドメインが明示的に設定されていない場合に、すべてのユーザおよびユーザ グループで使用されます。デフォルト ドメインを指定しない場合、ユーザおよびグループのデフォルト ドメインは LOCAL となります。

さらに、アイデンティティ ファイアウォールは、ローカルに定義されたすべのユーザ グループまたはユーザ(VPN または Web ポータルを使用してログインおよび認証を行うユーザ)に対して LOCAL ドメインを使用します。


) 選択するデフォルト ドメイン名は、Active Directory ドメイン コントローラに設定された NetBIOS ドメイン名と一致している必要があります。ドメイン名が一致しない場合、AD エージェントは、ユーザと IP のマッピングを ASA の設定時に入力されたドメイン名に誤って関連付けます。
NetBIOS ドメイン名を表示するには、任意のテキスト エディタで Active Directory ユーザ イベント セキュリティ ログを開きます。


マルチ コンテキスト モードでは、システム実行スペース内だけでなく、各コンテキストについてデフォルト ドメイン名を設定できます。

ステップ 6 [Active Directory Agent] セクションで、ドロップダウン リストから AD エージェント グループを選択します。AD エージェント グループを追加するには、[Manage] をクリックします。「Active Directory エージェントの設定」を参照してください。

ステップ 7 [Hello Timer] フィールドに、10 ~ 65535 秒の数値を入力します。

ASA と AD エージェントとの間の Hello タイマーは、ASA が hello パケットを交換する頻度を定義します。ASA は、hello パケットを使用して、ASA 複製ステータス(in-sync または out-of-sync)とドメイン ステータス(up または down)を取得します。ASA は、AD エージェントから応答を受信しなかった場合、指定された間隔が経過した後、hello パケットを再送信します。

ASA が AD エージェントに hello パケットを送信する回数を指定します。デフォルトでは、秒数は 30 に設定され、再試行回数は 5 に設定されます。

ステップ 8 [Poll Group Timer] フィールドで、完全修飾ドメイン名(FQDN)を解決するために ASA が DNS サーバにクエリーを実行する時間数を入力します。デフォルトでは、poll タイマーは 4 秒に設定されます。

ステップ 9 [Retrieve User Information] で、リストから次のいずれかのオプションを選択します。

[On Demand]:ASA が新しい接続を必要とするパケットを受信し、その送信元 IP アドレスのユーザがユーザ アイデンティティ データベースに含まれていない場合に、ASA が AD エージェントから IP アドレスのユーザ マッピング情報を取得することを指定します。

[Full Download]:ASA が、ASA の起動時に IP/ユーザ マッピング テーブル全体をダウンロードし、ユーザのログインおよびログアウト時に増分 IP/ユーザ マッピングを受信するように指示する要求を AD エージェントに送信することを指定します。


) on-demand には、受信パケットのユーザだけが取得および保存されるためにメモリの使用量が少なくなるというメリットがあります。


ステップ 10 [Error Conditions] セクションで、AD エージェントが応答していない場合にルールをディセーブルにするかどうかを選択します。

AD エージェントがダウンしており、このオプションが選択されている場合、ASA により、そのドメイン内のユーザに関連付けられているユーザ アイデンティティ ルールがディセーブルにされます。さらに、[Monitoring] > [Properties] > [Identity] > [Users] ペインでは、そのドメイン内のすべてのユーザ IP アドレスがディセーブルとマークされます。

ステップ 11 [Error Conditions] セクションで、NetBIOS プローブが失敗した場合にユーザの IP アドレスを削除するかどうかを選択します。

このオプションを選択すると、ユーザに対する NetBIOS プローブがブロックされた場合(たとえば、ユーザ クライアントが NetBIOS プローブに応答しない場合)のアクションが指定されます。また、そのクライアントへのネットワーク接続がブロックされている場合や、クライアントがアクティブでない場合もあります。このオプションが選択されている場合、そのユーザ IP アドレスに関連付けられているアイデンティティ ルールが ASA によってディセーブルにされます。

ステップ 12 [Error Conditions] セクションで、ASA が現在ユーザの MAC アドレスにマッピングしている IP アドレスと、その MAC アドレスが一致しない場合に、ユーザの MAC アドレスを削除するかどうかを選択します。このオプションが選択されている場合、特定のユーザに関連付けられているユーザ アイデンティティ ルールが ASA によってディセーブルにされます。

ステップ 13 [Error Conditions] セクションで、見つからないユーザを追跡するかどうかを選択します。

ステップ 14 [Users] セクションで [Idle Timeout] オプションを選択し、1 ~ 65535 分の分数を入力します。デフォルトでは、アイドル タイムアウトは 60 分に設定されます。

このオプションをイネーブルにすると、アクティブ ユーザがアイドル状態であると考えられる場合(指定された時間を超えても ASA がユーザの IP アドレスからトラフィックを受信しない場合)のタイマーが設定されます。タイマーの期限が切れると、ユーザの IP アドレスが非アクティブとマークされ、ローカル キャッシュ内の IP とユーザのデータベースから削除されます。これ以降、ASA は、この IP アドレスについて AD エージェントに通知しません。既存のトラフィックは通過を許可されます。[Idle Timeout] オプションをイネーブルにすると、ASA は NetBIOS ログアウト プローブが設定されている場合でも非アクティブ タイマーを実行します。


) アイドル タイムアウト オプションは VPN ユーザまたはカットスルー プロキシ ユーザには適用されません。


ステップ 15 [NetBIOS Logout Probe] セクションで、NetBIOS プローブをイネーブルにし、ユーザの IP アドレスがプローブされるまでのプローブ タイマー(1 ~ 65535 分)とプローブの再試行間の再試行間隔(1 ~ 256 回の再試行)を設定します。

このオプションをイネーブルにすることにより、ASA がユーザ ホストのプローブによってユーザ クライアントがアクティブであるかどうかを確認する頻度を設定します。NetBIOS パケットを最小限に抑えるために、ASA は、[Idle Timeout minutes] フィールドで指定された分数を超えてユーザがアイドル状態である場合のみ NetBIOS プローブをクライアントに送信します。

ステップ 16 [NetBIOS Logout Probe] セクションで、[User Name] リストから次のいずれかのオプションを選択します。

[Match Any]:ホストからの NetBIOS 応答に IP アドレスに割り当てられたユーザのユーザ名が含まれている場合、ユーザ アイデンティティは有効と見なされます。このオプションを指定する場合は、ホストで Messenger サービスがイネーブルになっており、WINS サーバが設定されている必要があります。

[Exact Match]:NetBIOS 応答に IP アドレスに割り当てられたユーザのユーザ名だけが含まれている必要があります。そうでない場合、その IP アドレスのユーザ アイデンティティは無効と見なされます。このオプションを指定する場合は、ホストで Messenger サービスがイネーブルになっており、WINS サーバが設定されている必要があります。

[User Not Needed]:ASA がホストから NetBIOS 応答を受信した場合、ユーザ アイデンティティは有効と見なされます。

ステップ 17 [Apply] をクリックし、アイデンティティ ファイアウォールの設定を保存します。


 

次の作業

Active Directory ドメインとサーバ グループを設定します。「Active Directory ドメインの設定」および「Active Directory サーバ グループの設定」を参照してください。

AD エージェントを設定します。「Active Directory サーバ グループの設定」を参照してください。

アイデンティティに基づくアクセス ルールの設定

アクセス ルールは、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および送信元ポートと宛先ポートに基づいて、トラフィックを許可または拒否します。アクセス ルールの詳細については、「アクセス ルールの設定」を参照してください。

アイデンティティ ファイアウォール機能によって、ユーザのアイデンティティまたはユーザ グループに基づいてトラフィックを許可または拒否することが可能になります。送信元 IP アドレスに加え、ユーザ名とユーザ グループ名に基づいて、アクセス ルールとセキュリティ ポリシーを設定します。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

ユーザは、ローカル ユーザ、リモート ユーザ(VPN 経由)、有線ユーザ、無線ユーザのいずれかです。サーバ リソースには、サーバ IP アドレス、サーバ DNS 名、ドメインが含まれます。

アイデンティティに基づくアクセス ルールの形式は、標準の IP アドレスに基づくルールの一般的な形式と同じであり、アクション、プロトコル、送信元、宛先、および任意の送信元サービス(ルールのプロトコルが TCP または UDP である場合)で構成されます。さらに、従来の IP アドレスに基づくオブジェクト(any、ネットワークオブジェクト/ネットワーク グループ、インターフェイス、ホスト、IP アドレス、ネットワーク マスク)の前にユーザ オブジェクトとユーザ グループ オブジェクトも指定します。

アクセス ルールは、アイデンティティに基づくオブジェクト(ユーザとユーザ グループ)だけで構成することもできれば、アイデンティティに基づくオブジェクトと従来の IP アドレスに基づくオブジェクトを組み合わせて作成することもできます。条件を満たす IP アドレスに基づく送信元の送信元ユーザまたは送信元ユーザ グループを含むアクセス ルールを作成できます。たとえば、sample_user1 11.0.0.0 255.0.0.0 のアクセス ルールを作成できます。これは、ユーザがサブネット 11.0.0.0/8 上のどの IP アドレスを持っていてもよいことを意味します。

送信元および宛先に FQDN が含まれるアクセス ルールも作成できます。

アイデンティティに基づくアクセス ルールの宛先の部分については、従来の IP アドレスに基づくアクセス ルールの場合と同じ形式およびガイドラインに従います。

ガイドラインと制限事項

ASA 5500 シリーズ モデルのアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 64,000 個です。

この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

ASA 5505 のアクティブな ASA ポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピングは、最大 1024 個です。

この制限により、ポリシーが適用されるユーザの最大数が決まります。ユーザの総数は、すべてのコンテキストに設定されたユーザの合計です。

アクティブな ASA セキュリティ ポリシーでサポートされるユーザ グループは、最大 256 個です。

1 つのルールに 1 つ以上のユーザ グループまたはユーザを含めることができます。

前提条件

AD ドメインと AD エージェントを設定した後で、アイデンティティに基づくルールを指定し、適用できます。

アイデンティティに基づくアクセス ルールを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] > [Add Access Rules] または [Add IPv6 Access Rule] を開きます。[Add Access Rule] ダイアログボックスまたは [Add IPv6 Access Rule] ダイアログボックスが表示されます。

 

アクセス ルールの作成手順については、「アクセス ルールの設定」を参照してください。

ステップ 2 アクセス ルール ダイアログボックスで、[User] フィールドの省略符号([...])をクリックします。[Browse User] ダイアログボックスが表示されます。「アクセス ルールへのユーザおよびグループの追加」を参照してください。


 

アクセス ルールへのユーザおよびグループの追加

アクセス ポリシーにユーザおよびグループを追加するには、次の手順を実行します。

アクセス ルールを作成または編集します。アクセス ルールの作成手順または編集手順については、「アクセス ルールの設定」を参照してください。


ステップ 1 [Add Access Rule] ダイアログボックスまたは [Add IPv6 Access Rule] ダイアログボックスで、[User] フィールドの省略符号([...])をクリックします。[Browse User] ダイアログボックスが表示されます。

 

ステップ 2 [Domain] フィールドで、追加するグループまたはユーザのドメインを選択します。ドメインには、ローカル ドメインまたは特定の Active Directory ドメインのいずれも指定できます。

このアクセス ルールのドメインを追加するには、[Manage] をクリックします。「Active Directory ドメインの設定」を参照してください。

ステップ 3 [User Groups] セクションで、[Find] フィールドにグループ名を入力し、[Find] をクリックします。そのドメイン内のユーザ グループをすべて表示するには、アスタリスク(*)を入力します。すべてのユーザ グループを表示する場合、特にドメインに多数のグループが含まれている場合には、結果の表示に長時間かかる可能性があるという警告が ASDM から出されます。

[Find] フィールドに入力した値により、そのドメインのユーザ グループがフィルタリングされます。

[User Groups] リストにグループ名が表示されます。アイデンティティ ファイアウォールのユーザ グループを追加する方法については、「ローカル ユーザ グループの設定」を参照してください。

ステップ 4 アクセス ルールに追加するグループを選択し、[Add] をクリックします。[Selected User Groups and Users] リストにそのグループが表示されます。

ステップ 5 [User] セクションで、[Find] フィールドにユーザ名を入力し、[Find] をクリックします。[Users] リストにユーザ名が表示されます。

ステップ 6 アクセス ルールに追加するユーザを選択し、[Add] をクリックします。[Selected User Groups and Users] リストにそのユーザが表示されます。

ステップ 7 ユーザ名を手動で入力するには、ユーザ名をテキスト ボックスに入力し、[Add] をクリックします。ユーザ名の間はカンマで区切ります。[Selected User Groups and Users] リストにそのユーザ名が表示されます。

ユーザ名を手動で入力して [Add] をクリックした場合、[Selected User Groups and Users] リストに表示されるユーザ名にはデフォルト ドメインが付けられます。たとえば、default_domain\\sample_user1 と表示されます。

[Selected User Groups and Users] リストには、複数の Active Directory のユーザおよびユーザ グループを含めることができます。

ステップ 8 [OK] をクリックして変更を保存します。


 

ローカル ユーザ グループの設定

ASA は、Active Directory ドメイン コントローラでグローバルに定義されているユーザ グループについて、Active Directory サーバに LDAP クエリーを送信します。これらのグループは、ASA によりアイデンティティ ファイアウォール機能用にインポートされます。

ただし、ローカライズされたセキュリティ ポリシーを持つローカル ユーザ グループを必要とする、グローバルに定義されていないネットワーク リソースが ASA によりローカライズされている場合があります。

ローカル ユーザ グループには、Active Directory からインポートされる、ネストされたグループおよびユーザ グループを含めることができます。ASA は、ローカル グループおよび Active Directory グループを統合します。

ユーザは、ローカル ユーザ グループと Active Directory からインポートされたユーザ グループに属することができます。

ローカル ユーザ グループを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Local User Groups] ペインを開きます。

ユーザ グループとそのメンバーのテーブルが表示されます。

ステップ 2 グループを追加するには、[Add] をクリックします。[Add User Object Group] ダイアログが表示されます。

 

ステップ 3 グループの名前と説明を入力します。

グループ名には、[a-z]、[A-Z]、[0-9]、[!@#$%^&()-_{}.] など、あらゆる文字を使用できます。グループ名にスペースを含める場合は、名前全体を引用符で囲みます。

ステップ 4 [Domain] リストで、このグループのユーザのデフォルト ドメインを選択するか、[Manage] をクリックして新しいドメインを追加するか、既存のドメインを編集します。

ステップ 5 このグループに既存のグループを追加するには、テキスト ボックスに検索文字列を入力し、[Find] をクリックします。

ステップ 6 グループにユーザを追加するには、テキスト ボックスに検索文字列を入力し、[Find] をクリックします。

ステップ 7 グループを選択し、[Add] ボタンをクリックして、グループに追加します。

ステップ 8 ユーザを選択し、[Add] ボタンをクリックして、グループに追加します。

ステップ 9 [OK] をクリックして変更を保存します。


 

カットスルー プロキシ認証のサポート

企業では、ユーザによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。たとえば、クライアントとして Machintosh や Linux を使用しているユーザは、Web ポータル(カットスルー プロキシ)にログインしたり、VPN を使用してログインしたりすることがあります。そのため、これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定する必要があります。

ASA は、Web ポータル(カットスルー プロキシ)経由でログインするユーザを認証が行われる Active Directory ドメインに属するユーザと見なします。ASA は、VPN 経由でログインするユーザを、VPN が Active Directory で LDAP によって認証される場合を除き、LOCAL ドメインに属するユーザと見なします。これにより、アイデンティティ ファイアウォールはユーザをそれぞれの Active Directory ドメインに関連付けることができます。ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。

ユーザは、HTTP/HTTPS、FTP、Telnet、または SSH を使用してログインできます。ユーザがこれらの認証方式でログインする場合は、次のガイドラインが適用されます。

HTTP/HTTPS トラフィックの場合、認証されていないユーザには認証ウィンドウが表示されます。

Telnet および FTP トラフィックの場合、ユーザはカットスルー プロキシ経由でログインし、さらに Telnet および FTP サーバにログインする必要があります。

ユーザは、ログイン クレデンシャル(形式は domain \ username )を入力するときに、Active Directory ドメインを指定できます。ASA は、指定されたドメインに関連付けられた AAA サーバ グループを自動的に選択します。

ユーザがログイン クレデンシャル(形式は domain \ username )を入力するときに Active Directory ドメインを指定すると、ASA はドメインを解析し、それを使用して、アイデンティティ ファイアウォール用に設定された AAA サーバから認証サーバを選択します。AAA サーバには username だけが渡されます。

ログイン クレデンシャルにバックスラッシュ(\)デリミタが含まれていない場合、ASA はドメインを解析せず、アイデンティティ ファイアウォールに設定されたデフォルト ドメインに対応する AAA サーバで認証が実行されます。

デフォルト ドメインが設定されていない場合、またはそのデフォルト ドメインにサーバ グループが設定されていない場合、ASA は認証を拒否します。

ドメインが指定されない場合、ASA はアイデンティティ ファイアウォールに設定されたデフォルト ドメインの AAA サーバ グループを選択します。

手順の詳細

アイデンティティ ファイアウォールのカットスルー プロキシを設定するには、次の手順を実行します。

 


ステップ 1 [Configuration] > [Firewall] > [AAA Rules] ペインを開きます。

ステップ 2 [Add] > [Add Authentication Rule] を選択します。[Add Authentication Rule] ダイアログボックスが表示されます。

 

ステップ 3 [Interface] ドロップダウン リストから、[inside] を選択します。

ステップ 4 [Action] フィールドで、[Authenticate] をクリックします。

ステップ 5 [AAA Server Group] ドロップダウン リストから、サーバ グループを選択します。AAA サーバをサーバ グループに追加する場合は、[Add Server] をクリックします。

AAA サーバ グループとして [LOCAL] を選択した場合は、[Add User] をクリックして新しいユーザを追加することも可能です。詳細については、「ユーザ アカウントのローカル データベースへの追加」の項を参照してください。

ステップ 6 [Source] フィールドに any と入力します。

ステップ 7 [User] フィールドに none と入力します。

ステップ 8 [Destination] フィールドに any と入力します。

ステップ 9 [Service] フィールドで、宛先サービスの IP サービス名または IP サービス番号を入力するか、省略符号([...])をクリックしてサービスを選択します。

ステップ 10 (任意)[Description] フィールドに説明を入力します。

ステップ 11 [OK] をクリックします。[Add Authentication Rule] ダイアログボックスが閉じ、ルールが [AAA Rules] テーブルに表示されます。

ステップ 12 [Apply] をクリックします。変更内容が実行コンフィギュレーションに保存されます。


 

アイデンティティ ファイアウォールのモニタリング

ここでは、次の内容について説明します。

「AD エージェントのモニタリング」

「グループのモニタリング」

「アイデンティティ ファイアウォールのメモリ使用率のモニタリング」

「アイデンティティ ファイアウォールのユーザのモニタリング」

AD エージェントのモニタリング

アイデンティティ ファイアウォールの AD エージェント コンポーネントをモニタできます。


ステップ 1 [Monitoring] > [Properties] > [Identity] > [AD Agent] を開きます。

[Active Directory Agent Information] ペインが表示されます。

ステップ 2 [Refresh] をクリックして、ペイン内のデータを更新します。


 

このペインには、プライマリ AD エージェントおよびセカンダリ AD エージェントに関する次の情報が表示されます。

AD エージェントのステータス

ドメインのステータス

AD エージェントの統計情報

グループのモニタリング

アイデンティティ ファイアウォールに設定されたユーザ グループをモニタできます。


ステップ 1 [Monitoring] > [Properties] > [Identity] > [Group] を開きます。

[Activated Groups] ペインが表示されます。

ステップ 2 選択したグループを使用するアクセス ルールのリストを表示するには、[Where used] をクリックします。

ステップ 3 [Refresh] をクリックして、ペイン内のデータを更新します。


 

このペインには、ユーザ グループのリストが次の形式で表示されます。

domain \ group_name

アイデンティティ ファイアウォールのメモリ使用率のモニタリング

アイデンティティ ファイアウォールの ASA 上でのメモリ使用率をモニタできます。


ステップ 1 [Monitoring] > [Properties] > [Identity] > [Memory Usage] を開きます。

[Memory Usage of Identity Modules] ペインが表示されます。

ステップ 2 [Refresh] をクリックして、ペイン内のデータを更新します。


 

このペインには、アイデンティティ ファイアウォールの各種モジュールのメモリ使用率がバイト単位で表示されます。

ユーザ

グループ

ユーザ統計

LDAP

ASA は、Active Directory サーバに設定された Active Directory グループに対する LDAP クエリーを送信します。Active Directory サーバは、ユーザを認証し、ユーザ ログオン セキュリティ ログを生成します。

AD エージェント

Miscellaneous

メモリ使用率合計


) Identity Firewall で設定した AD エージェントからユーザ情報を取得する方法によって、この機能が使用するメモリの量が変わります。ASA で on-demand 取得と full-download 取得のどちらを使用するかを指定します。on-demand には、受信パケットのユーザだけが取得および保存されるためにメモリの使用量が少なくなるというメリットがあります。これらのオプションの説明については、「アイデンティティ オプションの設定」を参照してください。


アイデンティティ ファイアウォールのユーザのモニタリング

アイデンティティ ファイアウォールで使用される IP/ユーザ マッピング データベースに含まれるすべてのユーザに関する情報を表示できます。


ステップ 1 [Monitoring] > [Properties] > [Identity] > [User] を開きます。

[Users in the User Database] ペインが表示されます。


) アクティブ ユーザは緑色で強調表示されます。


ステップ 2 アクティブ ユーザに関する詳細情報を表示するには、リスト内のユーザを選択し、[Details] をクリックします。[Details] ボタンは、アクティブ ユーザでのみイネーブルになります。

ステップ 3 選択したユーザを使用するアクセス ルールのリストを表示するには、[Where used] をクリックします。

ステップ 4 [Refresh] をクリックして、ペイン内のデータを更新します。


 

このペインには、ユーザに関する次の情報が表示されます。

デフォルトのドメイン名は、実際のドメイン名、特別な予約語、LOCAL のいずれかです。アイデンティティ ファイアウォールは、ローカルに定義されたすべのユーザ グループまたはユーザ(VPN または Web ポータルを使用してログインおよび認証を行うユーザ)に対して LOCAL ドメイン名を使用します。デフォルト ドメインを指定しない場合、LOCAL がデフォルト ドメインとなります。

アイドル時間は、ユーザの IP アドレスごとではなくユーザごとに保存されます。

Active Directory サーバがダウンしている場合にルールをディセーブルにするオプションが指定されていて、ドメインがダウンしている場合、または AD エージェントがダウンしている場合にルールをディセーブルにするオプションが指定されていて、AD エージェントがダウンしている場合、ログオンしているすべてのユーザのステータスがディセーブルになります。これらのオプションは、[Identity Options] ペインで設定します。

または、[Firewall Dashboard] ペインにアクセスして、ユーザの統計を表示することもできます。[Firewall Dashboard] ペインでは、ASA を通過するトラフィックに関する重要な情報を確認できます。[Top Usage Status] 領域で、[Home] > [Firewall Dashboard] > [Top 10 Users] タブを選択します。

[Top 10 Users] タブには、ASA でアイデンティティ ファイアウォール機能を設定している場合(Microsoft Active Directory や Cisco Active Directory(AD)エージェントなどの追加コンポーネントの設定を含む)にのみデータが表示されます。詳細については、「アイデンティティ ファイアウォールの設定」を参照してください。

選択したオプションに応じて、[Top 10 Users] タブに、上位 10 ユーザの受信した EPS パケット、送信した EPS パケット、および送信された攻撃に関する統計情報が表示されます。( domain\user_name として表示される)各ユーザに関して、このタブには、そのユーザの平均 EPS パケット、現在の EPS パケット、トリガー、および合計イベント数が表示されます。


) [Top Usage Status] 領域の最初の 3 つのタブには脅威検出のデータが表示されます。これは、アイデンティティ ファイアウォール機能とは関係ありません。


アイデンティティ ファイアウォールの機能履歴

表 39-1 に、この機能のリリース履歴を示します。

 

表 39-1 アイデンティティ ファイアウォールの機能履歴

機能名
リリース
機能情報

アイデンティティ ファイアウォール

8.4(2)

アイデンティティ ファイアウォール機能が導入されました。

次の画面が導入または変更されました。

[Configuration] > [Firewall] > [Identity Options]
[Configuration] > [Firewall] > [Objects] > [Local User Groups]
[Monitoring] > [Properties] > [Identity]