Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール AAA ルールの管理
ファイアウォール AAA ルールの管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール AAA ルールの管理

AAA ルールについて

ユーザの認証方法について

ASA、PIX、および FWSM デバイスの AAA ルールの設定

IOS デバイスの AAA ルールの設定

[AAA Rules] ページ

[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス

[Edit AAA Option] ダイアログボックス

[AuthProxy] ダイアログボックス

[Edit Server Group] ダイアログボックス

AAA ファイアウォール設定ポリシー

[AAA Firewall] 設定ページの [Advanced Setting] タブ

[Interactive Authentication Configuration] ダイアログボックス

[Clear Connection Configuration] ダイアログボックス

[AAA Firewall] ページの [MAC-Exempt List] タブ

[Firewall AAA MAC Exempt Setting] ダイアログボックス

[AAA] ページ

Firewall AAA IOS Timeout Value Setting

ファイアウォール AAA ルールの管理

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)ルールを使用すると、IP アドレスではなくユーザ権限に基づいて、ネットワーク リソースへのアクセスを制御できます。認証ルールを設定すると、ユーザは保護されたデバイスの背後にあるネットワークにアクセスしようとするたびに、ユーザ名とパスワードを入力する必要があります。認証後、ネットワーク アクセスがユーザに認可されていることを確認するために、さらにユーザ アカウントのチェックを要求することもできます。最後に、アカウンティング ルールを使用して、請求、セキュリティ、またはリソース割り当ての目的でアクセスを追跡できます。

AAA ルールの設定は複雑であり、AAA ルール ポリシー以外の設定も必要となります。ここでは、AAA ルールについて詳しく説明し、AAA ルール ポリシーの設定だけでなく関連ポリシーで設定する必要があるものに関する手順を示します。

「AAA ルールについて」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

「IOS デバイスの AAA ルールの設定」

「[AAA Rules] ページ」

「AAA ファイアウォール設定ポリシー」

一般的なルール テーブルの使用方法については、次の項を参照してください。

「ルールの追加および削除」

「ルールの編集」

「ルールのイネーブル化とディセーブル化」

「ルールの移動とルール順序の重要性」

AAA ルールについて

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)ルールを使用すると、IP アドレスではなくユーザ権限に基づいて、ネットワーク リソースへのアクセスを制御できます。AAA ルールは、従来のアクセス ルールとは異なるタイプの制御を実現します。アクセス ルールでは、許可する IP アドレスとサービスを制御できますが、AAA ルールでは、各ユーザの ACL を設定して、ユーザの接続元 IP アドレスに関係なくユーザごとに認可を定義できます(これらのユーザ単位の ACL は、デバイスに定義される AAA ルールではなく、AAA サーバで設定します)。

AAA ルール ポリシーは、デバイスに向けられたトラフィックではなく、デバイスを通過するトラフィックに AAA ルールが適用されることが、他のデバイス プラットフォームの AAA ポリシーとは異なります。AAA ルールを使用すると、ネットワークへの着信とネットワークからの発信を制御できます。このことは、セキュリティ レベルの高いネットワーク セグメントでアクセスを慎重に制御する必要がある場合に役立ちます。AAA ルールは、請求、セキュリティ、またはリソース割り当ての目的でユーザ単位のアカウンティング レコードを維持する必要がある場合にも役立ちます。

AAA ルール ポリシーでは、実際には 3 つの異なるタイプのルールを設定します。これらのルールの設定は、IOS デバイスの場合と ASA、PIX、および FWSM デバイスの場合で大きく異なります。IOS デバイスの場合、これらのポリシーではいわゆる認証プロキシ アドミッション コントロールを定義します。共有 AAA ルールを作成する場合は、これらのデバイス タイプに別々のルールを作成します。AAA ルールで設定できるルール タイプは次のとおりです。

認証ルール:認証ルールでは、基本的なユーザ アクセスを制御します。認証ルールを設定した場合、ユーザは、ルールが定義されているデバイスを接続要求が通過するときにログインする必要があります。HTTP、HTTPS、FTP、または Telnet 接続に対して、ユーザにログインを強制できます。ASA、PIX、および FWSM デバイスの場合、その他のタイプのサービスを制御できますが、ユーザは、まずサポートされているいずれかのプロトコルを使用して認証を受ける必要があり、その後、他のタイプのトラフィックが許可されます。

デバイスがこれらのトラフィック タイプを認識できるのは、デフォルト ポート(FTP(21)、Telnet(23)、HTTP(80)、HTTPS(443))上だけです。これらのタイプのトラフィックを他のポートにマッピングすると、ユーザにプロンプトが表示されず、アクセスは失敗します。

認可ルール:認証以外に、追加の制御レベルを定義できます。認証では、ユーザが自身を識別することだけが必要となります。認証に成功すると、認可ルールは、AAA サーバにユーザが試行した接続を完了するのに十分な権限を持っているかどうかを問い合わせることができます。認可に失敗した場合、接続はドロップされます。

ASA、PIX、および FWSM デバイスの場合は、AAA ルール ポリシーで直接認可ルールを定義します。認証を必要としないトラフィックの認可が必要な場合、認証されていないトラフィックは常にドロップされます。認証に RADIUS サーバを使用する場合、認可は自動的に実行されるため、認可ルールは必要ありません。認可ルールを設定する場合は、TACACS+ サーバを使用する必要があります。

IOS デバイスの場合、認可を設定するには、[Firewall] > [Settings] > [AAA] ポリシーで認可サーバ グループを設定する必要があります。認可は、認証の対象となる、どのトラフィックに対しても実行されます。TACACS+ または RADIUS サーバを使用できます。

アカウンティング:認証または認可を設定しない場合でも、アカウンティング ルールを定義できます。認証を設定すると、ユーザごとにアカウンティング レコードが作成されるため、接続を確立した特定のユーザを識別できます。ユーザ認証が実行されない場合、アカウンティング レコードは IP アドレスに基づきます。アカウンティングに TACACS+ または RADIUS サーバを使用できます。

ASA、PIX、および FWSM デバイスの場合は、AAA ルール ポリシーで直接アカウンティング ルールを定義します。TCP または UDP プロトコルに対してアカウンティングを実行できます。

IOS デバイスの場合、アカウンティングを設定するには、[Firewall] > [Settings] > [AAA] ポリシーでアカウンティング サーバ グループを設定する必要があります。アカウンティングは、認証の対象となる、どのトラフィックに対しても実行されます。

ユーザの認証方法について

AAA ルールを作成して、ユーザがデバイスから接続を確立しようとしたときに認証を要求する場合、ユーザはクレデンシャル(ユーザ名とパスワード)を入力するよう要求されます。これらのクレデンシャルは、AAA サーバまたはデバイスに設定されているローカル データベースで定義されている必要があります。

ユーザに要求されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです(認証を要求するようにこれらのプロトコルが設定されている場合)。また、ASA、PIX、および FWSM デバイスの場合、他のプロトコルの認証を要求することもできます。ただし、その場合、ユーザにはプロンプトが表示されないため、認証を必要とする他のプロトコルの接続を完了するには、まずサポートされている 4 つのプロトコルのいずれかを試して認証に成功する必要があります。


ヒント ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスからの HTTP、HTTPS、Telnet、または FTP を許可せず、他のタイプのトラフィックを認証するには、対話型認証を使用するようにインターフェイスを設定して([Firewall] > [Settings] > [AAA Firewall] ポリシー)、ユーザに HTTP または HTTPS を使用して直接セキュリティ アプライアンスで認証を受けるように要求できます。この場合、ユーザは、次のいずれかの URL を使用して他の接続を試行する前に、アプライアンスで認証されます。interface_ip はインターフェイスの IP アドレス、port([Interactive Authentication] テーブルのプロトコルにデフォルト以外のポートを指定する場合)はポート番号です。http://interface_ip[:port]/netaccess/connstatus.html または https://interface_ip[:port]/netaccess/connstatus.html

デバイスから接続を試行すると、ユーザにはプロトコルに応じてプロンプトが表示されます。

HTTP:ユーザにユーザ名とパスワードを入力するための Web ページが表示されます。このページは、認証に成功するまで繰り返し表示されます。ユーザが正しく認証されると、ユーザは元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。

ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスは、デフォルトでは基本 HTTP 認証を使用し、認証プロンプトを表示します。対話型認証を使用するようにインターフェイスを設定し、HTTP トラフィックのリダイレクトを指定すると、ユーザ エクスペリエンスを向上できます。これにより、ユーザは認証のためにアプライアンス上でホスティングされている Web ページにリダイレクトされます。対話型認証を使用するようにインターフェイスを設定するには、[Firewall] > [Settings] > [AAA Firewall] ポリシー(「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を参照)で [Interactive Authentication] テーブルにインターフェイスを追加します。インターフェイスを追加するときに、HTTP およびリダイレクトのオプションを選択してください。

基本 HTTP 認証を継続して使用する例としては、セキュリティ アプライアンスでリスニング ポートを開きたくない場合、ルータで NAT を使用しているのでセキュリティ アプライアンスで処理する Web ページの変換ルールを作成したくない場合、および基本 HTTP 認証とネットワークとの相性がよい場合があります。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。

ただし、基本 HTTP 認証を使用する場合、認証を必要とする HTTP サーバにユーザがアクセスしようとすると、アプライアンスでの認証に使用されたものと同じユーザ名とパスワードが HTTP サーバに送信されます。したがって、ASA と HTTP サーバで同じユーザ名とパスワードが使用される場合を除き、HTTP サーバへのログインは失敗します。この問題を回避するには、ASA で virtual http コマンドを使用して、ASA に仮想 HTTP サーバを設定する必要があります。FlexConfig ポリシーを作成してこのことを実行できます。ASA_virtual という定義済みの FlexConfig オブジェクトから例をコピーできます。


ヒント HTTP 認証では、ユーザ名とパスワードがクリア テキストで送信されます。これを防ぐには、[Firewall] > [Settings] > [AAA Firewall] ポリシーで [Use Secure HTTP Authentication] オプションを選択します。このオプションを選択すると、クレデンシャルが暗号化されます。

HTTPS:HTTPS の場合、ユーザ エクスペリエンスは HTTP の場合と同じです。つまり、認証に成功するまでユーザにプロンプトが表示され、ユーザは認証されると元の宛先にリダイレクトされます。

ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスは、カスタム ログイン画面を使用します。HTTP と同様に、対話型認証を使用するようにインターフェイスを設定できます。その場合、HTTPS 接続は HTTP 接続と同じ認証ページを使用します。HTTPS リダイレクト用に個別にインターフェイスを設定する必要があります。設定には [Firewall] > [Settings] > [AAA Firewall] ポリシーを使用します。

IOS デバイスの場合、HTTPS 接続が認証されるのは、デバイス上で SSL をイネーブルにし、AAA ルールで HTTP 認証プロキシが必要とされている場合だけです。この設定については、「IOS デバイスの AAA ルールの設定」を参照してください。

FTP:デバイスは、一度だけ認証を要求します。認証に失敗すると、ユーザは接続を再試行する必要があります。

プロンプトが表示されたら、ユーザはデバイス認証に必要なユーザ名、そのあとに続けてアット マーク(@)、FTP ユーザ名を入力できます(name1@name2)。パスワードについては、デバイス認証パスワード、そのあとに続けてアット マーク(@)、FTP パスワードを入力します(password1@password2)。たとえば、次のテキストを入力します。

name> asa1@partreq
password> letmein@he110

IOS デバイスの場合は、この方法でデバイスと FTP の両方のクレデンシャルを入力する必要があります。ASA、PIX、および FWSM デバイスの場合は、ファイアウォールが複数のログインを必要とするカスケード形式になっている場合に、この方法が役立ちます。複数の名前とパスワードを区切るには、複数のアット マーク(@)を使用します。

Telnet:デバイスは、複数回認証を要求します。認証に数回失敗すると、ユーザは接続を再試行する必要があります。認証後、Telnet サーバはユーザ名とパスワードを要求します。

ASA、PIX、および FWSM デバイスの AAA ルールの設定

ASA、PIX、または FWSM デバイスの AAA ルールを設定する場合は、デバイスからの HTTP、HTTPS、FTP、および Telnet 接続(デバイスへの接続ではない)の確立をどのユーザに許可するかを定義するポリシーを設定します。ネットワーク アクセス認証を完全に設定するには、AAA ルール ポリシーだけでなく、いくつかのポリシーを設定する必要があります。

次の手順では、ネットワーク アクセス認証に対応した完全な認証、認可、およびアカウンティングのサポートを提供するために設定する必要があるすべてのポリシーについて説明します。不要な機能のオプションを設定する必要はありません。

関連項目

「AAA ルールについて」

「ユーザの認証方法について」

「新しい共有ポリシーの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「インターフェイス ロール オブジェクトについて」


ステップ 1 次のいずれかを実行して、「[AAA Rules] ページ」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [AAA Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 ルールを作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」が開きます。


ヒント 行を選択しなかった場合、新しいルールはローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「ルールの編集」を参照してください。


ステップ 3 ルールを設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を参照してください。

認証(ユーザ アイデンティティを使用する、または使用しない)、認可、またはアカウンティング アクション:このルールで適用するオプションを選択します。認証を選択した場合、ユーザは HTTP、HTTPS、FTP、または Telnet アクセスを試行するときにユーザ名とパスワードの入力を要求されます。認可は追加レベルであり、ユーザ認証後に AAA サーバをチェックして、ユーザにそのタイプのアクセスが認可されていることを確認します。アカウンティングは、AAA サーバに使用状況レコードを生成し、請求、セキュリティ、またはリソース割り当ての目的で使用できます。TCP または UDP トラフィックのアカウンティング情報を生成できます。

[Authentication] を選択した場合、[User-Identity] も選択できます(ASA 8.4(2+) のみ)。このオプションは、ASA がアイデンティティ ファイアウォール ドメイン マッピングで構成されている Active Directory サーバを使用して、ユーザを認証することを示します(「Active Directory サーバおよびエージェントの識別」を参照)。ユーザがドメイン名を入力した場合、そのドメインに関連付けられている AD サーバにクエリーが送信されます。それ以外の場合は、デフォルト ドメインに関連付けられている AD サーバにクエリーが送信されます。[User-Identity] を選択し、[Authorization] または [Accounting] を選択しなかった場合は、AAA サーバ グループを指定しないでください。

許可または拒否:識別されたトラフィックを AAA で制御するか(許可)、または AAA 制御から除外するか(拒否)どうか。拒否されたトラフィックは認証を要求されないので認証なしで通過できますが、アクセス ルールによってトラフィックがドロップされる場合があります。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、ルールを適用する場合は、送信元または宛先に「any」を使用します。ルールがホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ユーザ:(ASA 8.4(2+) のみ)Active Directory(AD)ユーザ名(NetBIOS_DOMAIN¥username 形式)、ユーザ グループ(NetBIOS_DOMAIN¥¥user_group)、または名前とグループを定義するアイデンティティ ユーザ グループ オブジェクトを指定して、トラフィックの送信元をさらに定義できます。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。詳細については、「アイデンティティ ベースのファイアウォール ルールの設定」および「アイデンティティ ユーザ グループ オブジェクトの作成」を参照してください。

サービス:認証ルールと認可ルールのサービス タイプを指定できます。ただし、ユーザ認証が要求されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです。したがって、これらのサービス以外のサービスを指定した場合、ユーザは、まずこれらの接続のいずれかを試して認証(および認可アクションを含めた場合は認可)に成功する必要があります。その後、他のタイプの接続が許可されます。アカウンティング ルールについては、すべてのトラフィック タイプのアカウンティングを実行する場合、TCP または UDP サービス(あるいは単純に TCP と UDP 自体)を指定できます。

AAA サーバ グループ:認証、認可、またはアカウンティングに使用する AAA サーバ グループ ポリシー オブジェクト。ルールでこれらのアクションを複数適用する場合は、選択したすべてのアクションがサーバ グループでサポートされている必要があります。たとえば、TACACS+ サーバだけが認可ルールのサービスを提供でき(ただし、認証ルールに RADIUS を使用すると、自動的に RADIUS 認可が含まれます)、TACACS+ および RADIUS サーバだけがアカウンティング サービスを提供できます。アクションごとに異なるサーバ グループを使用する場合は、異なるグループを必要とするアクション タイプごとに別のルールを定義します。

インターフェイス:ルールを設定するインターフェイスまたはインターフェイス ロール。

ルールの定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないでルールを追加した場合は、追加されたルールを選択し、上下の矢印ボタンを使用して適切な位置にルールを移動します。詳細については、「ルールの移動とルール順序の重要性」を参照してください。

ステップ 5 (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [AAA Firewall] を選択して「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を開きます。AAA ファイアウォールを設定します。

HTTP 認証のルールを設定した場合は、[Use Secure HTTP Authentication] を選択する必要があります。これにより、HTTP 認証で入力したユーザ名とパスワードが暗号化されます。このオプションを選択しない場合は、クレデンシャルがクリア テキストで送信されるため、安全性が損なわれます。


ヒント このオプションを選択する場合は、ユーザ認証のタイムアウトに 0 を設定([Platform] > [Security] > [Timeouts] ポリシーで timeout uauth 0 を設定)していないことを確認してください。このようにしないと、ユーザが繰り返し認証を要求され、ネットワークに問題が発生する場合があります。


インターフェイス上の HTTP または HTTPS トラフィックの認証を設定した場合は、インターフェイスを [Interactive Authentication] テーブルに追加することを検討してください。インターフェイスで対話型認証を使用できるようにすると、ユーザには改良された認可 Web ページ(HTTP と HTTPS の両方で同じページ)が表示されます。

[Add Row] をクリックして、インターフェイスをテーブルに追加します。インターフェイスで HTTP または HTTPS トラフィックを受信するか(両方のプロトコルを受信する場合はインターフェイスを 2 回追加します)、およびプロトコルのデフォルト ポート(それぞれ 80 と 443)を使用しない場合は受信するポートを選択します。[Redirect network users for authentication request] を選択して、ネットワーク アクセス トラフィックに対して改良された認証プロンプトが表示されるようにします。このオプションを選択しない場合は、デバイスにログインしようとするユーザにだけプロンプトが表示されます。


) 基本 HTTP 認証を継続して使用する例としては、セキュリティ アプライアンスでリスニング ポートを開きたくない場合、ルータで NAT を使用しているのでセキュリティ アプライアンスで処理する Web ページの変換ルールを作成したくない場合、および基本 HTTP 認証とネットワークとの相性がよい場合があります。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。


FWSM デバイスの場合は、認証を必要とするように設定したプロトコルの認証チャレンジをディセーブルにすることもできます。インターフェイスを [Clear Connections] テーブルに追加して、認証がタイムアウトしたユーザのアクティブな接続をクリアし、ハングしないようにすることもできます。

Media Access Control(MAC; メディア アクセス コントロール)アドレスに基づいて AAA ルールから一部のデバイスを除外する場合は、[MAC Exempt List] タブをクリックして「[AAA Firewall] ページの [MAC-Exempt List] タブ」を開きます。免除リストの名前を入力し、[Add Row] ボタンをクリックします。次に「[Firewall AAA MAC Exempt Setting] ダイアログボックス」に入力し、許可ルールを使用して MAC アドレスをテーブルに追加します。この操作は、信頼できるセキュア デバイスに対して実行できます。

エントリの順序は処理に影響を及ぼします。このため、より広範なエントリにも当てはまるエントリは、テーブル内で、広範なエントリよりも前に配置してください。デバイスは、リストを順番に処理し、最初に一致したものがホストに適用されます。MAC 免除リスト内のエントリが処理される方法の詳細については、「[AAA Firewall] ページの [MAC-Exempt List] タブ」を参照してください。

ステップ 6 RADIUS サーバを使用して認証ルールを設定し、ユーザ ポリシーにユーザ単位の ACL 設定を含める場合は、インターフェイスに対してユーザ単位のダウンロード可能 ACL をイネーブルにします(RADIUS 認証には自動的に認可チェックが含められます。)ユーザ単位の ACL の設定については、『 Cisco ASA 5500 Series Configuration Guide Using the CLI 』( http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/access_fwaaa.html )の RADIUS 認可の設定に関する情報を参照してください。

a. (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [Access Control] を選択して「[Access Control Settings] ページ(IPv4 および IPv6)」を開きます。

b. インターフェイス テーブルの下にある [Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」で少なくとも次のオプションを入力または選択します。

認可を実行するインターフェイスまたはインターフェイス ロールを入力します。

[Per User Downloadable ACLs] を選択します。

c. [OK] をクリックして変更を保存します。


 

IOS デバイスの AAA ルールの設定

IOS デバイスの AAA ルールを設定する場合は、認証プロキシ(AuthProxy)アドミッション コントロール ポリシーを設定します。これらのポリシーでは、デバイスからの HTTP、HTTPS、FTP、および Telnet 接続(デバイスへの接続ではない)の確立をどのユーザに許可するかを定義します。認証プロキシを完全に設定するには、AAA ルール ポリシーだけでなく、いくつかのポリシーを設定する必要があります。

次の手順では、認可プロキシ用の完全な認証、認可、およびアカウンティングのサポートを提供するために設定する必要がある、すべてのポリシーについて説明します。不要な機能のオプションを設定する必要はありません。

関連項目

「AAA ルールについて」

「ユーザの認証方法について」

「新しい共有ポリシーの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「インターフェイス ロール オブジェクトについて」


ステップ 1 次のいずれかを実行して、「[AAA Rules] ページ」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [AAA Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 ルールを作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」が開きます。


ヒント 行を選択しなかった場合、新しいルールはローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「ルールの編集」を参照してください。


ステップ 3 ルールを設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を参照してください。

認証アクション :このオプションを選択します。認証ルールは、IOS デバイスの AAA ルール ポリシーで設定できる唯一のルール タイプです。

許可または拒否:識別されたトラフィックを AAA で制御するか(許可)、または AAA 制御から除外するか(拒否)どうか。拒否されたトラフィックは認証を要求されないので認証なしで通過できますが、アクセス ルールによってトラフィックがドロップされる場合があります。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、ルールを適用する場合は、送信元または宛先に「any」を使用します。ルールがホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

サービス:認証プロキシによって認証が要求されるのは、HTTP、HTTPS、FTP、および Telnet トラフィックだけです。これらのサービスを指定するか、または単純に IP サービスを使用できます。

インターフェイス:ルールを設定するインターフェイスまたはインターフェイス ロール。

認証プロキシをトリガーするサービス:ユーザ認証をトリガーするトラフィックのタイプ(HTTP、FTP、または Telnet)のチェックボックスをオンにします。自由に組み合わせて選択できます。HTTPS サポート用のプロキシをトリガーする場合は、[HTTP] を選択し、あとの手順で説明する HTTPS 設定を実行します。

ルールの定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないでルールを追加した場合は、追加されたルールを選択し、上下の矢印ボタンを使用して適切な位置にルールを移動します。詳細については、「ルールの移動とルール順序の重要性」を参照してください。

ステップ 5 (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [AuthProxy] を選択して「[AAA] ページ」を開きます。認証プロキシを設定します。

認可サーバ グループ :すべての認証ルールでユーザ認可も実行する場合は、認可を制御する TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクトのリストを指定します。[LOCAL] を指定して、デバイスに定義されているユーザ データベースを使用することもできます。サーバ グループを指定しない場合は、認可が実行されません。


ヒント AAA サーバでユーザごとに ACL を設定して、各ユーザに適用する権限を定義する必要があります。認可を設定する場合は、サービスとして [auth-proxy] を指定し(service = auth-proxy など)、権限レベルを 15 にします。AAA サーバを設定する方法と一般的な認証プロキシを設定する方法の詳細については、次の URL にある『Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』の「Configuring the Authentication Proxy」を参照してください。http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_authen_prxy_ps6441_TSD_Products_Configuration_Guide_Chapter.html


アカウンティング サーバ グループ :すべての認証ルールでアカウンティングを実行する場合は、アカウンティングを実行する TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクトのリストを指定します。サーバ グループを指定しない場合、アカウンティングは実行されません。アカウンティングを実行する場合は、必要に応じて次のオプションも設定します。

複数のサーバ グループを指定する場合は、[Use Broadcast for Accounting] の選択を検討してください。このオプションを選択すると、アカウンティング レコードが各サーバ グループ内のプライマリ サーバに送信されます。

[Accounting Notice] オプションでは、サーバにいつ通知するかを定義します。デフォルトでは、接続の開始時と終了時にサーバに通知されますが、終了通知だけを送信するか、またはまったく通知を送信しないかを選択できます。

各サービスの認証バナーをカスタマイズすることもできます。[Timeout] タブで、デフォルト アイドルと絶対セッション タイムアウトをグローバルに変更したり、インターフェイスごとに変更したりできます。

ステップ 6 [Platform] > [Device Admin] > [AAA](ポリシー ビューでは [Router Platform] フォルダにあります)を選択して「[AAA] ポリシー ページ」を開きます。[Authentication] タブで次のオプションを設定します。

[Enable Device Login Authentication] を選択します。

認証を制御するサーバ グループのリスト(プライオリティ順)を入力します。通常は、AuthProxy ポリシーで使用されているのと同じ LDAP、RADIUS、または TACACS+ サーバ グループの少なくとも一部を使用します。ただし、このポリシーでは、デバイス ログイン制御も定義するため、他のサーバ グループの一部を含めることが必要にある場合があります。詳細については、「[AAA] ページ - [Authentication] タブ」を参照してください。

ステップ 7 HTTP 接続で認証プロキシを使用し、HTTPS 接続でもそのプロキシを使用する場合は、[Platform] > [Device Admin] > [Device Access] > [HTTP](ポリシー ビューでは [Router Platform] フォルダにあります)を選択して「[HTTP] ポリシー ページ」を開きます。次のオプションを設定します。

[Enable HTTP] と [Enable SSL] を選択します(まだ選択されていない場合)。

[AAA] タブで、デバイスへのログインアクセスの設定が適切であることを確認します。AAA を使用してデバイスからのアクセスを制御する場合は、デバイスへのアクセスにその AAA を使用できます。


 

[AAA Rules] ページ

[AAA Rules] ページを使用して、デバイス インターフェイスの AAA ルールを設定します。AAA ルールでは、ネットワーク アクセス制御(IOS デバイスの認証プロキシと呼ばれる)を設定します。これにより、ユーザはデバイスを通過するネットワーク接続を試行するときに認証が必要になります。認証されたトラフィックに、認可を受けることを要求することもできます(ユーザが有効なユーザ名とパスワードを入力したあとで、AAA サーバをチェックして、ユーザにネットワーク アクセスが許可されていることを確認します)。認証されていないトラフィックにもアカウンティング ルールを設定して、請求、セキュリティ、およびリソース割り当ての目的で使用できる情報を提供することもできます。

AAA ルールの設定は複雑であり、オペレーティング システムによって大きく異なります。AAA ルールを設定する場合には、次の項をよく読んでください。

「AAA ルールについて」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

「IOS デバイスの AAA ルールの設定」


ヒント ディセーブルなルールには、テーブルの行にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルなルールはデバイスから削除されます。詳細については、「ルールのイネーブル化とディセーブル化」を参照してください。

ナビゲーション パス

[AAA Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [AAA Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [AAA Rules] を選択します。

関連項目

「ルールの追加および削除」

「ルールの編集」

「ルールの移動とルール順序の重要性」

「セクションを使用したルール テーブルの編成」

「ルール テーブルの使用」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 14-1 [AAA Rules] ページ

要素
説明

No.

順序が付けられたルール番号。

Permit

定義済みのトラフィックをルールの対象とするか([Permit])、またはルールを免除するか([Deny])。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

Source

Destination

ルールの送信元アドレスおよび宛先アドレス。「any」アドレスを指定すると、ルールは特定のホスト、ネットワーク、またはインターフェイスに制限されません。これらのアドレスは、ホストまたはネットワーク、ネットワーク/ホスト オブジェクト、インターフェイス、またはインターフェイス ロールの IP アドレスです。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。次の各項を参照してください。

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

User

(ASA 8.4(2+) のみ)ルールの Active Directory(AD)ユーザ名、ユーザ グループ、またはアイデンティティ ユーザ グループ オブジェクト。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。次の各項を参照してください。

「アイデンティティ ベースのファイアウォール ルールの設定」

「アイデンティティ ユーザ グループ オブジェクトの作成」

Service

ルールが適用されるトラフィックのプロトコルおよびポートを指定するサービスまたはサービス オブジェクト。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

Interface

ルールが割り当てられるインターフェイスまたはインターフェイス ロール。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

Action

このルールで定義される AAA 制御のタイプ:

[Authenticate]:デバイスから接続を確立するユーザは、ユーザ名とパスワードで認証される必要があります。認証を必要とするプロトコルは、[Service] フィールド(ASA/PIX/FWSM デバイスの場合)または [AuthProxy] 方式(IOS デバイスの場合)で定義します。

[Authorize]:認証済みユーザは、接続の確立が許可されていることを確認するために AAA サーバでもチェックされます(ASA/PIX/FWSM だけ)。

[Account]:識別されたトラフィックのアカウンティング レコードが AAA サーバに送信されます(ASA/PIX/FWSM だけ)。

AuthProxy

認証プロキシ方式を使用した認証を必要とするプロトコル。このことは、IOS デバイスにだけ適用されます。

Server Group

ルールで定義された認証、認可、またはアカウンティングのサポートを提供する AAA サーバ グループ。このグループは、ASA/PIX/FWSM デバイスの場合だけ使用されます。これらのルールで使用する IOS デバイスの AAA サーバの設定については、「IOS デバイスの AAA ルールの設定」を参照してください。

Category

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Description

ルールの説明(ある場合)。

[Tools] ボタン

このボタンをクリックして、このタイプのポリシーとともに使用できるツールを選択します。次のツールから選択できます。

[Combine Rules]:似たようなルールを結合して、パフォーマンスおよびメモリ使用率を改善します。このツールにより、ポリシーに含まれるルールの数が少なくなります。「ルールの結合」を参照してください。

[Query]:ポリシー クエリーを実行します。このことにより、ルールを評価して、効果が得られない削除可能なルールを特定できます。「ポリシー クエリー レポートの生成」を参照してください。

[Find and Replace] ボタン(双眼鏡アイコン)

テーブル内のさまざまなタイプの項目を検索し、必要に応じてその項目を置換するには、このボタンをクリックします。「ルール テーブルの項目の検索と置換」を参照してください。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択したルールを範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「ルールの移動とルール順序の重要性」を参照してください。

[Add Row] ボタン

「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を使用して選択したテーブルの行のあとにルールを追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後にルールが追加されます。ルールを追加する方法の詳細については、「ルールの追加および削除」を参照してください。

[Edit Row] ボタン

選択したルールを編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「ルールの編集」を参照してください。

[Delete Row] ボタン

選択したルールを削除するには、このボタンをクリックします。

[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス

[Add AAA Rules]/[Edit AAA Rules] ダイアログボックスを使用して、AAA ルールを追加および編集します。AAA ルールの設定は、このダイアログボックスに単に入力するよりも複雑であり、オペレーティング システムによって大きく異なります。AAA ルールを設定する場合には、次の項をよく読んでください。

「AAA ルールについて」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

「IOS デバイスの AAA ルールの設定」

ナビゲーション パス

「[AAA Rules] ページ」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「ルールの追加および削除」

「ルールの編集」

フィールド リファレンス

 

表 14-2 [Add AAA Rules]/[Edit AAA Rules] ダイアログボックス

要素
説明

Enable Rule

ルールをイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときにルールがアクティブになります。ディセーブルなルールには、ルール テーブルにハッシュ マークが重なって表示されます。詳細については、「ルールのイネーブル化とディセーブル化」を参照してください。

Authentication Action、User-Identity

Authorization Action(PIX/ASA/FWSM)

Accounting Action(PIX/ASA/FWSM)

認証、認可、およびアカウンティングのチェックボックスでは、デバイスに生成されるルールのタイプを定義します。タイプごとに異なるコマンド セットが生成されますが、複数のオプションを選択すると、このダイアログボックスの他の選択肢は、選択したすべてのアクションでサポートされる選択肢に制限されます。

[Authentication]:ユーザはデバイスから接続を確立するためにユーザ名とパスワードを入力する必要があります。ASA、PIX、および FWSM デバイスの場合、[Services] フィールドに入力した情報によって、認証を必要とするプロトコルが決まりますが、プロンプトが表示されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです。IOS デバイスの場合、いずれのプロトコルが認証を必要とするかは、ダイアログボックスの下部で選択した認可プロキシのチェックボックスに基づきます。

User-Identity(ASA 8.4(2+) のみ):ASA デバイスでは、[Authentication Action] を選択した場合、[User-Identity] も選択できます。このオプションは、デバイスが AAA ルールの [AAA Server Group] 設定ではなく、[Identity Options] ポリシーで定義されているアイデンティティ ファイアウォール ドメイン マッピングを使用してユーザを認証することを示します。ユーザがドメイン名を入力した場合、そのドメインに関連付けられている AD サーバにクエリーが送信されます。それ以外の場合は、デフォルト ドメインに関連付けられている AD サーバにクエリーが送信されます。「Active Directory サーバおよびエージェントの識別」を参照してください。

[Authorization]:認証に成功すると、ユーザが要求した接続の確立を許可されているかどうかを確認するために AAA サーバもチェックされます。認証ルールに RADIUS サーバを指定した場合は、認可ルールを設定しなくても認可が実行されます。TACACS+ サーバを使用している場合は、認可ルールを別途作成する必要があります。

[Accounting]:アカウンティング レコードが [Services] フィールドで指定された TCP および UDP プロトコルの TACACS+ または RADIUS サーバに送信されます。認証も設定する場合、これらのレコードはユーザ単位です。認証を設定しない場合は IP アドレスに基づきます。IOS デバイスの場合、アカウンティングは AAA ルールではなく [Firewall] > [Settings] > [ScanSafe Web Security] ポリシーで設定し、認証プロキシに選択したプロトコルにだけ適用されます。

Action([Permit]/[Deny])

定義済みのトラフィックがルールの対象となるか([Permit])、またはルールが免除されるか([Deny])。

たとえば、HTTP サービスを使用した宛先への 10.100.10.0/24 ネットワークに認証拒否ルールを作成した場合、このネットワーク上のユーザは HTTP 要求時にデバイスでの認証を要求されません。

Sources

Destinations

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

(注) Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を指定するには、FQDN ネットワーク/ホスト オブジェクトまたは FQDN オブジェクトを含むグループ オブジェクトを使用する必要があります。FQDN を直接入力することはできません。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IP アドレスを指定した場合と同様にルールが動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

Users

(ASA 8.4(2+) のみ)ルールの Active Directory(AD)ユーザ名、ユーザ グループ、またはアイデンティティ ユーザ グループ オブジェクト(使用する場合)。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。項目をカンマで区切って複数の値を入力できます。

次の値を組み合わせて入力できます。

個別のユーザ名:NetBIOS_DOMAIN¥username

ユーザ グループ(¥ を二重にします):NetBIOS_DOMAIN¥¥user_group

アイデンティティ ユーザ グループ オブジェクト名。

[Select] をクリックしてリストからオブジェクト、ユーザ、またはユーザ グループを選択するか、新しいオブジェクトを作成します。

詳細については、以下を参照してください。

「ポリシーでのアイデンティティ ユーザの選択」

「アイデンティティ ベースのファイアウォール ルールの設定」

「アイデンティティ ユーザ グループ オブジェクトの作成」

Services

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービス タイプは、デバイス タイプに基づいて慎重に選択することが重要です。

IOS デバイスの場合、ダイアログボックスの下部で、認可プロキシのチェックボックスを使用して選択したプロトコルだけが AAA 制御に使用されるため、IP をプロトコルとして使用できます。

ASA、PIX、および FWSM デバイスの場合、どのタイプのトラフィックにも認証を強制できますが、セキュリティ アプライアンスでプロンプトが表示されるのは、HTTP/HTTPS、FTP、および Telnet トラフィックの場合だけです。これらのサービス以外のサービスを指定した場合、ユーザは、これらのサービスのいずれかを試して認証に成功するまではアプライアンスから接続を確立できません。

アカウンティングのルールだけの場合は、レコードを作成する TCP または UDP プロトコルを指定できます。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

(注) PIX 6.3 および FWSM デバイスには問題があるため、送信元ポートを使用してサービスを指定した場合、トラフィックは認証されません。そのため、これらのデバイス タイプのルールから CLI が生成される場合、送信元ポートは無視されます。

AAA Server Group(PIX、ASA、FWSM)

ルールで定義されるトラフィックの認証、認可、またはアカウンティングを提供する AAA サーバを定義する AAA サーバ グループ ポリシー オブジェクト。ポリシー オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。

ルールに定義されているすべてのアクションを実行できるサーバのタイプを選択する必要があります。たとえば、(デバイスに定義されている)ローカル データベースでは、認可サービスを提供できません。認証に RADIUS サーバを使用する場合、認可サービスは自動的に提供されますが、RADIUS サーバを使用する認可ルールは定義できません。

同じ送信元/宛先ペアに対する異なるアクションに対して、複数のサーバ グループを混在させて使用できます。このことを行うには、認証、認可、およびアカウンティング アクションを用途に応じて組み合わせ、個別のルールを作成します。AAA サーバ グループ オブジェクトの詳細については、「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。

ヒント

[Authenticate] アクションと [User-Identity] を選択し、[Authorization] または [Accounting] アクションを選択しなかった場合、ここで指定したサーバは無視されます。検証時の警告を防止するため、サーバは選択しないでください。

IOS デバイスの AAA サーバ グループは、他のポリシーで定義されます。設定の詳細については、「IOS デバイスの AAA ルールの設定」を参照してください。

Interface

ユーザの認証、認可、またはアカウンティングを実行するインターフェイスを識別するインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロール オブジェクトを作成します。

ASA および PIX デバイス上の認証ルールの場合、[Firewall] > [Settings] > [AAA Firewall] ポリシーを使用して、このインターフェイスによる HTTP/HTTPS トラフィックの認証方法を変更できます。インターフェイスを HTTP/HTTPS リスニング ポートとして設定すると、認証のユーザ エクスペリエンスを向上できます。詳細については、「ユーザの認証方法について」および「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を参照してください。

Category

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Description

オプションで入力するルールの説明(最大 1024 文字)。

Method (IOS)

リストから、[Auth-Proxy]、[HTTP-basic]、または [NTLM] を選択します。

HTTP Traffic Type Applied to Authentication Proxy (IOS)

FTP Traffic Type Applied to Authentication Proxy (IOS)

Telnet Traffic Type Applied to Authentication Proxy (IOS)

(注) これら 3 つのトラフィック タイプのチェックボックスは、[Method(IOS)] リストで [Auth-Proxy] を選択した場合にのみ表示されます。

IOS デバイスの場合、認証プロキシを使用して認証を強制するプロトコルを選択します。HTTP を選択した場合は、デバイスで SSL をイネーブルにして、HTTPS 認証プロキシを設定することもできます。詳細については、「IOS デバイスの AAA ルールの設定」を参照してください。

[Edit AAA Option] ダイアログボックス

[Edit AAA Option] ダイアログボックスを使用して、ルールで認証(ユーザ アイデンティティを使用する、または使用しない)、認可、またはアカウンティングのうち、いずれのアクションを実行するかを選択します。認可ルールとアカウンティング ルールは、ASA、PIX、および FWSM デバイスでだけ機能します。これらのオプションの詳細については、次の項の関連する説明を参照してください。

「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」

「AAA ルールについて」

ナビゲーション パス

「[AAA Rules] ページ」で)AAA ルール内の [Action] セルを右クリックし、[Edit AAA] を選択します。

[AuthProxy] ダイアログボックス

[AuthProxy] ダイアログボックスを使用して、AAA ルール内の認可プロキシ設定を編集します。IOS デバイスの場合、認証プロキシを使用して認証を強制するプロトコル(HTTP、FTP、または Telnet)を選択します。HTTP を選択した場合は、デバイスで SSL をイネーブルにして、HTTPS 認証プロキシを設定することもできます。詳細については、「IOS デバイスの AAA ルールの設定」を参照してください。

ナビゲーション パス

「[AAA Rules] ページ」で)AAA ルール内の [AuthProxy] セルを右クリックし、[Edit AuthProxy] を選択します。

[Edit Server Group] ダイアログボックス

[Edit Server Group] ダイアログボックスを使用して、AAA ルールで使用する AAA サーバ グループを編集します。AAA サーバ グループは、ルールで定義されたトラフィックの認証、認可、またはアカウンティングを提供する AAA サーバを提供します。ポリシー オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。AAA サーバ グループ オブジェクトの詳細については、「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。

ルールに定義されているすべてのアクションを実行できるサーバのタイプを選択する必要があります。たとえば、(デバイスに定義されている)ローカル データベースでは、認可サービスを提供できません。認証に RADIUS サーバを使用する場合、認可サービスは自動的に提供されますが、RADIUS サーバを使用する認可ルールは定義できません。「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」とは異なり、このダイアログボックスでは選択内容は検証されません。


) この設定は、ASA、PIX、および FWSM デバイスにだけ適用されます。IOS デバイスの AAA サーバ グループは、他のポリシーで定義されます。設定の詳細については、「IOS デバイスの AAA ルールの設定」を参照してください。


ナビゲーション パス

「[AAA Rules] ページ」で)AAA ルール内の [Server Group] セルを右クリックし、[Edit Server Group] を選択します。

AAA ファイアウォール設定ポリシー

AAA ファイアウォール設定ポリシーの設定は、AAA ルールの動作に影響を及ぼします。

ここでは、次の項目について説明します。

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」

「[AAA Firewall] ページの [MAC-Exempt List] タブ」

「[AAA] ページ」

[AAA Firewall] 設定ページの [Advanced Setting] タブ

AAA ファイアウォール設定ポリシーを使用して、AAA ルール ポリシーの動作を改良するためのオプション設定を指定します。ここでは、[Advanced Setting] タブで使用できる設定について説明します。[MAC Exempt List] タブの詳細については、「[AAA Firewall] ページの [MAC-Exempt List] タブ」を参照してください。

ナビゲーション パス

[AAA Firewall] 設定ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)ASA、PIX、または FWSM デバイスを選択し、[Firewall] > [Settings] > [AAA Firewall] を選択します。必要に応じて [Advanced Setting] タブを選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AAA Firewall] の順に選択します。新しいポリシーを作成するか既存のポリシーを選択し、必要に応じて [Advanced Setting] タブを選択します。

(マップ ビュー)ASA、PIX、または FWSM デバイスを右クリックし、[Edit Firewall Settings] > [AAA Firewall] を選択し、必要に応じて [Advanced Setting] タブを選択します。

関連項目

「AAA ルールについて」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

フィールド リファレンス

 

表 14-3 [AAA Firewall] 設定ページの [Advanced Setting] タブ

要素
説明

Use Secure HTTP Authentication

セキュリティ アプライアンスを通過する HTTP 要求を行うユーザが、まず SSL(HTTPS)を使用してセキュリティ アプライアンスで認証される必要があるかどうか。ユーザはユーザ名とパスワードの入力を要求されます。

セキュアな HTTP 認証を使用すると、HTTP ベースの Web 要求にセキュリティ アプライアンスの通過を許可する前に、セキュリティ アプライアンスに対するユーザ認証を安全な方法で実行できます。これは HTTP カットスルー プロキシ認証とも呼ばれます。

このオプションを選択する場合は、アクセス ルールによって HTTPS トラフィック(ポート 443)がブロックされないこと、および PAT 設定にもポート 443 が含まれていることを確認してください。また、許可される同時認証の最大数は 16 であり、ユーザ認証のタイムアウトに 0 を設定([Platform] > [Security] > [Timeouts] ポリシーで timeout uauth 0 を設定)すると、ユーザが繰り返し認証を要求され、ネットワークに問題が発生する場合があることに注意してください。

ヒント このオプションを選択しない場合、HTTP 認証では、ユーザ名とパスワードがクリア テキストで送信されます。

Enable Proxy Limit

Maximum Concurrent Proxy Limit per User

プロキシ接続を許可するかどうか。プロキシをイネーブルにする場合は、ユーザごとに許可するプロキシ接続の数に制限を設定する必要があります(1 ~ 128)。デバイスのデフォルトは 16 ですが、数を指定する必要があります。

[Interactive Authentication] テーブル(ASA/PIX 7.2.2+)

このテーブルを使用して、認証対象の HTTP または HTTPS トラフィックを受信するインターフェイスを指定します。AAA ルールがこのテーブルで指定されたインターフェイスにおけるこれらのプロトコルの認証を必要とする場合、ユーザには、アプライアンスで使用されるデフォルトの認証ページではなく、改良された認証 Web ページが表示されます。これらのページは、デバイスへの直接接続の認証にも使用されます。

インターフェイスをテーブルに追加するには、[Add Row] ボタンをクリックし、「[Interactive Authentication Configuration] ダイアログボックス」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

Disable FTP Authentication Challenge

Disable HTTP Authentication Challenge

Disable HTTPS Authentication Challenge

Disable Telnet Authentication Challenge

(すべて FWSM 3.x+ だけ)

示されているプロトコルの認証チャレンジをディセーブルにするかどうか。デフォルトでは、AAA ルールが新しいセッションにおけるトラフィックの認証を強制し、トラフィックのプロトコルが FTP、Telnet、HTTP、または HTTPS の場合に、FWSM はユーザにユーザ名とパスワードの入力を要求します。

これらのプロトコルの 1 つ以上に対して認証チャレンジをディセーブルにすることが必要になる場合もあります。特定のプロトコルの認証チャレンジをディセーブルにすると、そのプロトコルを使用しているトラフィックは、以前に認証されたセッションに属している場合にだけ、許可されます。この認証は、認証チャレンジがイネーブルのままになっているプロトコルを使用するトラフィックによって完了できます。たとえば、FTP の認証チャレンジをディセーブルにすると、トラフィックが認証 AAA ルールに含まれている場合に、FWSM では FTP を使用した新しいセッションを拒否します。認証チャレンジがイネーブルになっているプロトコル(HTTP など)を使用してユーザがセッションを確立した場合、FTP トラフィックは許可されます。

Clear Connections When Uauth Timer Expires table

(FWSM 3.2+ だけ)

このテーブルを使用して、ユーザ認証がタイムアウトするか、または clear uauth コマンドで認証セッションをクリアしたあとすぐにアクティブな接続を強制的に閉じるインターフェイスと送信元アドレスを指定します(ユーザ認証のタイムアウトは、[Platform] > [Security] > [Timeouts] ポリシーで定義します)。このテーブルにインターフェイスと送信元アドレスのペアがない場合、ユーザ認証セッションが期限切れになっても、アクティブなセッションは終了しません。

インターフェイスと送信元アドレスのペアを追加するには、[Add Row] ボタンをクリックし、「[Clear Connection Configuration] ダイアログボックス」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

[Interactive Authentication Configuration] ダイアログボックス

[Interactive Authentication Configuration] ダイアログボックスを使用して、HTTP または HTTPS トラフィックを受信してネットワーク ユーザを認証するようにインターフェイスを設定します。リスニング ポートで使用される認証 Web ページでは、これらのプロトコルに使用されるデフォルトの認証ページと比べてユーザ エクスペリエンスが向上します。認証ページは、デバイスへの直接接続に使用されます。また、リダイレクション オプションを選択し、かつ、AAA ルール ポリシーで HTTP/HTTPS ネットワーク アクセス認証が必要とされている場合、認証ページはスルー トラフィックにも使用されます。詳細については、「ユーザの認証方法について」を参照してください。

ナビゲーション パス

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」に移動し、[Interactive Authentication] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

関連項目

「AAA ルールについて」

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

フィールド リファレンス

 

表 14-4 [Interactive Authentication Configuration] ダイアログボックス

要素
説明

Protocol

受信するプロトコル([HTTP] または [HTTPS])。インターフェイスで両方のプロトコルを受信する場合は、インターフェイスをテーブルに 2 回追加します。

Interface

受信者をイネーブルにするインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

Port

デフォルト ポート(80(HTTP)および 443(HTTPS))を使用しない場合に、セキュリティ アプライアンスがこのプロトコルを受信するポート番号。

Redirect network users for authentication request

デバイスから要求しているユーザを、セキュリティ アプライアンスが提供する認証 Web ページにリダイレクトするかどうか。このオプションを選択しない場合、インターフェイスに向けられたトラフィックに対してだけ改良された認証 Web ページが表示されます。

[Clear Connection Configuration] ダイアログボックス

[Clear Connection Configuration] ダイアログボックスを使用して、ユーザ認証がタイムアウトするか、または clear uauth コマンドで認証セッションをクリアしたあとすぐにアクティブな接続を閉じる送信元アドレスを指定します。これらのセッションをクリアするインターフェイスを指定する必要があります。これらの設定は、FWSM 3.2+ デバイスだけに使用されます。

ユーザ認証のタイムアウトは、[Platform] > [Security] > [Timeouts] ポリシーで定義します。

ナビゲーション パス

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」に移動し、[Clear Connections When Uauth Timer Expires] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 14-5 [Clear Connection Configuration] ダイアログボックス

要素
説明

Interface

設定を行うインターフェイスまたはインターフェイス ロール。名前を入力します。または、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択するか、新しいロールを作成します。複数のエントリを指定する場合は、カンマで区切ります。

Source IP Address/Netmask

ユーザ認証のタイマーが切れるとすぐに接続をクリアするホストまたはネットワーク アドレス。リストには、ホスト IP アドレス、ネットワーク アドレス、アドレス範囲、またはネットワーク/ホスト オブジェクトを含めることができます。複数のアドレスを指定する場合は、カンマで区切ります。アドレスを入力する方法の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

[AAA Firewall] ページの [MAC-Exempt List] タブ

ASA、PIX、および FWSM 3.x+ デバイスの場合、[AAA Firewall] 設定ポリシーの [MAC Exempt List] タブを使用して、認証と認可を免除するホストを指定します。たとえば、セキュリティ アプライアンスが特定のネットワーク上で発信される TCP トラフィックを認証し、特定のサーバからの認証されていない TCP 接続を許可する場合は、そのサーバの MAC アドレスからのトラフィックを許可するルールを作成します。

マスクを使用して、MAC アドレスのグループのルールを作成できます。たとえば、MAC アドレスが 0003.e3 で始まるすべての Cisco IP Phone を免除する場合は、マスク ffff.ff00.0000 を使用して 0003.e300.0000 の許可ルールを作成します(マスクの f はアドレス内の対応する数と一致し、0 はすべてと一致します)。

拒否ルールが必要になるのは、MAC アドレスのグループを許可し、許可されたグループ内に、認証と認可を使用する必要があるいくつかのアドレスがある場合だけです。拒否ルールはトラフィックを禁止しません。ホストに通常の認証と認可を要求するだけです。たとえば、00a0.c95d で始まる MAC アドレスを持つすべてのホストを許可し、00a0.c95d.0282 に認証と認可の使用を強制する場合は、次のルールを順番に入力します。

1. Deny 00a0.c95d.0282 ffff.ffff.ffff

2. Permit 00a0.c95d.0000 ffff.ffff.0000

ポリシーをデバイスに展開すると、 mac-list および aaa mac-exempt コマンドを使用してこれらのエントリが設定されます。


ヒント MAC 免除リストで最初に一致したものが処理されます。このため、エントリの順序が重要となります。MAC アドレスのグループを許可し、その一部を拒否する場合は、許可ルールの前に拒否ルールを配置する必要があります。ただし、Security Manager では、MAC 免除ルールを順序付けることはできません。ルールは示されている順に実装されます。テーブルをソートすると、ポリシーが変更されます。エントリが相互に依存していない場合、このことは重要ではありません。依存している場合は、行を正しい順序で入力してください。

ナビゲーション パス

[MAC Exempt List] タブにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)ASA、PIX、または FWSM デバイスを選択し、[Firewall] > [Settings] > [AAA Firewall] を選択します。[MAC-Exempt List] タブを選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AAA Firewall] の順に選択します。新しいポリシーを作成するか既存のポリシーを選択し、[MAC-Exempt List] タブを選択します。

(マップ ビュー)ASA、PIX、または FWSM デバイスを右クリックし、[Edit Firewall Settings] > [AAA Firewall] を選択します。次に、[MAC-Exempt List] タブを選択します。

関連項目

「ASA、PIX、および FWSM デバイスの AAA ルールの設定」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 14-6 [AAA Firewall] 設定ページの [MAC-Exempt List] タブ

要素
説明

MAC-Exempt List Name

MAC 免除リストの名前。

[MAC Exempt List] テーブル

実装する MAC 免除ルール。テーブルに MAC アドレスとマスク(16 進数)、およびそれらを許可するか(認証と認可を免除するか)または拒否するか(標準の認証と認可を強制するか)が表示されます。エントリはデバイスはによって順番に処理され、最適な一致ではなく、最初に一致するものが使用されます。

免除ルールを追加するには、[Add Row] ボタンをクリックし、「[Firewall AAA MAC Exempt Setting] ダイアログボックス」に入力します。

免除ルールを編集するには、そのルールを選択し、[Edit Row] ボタンをクリックします。

免除ルールを削除するには、そのルールを選択し、[Delete Row] ボタンをクリックします。

[Firewall AAA MAC Exempt Setting] ダイアログボックス

[Firewall AAA MAC Exempt Setting] ダイアログボックスを使用して、[MAC Exempt List] テーブルの免除エントリを追加および編集します。セキュリティ アプライアンスは、許可された MAC アドレスに関連付けられているホストの認証と認可をスキップします。

ナビゲーション パス

「[AAA Firewall] ページの [MAC-Exempt List] タブ」に移動し、[MAC Exempt List] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 14-7 [Firewall AAA MAC Exempt Setting] ダイアログボックス

要素
説明

Action

指定した MAC アドレスを使用するホストに対して実行するアクション:

[Permit]:ホストの認証と認可を免除します。

[Deny]:ホストに認証と認可を強制します。

MAC Address

標準的な 12 桁の 16 進形式のホストの MAC アドレス(00a0.cp5d.0282 など)。完全な MAC アドレスまたはアドレスの一部を入力できます。

アドレスの一部を入力する場合、照合しない桁には 0 を入力できます。

MAC Mask

MAC アドレスに適用するマスク。f は数と正確に一致し、0 はその位置の任意の数と一致します。

アドレスの完全一致を指定するには、ffff.ffff.ffff を入力します。

アドレス パターンを照合するには、任意の文字を照合する桁に 0 を入力します。たとえば、ffff.ffff.0000 は、最初の 8 桁が同じであるすべてのアドレスと一致します。

[AAA] ページ

[AAA] ファイアウォール設定プロキシを使用して、認証プロキシに使用するサーバやバナーを指定したり、デフォルト以外のタイムアウト値を設定したりします。IOS デバイスの認証プロキシは、ユーザが IOS デバイスから HTTP、Telnet、または FTP 接続を確立しようとするときにユーザにログインと認証を強制するサービスです。ここでの設定は、AAA ルールと組み合わせて機能します。AuthProxy 設定は、AAA ルールでこれらのサービスのいずれかにユーザ認証が必要とされている場合にだけ適用されます。

このポリシーの設定が [Firewall] > [AAA Rules] ポリシーと矛盾していないことを確認してください。さらに、[Platform] > [Device Admin] > [AAA] ポリシーを使用して、ユーザ アクセスの認証に使用する AAA サーバ グループを定義する必要があります。このポリシーでは、認可およびアカウンティングのサーバ グループだけを定義します。HTTPS アクセスにも認可プロキシを使用する場合は、AAA ルール ポリシーで HTTP 認可プロキシをイネーブルにするだけでなく、[Platform] > [Device Admin] > [Device Access] > [HTTP] ポリシーで SSL をイネーブルにし、AAA を設定する必要があります。


ヒント AAA サーバでユーザごとに ACL を設定して、各ユーザに適用する権限を定義する必要があります。認可を設定する場合は、サービスとして AAA を指定し(service = AAA など)、権限レベルを 15 にします。AAA サーバを設定する方法と一般的な認証プロキシを設定する方法の詳細については、次の URL にある『Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』の「Configuring the Authentication Proxy」を参照してください。http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_authen_prxy_ps6441_TSD_Products_Configuration_Guide_Chapter.html

ナビゲーション パス

[AAA] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [Settings] > [AAA] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AAA] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Settings] > [AAA] を選択します。

関連項目

「AAA ルールについて」

「ユーザの認証方法について」

「IOS デバイスの AAA ルールの設定」

フィールド リファレンス

 

表 14-8 AAA ファイアウォール設定ポリシー

要素
説明

Virtual IP Address

[Virtual IP Address] は、IOS HTTP 認証とクライアントの間の通信でのみ使用します。システムを正常に動作させるには、仮想 IP アドレスを設定する必要があり(0.0.0.0 は設定できません)、ネットワーク上の他のデバイスは同じアドレスを使用できません。1.1.1.1 など、割り当てられず、使用もされないゲートウェイ IP アドレスを使って設定します。

[General] タブ

Authorization Server Groups

ユーザ単位の認可制御を提供する、LDAP、TACACS+、または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクト。デバイスに定義されている LOCAL ユーザ データベースを使用することもできます。

サーバ グループ オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。グループをプライオリティ順に配置してください。認可は、最初のグループを使用して試行され、そのグループが使用できない場合は、その次のグループが使用されます。

Accounting Server Groups

Use Broadcast for Accounting

アカウンティング サービスを提供する、LDAP、TACACS+、または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクト。アカウンティングでは、請求、セキュリティ、またはリソース割り当ての目的でユーザ単位の使用情報を収集します。サーバ グループ オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。

グループをプライオリティ順に配置してください。ブロードキャスト オプションを選択しない場合、アカウンティングは、最初のグループを使用して試行され、そのグループが使用できない場合は、その次のグループが使用されます。

[Use Broadcast for Accounting] を選択した場合、アカウンティング レコードが各グループ内の最初のサーバに同時に送信されます。最初のサーバが使用できない場合はフェールオーバーが発生し、そのグループ内に定義されているバックアップ サーバが使用されます。

Accounting Notice

アカウンティング サーバ グループに送信されるアカウンティング通知のタイプ。

[Start-stop]:ユーザ プロセスの開始時に開始アカウンティング通知を送信し、プロセスの終了時に終了アカウンティング通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。要求されたユーザ プロセスは、開始アカウンティング通知をアカウンティング サーバから受信したかどうかにかかわらず開始されます。

[Stop-only]:要求されたユーザ プロセスの終了時に終了アカウンティング通知を送信します。

[None]:アカウンティング レコードは送信されません。

HTTP Banner

FTP Banner

Telnet Banner

ユーザが指定サービスの認証を要求されたときに、認証プロキシ ページに表示されるバナー。

[Disable Banner Text]:バナーは表示されません。

[Use Default Banner Text]:デフォルトのバナー「Cisco Systems, router hostname Authentication」が表示されます。

[Use Custom Banner Text]:ユーザに表示されるテキストを入力します。

Use HTTP banner from File

URL

HTTP 接続の認証に独自の Web ページを使用するかどうか。独自の HTTP バナーの URL を入力します。

HTTP バナー テキストと URL の両方を設定した場合は、URL バナーが優先されます。ただし、バナー テキストもデバイスに設定されます。

[Advanced] タブ

Global Inactivity Time

セッションにユーザ アクティビティがない場合に、ユーザの認証プロキシが保持される時間の長さ(分単位)。このタイマーが期限切れになると、動的なユーザ Access Control List(ACL; アクセス コントロール リスト)に従ってユーザ セッションがクリアされるので、ユーザは再度認証を受ける必要があります。有効な範囲は 1 ~ 2,147,483,647 です。デフォルトは 60 分です。

このタイムアウト値が [Firewall] > [Settings] > [Inspection] ポリシーで設定されたアイドル タイムアウト値以上であることを確認してください。アイドル タイムアウト値未満の場合は、タイムアウトしたユーザ セッションのモニタが続行され、最終的にハングする可能性があります。

Global Absolute Time

認証プロキシ ユーザ セッションがアクティブなままでいることのできる時間の長さ(分単位)。このタイマーが期限切れになったあとは、新しいリクエストの場合と同様、ユーザ セッションで接続確立のプロセス全体を実行する必要があります。有効な範囲は 0 ~ 35,791 です。デフォルトは 0 で、グローバルな絶対タイムアウトは設定されません。ユーザ セッションはアクティブであるかぎり保持されます。

[Interface Timeout] テーブル

このテーブルには、グローバル タイムアウト値とは異なるタイムアウト値を設定するインターフェイスが含まれます。すべてのインターフェイスにグローバル値を使用する場合は、このテーブルに何も設定する必要はありません。

カスタマイズされたタイムアウト値を持つインターフェイスを追加するには、[Add Row] ボタンをクリックし、「Firewall AAA IOS Timeout Value Setting」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

Firewall AAA IOS Timeout Value Setting

[Firewall AAA IOS Timeout Value Setting] ダイアログボックスを使用して、特定のインターフェイスのアイドル タイムアウト値と絶対タイムアウト値を設定します。これらの値は、[Firewall] > [Settings] > [ScanSafe Web Security] ポリシーの [Server Timeout] タブで設定されたグローバル タイムアウト値を上書きします。

ナビゲーション パス

「[AAA] ページ」の [Advanced] タブで、インターフェイスのテーブルの下にある [Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 14-9 [Firewall AAA IOS Timeout Value Setting] ダイアログボックス

要素
説明

Interfaces

タイムアウト値を設定するインターフェイスまたはインターフェイス ロール。インターフェイスまたはロールの名前を入力します。または、[Select] をクリックしてリストから名前を選択するか、新しいインターフェイス ロールを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Auth Proxy] タブ

Inactivity/Cache Time

インターフェイス上のセッションにユーザ アクティビティがない場合に、ユーザの認証プロキシが保持される時間の長さ(分単位)。このタイマーが期限切れになると、動的なユーザ Access Control List(ACL; アクセス コントロール リスト)に従ってユーザ セッションがクリアされるので、ユーザは再度認証を受ける必要があります。有効な範囲は 1 ~ 2,147,483,647 です。デフォルトは、グローバル非アクティブ タイムアウト値(デフォルトは 60 分)です。

Absolute Time

認証プロキシ ユーザ セッションをインターフェイスでアクティブなまま維持できる時間の長さ(分単位)。このタイマーが期限切れになったあとは、新しいリクエストの場合と同様、ユーザ セッションで接続確立のプロセス全体を実行する必要があります。有効な範囲は 1 ~ 35,791 です。デフォルトは 0 で、絶対タイムアウトは設定されません。ユーザ セッションはアクティブであるかぎり保持されます。

Authentication Proxy Method(IOS)

これらのタイムアウト値を適用するプロトコル。HTTP、FTP、または Telnet を自由に組み合わせて選択できます。

[HTTP/NTLM] タブ

[HTTP] 領域と [NTLM] 領域には、次の同じフィールドと選択項目があります。

HTTP/NTLM の [Inactivity/Cache Time] および [Absolute Time] を設定し、必要な場合、[Enable Passive Authentication] を選択します。最後に、適用する [Identity Policy] を選択します。

[Method Order] タブ

使用する各方式のチェックボックスを選択し、上向きおよび下向き矢印を使用して方式を目的の順序に配置します。

[AAA Settings] タブ

[AAA Settings] タブを選択して、下の説明に従い、認証、認可、およびアカウンティングの設定を指定します。

Authenticate Using

[Authenticate Using] セクションでは、認証に使用するサーバ グループを選択できます。選択肢は次のとおりです。

[None]:認証を行いません。

[Default]:デフォルトの認証サーバ グループを使用します。

[Custom]:ユーザが指定した認証サーバ グループの選択をイネーブルにします。次に、[Select] をクリックして、サーバ グループを指定または追加します。

Authorize Exec Operation Using

[Authorize Exec Operation Using] セクションでは、実行操作の認可に使用するサーバ グループを選択できます。選択肢は次のとおりです。

[None]:認可を行いません。

[Default]:デフォルトの認可サーバ グループを使用します。

[Custom]:ユーザが指定した認可サーバ グループの選択をイネーブルにします。次に、[Select] をクリックして、サーバ グループを指定または追加します。

Perform Exec Operation Using

[Authorize Exec Operation Using] セクションでは、実行操作の実行に使用するサーバ グループを選択できます。選択肢は次のとおりです。

[None]:認可を行いません。

[Default]:デフォルトのサーバ グループを使用します。

[Custom]:ユーザが指定したサーバ グループの選択をイネーブルにします。次に、[Select] をクリックして、サーバ グループを指定または追加します。

Accounting Notice

[Accounting Notice] を使用して、アカウンティング操作を指定します。

[None]:アカウンティング通知は行いません。

[Start-stop]:操作の最初と最後にアカウンティング通知を行います。

[Stop-only]:操作の最後にのみアカウンティング通知を行います。

Accounting Server Groups

使用するアカウンティング サーバ グループを指定します。アカウンティング サーバ グループを入力するか、選択します。

(注) アカウンティング サーバ グループを選択する場合、アカウンティング サーバ グループを追加することもできます。

Use Broadcast for Accounting

アカウンティング通知をブロードキャストするには、このチェックボックスを選択します。