Cisco Security Manager 4.2 ユーザ ガイド
リモート アクセス VPN のダイナミック アク セス ポリシーの管理(ASA 8.0+ デバイス)
リモート アクセス VPN のダイナミック アクセス ポリシーの管理(ASA 8.0+ デバイス)
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

リモート アクセス VPN のダイナミック アクセス ポリシーの管理(ASA 8.0+ デバイス)

ダイナミック アクセス ポリシーについて

ダイナミック アクセス ポリシーの設定

DAP 属性について

DAP 属性の設定

ASA デバイスでの Cisco Secure Desktop ポリシーの設定

[Dynamic Access] ページ(ASA)

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

[Main] タブ

[Logical Operations] タブ

[Advanced Expressions] タブ

[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス

リモート アクセス VPN のダイナミック アクセス ポリシーの管理(ASA 8.0+ デバイス)

この章では、リモート アクセス ユーザを接続プロファイル(トンネル グループ)に割り当てる Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)について説明します。これらのポリシーを、ASA 8.0+ デバイスのリモート アクセス IKEv1 IPsec、ASA 8.4(x) デバイスの IKEv2 IPsec および ASA 8.0+(8.5 を除く)デバイスの SSL VPN に設定できます。

ASA および PIX 7.0+ デバイスの他のリモート アクセス ポリシーの設定については、「ASA および PIX 7.0+ デバイスでのリモート アクセス VPN の管理」を参照してください。

この章の構成は、次のとおりです。

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

「[Dynamic Access] ページ(ASA)」

ダイナミック アクセス ポリシーについて

個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。

セキュリティ アプライアンスで Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を使用すると、これらの多くの変数に対処する認可を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバシップやエンドポイント セキュリティの問題に対処します。つまり、セキュリティ アプライアンスは、定義されるポリシーに基づいて、特定のセッションの特定のユーザにアクセス権を付与します。セキュリティ アプライアンスは、ユーザが接続するときに、1 つまたは複数の DAP レコードから属性を選択または集約して、DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。DAP システムには、注意を必要とする次のコンポーネントがあります。

DAP 選択設定ファイル:セッション確立時に DAP レコードを選択および適用するためにセキュリティ アプライアンスが使用する、基準が記述されたテキスト ファイル。セキュリティ アプライアンス上に格納されています。Security Manager を使用すると、このファイルを変更したり、XML データ形式でセキュリティ アプライアンスにアップロードしたりできます。DAP 選択設定ファイルには、ユーザが設定するすべての属性が記載されています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタ、ポート転送、URL のリストとして設定されたアクセス ポリシーなどがあります。

DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

Cisco Secure Desktop と DAP の統合

Cisco Secure Desktop(CSD)機能は、セキュリティ アプライアンスによってダイナミック アクセス ポリシー(DAP)に統合されます。設定に応じて、セキュリティ アプライアンスでは、DAP を割り当てる条件として、1 つ以上のエンドポイント属性値を、オプションの AAA 属性値と組み合わせて使用します。DAP のエンドポイント属性でサポートされる Cisco Secure Desktop 機能には、OS 検出、プリログイン ポリシー、基本ホスト スキャン結果、およびエンドポイント評価があります。

管理者は、セッションに DAP を割り当てるために必要な条件を構成する属性を、単独で、または組み合わせて指定できます。DAP により、エンドポイント AAA 属性値に適したレベルでネットワーク アクセスが提供されます。設定したエンドポイント基準がすべて満たされたときに、セキュリティ アプライアンスによって DAP が適用されます。

関連項目

「ダイナミック アクセス ポリシーの設定」

「DAP 属性の設定」

ダイナミック アクセス ポリシーの設定

ここでは、ダイナミック アクセス ポリシーを作成または編集する方法について説明します。

関連項目

「ダイナミック アクセス ポリシーについて」

「DAP 属性について」

「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Create] をクリックするか、またはテーブル内のポリシーを選択して [Edit] をクリックします。

[Add/Edit Dynamic Access Policy] ダイアログボックスが開き、デフォルトで [Main] タブが表示されます。このダイアログボックスの要素の詳細については、表 30-4を参照してください。

ステップ 3 DAP レコードの名前を入力します(最大 128 文字)。

ステップ 4 DAP レコードのプライオリティを指定します。セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。

ステップ 5 DAP レコードの説明を入力します。

ステップ 6 [Main] タブで、DAP 属性、およびセキュリティ アプライアンスの DAP システムでサポートされるリモート アクセス方式のタイプを設定します。このタブの要素の詳細については、表 30-5を参照してください。

a. テーブルの下の [Create] をクリックするか、またはテーブル内の DAP エントリを選択して [Edit] をクリックします。[Add/Edit DAP Entry] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

DAP 属性を定義する手順の詳細については、「DAP 属性の設定」を参照してください。

b. DAP システムで許可されるリモート アクセスのタイプを選択します。

c. [Network ACL] タブを選択し、この DAP レコードに適用するネットワーク ACL を選択および設定します。

このタブは、[Web Portal] 以外のアクセス方式を選択した場合にかぎり、使用可能です。

d. [WebType ACL] タブを選択し、この DAP レコードに適用する Web タイプ ACL を選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

e. [Functions] タブを選択し、ファイル サーバ エントリとブラウジング、HTTP プロキシ、および DAP レコードの URL エントリを設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

f. [Port Forwarding] タブを選択し、ユーザ セッションのポート転送リストを選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

g. [URL List] タブを選択し、ユーザ セッションの URL リストを選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

h. [Action] タブを選択し、許可されるリモート アクセスのタイプを設定します。

このタブは、どのタイプのアクセス方式でも使用できます。

ステップ 7 [Logical Operators] タブを選択し、エンドポイント属性のタイプごとに複数のインスタンスを作成します。このタブの要素の詳細については、表 30-21を参照してください。

ステップ 8 [Advanced Expressions] タブを選択し、自由形式の LUA を使用して DAP の追加属性を設定します。このタブの要素の詳細については、表 30-22を参照してください。

ステップ 9 [OK] をクリックします。


 

DAP 属性について

DAP レコードには、ユーザが設定するすべての属性が含まれています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタ、ポート転送、URL のリストとして設定されたアクセス ポリシーなどがあります。

DAP と AAA 属性

DAP は AAA サービスを補完します。用意されている認可属性のセットはかぎられていますが、それらの属性によって AAA で提供される認可属性を無効にできます。セキュリティ アプライアンスは、ユーザの AAA 認可情報およびセッションのポスチャ評価情報に基づいて、DAP レコードを選択します。セキュリティ アプライアンスは、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。

AAA 属性は、Cisco AAA 属性階層から、またはセキュリティ アプライアンスが RADIUS サーバまたは LDAP サーバから受信するフル セットの応答属性から指定できます。

AAA 属性の定義

表 30-1に、DAP で使用できる AAA 選択属性名の定義を示します。属性名欄は、LUA 論理式での各属性名の入力方法を示しており、[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Advanced] タブでこのように入力する場合があります。

 

表 30-1 AAA 属性の定義

属性タイプ
属性名
ソース
ストリングの最大長
説明

Cisco

aaa.cisco.memberof

AAA

string

128

memberof の値

aaa.cisco.username

AAA

string

64

ユーザ名の値

aaa.cisco.class

AAA

string

64

クラス属性値

aaa.cisco.ipaddress

AAA

number

-

framed-ip アドレスの値

aaa.cisco.tunnelgroup

AAA

string

64

トンネル グループ名

LDAP

aaa.ldap.<label>

LDAP

string

128

LDAP 属性値ペア

RADIUS

aaa.radius.<number>

RADIUS

string

128

RADIUS 属性値ペア

DAP とエンドポイント セキュリティ

セキュリティ アプライアンスは、設定されたポスチャ評価方式を使用して、エンドポイント セキュリティ属性を取得します。これには、Cisco Secure Desktop および NAC が含まれます。プリログイン ポリシーの一致、基本ホスト スキャン エントリ、ホスト スキャン拡張機能、またはこれらの属性と他のポリシー属性の任意の組み合わせを使用して、アクセス権および制約を適用できます。最低でも、プリログイン ポリシーごと、および基本ホスト スキャン エントリごとに割り当てられるように DAP を設定します。

ホスト スキャン拡張機能であるエンドポイント評価では、アンチウイルスとアンチスパイウェアのアプリケーション、関連する定義の更新、およびファイアウォールの大規模なコレクションについて、リモート コンピュータを検査します。この機能を使用すると、セキュリティ アプライアンスによって特定の DAP がセッションに割り当てられる前に、要件を満たすようにエンドポイント基準を組み合わせることができます。

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop のプリログイン評価モジュールおよびホスト スキャン モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。すべてではありませんが、ほとんどのアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールのプログラムは、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。ホスト スキャンは、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。

インストールされているプログラムがアクティブ スキャンをサポートしない場合、ホスト スキャンはそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、ホスト スキャンはそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、ホスト スキャンはそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、そのプログラムがインストールされているとしても、DAP についての情報が多く含まれる debug trace コマンドの出力にはプログラムの存在が示されません。

エンドポイント属性の定義

表 30-2に、DAP で使用できるエンドポイント選択属性名の定義を示します。属性名欄は、LUA 論理式での各属性名の入力方法を示しており、[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Advanced] タブでこのように入力する場合があります。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

 

表 30-2 エンドポイント属性の定義

属性タイプ
属性名
ソース
ストリングの最大長
説明

アンチスパイウェア(Cisco Secure Desktop が必要)

endpoint.as.label.exists

ホスト スキャン

true

-

アンチスパイウェア プログラムが存在する

endpoint.as.label.version

string

32

アンチスパイウェアの説明

endpoint.as.label.description

string

128

クラス属性値

endpoint.as.label.lastupdate

integer

-

アンチスパイウェア定義を更新してからの経過時間(秒)

アンチウイルス(Cisco Secure Desktop が必要)

endpoint.av.label.exists

ホスト スキャン

true

-

アンチウイルス プログラムが存在する

endpoint.av.label.version

string

32

アンチウイルスの説明

endpoint.av.label.description

string

128

クラス属性値

endpoint.av.label.lastupdate

integer

-

アンチウイルス定義を更新してからの経過時間(秒)

アプリケーション

endpoint.application.clienttype

アプリケーション

string

-

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

ファイル

endpoint.file.label.exists

Secure Desktop

true

-

ファイルが存在する

endpoint.file.label.lastmodified

integer

-

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file.label.crc.32

integer

-

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

string

-

ユーザ定義ステータス ストリング

オペレーティング システム

endpoint.os.version

Secure Desktop

string

32

Windows のサービス パック

endpoint.os.servicepack

integer

-

オペレーティング システム

パーソナル ファイアウォール(Secure Desktop が必要)

endpoint.fw.label.exists

ホスト スキャン

true

-

パーソナル ファイアウォールが存在する

endpoint.fw.label.version

string

32

バージョン

endpoint.fw.label.description

string

128

パーソナル ファイアウォールの説明

ポリシー

endpoint.policy.location

Secure Desktop

string

64

Cisco Secure Desktop からのロケーション値

Process

endpoint.process.label.exists

Secure Desktop

true

-

プロセスが存在する

endpoint.process.label.path

string

255

プロセスのフル パス

Registry

endpoint.registry.label.type

Secure Desktop

dword ストリング

-

dword

endpoint.registry.label.value

string

255

レジストリ エントリの値

VLAN

endpoint.vlan.type

CNA

sting

-

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

AAA 属性またはエンドポイント属性の高度な式について

テキスト ボックスに、AAA またはエンドポイント、あるいはその両方の選択論理演算を表す自由形式の LUA テキストを入力します。ASDM は、ここで入力されたテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーします。セキュリティ アプライアンスがそれを処理し、解析できない式があるとその式は廃棄されます。

このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された基準のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するようにセキュリティ アプライアンスを設定できます。エンドポイント属性は累積的で、すべてを満たす必要があります。セキュリティ アプライアンスが任意のエンドポイント属性を使用できるようにするには、LUA で適切な論理式を作成し、ここでその式を入力する必要があります。

DAP 論理式の例

LUA で論理式を作成する場合は、次の例を参考にしてください。

この AAA LUA 式は、「b」で始まるユーザ名に一致するかどうかをテストします。この式では、ストリング ライブラリおよび正規表現を使用しています。

not(string.find(aaa.cisco.username, "^b") == nil)
 

このエンドポイント式は、CLIENTLESS または CVC クライアント タイプに一致するかどうかをテストします。

endpoint.application.clienttype=="CLIENTLESS" or endpoint.application.clienttype=="CVC"
 

このエンドポイント式は、Norton Antivirus バージョン 10.x かどうかをテストしますが、10.5.x は除外します。

(endpoint.av.NortonAV.version > "10" and endpoint.av.NortonAV.version < "10.5") or endpoint.av.NortonAV.version > "10.6"

DAP 接続シーケンス

次のシーケンスに、標準的なリモート アクセス接続を確立する場合の概要を示します。

1. リモート クライアントが VPN 接続を試みます。

2. セキュリティ アプライアンスが、設定された NAC 値と Cisco Secure Desktop のホスト スキャン値を使用してポスチャ評価を実行します。

3. セキュリティ アプライアンスが、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。

4. セキュリティ アプライアンスが、セッションに AAA 認可属性を適用し、VPN トンネルを確立します。

5. セキュリティ アプライアンスが、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

6. セキュリティ アプライアンスが、選択した DAP レコードから DAP 属性を集約します。集約された属性が DAP ポリシーを構成します。

7. セキュリティ アプライアンスが、その DAP ポリシーをセッションに適用します。

関連項目

「ダイナミック アクセス ポリシーの設定」

「ダイナミック アクセス ポリシーについて」

「DAP 属性の設定」

DAP 属性の設定

DAP ポリシーに定義する属性には、認可属性とエンドポイント属性を指定する必要があります。ネットワーク ACL と Web タイプ ACL、ファイル ブラウジング、ファイル サーバ エントリ、HTTP プロキシ、URL エントリ、ポート転送リスト、および URL リストを設定することもできます。

ここでは、DAP ポリシーに必要な AAA 属性およびエンドポイント属性を作成または編集する方法について説明します。

関連項目

「DAP 属性について」

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Dynamic Access] ポリシー ページで [Create] をクリックするか、またはこのページのテーブル内のポリシー行を選択して [Edit] をクリックします。

[Add/Edit Dynamic Access Policy] ダイアログボックスが開き、[Main] タブが表示されます。[Main] タブの要素の詳細については、「[Main] タブ」を参照してください。

ステップ 3 テーブルの下の [Create] をクリックするか、またはテーブル内の DAP エントリを選択して [Edit] をクリックします。[Add/Edit DAP Entry] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

ステップ 4 [Criterion] リストから属性タイプを選択し、適切な値を入力します。ダイアログボックスの値は、選択に応じて変わります。次のオプションがあります。

AAA 属性 Cisco(表 30-6を参照)。

AAA 属性 LDAP(表 30-7を参照)

AAA 属性 RADIUS(表 30-8を参照)。

アンチスパイウェア(表 30-9を参照)。

アンチウィルス(表 30-10を参照)。

AnyConnect アイデンティティ(表 30-11 を参照)。

アプリケーション(表 30-12 を参照)。

デバイス(表 30-13 を参照)。

ファイル(表 30-14 を参照)。

NAC(表 30-15 を参照)。

オペレーティング システム(表 30-16 を参照)。

パーソナル ファイアウォール(表 30-17 を参照)。

ポリシー(表 30-18 を参照)。

プロセス(表 30-19を参照)。

レジストリ(表 30-20を参照)。

ステップ 5 [OK] をクリックします。


 

ASA デバイスでの Cisco Secure Desktop ポリシーの設定

Cisco Secure Desktop(CSD)は、クライアント システム上のセッション アクティビティおよび削除に、単一のセキュアなロケーションを提供することによって、機密データのすべてのトレースを確実に除去する方法を提供します。CSD では、機密データが SSL VPN セッションの間だけ共有されるセッションベースのインターフェイスを使用できます。すべてのセッション情報が暗号化され、セッションが終了したときに(たとえ接続が突然終了した場合でも)、セッション データのすべてのトレースがリモート クライアントから削除されます。このため、クッキー、ブラウザ履歴、一時ファイル、およびダウンロードしたコンテンツがシステムに残ることはありません。

セッションを閉じた場合、CSD は Department of Defense(DoD; 米国国防総省)消去アルゴリズムを使用して、すべてのデータを上書きして削除し、エンドポイントの機密保持を行います。


) Cisco Secure Desktop プログラムの詳細な機能および設定については、このマニュアルでは説明しません。CSD の設定および CSD の機能については、http://www.cisco.com/en/US/products/ps6742/tsd_products_support_configure.html からオンラインで入手できる資料を参照してください。設定する CSD バージョンのコンフィギュレーション ガイドを選択してください。


ここでは、ASA デバイスで Cisco Secure Desktop 機能を設定する方法について説明します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

関連項目

「SSL VPN サポート ファイルの概要と管理」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Cisco Secure Desktop] セクションで [Enable CSD] を選択し、ASA デバイスで CSD をイネーブルにします。

ステップ 3 [CSD Package] フィールドで、デバイスにアップロードする Cisco Secure Desktop パッケージを示すファイル オブジェクトの名前を指定します。[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。


) パッケージ バージョンは、ASA オペレーティング システムのバージョンと互換性がある必要があります。デバイス ビューでローカル ポリシーを作成する場合、[Version] フィールドは選択する必要がある CSD パッケージ バージョンを示します(バージョンはパッケージ ファイル名に含まれています。たとえば、securedesktop-asa_k9-3.3.0.118.pkg は CSD バージョン 3.3.0.118 です)。ポリシー ビューで共有ポリシーを作成する場合、[Version] フィールドは選択した CSD ファイルのバージョンを示します。バージョン互換性の詳細については、「SSL VPN サポート ファイルの概要と管理」を参照してください。


ステップ 4 (任意)[Hostscan Package] フィールドで、デバイスにアップロードする Host Scan パッケージを示すファイル オブジェクトの名前を指定します。[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

ステップ 5 [Configure] をクリックして、セキュリティ アプライアンスに CSD を設定できる Cisco Secure Desktop Manager(CSDM)ポリシー エディタを開きます。これは、Security Manager とは別のアプリケーションです。ポリシー エディタの使用方法については、上記の CSD のマニュアルを参照してください。

エディタに含まれる主な項目は、次のとおりです(コンテンツ テーブルで選択します)。

[Prelogin Policies]:これは決定ツリーです。ユーザが接続を試みると、そのユーザのシステムがルールに照らして評価され、最初に一致したルールが適用されます。通常は、セキュアなロケーション、ホーム ロケーション、およびセキュアでないパブリック ロケーションのポリシーを作成します。レジストリ情報、特定のファイルまたは証明書があるかどうか、ワークステーションのオペレーティング システム、または IP アドレスに基づいてチェックを行うことができます。

編集を行う場合は、必ず右クリック メニューを使用します。ボックスまたは [+] 記号を右クリックして、関連する設定をアクティブにします(ある場合)。

エンド ノードの場合は、次のオプションを選択できます。

[Access Denied]:基準に一致するワークステーションがネットワークにアクセスできなくなります。

[Policy]:この時点での固有の許可ポリシーを定義します。ポリシーは、名前を付けた後にコンテンツ テーブルに追加されます。ポリシーの各項目を選択して、その設定を行います。

[Subsequence]:追加チェックを実行します。このワークステーションを評価する次の決定ツリーの名前を入力します。

[Host Scan]:基本ホスト スキャンの一部を構成する一連のレジストリ エントリ、ファイル名、およびプロセス名を指定できます。ホスト スキャンは、プリログイン評価が行われた後、ダイナミック アクセス ポリシーが割り当てられる前に実行されます。セキュリティ アプライアンスは、基本ホスト スキャンの後、ログイン クレデンシャル、ホスト スキャン結果、プリログイン ポリシー、および設定された他の基準に基づいて、ダイナミック アクセス ポリシーを割り当てます。次のアセスメントをイネーブルにできます。

[Endpoint Assessment]:リモート ワークステーションは、アンチウイルス、アンチスパイウェア、パーソナル ファイアウォールの各アプリケーション、および関連する更新の大規模なコレクションをスキャンします。

[Advanced Endpoint Assessment]:すべてのエンドポイント評価機能を含みます。また、指定されたバージョン要件を満たすように、準拠していないワークステーションの更新を試みるよう設定できます。この機能を設定するには、ライセンスを購入してインストールする必要があります。


 

[Dynamic Access] ページ(ASA)

[Dynamic Access] ページを使用して、セキュリティ アプライアンスで定義されている Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を参照します。このページから、DAP を作成、編集、または削除できます。

[Cisco Secure Desktop] セクションを使用して、選択した ASA デバイスで Cisco Secure Desktop(CSD)ソフトウェアをイネーブルにし、ダウンロードします。Cisco Secure Desktop は、クライアント システム上にセッション アクティビティおよび削除のためのセキュアなロケーションを 1 つだけ提供することで、機密性が高いデータを SSL VPN セッションの間だけ共有できるようにしています。


) SSL VPN ポリシーが適切に機能するためには、CSD クライアント ソフトウェアがデバイスにインストールされてアクティブになっている必要があります。



ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

「DAP 属性について」

「DAP 属性の設定」

「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」

フィールド リファレンス

 

表 30-3 [Dynamic Access Policy] ページ(ASA)

要素
説明

Priority

設定済みのダイナミック アクセス ポリシー レコードのプライオリティ。

Name

設定済みのダイナミック アクセス ポリシー レコードの名前。

Network ACL

セッションに適用されるファイアウォール ACL の名前。

WebType ACL

セッションに適用される Web タイプ VPN ACL。

Port Forwarding

セッションに適用されるポート転送リストの名前。

Bookmark

セッションに適用される SSL VPN ブックマーク オブジェクトの名前。

Terminate

セッションが終了しているかどうかを示します。

Description

設定済みのダイナミック アクセス ポリシーに関する追加情報。

[Create] ボタン

このボタンをクリックして、ダイナミック アクセス ポリシーを作成します。「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を参照してください。

[Edit] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを編集します。「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を参照してください。

[Delete] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを削除します。

Cisco Secure Desktop

ASA デバイスで CSD を設定する手順については、「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照してください。

Enable CSD

選択すると、デバイスで CSD がイネーブルになります。CSD をイネーブルにすると、指定した Cisco Secure Desktop パッケージがロードされます。CSD パッケージ ファイルを転送または置換する場合は、CSD をいったんディセーブルにしてから、CSD をイネーブルにしてファイルをロードします。

CSD Package

デバイスにアップロードする Cisco Secure Desktop パッケージを識別するファイル オブジェクトの名前を指定します。

[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

Hostscan Package

デバイスにアップロードする Hostscan パッケージを識別するファイル オブジェクトの名前を指定します。

[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

Version

パッケージ バージョンは、ASA オペレーティング システムのバージョンと互換性がある必要があります。デバイス ビューでローカル ポリシーを作成する場合、[Version] フィールドは選択する必要がある CSD パッケージ バージョンを示します(バージョンはパッケージ ファイル名に含まれています。たとえば、securedesktop-asa_k9-3.3.0.118.pkg は CSD バージョン 3.3.0.118 です)。ポリシー ビューで共有ポリシーを作成する場合、[Version] フィールドは選択した CSD ファイルのバージョンを示します。バージョン互換性の詳細については、「SSL VPN サポート ファイルの概要と管理」を参照してください。

Configure

[Configure] をクリックして、セキュリティ アプライアンスに CSD を設定できる Cisco Secure Desktop Manager(CSDM)ポリシー エディタを開きます。このダイアログボックスの要素の詳細については、「[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス」を参照してください。

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスを使用して、セキュリティ アプライアンスで Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を設定します。追加するダイナミック アクセス ポリシーに名前を指定し、プライオリティを選択し、LUA 表現で属性を指定できます。また、ネットワークおよび Web タイプ ACL フィルタ、ファイル アクセス、HTTP プロキシ、URL エントリおよびリスト、ポート転送、およびクライアントレス SSL VPN アクセス方式に対して属性を設定できます。


) ダイナミック アクセス ポリシー属性の詳細については、「DAP 属性について」を参照してください。


これらのタブは、[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスで使用可能です。

「[Main] タブ」

「[Logical Operations] タブ」

「[Advanced Expressions] タブ」

ナビゲーション パス

「[Dynamic Access] ページ(ASA)」を開き、[Create] をクリックするか、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスが表示されます。

関連項目

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-4 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

要素
説明

Name

ダイナミック アクセス ポリシー レコードの名前(最大 128 文字)。

Priority

ダイナミック アクセス ポリシー レコードのプライオリティ。セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。プライオリティ設定が同じで、ACL ルールが競合するダイナミック アクセス ポリシー レコードがある場合は、最も厳しいルールが適用されます。

Description

ダイナミック アクセス ポリシー レコードに関する追加情報(最大 1024 文字)。

[Main] タブ

ダイナミック アクセス ポリシー エントリを追加し、設定するリモート アクセスのタイプに応じてアクセス ポリシーの属性を設定できます。

このタブの要素の詳細については、「[Main] タブ」を参照してください。

[Logical Operations] タブ

各タイプのエンドポイント属性の複数のインスタンスを作成できます。

このタブの要素の詳細については、「[Logical Operations] タブ」を参照してください。

[Advanced Expressions] タブ

1 つ以上の論理式を設定して、[AAA] および [Endpoint] 領域で設定できない AAA 属性またはエンドポイント属性を設定できます。

このタブの要素の詳細については、「[Advanced Expressions] タブ」を参照してください。

[Main] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Main] タブを使用して、セキュリティ アプライアンスでサポートされるダイナミック アクセス ポリシー属性およびリモート アクセス方式のタイプを設定します。ネットワークおよび Web タイプ ACL フィルタ、ファイル アクセス、HTTP プロキシ、URL エントリおよびリスト、ポート転送、およびクライアントレス SSL VPN アクセス方式に対して属性を設定できます。

ナビゲーション パス

[Main] タブは、「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開くと表示されます。

関連項目

「ダイナミック アクセス ポリシーの設定」

「DAP 属性の設定」

フィールド リファレンス

 

表 30-5 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Main] タブ

要素
説明

Criteria ID

ダイナミック アクセス ポリシーに使用可能な AAA およびエンドポイントの選択属性名。

Content

セキュリティ アプライアンスがセッションの確立中にダイナミック アクセス ポリシー レコードを選択および適用するために使用する、AAA 属性およびエンドポイント属性の値。ここで設定した属性値は、AAA システム内の認可の値(既存のグループ ポリシー、トンネル グループ、およびデフォルト グループ レコード内の値を含む)を上書きします。

[Create] ボタン

このボタンをクリックして、AAA 属性およびエンドポイント属性を DAP レコードの選択基準として設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

[Edit] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを編集します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

[Delete] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを削除します。

Access Method

許可されるリモート アクセスのタイプを指定します。

[Unchanged]:現在のリモート アクセス方式を引き続き使用します。

[AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。

[Web Portal]:クライアントレス VPN を使用して接続します。

[Both default Web Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。

[Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。

[Network ACL] タブ:このダイナミック アクセス ポリシーに適用するネットワーク ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可ルールと拒否ルールのいずれかを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれる場合は、セキュリティ アプライアンスで拒否されます。

Network ACL

SSL†VPN へのユーザ アクセスを制限するために使用される Access Control List(ACL; アクセス コントロール リスト)が一覧表示されます。

[Select] ボタンをクリックして、選択を行える [Access Control Lists Selector] を開きます。ACL には、パケットのトラフィック ストリームが記述された条件と、それらの条件に基づいて実行する処理が記述されたアクションが含まれます。許可ルールだけ、または拒否ルールだけが含まれている ACL だけが適格となります。

[WebType ACL] タブ:このダイナミック アクセス ポリシーに適用する Web タイプ ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可ルールまたは拒否ルールを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれる場合は、セキュリティ アプライアンスで拒否されます。

Web Type ACL

SSL†VPN へのユーザ アクセスを制限するために使用される Web タイプ アクセス コントロール リストを指定します。

[Select] ボタンをクリックして、選択を行える [Access Control Lists Selector] を開きます。許可ルールだけ、または拒否ルールだけが含まれている ACL だけが適格となります。

[Functions] タブ:ファイル サーバのエントリとブラウズ、HTTP プロキシ、およびダイナミック アクセス ポリシーの URL エントリを設定できます。

File Server Browsing

ポータル ページで設定するファイル サーバ ブラウズ設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ファイル サーバまたは共有機能に対する CIFS ブラウズをイネーブルにします。

[Disable]:ファイル サーバまたは共有機能に対する CIFS ブラウズをディセーブルにします。

CIFS ブラウズ機能では、国際化がサポートされていません。

File Server Entry

ポータル ページで設定するファイル サーバ エントリ設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ユーザはポータル ページでファイル サーバのパスおよび名前を入力できます。

イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドローアが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。

[Disable]:ユーザはポータル ページでファイル サーバのパスおよび名前を入力できません。

HTTP Proxy

HTTPS 接続を終了して HTTP/HTTPS 要求を HTTP および HTTPS プロキシ サーバに転送するための、セキュリティ アプライアンスの設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:HTTP アプレット プロキシのクライアントへの転送を許可します。

このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、ブラウザの古いプロキシ設定を変更し、すべての HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。

[Disable]:HTTP アプレット プロキシのクライアントへの転送をディセーブルにします。

[Auto-start]:HTTP プロキシをイネーブルにし、DAP レコードによりこれらの機能に関連付けられたアプレットが自動的に起動されるように設定します。

URL Entry

SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとはかぎりません。SSL VPN は、リモート ユーザの PC またはワークステーションと、企業ネットワークのセキュリティ アプライアンスの間におけるデータ送信のセキュリティを確保します。ユーザが(インターネットまたは内部ネットワークに存在する)HTTPS 以外の Web リソースにアクセスする場合、企業セキュリティ アプライアンスから宛先 Web サーバへの通信は保護されません。

クライアントレス VPN 接続では、セキュリティ アプライアンスがエンド ユーザ Web ブラウザとターゲット Web サーバの間のプロキシとして機能します。ユーザが SSL 対応の Web サーバに接続すると、セキュリティ アプライアンスによりセキュアな接続が確立され、サーバ SSL 証明書が検証されます。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、セキュリティ アプライアンスが信頼できる CA 証明書検証を実行することも許可されません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。

ポータル ページでの URL エントリの設定方法を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ユーザはポータル ページで HTTP または HTTPS の URL を入力できます。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。

[Disable]:ユーザはポータル ページで HTTP または HTTPS の URL を入力できません。

[Disable] を選択します。これにより、SSL VPN ユーザはクライアントレス VPN 接続中に Web をサーフィンできなくなります。

[Port Forwarding] タブ:ユーザ セッションのポート転送リストを選択および設定できます。

(注) ポート転送は、一部の SSL/TLS バージョンでは使用できません。


注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートする Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされていることを確認します。

Port Forwarding

この DAP レコードに適用されるポート転送リストのオプションを選択します。

[Unchanged]:ランニング コンフィギュレーションから属性を削除します。

[Enable]:デバイスでポート転送をイネーブルにします。

[Disable]:デバイスでポート転送をディセーブルにします。

[Auto-start]:ポート転送をイネーブルにし、DAP レコードによりそのポート転送リストに関連付けられたポート転送アプレットが自動的に起動されるように設定します。

Port Forwarding List

クライアント マシン上のポート番号から SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートへのマッピングを定義する、ポート転送リスト。

[Select] をクリックすると [Port Forwarding List Selector] が開き、そこで、ポート転送リスト オブジェクトのリストから必要なポート転送リストを選択できます。ポート転送リスト オブジェクトは、リモート クライアント上のポート番号を SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートにマッピングします。

[Bookmark] タブ:SSL VPN ブックマークをイネーブルにし、設定できます。イネーブルになっている場合、SSL VPN に正常にログインしたユーザに、定義済みのブックマークのリストを含むポータル ページが表示されます。これらのブックマークにより、ユーザは [Clientless] アクセス モードで SSL VPN Web サイト上で使用可能なリソースにアクセスできます。

Enable Bookmarks

選択すると、SSL VPN ポータル ページのブックマークがイネーブルになります。

Bookmarks

ユーザが SSL VPN Web サイトで使用可能なリソースにアクセスできるように、ポータル ページにブックマークとして表示される Web サイトのリスト。

[Select] をクリックすると、[Bookmarks Selector] が開きます。このセレクタで適宜、リストから目的のブックマークを選択するか、新しいブックマークを作成できます。

[Action] タブ:特定の接続またはセッションに適用される特別な処理を指定します。

Terminate

選択した場合、セッションが終了します。デフォルトでは、アクセス ポリシー属性がセッションに適用され、セッションは実行されます。

User Message

この DAP レコードが選択されたときにポータル ページに表示されるテキスト メッセージを入力します。最大 128 文字を入力できます。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。複数の DAP レコードが選択されており、かつ、それぞれにユーザ メッセージが設定されている場合は、すべてのユーザ メッセージが表示されます。

たとえば、All contractors please read <a href='http://wwwin.abc.com/procedure.html'> Instructions</a> for the procedure to upgrade your antivirus software. のように入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスを使用して、ダイナミック アクセス ポリシーの認可属性とエンドポイント属性を指定します。セキュリティ アプライアンスは、リモート デバイスのエンドポイント セキュリティ情報と認証済みユーザの AAA 認可情報に基づいて、ダイナミック アクセス ポリシーを選択します。次に、そのダイナミック アクセス ポリシーをユーザ トンネルまたはセッションに適用します。

ダイナミック アクセス ポリシー属性の詳細については、「DAP 属性について」を参照してください。

このダイアログボックスの内容は、選択した基準によって変わります。この基準は、セキュリティ アプライアンスがセッション確立中にダイナミック アクセス ポリシーを選択および適用するときに使用する選択基準として機能する認可またはエンドポイント属性です。次の基準から選択できます。

[AAA Attributes Cisco]:AAA 階層モデルに格納されているユーザ認可属性を参照します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]」を参照してください。

[AAA Attributes LDAP]:LDAP クライアントにおいて、ユーザの AAA セッションに関連付けられたデータベースに、すべてのネイティブ LDAP 応答属性のペアが格納されるように設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]」を参照してください。

[AAA Attributes RADIUS]:RADIUS クライアントがユーザの AAA セッションに関連付けられたデータベースにすべてのネイティブ RADIUS 応答属性のペアを格納するように設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]」を参照してください。

[Anti-Spyware]:[Anti-Spyware] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているアンチスパイウェア アプリケーションおよび更新をスキャンできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]」を参照してください。

[Anti-Virus]:[Anti-Virus] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているアンチウイルス アプリケーションおよび更新をスキャンできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]」を参照してください。

[AnyConnect Identity]:[AnyConnect Identity] タイプのエンドポイント属性を作成します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AnyConnect Identity]」を参照してください。

[Application]:リモート アクセス接続のタイプを示します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]」を参照してください。

[Device]:[Device] タイプのエンドポイント属性を作成します。[Device Criterion] では、関連付けられたプリログイン ポリシー チェック中に使用できる特定のデバイス情報を提供できます。「Add/Edit DAP Entry ダイアログボックス ¥> Device」を参照してください。

[File]:[File] タイプのエンドポイント属性を作成します。Cisco Secure Desktop Manager を使用して、基本ホスト スキャンによって実行されるファイル名チェックを明示的に設定する必要があります。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]」を参照してください。

[NAC]:[NAC] タイプのエンドポイント属性を作成します。NAC は、エンドポイント準拠を実行することにより、ワーム、ウイルス、および不正なアプリケーションの侵入や感染からエンタープライズ ネットワークを保護します。これらのチェックをポスチャ検証と呼びます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]」を参照してください。

[Operating System]:[Operating System] タイプのエンドポイント属性を作成します。CSD のプリログイン評価モジュールは、リモート デバイスの OS バージョン、IP アドレス、および Microsoft Windows レジストリ キーをチェックできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]」を参照してください。

[Personal Firewall]:[Personal Firewall] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているパーソナル ファイアウォール アプリケーションおよび更新をスキャンできます。このダイアログボックスの要素の詳細については、「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]」を参照してください。

[Policy]:[Policy] タイプのエンドポイント属性を作成します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]」を参照してください。

[Process]:Cisco Secure Desktop Manager を使用して、基本ホスト スキャンによって実行されるプロセス名チェックを明示的に設定する必要があります。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]」を参照してください。

[Registry]:[Registry] タイプのエンドポイント属性を作成します。レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]」を参照してください。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]

ダイナミック アクセス ポリシーの選択基準として AAA 属性を設定するには、[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスで、セッションの確立中にダイナミック アクセス ポリシーを選択および適用するときに使用する選択基準として [AAA Attributes Cisco] を設定します。これらの属性を、入力した値と一致するように、または一致しないように設定できます。各ダイナミック アクセス ポリシーの AAA 属性の数に制限はありません。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes Cisco] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-6 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]

要素
説明

Criterion

選択基準として [AAA Attributes Cisco] が表示されます。

Class

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ユーザに関連付けられた AAA サーバ グループの名前を入力します。最大長は 64 文字です。

AAA サーバ グループは、ネットワーク セキュリティ ポリシー全体の特定の側面を実施することに焦点を当てた、認証サーバの集合を表します。

ヒント このオプションを選択して、あとでルールを ASDM で参照すると、クラス属性は [Group Policy] になります。

IP Address

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、割り当てられた IP アドレスを入力します。

アドレスは、定義済みのネットワーク オブジェクトです。また、[Select] をクリックすると、使用可能なすべてのネットワーク ホストが一覧表示されたダイアログボックスが開きます。このダイアログボックスで、ネットワーク ホスト オブジェクトを作成または編集できます。

ヒント このオプションを選択して、あとでルールを ASDM で参照すると、IP アドレス属性は [Assigned IP Address] になります。

Member-of

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ユーザに適用されるグループ ポリシー名をカンマ区切りの文字列として入力します。この属性により、複数のグループ メンバーシップを指定できます。最大長は 128 文字です。

ヒント このオプションを選択して、あとでルールを ASDM で参照すると、このオプションは表示されません。このオプションは [memberof LDAP] 属性と間違いやすいため、通常はこのオプションは使用されません。このルールはローカル認証にも適用されるため、[Member-of] 属性の代わりに [Username] 属性を使用できます。

Username

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、プロセスの名前を入力します。最大 64 文字を使用できます。

Connection Profiles

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、セキュリティ アプライアンスで定義されているすべての SSL VPN Connection Profile ポリシーのリストから接続プロファイルを選択します。

SSL VPN 接続プロファイルは、VPN トンネル接続プロファイル ポリシーを含む一連のレコードで構成されます。このレコードには、トンネルそのものの作成に関連する属性も含まれます。

(注) SSL VPN Connection Profiles ポリシーの設定手順については、「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]

LDAP クライアントでは、ユーザの AAA セッションに関連付けられたデータベースに、すべての LDAP 応答属性値のペアが格納されます。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes LDAP] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-7 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]

要素
説明

Criterion

選択基準として [AAA Attributes LDAP] が表示されます。

Attribute ID

ダイナミック アクセス ポリシー内の LDAP 属性マップの名前を指定します。LDAP 属性マップは、ユーザが定義した属性名をシスコ定義の属性にマッピングします。最大 64 文字を使用できます。

Value

ドロップダウン リストから一致基準([ is ] など)を選択して、Cisco マップ値にマップされるカスタム マップ値を入力するか、カスタム マップ値にマップされる Cisco マップ値を入力します。

属性マップには、カスタマーのユーザ定義属性値をカスタマー属性名および一致する Cisco 属性の名前と値に適用する値マッピングが読み込まれます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]

RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにすべての RADIUS 応答属性値のペアを格納します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes RADIUS] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-8 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]

要素
説明

Criterion

選択基準として [AAA Attributes RADIUS] が表示されます。

Attribute ID

ダイナミック アクセス ポリシー内の RADIUS 属性の名前または番号を指定します。最大 64 文字を使用できます。

3 つのセキュリティ アプライアンスすべて(VPN 3000、PIX、および ASA)に対するサポートをより反映するために、RADIUS 属性名に cVPN3000 プレフィクスは含まれていません。アプライアンスは、属性名ではなく属性数値 ID に基づいて RADIUS 属性を適用します。LDAP 属性は、ID ではなく名前で適用されます。

Value

ドロップダウン リストから一致基準([ is ] など)を選択して、属性値を入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]

Cisco Secure Desktop 機能のホスト スキャン機能を使用して、リモート コンピュータで実行されているアンチウイルス、パーソナル ファイアウォール、およびアンチスパイウェアのアプリケーションと更新をスキャンできます。プリログイン ポリシーおよびホスト スキャンのオプションの設定に続いて、ホスト スキャン結果の 1 つまたは任意の組み合わせの一致を設定して、ユーザ ログイン後のダイナミック アクセス ポリシーに割り当てることができます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Anti-Spyware] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-9 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]

要素
説明

Criterion

選択基準として [Anti-Spyware] が表示されます。

Type

一致基準を選択して、選択したエンドポイント属性とそれに付随する修飾子([Product ID] フィールドの下のフィールド)が存在する必要があるかどうかを指定します。

Vendor Name

アプリケーション ベンダーを説明するテキストをリストから選択します。

Product ID

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

Product Description

[Type] として [Matches] を選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

Version

[Type] として [Matches] を選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

Last Update

[Type] として [Matches] を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く実行するか、遅く実行するかを指定できます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]

アンチウイルス アプリケーションおよび更新のスキャンを、Cisco AnyConnect またはクライアントレス SSL VPN 接続の完了の条件として設定できます。プリログイン評価に続いて、Cisco Secure Desktop ではエンドポイント評価チェックをロードし、ダイナミック アクセス ポリシーの割り当てに使用できるように、セキュリティ アプライアンスに結果を返します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Anti-Virus] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-10 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]

要素
説明

Criterion

選択基準として [Anti-Virus] が表示されます。

Type

一致基準を選択して、選択したエンドポイント属性とそれに付随する修飾子([Product ID] フィールドの下のフィールド)が存在する必要があるかどうかを指定します。

Vendor Name

アプリケーション ベンダーを説明するテキストをリストから選択します。

Product ID

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

Product Description

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

Version

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

Last Update

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く実行するか、遅く実行するかを指定できます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AnyConnect Identity]

ダイナミック アクセス ポリシーの選択基準として [AnyConnect Identity] 属性を設定するには、[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスで [AnyConnect Identity] を選択基準として設定します。ASA は、AnyConnect モバイル クライアントから受信した AnyConnect 識別属性に基づいて DAP エンドポイント属性を生成します。これら特定の属性を設定するために、Security Manager を使用して Cisco Secure Desktop をイネーブルにする必要はありません。

ダイナミック アクセス ポリシーを割り当てる目的で、特定の DAP エントリに 2 つ以上の AnyConnect Identity 属性を設定する場合、いずれかの属性値が true の場合は、エントリは一致と見なされます。各ダイナミック アクセス ポリシーの AnyConnect Identity 属性の数に制限はありません。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AnyConnect Identity] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-11 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AnyConnect Identity]

要素
説明

Criterion

選択基準として [AnyConnect Identity] が表示されます。

Client Version

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、AnyConnect クライアント バージョン番号を入力します。

Platform

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ドロップダウン リストから適切なプラットフォームを選択します。

Platform Version

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、プラットフォームの適切なバージョン番号を入力します。

Device Type

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ドロップダウン リストから適切なデバイス タイプを選択します。

Device Unique ID

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、一意のデバイス ID を入力します。この ID によってデバイスが区別され、そのデバイスのみにポリシーを設定できます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]

このダイアログボックスを使用して、ダイナミック アクセス ポリシーのエンドポイント属性としてリモート アクセス接続のタイプを指定します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Application] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-12 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]

要素
説明

Criterion

選択基準として [Application] が表示されます。

Client Type

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] や [ isn't ] など)を選択して、リストからリモート アクセス接続のタイプ([AnyConnect]、[Clientless]、[Cut-through Proxy]、[IPsec]、または [L2TP])を指定します。

(注) クライアント タイプとして [AnyConnect] を選択した場合は、必ず Cisco Secure Desktop をイネーブルにしてください。Cisco Secure Desktop がイネーブルになっていないと、Security Manager でエラーが生成されます。

Add/Edit DAP Entry ダイアログボックス ¥> Device

[DAP Device Criterion] では、関連付けられたプリログイン ポリシー チェック中に使用できる特定のデバイス情報を提供できます。[host name]、[MAC address]、[port number]、[Privacy Protection selection] のうち、1 つ以上のデバイス属性を指定し、それぞれで [ is ] または [ isn't ] のどちらと照合するかを指定できます。

[ isn't ] は排他的であることに注意してください。たとえば、 Host Name isn't zulu_2 という基準を指定した場合、 zulu_2 という名前でないすべてのデバイスが一致します。

ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Device] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-13 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Device]

要素
説明

Criterion

選択された [Criterion] として [Device] が表示されます。

Host Name

このオプションを選択し、関連するドロップダウン リストから一致基準([ is ] または [ isn't ])を選択して、照合するデバイス ホスト名を入力します。

MAC Address

このオプションを選択し、関連するドロップダウン リストから一致基準([ is ] または [ isn't ])を選択して、照合するデバイスの MAC アドレスを入力します。

Port Number

このオプションを選択し、一致基準([ is ] または [ isn't ])を選択して、照合するデバイス ポートを入力または選択します。

Privacy Protection

このオプションを選択し、一致基準([ is ] または [ isn't ])を選択し、デバイスで定義されている [Privacy Protection] オプション([none]、[cache cleaner]、または [secure desktop])を選択します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]

ファイル基準プリログイン チェックにより、関連付けられたプリログイン ポリシーに対して適格となる条件として、特定のファイルが存在すること、または存在しないことを指定できます。たとえば、ファイル プリログイン チェックを使用して、プリログイン ポリシーの割り当て前に、企業ファイルが必ず存在すること、あるいは悪意のあるソフトウェアを含む 1 つ以上のピアツーピア ファイル共有プログラムが存在してはならないことを指定できます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [File] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-14 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]

要素
説明

Criterion

選択基準として [File] が表示されます。

Type

このエンドポイント属性が、セッションの確立中にダイナミック アクセス ポリシーを選択および適用するために設定した基準と一致する必要があるか、または一致しない必要があるかを指定します。

Endpoint ID

ファイルのエンドポイントを識別する文字列を選択します。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

Filename

ファイル名を指定します。

Last Update

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

Checksum

DAP レコードのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

このチェックボックスをオンにして、ファイルを認証するようにチェックサムを指定し、次に、0x で始まる 16 進形式でチェックサムを入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]

NAC は、エンドポイント準拠および脆弱性チェックをネットワークへの実稼動アクセスの条件として実行することにより、ワーム、ウイルス、および不正なアプリケーションの侵入や感染からエンタープライズ ネットワークを保護します。これらのチェックを ポスチャ検証 と呼びます。イントラネット上の脆弱なホストにアクセスする前に、ポスチャ検証を設定して、AnyConnect またはクライアントレス SSL VPN セッションを使用するホスト上のアンチウイルス ファイル、パーソナル ファイアウォール ルール、または侵入保護ソフトウェアが最新の状態であることを確認できます。ポスチャ検証の一部として、リモート ホストで実行されているアプリケーションが最新のパッチで更新されているか検証することもできます。NAC は、ユーザ認証およびトンネルの設定の完了後に行われます。自動ネットワーク ポリシー実施が適用されないホスト(ホーム PC など)からエンタープライズ ネットワークを保護する場合は、NAC が特に有用です。セキュリティ アプライアンスは、Extensible Authentication Protocol(EAP)over UDP(EAPoUDP)メッセージングを使用して、リモート ホストのポスチャを検証します。

エンドポイントとセキュリティ アプライアンスの間にトンネルが確立されると、ポスチャ検証がトリガーされます。クライアントがポスチャ検証要求に応答しない場合に、クライアントの IP アドレスを任意指定の監査サーバに渡すように、セキュリティ アプライアンスを設定できます。監査サーバ(Trend サーバなど)では、ホスト IP アドレスを使用して、ホストに対して直接チャレンジを行い、ホストのヘルスを評価します。たとえば、ホストに対してチャレンジを行い、そのウイルス チェック ソフトウェアがアクティブで最新の状態かどうかを判断します。監査サーバは、リモート ホストとの対話を完了すると、リモート ホストのヘルスを示すトークンをポスチャ検証サーバに渡します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [NAC] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-15 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]

要素
説明

Criterion

選択基準として [NAC] が表示されます。

Posture Status

ドロップダウン リストから一致基準([ is ] など)を選択して、ACS から受け取ったポスチャ トークン文字列を入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]

プリログイン評価には、VPN 接続の確立を試行する OS のチェックが含まれます。ただし、ユーザが接続を試行すると、OS プリログイン チェックを挿入したかどうかに関係なく、Cisco Secure Desktop によって OS がチェックされます。

接続に割り当てられているプリログイン ポリシーの Secure Desktop(Secure Session)がイネーブルになっており、かつ、リモート PC で Microsoft Windows XP または Windows 2000 が実行されている場合は、OS プリログイン チェックを挿入したかどうかに関係なく、Secure Session がインストールされます。プリログイン ポリシーの Secure Desktop がイネーブルになっており、かつ、オペレーティング システムが Microsoft Windows Vista、Mac OS X 10.4、または Linux の場合は、代わりにキャッシュ クリーナが実行されます。このため、キャッシュ クリーナの設定が、Secure Desktop またはキャッシュ クリーナをインストールするように設定したプリログイン ポリシーに対して適切であることを確認する必要があります。Cisco Secure Desktop により OS がチェックされますが、プリログイン ポリシーを適用して OS ごとに後続のチェックを分離するための条件として OS プリログイン チェックを挿入することもできます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Operating System] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-16 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]

要素
説明

Criterion

選択基準として [Operating System] が表示されます。

OS Version

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、リストから OS バージョンを選択します。iPhone および同様のデバイスには、[Apple Plugin] を選択します。

Service Pack

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、オペレーティング システムのサービス パックを選択します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]

Cisco Secure Desktop インターフェイスで [Host Scan] をクリックして、エンドポイント評価をイネーブルにします。エンドポイント評価は、リモート コンピュータで実行されているパーソナル ファイアウォールのスキャンです。一部を除くほとんどのパーソナル ファイアウォール プログラムでは、アクティブなスキャンがサポートされています。つまり、このようなスキャンでは、プログラムがメモリに常駐するため、常に動作中になります。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes Cisco] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-17 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]

要素
説明

Criterion

選択基準として [Personal Firewall] が表示されます。

Type

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]:指定されたパーソナル ファイアウォールがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

[Doesn't Match]:指定されたパーソナル ファイアウォールがリモート PC 上にないことを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

Vendor Name

アプリケーション ベンダーを説明するテキストをリストから選択します。

Product ID

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

Product Description

このエンドポイント属性とそのすべての設定がリモート PC で使用可能である必要があることを選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

Version

このエンドポイント属性とそのすべての設定がリモート PC で使用可能である必要があることを選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]

Windows ロケーションを使用すると、クライアントとバーチャル プライベート ネットワークとの接続方法を判断して適宜に保護できます。たとえば、NAT デバイスの背後にある 10.x.x.x ネットワークの職場 LAN 内から接続しているクライアントが、機密情報を公開するリスクはほとんどないと考えられます。これらのクライアントに対しては、10.x.x.x ネットワーク上の IP アドレスで指定された Work という名前の Cisco Secure Desktop Windows ロケーションを設定し、このロケーションに対してキャッシュ クリーナと Secure Desktop 機能の両方をディセーブルにします。Cisco Secure Desktop は、[Windows Location Settings] ウィンドウのリスト内の順序でロケーションをチェックし、最初に一致したロケーション定義に基づいてクライアント PC に権限を付与します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Policy] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-18 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]

要素
説明

Criterion

選択基準として [Policy] が表示されます。

Location

ドロップダウン リストから一致基準([ is ] など)を選択して、リストから Cisco Secure Desktop Microsoft Windows ロケーション プロファイルを選択します。Cisco Secure Desktop Manager で設定されたすべてのロケーションは、このリストに表示されます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]

基本ホスト スキャンの一部となる一連のプロセス名を指定できます。ホスト スキャンは、基本ホスト スキャンとエンドポイント評価または拡張エンドポイント評価で構成され、プリログイン評価の終了後、ダイナミック アクセス ポリシーの割り当ての前に行われます。基本ホスト スキャンに続いて、セキュリティ アプライアンスはログイン クレデンシャル、ホスト スキャン結果、プリログイン ポリシー、および DAP の割り当て用に設定したその他の基準を使用します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Process] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-19 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]

要素
説明

Criterion

選択基準として [Process] が表示されます。

Type

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]:指定されたプロセスがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

[Doesn't Match]:指定されたプロセスがリモート PC 上にないことを、設定するプリログイン ポリシーに一致するための十分条件とする場合は、これを選択します。

Endpoint ID

ファイル、プロセス、またはレジストリ エントリのエンドポイントを示す文字列。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

Path

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、プロセスの名前を入力します。これを Microsoft Windows で表示するには、[Windows Task Manager] ウィンドウを開いて [Processes] タブをクリックします。

この属性を設定する前に、[Host Scan] を設定します。[Host Scan] を設定すると、設定がこのペインに表示されるため、DAP を設定する場合にこのエントリをエンドポイント属性として割り当てるとき、この設定を選択して同じインデックスを指定できます。これにより、入力や構文のエラーを減少させることができます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]

レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。基本ホスト スキャンでは、コンピュータで Mac OS または Linux が実行されている場合にレジストリ キー スキャンを無視します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Registry] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-20 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]

要素
説明

Criterion

選択基準として [Registry] が表示されます。

Type

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]:指定されたレジストリ キーがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。たとえば、プリログイン ポリシーを割り当てるための基準と一致する条件として、HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software> というレジストリ キーが存在することを要求する場合は、このオプションを選択します。

[Doesn't Match]:指定されたレジストリ キーがリモート PC 上にないことを、設定するプリログイン ポリシーに一致するための十分条件とする場合は、これを選択します。たとえば、プリログイン ポリシーを割り当てるための基準と一致する条件として、HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥<Evil_SpyWare> というレジストリ キーが存在しないことを要求する場合は、このオプションを選択します。

Registry Name

レジストリ名を説明するテキストをリストから選択します。

Endpoint ID

ファイル、プロセス、またはレジストリ エントリのエンドポイントを示す文字列。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

Value

リストから [dword] または [string] の値を選択し、一致基準(等しいか等しくないか)を選択します。次に、リモート PC 上のレジストリ キーの dword または文字列の値と比較する 10 進数または文字列を入力します。

(注) 「DWORD」は、[Add Registry Criterion]/[Edit Registry Criterion] ダイアログボックス内の属性を参照します。「Dword」は、レジストリ キー内の属性を参照します。Windows コマンドラインからアクセスできる regedit アプリケーションを使用して、レジストリ キーの Dword 値を確認します。または、このアプリケーションを使用して、Dword 値をレジストリ キーに追加して、設定する要件を満たします。

Ignore Case

選択すると、レジストリ エントリ内に文字列が含まれている場合に、大文字と小文字の違いが無視されます。

[Logical Operations] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Logical Operations] タブを使用して、AAA の複数のインスタンスと、[DAP Entry] ダイアログボックスで定義したエンドポイント属性の各タイプを設定します。このタブで、エンドポイント属性または AAA 属性の各タイプについて、タイプのインスタンスの 1 つのみを必要とするか([Match Any] = OR)か、またはタイプのすべてのインスタンス([Match All] = AND)を必要とするかを設定します。

エンドポイント カテゴリの 1 つのインスタンスだけを設定する場合、値を設定する必要はありません。

エンドポイント属性によっては、複数のインスタンスを設定しても有用でない場合があります。たとえば、複数の OS を実行するユーザがいない場合、

各エンドポイント タイプ内に [Match Any]/[Match All] 操作を設定するとします。この場合、セキュリティ アプライアンスは、エンドポイント属性の各タイプを評価したあと、設定されたすべてのエンドポイントで論理 AND 演算を実行します。つまり、各ユーザは、AAA 属性だけでなく、設定したエンドポイントのすべての条件を満たす必要があります。

ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開き、[Logical Operations] タブをクリックします。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-21 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Logical Operations] タブ

要素
説明

AAA

ダイナミック アクセス ポリシー内に AAA 属性を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:属性間に OR 関係を作成します。基準のいずれかに一致する属性が、フィルタに追加されます。セキュリティ アプライアンスは、属性のいずれか 1 つがすべての基準に一致していても、特定のユーザに対して、特定のセッションへのアクセスを許可します。

[Match All]:属性間に AND 関係を作成します。セキュリティ アプライアンスは、属性がすべての基準に一致している場合にだけ、特定のユーザに対して、特定のセッションへのアクセスを許可します。

[Match None]:属性間に NOT 関係を作成します。ダイナミック アクセス ポリシーは、セッションへのアクセスを許可するために、ユーザの属性のいずれも一致する必要がないことを指定します。

Anti-Spyware

エンドポイント属性として [Anti-Spyware] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:属性間に OR 関係を作成します。基準のいずれかのインスタンスに一致するポリシーが、ユーザの認可に使用されます。

[Match All]:属性間に AND 関係を作成します。すべての基準に一致する属性だけが、ユーザの認可に使用されます。

Anti-Virus

エンドポイント属性として [Anti-Virus] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

Application

エンドポイント属性として [Application] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

File

エンドポイント属性として [File] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

Personal Firewall

パーソナル ファイアウォール ルールを使用すると、ファイアウォールが許可またはブロックするアプリケーションおよびポートを指定できます。エンドポイント属性として [Personal Firewall] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

Process

エンドポイント属性として [Process] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

Registry

レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。基本ホスト スキャンでは、コンピュータで Mac OS または Linux が実行されている場合にレジストリ キー スキャンを無視します。

エンドポイント属性として [Registry] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント属性のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Advanced Expressions] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Advanced Expressions] タブを使用して、ダイナミック アクセス ポリシーの追加属性を設定します。各タイプのエンドポイント属性の複数のインスタンスを設定できます。これは、LUA(www.lua.org)の知識を必要とする高度な機能であることに注意してください。


) 高度な表現の詳細については、「AAA 属性またはエンドポイント属性の高度な表現について」および「DAP 論理式の例」を参照してください。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開き、[Advanced Expressions] タブをクリックします。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 30-22 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Advanced Expressions] タブ

要素
説明

Basic Expressions

このテキスト ボックスには、ダイナミック アクセス ポリシー内に設定したエンドポイント属性および AAA 属性に基づいて基本表現が入力されます。

[Relationship] ドロップダウン リスト

基本選択ルールと、このタブに入力した論理式の間の関係を指定します。つまり、新しい属性を、すでに設定されている AAA 属性およびエンドポイント属性に追加するか、それとも置き換えるかを指定します。次のオプションのいずれかを選択します。

[Basic AND Advanced]:基本表現と拡張表現の間に AND 関係を作成します。ダイナミック アクセス ポリシー内で定義されている基本表現と拡張表現の両方が、ユーザの認証中に考慮されます。

デフォルトでは、このオプションが選択されています。

[Basic OR Advanced]:基本表現と拡張表現の間に OR 関係を作成します。ダイナミック アクセス ポリシー内の基本表現または拡張表現のいずれかがユーザ ポリシーに一致すると、ユーザはセッションへのアクセスを許可されます。

[Basic Only]:DAP エントリ内に定義されている基本表現だけを使用して、セキュリティ アプライアンスが特定のセッションに対するアクセスをユーザに許可するかどうかが決定されます。

[Advanced Only]:DAP エントリ内に定義されている拡張表現だけを使用して、SSL VPN セッションに対してユーザが認可されます。

Advanced Expressions

1 つ以上の論理式を入力して、上記の [AAA] および [Endpoint] 領域で設定できない AAA 属性またはエンドポイント属性を設定します。

新しい AAA 選択属性またはエンドポイント選択属性(あるいはその両方)を定義するフリー形式の LUA テキストを入力します。ここで入力したテキストは、Security Manager によって検証されず、ダイナミック アクセス ポリシーの XML ファイルにコピーされるだけです。このテキストはセキュリティ アプライアンスによって処理され、解析できない表現はすべて廃棄されます。

[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス

[Cisco Secure Desktop Manager (CSDM) Policy Editor] ダイアログボックスを使用して、プリログイン ポリシーの設定、ユーザがセキュリティ アプライアンスとの接続を確立してからログイン クレデンシャルを入力するまでの間に実行されるチェックの指定、およびホスト スキャンの設定を実行できます。ASA デバイスでの CSD の設定の詳細については、「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照してください。


) Cisco Secure Desktop Manager Policy Editor は、独立したプログラムです。CSD の設定および CSD の機能については、http://www.cisco.com/en/US/products/ps6742/tsd_products_support_configure.html からオンラインで入手できる資料を参照してください。具体的には、プリログイン ポリシーおよびホスト スキャンの設定に関する情報を参照してください。設定する CSD バージョンのコンフィギュレーション ガイドを選択してください。


ナビゲーション パス

「[Dynamic Access] ページ(ASA)」を開き、[Cisco Secure Desktop] セクションから [Configure] をクリックします(最初に CSD パッケージを指定する必要があります)。[CSDM Policy Editor] ダイアログボックスが表示されます。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」