Cisco AnyConnect VPN Client アドミニスト レータ ガイド
認証の管理
認証の管理
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

認証の管理

SDI トークン(SoftID)の統合

ネイティブ SDI と RADIUS SDI の比較

SDI 認証の使用

SDI 認証交換のカテゴリ

通常の SDI 認証ログイン

新規ユーザ モード、PIN クリア モード、および新規 PIN モード

新しい PIN の入手

「Next Passcode」および「Next Token Code」身分証明要求

RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持

AnyConnect クライアントと RADIUS/SDI サーバの対話

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

SDI トークン(SoftID)の統合

Cisco AnyConnect VPN Client のリリース 2.1 以降では、Windows XP および Windows 2000 プラットフォームで動作する RSA SecurID クライアント ソフトウェアのサポートを統合します。このサポートにより、IT 管理者は強力な認証を行いながら業務を容易に遂行できるようになります。RSA SecurID ソフトウェア オーセンティケータは、企業の資産へのセキュアなアクセスのために必要となる管理項目数を減らします。リモート デバイスに常駐する RSA SecurID Software Token は、1 回限定で使用可能なパスコードを 60 秒ごとにランダムに生成します。SDI は Security Dynamics 社製テクノロジーの略称で、ハードウェアとソフトウェアの両方のトークンを使用する、この 1 回限定利用のパスワード生成テクノロジーを意味します。


) AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。今回のリリースでは、RSA SecurID Software Token クライアント ソフトウェアは、Windows Vista および 64 ビット システムをサポートしません。また、AnyConnect クライアントは、RSA Software Token クライアント ソフトウェアにインポートされた複数のトークンから選択する機能はサポートしていません。その代わりに、AnyConnect クライアントは RSA SecurID Software Token GUI を介してデフォルト選択のトークンを使用します。


ネイティブ SDI と RADIUS SDI の比較

ネットワーク管理者は、SDI 認証を可能にするセキュア ゲートウェイを次のいずれかのモードで設定することができます。

ネイティブ SDI :SDI サーバと直接通信して SDI 認証を処理できるセキュア ゲートウェイのネイティブ機能です。

RADIUS SDI :RADIUS SDI プロキシを使用して SDI サーバと通信することで SDI 認証を行うセキュア ゲートウェイのプロセスです。

リリース 2.1 以降では、後述の場合を除いて、リモート ユーザからネイティブ SDI と RADIUS SDI を区別できません。SDI メッセージは SDI サーバ上で設定が可能なため、SDI 操作コード、デフォルト メッセージ テキスト、およびメッセージ機能上のメッセージ テキスト(セキュリティ アプライアンスを参照)は、SDI サーバ上のメッセージ テキストに一致する必要があります。一致しないと、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要なアクションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに認証が失敗する場合があります。

RADIUS SDI の身分証明要求は、少数の例外はありますが、基本的にはミラー ネイティブの SDI 交換です。両者とも最終的には SDI サーバと通信するため、クライアントから必要な情報と要求される情報の順序は同じです。明記した場合を除き、ここでは今後、ネイティブ SDI について説明します。

RADIUS SDI 認証を行うリモート ユーザが AnyConnect VPN クライアントでセキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスは RADIUS サーバと通信し、次にこのサーバは認証について SDI サーバと通信します。

AnyConnect クライアントとの互換性が保持される ASA 設定の詳細については、「RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持」を参照してください。

SDI 認証の使用

ログイン(身分証明要求)ダイアログボックスは、ユーザが属するトンネル グループに設定されている認証タイプと一致しています。ログイン ダイアログボックスの入力フィールドには、どのような種類の入力が認証に必要か明確に示されます。ユーザ名/パスワードによる認証を行うユーザには、図 5-1のようなダイアログボックスが表示されます。

図 5-1 ユーザ名/パスワードを入力する認証用ダイアログボックス

 

SDI 認証では、リモート ユーザは AnyConnect クライアント ソフトウェア インターフェイスに 個人識別番号(PIN)を入力して RSA SecurID パスコードを受け取ります。セキュアなアプリケーションにパスコードを入力すると、RSA Authentication Manager がこのパスコードを確認してユーザにアクセスを許可します。

RSA SecurID ハードウェアまたはソフトウェアのトークンを使用するユーザには、パスコードまたは PIN を入力する入力フィールドが表示されます。ダイアログボックス下部のステータス行には、さらにこの点に関連する情報が表示されます。ユーザは、ソフトウェア トークンの PIN またはパスコードを AnyConnect ユーザ インターフェイスに直接入力します。図 5-2を参照してください。

図 5-2 PIN およびパスコードを入力するダイアログボックス

 

最初に表示されるログイン ダイアログボックスの外観は、セキュア ゲートウェイの設定によって異なります。セキュア ゲートウェイには、メインのログイン ページからメインのインデックス URL を指定するか、トンネルグループのログイン ページからトンネルグループの URL(URL/トンネルグループ)を指定する 2 通りの方法でアクセスできます。メインのログイン ページからセキュア ゲートウェイにアクセスするには、セキュア ゲートウェイの [SSL VPN 接続プロファイル(SSL VPN Connection Profiles)] で [ユーザに接続選択を許可する(Allow user to select connection)] チェックボックスをオンにする必要があります。いずれの方法でも、ゲートウェイはクライアントにログイン ページを送信します。メインのログイン ページにはドロップダウン ボックスがあり、ここからトンネル グループを選択します。トンネルグループ ログイン ページにはこの表示はありません。トンネルグループは URL で指定されるためです。

メインのログイン ページでログイン(ドロップダウンのトンネルグループ リストを使用)する場合、デフォルトのトンネル グループの認証タイプによって、最初に設定するパスワード入力フィールドのラベルが決まります。たとえば、デフォルトのトンネル グループは SDI 認証を使用するため、フィールドのラベルは [パスコード(Passcode)] ですが、認証タイプが NTLM の場合、フィールド ラベルは [パスワード(Password)] になります。リリース 2.1 以降では、ユーザが別のトンネル グループを選択してもフィールド ラベルはダイナミックには更新されません。トンネルグループのログイン ページでは、フィールド ラベルはトンネルグループの要件に一致します。

クライアントは、パスワード入力フィールドへの RSA SecurID Software Token の PIN の入力をサポートします。RSA SecurID Software Token ソフトウェアがインストール済みでトンネルグループの認証タイプが SDI の場合、フィールド ラベルは [パスコード(Passcode)] となり、ステータス バーには [ユーザ名と、パスコードまたはソフトウェア トークン PIN を入力してください(Enter a username and passcode or software token PIN.)] と表示されます。PIN を入力すると、同じトンネル グループおよびユーザ名で行う次回のログインからは、ラベルが [PIN] のフィールドが表示されます。クライアントは、入力された PIN を使用して RSA SecurID Software Token DLL からパスコードを取得します。認証が成功するたびにクライアントはトンネル グループ、ユーザ名、認証タイプを保存し、保存されたトンネル グループが新たにデフォルトのトンネル グループとなります。

AnyConnect クライアントはすべての SDI 認証のパスコードを受け入れます。パスワード入力ラベルが [PIN] の場合でも、ユーザはステータス バーの指示どおりにパスコードを入力することができます。クライアントは、セキュア ゲートウェイにパスコードをそのまま送信します。パスコードを使用すると、同じトンネル グループおよびユーザ名で行う次回のログインからは、ラベルが [パスコード(Passcode)] のフィールドが表示されます。

SDI 認証交換のカテゴリ

すべての SDI 認証交換は次のいずれかのカテゴリに分類されます。

通常の SDI 認証ログイン

通常ログイン身分証明要求

新規ユーザ モード

新規 PIN モード

PIN クリア モード

次のトークン コード モード

通常の SDI 認証ログイン

通常ログイン身分証明要求は、常に最初の身分証明要求です。SDI 認証ユーザは、ユーザ名およびトークン パスコード(ソフトウェア トークンの場合は PIN)を、ユーザ名とパスコードまたは PIN フィールドにそれぞれ指定する必要があります。クライアントはユーザの入力に応じてセキュア ゲートウェイ(中央サイトのデバイス)に情報を返し、セキュア ゲートウェイはこの認証を認証サーバ(SDI または RADIUS プロキシ経由の SDI)で確認します。

認証サーバが認証要求を受け入れた場合、セキュア ゲートウェイは認証が成功したページをクライアントに送信します。これで認証交換が完了します。

パスコードが拒否された場合は認証は失敗し、セキュア ゲートウェイは、エラー メッセージとともに新しいログイン身分証明要求ページを送信します。SDI サーバでパスコード失敗しきい値に達した場合、SDI サーバはトークンを次のトークン コード モードに配置します。「「Next Passcode」および「Next Token Code」身分証明要求」を参照してください。

新規ユーザ モード、PIN クリア モード、および新規 PIN モード

PIN のクリアは、ネットワーク管理者だけの権限で、SDI サーバでのみ実行できます。

新規ユーザ モード、PIN クリア モード、新規 PIN モードでは、AnyConnect クライアントは、後の「next passcode」ログイン身分証明要求で使用するために、ユーザ作成 PIN またはシステムが割り当てた PIN をキャッシュに入れます。

PIN クリア モードと新規ユーザ モードは、リモート ユーザから見ると違いがなく、また、セキュア ゲートウェイでの処理も同じです。いずれの場合も、リモート ユーザは新しい PIN を入力するか、SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。唯一の相違点は、最初の身分証明要求時のユーザの応答です。

新規 PIN モードでは、通常の身分証明要求と同様に、既存の PIN を使用してパスコードが生成されます。PIN クリア モードでは、ユーザがトークン コードだけを入力するハードウェア トークンとして PIN が使用されることはありません。RSA ソフトウェア トークンのパスコードを生成するためにゼロが 8 つ並ぶ PIN(00000000)が使用されます。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(ある場合)をユーザに通知する必要があります。

新規ユーザを SDI サーバに追加すると、既存ユーザの PIN をクリアする場合と同じ結果になります。いずれの場合も、ユーザは新しい PIN を指定するか、SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。これらのモードでは、ユーザはハードウェア トークンとして、RSA デバイスのトークン コードのみ入力します。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(ある場合)をユーザに通知する必要があります。

新しい PIN の入手

現行の PIN がない場合、システム設定に応じて、SDI サーバは次の条件のいずれかを満たす必要があります。

ユーザは、PIN を作成するか、システムの割り当てを受け入れるかを選択できる。

ユーザは新規 PIN を作成する必要がある。

システムがユーザに新規 PIN を割り当てる必要がある。

デフォルトでは、PIN はシステムによって割り当てられます。PIN をリモート ユーザ自身で作成する方法とシステムで割り当てる方法を選択できるように SDI サーバを設定している場合、ログイン画面にはオプションを示すドロップダウン メニューが表示されます。ステータス行にプロンプト メッセージが表示されます。いずれの場合も、ユーザは今後のログイン認証のためにこの新規 PIN を忘れないようにする必要があります。

新規 PIN の作成

ユーザが新しく PIN を作成するように選択して [続行(Continue)] をクリックすると、AnyConnect クライアントにこの PIN を入力するためのダイアログボックス(図 5-3)が表示されます。PIN は 4 ~ 8 桁の長さの数値にする必要があります。

図 5-3 新規 PIN の作成

 

ユーザが PIN を作成する場合、新規 PIN を入力および確認したら、[続行(Continue)] をクリックします。PIN は一種のパスワードであるため、ユーザがこの入力フィールドに入力する内容はアスタリスクで表示されます。RADIUS プロキシを使用する場合、PIN の確認は、最初のダイアログボックスの次に表示される、別の身分証明要求で行われます。クライアントは新しい PIN をセキュア ゲートウェイに送信し、セキュア ゲートウェイは「next passcode」身分証明要求に進みます。

システムが割り当てる PIN の場合、ユーザがログイン ページで入力したパスコードを SDI サーバが受け入れると、セキュア ゲートウェイはシステムが割り当てた PIN をクライアントに送信します。ユーザは [続行(Continue)] をクリックする必要があります。クライアントは、ユーザが新規 PIN を確認したことを示す応答をセキュア ゲートウェイに返し、システムは「next passcode」身分証明要求に進みます。

いずれの場合も、ユーザは次回のログイン認証のために PIN を忘れないようにする必要があります。

「Next Passcode」および「Next Token Code」身分証明要求

「next passcode」身分証明要求では、クライアントが新規 PIN の作成または割り当て時にキャッシュに入れられた PIN 値を使用して RSA SecurID Software Token DLL から次のパスコードを取得し、ユーザにプロンプト表示せずにこれをセキュア ゲートウェイに返します。同様に、ソフトウェア トークン用の「next Token Code」身分証明要求では、クライアントは RSA SecurID Software Token DLL から次のトークン コードを取得します。

RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持

ここでは、AnyConnect クライアントが、RSA SecureID ソフトウェア トークンを使用して、1 台以上の SDI サーバのプロキシ サーバである RADIUS サーバ経由でクライアントに配布されたユーザ プロンプトに適切に応答する手順について説明します。ここでは、次の内容について説明します。

「AnyConnect クライアントと RADIUS/SDI サーバの対話」

「RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定」

AnyConnect クライアントと RADIUS/SDI サーバの対話

リモート ユーザが AnyConnect クライアントでセキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスは RADIUS サーバと通信を行い、次に、RADIUS サーバが認証について SDI サーバと通信を行います。

認証中、RADIUS サーバからはアクセス時の身分証明要求メッセージがセキュリティ アプライアンスに提示されます。これらの身分証明要求メッセージ内に、SDI サーバからのテキストが含まれる応答メッセージがあります。このメッセージ テキストは、セキュリティ アプライアンスが SDI サーバと直接通信している場合と RADIUS プロキシを経由して通信している場合とで異なります。このため、ネイティブ SDI サーバとして AnyConnect クライアントに認識されるようにするには、セキュリティ アプライアンスは RADIUS サーバからのメッセージを解釈する必要があります。

また、SDI メッセージは SDI サーバ上で設定が可能なため、セキュリティ アプライアンス上のメッセージ テキストは、その一部または全体が SDI サーバ上のメッセージ テキストに一致する必要があります。一致しないと、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要なアクションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに認証が失敗する場合があります。

RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定

ここでは、セキュリティ アプライアンスが SDI 独自の RADIUS 応答メッセージを解釈するよう設定し、AnyConnect ユーザに適切なアクションをとらせるための手順を示します。

RADIUS 応答メッセージを転送するための接続プロファイル(トンネル グループ)を、SDI サーバとの直接通信をシミュレートする方法で設定します。SDI サーバで認証されるユーザは、この接続プロファイルを介して接続する必要があります。


ステップ 1 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [SSL VPN 接続プロファイル(SSL VPN Connection Profiles)] の順に選択します。[SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] ウィンドウが表示されます(図 5-4)。

図 5-4 [SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] 画面

 

ステップ 2 [ログイン画面の SecurID メッセージ表示をイネーブルにする(Enable the display of SecurID messages on the login screen)] にチェックマークを付けます。


 

ステップ 3 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [AAA サーバ グループ(AAA Server Groups)] の順に選択します。

[AAA サーバの追加(Add AAA Server)] ウィンドウが表示されます(図 5-5)。

図 5-5 RADIUS SDI メッセージの設定

 

ステップ 4 [SDI メッセージ(SDI Messages)] 領域で [メッセージ テーブル(Message Table)] をクリックして表を展開し、メッセージを表示します。メッセージ テキスト フィールドをダブルクリックするとメッセージが編集できます。RADIUS サーバから送信されたメッセージとテキストの一部または全体が一致するように、RADIUS 応答メッセージ テキストをセキュリティ アプライアンスで設定します。

セキュリティ アプライアンスのデフォルト メッセージ テキストは Cisco Secure Access Control Server (ACS)のデフォルト メッセージ テキストと同じです。Cisco Secure ACS を使用し、デフォルト メッセージ テキストを使用している場合は、セキュリティ アプライアンスでメッセージ テキストを設定する必要はありません。これ以外の場合は、メッセージ テキストが一致するようにメッセージを設定します。

表 5-1 に、メッセージ コード、デフォルトの RADIUS 応答メッセージ テキスト、および各メッセージの機能を示します。セキュリティ アプライアンスは、表での出現順に文字列を検索するため、メッセージ テキスト用に使用する文字列が別の文字列のサブセットでないことを確認する必要があります。

たとえば、「new PIN」は、new-pin-sup および next-ccode-and-reauth の両方のデフォルト メッセージ テキストのサブセットです。new-pin-sup を「new PIN」として設定する場合、セキュリティ アプライアンスが RADIUS サーバから「new PIN with the next card code」を受け取ると、next-ccode-and-reauth コードではなく、new-pin-sup コードにテキストが一致します。

 

表 5-1 SDI 操作コード、デフォルト メッセージ テキスト、およびメッセージ機能

メッセージ コード
デフォルトの RADIUS 応答メッセージ テキスト
機能

next-code

Enter Next PASSCODE

ユーザは PIN なしの NEXT トークンコードを入力する必要があることを示します。

new-pin-sup

Please remember your new PIN

新規システムの PIN が提供され、ユーザにこの PIN が表示されることを示します。

new-pin-meth

Do you want to enter your own pin

新規 PIN を作成するための新規 PIN 方式をユーザから要求します。

new-pin-req

Enter your new Alpha-Numerical PIN

ユーザが生成した PIN を示し、ユーザが PIN を入力することを要求します。

new-pin-reenter

Reenter PIN

ユーザが指定した PIN の確認のためにセキュリティ アプライアンスで内部的に使用されます。クライアントはユーザにプロンプト表示せずに PIN を確認します。

new-pin-sys-ok

New PIN Accepted

ユーザが指定した PIN が許容されたことを示します。

next-ccode-and-reauth

new PIN with the next card code

PIN の操作を進め、次のトークンコードを待機する必要があり、新規 PIN と次のトークンコードの両方を認証用として入力するようにユーザに示します。

ready-for-sys-
pin

ACCEPT A SYSTEM GENERATED PIN

セキュリティ アプライアンスで内部的に使用されます。システムで生成された PIN に対して準備が完了したことをユーザに示します。