TACACS+ 認可の設定
次のダイアログボックスでは、認証ルールを追加または編集できます。
TACACS+ でネットワーク アクセス認可を実行するように FWSM を設定できます。
認証ルールと認可ルールは互いに依存しませんが、認可ルールで一致した未認証トラフィックはすべて拒否されます。認可が成功するためには、ユーザは最初に FWSM で認証を受ける必要があります。所定の IP アドレスのユーザは、すべてのルールおよびタイプに対して一度だけ認証を受ければよいため、認証セッションが期限切れになっていなければ、トラフィックが認証文で一致した場合でも、認可が発生することがあります。
ユーザの認証が完了すると、FWSM は、一致するトラフィックの認可ルールをチェックします。トラフィックが認可ルールに一致した場合、FWSM はユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは FWSM に応答し、ユーザ プロファイルに基づいてそのトラフィックの許可または拒否を示します。FWSM は、その応答内の認可ルールを実施します。
ユーザに対するネットワーク アクセス認可の設定については、ご使用の TACACS+ サーバのマニュアルを参照してください。
フィールド
Interface and Action:インターフェイス、アクション、および AAA サーバ グループを選択します。
• Interface:このルールを適用するインターフェイスを選択します。
• Action: Authorize または Do not Authorize を選択します。
• AAA Server Group:AAA サーバ グループまたはローカル データベースを選択します。Properties > AAA Setup > AAA Server Groups でサーバ グループを追加する必要があります。
• Add Server/User :サーバを選択した AAA サーバ グループに追加するか、ユーザをローカル データベースに追加するには、このボタンをクリックします。
Source:認可するトラフィックの送信元アドレスを指定します。
• Type:any、IP アドレス、Network Object Group、または Interface IP など、使用するアドレスのタイプを選択します。
IP address を選択すると、次のフィールドが表示されます。
–IP Address:手動で入力するか、 ... ボタンをクリックして、 Browse Address ダイアログボックスから IP addressを選択します。
–Netmask:ドロップダウン リストからサブネット マスクを選択します。
Network Object Group を選択した場合、次のフィールドが表示されます。
–Group Name:ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Address ダイアログボックスを開きます。 Browse Address ダイアログボックスでは、ネットワーク オブジェクト グループを追加できます。
Interface IP を選択した場合、次のフィールドが表示されます。
–Interface:ドロップダウン リストからインターフェイスを選択します。
Destination:認可するトラフィックの宛先アドレスを指定します。
• Type:any、IP アドレス、Network Object Group、または Interface IP など、使用するアドレスのタイプを選択します。
IP address を選択すると、次のフィールドが表示されます。
–IP Address:手動で入力するか、 ... ボタンをクリックして、 Browse Address ダイアログボックスから IP addressを選択します。
–Netmask:ドロップダウン リストからサブネット マスクを選択します。
Network Object Group を選択した場合、次のフィールドが表示されます。
–Group Name:ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Address ダイアログボックスを開きます。 Browse Address ダイアログボックスでは、ネットワーク オブジェクト グループを追加できます。
Interface IP を選択した場合、次のフィールドが表示されます。
–Interface:ドロップダウン リストからインターフェイスを選択します。
Protocol and Service:認可するトラフィックのポートまたはプロトコルを指定します。
• Protocol:tcp、udp、ip、icmp、またはその他のいずれかのトラフィックのプロトコルを選択します。
tcp または udp を選択した場合、次のフィールドが表示されます。
–Source Port:認可するトラフィックの送信元ポートを設定します。
Service:ポートまたはポートの範囲を入力するには、このオプション ボタンをクリックします。ドロップダウン リストから、=(等しい)、!=(等しくない)、>(大きい)、<(小さい)などの演算子および範囲を選択します。番号を入力するか、またはドロップダウン リストからウェルノウン ポート名を選択します。範囲指定する場合は、両端の番号を指定する必要があります。
Group: Service Groups で作成されたサービス グループを指定するには、このオプション ボタンをクリックします。ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Service Groups ダイアログボックスを開きます。 Browse Service Groups ダイアログボックスでは、サービス グループを追加できます。
–Destination Port:認可するトラフィックの宛先ポートを設定します。
Service:ポートまたはポートの範囲を入力するには、このオプション ボタンをクリックします。ドロップダウン リストから、=(等しい)、!=(等しくない)、>(大きい)、<(小さい)などの演算子および範囲を選択します。番号を入力するか、またはドロップダウン リストからウェルノウン ポート名を選択します。範囲指定する場合は、両端の番号を指定する必要があります。
Group: Service Groups で作成されたサービス グループを指定するには、このオプション ボタンをクリックします。ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Service Groups ダイアログボックスを開きます。 Browse Service Groups ダイアログボックスでは、サービス グループを追加できます。
icmp を選択した場合、次のフィールドが表示されます。
–ICMP Type:ICMP タイプを入力するには、このオプション ボタンをクリックします。数字を入力するか、ドロップダウン リストからウェルノウン タイプを選択します。
–ICMP Group: Service Groups で作成されたサービス グループを指定するには、このオプション ボタンをクリックします。ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Service Groups ダイアログボックスを開きます。 Browse Service Groups ダイアログボックスでは、サービス グループを追加できます。
other を選択した場合、次のフィールドが表示されます。
–Protocol:IP プロトコル タイプを入力するには、このオプション ボタンをクリックします。数字を入力するか、ドロップダウン リストからウェルノウン タイプを選択します。
–Protocol Group: Service Groups で作成されたサービス グループを指定するには、このオプション ボタンをクリックします。ドロップダウン リストからグループ名を選択するか、 ... ボタンをクリックして Browse Service Groups ダイアログボックスを開きます。 Browse Service Groups ダイアログボックスでは、サービス グループを追加できます。
Rule Flow Diagram:このルールの Rule Flow Diagram を表示します。この図では、ネットワーク、トラフィックのタイプ、インターフェイス名、フローの方向、およびアクション(Authorize または Do Not Authorize など)を示しています。
Options:このルールのオプションを設定します。
• Time Range :ドロップダウン リストから既存の時間範囲の名前を選択します。時間範囲では、指定した時間だけルールがイネーブルになります。時間範囲は「 時間範囲の設定 」で作成します。
• Description :このルールの説明を入力します。
モード
次の表に、この機能を使用できるモードを示します。
ダウンロード可能なアクセスリストに関する任意の RADIUS サーバの設定
ユーザ固有のアクセスリストを Cisco IOS RADIUS cisco-av-pair VSA(VSA 番号 1)で FWSM に送信するように Cisco IOS RADIUS VSA をサポートする任意の RADIUS サーバを設定できます。Cisco IOS RADIUS VSA は、RADIUS ベンダー ID 9 で識別されます。
cisco-av-pair VSA で、 access-list extended コマンドと類似する 1 つまたは複数の ACE を設定します。ただし、次のコマンド プレフィックスを置き換える必要があります。
access-list acl_name extended
次のテキストに置き換えます。
nnn 引数は、0 ~ 999999999 の番号で、FWSM 上に設定するコマンド文の順序を指定します。このパラメータを省略すると、順番は 0 となり、cisco-av-pair RADIUS VSA 内部の ACE の順序が使用されます。
RADIUS サーバ上の cisco-av-pair VSA に対して設定されている必要のあるアクセスリスト定義の例を次に示します。
ip:inacl#1=permit tcp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
ip:inacl#99=deny tcp any any
ip:inacl#2=permit udp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
ip:inacl#100=deny udp any any
ip:inacl#3=permit icmp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
cisco-av-pair アトリビュートで送信されるアクセスリストをユーザごとに一意にする方法については、ご使用の RADIUS サーバのマニュアルを参照してください。
FWSM 上では、ダウンロードされたアクセスリストの名前は次の形式になります。
username 引数は、認証を受けるユーザの名前です。
FWSM 上にダウンロードされたアクセスリストは、次の行で構成されます。RADIUS サーバ上で指定された番号に基づいた順序になっています。
access-list AAA-user-bcham34-79AD4A08 permit tcp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-bcham34-79AD4A08 permit udp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-bcham34-79AD4A08 permit icmp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-bcham34-79AD4A08 deny tcp any any
access-list AAA-user-bcham34-79AD4A08 deny udp any any
ダウンロードされたアクセスリストの「access-list」という単語と名前の間には、2 個のスペースがあります。これらのスペースにより、ダウンロードされたアクセスリストとローカルのアクセスリストが区別されます。この例では、「79AD4A08」は FWSM が作成したハッシュ値で、RADIUS サーバ上でアクセスリスト定義がいつ変更されたかを判別するために役立ちます。