企業では、ユーザが 1 つ以上のサーバ リソースにアクセスする必要が生じることがよくあります。通常、ファイアウォールではユーザのアイデンティティは認識されないため、アイデンティティに基づいてセキュリティ ポリシーを適用することはできません。ユーザごとにアクセス ポリシーを設定するには、ユーザ認証プロキシを設定する必要があります。これには、ユーザとの対話(ユーザ名とパスワードのクエリー)が必要です。
ASA のアイデンティティ ファイアウォールでは、ユーザのアイデンティティに基づいたより細かなアクセス コントロールが実現されます。送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールとセキュリティ ポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。
アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントと連携する Microsoft Active Directory と統合されます。ASA では、特定の IP アドレスに対する現在のユーザのアイデンティティ情報を取得する情報元として Windows Active Directory を使用し、Active Directory ユーザのトランスペアレント認証を実現します。
アイデンティティに基づくファイアウォール サービスは、送信元 IP アドレスの代わりにユーザまたはグループを指定できるようにすることにより、既存のアクセス コントロールおよびセキュリティ ポリシー メカニズムを拡張します。アイデンティティに基づくセキュリティ ポリシーは、従来の IP アドレス ベースのルール間の制約を受けることなくインターリーブできます。
アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントとの連携により、Microsoft Active Directory と統合されます。
アイデンティティ ファイアウォールは、次の 3 つのコンポーネントにより構成されます。
Active Directory は ASA のアイデンティティ ファイアウォールの一部ですが、管理は Active Directory の管理者が行います。データの信頼性と正確さは、Active Directory のデータによって決まります。
サポートされているバージョンは、Windows 2003、Windows Server 2008、および Windows Server 2008 R2 サーバです。
AD エージェントは Windows サーバ上で実行されます。サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。
![]() (注) | Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。 |
次の図は、 アイデンティティ ファイアウォールのコンポーネントを示しています。次の表は、これらのコンポーネントのロールと相互に通信する方法を示しています。
アイデンティティ ファイアウォールの主な機能は次のとおりです。
ASA は、新しい IP アドレスごとに AD エージェントにクエリを実行するか、ユーザ アイデンティティおよび IP アドレスのデータベース全体のローカル コピーを保持することにより、AD エージェントからユーザ アイデンティティと IP アドレスのマッピングを取得できます。
ユーザ アイデンティティ ポリシーの送信先として、ホスト グループ、サブネット、または IP アドレスをサポートします。
ユーザ アイデンティティ ポリシーの送信元および送信先として、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)をサポートします。
5 タプル ポリシーと ID ベースのポリシーの組み合わせをサポートします。アイデンティティ ベースの機能は、既存の 5 タプル ソリューションと連携して動作します。
リモート アクセス VPN、AnyConnect VPN、L2TP VPN、およびカットスルー プロキシからユーザのアイデンティティ情報を取得します。取得されたすべてのユーザが、AD エージェントに接続しているすべての ASA に読み込まれます。
各 AD エージェントは 100 台の ASA をサポートします。複数の ASA が 1 つの AD エージェントと通信できるため、より大規模なネットワーク展開での拡張性が提供されます。
すべてのドメインが固有の IP アドレスを持つ場合に、30 台の Active Directory サーバをサポートします。
ASA 5500 シリーズ モデルのアクティブなポリシーでサポートされるユーザ アイデンティティと IP アドレスのマッピング エントリは、最大 64,000 個です。この制限により、ポリシーが適用されるユーザの最大数が決まります。すべてのコンテキストに設定された全ユーザを集約したものが、ユーザ総数です。
ASA は、Active Directory からグループ情報を取得し、AD エージェントが送信元 IP アドレスをユーザ アイデンティティにマッピングできない場合に IP アドレスの Web 認証にフォールバックします。
AD エージェントは、いずれかの Active Directory サーバまたは ASA が応答しない場合でも機能し続けます。
ASA でのプライマリ AD エージェントとセカンダリ AD エージェントの設定をサポートします。プライマリ AD エージェントが応答を停止すると、ASA がセカンダリ AD エージェントに切り替えます。
AD エージェントが使用できない場合、ASA はカットスルー プロキシや VPN 認証などの既存のアイデンティティ取得元にフォールバックできます。
環境要件に応じた次の方法で、アイデンティティ ファイアウォールのコンポーネントを展開できます。
次の図 は、冗長性のためのアイデンティティ ファイアウォールのコンポーネントの展開方法を示しています。シナリオ 1 は、コンポーネントの冗長性がない単純なインストールを示しています。シナリオ 2 も、冗長性がない単純なインストールを示しています。ただし、この展開シナリオでは、Active Directory サーバと AD エージェントが同一の Windows サーバに共存しています。
次の図は、冗長性をサポートするためのアイデンティティ ファイアウォールのコンポーネントの展開方法を示しています。シナリオ 1 では、複数の Active Directory サーバと、AD エージェントをインストールした 1 台の Windows サーバを配置しています。シナリオ 2 では、複数の Active Directory サーバと、それぞれ AD エージェントがインストールされた複数の Windows サーバを配置しています。
次の図は、LAN 上にすべてのアイデンティティ ファイアウォール コンポーネント(Active Directory サーバ、AD エージェント、クライアント)がインストールされ通信する方法を示しています。
次の図は、WAN を使用したリモート サイトにまたがる展開方法を示しています。Active Directory サーバと AD エージェントはメイン サイトの LAN 上に配置されています。クライアントはリモート サイトに配置されており、WAN 経由でアイデンティティ ファイアウォール コンポーネントに接続しています。
次の図も WAN を使用したリモート サイトにまたがる展開方法を示しています。Active Directory サーバはメイン サイトの LAN にインストールされています。一方、AD エージェントはリモート サイトに配置され、同じサイト内のクライアントからアクセスされます。リモート クライアントは、WAN 経由でメイン サイトの Active Directory サーバに接続します。
次の図は、リモート サイトを拡張した WAN ベースの展開を示しています。AD エージェントと Active Directory サーバがリモート サイトに配置されています。クライアントは、メイン サイトに配置されているネットワーク リソースにログインする際に、これらのコンポーネントにローカルでアクセスします。リモート Active Directory サーバは、メイン サイトに配置された Active Directory サーバとの間でデータを同期する必要があります。
アイデンティティ ファイアウォールは、ステートフル フェールオーバーがイネーブルになっている場合、ユーザ アイデンティティと IP アドレスのマッピングおよび AD エージェント ステータスのアクティブからスタンバイへの複製をサポートします。ただし、複製されるのは、ユーザ アイデンティティと IP アドレスのマッピング、AD エージェント ステータス、およびドメイン ステータスだけです。ユーザおよびユーザ グループのレコードはスタンバイ ASA に複製されません。
フェールオーバーを設定するときには、スタンバイ ASA についても、AD エージェントに直接接続してユーザ グループを取得するように設定する必要があります。スタンバイ ASA は、アイデンティティ ファイアウォールに NetBIOS プローブ オプションが設定されていても、クライアントに NetBIOS パケットを送信しません。
クライアントが非アクティブであるとアクティブ ASA が判断した場合、情報はスタンバイ ASA に伝搬されます。ユーザ統計情報はスタンバイ ASA に伝搬されません。
フェールオーバーを設定した場合は、AD エージェントをアクティブとスタンバイの両方の ASA と通信するように設定する必要があります。AD エージェント サーバで ASA を設定する手順については、『Installation and Setup Guide for the Active Directory Agent』を参照してください。
NetBIOS プローブが機能するためには、ASA、AD エージェント、およびクライアントを接続するネットワークが UDP でカプセル化された NetBIOS トラフィックをサポートしている必要があります。
アイデンティティ ファイアウォールによる MAC アドレスのチェックは、仲介ルータがある場合は機能しません。同じルータの背後にあるクライアントにログオンしたユーザには、同じ MAC アドレスが割り当てられます。この実装では、ASA がルータの背後の実際の MAC アドレスを特定できないため、同じルータからのパケットはすべてチェックに合格します。
VPN フィルタ ACL でユーザ仕様を使用できますが、ユーザベースのルールは双方向ではなく単方向に解釈され、それが VPN フィルタが通常動作する仕組みです。つまり、ユーザによって開始されたトラフィックに基づいてフィルタリングできますが、フィルタは宛先からユーザに戻るものには適用されません。たとえば、サーバへの ping を特定のユーザに許可するルールを含めることができますが、そのルールでは、サーバがユーザに ping を実行することは許可されません。
次の ASA 機能は、拡張 ACL でのアイデンティティに基づくオブジェクトおよび FQDN の使用をサポートしません。
user-identity update active-user-databaseコマンドを使用して、実行中に AD エージェントからのユーザ IP アドレスのダウンロードを開始できます。
設計的に、前のダウンロード セッションが終了すると、ASA はこのコマンドを再度発行することを許しません。
その結果、ユーザ IP データベースが非常に大きく、前のダウンロード セッションが終了していない場合に、もう一度 user-identity update active-user-databaseコマンドを発行すると、次のエラー メッセージが表示されます。
“ERROR: one update active-user-database is already in progress.”
前のセッションが完全に終了するまで待つ必要があります。その後、別の user-identityupdate active-user-databaseコマンドを発行できます。
この動作のもう 1 つの例は、AD エージェントから ASA へのパケット損失で発生します。
user-identity update active-user-databaseコマンドを発行すると、ASA はダウンロードされるユーザ IP マッピング エントリの総数を要求します。次に AD エージェントは ASA への UDP 接続を開始し、許可要求パケットの変更を送信します。
何らかの理由でパケットが失われた場合、ASA にはこれを検出する機能はありません。その結果 ASA は 4~5 分間セッションを維持し、user-identity update active-user-database コマンドを発行すると、このエラー メッセージを表示し続けます。
ASA または Cisco Ironport Web Security Appliance(WSA)とともに Cisco Context Directory Agent(CDA)を使用する場合は、次のポートを開くことを確認してください。
user-identityactiondomain-controller-down domain_namedisableuser-identity-rule コマンドが設定されていて指定されたドメインがダウンしている場合、または user-identityactionad-agent-downdisableuser-identity-rule コマンドが設定されていて AD エージェントがダウンしている場合は、ログイン中のユーザのステータスは無効になります。
ドメイン名では \/:*?"<>| の文字は無効です。命名規則については、http://support.microsoft.com/kb/909264 を参照してください。
アイデンティティ ファイアウォールで設定した AD エージェントからユーザ情報を取得する方法によって、この機能が使用するメモリの量が変わります。ASA がオン デマンド取得とフル ダウンロード取得のどちらを使用するかを指定します。on-demand を選択すると、受信パケットのユーザだけが取得および保存されるためにメモリの使用量が少なくなるというメリットがあります。
AD エージェントは、ASA がアクセスできる Windows サーバにインストールする必要があります。さらに、AD エージェントを Active Directory サーバから情報を取得し、ASA と通信するように設定します。
サポートされる Windows サーバは、Windows 2003、Windows 2008、および Windows 2008 R2 です。
![]() (注) | Windows 2003 R2 は、AD エージェント サーバとしてはサポートされていません。 |
AD エージェントをインストールし設定する手順については、『Installation and Setup Guide for the Active Directory Agent』を参照してください。
ASA に AD エージェントを設定する前に、AD エージェントと ASA が通信に使用する秘密キーの値を取得します。この値は AD エージェントと ASA で一致している必要があります。
Microsoft Active Directory は、Windows サーバにインストールされ、ASA からアクセス可能である必要があります。サポートされているバージョンは、Windows 2003、2008、および 2008 R2 サーバです。
ASA に Active Directory サーバを設定する前に、Active Directory に ASA のユーザ アカウントを作成します。
さらに、ASA は、LDAP 上でイネーブルになった SSL を使用して、暗号化されたログイン情報を Active Directory サーバに送信します。Active Directory で SSL をイネーブルにする必要があります。Active Directory で SSL をイネーブルにする方法については、Microsoft Active Directory のマニュアルを参照してください。
ASA が AD エージェントから IP とユーザのマッピングを受信するときに、特定のドメインから Active Directory グループをダウンロードし、ユーザ アイデンティティを受け取るためには、ASA 上の Active Directory ドメイン設定が必要となります。
AD エージェント サーバ グループのプライマリ AD エージェントとセカンダリ AD エージェントを設定します。プライマリ AD エージェントが応答していないことを ASA が検出し、セカンダリ エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの Active Directory サーバは、通信プロトコルとして RADIUS を使用します。そのため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。
Identity-Based ポリシーは、多くの ASA 機能に組み込むことができます。拡張 ACL を使用する機能([Guidelines] セクションでサポート対象外としてリストされている機能を除く)でアイデンティティ ファイアウォールを使用できます。拡張 ACL に、ネットワークベースのパラメータとともにユーザ アイデンティティ引数を追加できるようになりました。
アクセス ルール:アクセス ルールは、ネットワーク情報を使用してインターフェイスのトラフィックを許可または拒否します。アイデンティティ ファイアウォールを使用して、ユーザ アイデンティティに基づいてアクセスを制御できるようになりました。
AAA ルール:認証ルール(「カットスルー プロキシ」とも呼ばれます)は、ユーザに基づいてネットワーク アクセスを制御します。この機能がアクセス ルールとアイデンティティ ファイアウォールに非常に似ているため、AAA ルールは、ユーザの AD ログインの期限が切れた場合、認証のバックアップ方式として使用できます。たとえば、有効なログインのないユーザの場合、AAA ルールをトリガーできます。AAA ルールが有効なログインがないユーザに対してだけトリガーされるようにするには、拡張 ACL でアクセス ルールと AAA ルールに使用される特別なユーザ名 None(有効なログインのないユーザ)および Any(有効なログインを持つユーザ)を指定します。アクセス ルールでは、ユーザおよびグループのポリシーを通常どおりに設定しますが、すべての None ユーザを許可する AAA ルールを含めます。これらのユーザが後で AAA ルールをトリガーできるように、これらのユーザを許可する必要があります。次に、Any ユーザ(これらのユーザは、AAA ルールの対象ではなく、アクセス ルールによってすでに処理されています)を拒否し、すべての None ユーザを許可する AAA ルールを設定します。次に例を示します。
access-list 100 ex permit ip user CISCO\xyz any any access-list 100 ex deny ip user CISCO\abc any any access-list 100 ex permit ip user NONE any any access-list 100 ex deny any any access-group 100 in interface inside access-list 200 ex deny ip user ANY any any access-list 200 ex permit user NONE any any aaa authenticate match 200 inside user-identity
クラウド Web セキュリティ:クラウド Web セキュリティ プロキシ サーバに送信されるユーザを制御できます。また、クラウド Web セキュリティに送信される ASA トラフィック ヘッダーに含まれているユーザ グループに基づくクラウド Web セキュリティ ScanCenter ポリシーを設定できます。
VPN フィルタ:通常、VPN はアイデンティティ ファイアウォール ACL をサポートしませんが、VPN トラフィックにアイデンティティに基づくアクセス ルールを適用するように ASA を設定できます。デフォルトでは、VPN トラフィックはアクセス ルールの対象になりません。VPN クライアントをアイデンティティ ファイアウォール ACL(no sysopt connection permit-vpnコマンドによる)を使用するアクセス ルールに強制的に従わせることができます。また、アイデンティティ ファイアウォール ACL を VPN フィルタ機能とともに使用できます。VPN フィルタは、アクセス ルールを一般的に許可することで同様の効果を実現します。
モジュラ ポリシー フレームワークによるユーザの統計情報の収集とアイデンティティ ファイアウォールの一致ルックアップ アクションをアクティブにするには、次の手順を実行します。
user-statistics [accounting | scanning] 例: ciscoasa(config)# class-map c-identity-example-1 ciscoasa(config-cmap)# match access-list identity-example-1 ciscoasa(config-cmap)# exit ciscoasa(config)# policy-mapp-identity-example-1 ciscoasa(config-pmap)# class c-identity-example-1 ciscoasa(config-pmap)# user-statistics accounting ciscoasa(config-pmap)# exit ciscoasa(config)# service-policy p-identity-example-1 interface outside accounting キーワードは、ASA が送信パケット カウント、送信ドロップ カウント、受信パケット カウントを収集することを指定します。scanning キーワードは、ASA が送信ドロップ カウントだけを収集することを指定します。 ユーザ統計情報を収集するようポリシー マップを設定すると、ASA は選択したユーザの詳細な統計情報を収集します。user-statistics コマンドを accounting または scanning キーワードなしで指定すると、ASA はアカウティング統計とスキャニング統計の両方を収集します。 |
次の例は、ユーザが ASA を介してログインすることを可能にする典型的なカットスルー プロキシ設定を示します。この例は次の条件に基づいています。
エンド ユーザ クライアントは、IP アドレスが 172.1.1.118 であり、HTTPS を使用して Web ポータル経由でログインします。
ASA は、内部インターフェイスを使用して企業ネットワーク上の Active Directory ドメイン コントローラに接続します。
ciscoasa(config)# access-list AUTH extended permit tcp any 172.1.1.118 255.255.255.255 eq http ciscoasa(config)# access-list AUTH extended permit tcp any 172.1.1.118 255.255.255.255 eq https ciscoasa(config)# aaa-server LDAP protocol ldap ciscoasa(config-aaa-server-group)# aaa-server LDAP (inside) host 171.1.2.93 ciscoasa(config-aaa-server-host)# ldap-base-dn DC=cisco,DC=com ciscoasa(config-aaa-server-host)# ldap-group-base-dn DC=cisco,DC=com ciscoasa(config-aaa-server-host)# ldap-scope subtree ciscoasa(config-aaa-server-host)# ldap-login-dn cn=kao,OU=Employees,OU=CiscoUsers,DC=cisco,DC=com ciscoasa(config-aaa-server-host)# ldap-login-password ***** ciscoasa(config-aaa-server-host)# ldap-over-ssl enable ciscoasa(config-aaa-server-host)# server-type microsoft ciscoasa(config-aaa-server-host)# aaa authentication match AUTH inside LDAP ciscoasa(config)# ciscoasa(config)# http server enable ciscoasa(config)# http 0.0.0.0 0.0.0.0 inside ciscoasa(config)# ciscoasa(config)# auth-prompt prompt Enter Your Authentication ciscoasa(config)# auth-prompt accept You are Good ciscoasa(config)# auth-prompt reject Goodbye
access-list コマンドでは、未認証の着信ユーザが AAA カットスルー プロキシをトリガーできるように、access-list 100 ex deny any any コマンドを入力する前に permit user NONE ルールを設定する必要があります。
auth access-list コマンドでは、permit user NONE ルールにより、未認証のユーザだけがカットスルー プロキシをトリガーします。これらを最後の行に指定することが理想的です。
ciscoasa(config)# access-list listenerAuth extended permit tcp any any ciscoasa(config)# aaa authentication match listenerAuth inside ldap ciscoasa(config)# aaa authentication listener http inside port 8888 ciscoasa(config)# access-list 100 ex permit ip user SAMPLE\user1 any any ciscoasa(config)# access-list 100 ex deny ip user SAMPLE\user2 any any ciscoasa(config)# access-list 100 ex permit ip user NONE any any ciscoasa(config)# access-list 100 ex deny any any ciscoasa(config)# access-group 100 in interface inside ciscoasa(config)# aaa authenticate match 200 inside user-identity
ASA は、VPN 認証または Web ポータル(カットスルー プロキシ)によってログインしたユーザを AD エージェントに報告し、AD エージェントがユーザ情報を登録されているすべての ASA デバイスに配布します。具体的には、認証されたユーザの IP とユーザのマッピングが、HTTP/HTTPS パケットを受信して認証する入力インターフェイスを含むすべての ASA コンテキストに転送されます。ASA は、VPN 経由でログインするユーザを LOCAL ドメインに属するユーザと見なします。
VPN ユーザにアイデンティティ ファイアウォールのルールを適用するには 2 種類の方法があります。
インターフェイス アクセス ルール(アイデンティティ ファイアウォール ルールが含まれている場合があります)が VPN ユーザに適用されていることを確認します。
インターフェイス アクセス リストをバイパスしますが、VPN トラフィックに VPN フィルタを適用します。VPN フィルタには、アイデンティティ ファイアウォール ルールを含めることができます。
次のトピックに例を示します。
デフォルトでは sysopt connection permit-vpn コマンドがイネーブルになり、VPN トラフィックはアクセス リスト チェックの対象外となります。VPN トラフィックにインターフェイスに基づく ACL ルールを適用するには、VPN トラフィック アクセス リストのバイパスを無効にする必要があります。
この例では、ユーザが外部インターフェイスからログインすると、アイデンティティ ファイアウォール ルールはアクセス可能なネットワーク リソースを制御します。すべての VPN ユーザは LOCAL ドメインに保存されます。したがって、LOCAL ユーザまたは LOCAL ユーザを含むオブジェクト グループへのルールの適用のみが意味を持ちます。
! Apply VPN-Filter with bypassing access-list check disabled no sysopt connection permit-vpn access-list v1 extended deny ip user LOCAL\idfw any 10.0.0.0 255.255.255.0 access-list v1 extended permit ip user LOCAL\idfw any 20.0.0.0 255.255.255.0 access-group v1 in interface outside
デフォルトでは sysopt connection permit-vpn コマンドがイネーブルになり、VPN トラフィックはアクセス リスト チェックの対象外となります。VPN フィルタを使用して、VPN トラフィックにアイデンティティ ファイアウォール ルールを適用できます。ユーザ名とグループ ポリシーのアイデンティティ ファイアウォール ルールを使用して VPN フィルタを定義できます。
この例では、ユーザ idfw がログインすると、ユーザは、 10.0.00/24 サブネットのネットワーク リソースにアクセスできます。これに対し、ユーザ user1 がログインした場合は、10.0.00/24 サブネット内のネットワーク リソースへのアクセスは拒否されます。すべての VPN ユーザが LOCAL ドメインに保存されることに注意してください。したがって、LOCAL ユーザまたは LOCAL ユーザを含むオブジェクト グループへのルールの適用のみが意味を持ちます。
![]() (注) | VPN フィルタ ACL でユーザ仕様を使用できますが、ユーザベースのルールは双方向ではなく単方向に解釈されます。通常はそのように VPN フィルタが動作します。つまり、ユーザによって開始されたトラフィックに基づいてフィルタリングできますが、フィルタは宛先からユーザに戻るものには適用されません。たとえば、サーバへの ping を特定のユーザに許可するルールを含めることができますが、そのルールでは、サーバがユーザに ping を実行することは許可されません。 |
! Apply VPN-Filter with bypassing access-list check enabled sysopt connection permit-vpn access-list v1 extended permit ip user LOCAL\idfw any 10.0.0.0 255.255.255.0 access-list v2 extended deny ip user LOCAL\user1 any 10.0.0.0 255.255.255.0 username user1 password QkBIIYVi6IFLEsYv encrypted privilege 0 username user1 attributes vpn-group-policy group1 vpn-filter value v2 username idfw password eEm2dmjMaopcGozT encrypted username idfw attributes vpn-group-policy testgroup vpn-filter value v1 sysopt connection permit-vpn access-list v1 extended permit ip user LOCAL\idfw any 10.0.0.0 255.255.255.0 access-list v1 extended deny ip user LOCAL\user1 any 10.0.0.0 255.255.255.0 group-policy group1 internal group-policy group1 attributes vpn-filter value v1 vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless
user-identity enable、user-identity default-domain、user-identity domain、user-identity logout-probe、user-identity inactive-user-timer、user-identity poll-import-user-group-timer、user-identity action netbios-response-fail、user-identity user-not-found、user-identity action ad-agent-down、user-identity action mac-address-mismatch、user-identity action domain-controller-down、user-identity ad-agent active-user-database、user-identity ad-agent hello-timer、user-identity ad-agent aaa-server、user-identity update import-user、dns domain-lookup、dns poll-timer、dns expire-entry-timer、object-group user, show user-identity、show dns、clear configure user-identity、clear dns、debug user-identity の各コマンドが導入または変更されました。 |