カットスルーと直接の ASA 認証の設定例

カットスルーと直接の ASA 認証の設定例
目次
概要
前提条件
要件
使用するコンポーネント
表記法
カットスルー
直接認証
関連情報
概要
このドキュメントでは、カットスルーと直接 ASA 認証を設定する方法について説明します。
注:Blayne Dreier によって貢献される、Cisco TAC エンジニア。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Adaptive Security Appliance(ASA)に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ
てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
カットスルー
カットスルー 認証は AAA認証 include コマンドで前もって設定されました。 この場合、AAA認証一致 コマンドは使用されま
す。 トラフィックは AAA認証一致 コマンドによって参照されるアクセス リストで認証を必要とする許可されます、特定のトラ
フィックが ASA を通して許可される前にホストを認証します。
Webトラフィック 認証のための設定例はここにあります:
username cisco password cisco privilege 15
access-list authmatch permit tcp any any eq 80
aaa authentication match authmatch inside LOCAL
HTTP が ASA が認証をインジェクトできるプロトコルであるのでこのソリューションがはたらくことに注目して下さい。 ASA は
HTTPトラフィックを代行受信し、HTTP認証によってそれを認証します。 認証がインラインにインジェクトされるので、HTTP認証
ダイアログボックスはこのイメージに示すように Webブラウザに現われます:
直接認証
直接認証は AAA認証で含んでいます仮想 な <protocol > コマンド前もって設定され。 この場合、AAA認証一致および AAA認証リ
スナー コマンドは使用されます。
認証を元々サポートしないプロトコルの場合(すなわち、認証 チャレンジがインラインにある場合がないプロトコル)、直接
ASA 認証は設定することができます。 デフォルトで、ASA は認証要求を聞き取りません。 リスナーは AAA認証リスナー コマン
ドで特定のポートおよびインターフェイスで設定することができます。
一度ずっとホストが認証されている ASA を通して TCP/3389 トラフィックを可能にする設定例はここにあります:
username cisco password cisco privilege 15
access-list authmatch permit tcp any any eq 3389
access-list authmatch permit tcp any host 10.245.112.1 eq 5555
aaa authentication match authmatch inside LOCAL
aaa authentication listener http inside port 5555
リスナー(TCP/5555)によって使用するポート番号に注意して下さい。 提示非対称多重処理システム表 ソケット コマンド 出力
は ASA が規定 された(中)インターフェイスに割り当てられる IP アドレスでこのポートに今 Connection 要求を聞き取ること
を示します。
ciscoasa(config)# show asp table socket
Protocol Socket
TCP
Local Address
000574cf 10.245.112.1:5555
Foreign Address
State
0.0.0.0:*
LISTEN
ciscoasa(config)#
ASA が上で示されているで設定された後、TCPポート 3389 の外部ホストへの ASA を通した接続の試みは接続否定という結果に終
ります。 ユーザは割り当てられるべき TCP/3389 トラフィックのために最初に認証を受ける必要があります。
直接認証はユーザが ASA に直接ブラウズするように要求します。 http:// <asa_ip に > 参照すれば: <port は >、404 エラー
ので ASA の Webサーバのルートで存在 する Webページ戻りません。
その代り、http:// <asa_ip に > 直接参照して下さい: <listener_port >/netaccess/connstatus.html。 ログイン ページは認
証 資格情報を提供できるこの URL に常駐します。
この設定では、直接認証 トラフィックは authmatch access-list の一部です。 このアクセス制御エントリなしで、http://
<asa_ip に > 参照するとき、ユーザ認証必要となりません予想外メッセージを、ユーザ認証のような受け取るかもしれません:
<listener_port >/netaccess/connstatus.html。
認証に成功した後、TCP/3389 の外部サーバに ASA を通って接続できます。
関連情報
トラブルシューティング テクニカルノーツ
1992 - 2015 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 12 月 25 日
http://www.cisco.com/cisco/web/support/JP/111/1110/1110117_asa-cut-through-config-00.html
Document ID: 113363