カットスルーと直接の ASA 認証の設定例目次概要前提条件要件使用するコンポーネント表記法カットスルー直接認証関連情報概要このドキュメントでは、カットスルーと直接 ASA 認証を設定する方法について説明します。注：Blayne Dreier によって貢献される、Cisco TAC エンジニア。前提条件要件このドキュメントに関する固有の要件はありません。使用するコンポーネントこのドキュメントの情報は、Cisco Adaptive Security Appliance（ASA）に基づくものです。このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。表記法ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。カットスルーカットスルー認証は AAA認証 include コマンドで前もって設定されました。この場合、AAA認証一致コマンドは使用されます。トラフィックは AAA認証一致コマンドによって参照されるアクセスリストで認証を必要とする許可されます、特定のトラフィックが ASA を通して許可される前にホストを認証します。 Webトラフィック認証のための設定例はここにあります: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 80 aaa authentication match authmatch inside LOCAL HTTP が ASA が認証をインジェクトできるプロトコルであるのでこのソリューションがはたらくことに注目して下さい。 ASA は HTTPトラフィックを代行受信し、HTTP認証によってそれを認証します。認証がインラインにインジェクトされるので、HTTP認証ダイアログボックスはこのイメージに示すように Webブラウザに現われます: 直接認証直接認証は AAA認証で含んでいます仮想な <protocol > コマンド前もって設定され。この場合、AAA認証一致および AAA認証リスナーコマンドは使用されます。認証を元々サポートしないプロトコルの場合（すなわち、認証チャレンジがインラインにある場合がないプロトコル）、直接 ASA 認証は設定することができます。デフォルトで、ASA は認証要求を聞き取りません。リスナーは AAA認証リスナーコマンドで特定のポートおよびインターフェイスで設定することができます。一度ずっとホストが認証されている ASA を通して TCP/3389 トラフィックを可能にする設定例はここにあります: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 3389 access-list authmatch permit tcp any host 10.245.112.1 eq 5555 aaa authentication match authmatch inside LOCAL aaa authentication listener http inside port 5555 リスナー（TCP/5555）によって使用するポート番号に注意して下さい。提示非対称多重処理システム表ソケットコマンド出力は ASA が規定された（中）インターフェイスに割り当てられる IP アドレスでこのポートに今 Connection 要求を聞き取ることを示します。 ciscoasa(config)# show asp table socket Protocol Socket TCP Local Address 000574cf 10.245.112.1:5555 Foreign Address State 0.0.0.0:* LISTEN ciscoasa(config)# ASA が上で示されているで設定された後、TCPポート 3389 の外部ホストへの ASA を通した接続の試みは接続否定という結果に終ります。ユーザは割り当てられるべき TCP/3389 トラフィックのために最初に認証を受ける必要があります。直接認証はユーザが ASA に直接ブラウズするように要求します。 http:// <asa_ip に > 参照すれば: <port は >、404 エラーので ASA の Webサーバのルートで存在する Webページ戻りません。その代り、http:// <asa_ip に > 直接参照して下さい: <listener_port >/netaccess/connstatus.html。ログインページは認証資格情報を提供できるこの URL に常駐します。この設定では、直接認証トラフィックは authmatch access-list の一部です。このアクセス制御エントリなしで、http:// <asa_ip に > 参照するとき、ユーザ認証必要となりません予想外メッセージを、ユーザ認証のような受け取るかもしれません: <listener_port >/netaccess/connstatus.html。認証に成功した後、TCP/3389 の外部サーバに ASA を通って接続できます。関連情報トラブルシューティングテクニカルノーツ 1992 - 2015 Cisco Systems, Inc. All rights reserved. Updated: 2014 年 12 月 25 日 http://www.cisco.com/cisco/web/support/JP/111/1110/1110117_asa-cut-through-config-00.html Document ID: 113363