APPENDIX D 認可および認証用の外部サーバの設定 この付録では、適応型セキュリティ アプライアンスで AAA をサポートするための外部 LDAP、 RADIUS、または TACACS+ サーバの設定方法について説明します。外部サーバを使用するように適 応型セキュリティ アプライアンスを設定する前に、正しい適応型セキュリティ アプライアンス認証ア トリビュートでサーバを設定し、それらのアトリビュートのサブセットから個々のユーザに対する個別 の許可を割り当てる必要があります。 この付録では、次の項目について説明します。 • 「権限およびアトリビュートのポリシー実施の概要」(P.D-2) • 「外部 LDAP サーバの設定」(P.D-3) • 「外部 RADIUS サーバの設定」(P.D-28) • 「外部 TACACS+ サーバの設定」(P.D-37) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-1 付録 D 認可および認証用の外部サーバの設定 権限およびアトリビュートのポリシー実施の概要 権限およびアトリビュートのポリシー実施の概要 適応型セキュリティ アプライアンスは、ユーザ認可アトリビュート(ユーザ権利またはユーザ権限と も呼ばれる)を VPN 接続に適用するためのいくつかの方法をサポートしています。ユーザ アトリ ビュートを、適応型セキュリティ アプライアンスの Dynamic Access Policy(DAP; ダイナミック アク セス ポリシー)から、外部認証サーバや認可 AAA サーバ(RADIUS または LDAP)から、セキュリ ティ アプライアンスのグループポリシーから、またはこれら 3 つのすべてから取得できるように適応 型セキュリティ アプライアンスを設定できます。 セキュリティ アプライアンスがすべてのソースからアトリビュートを受信すると、それらのアトリ ビュートは評価および集約され、ユーザ ポリシーに適用されます。DAP、AAA サーバ、またはグルー プポリシーから取得したアトリビュートの間で衝突がある場合、DAP から取得したアトリビュートが 常に優先されます。 セキュリティ アプライアンスは、次の順序でアトリビュートを適用します(図 D-1 も参照してくださ い)。 1. 適応型セキュリティ アプライアンスの DAP アトリビュート:バージョン 8.0 に導入され、最も優 先されます。DAP にブックマーク /URL リストを設定した場合、そのリストはグループポリシー のブックマーク /URL リスト セットよりも優先されます。 2. AAA サーバのユーザ アトリビュート:ユーザ認証または認可が成功すると、AAA サーバはこれ らのアトリビュートを返します。これらのアトリビュートを、適応型セキュリティ アプライアン スのローカル AAA データベースの個々のユーザに設定されているアトリビュート(ASDM の ユーザ アカウント)と混同しないでください。 3. 適応型セキュリティ アプライアンスで設定されたグループポリシー:RADIUS サーバがユーザに 対して RADIUS CLASS アトリビュート IETF-Class-25(OU=<group-policy>)の値を返す場合、 適応型セキュリティ アプライアンスは、ユーザを同じ名前のグループポリシーに配置し、サーバ から返されないすべてのアトリビュートをそのグループポリシーで適用します。 LDAP サーバでは、任意のアトリビュート名を使用してセッションのグループポリシーを設定でき ます。適応型セキュリティ アプライアンスで設定した LDAP アトリビュート マップは、LDAP ア トリビュートを Cisco アトリビュート IETF-Radius-Class にマッピングします。 4. 接続プロファイル(CLI のトンネル グループと呼ばれる ) で割り当てられたグループポリシー:接 続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループポリ シーが含まれています。適応型セキュリティ アプライアンスに接続するすべてのユーザは、最初 にこのグループに所属します。このグループでは、DAP、サーバから返されるユーザ アトリ ビュート、またはユーザに割り当てられるグループポリシーで不足しているすべてのアトリビュー トが提供されます。 5. 適応型セキュリティ アプライアンスで割り当てられたデフォルトのグループポリシー (DfltGrpPolicy):システムのデフォルト アトリビュートは、DAP、ユーザ アトリビュート、グ ループポリシー、または接続プロファイルで不足している値を提供します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-2 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 D-1 ポリシー実施フロー 外部 LDAP サーバの設定 VPN 3000 コンセントレータと ASA/PIX 7.0 では、認証作業に Cisco LDAP スキーマが必要でした。 バージョン 7.1.x 以降では、適応型セキュリティ アプライアンスは、ネイティブ LDAP スキーマを使 用して認証および認可を行うため、Cisco スキーマは必要とされません。 認可(権限ポリシー)の設定は、LDAP アトリビュート マップを使用して行います。例については、 「Active Directory/LDAP VPN のリモート アクセス認可の使用例」(P.D-17)を参照してください。 この項では、LDAP サーバの構造、スキーマ、およびアトリビュートについて説明します。次の項目 について説明します。 • 「LDAP 操作のためのセキュリティ アプライアンスの構成」(P.D-3) • 「セキュリティ アプライアンスの LDAP コンフィギュレーションの定義」(P.D-6) • 「Active Directory/LDAP VPN のリモート アクセス認可の使用例」(P.D-17) 上記のプロセスは、使用する LDAP サーバのタイプによって異なります。 (注) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。 LDAP 操作のためのセキュリティ アプライアンスの構成 この項では、LDAP 階層、および適応型セキュリティ アプライアンスの LDAP サーバへの認証済みバ インディング内で検索を実行する方法について説明します。次の項目について説明します。 • 「階層の検索」(P.D-4) • 「セキュリティ アプライアンスと LDAP サーバのバインディング」(P.D-5) • 「Active Directory の Login DN の例」(P.D-5) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-3 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえ ば、Example Corporation という企業の従業員 Terry を例に考えてみます。Terry はエンジニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができます。Terry を Example Corporation のメンバーと想定して、浅いシングルレベルの階層をセットアップすることを 決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この場合、Terry は Engineering 部門のメンバーであると想定され、この部門は People と呼ばれる組織ユニットのメン バーであり、Example Corporation のメンバーです。マルチレベルの階層の例については、図 D-2 を参 照してください。 マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が迅速に検索できます。 図 D-2 マルチレベルの LDAP 階層 Example.com.com ˖ಅƷ LDAP ᨞ޖ dc = ExampleCorpޔdc = com ⸳ cn = terry ࡑࠤ࠹ࠖࡦࠣ cn = robin cn = bobbie OU=Organization Units ᲢኵጢȦȋȃȈᲣ ੱ ǰȫȸȗ/ᢿᧉ cn = lynn ȦȸǶ 148997 ੱ᧚ ࠛࡦࠫ࠾ࠕࡦࠣ ȫȸȈ/ɥˮ 階層の検索 適応型セキュリティ アプライアンスでは、LDAP 階層内での検索を調整できます。適応型セキュリ ティ アプライアンスに次の 3 種類のフィールドを設定すると、LDAP 階層での検索開始場所とその範 囲、および検索する情報のタイプを定義できます。これらのフィールドを組み合せて使用することによ り、ユーザの権限が含まれているツリーの部分だけを検索するように階層の検索を限定できます。 • LDAP Base DN は、サーバが適応型セキュリティ アプライアンスから認可要求を受信したときに ユーザ情報の検索を開始する LDAP 階層を定義します。 • Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりも かなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツ リー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索 の方が広範囲に検索できます。 • Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な 名前アトリビュートには、cn(通常名)、sAMAccountName、および userPrincipalName を含める ことができます。 図 D-2 では、Example Corporation で可能な LDAP 階層の例を示します。この階層が指定されると、 複数の方法で検索を定義できます。表 D-1 は、使用可能な 2 種類の検索のコンフィギュレーションを 示します。 最初のコンフィギュレーションの例では、Terry が必要な LDAP 認可を得て自身の IPSec トンネル接続 を確立すると、適応型セキュリティ アプライアンスは LDAP サーバに検索要求を送信します。この要 求では、サーバが Terry を代行して Engineering グループの検索を実行することを指定します。この検 索は短時間でできます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-4 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 2 番目のコンフィギュレーションの例では、適応型セキュリティ アプライアンスは、Terry を代行して サーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間 がかかります。 表 D-1 検索コンフィギュレーションの例 # LDAP Base DN 検索範囲 名前アトリ ビュート 結果 1 group= Engineering,ou=People,dc=ExampleCorporation, dc=com 1 レベル cn=Terry 検索が高速 2 dc=ExampleCorporation,dc=com サブツリー cn=Terry 検索に時間がかかる セキュリティ アプライアンスと LDAP サーバのバインディング 一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、適応型セキュリティ アプライアン スに対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハン ドシェイクを確立することを要求します。適応型セキュリティ アプライアンスは、Login Distinguished Name(DN; 認定者名)とログイン パスワードを使用して、LDAP サーバとの信頼(バ インド)を築きます。Login DN は、管理者がバインディングに使用する LDAP サーバのユーザ レ コードを表します。 バインディング時、適応型セキュリティ アプライアンスは、サーバに対する認証を Login DN とログ イン パスワードを使用して行います。Microsoft Active Directory の読み取り専用操作(認証、認可、 グループ検索など)を行うとき、セキュリティ アプライアンスは特権の低い Login DN とバインドで きます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユー ザを指定することができます。VPN のパスワード管理操作では、Login DN にはより高い特権が必要と なり、AD の Account Operators グループの一部を指定する必要があります。 Login DN の例を次に示します。 cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com セキュリティ アプライアンスは次の項目をサポートしています。 • 暗号化されていないパスワードを使用したポート 389 での簡易 LDAP 認証 • ポート 636 でのセキュアな LDAP(LDAP-S) • Simple Authentication and Security Layer(SASL)MD5 • SASL Kerberos セキュリティ アプライアンスは匿名認証をサポートしていません。 (注) LDAP クライアントとして、適応型セキュリティ アプライアンスは、匿名のバインドまたは要求の送 信をサポートしていません。 Active Directory の Login DN の例 Login DN は、ユーザ検索が行われる前に、適応型セキュリティ アプライアンスがバインドの交換中に LDAP クライアントと LDAP サーバ間の信頼性を確立するために使用する LDAP サーバ上のユーザ名 です。 VPN の認証 / 認可の操作、および、バージョン 8.0.4 以降の AD グループの取得 (password-management の変更が不要なときの読み取り専用操作)では、特権の低い Login DN を使用 できます。たとえば、Login DN には、Domain Users グループの memberOf で指定されているユーザ を指定できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-5 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 VPN の password-management の変更では、Login DN にはアカウント オペレータの特権が必要となり ます。 これらのいずれの場合でも、Login/Bind DN には、スーパーユーザ レベルの特権は必要ありません。 特定の Login DN 要件については、LDAP アドミニストレータ ガイドを参照してください。 セキュリティ アプライアンスの LDAP コンフィギュレーションの定義 この項では、LDAP AV-pair アトリビュート シンタックスの定義方法について説明します。次の項目に ついて説明します。 • 「LDAP 認可でサポートされている Cisco アトリビュート」(P.D-6) • 「Cisco-AV-Pair アトリビュート シンタックス」(P.D-14) • 「Cisco-AV-Pair の ACL 例」(P.D-15) (注) 適応型セキュリティ アプライアンスは、数値の ID ではなくアトリビュート名に基づいて LDAP アト リビュートを使用します。一方、RADIUS アトリビュートには、名前ではなく数値の ID が使用されま す。 認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバまたは認可サーバ として定義されている LDAP サーバは、権限またはアトリビュートが設定されている場合はこれらを 使用します。 ソフトウェア バージョン 7.0 の LDAP アトリビュートには、cVPN3000 プレフィックスが含まれてい ます。バージョン 7.1 以降では、このプレフィックスは削除されています。 LDAP 認可でサポートされている Cisco アトリビュート この項では、ASA 5500、VPN 3000、および PIX 500 シリーズの適応型セキュリティ アプライアンス で使用されるアトリビュートの詳細なリスト(表 D-2)を示します。この表には、これらの適応型セ キュリティ アプライアンスを組み合わせたネットワーク構成に役立つ VPN 3000 と PIX 500 シリーズ のアトリビュート サポート情報が含まれています。 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート Access-Hours VPN 3000 Y ASA PIX Y Y シンタック ス / タイプ 文字列 シングルまた はマルチ値 有効な値 シングル time-range の名前 (Business-Hours など) Allow-Network-Extension- Mode Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル Authenticated-User-Idle- Timeout Y Y Y 整数 シングル Authorization-Required Y 整数 シングル 1 ~ 35791394 分 0 = No 1 = Yes Authorization-Type Y 整数 シングル アトリビュート名 / 0 = なし 1 = RADIUS 2 = LDAP Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-6 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 Banner1 Y Y Y 文字列 シングル クライアントレス SSL VPN、ク ライアント SSL VPN、および IPSec クライアントのバナー文 字列 Banner2 Y Y Y 文字列 シングル クライアントレス SSL VPN、ク ライアント SSL VPN、および IPSec クライアントのバナー文 字列 Cisco-AV-Pair Y Y Y 文字列 マルチ 次の形式のオクテット文字列: [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 詳細については、 「Cisco-AV-Pair アトリビュート シンタックス」を参照してくだ さい。 Cisco-IP-Phone-Bypass Y Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Cisco-LEAP-Bypass Y Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Client-Intercept-DHCPConfigure-Msg Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル Client-Type-Version-Limiting Y Y Y 文字列 シングル IPSec VPN クライアントのバー ジョン番号を示す文字列 Confidence-Interval Y Y Y 整数 シングル 10 ~ 300 秒 DHCP-Network-Scope Y Y Y 文字列 シングル IP アドレス DN-Field Y Y Y 文字列 シングル 有効な値:UID、OU、O、CN、 L、SP、C、EA、T、N、GN、 SN、I、GENQ、DNQ、SER、 use-entire-name Firewall-ACL-In Y Y 文字列 シングル アクセスリスト ID Firewall-ACL-Out Y Y 文字列 シングル アクセスリスト ID Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-7 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 Group-Policy ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 Y 文字列 シングル Y リモート アクセス VPN セッ ションのグループポリシーを設 定します。バージョン 8.2 以降 では、IETF-Radius-Class の代 わりにこのアトリビュートを使 用します。次の 3 つの形式のい ずれかを使用できます。 • < グループポリシー名 > • OU=< グループポリシー名 > • OU=< グループポリシー名 >; IE-Proxy-Bypass-Local ブーリアン シングル 0 = ディセーブル 1 = イネーブル IE-Proxy-Exception-List 文字列 シングル DNS ドメインのリスト。エント リは改行文字シーケンス(\n) で区切る必要があります。 整数 シングル 1 = プロキシ設定を変更しない 2 = プロキシを使用しない 3 = 自動検出 4 = 適応型セキュリティ アプラ IE-Proxy-Method Y Y Y IE-Proxy-Server Y Y Y IETF-Radius-Class Y Y Y イアンス設定を使用する 整数 シングル IP アドレス シングル リモート アクセス VPN セッ ションのグループポリシーを設 定します。バージョン 8.2 以降 では、Group-Policy アトリ ビュートの使用をお勧めします。 次の 3 つの形式のいずれかを使 用できます。 • < グループポリシー名 > • OU=< グループポリシー名 > • OU=< グループポリシー名 >; IETF-Radius-Filter-Id Y Y Y 文字列 シングル 適応型セキュリティ アプライア ンスで定義されたアクセスリス ト名 IETF-Radius-Framed-IP-Address Y Y Y 文字列 シングル IP アドレス IETF-Radius-Framed-IP-Netmask Y Y Y 文字列 シングル IP アドレス マスク IETF-Radius-Idle-Timeout Y Y Y 整数 シングル 秒 IETF-Radius-Service-Type Y Y Y 整数 シングル 1 = Login 2 = Framed 6 = Administrative 7 = NAS Prompt Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-8 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 IETF-Radius-Session-Timeout Y Y Y 整数 シングル 秒 IKE-Keep-Alives Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル IPSec-Allow-Passwd-Store Y Y Y ブーリアン シングル IPSec-Authentication Y Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル 0 = なし 1 = RADIUS 2 = LDAP(認可のみ) 3 = NT ドメイン 4 = SDI(RSA) 5 = 内部 6 = RADIUS での Expiry 認証 7 = Kerberos/Active Directory IPSec-Auth-On-Rekey Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル IPSec-Backup-Server-List Y Y Y 文字列 シングル サーバ アドレス(スペース区切 り) IPSec-Backup-Servers Y Y Y 文字列 シングル 1 = クライアントが設定したリス トを使用する 2 = クライアント リストをディ セーブルにして消去する 3 = バックアップ サーバ リスト を使用する IPSec-Client-Firewall-Filter- Name Y 文字列 シングル クライアントにファイアウォー ル ポリシーとして配信するフィ ルタの名前を指定します。 IPSec-Client-Firewall-FilterOptional Y Y Y 整数 シングル 0 = 必須 1 = オプション IPSec-Default-Domain Y Y Y 文字列 シングル クライアントに送信する 1 つの デフォルト ドメイン名を指定し ます(1 ~ 255 文字)。 Y Y 文字列 シングル Y Y 整数 シングル IPSec-Extended-Auth-On-Rekey IPSec-IKE-Peer-ID-Check Y 1 = 必須 2 = ピア証明書でサポートされる 場合 3 = チェックしない IPSec-IP-Compression Y Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル IPSec-Mode-Config Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル IPSec-Over-UDP Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-9 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 IPSec-Over-UDP-Port Y Y Y 整数 シングル IPSec-Required-Client-FirewallCapability Y Y Y 整数 シングル 4001 ~ 49151、デフォルトは 10000 0 = なし 1 = リモート FW Are-You-There (AYT)で定義されているポリ シー 2 = Policy pushed CPP 4 = サーバからのポリシー IPSec-Sec-Association Y IPSec-Split-DNS-Names Y Y IPSec-Split-Tunneling-Policy Y IPSec-Split-Tunnel-List 文字列 シングル セキュリティ アソシエーション の名前 Y 文字列 シングル クライアントに送信するセカン ダリ ドメイン名のリストを指定 します(1 ~ 255 文字)。 Y Y 整数 シングル 0 = すべてをトンネリング 1 = スプリット トンネリング 2 = ローカル LAN を許可 Y Y Y 文字列 シングル スプリット トンネルの包含リス トを記述したネットワークまた はアクセスリストの名前を指定 します。 IPSec-Tunnel-Type Y Y Y 整数 シングル 1 = LAN-to-LAN 2 = リモート アクセス IPSec-User-Group-Lock Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル L2TP-Encryption Y 整数 シングル ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ス テートレスが必要 L2TP-MPPC-Compression Y MS-Client-Subnet-Mask Y Y PFS-Required Y Y Port-Forwarding-Name Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Y 文字列 シングル Y ブーリアン シングル IP アドレス 0 = No 1 = Yes 文字列 シングル 名前の文字列 (「Corporate-Apps」など) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-10 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 PPTP-Encryption Y ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 整数 シングル ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 例: 15 = 40/128 ビットで暗号化 / ス テートレスが必要 PPTP-MPPC-Compression Y Primary-DNS Y Y Primary-WINS Y Required-ClientFirewall-Vendor-Code 整数 シングル Y 文字列 シングル 0 = ディセーブル 1 = イネーブル IP アドレス Y Y 文字列 シングル IP アドレス Y Y Y 整数 シングル 1 = シスコシステムズ(Cisco Integrated Client を使用) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用) Required-Client-FirewallDescription Y Y Y 文字列 シングル 文字列 Required-Client-FirewallProduct-Code Y Y Y 整数 シングル シスコシステムズ製品: Privilege-Level 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 製品: 1 = BlackIce Defender/Agent Sygate 製品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent Require-HW-Client-Auth Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-11 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 Require-Individual-User-Auth Y Y Y 整数 シングル Secondary-DNS Y Y Y 文字列 シングル 0 = ディセーブル 1 = イネーブル IP アドレス Secondary-WINS Y Y Y 文字列 シングル IP アドレス 整数 シングル 使用しない SEP-Card-Assignment Simultaneous-Logins Y Y Y 整数 シングル 0-2147483647 Strip-Realm Y Y Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル TACACS-Authtype Y Y Y 整数 シングル TACACS-Privilege-Level Y Y Y 整数 シングル Y Y 文字列 シングル トンネル グループの名前または 「none」 Y Y 整数 シングル 1 = PPTP 2 = L2TP 4 = IPSec 8 = L2TP/IPSec 16 = WebVPN 8 および 4 は相互排他値 (0 ~ 11、16 ~ 27 は有効値) Tunnel-Group-Lock Tunneling-Protocols Y Use-Client-Address Y ブーリアン シングル 0 = ディセーブル 1 = イネーブル User-Auth-Server-Name Y 文字列 シングル IP アドレスまたはホスト名 User-Auth-Server-Port Y 整数 シングル サーバ プロトコルのポート番号 User-Auth-Server-Secret Y 文字列 シングル サーバのパスワード Y 文字列 シングル Webtype のアクセスリスト名 Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-ACL-Filters WebVPN-Apply-ACL-Enable Y バージョン 8.0 以降では、この アトリビュートは必要とされま せん。 WebVPN-Citrix-Support-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル バージョン 8.0 以降では、この アトリビュートは必要とされま せん。 WebVPN-Enable-functions 整数 シングル 使用しない(廃止) WebVPN-Exchange-ServerAddress 文字列 シングル 使用しない(廃止) WebVPN-Exchange-ServerNETBIOS-Name 文字列 シングル 使用しない(廃止) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-12 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 WebVPN-File-Access-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-BrowsingEnable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-Entry- Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Forwarded-Ports Y 文字列 シングル ポート転送リスト名 WebVPN-Homepage Y Y 文字列 シングル URL(http://example-portal.com WebVPN-Macro-SubstitutionValue1 Y Y など) 文字列 シングル 例および使用例については、次 の URL にある『SSL VPN Deployment Guide』を参照して ください。 http://supportwiki.cisco.com/Vie wWiki/index.php/Cisco_ASA_5 500_SSL_VPN_Deployment_G uide%2C_Version_8.x WebVPN-Macro-SubstitutionValue2 Y Y 文字列 シングル 例および使用例については、次 の URL にある『SSL VPN Deployment Guide』を参照して ください。 http://supportwiki.cisco.com/Vie wWiki/index.php/Cisco_ASA_5 500_SSL_VPN_Deployment_G uide%2C_Version_8.x WebVPN-Port-ForwardingAuto-Download-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding- Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-ForwardingExchange-Proxy-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-ForwardingHTTP-Proxy-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Y 文字列 シングル WebVPN-Single-Sign-OnServer-Name SSO サーバの名前(1 ~ 31 文 字) WebVPN-SVC-Client-DPD Y Y 整数 シングル 0 = ディセーブル n = デッドピア検出値(30 ~ 3600 秒) WebVPN-SVC-Compression Y Y 整数 シングル 0 = なし 1 = デフレート圧縮 WebVPN-SVC-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-13 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-2 セキュリティ アプライアンスでサポートされる LDAP 認可用の Cisco アトリビュート (続き) アトリビュート名 / VPN 3000 ASA PIX シンタック ス / タイプ シングルまた はマルチ値 有効な値 WebVPN-SVC-Gateway-DPD Y Y 整数 シングル 0 = ディセーブル n = デッドピア検出値(30 ~ 3600 秒) WebVPN-SVC-Keepalive Y Y 整数 シングル 0 = ディセーブル n = キープアライブ値(15 ~ 600 秒) WebVPN-SVC-Keep-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-SVC-Rekey-Method Y Y 整数 シングル 0 = なし 1 = SSL 2 = 新規トンネル 3 = 任意(SSL に設定) WebVPN-SVC-Rekey-Period Y Y 整数 シングル 0 = ディセーブル n = 分単位のリトライ間隔 (4 ~ 10080 分) WebVPN-SVC-Required-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-URL-Entry-Enable Y Y 整数 シングル 0 = ディセーブル 1 = イネーブル Y 文字列 シングル URL リスト名 WebVPN-URL-List Cisco-AV-Pair アトリビュート シンタックス Cisco Attribute Value(AV)ペア(ID# 26/9/1)を使用して、(Cisco ACS のような)Radius サーバか ら、または ldap-attribute-map 経由で LDAP サーバから、アクセスリストを適用できます。 Cisco-AV-Pair ルールのシンタックスは次のとおりです。 [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 表 D-3 でシンタックス ルールについて説明します。 表 D-3 AV-Pair アトリビュートのシンタックス ルール フィールド 説明 Prefix AV ペアの固有の識別子。例:ip:inacl#1=(標準アクセス リスト用)ま たは webvpn:inacl#(クライアントレス SSL VPN アクセスリスト用)。こ のフィールドは、フィルタが AV ペアとして送信された場合にだけ表示さ れます。 Action deny、permit など、ルールが一致した場合に実行するアクション。 Protocol IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、 ip、tcp、udp のいずれかのキーワード。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-14 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-3 AV-Pair アトリビュートのシンタックス ルール フィールド 説明 Source パケットを送信するネットワークまたはホスト。IP アドレス、ホスト名、 またはキーワード「any」で指定します。IP アドレスを使用する場合、続 いて Source Wildcard Mask を指定する必要があります。適応型セキュリ ティ アプライアンスがソース / プロキシの役割を果たすため、このフィー ルドはクライアントレス SSL VPN には適用されません。 Source Wildcard Mask 送信元アドレスに適用されるワイルドカード マスク。適応型セキュリティ アプライアンスがソース / プロキシの役割を果たすため、このフィールド はクライアントレス SSL VPN には適用されません。 Destination パケットを受信するネットワークまたはホスト。IP アドレス、ホスト名、 またはキーワード「any」で指定します。IP アドレスを使用する場合、続 いて Source Wildcard Mask を指定する必要があります。 Destination Wildcard Mask 宛先アドレスに適用されるワイルドカード マスク。 Log FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成 するには、このキーワードを使用する必要があります。 Operator 論理演算子:greater than、less than、equal to、not equal to。 Port TCP または UDP ポートの番号(0 ~ 65535)。 Cisco-AV-Pair の ACL 例 表 D-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。 (注) 表 D-4 ACL # は固有である必要があります。ただし、これらはシーケンシャル(つまり、1、2、 3、4)である必要はありません。たとえば、5、45、135 のように設定できます。 inacl# の各 Cisco-AV-Pair の例とアクションの許可または拒否 Cisco-AV-Pair の例 アクションの許可または拒否 ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log フルトンネル IPsec または SSL VPN クライアントを使用し た、2 つのホスト間の IP トラフィックを許可します。 ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log フルトンネル IPsec または SSL VPN クライアントのみを使 用した、すべてのホストからポート 80 の特定のホストへの TCP トラフィックを許可します。 webvpn:inacl#1=permit url http://www.website.com webvpn:inacl#2=deny url smtp://server webvpn:inacl#3=permit url cifs://server/share 指定 URL へのクライアントレス トラフィックを許可し、特 定サーバへの smtp トラフィックを拒否し、指定サーバへの ファイル共有アクセス(CIFS)を許可します。 webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log 非デフォルト ポートの 2323 で telnet を拒否し、非デフォル ト ポートの 2222 で SSH を許可します。 webvpn:inacl#1=permit url ssh://10.86.1.2 webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log webvpn:inacl#48=deny url telnet://10.86.1.2 webvpn:inacl#100=deny tcp 10.86.1.6 eq 23 デフォルト ポートの 22 と 23 で、それぞれ SSH を許可しま す。この例では、これらの ACL で実施される telnet/ssh java プラグインを使用していることを前提としています。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-15 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 ACL でサポートされている URL タイプ サーバのワイルド カード、またはポートが含まれる部分的な URL です。 次の URL タイプがサポートされています。 すべての URL http:// nfs:// sametime:// telnet:// cifs:// https:// pop3:// smart-tunnel:// tn3270:// citrix:// ica:// post:// smtp:// tn5250:// citrixs:// imap4:// rdp:// ssh:// vnc:// ftp:// (注) 上記に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうかに より、CLI または ASDM のメニューに表示されます。 Cisco-AV-Pair(ACL)使用のガイドライン • リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルにアクセスリストを適用するに は、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。 • SSL VPN クライアントレス(ブラウザモード)トンネルにアクセスリストを適用するには、 Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。 • Webtype ACL では適応型セキュリティ アプライアンスがソースとなるため、ソースを指定しない でください。 表 D-5 に、Cisco-AV-Pair アトリビュートのトークンの一覧を示します。 表 D-5 セキュリティ アプライアンスでサポートされるトークン シンタックスの フィールド トークン 説明 ip:inacl#Num= 該当なし(識別子)(Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始し ます。リモート IPSec トンネルと SSL VPN(SVC)トンネルにアクセスリス トを適用します。 webvpn:inacl#Num= 該当なし(識別子)(Num は固有の整数)。クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルに アクセスリストを適用します。 deny Action アクションを拒否します (デフォルト)。 permit Action アクションを許可します。 icmp Protocol Internet Control Message Protocol(ICMP; インターネット制御メッセージ プ ロトコル) 1 Protocol Internet Control Message Protocol(ICMP) IP Protocol Internet Protocol(IP; インターネット プロトコル) 0 Protocol Internet Protocol(IP) TCP Protocol Transmission Control Protocol(TCP; 伝送制御プロトコル) 6 Protocol Transmission Control Protocol(TCP) UDP Protocol User Datagram Protocol(UDP; ユーザ データグラム プロトコル) 17 Protocol User Datagram Protocol(UDP) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-16 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 D-5 セキュリティ アプライアンスでサポートされるトークン トークン シンタックスの フィールド 説明 any Hostname すべてのホストにルールを適用します。 host Hostname ホスト名を示す任意の英数字文字列。 log Log イベントが一致すると、フィルタ ログ メッセージが表示されます (permit and log または deny and log の場合と同様)。 lt Operator 値より小さい gt Operator 値より大きい eq Operator 値と等しい neq Operator 値と等しくない range Operator この範囲に含まれる。range の後に 2 つの値を続けます。 Active Directory/LDAP VPN のリモート アクセス認可の使用例 この項では、Microsoft Active Directory サーバを使用している適応型セキュリティ アプライアンスで 認証および認可を設定するための手順の例を示します。次の使用例を取り上げます。 • 「ユーザベースのアトリビュート ポリシーの適用」(P.D-17) • 「特定のグループポリシーへの LDAP ユーザの配置」(P.D-19) • 「AnyConnect トンネルへのスタティック IP アドレスの割り当て」(P.D-21) • 「ダイヤルインの許可または拒否アクセスの適用」(P.D-24) • 「ログイン時間と Time-of-Day 規則の適用」(P.D-27) その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。 • 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』 (http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00808914 9d.shtml) • 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』 (http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a0 0808d1a7c.shtml) ユーザベースのアトリビュート ポリシーの適用 すべての標準 LDAP アトリビュートは、予約済みの Vendor Specific Attribute(VSA; ベンダー固有ア トリビュート)にマッピングできます。同様に、1 つ以上の LDAP アトリビュートを 1 つ以上の Cisco LDAP アトリビュートにマッピングできます。 この使用例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように適 応型セキュリティ アプライアンスを設定します。この場合、サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力します。このフィールドでは、 physicalDeliveryOfficeName という名前のアトリビュートを使用します。適応型セキュリティ アプラ イアンスで、physicalDeliveryOfficeName を Cisco アトリビュート Banner1 にマッピングするアトリ ビュート マップを作成します。認証の間に、適応型セキュリティ アプライアンスはサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco アトリビュート Banner1 にマッピングし てユーザにバナーを表示します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-17 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 この使用例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアント レス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 は クライアントレス SSL VPN 接続を介して接続します。 ステップ 1 AD/LDAP サーバ上のユーザにアトリビュートを設定します。 ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 D-3)。[General] タブをク リックして、[Office] フィールドにバナー テキストを入力します。[Office] フィールドでは、 AD/LDAP アトリビュートである physicalDeliveryOfficeName を使用します。 図 D-3 ステップ 2 図 3 LDAP ユーザの設定 適応型セキュリティ アプライアンスに、LDAP アトリビュート マップを作成します。 Banner マップを作成し、AD/LDAP アトリビュートである physicalDeliveryOfficeName を Cisco アト リビュートである Banner1 にマッピングする例を次に示します。 hostname(config)# ldap attribute-map Banner hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1 ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モード を入力し、ステップ 2 で作成した Banner アトリビュート マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 3.3.3.4 hostname(config-aaa-server-host)# ldap-attribute-map Banner ステップ 4 バナーの適用をテストします。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-18 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 クライアントレス SSL 接続と、ユーザ認証後にアトリビュート マップ経由で適用されたバナーを次の 例に示します(図 D-4)。 図 D-4 表示されたバナー 特定のグループポリシーへの LDAP ユーザの配置 この使用例では、AD の LDAP サーバの User1 を、適応型セキュリティ アプライアンスの特定のグ ループポリシーに対して認証します。サーバで、[Organization] タブの [Department] フィールドを使 用して、グループポリシーの名前を入力します。次に、アトリビュート マップを作成し、 [Department] を Cisco アトリビュートである IETF-Radius-Class にマッピングします。認証の間に、 適応型セキュリティ アプライアンスはサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループポリシーに配置します。 この使用例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアント レス SSL VPN などの接続タイプに適用されます。この使用例の場合、User1 は クライアントレス SSL VPN 接続を介して接続します。 ステップ 1 AD の LDAP サーバのユーザにアトリビュートを設定します。 ユーザを右クリックします。プロパティ ウィンドウが表示されます(図 D-5)。[Organization] タブを クリックして、[Department] フィールドに Group-Policy-1 と入力します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-19 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 D-5 ステップ 2 AD の LDAP の [Department] アトリビュート ステップ 1 に示した LDAP コンフィギュレーションのアトリビュート マップを定義します。 この使用例では、AD アトリビュートである Department を Cisco アトリビュートである IETF-Radius-Class にマッピングします。次に例を示します。 hostname(config)# ldap attribute-map group_policy hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モード を入力し、ステップ 2 で作成した group_policy アトリビュート マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 3.3.3.4 hostname(config-aaa-server-host)# ldap-attribute-map group_policy ステップ 4 適応型セキュリティ アプライアンスで新しい group-policy を追加し、ユーザに割り当てるために必要 なポリシー アトリビュートを設定します。この例では、サーバの [Department] フィールドに入力され た Group-policy-1 を作成しました。 hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo hostname(config-aaa-server-group)# ステップ 5 ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からのアトリビュート(およ びデフォルト group-policy からの適用可能なすべてのアトリビュート)を継承していることを確認し ます。 特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、適応型セキュリティ アプ ライアンスとサーバ間の通信を監視することができます。このコマンドの出力例を次に示します。この 出力はキー メッセージを提供するために編集されています。 [29] user1 の 3.3.3.4 への認証に成功しました。 [29] サーバ 3.3.3.4 からユーザ アトリビュートを取得しています。 [29] アトリビュートを取得しました。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-20 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 [29] department:値 = Group-Policy-1 [29] IETF-Radius-Class へのマッピング:値 = Group-Policy-1 AnyConnect トンネルへのスタティック IP アドレスの割り当て この使用例では、AnyConnect クライアント ユーザ Web1 がスタティック IP アドレスを受信するよう に設定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレ スを入力します。このフィールドでは、msRADIUSFramedIPAddress アトリビュートを使用します。 このアトリビュートを Cisco アトリビュートである IETF-Radius-Framed-IP-Address へマッピングす るアトリビュート マップを作成します。 認証の間に、適応型セキュリティ アプライアンスはサーバから msRADIUSFramedIPAddress の値を取 得し、その値を Cisco アトリビュートである IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティック アドレスを提供します。 この使用例は、IPSec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x および レガシー SSL VPN クライアント)などのフルトンネル クライアントに適用されます。 ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。 ユーザ名を右クリックします。プロパティ ウィンドウが表示されます(図 D-6)。[Dialin] タブをク リックして [Assign Static IP Address] をチェックし、IP アドレスを入力します。この例では、 3.3.3.233 を使用します。 図 D-6 ステップ 2 スタティック IP アドレスの割り当て ステップ 1 に示した LDAP コンフィギュレーションのアトリビュート マップを作成します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-21 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 この例では、[Static Address] フィールドで使用された AD アトリビュートである msRADIUSFrameIPAddress を、Cisco アトリビュートである IETF-Radius-Framed-IP-Address にマッ ピングします。 次に例を示します。 hostname(config)# ldap attribute-map static_address hostname(config-ldap-attribute-map)# map-name msRADIUSFrameIPAddress IETF-Radius-Framed-IP-Address ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モード を入力し、ステップ 2 で作成した static_address アトリビュート マップを関連付ける例を次に示しま す。 hostname(config)# aaa-server MS_LDAP host 3.3.3.4 hostname(config-aaa-server-host)# ldap-attribute-map static_address ステップ 4 vpn-address-assigment コマンドが aaa を指定するように設定されているかどうかを、show run all vpn-addr-assign コマンドでコンフィギュレーションのこの部分を表示して確認します。 vpn-addr-assign aaa hostname(config)# show run all vpn-addr-assign vpn-addr-assign aaa <<<< ensure this configured. no vpn-addr-assign dhcp vpn-addr-assign local hostname(config)# ステップ 5 適応型セキュリティ アプライアンスと AnyConnect クライアントとの接続を確立します。次のことを 確認します。 • バナーがクライアントレス接続と同じシーケンスで受信されている(図 D-7)。 • ユーザが、サーバで設定され、適応型セキュリティ アプライアンスにマッピングされた IP アドレ スを受信している(図 D-8)。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-22 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 D-7 AnyConnect セッションのバナーの確認 図 D-8 確立された AnyConnect セッション show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアド レスを確認できます。 hostname# show vpn-sessiondb svc Session Type: SVC Username : web1 Index Assigned IP : 3.3.3.233 Public IP Protocol : Clientless SSL-Tunnel DTLS-Tunnel : 31 : 10.86.181.70 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-23 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 Encryption Bytes Tx Group Policy Login Time Duration NAC Result VLAN Mapping : : : : : : : RC4 AES128 Hashing 304140 Bytes Rx VPN_User_Group Tunnel Group 11:13:05 UTC Tue Aug 28 2007 0h:01m:48s Unknown N/A VLAN : SHA1 : 470506 : UseCase3_TunnelGroup : none BXB-ASA5540# ダイヤルインの許可または拒否アクセスの適用 この使用例では、ユーザが許可するトンネリング プロトコルを指定する LDAP アトリビュート マップ を作成します。[Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco アトリビュートであ る Tunneling-Protocol にマッピングします。Cisco の Tunneling-Protocol は、表 D-6 に示すように、 ビットマップ値をサポートしています。 表 D-6 Cisco Tunneling-Protocol アトリビュートのビットマップ値 値 トンネリング プロトコル 1 PPTP 2 L2TP 4 1 IPSec 8 2 L2TP/IPSEC 16 クライアントレス SSL 32 SSL クライアント:AnyConnect またはレガシー SSL VPN クライアント 1. IPSec と L2TP over IPSec は同時にサポートされません。そのため、値 4 と 8 は相互排他値となります。 2. 注 1 を参照してください。 このアトリビュートを使用して、プロトコルの [Allow Access](TRUE)または [Deny Access] (FALSE)の条件を作成し、ユーザがアクセスを許可される方法を適用します。 この簡単な例では、tunnel-protocol である IPSec(4)をマッピングすることで、IPSec クライアント の許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48(16+32)とし てマッピングし、拒否(false)条件を作成します。これにより、ユーザは IPSec を使用して適応型セ キュリティ アプライアンスに接続できますが、クライアントレス SSL または AnyConnect クライアン トを使用すると、接続は拒否されます。 ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テク ニカル ノートを参照してください。 http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d .shtml Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-24 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。 ユーザを右クリックします。プロパティ ウィンドウが表示されます。[Dial-in] タブをクリックします。 [Allow Access] を選択します(図 D-9)。 図 D-9 (注) ステップ 2 AD-LDAP user1 の [Allow access] 3 番目のオプションである [Control access through the Remote Access Policy] を選択した場合、 値はサーバから返されず、適用される権限は、適応型セキュリティ アプライアンスの内部グ ループポリシー設定に基づきます。 IPSec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否するアトリビュート マップを作成します。 この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD アトリビュー ト msNPAllowDialin を map-name コマンドを使用して Cisco アトリビュート Tunneling-Protocols に マッピングし、マップ値を map-value コマンドで追加します。 次に例を示します。 hostname(config)# ldap attribute-map hostname(config-ldap-attribute-map)# hostname(config-ldap-attribute-map)# hostname(config-ldap-attribute-map)# ステップ 3 tunneling_protocols map-name msNPAllowDialin Tunneling-Protocols map-value msNPAllowDialin FALSE 48 map-value msNPAllowDialin TRUE 4 LDAP アトリビュート マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モードを 入力し、ステップ 2 で作成した tunneling_protocols アトリビュート マップを関連付ける例を次に示しま す。 hostname(config)# aaa-server MS_LDAP host 3.3.3.4 hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-25 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 ステップ 4 アトリビュート マップが設定したとおりに動作することを確認します。 リモート ユーザが使用する PC で、クライアントレス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試みます。クライアントレス SSL と AnyConnect の接続に失敗し、 ユーザには、接続の失敗原因が許可されていない接続メカニズムにあることが通知されます。IPSec ク ライアントの接続は成功します。これは、アトリビュート マップに従って IPSec にトンネリング プロ トコルが許可されているためです。 図 D-10 クライアントレス ユーザへのログイン拒否メッセージ 図 D-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-26 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 LDAP サーバの設定 ログイン時間と Time-of-Day 規則の適用 この使用例では、クライアントレス SSL ユーザがネットワークへアクセスできる時間を設定して適用 します。たとえば、ビジネス パートナーがネットワークへアクセスできる時間を、通常の営業時間内 に限定する場合があります。 この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィー ルドでは、physicalDeliveryOfficeName アトリビュートを使用します。次に、適応型セキュリティ ア プライアンスでアトリビュート マップを作成し、そのアトリビュートを Cisco アトリビュートである Access-Hours にマッピングします。認証の間に、適応型セキュリティ アプライアンスはサーバから physicalDeliveryOfficeName([Office] フィールド)の値を取得し、それを Access-Hours にマッピン グします。 ステップ 1 AD の LDAP サーバでユーザ アトリビュートを設定します。 ユーザを選択します。[Properties] を右クリックします。プロパティ ウィンドウが表示されます (図 D-12)。ここでは、[General] タブの [Office] フィールドを使用します。 図 D-12 ステップ 2 Active Directory の Time-range アトリビュート マップを作成します。 この使用例では、access_hours アトリビュート マップを作成し、[Office] フィールドで使用される AD アトリビュート physicalDeliveryOfficeName を、Cisco アトリビュート Access-Hours にマッピングし ます。 次に例を示します。 hostname(config)# ldap attribute-map access_hours hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours ステップ 3 LDAP アトリビュート マップを AAA サーバに関連付けます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-27 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 AAA サーバ グループ MS_LDAP で、ホスト 3.3.3.4 に aaa-server-host コンフィギュレーション モード を入力し、ステップ 2 で作成した access_hours アトリビュート マップを関連付ける例を次に示しま す。 hostname(config)# aaa-server MS_LDAP host 3.3.3.4 hostname(config-aaa-server-host)# ldap-attribute-map access_hours ステップ 4 各値にサーバで許可された時間範囲を設定します。この例では、User1 の [Office] フィールドに Partner と入力しました。そのため、この Partner に対する時間範囲を設定する必要があります。次の 例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。 hostname(config)# time-range Partner hostname(config-time-range)# periodic weekdays 09:00 to 17:00 外部 RADIUS サーバの設定 この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS アトリビュートを定義します。次の 項目について説明します。 • 「RADIUS 設定手順の確認」(P.D-28) • 「セキュリティ アプライアンスの RADIUS 認可アトリビュート」(P.D-29) • 「セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート」(P.D-36) RADIUS 設定手順の確認 この項では、適応型セキュリティ アプライアンスのユーザ認証および認可をサポートするために必要 な RADIUS 設定手順について説明します。次の手順に従って、適応型セキュリティ アプライアンスと 相互作用する RADIUS サーバをセットアップします。 ステップ 1 適応型セキュリティ アプライアンスのアトリビュートを RADIUS サーバにロードします。アトリ ビュートをロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。 • Cisco ACS を使用している場合:サーバには、これらのアトリビュートがすでに統合されていま す。したがって、この手順をスキップできます。 • FUNK RADIUS サーバを使用している場合:シスコは、適応型セキュリティ アプライアンスのア トリビュートがすべて含まれるディクショナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、CCO のソフトウェア センターまたは適応型セキュリティ アプライア ンスの CD-ROM から入手してください。ディクショナリ ファイルをサーバにロードします。 • 他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など):適応型セキュ リティ アプライアンスの各アトリビュートを手動で定義する必要があります。アトリビュートを 定義するには、アトリビュート名または番号、タイプ、値、ベンダー コード(3076)を使用しま す。適応型セキュリティ アプライアンス RADIUS 認可アトリビュートおよび値のリストについて は、表 D-7 を参照してください。 ステップ 2 権限およびアトリビュートを持つユーザまたはグループをセットアップし、IPSec または SSL トンネ ルの確立時に送信します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-28 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 セキュリティ アプライアンスの RADIUS 認可アトリビュート 認可では、権限またはアトリビュートを使用するプロセスを参照します。認証サーバとして定義されて いる RADIUS サーバは、権限またはアトリビュートが設定されている場合はこれらを使用します。 表 D-7 に、ユーザ認可に使用でき、適応型セキュリティ アプライアンスがサポートしている使用可能 なすべての RADIUS アトリビュートの一覧を示します。 (注) RADIUS アトリビュート名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、この新しい名前をサポートしますが、4.0 以前の ACS のアトリビュート名にはまだ cVPN3000 プレフィックスが含まれています。アプライアンスは、アトリビュート名ではなく数値のアトリビュー ト ID に基づいて、RADIUS アトリビュートを使用します。LDAP アトリビュートは、ID ではなくア トリビュート名で使用します。 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 Access-Hours Y Y Y 1 文字列 シングル Simultaneous-Logins Y Y Y 2 整数 シングル 0 ~ 2147483647 の整数 Primary-DNS Y Y Y 5 文字列 シングル IP アドレス Secondary-DNS Y Y Y 6 文字列 シングル IP アドレス Primary-WINS Y Y Y 7 文字列 シングル IP アドレス Secondary-WINS Y Y Y 8 文字列 シングル IP アドレス 9 整数 シングル 使用しない 11 整数 シングル 1 = PPTP 2 = L2TP 4 = IPSec 8 = L2TP/IPSec 16 = WebVPN 4 および 8 は相互排他値、0 ~ 11 および 16 ~ 27 は有効値 SEP-Card-Assignment Y Y 説明または値 時間範囲の名前 (Business-hours など) Tunneling-Protocols Y IPSec-Sec-Association Y 12 文字列 シングル セキュリティ アソシエーショ ンの名前 IPSec-Authentication Y 13 整数 シングル 0 = なし 1 = RADIUS 2 = LDAP(認可のみ) 3 = NT ドメイン 4 = SDI 5 = 内部 6 = RADIUS での Expiry 認証 7 = Kerberos/Active Directory Banner1 Y Y Y 15 文字列 シングル バナー文字列 IPSec-Allow-Passwd-Store Y Y Y 16 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-29 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) シンタッ クス / タ イプ シングル またはマ ルチ値 17 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Y 20 整数 シングル ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ス テートレスが必要 Y 21 整数 シングル ビットマップ: 1 = 暗号化が必要 2 = 40 ビット 4 = 128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ス テートレスが必要 25 文字列 シングル リモート アクセス VPN セッ ションのグループポリシーを設 定します。バージョン 8.2 以降 では、IETF-Radius-Class の代 わりにこのアトリビュートを使 用します。次の 3 つの形式のい ずれかを使用できます。 アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # Use-Client-Address Y PPTP-Encryption L2TP-Encryption Group-Policy Y Y 説明または値 • < グループポリシー名 > • OU=< グループポリシー名 > • OU=< グループポリシー名 >; IPSec-Split-Tunnel-List Y Y Y 27 文字列 シングル スプリット トンネルの包含リ ストを記述したネットワークま たはアクセスリストの名前を指 定します。 IPSec-Default-Domain Y Y Y 28 文字列 シングル クライアントに送信する 1 つの デフォルト ドメイン名を指定 します(1 ~ 255 文字)。 IPSec-Split-DNS-Names Y Y Y 29 文字列 シングル クライアントに送信するセカン ダリ ドメイン名のリストを指 定します(1 ~ 255 文字)。 IPSec-Tunnel-Type Y Y Y 30 整数 シングル 1 = LAN-to-LAN 2 = リモート アクセス IPSec-Mode-Config Y Y Y 31 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル IPSec-User-Group-Lock Y 33 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-30 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) シンタッ クス / タ イプ シングル またはマ ルチ値 34 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Y 35 整数 シングル 4001 ~ 49151、デフォルトは 10000 Y 36 文字列 シングル Banner1 文字列に連結されてい アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # IPSec-Over-UDP Y Y Y IPSec-Over-UDP-Port Y Y Banner2 Y Y 説明または値 るバナー文字列(設定されてい る場合)。 PPTP-MPPC-Compression Y 37 整数 シングル 0 = ディセーブル 1 = イネーブル L2TP-MPPC-Compression Y 38 整数 シングル 0 = ディセーブル 1 = イネーブル IPSec-IP-Compression Y Y Y 39 整数 シングル 0 = ディセーブル 1 = イネーブル IPSec-IKE-Peer-ID-Check Y Y Y 40 整数 シングル 1 = 必須 2 = ピア証明書でサポートされ る場合 3 = チェックしない IKE-Keep-Alives Y Y Y 41 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル IPSec-Auth-On-Rekey Y Y Y 42 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Required-ClientFirewall-Vendor-Code Y Y Y 45 整数 シングル 1 = シスコシステムズ(Cisco Integrated Client を使用) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = シスコシステムズ(Cisco Intrusion Prevention Security Agent を使用) Required-Client-Firewall-Produ ct-Code Y Y Y 46 整数 シングル シスコシステムズ製品: 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 製品: 1 = BlackIce Defender/Agent Sygate 製品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-31 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 説明または値 Required-Client-Firewall-Descri Y ption Y Y 47 文字列 シングル 文字列 Require-HW-Client-Auth Y Y Y 48 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Required-Individual-User-Auth Y Y Y 49 整数 シングル 0 = ディセーブル 1 = イネーブル Authenticated-User-Idle-Timeou Y t Y Y 50 整数 シングル 1 ~ 35791394 分 Cisco-IP-Phone-Bypass Y Y Y 51 整数 シングル 0 = ディセーブル 1 = イネーブル IPSec-Split-Tunneling-Policy Y Y Y 55 整数 シングル 0 = スプリット トンネリングな し 1 = スプリット トンネリング 2 = ローカル LAN を許可 IPSec-Required-Client-Firewall- Y Capability Y Y 56 整数 シングル 0 = なし 1 = リモート FW Are-You-There(AYT)で定義 されているポリシー 2 = Policy pushed CPP 4 = サーバからのポリシー IPSec-Client-Firewall-Filter-Na me Y 57 文字列 シングル クライアントにファイアウォー ル ポリシーとして配信する フィルタの名前を指定します。 IPSec-Client-Firewall-Filter-Opt Y ional Y Y 58 整数 シングル 0 = 必須 1 = オプション IPSec-Backup-Servers Y Y 59 文字列 シングル 1 = クライアントが設定したリ Y ストを使用する 2 = クライアント リストをディ セーブルにして消去する 3 = バックアップ サーバ リスト を使用する IPSec-Backup-Server-List Y Y Y 60 文字列 シングル サーバ アドレス(スペース区 切り) DHCP-Network-Scope Y Y Y 61 文字列 シングル IP アドレス Intercept-DHCP-Configure-Msg Y Y Y 62 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル MS-Client-Subnet-Mask Y Y Y 63 ブーリア ン シングル IP アドレス Allow-Network-Extension-Mode Y Y Y 64 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Authorization-Type Y Y 65 整数 シングル 0 = なし 1 = RADIUS 2 = LDAP Y Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-32 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 Authorization-Required Y 66 整数 シングル 0 = No 1 = Yes Authorization-DN-Field Y Y Y 67 文字列 シングル 有効な値:UID、OU、O、 CN、L、SP、C、EA、T、N、 GN、SN、I、GENQ、DNQ、 SER、use-entire-name IKE-KeepAlive-Confidence-Inte Y rval Y Y 68 整数 シングル 10 ~ 300 秒 WebVPN-Content-Filter-Parame Y ters Y 69 整数 シングル 1 = Java ActiveX 2 = Java スクリプト 4 = イメージ 8 = イメージに含まれるクッ WebVPN-URL-List Y 71 文字列 シングル URL リスト名 WebVPN-Port-Forward-List Y 72 文字列 シングル ポート転送リスト名 WebVPN-Access-List Y 73 文字列 シングル アクセスリスト名 75 整数 シングル 76 文字列 説明または値 キー Cisco-LEAP-Bypass Y Y WebVPN-Homepage Y Y Y 0 = ディセーブル 1 = イネーブル シングル URL (http://example-portal.com な ど) Client-Type-Version-Limiting Y Y Y 77 文字列 シングル IPSec VPN のバージョン番号を 示す文字列 WebVPN-Port-Forwarding-Name Y Y 79 文字列 シングル 名前の文字列 (「Corporate-Apps」など) このテキストでクライアントレ ス ポータル ホームページのデ フォルト文字列「Application Access」が置き換えられます。 IE-Proxy-Server Y 80 文字列 シングル IP アドレス IE-Proxy-Server-Policy Y 81 整数 シングル 1 = 変更なし 2 = プロキシなし 3 = 自動検出 4 = コンセントレータ設定を使 用する IE-Proxy-Exception-List Y 82 文字列 シングル 改行(\n)区切りの DNS ドメ インのリスト IE-Proxy-Bypass-Local Y 83 整数 シングル 0 = なし 1 = ローカル IKE-Keepalive-Retry-Interval Y Tunnel-Group-Lock Y Y 84 整数 シングル 2 ~ 10 秒 Y Y 85 文字列 シングル トンネル グループの名前また は「none」 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-33 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 説明または値 Access-List-Inbound Y Y 86 文字列 シングル アクセスリスト ID Access-List-Outbound Y Y 87 文字列 シングル アクセスリスト ID Perfect-Forward-Secrecy-Enable Y Y Y 88 ブーリア ン シングル 0 = No 1 = Yes NAC-Enable Y 89 整数 シングル 0 = No 1 = Yes NAC-Status-Query-Timer Y 90 整数 シングル 30 ~ 1800 秒 NAC-Revalidation-Timer Y 91 整数 シングル 300 ~ 86400 秒 NAC-Default-ACL Y 92 文字列 WebVPN-URL-Entry-Enable Y Y 93 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Access-Enable Y Y 94 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-Entry-Ena Y ble Y 95 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-Browsing- Y Enable Y 96 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding-Enab Y le Y 97 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Outlook-Exchange-Pr oxy-Enable Y Y 98 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding-HTT Y P-Proxy Y 99 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Auto-Applet-Downloa Y d-Enable Y 100 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Citrix-Metaframe-Ena Y ble Y 101 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-Apply-ACL Y Y 102 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-Ena ble Y Y 103 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-Req uired Y Y 104 整数 シングル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-Kee p- Installation Y Y 105 整数 シングル 0 = ディセーブル 1 = イネーブル SVC-Keepalive Y Y 107 整数 シングル 0 = オフ 15 ~ 600 秒 SVC-DPD-Interval-Client Y Y 108 整数 シングル 0 = オフ 5 ~ 3600 秒 SVC-DPD-Interval-Gateway Y Y 109 整数 シングル 0 = オフ 5 ~ 3600 秒 アクセスリスト Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-34 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) アトリビュート名 VPN 3000 ASA PIX アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 説明または値 SVC-Rekey-Time Y 110 整数 シングル 0 = ディセーブル 1 ~ 10080 分 WebVPN-Deny-Message Y 116 文字列 シングル 有効な文字列(500 文字以内) Extended-Authentication-On-Re key Y 122 整数 シングル SVC-DTLS Y 123 整数 SVC-MTU Y 125 整数 シングル MTU 値 256 ~ 1406 バイト SVC-Modules Y 127 文字列 シングル 文字列(モジュールの名前) SVC-Profiles Y 128 文字列 シングル 文字列(プロファイルの名前) SVC-Ask Y 131 文字列 シングル 0 = ディセーブル 1 = イネーブル 3 = デフォルト サービスをイ Y 0 = ディセーブル 1 = イネーブル シングル 0 = False 1 = True ネーブルにする 5 = デフォルト クライアントレ スをイネーブルにする (2 と 4 は使用しない) SVC-Ask-Timeout Y 132 整数 シングル 5 ~ 120 秒 IE-Proxy-PAC-URL Y 133 文字列 シングル PAC アドレス文字列 135 ブーリア ン シングル 0 = ディセーブル 1 = イネーブル Strip-Realm Y Y Y Smart-Tunnel Y 136 文字列 シングル スマート トンネルの名前 WebVPN-ActiveX-Relay Y 137 整数 シングル 0 = ディセーブル その他 = イネーブル Smart-Tunnel-Auto Y 138 整数 シングル 0 = ディセーブル 1 = イネーブル 2 = 自動スタート Smart-Tunnel-Auto-Signon-Ena ble Y 139 文字列 シングル ドメイン名が付加された Smart Tunnel Auto Signon リストの名 前 VLAN Y 140 整数 シングル 0 - 4094 NAC-Settings Y 141 文字列 シングル NAC ポリシーの名前 Member-Of Y 145 文字列 シングル カンマ区切りの文字列。例: Y エンジニアリング、営業 これは、ダイナミック アクセ ス ポリシーで使用できる管理 アトリビュートです。グループ ポリシーは設定されません。 Address-Pools Y IPv6-Address-Pools Y Y 217 文字列 シングル IP ローカル プールの名前 218 文字列 シングル IP ローカル プール IPv6 の名前 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-35 付録 D 認可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 D-7 セキュリティ アプライアンスでサポートされる RADIUS アトリビュートと値 (続き) VPN 3000 ASA PIX アトリビュート名 IPv6-VPN-Filter Y Privilege-Level Y WebVPN-Macro-Value1 Y Y アトリ ビュート # シンタッ クス / タ イプ シングル またはマ ルチ値 説明または値 219 文字列 シングル ACL 値 220 整数 シングル 0 ~ 15 の整数。 223 文字列 シングル 無制限。例および使用例につい ては、次の URL にある 『SSL VPN Deployment Guide』 を参照してください。 http://supportwiki.cisco.com/Vi ewWiki/index.php/Cisco_ASA _5500_SSL_VPN_Deployment _Guide%2C_Version_8.x WebVPN-Macro-Value2 Y 224 文字列 シングル 無制限。例および使用例につい ては、次の URL にある 『SSL VPN Deployment Guide』 を参照してください。 http://supportwiki.cisco.com/Vi ewWiki/index.php/Cisco_ASA _5500_SSL_VPN_Deployment _Guide%2C_Version_8.x セキュリティ アプライアンスの IETF RADIUS 認可アトリビュート 表 D-8 に、使用可能なすべての IETF Radius アトリビュートの一覧を示します。 表 D-8 セキュリティ アプライアンスでサポートされる IETF RADIUS アトリビュートと値 アトリビュート名 VPN 3000 ASA PIX シンタッ シングル アトリ クス / タ またはマ ビュート # イプ ルチ値 説明または値 IETF-Radius-Class Y Y 25 Y シングル リモート アクセス VPN セッション のグループポリシーを設定します。 バージョン 8.2 以降では、 Group-Policy アトリビュートの使 用をお勧めします。次の 3 つの形式 のいずれかを使用できます。 • < グループポリシー名 > • OU=< グループポリシー名 > • OU=< グループポリシー名 >; IETF-Radius-Filter-Id Y Y Y 11 文字列 シングル 適応型セキュリティ アプライアン スで定義されたアクセスリスト名。 これは、フルトンネルの IPsec クラ イアントと SSL VPN クライアント のみに適用されます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-36 OL-18970-01-J 付録 D 認可および認証用の外部サーバの設定 外部 TACACS+ サーバの設定 表 D-8 セキュリティ アプライアンスでサポートされる IETF RADIUS アトリビュートと値 IETF-Radius-Framed-IP-Addr Y ess Y Y 該当なし 文字列 シングル IP アドレス IETF-Radius-Framed-IP-Netm Y ask Y Y 該当なし 文字列 シングル IP アドレス マスク IETF-Radius-Idle-Timeout Y Y Y 28 整数 シングル 秒 IETF-Radius-Service-Type Y Y Y 6 整数 シングル 秒。使用可能なサービス タイプの 値: .Administrative:ユーザは configure プロンプトへのアクセス を許可されています。 .NAS-Prompt:ユーザは exec プロ ンプトへのアクセスを許可されてい ます。 .remote-access:ユーザはネットワー ク アクセスを許可されています。 IETF-Radius-Session-Timeout Y Y Y 27 整数 シングル 秒 外部 TACACS+ サーバの設定 適応型セキュリティ アプライアンス は、TACACS+ アトリビュートをサポートします。TACACS+ は、 認証、認可、およびアカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種 類のアトリビュートをサポートします。サーバとクライアントの両方で必須アトリビュートを解釈でき る必要があり、また、必須アトリビュートはユーザに適用する必要があります。オプションのアトリ ビュートは、解釈または使用できることも、できないこともあります。 (注) TACACS+ アトリビュートを使用するには、NAS で AAA サービスをイネーブルにしておいてくださ い。 表 D-9 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 認可応答アトリビュー トの一覧を示します。表 D-10 に、サポートされている TACACS+ アカウンティング アトリビュート の一覧を示します。 表 D-9 サポートされる TACACS+ 認可応答アトリビュート アトリビュート 説明 acl 接続に適用する、ローカルで設定済みのアクセスリストを識別します。 idletime 認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分) を示します。 timeout 認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな 状態でいる絶対時間(分)を指定します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J D-37 付録 D 認可および認証用の外部サーバの設定 外部 TACACS+ サーバの設定 . 表 D-10 サポートされる TACACS+ アカウンティング アトリビュート アトリビュート 説明 bytes_in この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。 bytes_out この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。 cmd 実行するコマンドを定義します(コマンド アカウンティングのみ)。 disc-cause 切断理由を特定する数字コードを示します(ストップ レコードのみ)。 elapsed_time 接続の経過時間(秒)を定義します(ストップ レコードのみ)。 foreign_ip トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 local_ip トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリ ティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 NAS port 接続のセッション ID が含まれます。 packs_in この接続中に転送される入力パケット数を指定します。 packs_out この接続中に転送される出力パケット数を指定します。 priv-level コマンド アカウンティング要求に対するユーザの権限レベル、または 1 に設定さ れます。 rem_iddr クライアントの IP アドレスを示します。 service 使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェ ル」に設定されます。 task_id アカウンティング トランザクションに固有のタスク ID を指定します。 username ユーザの名前を示します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) D-38 OL-18970-01-J
© Copyright 2024 Paperzz