この章

CHAPTER
36
AAA サーバとローカルデータベースの設定
この章では、AAA（
「トリプルエー」と発音）のサポート、および AAA サーバとローカルデータ
ベースの設定方法について説明します。
ここでは、次の項目を取り上げます。
• 「AAA の概要」（P.36-1）
• 「AAA サーバおよびローカルデータベースのサポート」（P.36-3）
• 「ローカルデータベースの設定」（P.36-8）
• 「AAA サーバグループおよびサーバの識別」（P.36-10）
• 「LDAP サーバの設定」（P.36-13）
• 「証明書とユーザログインクレデンシャルの使用」（P.36-17）
• 「Zone Labs Integrity サーバのサポート」（P.36-18）
AAA の概要
AAA によって、適応型セキュリティアプライアンスが、ユーザが誰か（認証）、ユーザが何を実行でき
るか（認可）、およびユーザが何を実行したか（アカウンティング）を判別することが可能になります。
AAA には、ユーザアクセスに対して、アクセスリストだけを使用する場合よりもレベルの高い保護お
よび制御機能が用意されています。たとえば、すべての外部ユーザが DMZ ネットワークのサーバ上の
Telnet にアクセスできるようにするアクセスリストを作成できます。一部のユーザだけがサーバにアク
セスできるようにするが、そのユーザの IP アドレスを常に認識しているとは限らない場合、AAA を使
用すると、認証済みまたは認可済みのユーザだけが適応型セキュリティアプライアンスを介してアク
セスすることが許可されるようにできます（Telnet サーバもまた、認証を実行します。適応型セキュ
リティアプライアンスは、認可されないユーザがサーバにアクセスできないようにします）。
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では
必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認
証および認可とともに使用することもできます。
この項は、次の内容で構成されています。
• 「認証の概要」（P.36-2）
• 「認可の概要」（P.36-2）
• 「アカウンティングの概要」（P.36-2）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-1
第 36 章
AAA サーバとローカルデータベースの設定
AAA の概要
認証の概要
認証では、有効なユーザクレデンシャルを要求してアクセスを制御します。このクレデンシャルは通
常、ユーザ名とパスワードです。次の項目を認証するように、適応型セキュリティアプライアンスを
設定できます。
• 適応型セキュリティアプライアンスへのすべての管理接続（この接続には、次のセッションが含
まれます）
– Telnet
– SSH
– シリアルコンソール
– ASDM（HTTPS を使用）
– VPN 管理アクセス
• enable コマンド
• ネットワークアクセス
• VPN アクセス
認可の概要
認可では、ユーザ認証後、ユーザごとにアクセスを制御します。次の項目を認可するように、適応型セ
キュリティアプライアンスを設定できます。
• 管理コマンド
• ネットワークアクセス
• VPN アクセス
認可では、各認証済みユーザが使用可能なサービスおよびコマンドを制御します。認可をイネーブルに
していない場合は、認証だけで、すべての認証済みユーザがサービスに同じようにアクセスできます。
認可で提供される制御が必要な場合、広範な認証規則を設定して、詳細な認可が設定できます。たとえ
ば、外部ネットワーク上のサーバにアクセスする内部ユーザを認証して、特定のユーザがアクセスでき
る外部サーバを認可によって制限します。
適応型セキュリティアプライアンスはユーザあたり最初の 16 件の認可要求をキャッシュするため、
ユーザが現在の認証セッション中に同じサービスにアクセスした場合、適応型セキュリティアプライ
アンスは認可サーバに要求を再送信しません。
アカウンティングの概要
アカウンティングは、適応型セキュリティアプライアンスを通過するトラフィックを追跡して、ユー
ザアクティビティを記録できるようにします。トラフィックの認証をイネーブルにすると、ユーザご
とにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごと
にトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終
了時刻、ユーザ名、そのセッションで適応型セキュリティアプライアンスを経由したバイト数、使用
されたサービス、セッションの継続時間が含まれます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-2
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバおよびローカルデータベースのサポート
AAA サーバおよびローカルデータベースのサポート
適応型セキュリティアプライアンスは、さまざまな AAA サーバタイプおよび適応型セキュリティア
プライアンスに保存されているローカルデータベースをサポートします。ここでは、各 AAA サーバ
タイプとローカルデータベースに関するサポートについて説明します。
ここでは、次の項目について説明します。
• 「サポートの要約」（P.36-3）
• 「RADIUS サーバのサポート」（P.36-4）
• 「TACACS+ サーバのサポート」（P.36-5）
• 「RSA/SDI サーバのサポート」（P.36-5）
• 「NT サーバのサポート」（P.36-6）
• 「Kerberos サーバのサポート」（P.36-6）
• 「LDAP サーバのサポート」（P.36-6）
• 「HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート」（P.36-6）
• 「ローカルデータベースのサポート」（P.36-7）
サポートの要約
表 36-1 に、各 AAA サービスのサポート状況の要約を AAA サーバタイプ（ローカルデータベースを
含む）別に示します。特定の AAA サーバタイプのサポートの詳細については、表に続く項目を参照し
てください。
表 36-1
AAA サポートの要約
データベースタイプ
ローカル RADIUS TACACS+ SDI
NT
HTTP
Kerberos LDAP Form
あり
あり
あり
あり
あり
あり
あり
あり2
ファイアウォールあり
セッション
あり
あり
あり
あり
あり
あり
なし
管理者
あり
あり
あり
あり3
あり
あり
あり
なし
あり
あり
なし
なし
なし
なし
あり
なし
あり
なし
なし
なし
なし
なし
AAA サービス
認証
VPN ユーザ1
認可
VPN ユーザ
ファイアウォールなし
セッション
あり
4
あり5
なし
あり
なし
なし
なし
なし
なし
なし
あり
あり
なし
なし
なし
なし
なし
ファイアウォールなし
セッション
あり
あり
なし
なし
なし
なし
なし
管理者
あり6
あり
なし
なし
なし
なし
なし
管理者
アカウンティング
VPN 接続
なし
1. SSL VPN 接続では、PAP または MS-CHAPv2 のいずれかを使用できます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-3
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバおよびローカルデータベースのサポート
2. HTTP Form プロトコルは、クライアントレス SSL VPN ユーザだけにシングルサインオン認証をサポートして
います。
3. SDI は、HTTP 管理アクセスに対してサポートされていません。
4. ファイアウォールセッションの場合、RADIUS 認可はユーザ固有のアクセスリストでだけサポートされます。
このアクセスリストは RADIUS 認証応答で受信または指定されます。
5. ローカルコマンド認可は、特権レベルに限りサポートされます。
6. コマンドアカウンティングは、TACACS+ でだけ使用できます。
RADIUS サーバのサポート
ASA は、ASA 自体で利用可能な RADIUS サーバに加えて、次の AAA 用 RADIUS サーバをサポート
します。
• Cisco Secure ACS 3.2、4.0、4.1
• RSA 認証マネージャ 5.2 および 6.1 の RSA Radius
認証方法
適応型セキュリティアプライアンスは、RADIUS で次の認証方法をサポートします。
• PAP：すべての接続タイプの場合。
• CHAP：L2TP-over-IPsec の場合。
• MS-CHAPv1：L2TP-over-IPsec の場合。
• MS-CHAPv2：L2TP-over-IPsec の場合。また、パスワード管理機能がイネーブルで、通常の
IPsec リモートアクセス接続の場合。MS-CHAPv2 は、クライアントレス接続でも使用できます。
• 認証プロキシモード：RADIUS から Active Directory、RADIUS から RSA/SDI、RADIUS から
トークンサーバ、および RSA/SI から RADIUS。
（注）
MS-CHAPv2 を、適応型セキュリティアプライアンスと RADIUS サーバの間の VPN 接続で使用され
るプロトコルとしてイネーブルにするには、トンネルグループ一般アトリビュートでパスワード管理を
イネーブルにする必要があります。パスワード管理をイネーブルにすると、適応型セキュリティアプ
ライアンスから RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、
password-management コマンドの説明を参照してください。
二重認証を使用し、トンネルグループでパスワード管理をイネーブルにした場合は、プライマリ認証
要求とセカンダリ認証要求に MS-CHAPv2 要求アトリビュートが含まれます。RADIUS サーバが
MS-CHAPv2 をサポートしない場合は、no mschapv2-capable コマンドを使用して、そのサーバが
MS-CHAPv2 以外の認証要求を送信するように設定できます。
アトリビュートのサポート
適応型セキュリティアプライアンスは、次の RADIUS アトリビュートのセットをサポートします。
• RFC 2138 に定義されている認証アトリビュート
• RFC 2139 に定義されているアカウンティングアトリビュート
• RFC 2868 に定義されているトンネルプロトコルサポート用の RADIUS アトリビュート
• RADIUS ベンダー ID 9 によって識別される Cisco IOS VSA
• RADIUS ベンダー ID 3076 によって識別される Cisco VPN 関連 VSA
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-4
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバおよびローカルデータベースのサポート
• RFC 2548 に定義されている Microsoft VSA
RADIUS 認可機能
適応型セキュリティアプライアンスでは RADIUS サーバを使用して、ダイナミックアクセスリストま
たはユーザごとのアクセスリスト名を使用するネットワークアクセスに対して、ユーザ認可を実行で
きます。ダイナミックアクセスリストを実装するには、これをサポートするように RADIUS サーバを
設定する必要があります。ユーザを認証する場合、RADIUS サーバによってダウンロード可能なアク
セスリスト、またはアクセスリスト名が適応型セキュリティアプライアンスに送信されます。所定の
サービスへのアクセスがアクセスリストによって許可または拒否されます。認証セッションの有効期限
が切れると、適応型セキュリティアプライアンスによってアクセスリストが削除されます。
TACACS+ サーバのサポート
適応型セキュリティアプライアンスは、ASCII、PAP、CHAP、および MS-CHAPv1 で TACACS+ 認
証をサポートします。
RSA/SDI サーバのサポート
RSA SecureID サーバは、SDI サーバとも呼ばれます。
ここでは、次の項目について説明します。
• 「RSA/SDI バージョンのサポート」（P.36-5）
• 「2 ステップ認証プロセス」（P.36-5）
• 「SDI プライマリサーバおよびレプリカサーバ」（P.36-6）
RSA/SDI バージョンのサポート
適応型セキュリティアプライアンスでは、SDI バージョン 5.0 および 6.0 がサポートされています。
SDI は、SDI プライマリサーバおよび SDI レプリカサーバの概念を使用します。各プライマリおよび
そのレプリカは、シングルノード秘密ファイルを共有します。そのノード秘密ファイルの名前は、.sdi
が付加された ACE/ サーバ IP アドレスの 16 進数値に基づきます。
適応型セキュリティアプライアンスに設定するバージョン 5.0 または 6.0 SDI サーバは、プライマリで
も、レプリカのいずれか 1 つでもかまいません。ユーザ認証のための SDI エージェントによるサーバ
の選択方法の詳細については、「SDI プライマリサーバおよびレプリカサーバ」（P.36-6）を参照して
ください。
2 ステップ認証プロセス
SDI バージョン 5.0 および 6.0 は 2 ステップのプロセスを使用して、侵入者が RSA SecurID 認証要求
から情報を取り込み、それを使用して別のサーバに認証を証明しないように防止します。エージェント
はまず、SecurID サーバにロック要求を送信してから、ユーザ認証要求を送信します。サーバはユーザ
名をロックして、別の（レプリカ）サーバがユーザ名を受信できないようにします。これは、同じユー
ザが、同じ認証サーバを同時に使用して、2 つの適応型セキュリティアプライアンスに認証を証明する
ことができないことを意味します。ユーザ名のロックに成功すると、適応型セキュリティアプライア
ンスはパスコードを送信します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-5
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバおよびローカルデータベースのサポート
SDI プライマリサーバおよびレプリカサーバ
適応型セキュリティアプライアンスは、最初のユーザが設定済みサーバ（プライマリでもレプリカで
もかまいません）に認証を証明するときに、サーバリストを取得します。次に、適応型セキュリティ
アプライアンスはリスト上の各サーバにプライオリティを割り当て、その後のサーバ選択では、この割
り当てられたプライオリティのサーバから無作為に抽出します。最もプライオリティの高いサーバが選
択される可能性が高くなります。
NT サーバのサポート
適応型セキュリティアプライアンスは、NTLM バージョン 1（集合的に NT サーバと呼びます）をサ
ポートしている Microsoft Windows サーバオペレーティングシステムをサポートします。
（注）
NT サーバでは、ユーザパスワードの最大長は 14 文字です。それより長いパスワードは切り捨てられ
ます。これは、NTLM バージョン 1 の制限です。
Kerberos サーバのサポート
適応型セキュリティアプライアンスは、3DES、DES、および RC4 暗号タイプをサポートしています。
（注）
適応型セキュリティアプライアンスは、トンネルネゴシエーション中のユーザパスワードの変更はサ
ポートしていません。この状況が意図せずに発生することを回避するために、適応型セキュリティア
プライアンスに接続するユーザの Kerberos/Active Directory サーバでのパスワード期限切れをディ
セーブルにします。
単純な Kerberos サーバコンフィギュレーションの例については、「例 36-2」（P.36-13）を参照してく
ださい。
LDAP サーバのサポート
適応型セキュリティアプライアンスでは LDAP をサポートしています。詳細については、「LDAP
サーバの設定」（P.36-13）を参照してください。
HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート
適応型セキュリティアプライアンスでは、クライアントレス SSL VPN ユーザの Single Sign-On
（SSO; シングルサインオン）認証だけに HTTP Form プロトコルを使用できます。シングルサインオ
ンのサポートを使用すると、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを 1 回入
力するだけで、複数の保護されたサービスや Web サーバにアクセスできます。適応型セキュリティア
プライアンスで実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシ
として動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパス
ワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。サーバが認証要求を受け
入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。適応型セキュリ
ティアプライアンスは、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使
用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-6
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバおよびローカルデータベースのサポート
HTTP Form プロトコル以外に、クライアントレス SSL VPN 管理者は、HTTP Basic と NTLM 認証プ
ロトコル（auto-singon コマンド）、または Computer Associates eTrust SiteMinder SSO サーバ（従来
の Netegrity SiteMinder）を使用して SSO を設定することを選択できます。HTTP Form、auto-signon
または SiteMinder を使用した SSO の設定の詳細については、「クライアントレス SSL VPN の設定」
の章を参照してください。
ローカルデータベースのサポート
適応型セキュリティアプライアンスは、ユーザプロファイルを取り込むことができるローカルデータ
ベースを管理します。
ここでは、次の項目について説明します。
• 「ユーザプロファイル」（P.36-7）
• 「フォールバックサポート」（P.36-7）
ユーザプロファイル
ユーザプロファイルには、少なくともユーザ名が含まれています。通常、パスワードはオプションで
すが、各ユーザ名にパスワードが割り当てられます。
username attributes コマンドによって、ユーザ名モードに移行できます。このモードでは、特定の
ユーザプロファイルにその他の情報を追加できます。追加できる情報には、VPN セッションタイムア
ウト値など VPN 関連アトリビュートが含まれます。
フォールバックサポート
ローカルデータベースは、複数の機能のフォールバック方式として動作できます。この動作は、適応
型セキュリティアプライアンスから誤ってロックアウトされないようにすることを意図しています。
フォールバックサポートを必要とするユーザでは、ローカルデータベース内のユーザ名とパスワード
と AAA サーバ内のユーザ名とパスワードを一致させることをお勧めします。これにより、透過フォー
ルバックがサポートされます。ユーザは、AAA サーバとローカルデータベースのどちらがサービスを
提供しているかが判別できないので、ローカルデータベースのユーザ名およびパスワードとは異なる
ユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードを
ユーザが確信できないことを意味します。
ローカルデータベースでサポートされているフォールバック機能は次のとおりです。
• コンソールおよびイネーブルパスワード認証：aaa authentication console コマンドを使用する場
合、AAA サーバグループタグの後に LOCAL キーワードが追加できます。グループ内のサーバ
がすべて使用できない場合、適応型セキュリティアプライアンスはローカルデータベースを使用
して管理アクセスを認証します。これには、イネーブルパスワード認証も含めることができます。
• コマンド認可：aaa authorization command コマンドを使用する場合、AAA サーバグループタグ
の後に LOCAL キーワードが追加できます。グループ内の TACACS+ サーバがすべて使用できない
場合、特権レベルに基づいてコマンドを認可するためにローカルデータベースが使用されます。
• VPN 認証および認可：VPN 認証および認可は、通常この VPN サービスをサポートしている AAA
サーバが使用できない場合、適応型セキュリティアプライアンスへのリモートアクセスをイネー
ブルにするためにサポートされます。authentication-server-group コマンド（トンネルグループ
一般アトリビュートモードで使用可能）を使用すると、トンネルグループのアトリビュートを設
定するときに、LOCAL キーワードが指定できます。管理者である VPN クライアントが、ローカ
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-7
第 36 章
AAA サーバとローカルデータベースの設定
ローカルデータベースの設定
ルデータベースへのフォールバックを設定されたトンネルグループを指定する場合、AAA サーバ
グループが使用できない場合でも、ローカルデータベースが必要なアトリビュートで設定されて
いれば、VPN トンネルが確立できます。
ローカルデータベースの設定
ここでは、ローカルデータベース内のユーザの管理方法について説明します。ローカルデータベース
は、CLI アクセス認証、特権モード認証、コマンド認可、ネットワークアクセス認証、および VPN 認
証および認可に使用できます。ネットワークアクセス認証には、ローカルデータベースは使用できま
せん。ローカルデータベースはアカウンティングをサポートしません。
マルチコンテキストモードの場合、システム実行スペースでユーザ名を設定し、login コマンドを使用
して個々のログインを指定できます。しかし、システム実行スペースでは aaa コマンドは設定できま
せん。
ローカルデータベースにユーザアカウントを定義するには、次の手順を実行します。
ステップ 1
ユーザアカウントを作成するには、次のコマンドを入力します。
hostname(config)# username name {nopassword | password password [mschap]} [privilege
priv_level]
username キーワードは、4 ～ 64 文字の文字列です。
password password 引数は、3 ～ 16 文字の文字列です。
mschap キーワードは、パスワードを入力した後に、そのパスワードが Unicode に変換され、MD4 を
使用してハッシュされることを示します。ユーザが MSCHAPv1 または MSCHAPv2 を使用して認証さ
れている場合は、このキーワードを使用します。
privilege level 引数では、0 ～ 15 の特権レベルを設定します。デフォルトは 2 です。この特権レベル
は、コマンド認可で使用されます。
注意
コマンド認可を使用していない場合（aaa authorization command LOCAL コマンド）、デフォル
トのレベル 2 を使用して特権 EXEC モードにアクセスできます。特権 EXEC モードへのアクセス
を制限する場合、特権レベルを 0 または 1 に設定するか、または service-type コマンドを使用しま
す（ステップ 4 を参照）。
nopassword キーワードは、パスワードを指定しないユーザアカウントを作成します。
（注）
通常、encrypted および nt-encrypted キーワードは表示専用です。username コマンドでパスワード
を定義する場合、適応型セキュリティアプライアンスはパスワードをコンフィギュレーションに保存
するときに、セキュリティのために暗号化します。show running-config コマンドを入力すると、
username コマンドは実際のパスワードを表示しません。このコマンドは暗号化されたパスワードを表
示し、次に encrypted または nt-encrypted キーワード（mschap を指定する場合）を表示します。た
とえば、パスワードに「test」と入力すると、show running-config は次のように表示します。
username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
実際に CLI で encrypted または nt-encrypted キーワードを入力するのは、ある設定を他の適応型セキュ
リティアプライアンスにカットアンドペーストして、同じパスワードを使用している場合だけです。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-8
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
ローカルデータベースの設定
ステップ 2
（オプション）管理アクセスを認証するユーザに、ユーザ固有のアクセスレベルを強制するには（aaa
authentication console LOCAL コマンドを参照 )、次のコマンドを入力します。
hostname(config)# aaa authorization exec authentication-server
このコマンドにより、ローカルユーザと、RADIUS、LADA、および TACACS+ で認証されたすべて
のユーザの管理認可がイネーブルになります。AAA サーバのユーザを管理認可が有効になるように設
定する方法については、「管理認可によるユーザ CLI および ASDM アクセスの制限」（P.37-7）を参照
してください。
ローカルユーザの場合、ステップ 4 で説明する service-type コマンドを使用してアクセスのレベルを
設定します。
ステップ 3
（オプション）ユーザ名アトリビュートを設定するには、次のコマンドを使用します。
hostname(config)# username username attributes
username 引数はステップ 1 で作成したユーザ名です。
ステップ 4
（オプション）ステップ 2 で管理認可を設定した場合、次のコマンドを入力してユーザレベルを設定し
ます。
hostname(config-username)# service-type {admin | nas-prompt | remote-access}
admin キーワードは、aaa authentication console LOCAL コマンドによって指定されたサービスへの
フルアクセスを許可します。デフォルトは admin です。admin がデフォルトです。
nas-prompt キーワードは、aaa authentication {telnet | ssh | serial} console LOCAL コマンドを設定
しているときに CLI へのアクセスを許可しますが、aaa authentication http console LOCAL コマンド
を設定しているときは ASDM へのコンフィギュレーションアクセスを拒否します。ASDM のモニタ
リングアクセスは許可されます。aaa authentication enable console LOCAL コマンドを使用してイ
ネーブル認証を設定している場合、ユーザは、enable コマンドを使用して（または login コマンドを
使用して）特権 EXEC モードにアクセスできません。
remote-access キーワードは管理アクセスを拒否します。ユーザは、aaa authentication console
LOCAL コマンドで指定されているいずれのサービスも使用できません（serial キーワードは除きま
す。この場合、シリアルアクセスは許可されます）。
ステップ 5
（オプション）VPN 認証にこのユーザ名を使用している場合、そのユーザに多くの VPN アトリビュー
トを設定できます。「ユーザアトリビュートの設定」（P.64-82）を参照してください。
たとえば、次のコマンドは、admin ユーザアカウントに対して特権レベル 15 を割り当てます。
hostname(config)# username admin password passw0rd privilege 15
次のコマンドは、パスワードを指定しないユーザアカウントを作成します。
hostname(config)# username bcham34 nopassword
次のコマンドは、管理認可をイネーブルにし、パスワードを指定するユーザアカウントを作成し、
ユーザ名アトリビュートコンフィギュレーションモードに移行して、service-type アトリビュートを
指定します。
hostname(config)# aaa authorization exec authentication-server
hostname(config)# username rwilliams password gOgeOus
hostname(config)# username rwilliams attributes
hostname(config-username)# service-type nas-prompt
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-9
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバグループおよびサーバの識別
AAA サーバグループおよびサーバの識別
認証、認可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあ
たり少なくとも 1 つの AAA サーバグループを作成して、各グループに 1 つ以上のサーバを追加する必
要があります。AAA サーバグループは名前で識別されます。各サーバグループは、Kerberos、
LDAP、NT、RADIUS、SDI、または TACACS+ というサーバの 1 つのタイプ専用となります。
適応型セキュリティアプライアンスは、グループ内の最初のサーバにアクセスします。そのサーバが
使用できない場合、適応型セキュリティアプライアンスはグループ内の次のサーバにアクセスします
（設定されている場合）。グループ内のすべてのサーバが使用できない場合、適応型セキュリティアプ
ライアンスは、ローカルデータベースがフォールバック方式として設定されていると、ローカルデー
タベースに接続しようとします（管理認証および認可限定）。フォールバック方式として設定されてい
ない場合、適応型セキュリティアプライアンスは引き続き AAA サーバにアクセスしようとします。
サーバグループを作成して、AAA サーバを追加するには、次の手順を実行します。
ステップ 1
作成する必要のある AAA サーバについて、次の手順を実行します。
a. サーバグループ名とプロトコルを指定します。これを行うには、次のコマンドを入力します。
hostname(config)# aaa-server server_group protocol {kerberos | ldap | nt | radius |
sdi | tacacs+}
たとえば、RADIUS を使用してネットワークアクセスを認証し、TACACS+ を使用して CLI アク
セスを認証するには、RADIUS サーバ用に 1 つ、TACACS+ サーバ用に 1 つというように、最低
2 つのサーバグループを作成する必要があります。
最大 15 のシングルモードサーバグループまたは 4 つのマルチモードサーバグループを指定でき
ます。各サーバグループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを
含めることができます。
aaa-server protocol コマンドを入力する場合は、グループモードに移行します。
b. 次のサーバを作成する前に、グループ内の AAA サーバに送信される要求の最大数を指定する場合
は、次のコマンドを入力します。
hostname(config-aaa-server-group)# max-failed-attempts number
number には、1 ～ 5 の値を指定できます。デフォルトは 3 です。
ローカルデータベースを使用してフォールバック方式を設定し（管理アクセスだけの場合は、「シ
（P.37-5）および「TACACS+ コマンド認可の設定」
（P.37-14）を参
ステム管理者用 AAA の設定」
照してフォールバックメカニズムを設定）、グループ内のすべてのサーバが応答できなかった場
合、グループは非応答と見なされ、フォールバック方式が試行されます。サーバグループで、追
加の AAA 要求によるアクセスがない、非応答と見なされる時間が 10 分間（デフォルト）続いた
ら、ただちにフォールバック方式が使用されます。非応答時間をデフォルトから変更するには、次
のステップの reactivation-mode コマンドを参照してください。
フォールバック方式として設定されていない場合、適応型セキュリティアプライアンスは引き続
きグループ内のサーバにアクセスしようとします。
c. グループ内の障害の発生したサーバが再度アクティブ化される方法（再アクティブ化ポリシー）を
指定する場合は、次のコマンドを入力します。
hostname(config-aaa-server-group)# # reactivation-mode {depletion [deadtime minutes] |
timed}
depletion キーワードは、グループ内のすべてのサーバが非アクティブになった後に、障害の発生
したサーバを再度アクティブ化します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-10
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバグループおよびサーバの識別
deadtime minutes 引数は、グループ内の最後のサーバをディセーブルにしてから、次にすべての
サーバを再度イネーブルにするまでの経過時間を分単位で 0 ～ 1440 から指定します。デフォルト
は 10 分です。
timed キーワードは、30 秒間のダウンタイムの後に障害が発生したサーバを再度アクティブ化し
ます。
d. グループのすべてのサーバにアカウンティングメッセージを送信する場合（RADIUS または
TACACS+ 限定）、次のコマンドを入力します。
hostname(config-aaa-server-group)# accounting-mode simultaneous
アクティブサーバだけ送信メッセージをデフォルトに戻すには、accounting-mode single コマン
ドを入力します。
ステップ 2
ネットワーク上の各 AAA サーバについて、次の手順を実行します。
a. サーバを、所属する AAA サーバグループを含めて、指定します。これを行うには、次のコマンド
を入力します。
hostname(config)# aaa-server server_group (interface_name) host server_ip
aaa-server host コマンドを入力する場合、ホストモードに移行します。
b. 必要に応じて、ホストモードコマンドを使用して、さらに AAA サーバを設定します。
ホストモードでのコマンドは、すべての AAA サーバタイプに適用されるわけではありません。
表 36-2 に、使用可能なコマンド、適用先のサーバタイプ、および新規 AAA サーバ定義にそのコ
マンドのデフォルト値が指定されているかどうかを示します。コマンドが、指定したサーバタイ
プに適用可能で、デフォルト値が用意されていない場合は（「—」で示す）、コマンドを使用して値
を指定します。これらのコマンドの詳細については、『Cisco ASA 5500 Series Command
Reference』を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-11
第 36 章
AAA サーバとローカルデータベースの設定
AAA サーバグループおよびサーバの識別
表 36-2
ホストモードコマンド、サーバタイプ、およびデフォルト
コマンド
適用可能な AAA サーバタイプ
デフォルト値
accounting-port
RADIUS
1646
acl-netmask-convert
RADIUS
標準
authentication-port
RADIUS
1645
kerberos-realm
Kerberos
—
key
RADIUS
—
TACACS+
—
ldap-attribute-map
LDAP
—
ldap-base-dn
LDAP
—
ldap-login-dn
LDAP
—
ldap-login-password
LDAP
—
ldap-naming-attribute
LDAP
—
ldap-over-ssl
LDAP
—
ldap-scope
LDAP
—
maschapv2-capable
RADIUS
イネーブル
nt-auth-domain-controller NT
—
radius-common-pw
RADIUS
—
retry-interval
Kerberos
10 秒
RADIUS
10 秒
SDI
sasl-mechanism
LDAP
10 秒
—
server-port
Kerberos
88
LDAP
389
NT
139
SDI
5500
TACACS+
49
server-type
LDAP
auto-discovery
timeout
すべて
10 秒
例 36-1 に、1 つのプライマリサーバと 1 つのバックアップサーバを持つ 1 つの TACACS+ グループ、
単一のサーバを持つ 1 つの RADIUS グループ、および 1 つの NT ドメインサーバを追加するコマンド
を示します。
例 36-1
複数の AAA サーバグループおよびサーバ
hostname(config)# aaa-server AuthInbound protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 2
hostname(config-aaa-server-group)# reactivation-mode depletion deadtime 20
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.1
hostname(config-aaa-server-host)# key TACPlusUauthKey
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-12
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
LDAP サーバの設定
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthInbound (inside) host 10.1.1.2
hostname(config-aaa-server-host)# key TACPlusUauthKey2
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server AuthOutbound protocol radius
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server AuthOutbound (inside) host 10.1.1.3
hostname(config-aaa-server-host)# key RadUauthKey
hostname(config-aaa-server-host)# exit
hostname(config)# aaa-server NTAuth protocol nt
hostname(config-aaa-server-group)# exit
hostname(config)# aaa-server NTAuth (inside) host 10.1.1.4
hostname(config-aaa-server-host)# nt-auth-domain-controller primary1
hostname(config-aaa-server-host)# exit
例 36-2 に、watchdogs という名前の Kerberos AAA サーバグループを設定し、そのグループに AAA
サーバを追加して、そのサーバの Kerberos 領域を定義するコマンドを示します。例 36-2 では、リトラ
イインターバルと Kerberos サーバがリスンするポートを定義していないため、適応型セキュリティア
プライアンスは、これら 2 つのサーバ固有のパラメータにデフォルト値を使用します。表 36-2 に、す
べての AAA サーバホストモードコマンドのデフォルト値を示します。
（注）
Kerberos 領域名では数字と大文字だけを使用します。適応型セキュリティアプライアンスは領域名に
小文字を受け入れますが、小文字を大文字に変換しません。大文字だけを使用してください。
例 36-2
Kerberos サーバグループおよびサーバ
hostname(config)# aaa-server watchdogs protocol kerberos
hostname(config-aaa-server-group)# aaa-server watchdogs host 192.168.3.4
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#
LDAP サーバの設定
この項では、ユーザ認証と VPN 認可に適応型セキュリティアプライアンスを利用する LDAP ディレ
クトリの使用方法について説明します。この項は、次の内容で構成されています。
• 「LDAP による認証」（P.36-13）
• 「VPN のための LDAP での認可」（P.36-15）
• 「LDAP アトリビュートのマッピング」（P.36-15）
LDAP による認証または認可をセットアップする設定手順の例については、付録 D「認可および認証
用の外部サーバの設定」を参照してください。
LDAP による認証
認証中、適応型セキュリティアプライアンスは、ユーザの LDAP サーバへのクライアントプロキシと
して機能し、プレーンテキストまたは Simple Authentication and Security Layer（SASL）プロトコル
のいずれかを使って LDAP サーバに対する認証を行います。デフォルトで、適応型セキュリティアプ
ライアンスは、通常はユーザ名とパスワードである認証パラメータを LDAP サーバにプレーンテキス
トで渡します。SASL とプレーンテキストのいずれを使用する場合でも、ldap-over-ssl コマンドを使
用して、SSL で適応型セキュリティアプライアンスと LDAP サーバの間の通信を保護できます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-13
第 36 章
AAA サーバとローカルデータベースの設定
LDAP サーバの設定
（注）
SASL を設定しない場合、SSL で LDAP 通信を保護することを強くお勧めします。『Cisco ASA 5500
Series Command Reference』の ldap-over-ssl コマンドを参照してください。
ユーザ LDAP 認証が成功すると、LDAP サーバは認証されたユーザのアトリビュートを返します。
VPN 認証では、通常これらのアトリビュートには、VPN セッションに適用される認可データが含まれ
ます。したがって、LDAP を使用すると、認証と認可が 1 つのステップで行われます。
SASL を使用した LDAP 認証の保護
適応型セキュリティアプライアンスでは、次の SASL メカニズムをサポートしています。次に、強度
の低い順番に示します。
• Digest-MD5：適応型セキュリティアプライアンスは、ユーザ名とパスワードから計算した MD5
値を使用して LDAP サーバに応答します。
• Kerberos：適応型セキュリティアプライアンスは、Generic Security Services Application
Programming Interface（GSSAPI; 汎用セキュリティサービス API）Kerberos メカニズムを使用し
て、ユーザ名と領域を送信することで LDAP サーバに応答します。
これらの SASL メカニズムの任意の組み合せをサポートするように、適応型セキュリティアプライア
ンスと LDAP サーバを設定できます。複数のメカニズムを設定した場合、適応型セキュリティアプラ
イアンスはサーバに設定されている SASL メカニズムのリストを取得し、認証メカニズムを適応型セ
キュリティアプライアンスとサーバの両方に設定されているメカニズムで最も強力なものに設定しま
す。たとえば、LDAP サーバと適応型セキュリティアプライアンスの両方がこれら両方のメカニズム
をサポートしている場合、適応型セキュリティアプライアンスは、より強力な方の Kerberos メカニズ
ムを選択します。
次の例では、ldap_dir_1 という名前の LDAP ディレクトリサーバに対する認証に digest-MD5 SASL
メカニズムを使用し、SSL で保護された接続で通信するように適応型セキュリティアプライアンスを
設定します。
hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# sasl-mechanism digest-md5
hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#
LDAP サーバタイプの設定
適応型セキュリティアプライアンスは LDAP バージョン 3 をサポートしており、Sun Microsystems
JAVA System Directory Server（従来の Sun ONE Directory Server）、Microsoft Active Directory、お
よびその他の LDAPv3 ディレクトリサーバと互換性があります。
デフォルトで、適応型セキュリティアプライアンスは、Microsoft Active Directory、Sun LDAP ディ
レクトリサーバ、または汎用 LDAPv3 ディレクトリサーバのどれに接続されているかを自動検出しま
す。ただし、自動検出で LDAP サーバタイプを特定できず、そのサーバが Microsoft、Sun、または汎
用 LDAP サーバのいずれであるかを把握している場合は、キーワード sun、microsoft、または
generic を使用して、サーバタイプを手動で設定できます。次の例では、LDAP ディレクトリサーバ
ldap_dir_1 を Sun Microsystems タイプに設定します。
hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# server-type sun
hostname(config-aaa-server-host)#
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-14
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
LDAP サーバの設定
（注）
•
Sun：Sun ディレクトリサーバにアクセスするように適応型セキュリティアプライアンスで設定さ
れている DN は、そのサーバのデフォルトパスワードポリシーにアクセスできる必要があります。
ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧
めします。または、デフォルトのパスワードポリシーに ACI を設定することもできます。
• Microsoft：Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over
SSL を設定する必要があります。
• Generic：適応型セキュリティアプライアンスでは、汎用 LDAPv3 ディレクトリサーバでのパス
ワードの管理をサポートしていません。
VPN のための LDAP での認可
VPN アクセスのためのユーザ LDAP 認証が成功すると、適応型セキュリティアプライアンスは、
LDAP アトリビュートを返す LDAP サーバのクエリーを実行します。通常これらのアトリビュートに
は、VPN セッションに適用される認可データが含まれます。したがって、LDAP を使用すると、認証
と認可が 1 つのステップで行われます。
ただし、場合によっては、認可メカニズムとは別の異なる認可を LDAP ディレクトリサーバから取得
する必要があります。たとえば、認証に SDI または証明書サーバを使用している場合、認可情報は返
されません。この場合、ユーザ認可では、認証の成功後に LDAP ディレクトリのクエリーを実行する
ため、認証と認可は 2 つのステップで行われます。
LDAP を使用する VPN ユーザ認可を設定するには、最初に AAA サーバグループとトンネルグループ
を作成する必要があります。次に、tunnel-group general-attributes コマンドを使用して、サーバと
トンネルグループを関連付けます。特定の要件で使用できる認可関連のコマンドとオプションは他に
もありますが、次の例では、LDAP でのユーザ認可をイネーブルにする基本のコマンドを示します。
この例では、remote-1 という名前の IPsec リモートアクセストンネルグループを作成し、以前作成し
た認可のための ldap_dir_1 AAA サーバに、その新しいトンネルグループを割り当てます。
hostname(config)# tunnel-group remote-1 type ipsec-ra
hostname(config)# tunnel-group remote-1 general-attributes
hostname(config-general)# authorization-server-group ldap_dir_1
hostname(config-general)#
この基本設定作業が完了したら、ディレクトリパスワード、ディレクトリ検索の開始点、ディレクト
リ検索の範囲など、追加の LDAP 認可パラメータを次のように設定できます。
hostname(config)# aaa-server ldap_dir_1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# ldap-login-dn obscurepassword
hostname(config-aaa-server-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)#
詳細については、『Cisco ASA 5500 Series Command Reference』の LDAP コマンドを参照してくださ
い。
LDAP アトリビュートのマッピング
既存の LDAP ディレクトリに適応型セキュリティアプライアンスを導入する場合、その LDAP アトリ
ビュートの名前および値は、既存のものとは異なる場合があります。既存のユーザ定義のアトリビュー
トの名前および値を、適応型セキュリティアプライアンスと互換性のあるシスコのアトリビュートの
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-15
第 36 章
AAA サーバとローカルデータベースの設定
LDAP サーバの設定
名前と値にマッピングする LDAP アトリビュートマップを作成する必要があります。それらのアトリ
ビュートマップを LDAP サーバにバインドしたり、必要に応じて削除したりすることができます。ま
た、アトリビュートマップを表示または消去することもできます。
（注）
アトリビュートマッピング機能を適切に使用するには、シスコの LDAP アトリビュートの名前と値、
およびユーザ定義のアトリビュートと値を理解する必要があります。
グローバルコンフィギュレーションモードで入力された次のコマンドは、att_map_1 という名前の空
の LDAP アトリビュートマップテーブルを作成します。
hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)#
次のコマンドは、ユーザ定義のアトリビュート名 department を、シスコのアトリビュート名
IETF-Radius-Class にマッピングします。2 つ目のコマンドは、ユーザ定義のアトリビュート値
Engineering を、ユーザ定義のアトリビュート department とシスコ定義のアトリビュート値 group1 に
マッピングします。
hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name department IETF-Radius-Class
hostname(config-ldap-attribute-map)# map-value department Engineering group1
hostname(config-ldap-attribute-map)#
次のコマンドは、アトリビュートマップ att_map_1 を、LDAP サーバ ldap_dir_1 にバインドします。
hostname(config)# aaa-server ldap_dir_1 host 10.1.1.4
hostname(config-aaa-server-host)# ldap-attribute-map att_map_1
hostname(config-aaa-server-host)#
（注）
アトリビュートマップを作成するためのコマンド（ldap attribute-map）と、それを LDAP サーバに
バインドするためのコマンド（ldap-attribute-map）は、ハイフン 1 つとモードが異なります。
次のコマンドは、実行コンフィギュレーション内のすべての LDAP アトリビュートマップを表示また
は消去します。
hostname# show running-config all ldap attribute-map
hostname(config)# clear configuration ldap attribute-map
hostname(config)#
頻繁にマッピングされるシスコの LDAP アトリビュートの名前と、一般にマッピングされるユーザ定
義のアトリビュートのタイプは次のとおりです。
IETF-Radius-Class — Department or user group
IETF-Radius-Filter-Id — Access control list
IETF-Radius-Framed-IP-Address — A static IP address
IPSec-Banner1 — A organization title
Tunneling-Protocols — Allow or deny dial-in
次の例は、accessType という名前の LDAP アトリビュートに基づいて管理セッションを適応型セキュ
リティアプライアンスに制限する方法を示しています。accessType アトリビュートの有効な値は次の
3 つです。
•
VPN
•
admin
•
helpdesk
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-16
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
証明書とユーザログインクレデンシャルの使用
各値は、適応型セキュリティアプライアンスでサポートされる有効な IETF RADIUS Service-Type
（remote-access（Service-Type 5）発信、admin（Service-Type 6）管理、および nas-prompt
（Service-Type 7）NAS プロンプト）のいずれかにマッピングされます。
hostname(config)# ldap attribute-map
hostname(config-ldap-attribute-map)#
hostname(config-ldap-attribute-map)#
hostname(config-ldap-attribute-map)#
hostname(config-ldap-attribute-map)#
MGMT
map-name accessType IETF-Radius-Service-Type
map-value accessType VPN 5
map-value accessType admin 6
map-value accessType helpdesk 7
hostname(config-ldap-attribute-map)# aaa-server LDAP protocol ldap
hostname(config-aaa-server-group)# aaa-server LDAP (inside) host 10.1.254.91
hostname(config-aaa-server-host)# ldap-base-dn CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)# ldap-login-password test
hostname(config-aaa-server-host)# ldap-login-dn
CN=Administrator,CN=Users,DC=cisco,DC=local
hostname(config-aaa-server-host)# server-type auto-detect
hostname(config-aaa-server-host)# ldap-attribute-map MGMT
シスコの LDAP アトリビュートの名前と値のリストについては、付録 D「認可および認証用の外部
サーバの設定」を参照してください。または、次の例のように ldap-attribute-map モードで「?」と入
力して、シスコの LDAP アトリビュート名の完全なリストを表示することもできます。
hostname(config)# ldap attribute-map att_map_1
hostname(config-ldap-attribute-map)# map-name att_map_1 ?
ldap mode commands/options:
cisco-attribute-names:
Access-Hours
Allow-Network-Extension-Mode
Auth-Service-Type
Authenticated-User-Idle-Timeout
Authorization-Required
Authorization-Type
:
:
X509-Cert-Data
hostname(config-ldap-attribute-map)#
証明書とユーザログインクレデンシャルの使用
この項では、認証と認可に証明書およびユーザログインクレデンシャル（ユーザ名とパスワード）を
使用する、さまざまな方法について説明します。これは IPsec とクライアントレス SSL VPN の両方に
適用されます。
すべての場合において、LDAP 認可では、パスワードをクレデンシャルとして使用しません。
RADIUS 認可では、すべてのユーザの共通パスワードまたはユーザ名のいずれかを、パスワードとし
て使用します。
ユーザログインクレデンシャルの使用
認証および認可のデフォルトの方法では、ユーザログインクレデンシャルを使用します。
• 認証
– 認証サーバグループ設定によってイネーブルにされます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-17
第 36 章
AAA サーバとローカルデータベースの設定
Zone Labs Integrity サーバのサポート
– ユーザ名とパスワードをクレデンシャルとして使用します。
• 認可
– 認可サーバグループ設定によってイネーブルにされます。
– ユーザ名をクレデンシャルとして使用します。
証明書の使用
ユーザデジタル証明書が設定されている場合、セキュリティアプライアンスは最初に証明書を検証し
ます。ただし、証明書の DN を認証用のユーザ名として使用しません。
認証と認可の両方がイネーブルになっている場合、セキュリティアプライアンスは、ユーザの認証と
認可の両方にユーザログインクレデンシャルを使用します。
• 認証
– 認証サーバグループ設定によってイネーブルにされます。
– ユーザ名とパスワードをクレデンシャルとして使用します。
• 認可
– 認可サーバグループ設定によってイネーブルにされます。
– ユーザ名をクレデンシャルとして使用します。
認証がディセーブルで認可がイネーブルになっている場合、セキュリティアプライアンスは認可にプ
ライマリ DN フィールドを使用します。
• 認証
– 認証サーバグループ設定によってディセーブル（None に設定）になります。
– クレデンシャルは使用されません。
• 認可
– 認可サーバグループ設定によってイネーブルにされます。
– 証明書のプライマリ DN フィールドのユーザ名の値をクレデンシャルとして使用します。
（注）
証明書にプライマリ DN フィールドが存在しない場合、セカンダリ DN フィールドの値を認可要求の
ユーザ名として使用します。
次の Subject DN フィールドと値が含まれるユーザ証明書を例に挙げます。
Cn=anyuser,OU=sales;O=XYZCorporation;L=boston;S=mass;C=us;[email protected] .
プライマリ DN = EA（電子メールアドレス）およびセカンダリ DN = CN（通常名）の場合、認可要求
で使われるユーザ名は [email protected] になります。
Zone Labs Integrity サーバのサポート
この項では Zone Labs Integrity サーバ（Check Point Integrity サーバとも呼ばれる）について説明し、
Zone Labs Integrity サーバをサポートするように適応型セキュリティアプライアンスを設定する手順
の例を示します。Integrity サーバは、リモート PC 上でセキュリティポリシーを設定および実行するた
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-18
OL-18970-01-J
第 36 章
AAA サーバとローカルデータベースの設定
Zone Labs Integrity サーバのサポート
めの中央管理ステーションです。リモート PC が Integrity サーバによって指定されたセキュリティポ
リシーと適合しない場合、Integrity サーバおよび適応型セキュリティアプライアンスが保護するプラ
イベートネットワークへのアクセス権が与えられません。
この項は、次の内容で構成されています。
• 「Integrity サーバとセキュリティアプライアンスの相互関係の概要」（P.36-19）
• 「Integrity サーバのサポートの設定」（P.36-19）
Integrity サーバとセキュリティアプライアンスの相互関係の概要
VPN クライアントソフトウェアと Integrity クライアントソフトウェアは、リモート PC 上に共に常駐
しています。次の手順では、リモート PC と企業のプライベートネットワーク間にセッションを確立す
る際のリモート PC、適応型セキュリティアプライアンス、および Integrity サーバのアクションをまと
めます。
1. VPN クライアントソフトウェア（Integrity クライアントソフトウェアと同じリモート PC に常駐）
は、適応型セキュリティアプライアンスに接続し、それがどのタイプのファイアウォールクライ
アントであるかを適応型セキュリティアプライアンスに知らせます。
2. クライアントファイアウォールのタイプを承認すると、適応型セキュリティアプライアンスは
Integrity サーバのアドレス情報を Integrity クライアントに返します。
3. 適応型セキュリティアプライアンスはプロキシとして動作し、Integrity クライアントは Integrity
サーバとの制限付き接続を確立します。制限付き接続は、Integrity クライアントとサーバの間だけ
で確立されます。
4. Integrity サーバは、Integrity クライアントが指定されたセキュリティポリシーに準拠しているか
どうかを特定します。クライアントがセキュリティポリシーに準拠している場合、Integrity サー
バは適応型セキュリティアプライアンスに対して、接続を開いて接続の詳細をクライアントに提
供するように指示します。
5. リモート PC では、VPN クライアントが接続の詳細を Integrity クライアントに渡し、ポリシーの
実施がただちに開始され、クライアントはプライベートネットワークに入ることができない旨を
知らせます。
6. 接続が確立すると、サーバは、クライアントハートビートメッセージを使用してクライアントの
状態の監視を続けます。
（注）
ユーザインターフェイスが最大 5 つの Integrity サーバの設定をサポートしている場合でも、現在のリ
リースのセキュリティアプライアンスが一度にサポートする Integrity サーバは 1 つです。アクティブ
サーバに障害が発生したら、適応型セキュリティアプライアンス上に別の Integrity サーバを設定して
から、クライアント VPN セッションを再度確立します。
Integrity サーバのサポートの設定
この項では、Zone Labs Integrity サーバをサポートするように適応型セキュリティアプライアンスを
設定するための例の手順を説明します。この手順には、アドレス、ポート、接続障害タイムアウトおよ
び障害の状態、および SSL 証明書パラメータの設定が含まれます。
まず、Integrity サーバのホスト名または IP アドレスを設定する必要があります。次のコマンド例は、
グローバルコンフィギュレーションモードで入力され、IP アドレス 10.0.0.5 を使用して Integrity サー
バを設定します。また、Integrity サーバと通信するために、ポート 300（デフォルトポートは 5054）
と内部インターフェイスを指定します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
36-19
第 36 章
AAA サーバとローカルデータベースの設定
Zone Labs Integrity サーバのサポート
hostname(config)# zonelabs-integrity server-address 10.0.0.5
hostname(config)# zonelabs-integrity port 300
hostname(config)# zonelabs-integrity interface inside
hostname(config)#
適応型セキュリティアプライアンスと Integrity サーバの間の接続で障害が発生した場合、エンタープ
ライズ VPN が Integrity サーバの障害によって中断されないように、デフォルトで VPN クライアント
接続は開いたままになります。ただし、Zone Labs Integrity サーバに障害が発生すると、場合によって
は VPN 接続を閉じる必要があります。次のコマンドによって、Integrity サーバに障害があることを宣
言して VPN クライアント接続を閉じる前に、適応型セキュリティアプライアンスはアクティブまたは
スタンバイ Integrity サーバからの応答を 12 秒間待ちます。
hostname(config)# zonelabs-integrity fail-timeout 12
hostname(config)# zonelabs-integrity fail-close
hostname(config)#
次のコマンドは、設定された VPN クライアント接続の障害状態をデフォルトに戻して、クライアント
接続を開いたままにします。
hostname(config)# zonelabs-integrity fail-open
hostname(config)#
次の例のコマンドは、Integrity サーバが適応型セキュリティアプライアンス上のポート 300（デフォ
ルトはポート 80）に接続して、サーバの SSL 証明書を要求するように指定します。サーバの SSL 証明
書は常に認証されますが、これらのコマンドでは、Integrity サーバのクライアント SSL 証明書も認証
されるように指定します。
hostname(config)# zonelabs-integrity ssl-certificate-port 300
hostname(config)# zonelabs-integrity ssl-client-authentication
hostname(config)#
ファイアウォールクライアントのタイプを Zone Labs Integrity タイプに設定するには、「ファイア
ウォールポリシーの設定」（P.64-65）で説明するように、client-firewall コマンドを使用します。ファ
イアウォールのタイプが zonelabs-integrity の場合、Integrity サーバがポリシーを決定するため、ファ
イアウォールポリシーを指定するコマンド引数は使用されません。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
36-20
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz