ad-agent-mode
Cisco アイデンティティ ファイアウォール インスタンスの Active Directory エージェントを設定できるように AD エージェントモードをイネーブルにするには、グローバル コンフィギュレーション モードで ad-agent-mode コマンドを使用します。
ad-agent-mode
構文の説明
このコマンドには引数またはキーワードはありません。
コマンド デフォルト
デフォルトの動作や値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
---|---|---|---|---|---|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
コンテキスト |
システム |
||||
グローバル コンフィギュレーション |
|
— |
|
— |
— |
コマンド履歴
リリース |
変更内容 |
---|---|
8.4(2) |
このコマンドが追加されました。 |
使用上のガイドライン
アイデンティティ ファイアウォールに対して Active Directory エージェントを設定するには、aaa-server コマンドのサブモードである ad-agent-mode コマンドを入力します。ad-agent-mode コマンドを入力すると、AAA サーバー グループ コンフィギュレーション モードが開始されます。
AD エージェントは、定期的に、または要求に応じて、WMI を介して Active Directory サーバーのセキュリティ イベント ログ ファイルをモニターし、ユーザーのログインおよびログオフ イベントを調べます。AD エージェントは、ユーザー ID および IP アドレスマッピングのキャッシュを保持し、ASA に変更を通知します。
AD エージェント サーバー グループのプライマリ AD エージェントとセカンダリ AD エージェントを設定します。プライマリ AD エージェントが応答していないことを ASA が検出し、セカンダリ エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの Active Directory サーバーは、通信プロトコルとして RADIUS を使用します。そのため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。
例
次に、アイデンティティ ファイアウォールの Active Directory エージェントを設定するときに、ad-agent-mode をイネーブルにする例を示します。
ciscoasa(config)# aaa-server adagent protocol radius
ciscoasa(config)# ad-agent-mode
ciscoasa(config-aaa-server-group)# aaa-server adagent (inside) host 192.168.1.101
ciscoasa(config-aaa-server-host)# key mysecret
ciscoasa(config-aaa-server-hostkey)# user-identity ad-agent aaa-server adagent
ciscoasa(config-aaa-server-host)# test aaa-server ad-agent