ASDM ブック 3:Cisco ASA シリーズ VPN ASDM 7.8 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

ASDM ブック 3:Cisco ASA シリーズ VPN ASDM 7.8 コンフィギュレーション ガイド

Chapter Title

ダイナミック アクセス ポリシー

検索結果

Updated:
2019年12月16日

章のタイトル: ダイナミック アクセス ポリシー

ダイナミック アクセス ポリシー

この章では、ダイナミック アクセス ポリシーを設定する方法を説明します。

ダイナミック アクセス ポリシーについて

VPN ゲートウェイは動的な環境で動作します。個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。

ASA ではダイナミック アクセス ポリシー(DAP)によって、これらのさまざまな変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまり、ASA では、定義したポリシーに基づき、特定のセッションへのアクセス権が特定のユーザに付与されます。ASA は、ユーザが接続した時点で、DAP レコードからの属性を選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。

DAP は、マルチ コンテキスト モードではサポートされません。

DAP システムには、注意を必要とする次のコンポーネントがあります。

  • DAP 選択コンフィギュレーション ファイル:セッション確立中に DAP レコードを選択して適用するために ASA が使用する、基準が記述されたテキスト ファイル。ASA 上に保存されます。ASDM を使用して、このファイルを変更したり、XML データ形式で ASA にアップロードしたりできます。DAP 選択設定ファイルには、ユーザが設定するすべての属性が記載されています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタ、ポート転送、URL のリストとして設定されたアクセス ポリシーなどがあります。

  • DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。

詳細については、『Dynamic Access Deployment Guide』(https://supportforums.cisco.com/docs/DOC-1369)を参照してください。

DAP によるリモート アクセス プロトコルおよびポスチャ評価ツールのサポート

ASA は、管理者が設定したポスチャ評価ツールを使用してエンドポイント セキュリティ属性を取得します。このポスチャ評価ツールには、AnyConnect ポスチャ モジュール、独立したホスト スキャン パッケージ、および NAC が含まれます。

次の表に、DAP がサポートしている各リモート アクセス プロトコル、その方式で使用可能なポスチャ評価ツール、およびそのツールによって提供される情報を示します。

サポートされるリモート アクセス プロトコル

AnyConnect ポスチャ モジュール

ホスト スキャン パッケージ

Cisco Secure Desktop

(Endpoint Assessment ホスト スキャン拡張機能がイネーブルでない)

AnyConnect ポスチャ モジュール

ホスト スキャン パッケージ

Cisco Secure Desktop

(Endpoint Assessment ホスト スキャン拡張機能がイネーブルである)

NAC

Cisco NAC アプライアンス

ファイル情報、レジストリ キーの値、実行プロセス、オペレーティング システムを返す

マルウェア対策およびパーソナル ファイアウォール ソフトウェアの情報を返す

NAC ステータスを返す

VLAN タイプと VLAN ID を返す

IPsec VPN

なし

なし

対応

対応

Cisco AnyConnect VPN

対応

対応

対応

対応

クライアントレス(ブラウザベース)SSL VPN

対応

対応

なし

なし

PIX カットスルー プロキシ(ポスチャ評価は使用不可)

なし

なし

なし

なし

DAP によるリモート アクセス接続のシーケンス

次のシーケンスに、標準的なリモート アクセス接続を確立する場合の概要を示します。

  1. リモート クライアントが VPN 接続を試みます。

  2. ASA は、設定された NAC 値と Cisco Secure Desktop の Host Scan 値を使用してポスチャ評価を実行します。

  3. ASA は、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。

  4. ASA は AAA 認可属性をそのセッションに適用し、VPN トンネルを確立します。

  5. ASA は、AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

  6. ASA は選択した DAP レコードから DAP 属性を集約し、その集約された属性が DAP ポリシーになります。

  7. ASA はその DAP ポリシーをセッションに適用します。

ダイナミック アクセス ポリシーのライセンス


(注)  

この機能は、ペイロード暗号化機能のないモデルでは使用できません。

モデル

ライセンス要件

ASAv

Premium ライセンス

他のすべてのモデル

AnyConnect Premium ライセンス

Advanced Endpoint Assessment ライセンス

AnyConnect Mobile ライセンス


(注)  

ASA 管理者が AnyConnect モバイル ポスチャ DAP 属性をどのように使用するかは、インストール済みの AnyConnect ライセンスによって異なります。Advanced Endpoint Assessment ライセンスによって、DAP で Advanced Endpoint Assessment 機能(修復、Windows Mobile Device LUA Expressions など)が有効になります。また、基本ライセンスで DAP を使用することもできます。拡張 DAP は ASA のライセンスおよび機能に基づいて適用されます(イネーブル化した AnyConnect Premium ライセンスによるウイルス対策チェックなど)。

ダイナミック アクセス ポリシーの設定

始める前に

  • 特に記載のない限り、DAP エンドポイント属性を設定する前に、ホスト スキャンをインストールする必要があります。

  • Java Web Start セキュリティの問題のため、デバイスで webvpn ベースの設定を使用する場合は、設定した値を高度なエンドポイント属性に入力できないことがあります。この問題を解決するには、ASDM デスクトップ アプリケーションを使用するか、または Java セキュリティの例外として AEA 関連の URL を追加します。

  • ファイル、プロセス、レジストリのエンドポイント属性を設定する前に、ファイル、プロセス、レジストリの基本ホスト スキャン属性を設定する必要があります。手順については、ASDM を起動して [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択し、[Help] をクリックしてください。

  • DAP は、ASCII 文字のみサポートされます。

手順

ステップ 1

ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。

ステップ 2

特定のマルウェア対策またはパーソナル ファイアウォールのエンドポイント属性を含めるには、ペインの最上部近くの [CSD configuration] リンクをクリックします。次に、Cisco Secure Desktop および HostScan の拡張機能をイネーブルにします。このリンクは、これら両方の機能をすでにイネーブルにしている場合には表示されません。

ステップ 3

設定済みの DAP のリストを表示します。

テーブルには次のフィールドが表示されます。

  • [ACL Priority]:DAP レコードのプライオリティを表示します。

    ASA は、複数の DAP レコードからネットワーク ACL と Web タイプ ACL を集約するときに、この値を使用して ACL を論理的に順序付けします。ASA は、最上位のプライオリティ番号から最下位のプライオリティ番号の順にレコードを並べ、最下位のプライオリティをテーブルの一番下に配置します。番号が大きいほどプライオリティが高いことを意味します。たとえば、値が 4 の DAP レコードは値が 2 のレコードよりも高いプライオリティを持つことになります。プライオリティは、手動での並べ替えはできません。

  • [Name]:DAP レコードの名前を表示します。

  • [Network ACL List]:セッションに適用されるファイアウォール ACL の名前を表示します。

  • [Web-Type ACL List]:セッションに適用される SSL VPN ACL の名前を表示します。

  • [Description]:DAP レコードの目的を説明します。

ステップ 4

[Add] または [Edit] をクリックして、ダイナミック アクセス ポリシーの追加または編集を実行します。

ステップ 5

[Apply] をクリックして DAP 設定を保存します。

ステップ 6

[Find] フィールドを使用して、ダイナミック アクセス ポリシー(DAP)を検索します。

このフィールドへの入力を開始すると、DAP テーブルの各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用すると、検索範囲が広がります。

たとえば、[Find] フィールドに「sal」と入力した場合は、Sales という名前の DAP とは一致しますが、Wholesalers という名前の DAP とは一致しません。[Find] フィールドに *sal と入力すると、テーブル内の Sales または Wholesalers のうち、最初に出現したものが検出されます。

ステップ 7

ダイナミック アクセス ポリシーのテストを実行して設定を確認します。

ダイナミック アクセス ポリシーの追加または編集

手順

ステップ 1

ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] または [Edit] を選択します。

ステップ 2

このダイナミック アクセス ポリシーの名前(必須)と説明(オプション)を入力します。

  • [Policy Name] は、4 ~ 32 文字の文字列で、スペースは使用できません。

  • DAP の [Description] フィールドには 80 文字まで入力できます。

ステップ 3

[ACL Priority] フィールドで、そのダイナミック アクセス ポリシーのプライオリティを設定します。

セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。有効値の範囲は 0 ~ 2147483647 です。デフォルト値は 0 です

ステップ 4

この DAP の選択基準を指定します。

  1. [Selection Criteria] ペインのドロップダウン リスト(ラベルなし)で、ユーザがこのダイナミック アクセス ポリシーを使用するには、すべてのエンドポイント属性を満たすことに加えて、ここで設定される AAA 属性値のいずれか([ANY])またはすべて([ALL])が必要となるのか、それとも一切不要([NONE])であるのかを選択します。

    重複するエントリは許可されません。AAA 属性やエンドポイント属性を指定せずに DAP レコードを設定すると、レコードがすべての選択基準を満たしていることになるので、ASA は常にそのレコードを選択します。

  2. [AAA Attributes] フィールドの [Add] または [Edit] をクリックして、DAP の AAA 属性選択基準の設定を実行します。

  3. [Endpoint Attributes] 領域で [Add] または [Edit] をクリックして、DAP のエンドポイント属性選択基準の設定を実行します。

  4. [Advanced] フィールドをクリックして、LUA を使用した DAP における追加の DAP 選択基準の作成を実行します。この機能を使用するには、Lua プログラミング言語の知識が必要です。

    • [AND/OR]:基本的な選択ルールと、ここで入力する論理式との関係を定義します。つまり、すでに設定されている AAA 属性およびエンドポイント属性に新しい属性を追加するのか、またはそれら設定済みの属性に置き換えるのかを指定します。デフォルトは AND です。

    • [Logical Expressions]:それぞれのタイプのエンドポイント属性のインスタンスを複数設定できます。新しい AAA 選択属性またはエンドポイント選択属性(あるいはその両方)を定義するフリー形式の LUA テキストを入力します。ASDM は、ここで入力されたテキストを検証せず、テキストを DAP XML ファイルにコピーするだけです。処理は ASA によって行われ、解析不能な式は破棄されます。

ステップ 5

この DAP のアクセス/許可ポリシー属性を指定します。

ここで設定する属性値は、既存のユーザ、グループ、トンネル グループ、およびデフォルトのグループ レコードを含め、AAA システムの認可値を上書きします。DAP アクセスと許可ポリシー属性の設定を参照してください。

ステップ 6

[OK] をクリックします。

ダイナミック アクセス ポリシーのテスト

このペインでは、認可属性値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。

手順

ステップ 1

属性値のペアを指定するには、[AAA Attribute] テーブルと [Endpoint Attribute] テーブルに関連付けられた [Add/Edit] ボタンを使用します。

[Add/Edit] ボタンをクリックすると表示されるダイアログは、[Add/Edit AAA Attributes] ウィンドウと [Add/Edit Endpoint Attributes] ダイアログボックスに表示されるダイアログに似ています。

ステップ 2

[Test] ボタンをクリックします。

デバイス上の DAP サブシステムは、各レコードの AAA およびエンドポイント選択属性を評価するときに、これらの値を参照します。結果は、[Test Results] 領域に表示されます。

DAP の AAA 属性選択基準の設定

DAP は AAA サービスを補完します。用意されている認可属性のセットは限られていますが、それらの属性によって AAA で提供される認可属性を無効にできます。AAA 属性は、Cisco AAA 属性階層から指定するか、ASA が RADIUS または LDAP サーバから受信する応答属性一式から指定できます。ASA は、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。ASA は、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。

手順

DAP レコードの選択基準として AAA 属性を設定するには、[Add/Edit AAA Attributes] ダイアログボックスで、使用する Cisco、LDAP、または RADIUS 属性を設定します。これらの属性は、入力する値に対して「=」または「!=」のいずれかに設定できます。各 DAP レコードに設定可能な AAA 属性の数に制限はありません。AAA 属性の詳細については、AAA 属性の定義を参照してください。

[AAA Attributes Type]:ドロップダウン リストを使用して、Cisco、LDAP、または RADIUS 属性を選択します。

  • [Cisco]:AAA 階層モデルに保存されているユーザ認可属性を参照します。DAP レコードの AAA 選択属性に、これらのユーザ認可属性の小規模なサブセットを指定できます。次の属性が含まれます。

    • [Group Policy]:VPN ユーザ セッションに関連付けられているグループ ポリシー名を示します。セキュリティ アプライアンスでローカルに設定するか、IETF クラス(25)属性として RADIUS/LDAP から送信します。最大 64 文字です。

    • [Assigned IP Address]:ポリシーに指定する IPv4 アドレスを入力します。フル トンネル VPN クライアント(IPsec、L2TP/IPsec、SSL VPN AnyConnect)に割り当てられた IP アドレスは、クライアントレス SSL VPN には割り当てられません。クライアントレス セッションにはアドレスの割り当てがないからです。

    • [Assigned IPv6 Address]:ポリシーに指定する IPv6 アドレスを入力します。

    • [Connection Profile]:コネクションまたはトネリングのグループ名。最大 64 文字です。

    • [Username]:認証されたユーザのユーザ名。最大 64 文字です。ローカル認証、RADIUS 認証、LDAP 認証のいずれかを、またはその他の認証タイプ(RSA/SDI、NT Domain などのいずれかを使用している場合に適用されます。

    • [=/!=]:と等しい/と等しくない

  • [LDAP]:LDAP クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ LDAP 応答属性値のペアを保存します。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

    Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。

    LDAP 認証/認可サーバへの VPN リモート アクセス セッションが次の 3 つの Active Directory グループ(memberOf 列挙)のいずれかを返す場合は、次の通りとなります。

    cn=Engineering,ou=People,dc=company,dc=com

    cn=Employees,ou=People,dc=company,dc=com

    cn=EastCoastast,ou=People,dc=company,dc=com

    ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループを処理します。これらのグループは、aaa.ldap の選択基準としてどのような組み合わせでも使用できます。

    LDAP 属性は、DAP レコード内の属性名と属性値のペアで構成されています。LDAP 属性名は、構文に従う必要があり、大文字、小文字を区別します。たとえば、AD サーバが部門として返す値の代わりに、LDAP 属性の Department を指定した場合、DAP レコードはこの属性設定に基づき一致しません。

    (注)   

    [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に例を示します。

    eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

  • [RADIUS]:RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ RADIUS 応答属性値のペアを保存します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

    RADIUS 属性は、DAP レコード内の属性番号と属性値のペアで構成されています。

    (注)   

    RADIUS 属性について、DAP は Attribute ID = 4096 + RADIUS ID と定義します。

    次に例を示します。

    RADIUS 属性「Access Hours」の Radius ID は 1 であり、したがって DAP 属性値は 4096 + 1 = 4097 となります。

    RADIUS 属性「Member Of」の Radius ID は 146 であり、したがって DAP 属性値は 4096 + 146 = 4242 となります。

  • LDAP および RADIUS 属性には、次の値があります。

    • [Attribute ID]:属性の名前/番号。最大 64 文字です。

    • [Value]:属性名(LDAP)または数値(RADIUS)。

      [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。例:eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

    • [=/!=]:と等しい/と等しくない

  • LDAP には、[Get AD Groups] ボタンが含まれます。Active Directory グループの取得を参照してください。

Active Directory グループの取得

Active Directory サーバにクエリーを実行し、このペインで利用可能な AD グループを問い合わせることができます。この機能は、LDAP を使用している Active Directory サーバだけに適用されます。このボタンは、Active Directory LDAP サーバに対して、ユーザが属するグループのリスト(memberOf 列挙)の問い合わせを実行します。このグループ情報を使用し、ダイナミック アクセス ポリシーの AAA 選択基準を指定します。

AD グループは、バックグランドで CLI の how-ad-groups コマンドを使用することで LDAP サーバから取得されます。ASA がサーバの応答を待つデフォルト時間は 10 秒です。aaa-server ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用し、時間を調整できます。

[Edit AAA Server] ペインで Group Base DN を変更し、Active Directory 階層の中で検索を開始するレベルを変更できます。このウィンドウでは、ASA がサーバの応答を待つ時間も変更できます。これらの機能を設定するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] を選択します。


(注)  

Active Directory サーバに多数のグループが存在する場合は、サーバが応答パケットに含めることのできるデータ量の制限に従って、取得した AD グループのリスト(または show ad-groups コマンドの出力)が切り詰められることがあります。この問題を回避するには、フィルタ 機能を使用し、サーバが返すグループ数を減らしてください。

[AD Server Group]:AD グループを取得する AAA サーバ グループの名前。

[Filter By]:表示されるグループ数を減らすために、グループ名またはグループ名の一部を指定します。

[Group Name]:サーバから取得された AD グループのリスト。

AAA 属性の定義

次の表に、DAP で使用できる AAA 選択属性名の定義を示します。属性名フィールドは、LUA 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] セクションで使用します。

属性タイプ

属性名

送信元

ストリングの最大長

説明

シスコ

aaa.cisco.grouppolicy

AAA

string

64

ASA 上のグループ ポリシー名、または RADIUS/LDAP サーバから IETF-CLass (25) 属性として送信されたグループ ポリシー名

aaa.cisco.ipaddress

AAA

number

-

フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect)

aaa.cisco.tunnelgroup

AAA

string

64

接続プロファイル(トンネル グループ)の名前

aaa.cisco.username

AAA

string

64

認証されたユーザの名前(ローカル認証や認可を使用している場合に適用)

LDAP

aaa.ldap.<label>

LDAP

string

128

LDAP 属性値ペア

RADIUS

aaa.radius.<number>

RADIUS

string

128

RADIUS 属性値ペア

DAP のエンドポイント属性選択基準の設定

エンドポイント属性には、エンドポイント システム環境、ポスチャ評価結果、およびアプリケーションに関する情報が含まれています。ASA は、セッション確立時にエンドポイント属性の集合を動的に生成し、セッションに関連付けられているデータベースにそれらの属性を保存します。各 DAP レコードには、ASA がセッションの DAP レコードを選択するために満たす必要があるエンドポイント選択属性が指定されています。ASA は、設定されている条件をすべて満たす DAP レコードだけを選択します。

始める前に

手順

ステップ 1

[Add] または [Edit] をクリックして、次のいずれかのエンドポイント属性を選択基準として追加します。

各タイプのエンドポイント属性のインスタンスを複数作成できます。各 DAP レコードに設定可能なエンドポイント属性の数に制限はありません。

ステップ 2

条件に一致する DAP ポリシーを指定します。

これらのエンドポイント属性のタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND、デフォルト)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定します。

  1. [Logical Op] をクリックします。

  2. エンドポイント属性のタイプごとに、[Match Any](デフォルト)または [Match All] を選択します。

  3. [OK] をクリックします。

ステップ 3

ダイナミック アクセス ポリシーの追加または編集に戻ってください。

DAP へのマルウェア対策エンドポイント属性の追加

始める前に

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Anti-Malware] を選択します。

ステップ 2

適切なボタン [Installed] または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Name]/[Operation]/[Value] 列の下のフィールド)をインストールするか、またはインストールしないかを指定します。

ステップ 3

リアルタイム スキャンを有効または無効のどちらにするかを決定します。
ステップ 4

[Vendor] リスト ボックスで、テスト対象のマルウェア対策ベンダーの名前をクリックします。

ステップ 5

[Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 6

[Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 7

[Last Update] チェックボックスをオンにします。最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

ステップ 8

[OK] をクリックします。

DAP へのアプリケーション属性の追加

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Application] を選択します。

ステップ 2

[Client Type] の操作フィールドで、[=](等しい)または [!=](等しくない)を選択します。
ステップ 3

[Client type] リスト ボックスで、テスト対象のリモート アクセス接続のタイプを指定します。
ステップ 4

[OK] をクリックします。

DAP への AnyConnect エンドポイント属性の追加

AnyConnect エンドポイント属性(モバイル ポスチャまたは AnyConnect アイデンティティ拡張機能(ACIDex)とも呼ばれる)は、AnyConnect VPN クライアントが ASA にポスチャ情報を伝えるために使用されます。ダイナミック アクセス ポリシーでは、このエンドポイント属性を使用してユーザを認可します。

モバイル ポスチャ属性をダイナミック アクセス ポリシーに組み込むと、エンドポイントにホスト スキャンや Cisco Secure Desktop がエンドポイントにインストールされていなくても適用できます。

一部のモバイル ポスチャ属性は、モバイル デバイス上で実行している AnyConnect クライアントにのみ関連します。その他のモバイル ポスチャ属性は、モバイル デバイス上で実行している AnyConnect クライアントと AnyConnect デスクトップ クライアント上で実行している AnyConnect クライアントの両方に関連します。

始める前に

モバイル ポスチャを活用するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials ライセンスが ASA にインストールされている必要があります。これらのライセンスをインストールする企業は、DAP 属性および他の既存のエンドポイント属性に基づいてサポートされているモバイル デバイスの DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [AnyConnect] を選択します。

ステップ 2

[Client Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Client Version] フィールドで AnyConnect クライアント バージョン番号を指定します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のクライアント バージョンを評価できるほか、デスクトップやラップトップ デバイスのクライアント バージョンも評価できます。

ステップ 3

[Platform] チェックボックスをオンにして、等しい(=)または等しくない(!=)を操作フィールドで選択してから、[Platform] リスト ボックスでオペレーティング システムを選択します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のオペレーティング システムを評価できるほか、デスクトップやラップトップ デバイスのオペレーティング システムも評価できます。プラットフォームを選択すると、追加の属性フィールドである [Device Type] と [Device Unique ID] が使用可能になります。

ステップ 4

[Platform Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Platform Version] フィールドでオペレーティング システム バージョン番号を指定します。

作成する DAP レコードにこの属性も含まれるようにするには、前の手順でプラットフォームも必ず指定してください。

ステップ 5

[Platform] チェックボックスをオンにした場合は、[Device Type] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスを [Device Type] フィールドで選択するか入力します。

サポートされるデバイスであるにもかかわらず、[Device Type] フィールドのリストに表示されていない場合は、[Device Type] フィールドに入力できます。デバイス タイプ情報を入手する最も確実な方法は、AnyConnect クライアントをエンドポイントにインストールして ASA に接続し、DAP トレースを実行することです。DAP トレースの結果の中で、endpoint.anyconnect.devicetype の値を見つけます。この値を [Device Type] フィールドに入力する必要があります。

ステップ 6

[Platform] チェックボックスをオンにした場合は、[Device Unique ID] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスの一意の ID を [Device Unique ID] フィールドに入力します。

[Device Unique ID] によって個々のデバイスが区別されるので、特定のモバイル デバイスに対するポリシーを設定できます。デバイスの一意の ID を取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、endpoint.anyconnect.deviceuniqueid の値を見つける必要があります。この値を [Device Unique ID] フィールドに入力する必要があります。

ステップ 7

[Platform] をオンにした場合は、[MAC Addresses Pool] フィールドに MAC アドレスを追加できます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、MAC アドレスを指定します。各 MAC アドレスのフォーマットは xx-xx-xx-xx-xx-xx であることが必要です。x は有効な 16 進数文字(0 ~ 9、A ~ F、または a ~ f)です。MAC アドレスは、1 つ以上の空白スペースで区切る必要があります。

MAC アドレスによって個々のシステムが区別されるので、特定のデバイスに対するポリシーを設定できます。システムの MAC アドレスを取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、endpoint.anyconnect.macaddress の値を見つける必要があります。この値を [MAC Address Pool] フィールドに入力する必要があります。

ステップ 8

[OK] をクリックします。

DAP へのファイル エンドポイント属性の追加

始める前に

ファイル エンドポイント属性を設定する前に、どのファイルをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [File] を選択します。

ステップ 2

[Exists] と [Does not exist] のオプション ボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものを選択します。

ステップ 3

[Endpoint ID] リスト ボックスで、スキャン対象のファイル エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

ファイルの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4

[Last Update] チェックボックスをオンにしてから、更新日からの日数が指定の値よりも小さい(<)と大きい(>)のどちらを条件とするかを操作フィールドで選択します。更新日からの日数を [days] フィールドに入力します。

ステップ 5

[Checksum] チェックボックスをオンにしてから、テスト対象ファイルのチェックサム値と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 6

[Compute CRC32 Checksum] をクリックすると、テスト対象のファイルのチェックサム値が計算されます。

ステップ 7

[OK] をクリックします。

DAP へのデバイス エンドポイント属性の追加

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Device] を選択します。

ステップ 2

[Host Name] チェックボックスをオンにしてから、テスト対象デバイスのホスト名と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。完全修飾ドメイン名(FQDN)ではなく、コンピュータのホスト名のみを使用します。

ステップ 3

[MAC address] チェックボックスをオンにしてから、テスト対象のネットワーク インターフェイス カードの MAC アドレスと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。1 つのエントリにつき MAC アドレスは 1 つだけです。アドレスのフォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

ステップ 4

[BIOS Serial Number] チェックボックスをオンにしてから、テスト対象のデバイスの BIOS シリアル番号と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。数値フォーマットは、製造業者固有です。フォーマット要件はありません。

ステップ 5

[TCP/UDP Port Number] チェックボックスをオンにしてから、テスト対象のリスニング状態の TCP ポートと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

TCP/UDP コンボ ボックスでは、テスト対象(TCP(IPv4)、UDP(IPv4)、TCP(IPv6)、または UDP(IPv6))のポートの種類を選択します。複数のポートをテストする場合は、DAP の個々のエンドポイント属性のルールをいくつか作成し、それぞれに 1 個のポートを指定します。

ステップ 6

[Version of Secure Desktop (CSD)] チェックボックスをオンにしてから、エンドポイント上で実行されるホスト スキャン イメージのバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 7

[Version of Endpoint Assessment] チェックボックスをオンにしてから、テスト対象のエンドポイント アセスメント(OPSWAT)のバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 8

[OK] をクリックします。

DAP への NAC エンドポイント属性の追加

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [NAC] を選択します。

ステップ 2

[Posture Status] チェックボックスをオンにしてから、ACS によって受信されるポスチャ トークン文字列と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。ポスチャ トークン文字列を [Posture Status] テキスト ボックスに入力します。

ステップ 3

[OK] をクリックします。

DAP へのオペレーティング システム エンドポイント属性の追加

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。

ステップ 2

[OS Version] チェックボックスをオンにしてから、[OS Version] リスト ボックスで設定するオペレーティング システム(Windows、Mac、または Linux)と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 3

[OS Update] チェックボックスをオンにしてから、[OS Update] テキスト ボックスに入力する Windows、Mac、または Linux オペレーティング システムのサービス パックと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 4

[OK] をクリックします。

DAP へのパーソナル ファイアウォール エンドポイント属性の追加

始める前に

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。

ステップ 2

適切なボタン [Installed] または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Name]/[Operation]/[Valud] 列の下のフィールド)をインストールするか、またはインストールしないかを指定します。

ステップ 3

[Vendor] リスト ボックスで、テスト対象のパーソナル ファイアウォール ベンダーの名前をクリックします。

ステップ 4

[Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 5

[Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 6

[Last Update] チェックボックスをオンにします。最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

ステップ 7

[OK] をクリックします。

DAP へのポリシー エンドポイント属性の追加

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Policy] を選択します。

ステップ 2

[Location] チェックボックスをオンにしてから、Cisco Secure Desktop Microsoft Windows ロケーション プロファイルと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。Cisco Secure Desktop Microsoft Windows ロケーション プロファイル文字列を [Location] テキスト ボックスに入力します。

ステップ 3

[OK] をクリックします。

DAP へのプロセス エンドポイント属性の追加

始める前に

プロセス エンドポイント属性を設定する前に、どのプロセスをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Process] を選択します。

ステップ 2

[Exists] または [Does not exist] のボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3

[Endpoint ID] リスト ボックスで、スキャン対象のエンドポイント ID をドロップダウン リストから選択します。

エンドポイント ID プロセス情報がリスト ボックスの下に表示されます。

ステップ 4

[OK] をクリックします。

DAP へのレジストリ エンドポイント属性の追加

レジストリ エンドポイント属性のスキャンは Windows オペレーティング システムにのみ適用されます。

始める前に

レジストリ エンドポイント属性を設定する前に、どのレジストリ キーをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。

手順

ステップ 1

[Endpoint Attribute Type] リスト ボックスで [Registry] を選択します。

ステップ 2

[Exists] または [Does not exist] のボタンでは、レジストリ エンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3

[Endpoint ID] リスト ボックスで、スキャン対象のレジストリ エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

レジストリの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4

[Value] チェックボックスをオンにしてから、操作フィールドで等しい(=)または等しくない(!=)を選択します。

ステップ 5

最初の [Value] リスト ボックスで、レジストリ キーが dword か文字列かを指定します。

ステップ 6

2 つ目の [Value] 操作リスト ボックスに、スキャン対象のレジストリ キーの値を入力します。

ステップ 7

スキャン時にレジストリ エントリの大文字と小文字の違いを無視するには、チェックボックスをオンにします。検索時に大文字と小文字を区別するには、チェックボックスをオフにしてください。

ステップ 8

[OK] をクリックします。

DAP への複数証明書認証属性の追加

受信した証明書のいずれかを設定されたルールで参照できるように各証明書をインデックス化できます。これらの証明書フィールドに基づいて、接続試行を許可または拒否する DAP ルールを設定できます。

手順

ステップ 1

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add Endpoint Attribute] の順に移動します。

ステップ 2

[Endpoint Attribute Type] としてドロップダウン メニューの [Multiple Certificate Authentication] を選択します。

ステップ 3

必要に応じて次のいずれかまたはすべてを設定します。

  • Subject Name

  • 発行元名

  • Subject Alternate Name

  • Serial Number

ステップ 4

証明書ストアをデフォルトの [None] のままにしていずれのストアからの証明書も許可するか、ユーザのみまたはマシンのみを許可するように選択します。[User] または [Machine] を選択する場合、証明書の元のストアを入力する必要があります。この情報は、プロトコルでクライアントによって送信されます。

DAP とマルウェア対策およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。プリログイン評価モジュールおよび HostScan モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。

マルウェア対策およびパーソナル ファイアウォール プログラムのほとんど(すべてではなく)は、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。HostScan は、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。

  • インストールされているプログラムがアクティブ スキャンをサポートしない場合、HostScan はそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

  • インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、HostScan はそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

  • インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、HostScan はそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、プログラムがインストールされている場合でも、DAP に関する多数の情報が含まれる debug trace コマンドの出力にはプログラムの存在が示されません。

エンドポイント属性の定義

次に、DAP で使用できるエンドポイント選択属性を示します。[Attribute Name] フィールドは、LUA 論理式での各属性名の入力方法を示しており、[Dynamic Access Policy Selection Criteria] ペインの [Advanced] 領域で使用します。label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

属性タイプ

属性名

送信元

ストリングの最大長

説明

ウイルス対策

(Cisco Secure Desktop が必要)

endpoint.av["label"].exists

HostScan

true

アンチウイルス プログラムが存在する

endpoint.av["label"].version

string

32

Version

endpoint.av["label"].description

string

128

アンチウイルスの説明

endpoint.av["label"].lastupdate

整数

アンチウイルス定義を更新してからの経過時間(秒)

アンチスパイウェア(Cisco Secure Desktop が必要)

endpoint.as["label"].exists

HostScan

true

アンチスパイウェア プログラムが存在する

endpoint.as["label"].version

string

32

Version

endpoint.as["label"].description

string

128

アンチスパイウェアの説明

endpoint.as["label"].lastupdate

整数

アンチスパイウェア定義を更新してからの経過時間(秒)

Personal Firewall

(Secure Desktop が必要)

endpoint.fw["label"].exists

ホスト スキャン

true

パーソナル ファイアウォールが存在する

endpoint.fw["label"].version

string

32

Version

endpoint.fw["label"].description

string

128

パーソナル ファイアウォールの説明

AnyConnect

(Cisco Secure Desktop やホスト スキャンは必要ありません)

endpoint.anyconnect. clientversion

エンドポイント

version

AnyConnect クライアントのバージョン

endpoint.anyconnect. platform

string

AnyConnect クライアントがインストールされているオペレーティング システム

endpoint.anyconnect. platformversion

version

64

AnyConnect クライアントがインストールされているオペレーティング システムのバージョン

endpoint.anyconnect. devicetype

string

64

AnyConnect クライアントがインストールされているモバイル デバイスのタイプ

endpoint.anyconnect. deviceuniqueid

64

AnyConnect クライアントがインストールされているモバイル デバイスの一意の ID

endpoint.anyconnect. macaddress

string

AnyConnect クライアントがインストールされているデバイスの MAC アドレス。

フォーマットは xx-xx-xx-xx-xx-xx であることが必要です。x は有効な 16 進数文字です。

アプリケーション

endpoint.application. clienttype

アプリケーション

string

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

デバイス

endpoint.device. hostname

エンドポイント

string

64

ホスト名のみ。FQDN ではありません

endpoint.device.MAC

string

ネットワーク インターフェイス カードの MAC アドレス。1 つのエントリにつき MAC アドレスは 1 つだけです

フォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

endpoint.device.id

string

64

BIOS シリアル番号。数値フォーマットは、製造業者固有です。フォーマット要件はありません

endpoint.device.port

string

リスニング状態の TCP ポート

1 回線ごとに 1 つのポートを定義できます

1 ~ 65535 の範囲の整数

endpoint.device. protection_version

string

64

実行されるホスト スキャン イメージのバージョン

endpoint.device. protection_extension

string

64

Endpoint Assessment(OPSWAT)のバージョン

ファイル

endpoint.file["label"].exists

Secure Desktop

true

ファイルが存在する

endpoint.file[“label”]. endpointid

endpoint.file["label"]. lastmodified

整数

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file["label"]. crc.32

整数

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

string

ユーザ定義ステータス ストリング

オペレーティング システム

endpoint.os.version

Secure Desktop

string

32

オペレーティング システム

endpoint.os.servicepack

整数

Windows のサービス パック

ポリシー(Policy)

endpoint.policy.location

Secure Desktop

string

64

Cisco Secure Desktop からのロケーション値

プロセス

endpoint. process["label"].exists

Secure Desktop

true

プロセスが存在する

endpoint. process["label"].path

string

255

プロセスのフル パス

Registry

endpoint. registry["label"].type

Secure Desktop

dword
string

dword

endpoint. registry["label"].value

string

255

レジストリ エントリの値

VLAN

endoint.vlan.type

CNA

string

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

LUA を使用した DAP における追加の DAP 選択基準の作成

このセクションでは、AAA またはエンドポイント属性の論理式の作成方法について説明します。これを行うには、LUA に関する高度な知識が必要です。LUA のプログラミングの詳細情報については、http://www.lua.org/manual/5.1/manual.html を参照してください。

[Advanced] フィールドに、AAA またはエンドポイント選択論理演算を表す自由形式の LUA テキストを入力します。ASDM は、ここで入力されたテキストを検証せず、テキストを DAP ポリシー ファイルにコピーするだけです。処理は ASA によって行われ、解析不能な式は破棄されます。

このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された条件のいずれかを満たす、すべてを満たす、またはいずれも満たさない AAA 属性を使用するように ASA を設定できます。エンドポイント属性は累積され、そのすべてを満たす必要があります。セキュリティ アプライアンスが任意のエンドポイント属性を使用できるようにするには、LUA で適切な論理式を作成し、ここでその式を入力する必要があります。

次のセクションでは、LUA EVAL 式作成の詳細と例を示します。

LUA EVAL 式を作成する構文


(注)  

[Advanced] モードを使用する必要がある場合は、プログラムを直接的に検証することが可能になり、明確になるため、できるだけ EVAL 式を使用することをお勧めします。

EVAL(<attribute> , <comparison>, {<value> | <attribute>}, [<type>])

<attribute>

AAA 属性または Cisco Secure Desktop から返された属性。属性の定義については、エンドポイント属性の定義を参照してください。

<comparison>

次の文字列のいずれか(引用符が必要)

“EQ”

等しい

“NE”

等しくない

“LT”

より小さい

“GT”

より大きい

“LE”

以下

“GE”

以上

<value>

引用符で囲まれ、属性と比較する値を含む文字列

<type>

次の文字列のいずれか(引用符が必要)

“string”

大文字、小文字を区別する文字列の比較

“”

大文字、小文字を区別しない文字列の比較

“integer”

数値比較で、文字列値を数値に変換

“hex”

16 進数を用いた数値比較で、16 進数の文字列を 16 進数に変換

“version”

X.Y.Z. 形式(X、Y、Z は数字)のバージョンを比較

追加の LUA 関数

ダイナミック アクセス ポリシーで作業している場合、一致基準に高度な柔軟性が必要とされることが考えられます。たとえば、以下に従い別の DAP を適用しなければならない場合があります。

  • CheckAndMsg は、DAP がコールするように設定可能な LUA 関数です。条件に基づきユーザ メッセージを生成します。

  • 組織ユニット(OU)またはユーザ オブジェクトの他の階層のレベル。

  • 命名規則に従ったグループ名に多くの一致候補がある場合、ワイルドカードの使用が必要になることがあります。

ASDM の [DAP] ペイン内の [Advanced] セクションで LUA 論理式を作成し、この柔軟性を実現できます。

DAP CheckAndMsg 関数

ASA は、LUA CheckAndMsg 関数を含む DAP レコードが選択され、それによって接続が終了する結果になる場合にのみ、ユーザにメッセージを表示します。

CheckAndMsg 関数の構文は以下の通りです。 


CheckAndMsg(value, “<message string if value is true>”, “<message string if value if false>”)

CheckAndMsg 関数の作成時には、以下の点に注意してください。

  • CheckAndMsg は、最初の引数として渡された値を返します。

  • 文字列比較を使用したくない場合、EVAL 関数を最初の引数として使用してください。次に例を示します。 

    
(CheckAndMsg((EVAL(...)) , "true msg", "false msg"))

    CheckandMsg は EVAL 関数の結果を返し、セキュリティ アプライアンスはその結果を使用して、DAP レコードを選択すべきかどうかを判断します。レコードが選択された結果、ターミネーションとなった場合、セキュリティ アプライアンスは適切なメッセージを表示します。

OU ベースの照合の例

DAP は、論理式で LDAP サーバから返される多数の属性を使用できます。DAP トレースの項で出力例を参照するか、debug dap トレースを実行してください。

LDAP サーバはユーザの認定者名(DN)を返します。これは、ディレクトリ内のどの部分にユーザ オブジェクトがあるかを暗黙的に示します。たとえば、ユーザの DN が CN=Example User、OU=Admins、dc=cisco、dc=com である場合、このユーザは OU=Admins,dc=cisco,dc=com に存在します。すべての管理者がこの OU(または、このレベル以下のコンテナ)に存在する場合、以下のように、この基準に一致する論理式を使用できます。 


assert(function()
   if ( (type(aaa.ldap.distinguishedName) == "string") and
        (string.find(aaa.ldap.distinguishedName, "OU=Admins,dc=cisco,dc=com$") ~= nil) ) then
       return true
   end
   return false
end)()

この例では、string.find 関数で正規表現を使用できます。この文字列を distinguishedName フィールドの最後にアンカーするには、文字列の最後に $ を使用します。

グループ メンバーシップの例

AD グループ メンバーシップのパターン照合のために、基本論理式を作成できます。ユーザが複数のグループのメンバーであることが考えられるため、DAP は LDAP サーバからの応答を表内の別々のエントリへと解析します。以下を実行するには、高度な機能が必要です。

  • memberOf フィールドを文字列として比較する(ユーザが 1 つのグループだけに所属している場合)。

  • 返されたデータが「table」タイプである場合、返されたそれぞれの memberOf フィールドを繰り返し処理する。

そのために記述し、テストした関数を以下に示します。この例では、ユーザが「-stu」で終わるいずれかのグループのメンバーである場合、この DAP に一致します。 


assert(function()
   local pattern = "-stu$"
   local attribute = aaa.ldap.memberOf
   if ((type(attribute) == "string") and
       (string.find(attribute, pattern) ~= nil)) then
       return true
   elseif (type(attribute) == "table") then
       local k, v
       for k, v in pairs(attribute) do
           if (string.find(v, pattern) ~= nil) then
               return true
           end
       end
   end
   return false
end)()

アクセス拒否の例

マルウェア対策プログラムが存在しない場合のアクセスを拒否するために、次の関数を使用できます。ターミネーションを実行するためのアクションが設定されている DAP で使用します。 


assert( 
    function()
for k,v in pairs(endpoint.am) do
 
        if (EVAL(v.exists, "EQ”, "true", "string")) then
 
            return false
 
        end
    end 
    return CheckAndMsg(true, "Please install antimalware software before connecting.", nil)
end)()

マルウェア対策プログラムがないユーザがログインしようとすると、DAP は次のメッセージを表示します。 


Please install antimalware software before connecting.

DAP EVAL 式の例

LUA で論理式を作成する場合は、次の例を参考にしてください。

説明

Windows XP かどうかをテストするエンドポイント。 


EVAL(endpoint.os.version, “EQ”, “Windows XP”, “string”)

CLIENTLESS または CVC クライアント タイプに一致するかどうかをテストするエンドポイント式。 


(EVAL(endpoint.application.clienttype,”EQ”,"CLIENTLESS") or 
EVAL(endpoint.application.clienttype, “EQ”,"CVC"))

Norton Antivirus バージョン 10.x かどうかをテストするが、10.5.x は除外するエンドポイント式。 


(EVAL(endpoint.av[“NortonAV”].version, “GE”, "10",”version”) and 
EVAL(endpoint.av[“NortonAV”].version,”LT”, "10.5", “version”) 
or 
EVAL(endpoint.av[“NortonAV”].version, “GE”, "10.6", “version”)))

単一アンチウイルス プログラム McAfee がユーザの PC にインストールされているかどうかのチェック。インストールされていない場合はメッセージを表示します。 


(CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].exists,"NE","true"),
"McAfee AV was not found on your computer", nil))

McAfee アンチウイルス定義が過去 10 日(864000 秒)以内に更新されたかどうかのチェック。更新が必要な場合はメッセージを表示します。 


((CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,"GT","864000","integer"),
"AV Update needed! Please wait for the McAfee AV till it loads the latest dat file.",nil) ))

debug dap trace で以下が返された後に特定のホットフィックスがあるかどうかをチェック。 


endpoint.os.windows.hotfix["KB923414"] = "true";


(CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"NE","true"),
"The required hotfix is not installed on your PC.",nil))

アンチウイルス プログラムのチェック

ウィルス対策ソフトウェアにより、エンド ユーザが問題に気づいて修正できるようにメッセージを設定できます。

ウィルス対策ソフトウェアがない場合、または実行していない場合も、ユーザが問題に気づき、修正できるようにメッセージを設定できます。これにより、アクセスが拒否された場合、ASA は「ターミネーション」状態の原因となったすべてのメッセージを DAP から収集して、ブラウザのログイン ページに表示します。アクセスが許可された場合、ASA はポータル ページの DAP 評価プロセスで生成されたすべてのメッセージを表示します。

次の例は、Norton Antivirus プログラムのチェックでこの機能を使用する方法を示します。

  1. 次の LUA 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。 

    
(CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "EQ", "false"), /
"Your Norton AV was found but the active component of it was not enabled", nil) /
or CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "NE", "true"),/
"Norton AV was not found on your computer", nil) )

  2. 同じ [Advanced] フィールドで、[OR] ボタンをクリックします。

  3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

  4. Norton Antivirus がインストールされていないか、無効になっている PC から接続します。結果としては接続が許可されず、かつメッセージが点滅する ! 点として表示されると予測されます。

  5. メッセージを表示するには、点滅する ! をクリックします。

アンチウイルス プログラムと 1.5 日以上経過した定義のチェック

この例では、Norton または McAfee のアンチウイルス プログラムが存在するかどうか、また、ウイルス定義が 1 日半(10,000 秒)以内のものであるかどうかを確認します。定義が 1 日半以上経過している場合、ASA はセッションを終了し、メッセージと修正用リンクを表示します。このタスクを完了するには、次の手順を実行します。

  1. 次の LUA 式をコピーし、改行文字を削除してすべてが 1 行に収まるようにし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます。 

    
(
 (EVAL(endpoint.av[“NortonAV”].exists,”EQ”,”true”,”string”) 
  and CheckAndMsg(EVAL(endpoint.av[“NortonAV”].lastupdate,”GT”,”10000”,integer”), 
To remediate <a href=’http://www.symantec.com’>Click this link </a>”,nil))
or 
 (EVAL(endpoint.av[“McAfeeAV”].exists,”EQ”,”true”,”string”) 
  and CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,”GT”,”10000”,integer”), 
To remediate <a href=’http://www.mcafee.com’>Click this link</a>”,nil))
)

  2. 同じ [Advanced] フィールドで、[AND] をクリックします。

  3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

  4. バージョンが 1 日半以上前の Norton または McAfee のアンチウイルス プログラムがインストールされている PC から接続します。結果として、接続が許可されず、かつメッセージが点滅する ! 点として表示されることが予測されます。

  5. 修復に関するメッセージとリンクを表示するには、点滅する ! をクリックします。

DAP アクセスと許可ポリシー属性の設定

各タブをクリックして、タブ内のフィールドを設定します。

手順

ステップ 1

特定の接続またはセッションに適用される特別な処理を指定するには、[Action] タブを選択します。

  • [Continue]:(デフォルト)セッションにアクセス ポリシー属性を適用します。

  • [Quarantine]:検疫を使用すると、VPN 経由ですでにトンネルを確立している特定のクライアントを制限できます。ASA は、制限付き ACL をセッションに適用して制限付きグループを形成します。この基になるのは、選択された DAP レコードです。エンドポイントが管理面で定義されているポリシーに準拠していない場合でも、ユーザはサービスにアクセスして修復できますが、ユーザに制限がかけられます。修復後、ユーザは再接続できます。この再接続により、新しいポスチャ アセスメントが起動されます。このアセスメントに合格すると、接続されます。このパラメータを使用するには、AnyConnect セキュア モビリティ機能をサポートしている AnyConnect リリースが必要です。

  • [Terminate]:セッションを終了します。

  • [User Message]:この DAP レコードが選択されるときに、ポータル ページに表示するテキスト メッセージを入力します。最大 490 文字を入力できます。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。数件の DAP レコードが選択され、それぞれにユーザ メッセージがある場合は、ユーザ メッセージがすべて表示されます。

    URL やその他の埋め込みテキストを含めることができます。この場合は、正しい HTML タグを使用する必要があります。例:すべてのコントラクタは、ご使用のマルウェア対策ソフトウェアのアップグレード手順について、<a href='http://wwwin.example.com/procedure.html'>Instructions</a> を参照してください。

ステップ 2

[Network ACL Filters] タブを選択し、この DAP レコードに適用されるネットワーク ACL を設定します。

DAP の ACL には、許可ルールまたは拒否ルールを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。

  • [Network ACL] ドロップダウン リスト:この DAP レコードに追加する、すでに設定済みのネットワーク ACL を選択します。ACL には、許可ルールと拒否ルールの任意の組み合わせを指定できます。このフィールドは、IPv4 および IPv6 ネットワーク トラフィックのアクセス ルールを定義できる統合 ACL をサポートしています。

  • [Manage]:ネットワーク ACL を追加、編集、および削除するときにクリックします。

  • [Network ACL] リスト:この DAP レコードのネットワーク ACL が表示されます。

  • [Add]:ドロップダウン リストで選択したネットワーク ACL が右側の [Network ACLs] リストに追加されます。

  • [Delete]:クリックすると、強調表示されているネットワーク ACL が [Network ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

ステップ 3

[Web-Type ACL Filters (clientless)] タブを選択し、この DAP レコードに適用される Web タイプ ACL を設定します。DAP の ACL には、許可または拒否ルールだけを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。

  • [Web-Type ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みの Web-type ACL を選択します。ACL には、許可ルールと拒否ルールの任意の組み合わせを指定できます。

  • [Manage]:Web タイプ ACL を追加、編集、削除するときにクリックします。

  • [Web-Type ACL] リスト:この DAP レコードの Web-type ACL が表示されます。

  • [Add]:ドロップダウン リストで選択した Web タイプ ACL が右側の [Web-Type ACLs] リストに追加されます。

  • [Delete]:クリックすると、Web-type ACL の 1 つが [Web-Type ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

ステップ 4

[Functions] タブを選択し、ファイル サーバ エントリとブラウジング、HTTP プロキシ、および DAP レコードの URL エントリを設定します。

  • [File Server Browsing]:ファイル サーバまたは共有機能の CIFS ブラウジングをイネーブルまたはディセーブルにします。

    ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。CIFS ブラウズ機能では、国際化がサポートされていません。

  • [File Server Entry]:ポータル ページでユーザがファイル サーバのパスおよび名前を入力できるようにするかどうかを設定します。イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドロワが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。

  • [HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送に関与します。このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、自動的にブラウザの古いプロキシ コンフィギュレーションを変更して、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。

  • [URL Entry]:ポータル ページでユーザが HTTP/HTTPS URL を入力できるようにするかどうかを設定します。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。

SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとはかぎりません。SSL VPN は、企業ネットワーク上のリモート ユーザの PC やワークステーションと ASA との間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるリソース)にアクセスする場合、企業の ASA から目的の Web サーバまでの通信はセキュアではありません。

クライアントレス VPN 接続では、ASA はエンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、ASA はセキュアな接続を確立し、サーバの SSL 証明書を検証します。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、ASA は信頼できる CA 証明書の検証も実行しません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。

ユーザのインターネット アクセスを制限するには、[Disable for the URL Entry] フィールドを選択します。これにより、SSL VPN ユーザがクライアントレス VPN 接続中に Web サーフィンできないようにします。

  • [Unchanged]:(デフォルト)クリックすると、このセッションに適用されるグループ ポリシーからの値が使用されます。

  • [Enable/Disable]:機能をイネーブルにするかディセーブルにするかを指定します。

  • [Auto-start]:クリックすると HTTP プロキシがイネーブルになり、これらの機能に関連付けられたアプレットが DAP レコードによって自動的に起動するようになります。

ステップ 5

[Port Forwarding Lists] タブを選択し、ユーザ セッションのポート転送リストを設定します。

ポート転送によりグループ内のリモート ユーザは、既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできます。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。

(注)   

ポート転送は、一部の SSL/TLS バージョンでは使用できません。

注意     

ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Sun Microsystems Java ランタイム環境(JRE)がインストールされていることを確認します。

  • [Port Forwarding]:この DAP レコードに適用されるポート転送リストのオプションを選択します。このフィールドのその他の属性は、[Port Forwarding] を [Enable] または [Auto-start] に設定した場合にだけイネーブルになります。

  • [Unchanged]:クリックすると、属性が実行コンフィギュレーションから削除されます。

  • [Enable/Disable]:ポート転送をイネーブルにするかディセーブルにするかを指定します。

  • [Auto-start]:クリックするとポート転送がイネーブルになり、DAP レコードのポート転送リストに関連付けられたポート転送アプレットが自動的に起動するようになります。

  • [Port Forwarding List] ドロップダウン リスト:DAP レコードに追加する、設定済みのポート転送リストを選択します。

  • [New...] :新規のポート転送リストを設定するときにクリックします。

  • [Port Forwarding Lists](ラベルなし):DAP レコードのポート転送リストが表示されます。

  • [Add]:クリックすると、ドロップダウン リストで選択したポート転送リストが右側のポート転送リストに追加されます。

  • [Delete]:クリックすると、選択されているポート転送リストがポート転送リストから削除されます。 ASA からポート転送リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。

ステップ 6

[Bookmarks] タブを選択し、特定のユーザ セッション URL のブックマークを設定します。

  • [Enable bookmarks]:クリックするとイネーブルになります。 このチェックボックスがオフのときは、接続のポータル ページにブックマークは表示されません。

  • [Bookmark] ドロップダウン リスト:DAP レコードに追加する、設定済みのブックマークを選択します。

  • [Manage...] :ブックマークを追加、インポート、エクスポート、削除するときにクリックします。

  • [Bookmarks](ラベルなし):この DAP レコードの URL リストが表示されます。

  • [Add>>]:クリックすると、ドロップダウン リストで選択したブックマークが右側の URL 領域に追加されます。

  • [Delete]:クリックすると、選択されているブックマークが URL リスト領域から削除されます。ASA からブックマークを削除するには、まず DAP レコードからそのブックマークを削除する必要があります。

ステップ 7

[Access Method] タブを選択し、許可するリモート アクセスのタイプを設定します。

  • [Unchanged]:現在のリモート アクセス方式を引き続き使用します。

  • [AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。

  • [Web-Portal]:クライアントレス VPN で接続します。

  • [Both-default-Web-Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。

  • [Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。

ステップ 8

[AnyConnect] タブを選択し、Always-on VPN フラグのステータスを選択します。

  • [Always-On VPN for AnyConnect client]:AnyConnect サービス プロファイル内の Always-on VPN フラグ設定を未変更にするか、ディセーブルにするか、AnyConnect プロファイル設定を使用するかを指定します。

    このパラメータを使用するには、Cisco Web セキュリティ アプライアンスのリリースが、Cisco AnyConnect VPN クライアントに対してセキュア モビリティ ソリューション ライセンシングをサポートしている必要があります。また、AnyConnect のリリースが、「セキュア モビリティ ソリューション」の機能をサポートしている必要もあります。詳細については、『Cisco AnyConnect VPN Client Administrator Guide』を参照してください。

ステップ 9

[AnyConnect Custom Attributes] タブを選択し、定義済みのカスタム属性を表示して、このポリシーに関連付けます。また、カスタム属性を定義してから、それらをこのポリシーに関連付けることもできます。

カスタム属性は AnyConnect クライアントに送信され、アップグレードの延期などの機能を設定するために使用されます。カスタム属性にはタイプと名前付きの値があります。まず属性のタイプを定義した後、このタイプの名前付きの値を 1 つ以上定義できます。機能に対して設定する固有のカスタム属性の詳細については、使用している AnyConnect リリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。

カスタム属性は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] および [AnyConnect Custom Attribute Names] で事前に定義できます。事前に定義したカスタム属性は、ダイナミック アクセス ポリシーとグループ ポリシーの両方で使用されます。

DAP トレースの実行

DAP トレースを実行すると、すべての接続済みデバイスの DAP エンドポイント属性が表示されます。

手順

ステップ 1

SSH ターミナルから ASA にログオンして特権 EXEC モードを開始します。

ASA の特権 EXEC モードでは、表示されるプロンプトは hostname# となります。

ステップ 2

DAP デバッグをイネーブルにします。セッションのすべての DAP 属性がターミナル ウィンドウに表示されます。 


hostname# debug dap trace
endpoint.anyconnect.clientversion="0.16.0021";
endpoint.anyconnect.platform="apple-ios";
endpoint.anyconnect.platformversion="4.1";
endpoint.anyconnect.devicetype="iPhone1,2";
endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75";
ステップ 3

(任意) DAP トレースの出力を検索するには、コマンドの出力をシステム ログに送ります。ASA でのロギングの詳細については、『Cisco ASA Series General Operations ASDM Configuration Guide』の「Configure Logging」を参照してください。

DAP の例

DAP を使用したネットワーク リソースの定義

この例は、ユーザまたはグループのネットワーク リソースを定義する方法として、ダイナミック アクセス ポリシーを設定する方法を示しています。Trusted_VPN_Access という名前の DAP ポリシーは、クライアントレス VPN アクセスと AnyConnect VPN アクセスを許可します。Untrusted_VPN_Access という名前のポリシーは、クライアントレス VPN アクセスだけを許可します。

手順

ステップ 1

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] に移動します。

ステップ 2

各ポリシーの次の属性を設定します。

属性

Trusted_VPN_Access

Untrusted_VPN_Access

Endpoint Attribute Type Policy

信頼できる

信頼できない

Endpoint Attribute Process

ieexplore.exe

Advanced Endpoint Assessment

AntiVirus= McAfee Attribute

CSD Location

信頼できる

信頼できない

LDAP memberOf

Engineering、Managers

ベンダー

ACL

Web-Type ACL

アクセス

AnyConnect および Web Portal

Web Portal

DAP を使用した WebVPN ACL の適用

DAP では、Network ACLs(IPsec および AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、URL リスト、および Functions を含め、アクセス ポリシー属性のサブセットを直接適用できます。グループ ポリシーが適用されるバナーまたはスプリット トンネル リストなどには、直接適用できません。[Add/Edit Dynamic Access Policy] ペインの [Access Policy Attributes] タブには、DAP が直接適用される属性の完全なメニューが表示されます。

Active Directory/LDAP は、ユーザ グループ ポリシー メンバーシップをユーザ エントリの「memberOf」属性として保存します。AD グループ内のユーザ(memberOf)= ASA が設定済み Web タイプ ACL を適用する Engineering となるように、DAP を定義します。

手順

ステップ 1

ASDM で、[Add AAA Attributes] ペインに移動します([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes section] > [Add AAA Attribute])。

ステップ 2

AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。

ステップ 3

[Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。
ステップ 4

[Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。
ステップ 5

ペインの [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タブをクリックします。
ステップ 6

[Web-Type ACL] ドロップダウン リストを使用して、AD グループ(memberOf)= Engineering のユーザに適用する ACL を選択します。

DAP による CSD チェックの強制とポリシーの適用

この例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering および Employees)と 1 つの特定 ASA トンネル グループに属することをチェックする DAP を作成します。その後、ACL をユーザに適用します。

DAP が適用される ACL により、リソースへのアクセスを制御します。それらの ACL は、ASA のグループ ポリシーで定義されるどの ACL よりも優先されます。また ASA は、スプリット トンネリング リスト、バナー、DNS など、DAP で定義または制御されない要素に通常の AAA グループ ポリシー継承ルールと属性を適用します。

手順

ステップ 1

ASDM で、[Add AAA Attributes] ペインに移動します([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes section] > [Add AAA Attribute])。

ステップ 2

AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。

ステップ 3

[Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4

[Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5

[Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 6

[Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Employees」と入力します。

ステップ 7

AAA 属性タイプとしては、ドロップダウン リストを使用して [Cisco] を選択します。

ステップ 8

[Tunnel] グループ ボックスをオンにし、ドロップダウン リストを使用して [=] を選択し、隣のドロップダウン リストで適切なトンネル グループ(接続ポリシー)を選択します。

ステップ 9

[Access Policy Attributes] 領域の [Network ACL Filters] タブで、前のステップで定義した DAP 基準を満たすユーザに適用する ACL を選択します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ