Cisco ASA シリーズ コマンドリファレンス、A ～ H コマンド

 

構文の説明

 

デフォルト

デフォルトの特権レベルは 0 です。

 

コマンド履歴

 

使用上のガイドライン

aaa accounting command コマンドを設定すると、管理者が入力する show コマンド以外の各コマンドが記録され、アカウンティング サーバに送信されます。

例

次に、サポート対象のコマンドについてアカウンティング レコードが生成され、それらのレコードが adminserver という名前のグループからサーバに送信されることを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、管理アクセス用の AAA アカウンティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

aaa-server コマンドで指定済みのサーバ グループの名前を指定する必要があります。

例

次に、イネーブル アクセスについてアカウンティング レコードが生成され、それらのレコードが adminserver という名前のサーバに送信されることを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、管理アクセス用の AAA アカウンティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

ASA は、ASA を通過する任意の TCP トラフィックまたは UDP トラフィックについてのアカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。そのトラフィックも認証されている場合、AAA サーバはユーザ名でアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、ASA を通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。

このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。

ACL で指定されているトラフィックのアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

セキュリティが同じインターフェイス間で aaa accounting include および exclude コマンドを使用することはできません。その場合は、 aaa accounting match コマンドを使用する必要があります。

例

次に、すべての TCP 接続でアカウンティングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA は、ASA を通過する任意の TCP トラフィックまたは UDP トラフィックについてのアカウンティング情報を RADIUS サーバまたは TACACS+ サーバに送信できます。そのトラフィックも認証されている場合、AAA サーバはユーザ名でアカウンティング情報を保持できます。トラフィックが認証済みでない場合、AAA サーバは IP アドレスによってアカウンティング情報を保持できます。アカウンティング情報には、セッションの開始時刻と終了時刻、ユーザ名、ASA を通過するセッションのバイト数、使用されたサービス、および各セッションの継続時間などの情報が含まれます。

このコマンドを使用する前に、 aaa-server コマンドで AAA サーバを最初に指定する必要があります。

AAA サーバ プロトコル コンフィギュレーション モードで accounting-mode コマンドを使用して同時アカウンティングをイネーブルにしない限り、アカウンティング情報はサーバ グループ内のアクティブなサーバにのみ送信されます。

aaa accounting match コマンドは、 aaa accounting include および exclude コマンドと同じコンフィギュレーションの中では使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

例

次に、特定の ACL acl2 と一致するトラフィックのアカウンティングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA で Telnet、SSH、または HTTPS ユーザを認証する前に、 telnet コマンド、 ssh コマンド、または http コマンドを使用して ASA へのアクセスを設定する必要があります。これらのコマンドでは、ASA との通信を許可する IP アドレスを指定します。

ASA へのログイン

ASA に接続した後、ログインしてユーザ EXEC モードにアクセスします。

• シリアル アクセスの認証を有効にしていない場合は、ユーザ名またはパスワードを入力しません。
• Telnet の認証をイネーブルにしていない場合は、ユーザ名を入力しません。ログイン パスワード（ password コマンドで設定）を入力します。
• このコマンドを使用して Telnet または SSH 認証をイネーブルにした場合は、AAA サーバまたはローカル ユーザ データベースで定義されているユーザ名とパスワードを入力します。

特権 EXEC モードへのアクセス

特権 EXEC モードを開始するには、 enable コマンドまたは login コマンドを入力します（ローカル データベースのみを使用している場合）。

• enable 認証を設定していない場合は、 enable コマンドを入力するときにシステム イネーブル パスワード（ enable password コマンドで設定）を入力します。ただし、enable 認証を使用しない場合、 enable コマンドを入力した後は、特定のユーザとしてログインしていません。ユーザ名を維持するには、enable 認証を使用してください。
• enable 認証を設定している場合、ASA によってユーザ名とパスワードの入力が求められます。

ローカル データベースを使用する認証の場合、 login コマンドを使用できます。このコマンドでは、ユーザ名は維持されますが、認証をオンにするコンフィギュレーションは必要ありません。

ASDM へのアクセス

デフォルトでは、ブランクのユーザ名と enable password コマンドによって設定されたイネーブル パスワードを使用して ASDM にログインできます。ただし、ログイン画面で（ユーザ名をブランクのままにしないで）ユーザ名とパスワードを入力した場合は、ASDM によってローカル データベースで一致がチェックされます。

HTTPS 認証では AAA サーバ グループ用の SDI プロトコルがサポートされません。HTTPS 認証のユーザ名プロンプトの最大長は 30 文字です。パスワードの最大長は 16 文字です。

システム実行スペースでの AAA コマンドのサポートなし

マルチ コンテキスト モードでは、システム コンフィギュレーションで AAA コマンドを設定できません。

許可されるログイン試行の回数

次の表に示すように、 aaa authentication console コマンドで選択するオプションによって、ASA CLI への認証されたアクセスに対するプロンプトのアクションは異なります。

例

次に、「radius」というサーバ タグの RADIUS サーバへの Telnet 接続で、aaa authentication console コマンドを使用する例を示します。

次に、サーバ グループ「AuthIn」を enable 認証用に指定する例を示します。

次に、aaa authentication console コマンドを使用して、グループ「svrgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックさせる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ACL で指定されているトラフィックの認証をイネーブルにするには、 aaa authentication match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

セキュリティが同じインターフェイス間で aaa authentication include および exclude コマンドを使用することはできません。その場合は、 aaa authentication match コマンドを使用する必要があります。

TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。

一度だけの認証

所定の IP アドレスのユーザは、認証セッションが期限切れになるまで、すべてのルールおよびタイプに対して一度だけ認証を受ける必要があります（タイムアウト値については、 timeout uauth コマンドを参照してください）。たとえば、ASA に Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。

HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。このストリングがクリアされるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。

認証確認を受けるために必要なアプリケーション

プロトコルまたはサービスへのネットワーク アクセス認証を要求するように ASA を設定することは、すべてのプロトコルまたはサービスについて可能ですが、ユーザが直接認証を受けることができるのは、HTTP、HTTPS、Telnet、または FTP だけです。ユーザがこれらのサービスのいずれかの認証を受けないと、ASA は認証が必要な他のトラフィックを許可しません。

ASA が AAA 用にサポートしている認証ポートは固定値です。

• ポート 21 は FTP 用
• ポート 23 は Telnet 用
• ポート 80 は HTTP 用
• ポート 443 は HTTPS 用

ASA 認証プロンプト

Telnet および FTP の場合、ASA は認証プロンプトを生成します。

HTTP の場合、ASA はデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように ASA を設定することもできます（ aaa authentication listener コマンドで設定します）。

HTTPS の場合、ASA はカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように ASA を設定することもできます（ aaa authentication listener コマンドで設定します）。

リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、ASA での直接認証もサポートしています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。ASA でリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、ASA で提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。

正常に認証されると、ASA により元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。

（注） aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントから ASA に送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。

FTP の場合、ASA ユーザ名、アット マーク（@）、FTP ユーザ名（name1@name2）を入力するオプションがあります。パスワードには、ASA パスワード、アット マーク（@）、FTP パスワード（password1@password2）を入力します。たとえば、次のテキストを入力します。

この機能は、複数のログインを必要とするファイアウォールをカスケード接続している場合に有用です。複数の名前およびパスワードは、複数のアット マーク（@）で区切ることができます。

許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。

スタティック PAT および HTTP

HTTP 認証では、スタティック PAT が設定されている場合、ASA は実際のポートをチェックします。ASA は、マッピング ポートにかかわらず、実際のポート 80 を宛先とするトラフィックを検出した場合、HTTP 接続を代行受信し、認証を実行します。

たとえば、次のように、外部 TCP ポート 889 がポート 80（www）に変換され、関係するすべての ACL でこのトラフィックが許可されるとします。

この場合、ユーザはポート 889 で 10.48.66.155 にアクセスを試み、ASA はそのトラフィックを代行受信して、HTTP 認証を実行します。ASA が HTTP 接続の完了を許可する前に、ユーザの Web ブラウザには HTTP 認証ページが表示されます。

次の例のように、ローカル ポートがポート 80 ではないとします。

この場合、ユーザには認証ページは表示されません。代わりに、ASA は Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。

ASA での直接認証

HTTP、HTTPS、Telnet、または FTP が ASA を通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用して ASA で直接認証できます。

インターフェイスの AAA をイネーブルにすると、次の URL で ASA の直接認証を受けることができます。

または、仮想 Telnet を設定する方法もあります（ virtual telnet コマンドを使用）。仮想 Telnet を設定した場合、ユーザは ASA 上で設定された所定の IP アドレスに Telnet で接続し、ASA が Telnet プロンプトを表示します。

例

次に、外部インターフェイスで TCP トラフィックを認証に含める例を示します。内部 IP アドレス 192.168.0.0 およびネットマスク 255.255.0.0、すべてのホストの外部 IP アドレスを指定し、tacacs+ という名前のサーバ グループを使用します。2 番めのコマンドラインでは、外部インターフェイスで Telnet トラフィックを除外します。内部アドレス 192.168.38.0、すべてのホストの外部 IP アドレスを指定します。

次に、interface-name パラメータの使用方法を示す例を示します。ASA には、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0（サブネット マスク 255.255.255.224）、および境界ネットワーク 209.165.202.128（サブネット マスク 255.255.255.224）があります。

次の例では、内部ネットワークから外部ネットワークへの接続の認証をイネーブルにします。

次の例では、内部ネットワークから境界ネットワークへの接続の認証をイネーブルにします。

次の例では、外部ネットワークから内部ネットワークへの接続の認証をイネーブルにします。

次の例では、外部ネットワークから境界ネットワークへの接続の認証をイネーブルにします。

次の例では、境界ネットワークから外部ネットワークへの接続の認証をイネーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、リスナー サービスはディセーブルであり、HTTP 接続では基本 HTTP 認証が使用されます。リスナーをイネーブルにした場合、デフォルトのポートは 80（HTTP）および 443（HTTPS）です。

7.2(1) からアップグレードする場合、リスナーはポート 1080（HTTP）および 1443（HTTPS）でイネーブルになります。 redirect オプションもイネーブルになります。

 

コマンド履歴

 

使用上のガイドライン

aaa authentication listener コマンドを使用しないと、 aaa authentication match または aaa authentication include コマンドの設定後に HTTP/HTTPS ユーザが ASA で認証する必要があるときに、ASA では基本 HTTP 認証が使用されます。HTTPS の場合、ASA はカスタム ログイン画面を生成します。

aaa authentication listener コマンドを redirect キーワードを指定して設定すると、ASA により、すべての HTTP/HTTPS 認証要求は ASA によって提供される Web ページにリダイレクトされます。

リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、ASA での直接認証もサポートしています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。ASA でリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、ASA で提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。

aaa authentication listener コマンドを redirect オプションを 指定しないで 入力した場合、ASA での直接認証のみがイネーブルとなり、通過トラフィックでは基本 HTTP 認証が使用されます。 redirect オプションによって、直接認証と通過トラフィック認証の両方がイネーブルになります。直接認証は、認証チャレンジをサポートしないトラフィック タイプを認証するときに役立ちます。他のサービスを使用する前に、各ユーザを ASA で直接認証できます。

（注） redirect オプションをイネーブルにした場合、インターフェイスの IP アドレスを変換する同じインターフェイス、およびリスナー用に使用される同じポートに対して、スタティック PAT も設定することはできません。NAT は成功しますが、認証は失敗します。たとえば、次のコンフィギュレーションはサポートされません。

次のコンフィギュレーションはサポートされます。リスナーによって、ポートはデフォルトの 80 ではなく 1080 が使用されます。

例

次に、HTTP および HTTPS 接続をデフォルトのポートにリダイレクトするように ASA を設定する例を示します。

次に、ASA への直接認証要求を許可する例を示します。通過トラフィックによって基本 HTTP 認証が使用されます。

次に、HTTP および HTTPS 接続をデフォルト以外のポートにリダイレクトするように ASA を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、ポータル ページにログアウト ボタンがあります。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、カットスルー プロキシのポータル ページ（/netaccess/connstatus.html）には、接続ホストに対してカットスルー プロキシ セッションがすでにアクティブになっているときにアクセスされた場合、セッション情報とログアウト ボタンが表示されます。このコマンドを使用してログアウト ボタンを削除できます。

これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

例

次の例では、内部インターフェイスで HTTP および HTTPS リスナーを有効にし、認証が必要なすべての HTTP/HTTPS トラフィックをリダイレクトするように ASA を設定しています。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトは、90 日です。

 

コマンド履歴

 

使用上のガイドライン

1 つ以上の CLI 管理方式（SSH、Telnet、シリアル コンソール）でローカル AAA 認証をイネーブルにした場合、AAA サーバのユーザ名またはローカル データベースのユーザ名にこの機能が適用されます。

ASDM のログインは履歴に保存されません。

ログイン履歴はユニット（装置）ごとに保存されます。フェールオーバーおよびクラスタリング環境では、各ユニットが自身のログイン履歴のみを保持します。

ログインの履歴データは、リロードされると保持されなくなります。

ログイン履歴を表示するには、 show aaa login-history コマンドを使用します。

例

次に、ログイン履歴を 365 日に設定する例を示します。

ユーザがログインすると、以下の SSH の例のように、自身のログイン履歴が表示されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

aaa authentication match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

TCP セッションのシーケンス番号は、シーケンス ランダム化をディセーブルにした場合でもランダム化されることがあります。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。

One-Time 認証

所定の IP アドレスのユーザは、認証セッションが期限切れになるまで、すべてのルールおよびタイプに対して一度だけ認証を受ける必要があります（タイムアウト値については、 timeout uauth コマンドを参照してください）。たとえば、ASA に Telnet と FTP の認証を設定した場合、最初に Telnet の認証に成功したユーザは、その認証セッションが存在する限り、FTP の認証を受ける必要がありません。

HTTP 認証または HTTPS 認証では、 timeout uauth コマンドが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。このストリングがクリアされるのは、ユーザが Web ブラウザのインスタンスを すべて 終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。

認証チャレンジの受信に必要なアプリケーション

プロトコルまたはサービスへのネットワーク アクセス認証を要求するように ASA を設定することは、すべてのプロトコルまたはサービスについて可能ですが、ユーザが直接認証を受けることができるのは、HTTP、HTTPS、Telnet、または FTP だけです。ユーザがこれらのサービスのいずれかの認証を受けないと、ASA は認証が必要な他のトラフィックを許可しません。

ASA が AAA 用にサポートしている認証ポートは固定値です。

• ポート 21 は FTP 用
• ポート 23 は Telnet 用
• ポート 80 は HTTP 用
• HTTPS の場合はポート 443（ aaa authentication listener コマンドが必要）

ASA 認証プロンプト

Telnet および FTP の場合、ASA は認証プロンプトを生成します。

HTTP の場合、ASA はデフォルトで基本 HTTP 認証を使用し、認証プロンプトを提供します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように ASA を設定することもできます（ aaa authentication listener コマンドで設定します）。

HTTPS の場合、ASA はカスタム ログイン画面を生成します。ユーザがユーザ名とパスワードを入力できる内部 Web ページにユーザをリダイレクトするように ASA を設定することもできます（ aaa authentication listener コマンドで設定します）。

リダイレクションは、基本方式を強化したものです。これは、認証時に向上したユーザ エクスペリエンスが提供されると同時に、Easy VPN でもファイアウォール モードでも、HTTP および HTTPS と同じユーザ エクスペリエンスが提供されるためです。また、ASA での直接認証もサポートしています。

基本 HTTP 認証を使用し続けた方がよい場合もあります。ASA でリスニング ポートを開く必要がない場合や、ルータ上の NAT を使用しているため、ASA で提供される Web ページの変換ルールを作成する必要がない場合、あるいは基本 HTTP 認証の方がネットワークで効果的に機能する場合です。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。

正常に認証されると、ASA により元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。基本 HTTP 認証を使用していて、宛先サーバ用に別のユーザ名とパスワードを入力する必要がある場合は、 virtual http コマンドを設定する必要があります。

（注） aaa authentication secure-http-client コマンドを使用しないまま HTTP 認証を使用すると、ユーザ名とパスワードはクリア テキストでクライアントから ASA に送信されます。HTTP 認証をイネーブルにする場合は、必ず aaa authentication secure-http-client コマンドを使用することを推奨します。

FTP の場合、ASA ユーザ名、アット マーク（@）、FTP ユーザ名（name1@name2）を入力するオプションがあります。パスワードには、ASA パスワード、アット マーク（@）、FTP パスワード（password1@password2）を入力します。たとえば、次のテキストを入力します。

この機能は、複数のログインを必要とするファイアウォールをカスケード接続している場合に有用です。複数の名前およびパスワードは、複数のアット マーク（@）で区切ることができます。

許可されるログイン試行の回数は、サポートされているプロトコルによって次のように異なります。

スタティック PAT と HTTP

HTTP 認証では、スタティック PAT が設定されている場合、ASA は実際のポートをチェックします。ASA は、マッピング ポートにかかわらず、実際のポート 80 を宛先とするトラフィックを検出した場合、HTTP 接続を代行受信し、認証を実行します。

たとえば、次のように、外部 TCP ポート 889 がポート 80（www）に変換され、関係するすべての ACL でこのトラフィックが許可されるとします。

この場合、ユーザはポート 889 で 10.48.66.155 にアクセスを試み、ASA はそのトラフィックを代行受信して、HTTP 認証を実行します。ASA が HTTP 接続の完了を許可する前に、ユーザの Web ブラウザには HTTP 認証ページが表示されます。

次の例のように、ローカル ポートがポート 80 ではないとします。

この場合、ユーザには認証ページは表示されません。代わりに、ASA は Web ブラウザにエラー メッセージを送信して、要求されたサービスを使用する前にユーザが認証を受ける必要があることを通知します。

ASA での直接認証

HTTP、HTTPS、Telnet、または FTP が ASA を通過することを許可せず、他のタイプのトラフィックに対しては認証を課す場合、 aaa authentication listener コマンドを設定することで、HTTP または HTTPS を使用して ASA で直接認証できます。

インターフェイスの AAA をイネーブルにすると、次の URL で ASA の直接認証を受けることができます。

または、仮想 Telnet を設定する方法もあります（ virtual telnet コマンドを使用）。仮想 Telnet を設定した場合、ユーザは ASA 上で設定された所定の IP アドレスに Telnet で接続し、ASA が Telnet プロンプトを表示します。

例

次に、 aaa authentication match コマンドを使用する例を示します。

このコンテキストでは、次のコマンドは

次のコマンドと同じです。

aaa コマンド ステートメントのリストでは、access-list コマンド ステートメント間の順序に依存します。たとえば、次のコマンドを入力します。

その後で、次のコマンドを入力します。

ASA は、まず mylist 内の access-list コマンド ステートメント グループに一致があるか確かめ、次に yourlist 内の access-list コマンド ステートメント グループに一致があるかを確かめます。

ASA を介した接続の認証をイネーブルにして、アイデンティティ ファイアウォール機能と照合するには、次のコマンドを入力してください。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

aaa authentication secure-http-client コマンドによって、ユーザの HTTP ベース Web 要求が ASA を通過するのを許可する前に、ASA に対するセキュアなユーザ認証方式が提供されます。このコマンドは、SSL による HTTP カットスルー プロキシ認証に使用されます。

aaa authentication secure-http-client コマンドには、次の制限があります。

• 実行時に、最大で 64 個の HTTPS 認証プロセスが許可されます。64 個の HTTPS 認証プロセスすべてが実行されている場合、認証を必要とする 65 番目の新しい HTTPS 接続は許可されません。
• uauth timeout 0 が設定されると（ uauth timeout が 0 に設定される）、HTTPS 認証は機能しない場合があります。HTTPS 認証を受けた後、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、繰り返し認証ページが表示されます。この状況を回避するには、 timeout uauth 0:0:1 コマンドで uauth timeout を 1 秒に設定します。ただし、この回避策では、同じ送信元 IP アドレスからアクセスした認証されていないユーザがファイアウォールを通過できる期間が 1 秒間発生します。
• HTTPS 認証は SSL ポート 443 で行われるため、HTTP クライアントから HTTP サーバ ポート 443 へのトラフィックをブロックするように、 access-list コマンド ステートメントを設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、最初の行でスタティック PAT が Web トラフィックに対して設定されるため、HTTPS 認証コンフィギュレーションをサポートするために 2 番めの行を追加する必要があります。

例

次に、HTTP トラフィックがセキュアに認証されるように設定する例を示します。

「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag の値を表します。

次に、HTTPS トラフィックがセキュアに認証されるように設定するコマンドを示します。

「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag の値を表します。

（注） aaa authentication secure-https-client コマンドは、HTTPS トラフィックには必要ありません。

 

関連コマンド

 

構文の説明

 

デフォルト

認可のためのローカル データベースへのフォールバックはデフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

aaa authorization command コマンドでは、CLI でのコマンド実行が認可の対象かどうかを指定します。デフォルトでは、ログインするとユーザ EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。 enable コマンド（または、ローカル データベースを使用するときは login コマンド）を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドを含む高度なコマンドにアクセスできます。コマンドへのアクセスを制御する場合には、ASA にコマンド許可を設定し、各ユーザに許可するコマンドを制限します。

サポートされるコマンド許可方式

次の 2 つのコマンド許可方式のいずれかを使用できます。

• ローカル特権レベル：ASA でコマンド特権レベルを設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ（LDAP 属性を RADIUS 属性にマッピングする場合）を CLI アクセスについて認証する場合、ASA はそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、ユーザ特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード（レベル 0 または 1 のコマンド）にアクセスします。ユーザは、特権 EXEC モード（レベル 2 以上のコマンド）にアクセスするために再び enable コマンドで認証するか、 login コマンドでログイン（ローカル データベースに限る）できます。

（注） ローカル コマンド認可は、ローカル データベース内にユーザがなくても、CLI または enable 認証がなくても使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、ASA によってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n（2 ～ 15）を入力したときに、ASA によってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにしない限り使用されません（詳細については、enable コマンドを参照してください）。

• TACACS+ サーバ特権レベル：TACACS+ サーバで、ユーザまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバでチェックされます。

セキュリティ コンテキストとコマンド許可

マルチ セキュリティ コンテキストでコマンド許可を実装する場合の重要な考慮点を次に示します。

• AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。

コマンド許可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。これにより、異なるセキュリティ コンテキストに対して異なるコマンド認可を実行できます。

セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。

• changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されたユーザ名に関係なく、管理者 ID として常にデフォルトの「enable_15」ユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド許可が設定されていない場合や、enable_15 ユーザの認可が前のコンテキスト セッションでのユーザの認可と異なる場合に、混乱が生じる可能性があります。

これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効となる、コマンド アカウンティングにも影響します。 changeto コマンドの使用が許可されているすべての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名でログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。

コマンド許可を設定する場合は、次の点を考慮します。

– changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれで enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。

– コンテキストごとに別々にコマンドを認可する場合は、 changeto コマンドの使用を許可されている管理者に対して拒否されるコマンドについて、enable_15 ユーザ名でも同様に使用を拒否されることを、各コンテキストで確認してください。

セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、再度 enable コマンドを入力して必要なユーザ名を使用できます。

（注） システム実行スペースでは aaa コマンドはサポートされません。したがって、システム実行スペースではコマンド認可は使用できません。

ローカル コマンド認可の前提条件

• aaa authentication enable console コマンドを使用して、ローカル、RADIUS、または LDAP 認証の enable 認証を設定します。

enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を維持するために必要です。

または、コンフィギュレーションが不要な login コマンド（認証を伴う enable コマンドと同じ）を使用できます。enable 認証ほどセキュアではないため、このオプションは推奨しません。

CLI 認証（ aaa authentication { ssh | telnet | serial } console ）を使用することもできますが、必須ではありません。

• RADIUS が認証に使用されている場合、 aaa authorization exec コマンドを使用して、RADIUS からの管理ユーザ特権レベルのサポートをイネーブルにすることができますが、必須ではありません。このコマンドは、ローカル、RADIUS、LDAP（マッピング済み）、および TACACS+ の各ユーザの管理認可もイネーブルにします。
• 次に示すユーザ タイプごとの前提条件を確認してください。

– ローカル データベース ユーザ： username コマンドを使用して、ローカル データベース内のユーザを特権レベル 0 ～ 15 で設定します。

– RADIUS ユーザ：ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ～ 15 の値で設定します。

– LDAP ユーザ：ユーザを特権レベル 0 ～ 15 を使用して設定し、 ldap map-attributes コマンドを使用して LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。

• コマンド特権レベルの設定については、 privilege コマンドを参照してください。

TACACS+ コマンド認可

TACACS+ コマンド許可をイネーブルにし、ユーザが CLI でコマンドを入力すると、ASA はそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ サーバによるコマンド認可を設定するときは、意図したとおりに機能することが確認できるまで、コンフィギュレーションを保存しないでください。間違いによりロック アウトされた場合、通常は ASA を再起動することによってアクセスを回復できます。

TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバ システムと ASA への完全冗長接続が必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続された 1 つのサーバとインターフェイス 2 に接続された別のサーバを含めます。TACACS+ サーバが使用できない場合にフォールバック方式としてローカル コマンド許可を設定することもできます。この場合、ローカル ユーザおよびコマンド特権レベルを設定する必要があります。

TACACS+ サーバの設定については、CLI 設定ガイドを参照してください。

TACACS+ コマンド認可の前提条件

• aaa authentication { ssh | telnet | serial } console コマンドを使用して、CLI 認証を設定します。
• aaa authentication enable console コマンドを使用して、 enable 認証を設定します。

例

次に、tplus1 という名前の TACACS+ サーバ グループを使用してコマンド認可をイネーブルにする例を示します。

次に、tplus1 サーバ グループ内のすべてのサーバが使用できない場合に、ローカル ユーザ データベースへのフォールバックをサポートする管理認可を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、このコマンドはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

aaa authorization exec コマンドを使用すると、ユーザの service-type クレデンシャルはコンソール アクセスの許可の前に検査されます。

no aaa authorization exec コマンドによる管理認可をディセーブルにする場合、次の点に注意してください。

• コンソール アクセスの許可の前に、ユーザの service-type クレデンシャルはチェックされません。
• コマンド認可が設定されている場合、RADIUS、LDAP、および TACACS+ ユーザについて AAA サーバで特権レベル属性が見つかると、特権レベル属性が引き続き適用されます。

ユーザが CLI、ASDM、または enable コマンドにアクセスするときにユーザを認証するように aaa authentication console コマンドを設定すると、ユーザ コンフィギュレーションに応じて aaa authorization exec コマンドで管理アクセスを制限できます。

（注） シリアルアクセスは管理認可に含まれていないため、aaa authentication serial console を設定すると、認証を行うすべてのユーザがコンソールポートにアクセスできます。コマンド認可を設定した場合、コンソールユーザにはコマンドの使用について引き続き制限が適用されます。

ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。

• LDAP マッピング済みユーザ：LDAP 属性をマッピングするには、 ldap attribute-map コマンドを参照してください。
• RADIUS ユーザ：次の値のいずれかにマッピングする IETF RADIUS numeric service-type 属性を使用します。

– Service-Type 5（発信）は、管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません（ serial キーワードを除きます。シリアル アクセスは許可されます）。リモート アクセス（IPsec および SSL）ユーザは、引き続き自身のリモート アクセス セッションを認証および終了できます。

– Service-Type 6（管理）は、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

– Service-Type 7（NAS プロンプト）は、 aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

（注） 認識される service-type は、ログイン（1）、フレーム化（2）、管理（6）、および NAS プロンプト（7）のみです。その他の service-type を使用すると、アクセスは拒否されます。

• TACACS+ ユーザ：「service=shell」エントリで認可を要求し、サーバは次のように PASS または FAIL で応答します。

– PASS、特権レベル 1 は、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

– PASS、特権レベル 2 以上は、 aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

– FAIL は、管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません（ serial キーワードを除きます。シリアル アクセスは許可されます）。

• ローカル ユーザ： service-type コマンドを設定します。これは、 username コマンドのユーザ名コンフィギュレーション モードです。デフォルトの service-type は admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

例

次に、ローカル データベースを使用して管理認可をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ASDM のユーザ名認証はデフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、webvpn（ASA 1000v）をサポートしないプラットフォームや、No Payload Encryption（NPE）がイネーブルになっているプラットフォームでは使用できません。

例

 

構文の説明

 

デフォルト

IP アドレス 0 は、「すべてのホスト」を意味します。ローカル IP アドレスを 0 に設定すると、認可されるホストを認可サーバによって決定できます。

認可のためのローカル データベースへのフォールバックはデフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

ACL で指定されているトラフィックの認可をイネーブルにするには、 aaa authorization match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションで使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

セキュリティが同じインターフェイス間で aaa authorization include および exclude コマンドを使用することはできません。その場合は、 aaa authorization match コマンドを使用する必要があります。

TACACS+ でネットワーク アクセス認可を実行するように、ASA を設定できます。認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まずASA に認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。

ユーザの認証が完了すると、ASA は、一致するトラフィックの認可ルールをチェックします。トラフィックが認可ステートメントに一致した場合、ASA はユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは ASA に応答し、ユーザ プロファイルに基づいてそのトラフィックの許可または拒否を示します。ASA は、その応答内の認可ルールを実施します。

ユーザに対するネットワーク アクセス認可の設定については、ご使用の TACACS+ サーバのマニュアルを参照してください。

IP アドレスごとに 1 つの aaa authorization include コマンドが許可されます。

最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再送信を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。

（注） ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。ASA では、サーバがストリングを解析してポート範囲に変換できることを前提としており、ポート範囲をストリングとしてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。

例

次に、TACACS+ プロトコルを使用する例を示します。

この例では、最初のコマンド ステートメントで tplus1 という名前のサーバ グループを作成し、このグループで使用する TACACS+ プロトコルを指定しています。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 3 つのコマンド ステートメントで指定しているのは、外部インターフェイス経由で外部ホストへの接続を開始するすべてのユーザを tplus1 サーバ グループを使用して認証すること、正常に認証されたユーザに対してはすべてのサービスの使用を認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド ステートメントでは、ASA のコンソールへの SSH アクセスには、tplus1 サーバ グループからの認証が必要であることを指定しています。

次に、外部インターフェイスからの DNS ルックアップに対する認可をイネーブルにする例を示します。

次に、内部ホストから内部インターフェイスに到着する ICMP echo-reply パケットの認可をイネーブルにする例を示します。

これは、ユーザが Telnet、HTTP、または FTP を使用して認証されていない場合は外部ホストを ping できないことを意味します。

次に、内部ホストから inside インターフェイスに到着する ICMP エコー（ping）についてのみ認可をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

aaa authorization match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することを推奨します。 include コマンドおよび exclude コマンドは ASDM によってサポートされていません。

TACACS+ でネットワーク アクセス認可を実行するように、ASA を設定できます。 aaa authorization match コマンドによる RADIUS 認可では、ASA への VPN 管理接続の認可のみがサポートされます。

認証ステートメントと認可ステートメントは互いに独立しています。ただし、認証されていないトラフィックは、認可ステートメントに一致した場合でも拒否されます。ユーザが認可を受けるには、まず ASA に認証される必要があります。認証セッションが期限切れになっていない場合、所定の IP アドレスを持つユーザが認証を受ける必要があるのは、すべてのルールおよびタイプで 1 回だけです。このため、トラフィックが認証ステートメントに一致した場合でも認可が発生する可能性があります。

ユーザの認証が完了すると、ASA は、一致するトラフィックの認可ルールをチェックします。トラフィックが認可ステートメントに一致した場合、ASA はユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは ASA に応答し、ユーザ プロファイルに基づいてそのトラフィックの許可または拒否を示します。ASA は、その応答内の認可ルールを実施します。

ユーザに対するネットワーク アクセス認可の設定については、ご使用の TACACS+ サーバのマニュアルを参照してください。

最初の認可試行が失敗し、2 番めの試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再送信を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージです。

（注） ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。ASA では、サーバがストリングを解析してポート範囲に変換できることを前提としており、ポート範囲をストリングとしてサーバに送信します。すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もありますが、範囲が受け入れられると、このような認可は行われません。

例

次に、aaa コマンドで tplus1 サーバ グループを使用する例を示します。

この例では、最初のコマンド ステートメントで tplus1 サーバ グループを TACACS+ グループとして定義しています。2 番めのコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 2 つのコマンド ステートメントでは、内部インターフェイスを通過する、任意の外部ホストへの接続が tplus1 サーバ グループを使用して認証され、これらのすべての接続がアカウンティング データベースに記録されることを指定しています。最後のコマンド ステートメントでは、myacl 内の ACE に一致する接続が tplus1 サーバ グループ内の AAA サーバによって認可されることを指定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値はありません。

 

コマンド履歴

 

使用上のガイドライン

validate-kdc コマンドを使用して、グループ内のサーバを認証するように Kerberos AAA サーバグループを設定できます。認証を実行するには、Kerberos キー発行局（KDC）からエクスポートしたキータブファイルもインポートする必要があります。KDC を検証することにより、攻撃者が KDC をスプーフィングして、ユーザクレデンシャルが攻撃者の Kerberos サーバに対して認証されるようにする攻撃を防ぐことができます。

KDC の検証を有効にすると、チケット認可チケット（TGT）を取得してユーザを検証した後、システムは ホスト / ASA_hostname のユーザに代わってサービスチケットも要求します。次にシステムは、返されたサービスチケットを KDC の秘密鍵に対して検証します。これは、KDC から生成され、ASA にアップロードされたキータブファイルに保存されます。KDC 認証に失敗すると、サーバは信頼できないと見なされ、ユーザは認証されません。

KDC 認証を完了するには、次の手順を実行する必要があります。

1. （KDC 上。）ASA の Microsoft Active Directory でユーザアカウントを作成します（ [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] に移動します）。たとえば、ASA の完全修飾ドメイン名（FQDN）が asahost.example.com の場合は、asahost という名前のユーザを作成します。

2. （KDC 上。）FQDN とユーザアカウントを使用して、ASA のホストサービスプリンシパル名（SPN）を作成します。

3. （KDC 上。）ASA の キータブファイルを作成します（わかりやすくするために改行を追加）。

4. （ASA 上。） aaa kerberos import-keytab コマンドを使用して、キータブ（この例では new.keytab）を ASA にインポートします。

5. （ASA 上。）Kerberos AAA サーバグループ設定に validate-kdc コマンドを追加します。キータブファイルは、このコマンドが含まれているサーバグループでのみ使用されます。

（注） Kerberos 制約付き委任（KCD）とともに KDC 検証を使用することはできません。サーバグループが KCD に使用されている場合、validate-kdc コマンドは無視されます。

例

次に、FTP サーバ上に存在する new.keytab というキータブをインポートし、Kerberos AAA サーバグループで KDC 検証を有効にする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ローカル ユーザ データベースによる認証だけに影響します。このコマンドを省略すると、ユーザが間違ったパスワードを入力できる回数に制限は設けられません。

間違ったパスワードを入力した試行回数が設定回数に達すると、ユーザはロック アウトされ、管理者がユーザ名をアンロックするまで、ユーザは正常にログインできません。ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

特権レベル 15 のユーザはこのコマンドの影響を受けず、ロック アウトされることはありません。

ユーザが正常に認証されるか、ASA がリブートされると、失敗試行回数は 0 にリセットされ、ロックアウト ステータスは No にリセットされます。

例

次に、aaa local authentication attempts max-limits コマンドを使用して、許可される失敗試行の最大回数を 2 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

追加できる aaa mac-exempt コマンドは 1 つだけです。 aaa mac-exempt コマンドを使用する前に、 mac-list コマンドを使用して MAC リスト番号を設定します。MAC リスト内の permit エントリによって MAC アドレスは認証および認可から免除され、deny エントリによって MAC アドレスの認証および認可が要求されます（認証および認可がイネーブルの場合）。追加できる aaa mac-exempt コマンドのインスタンスは 1 つだけであるため、免除するすべての MAC アドレスを MAC リストに含めてください。

例

次の例では、1 個の MAC アドレスに対する認証をバイパスします。

次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。

次に、00a0.c95d.02b2 を除く MAC アドレスのグループの認証をバイパスする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのプロキシ制限値は 16 です。

 

コマンド履歴

 

使用上のガイドライン

送信元アドレスがプロキシ サーバである場合は、この IP アドレスを認証から除外するか、許容される未処理 AAA 要求の数を増やすことを検討してください。

たとえば、ターミナル サーバに接続しているなどの理由で、同じ IP アドレスを使用する 2 人のユーザがブラウザまたは接続を開き、正確に同時に認証を開始しようとした場合、1 人のみが許可され、2 人目はブロックされます。

その IP アドレスからの最初のセッションは代行処理されて認証要求が送信され、もう 1 つのセッションはタイムアウトします。このことは、単一ユーザ名の接続数とは関係ありません。

例

次に、特定の IP アドレスについて未処理認証試行の最大数（同時）を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値はありません。

 

コマンド履歴

 

使用上のガイドライン

RSA Authentication Manager（SecurID）サーバによって生成されたノードシークレットファイルを手動でインポートできます。

RSA Authentication Manager サーバからノードシークレットファイルをエクスポートする必要があります。詳細については、RSA Authentication Manager のドキュメントを参照してください。次に、解凍したファイルを ASA にアップロードするか、このコマンドを使用してインポートできるサーバに配置します。

例

次に、rsaam.example.com サーバの nodesecret.rec ファイルをインポートする例を示します。パスワードは mysecret です。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

シングル モードで最大 100 個のサーバ グループ、またはマルチ モードでコンテキストごとに 4 つのサーバ グループを持つことができます。9.13(1) 以降では、制限はシングルモードでは 200 グループ、マルチモードでは 8 グループに増加しています。

各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。9.13(1) 以降では、マルチモードの制限はグループあたり 8 台のサーバです。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。

aaa-server コマンドで AAA サーバ グループ プロトコルを定義することによって AAA サーバ コンフィギュレーションを制御し、次に aaa-server host コマンドを使用してサーバをグループに追加します。 aaa-server protocol コマンドを入力する場合は、コンフィギュレーション モードを開始します。

RADIUS プロトコルを使用する場合、AAA サーバ グループ コンフィギュレーション モードでは、次のことに注意してください。

• クライアントレス SSL および AnyConnect セッションについてマルチセッション アカウンティングをイネーブルにするには、 interim-accounting-update オプションを入力します。このオプションを選択すると、開始レコードと終了レコード以外に中間アカウンティング レコードが RADIUS サーバに送信されます。
• ASA と AD エージェントとの間の共有秘密を指定し、RADIUS サーバ グループにフル機能の RADIUS サーバではない AD エージェントを含めることを示すには、 ad-agent-mode オプションを入力します。ユーザ アイデンティティに関連付けることができるのは、このオプションを使用して設定された RADIUS サーバ グループのみです。結果として、 ad-agent-mode オプションを使用して設定されていない RADIUS サーバ グループを指定すると test aaa-server { authentication | authorization } aaa-server-group コマンドが使用できなくなります。

例

次に、 aaa-server コマンドを使用して、TACACS+ サーバ グループ コンフィギュレーションの詳細を変更する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用しないと、グループ内の障害が発生したサーバは、グループ内のすべてのサーバに障害が発生するまで障害状態のままになります。グループ内のすべてのサーバに障害が発生した後に、サーバはすべて再度アクティブにされます。

例

次に、サーバ 192.168.125.60 の状態を表示し、手動で再度アクティブにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのタイムアウト値は 10 秒です。

デフォルトのインターフェイスは、inside です。

 

コマンド履歴

 

使用上のガイドライン

aaa-server コマンドで AAA サーバ グループを定義することによって AAA サーバ コンフィギュレーションを制御し、次に aaa-server host コマンドを使用してサーバをグループに追加します。 aaa-server host コマンドを使用すると、AAA サーバ ホスト コンフィギュレーション モードが開始されます。このモードから、ホスト固有の AAA サーバ接続データを指定および管理できます。

各グループには、シングル モードで最大 16 台、マルチ モードで最大 4 台のサーバを含めることができます。9.13(1) 以降では、マルチモードの制限はグループあたり 8 台のサーバです。ユーザがログインすると、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 つずつアクセスされます。

例

次に、「watchdogs」という名前の Kerberos AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、そのサーバの Kerberos レルムを定義する例を示します。

（注） Kerberos 領域名では数字と大文字だけを使用します。ASA は領域名に小文字を受け入れますが、小文字を大文字に変換しません。大文字だけを使用してください。

次に、「svrgrp1」という名前の SDI AAA サーバ グループを設定し、そのグループに AAA サーバを追加し、タイムアウト間隔を 6 秒に、再試行間隔を 7 秒に、SDI バージョンをバージョン 5 に設定する例を示します。

次の例では、LDAP 検索に aaa-server aaa_server_group_tag コマンドを使用する際に、検索パスをターゲット グループに絞り込む方法を示しています。

（注） ldap-group-base-dn コマンドが指定されている場合、すべてのグループが LDAP ディレクトリ階層内のこのレベルの下に存在する必要があり、このパスの外部にグループが存在することはできません。

ldap-group-base-dn コマンドは、アクティブな user-identity ベースのポリシーが少なくとも 1 つ存在する場合にのみ有効です。

server-type microsoft コマンドはデフォルトではありませんが、設定する必要があります。

最初の aaa-server aaa_server_group_tag host コマンドは、LDAP 操作に使用されます。

 

関連コマンド

 

構文の説明

 

デフォルト

開始時刻および日付を指定しない場合、permit ステートメントまたは deny ステートメントはただちに有効になり、常にオンです。同様に、最大終了時刻は 23:59 31 December 2035 です。終了時刻および日付を指定しない場合、関連付けられている permit ステートメントまたは deny ステートメントは無期限に有効です。

 

コマンド履歴

 

使用上のガイドライン

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドを使用して、時間範囲を ACL にバインドします。

例

次に、ACL を 2006 年 1 月 1 日の午前 8 時にアクティブにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルト設定はオンです（下位証明書は受け入れられます）。

 

コマンド履歴

 

使用上のガイドライン

フェーズ 1 の処理中に、IKE ピアによって下位証明書とアイデンティティ証明書の両方が渡される場合があります。下位証明書は ASA にインストールされない場合があります。このコマンドを使用すると、管理者はデバイス上にトラストポイントとして設定されていない下位 CA 証明書をサポートできます。確立されたすべてのトラストポイントのすべての下位 CA 証明書が受け入れ可能である必要はありません。つまり、このコマンドを使用すると、デバイスで、証明書チェーン全体をローカルにインストールすることなく、その証明書チェーンを認証できます。

例

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、ASA でトラストポイント central の下位証明書を受け入れることができるようにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。