パスワードの管理
必要に応じて、パスワードの期限切れが近づいたときにエンド ユーザに警告するように ASA を設定できます。
ASA は、RADIUS および LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは、LDAP に対してのみサポートされます。
IPsec リモート アクセスと SSL VPN トンネルグループのパスワード管理を設定できます。
パスワード管理を設定すると、ASA はリモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。それから ASA は、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。
このコマンドは、この通知をサポートしている AAA サーバに対して有効です。
ASA のリリース 7.1 以降では、通常、LDAP による認証時または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。
-
AnyConnect VPN クライアント
-
IPsec VPN クライアント
-
クライアントレス SSL VPN
RADIUS サーバ(Cisco ACS など)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、ASA からは RADIUS サーバとのみ通信しているように見えます。
始める前に
-
ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。
-
認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。
-
Sun:Sun ディレクトリ サーバにアクセスするために ASA に設定されている DN が、サーバのデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。
-
Microsoft:Microsoft Active Directory でパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。
-
-
MSCHAP をサポートする一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドには MSCHAPv2 が必要なため、ベンダーに問い合わせてください。
-
Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポートされません。
-
LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、ASA では Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。
-
RADIUS または LDAP 認証が設定されていない場合、ASA ではこのコマンドが無視されます。
手順
ステップ 1 |
[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] に移動します。 |
ステップ 2 |
[Enable password management] オプションをクリックします。 |