ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

Similar documents
NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

VPN の IP アドレス

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

8021.X 認証を使用した Web リダイレクトの設定

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

ip nat outside source list コマンドを使用した設定例

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

FQDN を使用した ACL の設定

VPN 接続の設定

CiscoSecure NT 2.5 以降(RADIUS)を使用して VPN 5000 Client から VPN 5000 コンセントレータへの認証を行う方法

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

適応型セキュリティ アプライ アンスの設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

SDM によるシンクライアント SSL VPN(WebVPN)の IOS 設定例

適応型セキュリティ アプライ アンスの設定

OSSTechドキュメント

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

証明書の検証による ASA AnyConnect の二重認証、マッピング、およびプレフィル コンフィギュレーション ガイド

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

PowerPoint Presentation

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

IPSEC(Si-RGX)

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

ACI のファースト LACP タイマーを設定して下さい

EAP フラグメンテーションの実装と動作

VRF のデバイスへの設定 Telnet/SSH アクセス

ASA リモート アクセス VPN IKE/SSL - パスワード期限切れと RADIUS、TACACS、LDAP 変更の設定例

PowerPoint Presentation

ローカル認証でのVPN 3000 Concentrator PPTP の設定方法

9.pdf

シナリオ:サイトツーサイト VPN の設定

ます Cisco ISR シリーズにて本構成が実現可能なハードウェア / ソフトウェアの組み合わせは下記にな ります 本社 Cisco Easy VPN サーバ機能およびスモールオフィスの Cisco Easy VPN リモート 機能ともに提供が可能になります プラットホーム T トレイン メイント

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

RADIUS NAS-IP-Address アトリビュート 設定可能性

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

Web 認証拡張機能簡易ドキュメント

Cisco Security Device Manager サンプル設定ガイド

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

untitled

Windows GPO のスクリプトと Cisco NAC 相互運用性

新しいモビリティの設定

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

CUCM と VCS 間のセキュア SIP トランクの設定例

Untitled

アドレス プールの設定

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

URL ACL(Enhanced)導入ガイド

ログインおよび設定

AW-PCS認証設定手順1805

UCCX 11.6 の Gmail の SocialMiner の統合

WeChat 認証ベースのインターネット アクセス

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

R76/Gaia ブリッジ構成設定ガイド

Microsoft WSUS と ISE バージョン 1.4 ポスチャの設定

Net'Attest EPS設定例

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

索引

ユーザ デバイス プロファイル エクス ポートの使用方法

IPCOMとWindows AzureのIPsec接続について

Cisco Secure UNIX および Secure ID(SDI クライアント)設定

パスワード暗号化の設定

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

Microsoft PowerPoint - APM-VE(install).pptx

MENU 키를 누르면 아래의 화면이 나타납니다

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

自律アクセス ポイントでの Cisco IOS のアップグレード

Cisco Hyperlocation

設定例: 基本 ISDN 設定

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

Microsoft Word - SSL-VPN接続サービスの使い方

詳細設定

MIB サポートの設定

Juniper Networks Corporate PowerPoint Template

IPv6 リンクローカル アドレスについて

Windows Phone 用 Cisco AnyConnect セキュアモビリティクライ アントユーザガイド(リリース 4.1.x)

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

目次 1 本マニュアルについて 概要 サービスご利用前の注意点 基本概念 基本構成図 設定手順 マネージメントツールへのアクセス Smart Device VPN のユーザ管理... 7

シングル サインオンとキャプティブ ポータル認証(On-Box Management)用に ASDM と Active Directory を設定する

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

連絡先

Autonomous アクセス ポイント上の WEP の設定例

シナリオ:DMZ の設定

CLI を使用するレガシー SCEP の設定例

自律アクセス ポイントの Lightweight モードへの変換

CEM 用の Windows ドメイン コントローラ上の WMI の設定

Transcription:

ASA および Cisco IOS グループロック機能と AAA 属性および WebVPN の設定例 目次 概要前提条件要件使用するコンポーネント設定 ASA ローカルの group-lock AAA 属性の VPN3000/ASA/PIX7.x-Tunnel-Group-Lock を使用した ASA AAA 属性の VPN3000/ASA/PIX7.x-IPSec-User-Group-Lock を使用した ASA Easy VPN に関する Cisco IOS ローカルの group-lock Easy VPN に関する Cisco IOS の AAA ipsec: user-vpn-group Easy VPN に関する Cisco IOS の AAA ipsec: user-vpn-group と group-lock IOS WebVPN のグループロック確認トラブルシューティング関連情報 概要 この記事では Cisco 適応型セキュリティアプライアンス (ASA) と Cisco IOS でのグループロック (group-lock) 機能について説明しています また 認証 認可 およびアカウンティング (AAA) の各種属性の動作も示しています Cisco IOS については group-lock と user-vpngroup の違いについて 両方の相互に補完する機能を同時に使用する例とともに説明しています また 認証ドメインを使用した Cisco IOS WebVPN の例も示しています 前提条件 要件 次の項目に関して基本的な知識があることが推奨されます ASA CLI の設定およびセキュアソケットレイヤ (SSL)VPN の設定 ASA と Cisco IOS でのリモートアクセス VPN の設定 使用するコンポーネント

このドキュメントの情報は 次のソフトウェアのバージョンに基づくものです ASA ソフトウェアバージョン 8.4 以降 Cisco IOS バージョン 15.1 以降このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは クリアな ( デフォルト ) 設定で作業を開始しています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります 設定 ASA ローカルの group-lock この属性は ユーザまたは group-policy で定義できます 次に ローカルユーザの属性の例を示します username cisco password 3USUcOPFUiMCO4Jk encrypted username cisco attributes group-lock value RA username cisco2 password BAtr3u1T7j1eEcYr encrypted username cisco2 attributes group-lock value RA2 tunnel-group RA type remote-access tunnel-group RA general-attributes default-group-policy MY tunnel-group RA webvpn-attributes group-alias RA enable tunnel-group RA2 type remote-access tunnel-group RA2 general-attributes default-group-policy MY tunnel-group RA2 webvpn-attributes group-alias RA2 enable group-policy MY attributes address-pools value POOL webvpn enable inside anyconnect enable tunnel-group-list enable ユーザの cisco は RA tunnel-group だけを使用でき ユーザの cisco2 は RA2 tunnel-group だけを使用できます ユーザの cisco2 が RA tunnel-group を選択すると 次に示すように接続が拒否されます

May 17 2013 17:24:54: %ASA-4-113040: Group <MY> User <cisco2> IP <192.168.1.88> Terminating the VPN connection attempt from <RA>. Reason: This connection is group locked to <RA2>. AAA 属性の VPN3000/ASA/PIX7.x-Tunnel-Group-Lock を使用した ASA AAA サーバから返される属性の 3076/85(Tunnel-Group-Lock) では まったく同じ動作を行います この属性はユーザまたは policy-group( または Internet Engineering Task Force(IETF) の属性 25) 認証とともに渡すことができ そのユーザを特定の tunnel-group にロックします 次に Cisco Access Control Server(ACS) の許可プロファイルの例を示します 属性が AAA から返されると RADIUS デバッグによってその属性が次のように表示されます tunnel-group RA2 general-attributes authentication-server-group ACS54 Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 2 (0x02) Radius: Length = 61 (0x003D) Radius: Vector: E55D5EBF1558CA455DA46F5BF3B67354 Radius: Type = 1 (0x01) User-Name Radius: Length = 7 (0x07) 63 69 73 63 6f cisco Radius: Type = 25 (0x19) Class

Radius: Length = 24 (0x18) 43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33 CACS:acs54/15833 34 34 38 34 2f 33 4484/3 Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 10 (0x0A) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with Radius: Length = 4 (0x04) 52 41 RA rad_procpkt: ACCEPT RADIUS_ACCESS_ACCEPT: normal termination 結果は RA2 tunnel-group にアクセスを試みるとともに RA tunnel-group 内で group-lock される場合と同じです May 17 2013 17:41:33: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88> Terminating the VPN connection attempt from <RA2>. Reason: This connection is group locked to <RA> AAA 属性の VPN3000/ASA/PIX7.x-IPSec-User-Group-Lock を使用した ASA この属性も ASA によって継承された VPN3000 ディレクトリから取得されます この属性は 8.4 の構成ガイドにまだ存在し ( ただし 新しいバージョンの構成ガイドでは削除されました ) 次のように説明されています IPsec-User-Group-Lock 0 = Disabled 1 = Enabled Tunnel-Group-Lock 属性が存在している場合でも この属性はグループロックを無効にするために使用できるように見えます Tunnel-Group-Lock とともに 0 に設定したこの属性を返そうとする ( これは まだ単なるユーザ認証です ) とどうなるかを下に示します これは グループロックの無効化を試みるとともに 特定の tunnel-group 名を返す場合に奇妙に思われることでしょう デバッグでは 次のように表示されます Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 3 (0x03) Radius: Length = 73 (0x0049) Radius: Vector: 7C6260DDFC3E523CCC34AD8B828DD014 Radius: Type = 1 (0x01) User-Name Radius: Length = 7 (0x07) 63 69 73 63 6f cisco Radius: Type = 25 (0x19) Class Radius: Length = 24 (0x18) 43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33 CACS:acs54/15833

34 34 38 34 2f 34 4484/4 Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 12 (0x0C) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 33 (0x21) Group-Lock Radius: Length = 6 (0x06) Radius: Value (Integer) = 0 (0x0000) Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 10 (0x0A) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with Radius: Length = 4 (0x04) 52 41 RA rad_procpkt: ACCEPT これによって 同じ結果 ( グループロックが適用されたままですが IPSec-User-Group-Lock は考慮されなくなりました ) が得られます May 17 2013 17:42:34: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88> Terminating the VPN connection attempt from <RA2>. Reason: This connection is group locked to <RA> 外部の group-policy では IPSec-User-Group-Lock=0 を返し ユーザ認証用に Tunnel-Group- Lock=RA も受け取りました ただし そのユーザは引き続きロックされたままで グループロックが実行されたままであることを意味します 反対側の設定では 外部の group-policy が特定の tunnel-group の名前 (Tunnel-Group-Lock) を返すとともに 特定のユーザの group-lock の無効化 (IPSec-User-Group-Lock=0) を試みますが そのユーザに対してはグループロックが引き続き適用されたままです これにより この属性がこれ以上使用されないことが確認されます この属性は 古い VPN3000 シリーズで使用されていました Cisco Bug ID の CSCui34066 が開かれています Easy VPN に関する Cisco IOS ローカルの group-lock Cisco IOS のグループ設定でのローカル group-lock のオプションは ASA 上とは動作が異なります ASA では ユーザがロックされている tunnel-group の名前を指定します Cisco IOS の group-lock オプション ( 引数なし ) では 追加の検証が可能になり username( 形式 :user@group) で提供されたグループが IKEID( グループ名 ) と比較されます 詳細については Easy VPN 構成ガイド Cisco IOS リリース 15M&T を参照してください 次に例を示します aaa new-model aaa authentication login LOGIN local aaa authorization network LOGIN local username cisco1@group1 password 0 cisco1 username cisco2@group2 password 0 cisco2 crypto isakmp client configuration group GROUP1 key cisco pool POOL group-lock save-password crypto isakmp client configuration group GROUP2

key cisco pool POOL save-password crypto isakmp profile prof1 match identity group GROUP1 client authentication list LOGIN isakmp authorization list LOGIN client configuration address respond client configuration group GROUP1 virtual-template 1 crypto isakmp profile prof2 match identity group GROUP2 client authentication list LOGIN isakmp authorization list LOGIN client configuration address respond client configuration group GROUP2 virtual-template 2 crypto ipsec transform-set aes esp-aes 256 esp-sha-hmac mode tunnel crypto ipsec profile prof1 set transform-set aes set isakmp-profile prof1 crypto ipsec profile prof2 set transform-set aes set isakmp-profile prof2 interface Virtual-Template1 type tunnel ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile prof1 interface Virtual-Template2 type tunnel ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile prof2 ip local pool POOL 10.10.10.10 10.10.10.15 この例では グループロックの確認が GROUP1 に対して有効になっていることが示されています GROUP1 については 許可されたユーザは cisco1@group1 だけです GROUP2( グループロックなし ) については 両方のユーザがログインできます 次に示すように 認証に成功するには GROUP1 とともに cisco1@group1 を使用します *May 19 18:21:37.983: ISAKMP:(0): Profile prof1 assigned peer the group named GROUP1 *May 19 18:21:40.595: ISAKMP/author: Author request for group GROUP1successfully sent to AAA 次に示すように 認証のためには GROUP1 とともに cisco2@group2 を使用します *May 19 18:24:10.210: ISAKMP:(1011):User Authentication in this group failed Easy VPN に関する Cisco IOS の AAA ipsec: user-vpn-group ipsec: user-vpn-group は AAA サーバから返される RADIUS 属性で ユーザ認証に対してのみ適用できます (group-lock はグループに対して使用されていました ) 両方の機能は相互に補完的なもので さまざまな局面で適用されます

詳細については Easy VPN 構成ガイド Cisco IOS リリース 15M&T を参照してください この属性は group-lock とは動作が異なりますが 同じ結果が得られます 違いは この属性には特定の値が必要であること (ASA の場合と同様 ) および特定の値が Internet Security Association and Key Management Protocol(ISAKMP) のグループ名 (IKEID) と比較されることです それらが一致しない場合 接続は失敗します クライアントに AAA 認証を受けさせ group-lock を現時点では無効にするために前の例を変更した場合 どうなるかを次に示します username cisco password 0 cisco #for testing aaa authentication login AAA group radius crypto isakmp client configuration group GROUP1 no group-lock crypto isakmp client configuration group GROUP2 no group-lock crypto isakmp profile prof1 client authentication list AAA crypto isakmp profile prof2 client authentication list AAA ipsec: user-vpn-group 属性がユーザに対して定義され group-lock はグループに対して定義されていることに注目してください ACS 上には 2 つのユーザの cisco1 と cisco2 があります ユーザの cisco1 については ipsec:user-vpn-group=group1 という属性が返されます ユーザの cisco2 については ipsec:user-vpn-group=group2 という属性が返されます ユーザの cisco2 が GROUP1 でログインしようとすると 次のエラーが報告されます debug radius verbose debug crypto isakmp debug crypto isakmp aaa *May 19 19:44:10.153: RADIUS: Cisco AVpair [1] 29 "ipsec:user-vpn-group=group2" *May 19 19:44:10.153: RADIUS(00000055): Received from id 1645/23 AAA/AUTHOR/IKE: Processing AV user-vpn-group *May 19 19:44:10.154: AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied これは ユーザの cisco2 の ACS が Cisco IOS で GROUP1 と比較する ipsec:user-vpngroup=group2 を返すためです このようにして group-lock の場合と同様に 同じ目標が達成されました エンドユーザがユーザ名として user@group を入力する必要はありませんが user(@group なしで ) を使用できることがここで分かるはずです group-lock の場合は cisco1@group1 を使用する必要があります これは Cisco IOS で最後の部分 (@ 以降 ) が除去されて 残りの部分が IKEID( グループ名 ) と比較されるためです ipsec: user-vpn-group の場合は Cisco VPN Client で cisco1 のみを使用すれば十分です これは そのユーザが ACS 上で定義されていて 特定の ipsec: user-vpn-group が返され ( この場合は =GROUP1) その属性が IKEID と比較されます Easy VPN に関する Cisco IOS の AAA ipsec: user-vpn-group と group-lock

両方の機能を同時に使用すべきではない理由を以下に示します 次のように group-lock は再度追加できます crypto isakmp client configuration group GROUP1 group-lock crypto isakmp client configuration group GROUP2 group-lock ここで フローを示します 1. Cisco VPN ユーザが GROUP1 の接続を設定して 接続します 2. アグレッシブモードのフェーズが成功し Cisco IOS によってユーザ名とパスワードを求める xauth 要求が送信されます 3. Cisco VPN ユーザがポップアップを受け取って ACS 上で定義された正しいパスワードとともにユーザ名の cisco1@group1 を入力します 4. Cisco IOS で group-lock のチェックが実行されます つまり ユーザ名に指定されたグループ名が除去されて IKEID と比較されます 一致して比較が成功します 5. Cisco IOS で ACS サーバに ( ユーザーの cisco1@group1 を求めて )AAA 要求が送信されます 6. ACS によって ipsec:user-vpn-group=group1 とともに RADIUS-Accept が返されます 7. Cisco IOS で 2 番目の確認が実行されます つまり 今度は RADIUS 属性によって提供されたグループが IKEID と比較されます ステップ 4( グループロック ) で比較が失敗した場合 クレデンシャル ( 資格情報 ) が提供された直後に次のエラーがログに記録されます *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_NAME_V2 *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_PASSWORD_V2 *May 19 20:14:31.678: ISAKMP:(1041):User Authentication in this group failed ステップ 7(ipsec: user-vpn-group) で比較が失敗した場合 AAA 認証用の RADIUS 属性が受信された後に次のエラーが返されます AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied IOS WebVPN のグループロック ASA 上では Tunnel-Group-Lock をすべてのリモートアクセス VPN サービス (IPsec SSL WebVPN) に対して使用できます Cisco IOS の group-lock と ipsec: user-vpn-group の場合 これらは IPSec(Easy VPN サーバ ) に対してのみ機能します 特定の WebVPN コンテキスト ( および付加された group-policy) 内の特定のユーザに対して group-lock を行うには 認証ドメインを使用する必要があります 次に例を示します aaa new-model aaa authentication login LIST local username cisco password 0 cisco username cisco1@c1 password 0 cisco

username cisco2@c2 password 0 cisco webvpn gateway GW ip address 10.48.67.137 port 443 http-redirect port 80 logging enable inservice webvpn install svc flash:/webvpn/anyconnect-win-3.1.02040-k9.pkg sequence 1 webvpn context C1 ssl authenticate verify all policy group C1 functions file-access functions file-browse functions file-entry functions svc-enabled svc address-pool "POOL" svc default-domain "cisco.com" svc keep-client-installed default-group-policy C1 aaa authentication list LIST aaa authentication domain @C1 gateway GW domain C1 #accessed via https://ip/c1 logging enable inservice webvpn context C2 ssl authenticate verify all url-list "L2" heading "Link2" url-text "Display2" url-value "http://2.2.2.2" policy group C2 url-list "L2" default-group-policy C2 aaa authentication list LIST aaa authentication domain @C2 gateway GW domain C2 #accessed via https://ip/c2 logging enable inservice ip local pool POOL 7.7.7.10 7.7.7.20 この例には 2 つのコンテキスト C1 と C2 があります 各コンテキストには 固有の設定を持つ独自の group-policy があります C1 では AnyConnect アクセスが許可されています 両方のコンテキスト C1 と C2 があります 次に示すように ユーザの cisco1 が https://10.48.67.137/c1 を使用して C1 のコンテキストにアクセスすると 認証ドメインでは C1 が追加されて ローカルで定義された (list LIST)cisco1@C1 ユーザ名と照合して認証されます

debug webvpn aaa debug webvpn *May 20 16:30:07.518: WV: validated_tp : cert_username : matched_ctx : *May 20 16:30:07.518: WV-AAA: AAA authentication request sent for user: "cisco1" *May 20 16:30:07.518: WV: ASYNC req sent *May 20 16:30:07.518: WV-AAA: AAA Authentication Passed *May 20 16:30:07.518: %SSLVPN-5-LOGIN_AUTH_PASSED: vw_ctx: C1 vw_gw: GW remote_ip: 10.61.218.146 user_name: cisco1, Authentication successful, user logged in *May 20 16:30:07.518: WV-AAA: User "cisco1" has logged in from "10.61.218.146" to gateway "GW" context "C1" C1 コンテキスト (https://10.48.67.137/c1) にアクセス中に ユーザ名として cisco2 でログインしようとすると 次の障害が報告されます *May 20 16:33:56.930: WV: validated_tp : cert_username : matched_ctx : *May 20 16:33:56.930: WV-AAA: AAA authentication request sent for user: "cisco2" *May 20 16:33:56.930: WV: ASYNC req sent *May 20 16:33:58.930: WV-AAA: AAA Authentication Failed *May 20 16:33:58.930: %SSLVPN-5-LOGIN_AUTH_REJECTED: vw_ctx: C1 vw_gw: GW remote_ip: 10.61.218.146 user_name: cisco2, Failed to authenticate user credentials これは ユーザの cisco2@c1 が定義されていないためです ユーザの cisco は どのコンテキストにもログインできません 確認 現在 この設定に使用できる確認手順はありません トラブルシューティング 現在のところ この設定に関する特定のトラブルシューティング情報はありません 関連情報 Easy VPN 構成ガイド Cisco IOS リリース 15M&T Cisco ASA シリーズ VPN CLI 構成ガイド 9.1

テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック