購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
12455
閲覧回数
15
いいね!
0
コメント

AnyConnect - Connction Profile (Tunnel Group) の選定方法について

Shinpei Kono
Cisco Employee
Cisco Employee

‎2014-07-21 12:20 PM

 [toc:faq]

概要

AnyConnect や Clientless VPN といったリモートアクセス VPN でなどで使用する Connection Profile (Tunnel Group) がどのように選定されるかを分類して紹介します。本文書の資料収集、動作確認は、ASA 9.1(5) および AnyConnect Client 3.1.05170 を使用して行われています。

まずは、connection profile 選定に使用される3つのメソッドについて簡単にレビューします。

1.Group-url

以下のようなアクセス方法です。

AnyConnect Client の場合
FQDN(IP address) + group-url でアクセスします。

group-url に紐付いた tunnel-group の認証が開始されます。

Web launch の場合
ブラウザから https://<FQDN(IP address)>/group-url でアクセスします。

group-url に紐付いた tunnel-group の認証が開始されます。
  


2. Group-alias

以下のようなアクセス方法です。

AnyConnect Client の場合
FQDN(IP address) でアクセスします。


Connection Profile のエイリアス を選択する画面が表示されます。


Web launch の場合
ブラウザから、https://<FQDN(IP address)>にアクセスします。

Connection Profile のエイリアス を選択するページが表示されます。

group-url と group-alias を使用する Connection Profile の設定例です。

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 authentication-server-group RDS
 default-group-policy GroupPolicy1
tunnel-group TunnelGroup1 webvpn-attributes
 group-alias Itsukushima enable
 group-url https://japanvsec.cisco.com/group1 enable

---snip---

tunnel-group TunnelGroup5 type remote-access
tunnel-group TunnelGroup5 general-attributes
 default-group-policy GroupPolicy5
tunnel-group TunnelGroup5 webvpn-attributes
 authentication certificate
 group-alias Yakushima enable
 group-url https://japanvsec.cisco.com/group5 enable

!--- TunnelGroup1 から TunnelGroup5 までの Connection Profile が定義されています。
!--- この例ではそれぞれ異なる認証方式を使用し、異なる Group-policy に紐付けています。

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable 

!--- group-alias を有効にするためには、tunnel-group-list を有効にする必要があります。
!--- 無効では group-alias のプルダウンは表示されず DefaultWebVPNGroup が使用されます。

3. Certificate Maps

クライアント証明書の属性を使用して、Connection Profile を振り分ける方法があります。 デフォルトでは 証明書が、Certificate Maps の定義に一致すると、Certificate Maps による選定が group-url や group-alias よりも優先されます。

crypto ca certificate map CMAP4 10
 subject-name attr cn eq Division4
crypto ca certificate map CMAP5 10
 subject-name attr cn eq Division5

 webvpn
  certificate-group-map CMAP4 10 TunnelGroup4
  certificate-group-map CMAP5 10 TunnelGroup5

!--- サブジェクト名の CN が Division4 の証明書を持つユーザは、TunnelGourp4 が使用されます。
!--- サブジェクト名の CN が Division5 の証明書を持つユーザは、TunnelGroup5 が使用されます。
!--- マッチしなければ、group-url や group-alias により選定されます

ASDM からは Configuration > Remote Access VPN > Advanced >Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps から設定できます。


Certificate Maps による選定が成功したかどうかは Syslog から確認できます。トラブルシュートでは、まず最初に以下の出力を確認します。

Certificate Maps にマッチした出力例

%ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with serial number: 14423F470000000000B9, subject name: cn=Division4 ,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco ,dc=com.

%ASA-7-717038: Tunnel group match found. Tunnel Group: TunnelGroup4, Peer certificate: serial number: 14423F470000000000B9, subject name: cn=Division4,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco,dc=com.


Certificate Maps にマッチしなかった出力例

%ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with serial number: 14423F470000000000B9, subject name: cn=Division6 ,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco ,dc=com.

%ASA-4-717037: Tunnel group search using certificate maps failed for peer certificate: serial number: 14423F470000000000B9, subject name: cn=Division6,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco,dc=com.

4. その他

"tunnel-group-preference group-url" という機能について紹介します。Certificate Maps の定義は、group-url や group-alias に優先する動作の例外として、tunnel-group-preference group-url という設定を有効にすると、Certificate Maps の定義にマッチしても、group-url を使用した Connection profile が使用されます。

ciscoasa# conf t 
ciscoasa(config)# webvpn 
ciscoasa(config-webvpn)# tunnel tunnel-group-preference ? 

webvpn mode commands/options: group-url 
Prefer tunnel-group specified by group-url over certificate map 
ciscoasa(config-webvpn)# tunnel-group-preference group-url

この機能は、ASA 8.2(5) および 8.4(2)から導入されました。また ASDM ではバージョン 6.7 以降で設定可能になっています。

Configuration > Remote Access VPN > Network (Client) Access (or Clientless SSL VPN Access) > AnyConnect Connection Profile の下段のチェックボックス。


なお、ASA 8.4 で tunnel-group-preference group-url を利用する場合は、8.4(4) 以降をご利用ください。8.4(2) および 8.4(3) では、ソフトウェア不具合のため、AnyConnect Client では本機能が正常動作しません。

4. 図解、参考情報

最後に、これまで記載した内容を図示します。


ASA 8.x: Allow Users to Select a Group at WebVPN Login via Group-Alias and Group-URL Method
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98580-enable-group-dropdown.html

New Features in Version 8.4(2)
Enable/disable certificate mapping to override the group-url attribute
http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/release/notes/asarn84.html#pgfId-535067

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents