はじめに
本ドキュメントでは ASA で特定の group-policy に対し AnyConnect の利用時間を制限する方法についてご紹介いたします。
尚、AnyConnectの基本的な設定方法につきましては、以下のドキュメントを参考にして下さい。
Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 (1)
https://supportforums.cisco.com/ja/document/11936906
設定で利用するコマンド
利用時間の設定には time-range コマンドを利用し、vpn-access-hours コマンドにて group-policy に設定した期間を紐づけます。
time-range
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1629745
vpn-access-hours
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/v.html#pgfId-1663143
では具体的に設定方法を確認していきましょう。
尚、本記事の設定は ASA5505 Software Version 9.2(1)、ASDM 7.5(1) を利用しています。
コマンドラインでの設定例
1) time-range コマンドにて許可する時間を指定します
この例では平日 9:00 - 18:00 の時間帯のみを許可する設定をしています。
設定する名前は "Weekdays-9:00-18:00" で設定しています。
ciscoasa(config)# time-range ?
configure mode commands/options:
WORD < 129 char Time range name
ciscoasa(config)# time-range Weekdays-9:00-18:00
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# ?
Time range configuration commands:
absolute absolute time and date
exit Exit from time-range configuration mode
help Help for time-range configuration commands
no Negate a command or set its defaults
periodic periodic time and date
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic ?
trange mode commands/options:
Friday Friday
Monday Monday
Saturday Saturday
Sunday Sunday
Thursday Thursday
Tuesday Tuesday
Wednesday Wednesday
daily Every day of the week
weekdays Monday thru Friday
weekend Saturday and Sunday
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic weekdays 9:00 to 18:00
※ hh:mm (開始時間) to hh:mm (終了時間)の形式で設定します。
2) 設定が反映している事を確認します
ciscoasa(config-time-range)# sh run time-range
time-range Weekdays-9:00-18:00
periodic weekdays 9:00 to 18:00
3) 既存、あるいは、新規の group-policy に先ほど設定した期間を紐づけます。
この例では既存の Part-time という group-policy に紐づけます。
追加前:
ciscoasa(config-time-range)# sh run group-policy
group-policy Part-time internal
group-policy Part-time attributes
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
設定を追加:
ciscoasa(config-time-range)# group-policy Part-time attributes
ciscoasa(config-group-policy)# vpn-access-hours value Weekdays-9:00-18:00
追加後:
ciscoasa(config-group-policy)# sh run group-policy Part-time
group-policy Part-time internal
group-policy Part-time attributes
vpn-access-hours value Weekdays-9:00-18:00
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
ciscoasa(config-group-policy)#
上記設定完了後は group-policy ”Part-time” にて AnyConnect で接続するユーザーは平日 9:00 - 18:00 の時間帯以外は接続できなくなります。但し、上記時間帯の前に接続している場合には、そのまま切断されるまで接続されます。
利用時間を制限するその他の方法として AnyConnect のデフォルトの tcp ポート 443 に対し時間ベースのアクセス リストを設定する事で接続できなくする方法もあります。
(参考情報)
時間ベースのアクセス リスト
http://www.cisco.com/cisco/web/support/JP/111/1115/1115964_asa-82-port-forward-00-j.html#timebased
4)最後に ”write memory” で設定を保存します。
ASDM での設定例
(既存の Part-time という group-policy に紐づける設定例)
1) group-policy を選択します。
[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択し、内部グループ ポリシー Part-time を選択し "Edit"(新規作成 の場合には "Add" )をクリックします。
2) "Access Hours" の inherit のチェックを外し、"Manage" をクリックします。
3) "Browse Time Range" の Window から "Add" をクリックします。
4) "Add Time Range" の Window で、"Time Range Name" を入力後、"Recurring Time Ranges" で "Add" を選択します。
5) "Add Recurring Time Ranges" の Window で "Weekdays" を選択し、"Daily Start Time" と "Daily End Time" を指定し、OK をクリックします。
6) "Add Time Range" の Window に反映しているのを確認し、"OK" をクリックし、 "Edit Internal Group Policy" も同様に "OK" をクリックし、 [Group Policies] で "Apply" をクリックし適用します。
ミニ知識)
ASDM のメニューから Tool -> Preferences -> General タブの Communications の部分で "Preview comamnds before sending them to the device" にチェックを入れておくと ASDM で設定した情報が "Apply" をクリックした際、コマンドラインとして表示され確認する事ができます。
7) 最後に "Save" をクリックし設定を保存します。