はじめに

本ドキュメントは、Identity Services Engine（ISE）とActive Directory（AD）サーバーを用いて、ASAにおけるVPN認証（Cisco Secure Client）の設定例と動作確認方法について説明します。本ドキュメントは、Identity Services Engine Virtual 3.3 Patch 1、Adaptive Security Virtual Appliance 9.20(2)21、Adaptive Security Device Manager 7.20(2)、Cisco Secure Client 5.1.3.62にて確認、作成をしております。

 

 

構成例

本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。

本ドキュメントで使用しているドメイン「ad.rem-xxx.com」は、検証環境のテスト用のドメインです。

 

 

設定例

ASA側の設定

以下はASAでの最小限の設定です。

webvpn
enable outside
anyconnect image disk0:/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable

aaa-server radius-grp protocol radius
aaa-server radius-grp (inside) host 1.x.x.191
timeout 5
key cisco123

ip local pool vpn-ssl-pool 172.16.1.50-172.16.1.60 mask 255.255.255.0

group-policy VPN-Grp-Policy internal
group-policy VPN-Grp-Policy attributes
dns-server value 1.x.x.57
vpn-tunnel-protocol ssl-client
webvpn

tunnel-group VPN-Tunnel-Group type remote-access
tunnel-group VPN-Tunnel-Group general-attributes
address-pool vpn-ssl-pool
authentication-server-group radius-grp
default-group-policy VPN-Grp-Policy
tunnel-group VPN-Tunnel-Group webvpn-attributes
group-alias VPN-Tunnel-Group enable

 

ASDM側の設定（オプション）

VPN コネクション用のプロファイルを追加します。「Configuration > Remote Access VPN >Network (Client) Access > Secure Client Profile」に移動し、「Add」ボタンをクリックしてVPN プロファイルを追加します。

• Profile Name : vpn-ssl-profile
• Profile Usage : Anyconnect VPN Profile
• Group Policy : VPN-Grp-Policy

追加したVPN プロファイルを編集し、「Server List」に移動し、「Add」ボタンをクリックしてServer Listを追加します。

• Dispaly Name : ssl.vpn.com
• FQDN or IP Address : 192.168.1.1
• Connection Information : SSL

 

Windowsサーバー側の設定

VPN認証用のユーザーを追加します。「Active Directory Users and Computers > Users」に移動し、vpnuser をドメインユーザーとして追加します。

追加したドメインユーザー（vpnuser）を「Domain Admins」と「Domain Users」のメンバーに追加します。

  

ISE側の設定

1. デバイスの追加

「Administration > Network Devices」に移動し、「Add」ボタンをクリックしてASAvデバイスを追加します。

• Name : ASAv
• IP Address : 1.x.x.61

 

 

2. Active Directoryの追加

「Administration > External Identity Sources > Active Directory」に移動し、「Connection」タブでActive Directoryを追加します。

• Join Point Name : AD_Join_Point
• Active Directory Domain : ad.rem-xxx.com

「Groups」タブでドロップダウンリストから「Select Groups From Directory」を選択します。

「Retrieve Groups」をクリックしてから、ad.rem-xxx.com/Users/Domain Computers と ad.rem-xxx.com/Users/Domain Users をチェックして、「OK」をクリックします。

 

3. Identity Source Sequencesの追加

「Administration > Identity Source Sequences」に移動し、Identity Source Sequenceを追加します。

• Name : Identity_AD
• Authentication Search List : AD_Join_Point

 

4. Policy Set の追加

「Policy > Policy Sets」に移動し、「+」をクリックし、policy setを追加します。

• Policy Set Name : VPN_Test
• Conditions : DEVICE Device Type EQUALS All Device Types
• Allowed Protocols / Server Sequence : Default Network Access

 

5. Authentication Policy の追加

「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthentication policyを追加します。

• Rule Name : VPN_Authentication
• Conditions : Network Access Device IP Address EQUALS 1.x.x.61
• Use : Identity_AD

 

6. Authorization Policy の追加

「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthorization policyを追加します。

• Rule Name : VPN_Authorization
• Conditions : Network_Access_Authentication_Passed
• Results : PermitAccess

 

 

動作確認例

1. VPNの接続

エンドポイントでAnyconnect接続を実行し、ユーザー名とパスワードを入力します。VPN接続が成功したことを確認します。

 

2. VPN セッションの確認

「show vpn-sessiondb detail anyconnect」コマンドを実行して、VPN セッションを確認します。

ciscoasa# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : vpnuser Index : 34
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15178 Bytes Rx : 22281
Pkts Tx : 5 Pkts Rx : 86
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : VPN-Grp-Policy Tunnel Group : VPN-Tunnel-Group
Login Time : 06:43:08 UTC Thu May 30 2024
Duration : 0h:00m:18s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 01aa003d0002200066581ffc
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 34.1
Public IP : 192.168.1.11
Encryption : none Hashing : none
TCP Src Port : 60955 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7529 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 34.2
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : TLS_AES_256_GCM_SHA384
Encapsulation: TLSv1.3 TCP Src Port : 60962
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7529 Bytes Rx : 112
Pkts Tx : 1 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 34.3
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 62867
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 120 Bytes Rx : 22384
Pkts Tx : 3 Pkts Rx : 85
Pkts Tx Drop : 0 Pkts Rx Drop : 0

 

3. ASA システムログの確認

ASAのシステムログで、AAAユーザー認証が成功したことを確認します。

May 30 2024 06:43:09: %ASA-6-113004: AAA user authentication Successful : server = 1.x.x.191 : user = vpnuser
May 30 2024 06:43:09: %ASA-6-113009: AAA retrieved default group policy (VPN-Grp-Policy) for user = vpnuser

 

4. Radius Live Log の確認

ISE GUIの「Operations > RADIUS > Live Logs」に移動し、VPN認証のlive logを確認します。

VPN認証の詳細なログを確認します。

 

 

参考情報